Podręcznik klienta Symantec™ Endpoint Protection i Symantec

Transkrypt

Podręcznik klienta
Symantec™ Endpoint
Protection i Symantec
Network Access Control
Podręcznik klienta Symantec Endpoint Protection i
Symantec Network Access Control
Oprogramowanie opisane w niniejszym podręczniku jest dostarczane w ramach umowy
licencyjnej i może być używane jedynie zgodnie z postanowieniami tej umowy.
Wersja dokumentacji 12.01.00.00
Informacje prawne
Copyright © 2011 Symantec Corporation. Wszystkie prawa zastrzeżone.
Nazwa i logo Symantec oraz nazwy Bloodhound, Confidence Online, Digital Immune
System,LiveUpdate, Norton, Sygate, i TruScan to znaki towarowe lub zastrzeżone znaki
towarowe firmy Symantec Corporation lub jej oddziałów w USA oraz innych krajach. Inne
nazwy mogą być znakami towarowymi odpowiednich właścicieli.
Niniejszy produkt Symantec może zawierać oprogramowanie innych firm, które musi być
jednoznacznie określone jako takie („programy innych firm”). Niektóre z programów innych
firm są dostępne jako oprogramowanie o jawnym kodzie źródłowym lub bezpłatne. Niniejsza
umowa licencyjna dołączona do oprogramowania nie powoduje zmiany jakichkolwiek praw
lub zobowiązań wynikających z licencji na program o jawnym kodzie źródłowym lub
bezpłatny. Dodatkowe informacje na temat programów innych firm są zawarte w
zastrzeżeniach prawnych innych firm w załączniku do niniejszej dokumentacji lub w pliku
ReadMe dotyczącym praw własności intelektualnej innych firm, dołączonym do niniejszego
produktu Symantec.
Produkt opisywany w niniejszym dokumencie jest dystrybuowany zgodnie z licencjami
ograniczającymi jego użycie, kopiowanie, dystrybucję i dekompilację/odtwarzanie kodu
źródłowego. Żadna część tego dokumentu nie może być powielana w jakiejkolwiek formie i
w jakikolwiek sposób bez uprzedniej pisemnej zgody Symantec Corporation i jego
licencjodawców, jeśli tacy istnieją.
NINIEJSZA DOKUMENTACJA JEST DOSTARCZANA W TAKIM STANIE, W JAKIM SIĘ
ZNAJDUJE W CHWILI UDOSTĘPNIENIA. WYŁĄCZA SIĘ WSZELKIE GWARANCJE WYRAŹNE
LUB DOROZUMIANE, OŚWIADCZENIA I ZAPEWNIENIA, W TYM DOROZUMIANE
GWARANCJE DOTYCZĄCE PRZYDATNOŚCI HANDLOWEJ I UŻYTECZNOŚCI DO
OKREŚLONEGO CELU, Z WYJĄTKIEM ZAKRESU, W KTÓRYM TAKIE WYŁĄCZENIA SĄ
UZNAWANE ZA PRAWNIE NIEWAŻNE. W ŻADNYM WYPADKU FIRMA SYMANTEC
CORPORATION NIE PONOSI ODPOWIEDZIALNOŚCI ZA JAKIEKOLWIEK SZKODY UBOCZNE
LUB WTÓRNE ZWIĄZANE Z DOSTARCZENIEM LUB WYKORZYSTANIEM NINIEJSZEJ
DOKUMENTACJI. INFORMACJE ZAWARTE W NINIEJSZEJ DOKUMENTACJI MOGĄ ZOSTAĆ
ZMIENIONE BEZ UPRZEDZENIA.
Licencjonowane oprogramowanie i dokumentacja są uznawane za komercyjne
oprogramowanie komputerowe zgodnie z przepisami FAR 12.212 i podlegają prawom
ograniczonym, zgodnie z FAR, sekcja 52.227-19 „Commercial Computer Software – Restricted
Rights” i DFARS 227.7202 „Rights in Commercial Computer Software or Commercial
Computer Software Documentation”, oraz wszelkim późniejszym przepisom. Jakiekolwiek
wykorzystywanie, modyfikowanie, dystrybuowanie kopii, prezentowanie, wyświetlanie lub
ujawnianie oprogramowania i dokumentacji objętych licencją przez rząd USA musi się
odbywać zgodnie z postanowieniami niniejszej umowy.
Symantec Corporation
350 Ellis Street
Mountain View, CA 94043
http://www.symantec.pl
Pomoc techniczna
Pomoc techniczna firmy Symantec prowadzi centra obsługi na całym świecie.
Podstawowym zadaniem pomocy technicznej jest odpowiadanie na określone
pytania dotyczące funkcji produktu oraz jego działania. Grupa pomocy technicznej
opracowuje również zawartość naszej internetowej bazy informacyjnej. Grupa
pomocy technicznej współpracuje z innymi działami firmy Symantec, aby w
możliwie krótkim czasie odpowiadać na pytania użytkowników. Grupa pomocy
technicznej współpracuje na przykład z projektantami produktów oraz z centrum
Symantec Security Response, aby udostępniać obsługę alertów i aktualizacje
definicji wirusów.
Oferta firmy Symantec w zakresie pomocy technicznej obejmuje:
■
Zróżnicowany zakres opcji pomocy technicznej umożliwiających dobranie
poziomu usług do rozmiaru organizacji.
■
Telefoniczną i internetową pomoc techniczną zapewniającą szybką reakcję i
dostęp do najnowszych informacji.
■
Ubezpieczenie aktualizacyjne, zapewniające uaktualnienia oprogramowania.
■
Płatną globalną pomoc techniczną dostępną w godzinach pracy w regionie lub
24 godziny na dobę, 7 dni w tygodniu.
■
Oferty usług typu Premium obejmujące usługi zarządzania kontami.
Informacje na temat oferowanej przez firmę Symantec pomocy technicznej można
znaleźć w naszej witrynie internetowej pod następującym adresem URL:
www.symantec.com/pl/pl/business/support/
Wszystkie usługi pomocy technicznej będą świadczone zgodnie z odpowiednią
umową o pomocy technicznej i aktualnymi zasadami pomocy technicznej dla
przedsiębiorstw.
Kontakt z pomocą techniczną
Klienci posiadający aktualną umowę pomocy technicznej mogą uzyskać dostęp
do informacji pomocy technicznej pod następującym adresem URL:
Przed skontaktowaniem się z pomocą techniczną należy się upewnić, że spełnione
są wymagania systemowe podane w dokumentacji produktu. Ponadto komputer,
na którym wystąpił problem powinien być włączony, aby w razie potrzeby można
było odtworzyć problem.
Kontaktując się z pomocą techniczną, należy mieć przygotowane następujące
informacje:
■
numer wersji produktu,
■
informacje o sprzęcie,
■
ilość dostępnej pamięci i miejsca na dysku oraz informacje o karcie sieciowej,
■
system operacyjny,
■
numer wersji i poprawki do programu,
■
topologia sieci,
■
informacje o routerze, bramie i adresie IP.
■
Opis problemu:
■
komunikaty o błędach i pliki dziennika,
■
próby rozwiązania problemu podjęte przed skontaktowaniem się z firmą
Symantec,
■
ostatnie zmiany w konfiguracji oprogramowania i sieci.
Licencja i rejestracja
Jeśli produkt firmy Symantec wymaga rejestracji lub klucza licencji, należy
odwiedzić stronę internetową pomocy technicznej pod następującym adresem
URL:
Centrum obsługi klientów
Informacje na temat centrum obsługi klientów są dostępne pod następującym
adresem URL:
Centrum obsługi klientów służy pomocą w następujących kwestiach
nietechnicznych, takich jak:
■
pytania dotyczące licencji lub numerów seryjnych produktów,
■
aktualizacje rejestracji produktów, takie jak zmiana adresu lub nazwy,
■
ogólne informacje o produkcie (funkcje, dostępne wersje językowe, miejscowi
dostawcy),
■
najnowsze informacje o aktualizacjach i uaktualnieniach produktów,
■
informacje dotyczące umów o zabezpieczeniu aktualizacji i pomocy technicznej,
■
informacje o programach Symantec Buying Programs,
■
porady dotyczące opcji pomocy technicznej firmy Symantec,
■
pytania inne niż techniczne, dotyczące sprzedaży produktów,
■
kwestie związane z dyskami CD-ROM, dyskami DVD lub podręcznikami.
Informacje na temat umowy dotyczącej pomocy technicznej
W celu uzyskania informacji o istniejącej umowie dotyczącej pomocy technicznej
należy kontaktować się z firmą Symantec przy użyciu następujących adresów
regionalnych zespołów administrujących tą umową:
Azja Pacyficzna i Japonia
[email protected]
Europa, Bliski Wschód i Afryka
[email protected]
Ameryka Północna i Ameryka Łacińska [email protected]
Dodatkowe usługi dla przedsiębiorstw
Firma Symantec oferuje pełen zestaw usług umożliwiających zmaksymalizowanie
korzyści z inwestycji w produkty firmy Symantec oraz poszerzanie wiedzy,
umiejętności i ogólnego zrozumienia odpowiednich zagadnień w celu aktywnego
zarządzania zabezpieczeniami firmy przed zagrożeniami.
Dostępne usługi dla przedsiębiorstw obejmują:
Usługi Managed Services
Usługi Managed Services eliminują konieczność zarządzania urządzeniami
zabezpieczającymi i zdarzeniami dotyczącymi zabezpieczeń oraz ich
monitorowania, zapewniając szybką odpowiedź na rzeczywiste zagrożenia.
Usługi doradcze
Usługi doradcze firmy Symantec obejmują analizy techniczne firmy Symantec
i jej zaufanych partnerów na miejscu u klienta. W ramach usług doradczych
firmy Symantec oferowane są różne skonfigurowane fabrycznie i
niestandardowe opcje umożliwiające ocenianie, projektowanie, wdrażanie,
monitorowanie i zarządzanie, pozwalające na uzyskanie i utrzymywanie
integralności i dostępności zasobów informatycznych przedsiębiorstwa.
Usługi szkoleniowe
Usługi szkoleniowe to pełen zestaw szkoleń technicznych i dotyczących
bezpieczeństwa, certyfikowanie w dziedzinie zabezpieczeń i programy
komunikacyjne budujące świadomość zagrożeń.
Więcej informacji na temat usług dla przedsiębiorstw można uzyskać w naszej
witrynie internetowej pod następującym adresem URL:
www.symantec.com/business/services/
Z indeksu w witrynie należy wybrać kraj lub język.
Spis treści
Pomoc techniczna ............................................................................................... 4
Rozdział 1
Rozpoczęcie pracy z klientem ........................................... 11
Klient Symantec Endpoint Protection — informacje ............................
Klient Symantec Network Access Control — informacje .......................
Rozpoczęcie pracy na stronie Stan ..................................................
Ikony alertów na stronie Stan — informacje ......................................
Natychmiastowe skanowanie komputera ..........................................
Wstrzymywanie i odraczanie skanowań .....................................
Dodatkowe źródła informacji ..........................................................
Rozdział 2
Reagowanie na alerty i powiadomienia .......................... 21
Typy alertów i powiadomień ..........................................................
Wyniki skanowania — informacje ....................................................
Reagowanie na wykrycie wirusa lub zagrożenia .................................
Usuwanie wirusa lub zagrożenia z zainfekowanego pliku —
informacje ......................................................................
Reagowanie na komunikaty funkcji Download Insight z monitem o
zezwolenie lub zablokowanie pliku, który próbuje pobrać
użytkownik ...........................................................................
Reagowanie na komunikaty z monitem o zezwolenie na aplikację lub
jej zablokowanie ....................................................................
Komunikaty o wygaśnięciu ważności licencji — informacje ...................
Reagowanie na komunikaty dotyczące aktualizowania
oprogramowania klienckiego ....................................................
Rozdział 3
11
13
13
16
16
18
19
21
23
24
26
28
29
30
31
Zapewnianie ochrony komputerowi ................................ 33
Zarządzanie systemem ochrony komputera ......................................
Aktualizowanie systemu ochrony komputera ....................................
Natychmiastowa aktualizacja składników oprogramowania ...........
Aktualizacja składników oprogramowania według
harmonogramu ................................................................
Sposób określania, czy klient jest połączony i chroniony .....................
Ukrywanie i wyświetlanie ikony obszaru powiadomień .................
34
36
37
37
38
40
8
Spis treści
Klienci zarządzani i klienci niezarządzani — informacje ......................
Sprawdzanie, czy klient jest zarządzany, czy niezarządzany ................
Włączanie i wyłączanie systemu ochrony — informacje .......................
Włączanie lub wyłączanie ochrony na komputerze klienckim ...............
Włączanie lub wyłączanie funkcji Automatyczna ochrona ...................
Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed
naruszeniem integralności .......................................................
Dzienniki — informacje .................................................................
Wyświetlanie dzienników ..............................................................
Włączanie dziennika pakietów ..................................................
Śledzenie wsteczne zarejestrowanych zdarzeń do ich źródła ................
Eksportowanie danych dziennika ....................................................
Rozdział 4
40
42
43
45
46
48
49
51
52
52
53
Zarządzanie skanowaniami ............................................... 57
Zarządzanie skanowaniami na komputerze .......................................
Sposób działania skanowań w poszukiwaniu wirusów i programów
typu spyware .........................................................................
Typy skanowań — informacje ...................................................
Typy funkcji Automatyczna ochrona — informacje .......................
Wirusy i zagrożenia bezpieczeństwa — informacje .......................
Sposób reakcji skanowań na wykrycie wirusa lub
zagrożenia ......................................................................
Sposób stosowania danych o reputacji w celu podejmowania
decyzji dotyczących plików przez program Symantec
Endpoint Protection .........................................................
Planowanie skanowania zdefiniowanego przez użytkownika ................
Planowanie uruchamiania skanowania na żądanie lub przy
uruchomieniu komputera ........................................................
Zarządzanie wykryciami funkcji Download Insight na
komputerze ..........................................................................
Dostosowanie ustawień funkcji Download Insight ..............................
Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i
programów typu spyware ........................................................
Konfigurowanie działań podejmowanych w przypadku wykryć
destrukcyjnego oprogramowania i zagrożeń
bezpieczeństwa .....................................................................
Wykluczanie elementów ze skanowań — informacje ...........................
Wykluczanie elementów ze skanowań ..............................................
Zarządzanie plikami poddanymi kwarantannie na komputerze
klienckim .............................................................................
Poddawanie plików kwarantannie — informacje ...........................
58
64
66
68
71
73
74
75
79
80
83
84
86
90
91
93
95
Spis treści
Przenoszenie pliku do obszaru kwarantanny za pomocą dziennika
zagrożeń lub dziennika skanowania ..................................... 96
Ręczne przesyłanie potencjalnie zainfekowanych plików do
centrum Symantec Security Response w celu poddania ich
analizie .......................................................................... 96
Automatyczne usuwanie plików z obszaru kwarantanny ............... 97
Przesyłanie informacji o wykryciach do centrum Symantec Security
Response — informacje ............................................................ 98
Przesyłanie informacji o wykryciach do centrum Symantec Security
Response .............................................................................. 99
Klient i Centrum zabezpieczeń systemu Windows — informacje .......... 101
Zarządzanie funkcją SONAR na komputerze klienckim ...................... 102
Funkcja SONAR — informacje ................................................. 104
Pliki i aplikacje wykrywane przez funkcję SONAR —
informacje .................................................................... 104
Zmiana ustawień funkcji SONAR ............................................. 105
Rozdział 5
Zarządzanie zaporą i zapobieganiem
włamaniom ...................................................................
Ochrona przed zagrożeniami sieciowymi — informacje ......................
Zarządzanie zaporą .....................................................................
Sposób działania zapory ........................................................
Konfigurowanie ustawień zapory ..................................................
Włączanie ustawień dotyczących ruchu i trybu ukrywania
przeglądania Internetu ....................................................
Automatyczne zezwalanie na komunikację niezbędnych usług
sieciowych ....................................................................
Włączanie udostępniania plików i drukarek ...............................
Blokowanie i odblokowywanie atakującego komputera ................
Blokowanie ruchu .................................................................
Zezwalanie na aplikacje lub ich blokowanie — informacje ...................
Zezwalanie na dostęp lub blokowanie dostępu do sieci
aplikacjom ....................................................................
Konfigurowanie ustawień specyficznych dla aplikacji .................
Usuwanie ograniczeń dotyczących aplikacji ..............................
Wyświetlanie operacji sieciowych ..................................................
Reguły zapory klienckiej — informacje ............................................
Kolejność przetwarzania reguł zapory, ustawień zapory i ustawień
systemu zapobiegania włamaniom — informacje ........................
Zmiana kolejności reguł zapory .....................................................
Jak zapora stosuje stanową analizę pakietów ...................................
Elementy reguły zapory ...............................................................
107
108
108
110
111
113
120
120
122
123
125
126
127
129
129
131
131
133
133
134
9
10
Spis treści
Konfigurowanie reguł zapory ........................................................
Dodawanie reguły zapory .......................................................
Eksportowanie i importowanie reguł zapory ..............................
Włączanie i wyłączanie reguł zapory ........................................
Zarządzanie systemem zapobiegania włamaniom .............................
Sposób działania funkcji Zapobieganie włamaniom ...........................
Włączanie lub wyłączanie funkcji zapobiegania włamaniom ...............
Konfigurowanie powiadomień funkcji zapobiegania włamaniom .........
Rozdział 6
137
138
139
140
140
141
142
143
Zarządzanie programem Symantec Network Access
Control ........................................................................... 145
Sposób działania programu Symantec Network Access Control ...........
Sposób współpracy klienta z modułem Enforcer ...............................
Przeprowadzanie sprawdzania integralności hosta ...........................
Przywracanie zgodności komputera ...............................................
Konfigurowanie klienta w celu używania uwierzytelniania
802.1x ................................................................................
Ponowne uwierzytelnianie komputera ......................................
Wyświetlanie dzienników programu Symantec Network Access
Control ...............................................................................
145
147
148
148
149
152
153
Indeks ................................................................................................................. 155
Rozdział
1
Rozpoczęcie pracy z
klientem
Ten rozdział obejmuje następujące zagadnienia:
■
Klient Symantec Endpoint Protection — informacje
■
Klient Symantec Network Access Control — informacje
■
Rozpoczęcie pracy na stronie Stan
■
Ikony alertów na stronie Stan — informacje
■
Natychmiastowe skanowanie komputera
■
Dodatkowe źródła informacji
Klient Symantec Endpoint Protection łączy kilka warstw ochrony, aby aktywnie
chronić komputer przed znanymi i nieznanymi zagrożeniami oraz atakami
sieciowymi.
Tabela 1-1 przedstawia poszczególne warstwy ochrony.
12
Rozpoczęcie pracy z klientem
Tabela 1-1
Typy ochrony
Warstwa
Opis
Ochrona przed wirusami i
programami typu spyware
Ta warstwa zwalcza przeróżne zagrożenia, w tym
programy typu spyware, robaki, konie trojańskie,
narzędzia typu rootkit i programy typu adware. Funkcja
Automatyczna ochrona systemu plików stale sprawdza
wszystkie pliki na komputerze w poszukiwaniu wirusów
i zagrożeń bezpieczeństwa. Funkcja Automatyczna
ochrona poczty internetowej skanuje przychodzące i
wychodzące wiadomości e-mail, przesyłane za pomocą
protokołów komunikacyjnych POP3 i SMTP poprzez
protokół SSL. Funkcja Automatyczna ochrona poczty
Microsoft Outlook skanuje przychodzące i wychodzące
wiadomości e-mail w programie Microsoft Outlook.
Patrz „Zarządzanie skanowaniami na komputerze”
na stronie 58
Zapobieganie zagrożeniom
Technologia zapobiegania zagrożeniom obejmuje funkcję
SONAR, która oferuje ochronę w czasie rzeczywistym
przeciw nowym atakom. Funkcja SONAR może
powstrzymać ataki, zanim tradycyjne metody oparte na
definicjach i sygnaturach umożliwią wykrywanie
zagrożenia. Funkcja SONAR stosuje również analizę
heurystyczną oraz dane o reputacji w celu podejmowania
decyzji dotyczących plików.
Patrz „Zarządzanie funkcją SONAR na komputerze
klienckim” na stronie 102
Ochrona przed zagrożeniami
sieciowymi
Ta warstwa składa się z zapory i systemu zapobiegania
włamaniom. Oparta na regułach zapora blokuje dostęp do
komputera nieupoważnionym użytkownikom. System
zapobiegania włamaniom automatycznie wykrywa i
blokuje ataki sieciowe.
Patrz „Zarządzanie zaporą” na stronie 108
Administrator zarządza typami ochrony, które serwer zarządzania powinien
przekazywać do komputerów klienckich. Klient automatycznie pobiera definicje
wirusów, definicje systemu zapobiegania włamaniom i aktualizacje produktów
na komputer. Użytkownicy komputerów przenośnych mogą w podróży pobierać
definicje wirusów i aktualizacje produktów bezpośrednio z serwera LiveUpdate.
Patrz „Aktualizowanie systemu ochrony komputera” na stronie 36
Klient Symantec Network Access Control — informacje
Klient Symantec Network Access Control —
informacje
Klient Symantec Network Access Control sprawdza, czy komputer jest odpowiednio
chroniony i zgodny z zasadą zabezpieczeń, zanim zezwoli mu na połączenie z
siecią firmową.
Program kliencki zapewnia zgodność komputera z zasadą zabezpieczeń
skonfigurowaną przez administratora. Zasada zabezpieczeń powoduje sprawdzenie,
czy na komputerze zainstalowane jest najnowsze oprogramowanie zabezpieczające,
na przykład ochrona przed wirusami i zapora. Jeśli na komputerze nie jest
zainstalowane wymagane oprogramowanie, oprogramowanie musi zostać
zaktualizowane ręcznie przez użytkownika albo automatycznie przez klienta.
Dopóki oprogramowanie zabezpieczające nie jest aktualne, dostęp komputera do
sieci może być blokowany. Klient co pewien czas przeprowadza testy w celu
sprawdzenia, czy komputer jest nadal zgodny z zasadą zabezpieczeń.
Patrz „Sposób działania programu Symantec Network Access Control”
na stronie 145
Po otwarciu klienta wyświetlane jest okno główne i strona Stan.
Tabela 1-2 przedstawia główne zadania, które można wykonać za pomocą paska
menu klienta i opcji Pomoc.
13
14
Okno główne klienta
Tabela 1-2
Kliknij tę opcję Aby wykonać te zadania
Pomoc
Otwiera główną Pomoc online i umożliwia wykonanie następujących zadań
na kliencie:
■
■
■
■
■
Stan
Wyświetlenie informacji o komputerze, kliencie i systemie ochrony
klienta.
Wyświetlenie informacji o stanie połączenia klienta z serwerem
zarządzania. W razie potrzeby można również spróbować nawiązać
połączenie z serwerem.
Zaimportowanie i wyeksportowanie zasad zabezpieczeń i ustawień
komunikacji na kliencie niezarządzanym.
Wyświetlenie i wyeksportowanie dzienników debugowania oraz pliku
rozwiązywania problemów w celu ułatwienia administratorowi
zdiagnozowania problemu z klientem lub systemem ochrony klienta.
Pobranie narzędzia pomocy technicznej w celu zdiagnozowania
typowych problemów z klientem.
Przedstawia stan ochrony komputera i licencji klienta. Kolory i ikony
alertów na stronie Stan wskazują, które technologie są włączone i chronią
klienta.
Patrz „Ikony alertów na stronie Stan — informacje” na stronie 16
Możliwe jest:
Włączenie lub wyłączenie jednej lub wielu technologii ochrony.
Patrz „Włączanie i wyłączanie systemu ochrony — informacje”
na stronie 43
■ Sprawdzenie, czy na komputerze znajdują się najnowsze pliki definicji
funkcji Ochrona przed wirusami i programami typu spyware,
Zapobieganie zagrożeniom oraz Ochrona przed zagrożeniami
sieciowymi.
■ Uruchomienie skanowania aktywnego.
Patrz „Natychmiastowe skanowanie komputera” na stronie 16
■ Wyświetlenie listy zagrożeń i sprawdzenie wyników ostatniego
skanowania w poszukiwaniu wirusów i programów typu spyware.
■
Skanuj w
Umożliwia otwarcie i wykonanie następujących zadań:
poszukiwaniu
■ Natychmiastowe uruchomienie skanowania aktywnego lub pełnego.
zagrożeń
■ Utworzenie skanowania zaplanowanego, przy uruchomieniu lub na
żądanie.
Patrz „Planowanie skanowania zdefiniowanego przez użytkownika”
na stronie 75
Patrz „Planowanie uruchamiania skanowania na żądanie lub przy
uruchomieniu komputera” na stronie 79
Zmień
ustawienia
Umożliwia skonfigurowanie ustawień następujących technologii ochrony
i funkcji:
■
■
■
■
■
■
Włączenie i skonfigurowanie ustawień funkcji Automatyczna ochrona.
Patrz „Dostosowywanie ustawień skanowań w poszukiwaniu wirusów
i programów typu spyware” na stronie 84
Skonfigurowanie ustawień zapory i ustawień systemu zapobiegania
włamaniom.
Wyświetlenie i dodanie wyjątków do skanowań.
Patrz „Wykluczanie elementów ze skanowań” na stronie 91
Wyświetlenie ikony w obszarze powiadomień.
Patrz „Sposób określania, czy klient jest połączony i chroniony”
na stronie 38
Skonfigurowanie ustawień funkcji Ochrona przed naruszeniem
integralności.
Patrz „Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed
naruszeniem integralności” na stronie 48
Utworzenie harmonogramu pobierania składników oprogramowania
i aktualizacji produktu na klienta.
Patrz „Aktualizacja składników oprogramowania według
harmonogramu” na stronie 37
Patrz „Zarządzanie systemem ochrony komputera” na stronie 34
Wyświetl
Umożliwia sprawdzenie wirusów i zagrożeń bezpieczeństwa wykrytych i
kwarantannę poddanych kwarantannie przez klienta. W kwarantannie można
przywrócić, usunąć, wyczyścić, wyeksportować i dodać pliki.
Patrz „Poddawanie plików kwarantannie — informacje” na stronie 95
Wyświetl
dzienniki
Umożliwia wyświetlenie dowolnego dziennika klienta.
Patrz „Wyświetlanie dzienników” na stronie 51
15
16
LiveUpdate
Umożliwia natychmiastowe uruchomienie usługi LiveUpdate. Usługa
LiveUpdate pobiera najnowsze definicje składników oprogramowania i
aktualizacje produktu z serwera zarządzania znajdującego się w sieci
firmy.
Patrz „Natychmiastowa aktualizacja składników oprogramowania”
na stronie 37
U góry strony Stan wyświetlane są różne ikony alertów, wskazujące stan ochrony
komputera.
Tabela 1-3
Ikona
Ikony alertów na stronie Stan
Opis
Wskazuje, że wszystkie funkcje ochrony są włączone.
Ostrzega, że definicje na komputerze klienckim są nieaktualne W celu otrzymania
najnowszych definicji wirusów można natychmiast uruchomić usługę LiveUpdate.
Na komputerze klienckim mogą również wystąpić następujące problemy:
Komputer kliencki nie przeszedł pomyślnie sprawdzania zgodności z
wymogami integralności hosta. Informacje o niespełnionych wymaganiach
zawiera dziennik zabezpieczeń funkcji Zarządzanie klientami.
■ Moduł sprawdzania integralności hosta nie jest podłączony.
■
Pokazuje, że co najmniej jedna funkcja ochrony jest wyłączona lub licencja na
kliencie utraciła ważność. Aby włączyć ochronę, należy kliknąć przycisk Napraw
lub Napraw wszystko.
Patrz „Włączanie i wyłączanie systemu ochrony — informacje” na stronie 43
Ręczne skanowanie pliku w poszukiwaniu wirusów i zagrożeń bezpieczeństwa
można rozpocząć w dowolnej chwili. Komputer należy przeskanować natychmiast
po zainstalowaniu klienta lub otrzymaniu wirusa.
Do skanowania można wybrać dowolny obiekt, począwszy od jednego pliku,
poprzez dyskietkę, a na całym komputerze kończąc. Skanowanie na żądanie
obejmuje skanowanie aktywne i skanowanie pełne. Można również utworzyć
skanowanie niestandardowe uruchamiane na żądanie.
Patrz „Planowanie uruchamiania skanowania na żądanie lub przy uruchomieniu
komputera” na stronie 79
Więcej informacji na temat opcji dostępnych w poszczególnych oknach
dialogowych można uzyskać, klikając pozycję Pomoc.
Aby natychmiast przeprowadzić skanowanie komputera:
◆
Wykonaj jedno z następujących działań:
■
W kliencie, na stronie Stan, obok pozycji Ochrona przed wirusami i
programami typu spyware kliknij pozycję Opcje > Uruchom skanowanie
aktywne.
■
W programie klienckim kliknij pozycję Skanuj w poszukiwaniu zagrożeń
na pasku bocznym.
■
Kliknij pozycję Uruchom skanowanie aktywne.
■
Kliknij pozycję Uruchom skanowanie pełne.
■
Na liście typów skanowania kliknij prawym przyciskiem myszy dowolne
skanowanie, a następnie kliknij polecenie Skanuj teraz.
Skanowanie zostanie uruchomione.
Można wyświetlać postęp skanowania, o ile administrator nie wyłączył
tej opcji. Aby wyświetlić postęp skanowania, kliknij łącze w
komunikacie wyświetlanym dla bieżącego skanowania: skanowanie
w toku.
Patrz „Wyniki skanowania — informacje” na stronie 23
Można także wstrzymać lub anulować skanowanie.
Patrz „Wstrzymywanie i odraczanie skanowań” na stronie 18
17
18
Aby przeprowadzić skanowanie komputera za pomocą systemu Windows:
◆
W oknie Mój Komputer lub Eksplorator Windows kliknij prawym przyciskiem
myszy plik, folder lub dysk, a następnie kliknij polecenie Skanuj w
poszukiwaniu wirusów.
Funkcja ta jest obsługiwana zarówno w 32-bitowych, jak i 64-bitowych
systemach operacyjnych.
Uwaga: Funkcja Wyszukiwanie Insight nie skanuje folderu ani dysku, gdy
przeprowadzany jest ten typ skanowania. Funkcja Wyszukiwanie Insight jest
uruchamiana, jeśli do skanowania wybrano plik lub grupę plików.
Wstrzymywanie i odraczanie skanowań
Funkcja wstrzymania umożliwia zatrzymanie skanowania w dowolnej chwili i
wznowienie go w późniejszym czasie. Można wstrzymywać wszystkie skanowania
zainicjowane przez użytkownika.
Administrator określa, czy użytkownik może wstrzymywać skanowania inicjowane
przez administratora. Jeśli opcja Wstrzymaj skanowanie jest niedostępna, to
znaczy, że administrator wyłączył funkcję wstrzymywania. Jeśli administrator
włączył funkcję odraczania, użytkownik może na określony czas odraczać
wykonanie skanowań zaplanowanych przez administratora.
Wznowione skanowanie rozpoczyna się od miejsca, w którym zostało przerwane.
Uwaga: W przypadku wstrzymania skanowania w chwili, gdy klient skanuje plik
skompresowany, klient może zareagować na żądanie wstrzymania dopiero po
kilku minutach.
Patrz „Zarządzanie skanowaniami na komputerze” na stronie 58
Aby wstrzymać skanowanie zainicjowane przez użytkownika:
1
W trakcie skanowania, w oknie dialogowym skanowania kliknij pozycję
Wstrzymaj skanowanie.
Skanowanie zostanie wstrzymane, a okno dialogowe pozostanie otwarte do
chwili wznowienia skanowania.
2
W oknie dialogowym skanowania kliknij pozycję Wznów skanowanie, aby
kontynuować skanowanie.
Aby wstrzymać lub odroczyć skanowanie inicjowane przez administratora:
1
Podczas skanowania inicjowanego przez administratora, w oknie dialogowym
skanowania kliknij przycisk Wstrzymaj skanowanie.
2
W oknie dialogowym Wstrzymanie skanowania zaplanowanego wykonaj
dowolną z poniższych czynności:
■
Aby tymczasowo wstrzymać skanowanie, kliknij pozycję Wstrzymaj.
■
Aby odroczyć skanowanie, kliknij przycisk Odłóż na 1 godzinę lub Odłóż
na 3 godziny.
Czas, na jaki można odraczać skanowanie, określa administrator.
Skanowanie wznowione po upływie czasu wstrzymania rozpoczyna się
od początku. Administrator określa również dopuszczalną liczbę odroczeń,
po której osiągnięciu funkcja jest wyłączana.
■
Aby kontynuować skanowanie bez wstrzymywania, kliknij przycisk
Kontynuuj.
Produkt zawiera kilka źródeł informacji:
Tabela 1-4 przedstawia witryny internetowe, w których można uzyskać dodatkowe
informacje ułatwiające używanie produktu.
Tabela 1-4
Witryny internetowe firmy Symantec
Typy informacji
Adres internetowy
Oprogramowanie Symantec Endpoint
Protection
http://www.symantec.com/business/products/downloads/
Ogólnodostępna baza wiedzy
Symantec Endpoint Protection:
http://www.symantec.com/business/support/overview.jsp?pid=54619
Wersje i aktualizacje
Aktualizacje podręczników i
dokumentacji
Symantec Network Access Control:
http://www.symantec.com/business/support/overview.jsp?pid=52788
Opcje kontaktu
Wirusy i inne zagrożenia — informacje http://www.symantec.com/pl/pl/security_response/
i aktualizacje
Wiadomości i aktualizacje dotyczące
produktów
http://www.symantec.com/pl/pl/business/
Bezpłatne szkolenie techniczne online http://go.symantec.com/education_septc
19
20
Typy informacji
Adres internetowy
Usługi edukacyjne firmy Symantec
http://go.symantec.com/education_sep
Fora Symantec Connect:
Symantec Endpoint Protection:
http://www.symantec.com/connect/security/forums/
endpoint-protection-antivirus
Symantec Network Access Control:
http://www.symantec.com/connect/security/forums/
network-access-control
Rozdział
2
Reagowanie na alerty i
powiadomienia
■
Typy alertów i powiadomień
■
Wyniki skanowania — informacje
■
Reagowanie na wykrycie wirusa lub zagrożenia
■
Reagowanie na komunikaty funkcji Download Insight z monitem o zezwolenie
lub zablokowanie pliku, który próbuje pobrać użytkownik
■
Reagowanie na komunikaty z monitem o zezwolenie na aplikację lub jej
zablokowanie
■
Komunikaty o wygaśnięciu ważności licencji — informacje
■
Reagowanie na komunikaty dotyczące aktualizowania oprogramowania
klienckiego
Program kliencki działa w tle, chroniąc komputer przed destrukcyjnymi
działaniami. Czasami klient musi powiadomić użytkownika o takim działaniu lub
wyświetlić monit o podjęcie decyzji.
Tabela 2-1 przedstawia typy komunikatów, które mogą wymagać reakcji
użytkownika.
22
Reagowanie na alerty i powiadomienia
Tabela 2-1
Alert
Opis
<nazwa skanowania>
uruchomiono lub okno
dialogowe Wyniki
wykrywania programu
Symantec Endpoint
Protection
Jeśli skanowanie wykryje wirusa lub zagrożenie bezpieczeństwa,
pojawi się okno dialogowe Wyniki wykrywania lub Wyniki
wykrywania programu Symantec Endpoint Protection,
zawierające szczegółowe informacje na temat infekcji. W oknie
tym wyświetlane jest również działanie podejmowane przez
skanowanie wobec zagrożenia. Zazwyczaj nie ma potrzeby
podejmowania żadnych dalszych działań innych niż sprawdzenie
informacji i zamknięcie okna dialogowego. W razie potrzeby
można jednak podjąć działanie.
Patrz „Wyniki skanowania — informacje” na stronie 23<nazwa
skanowania> uruchomiono lub Wyniki wykrywania programu
Symantec Endpoint Protection
Inne okna dialogowe
komunikatów
Komunikaty wyskakujące mogą zostać wyświetlone w
następujących sytuacjach:
Klient automatycznie zaktualizował oprogramowanie
klienckie.
Patrz „Reagowanie na komunikaty dotyczące aktualizowania
oprogramowania klienckiego” na stronie 31
■ Klient wyświetla pytanie, czy użytkownik chce zezwolić na
aplikację, czy też ją zablokować.
Patrz „Reagowanie na komunikaty z monitem o zezwolenie
na aplikację lub jej zablokowanie” na stronie 29
■ Wygasła ważność licencji na wersję próbną.
Patrz „Komunikaty o wygaśnięciu ważności licencji —
informacje” na stronie 30
■
Alert
Opis
Komunikaty ikony
obszaru powiadomień
Powiadomienia są wyświetlane nad ikoną w obszarze
powiadomień w następujących sytuacjach:
■
Klient zablokował aplikację.
Może zostać wyświetlone na przykład następujące
powiadomienie:
Zablokowano ruch z następującej aplikacji:
(nazwa aplikacji)
Jeżeli klienta skonfigurowano do blokowania całego ruchu,
powiadomienia będą często wyświetlane. Jeżeli klienta
skonfigurowano do przepuszczania całego ruchu, te
powiadomienia nie będą wyświetlane.
■ Klient wykrywa atak sieciowy na komputer.
Może zostać wyświetlony następujący typ powiadomienia:
Ruch z adresu IP 192.168.0.3 jest blokowany
od 2/14/2010 15:37:58 do 2/14/2010 15:47:58.
Rejestrowany jest atak przy użyciu skanowania
portów.
■
Sprawdzenie zgodności zabezpieczeń zakończyło się
niepowodzeniem. Na komputerze może być blokowany ruch
przychodzący i wychodzący
Użytkownik nie musi robić niczego oprócz czytania
komunikatów.
na stronie 38
W przypadku klientów zarządzanych administrator zazwyczaj konfiguruje pełne
skanowanie przeprowadzane co najmniej raz w tygodniu. W przypadku klientów
niezarządzanych podczas uruchamiania komputera odbywa się automatycznie
generowane skanowanie aktywne. Funkcja Automatyczna ochrona domyślnie
działa na komputerze przez cały czas.
W trakcie skanowania wyświetlane jest okno dialogowe z postępem skanowania,
a następnie wynikami skanowania. Po ukończeniu skanowania jego wyniki są
wyświetlane na liście. Jeśli klient nie wykryje żadnych wirusów ani zagrożeń
bezpieczeństwa, lista jest pusta, a skanowanie ma stan Zakończone.
23
24
Jeśli klient wykryje zagrożenia podczas skanowania, w oknie dialogowym wyników
skanowania wyświetlone zostaną wyniki i następujące informacje:
■
Nazwy wirusów lub zagrożeń bezpieczeństwa
■
Nazwy zainfekowanych plików
■
Działania podjęte przez klienta wobec zagrożeń
Jeśli klient wykryje wirusa lub zagrożenie bezpieczeństwa, konieczne może być
podjęcie przez użytkownika działania wobec zainfekowanego pliku.
Uwaga: W przypadku klientów zarządzanych administrator może wybrać ukrycie
okna dialogowego wyników skanowania. Jeśli klient jest niezarządzany, użytkownik
może wyświetlać lub ukrywać to okno dialogowe.
Jeśli użytkownik lub administrator skonfigurował w oprogramowaniu klienckim
wyświetlanie okna dialogowego informującego o wynikach skanowania, to możliwe
jest wstrzymywanie, ponowne uruchamianie i zatrzymywanie skanowania.
Patrz „Klienci zarządzani i klienci niezarządzani — informacje” na stronie 40
Patrz „Reagowanie na wykrycie wirusa lub zagrożenia” na stronie 24
Po uruchomieniu skanowania zdefiniowanego przez administratora lub
użytkownika albo uruchomieniu funkcji Automatyczna ochrona wyświetlone
może zostać okno dialogowe z wynikami skanowania. Za pomocą okna dialogowego
z wynikami skanowania można natychmiast podjąć działanie wobec
zainfekowanego pliku.
Można na przykład usunąć oczyszczony plik, ponieważ użytkownik woli zastąpić
go plikiem oryginalnym.
Można również podjąć działania wobec pliku później, za pomocą dziennika
kwarantanny, zagrożeń lub skanowania.
Patrz „Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim”
na stronie 93
Aby zareagować na wykrycie wirusa lub zagrożenia z okna dialogowego wyników
skanowania:
1
W oknie dialogowym wyników skanowania zaznacz żądane pliki.
2
Kliknij wybrane pliki prawym przyciskiem myszy, a następnie wybierz jedną
z poniższych opcji:
Wyczyść
Powoduje usunięcie wirusa z pliku. Ta opcja
jest dostępna tylko w przypadku wirusów.
Wyklucz
Powoduje wykluczenie pliku z ponownego
skanowania.
Usuń trwale
Powoduje usunięcie zainfekowanego pliku i
wszystkich skutków ubocznych. W przypadku
zagrożeń bezpieczeństwa należy stosować to
działanie z dużą ostrożnością. W niektórych
przypadkach usunięcie zagrożeń
bezpieczeństwa może uniemożliwić
korzystanie z aplikacji.
Cofnij podjęte działanie
Powoduje cofnięcie podjętego działania.
Przenieś do obszaru kwarantanny
Powoduje umieszczenie zainfekowanego pliku
w obszarze kwarantanny. W przypadku
zagrożeń bezpieczeństwa klient próbuje także
usunąć lub naprawić skutki uboczne. W
niektórych przypadkach poddanie zagrożenia
bezpieczeństwa kwarantannie może
uniemożliwić korzystanie z aplikacji.
Właściwości
Wyświetla informacje o wirusie lub zagrożeniu
bezpieczeństwa.
W niektórych przypadkach działanie może nie być dostępne.
3
W oknie dialogowym kliknij przycisk Zamknij.
Jeżeli zagrożenia przedstawione na liście wymagają podjęcia działania przez
użytkownika, okna tego nie można zamknąć. Może tak być na przykład
wówczas, gdy klient musi zakończyć proces lub aplikację albo zatrzymać
usługę. W takim przypadku wyświetlane jest okno dialogowe Usuń zagrożenia
teraz.
4
Jeśli wyświetlone zostanie okno dialogowe Usuń zagrożenia teraz, kliknij
jedną z poniższych opcji:
■
Tak
25
26
Klient usuwa zagrożenie. Usunięcie zagrożenia może wymagać ponownego
uruchomienia komputera. O tym, czy ponowne uruchomienie jest
wymagane, informuje okno dialogowe.
■
5
Nie
Okno dialogowe wyników przypomina, że nadal potrzebne jest działanie.
Okno dialogowe Usuń zagrożenia teraz zostanie jednak wyświetlone
dopiero po ponownym uruchomieniu komputera.
Jeśli okno dialogowe nie zostanie zamknięte w kroku 3, kliknij przycisk
Zamknij.
Patrz „Sposób reakcji skanowań na wykrycie wirusa lub zagrożenia” na stronie 73
Usuwanie wirusa lub zagrożenia z zainfekowanego pliku — informacje
Jeśli klient musi zakończyć proces albo aplikację lub zatrzymać usługę, aktywna
jest opcja Usuń zagrożenie teraz. Jeżeli zagrożenia przedstawione w oknie
dialogowym wymagają podjęcia działania przez użytkownika, okna tego nie można
zamknąć.
Tabela 2-2 przedstawia opcje w oknie dialogowym wyników.
Tabela 2-2
Opcje w oknie dialogowym wyników
Opcja
Opis
Zamknij
Powoduje zamknięcie okna dialogowego z wynikami skanowania,
jeżeli podjęcie działania w związku z którymkolwiek zagrożeniem
nie jest wymagane.
Jeżeli działanie jest potrzebne, wyświetlane jest jedno z poniższych
powiadomień:
Wymagane jest usunięcie zagrożenia
Wyświetlane, gdy do usunięcia zagrożenia wymagane jest
zakończenie procesu. Po usunięciu zagrożenia ponownie
wyświetlane jest okno dialogowe z wynikami. Jeśli konieczne
jest także ponowne uruchomienie komputera, informacje w
wierszu zagrożenia w oknie dialogowym wskazują na tę
konieczność.
■ Wymagane ponowne uruchomienie komputera
Wyświetlane, gdy do usunięcia zagrożenia wymagane jest
ponowne uruchomienie komputera.
■ Wymaganejestusunięciezagrożeniaiponowneuruchomienie
komputera
Wyświetlane, gdy do usunięcia jednego zagrożenia wymagane
jest zakończenie procesu, a inne zagrożenie wymaga
ponownego uruchomienia komputera.
■
Usuń zagrożenia teraz Wyświetla okno dialogowe Usuwanie zagrożenia.
W oknie Usuwanie zagrożenia można wybrać jedną z następujących
opcji w odniesieniu do każdego zagrożenia:
Tak
Klient usuwa zagrożenie. Usunięcie zagrożenia może wymagać
ponownego uruchomienia komputera. O tym, czy ponowne
uruchomienie jest wymagane, informuje okno dialogowe.
■ Nie
Po zamknięciu okna dialogowego z wynikami skanowania
wyświetlane jest okno dialogowe Usuwanie zagrożenia. Okno
to przypomina, że nadal potrzebne jest działanie. Okno
dialogowe Usuwanie zagrożenia zostanie jednak wyświetlone
dopiero po ponownym uruchomieniu komputera.
■
Jeśli wymagane jest ponowne uruchomienie komputera, to dopiero po dokonaniu
go zostanie ukończone usuwanie lub naprawa.
Jeżeli zagrożenie wymaga podjęcia działania, można zdecydować się na nie później.
Zagrożenie można usunąć lub naprawić później następująco:
27
28
Reagowanie na komunikaty funkcji Download Insight z monitem o zezwolenie lub zablokowanie pliku, który próbuje
pobrać użytkownik
■
Można otworzyć dziennik zagrożeń, kliknąć zagrożenie prawym przyciskiem
myszy i wybrać żądane działanie.
■
Można uruchomić skanowanie w celu wykrycia zagrożenia i ponownego
otwarcia okna dialogowego z wynikami skanowania.
Można także podjąć działanie, klikając zagrożenie w oknie dialogowym prawym
przyciskiem myszy i wybierając działanie. Działania, które może podjąć
użytkownik, zależą od działań skonfigurowanych dla danego typu wykrytego
zagrożenia.
Patrz „Reagowanie na wykrycie wirusa lub zagrożenia” na stronie 24
Reagowanie na komunikaty funkcji Download Insight
z monitem o zezwolenie lub zablokowanie pliku, który
próbuje pobrać użytkownik
Gdy włączone są powiadomienia funkcji Download Insight, użytkownikowi
wyświetlane są komunikaty dotyczące destrukcyjnych i niepotwierdzonych plików
wykrywanych przez funkcję Download Insight podczas próby ich pobrania.
Uwaga: Bez względu na to, czy powiadomienia są włączone, użytkownikowi
wyświetlane są komunikaty, jeśli dla niepotwierdzonych plików ustawiono
działanie Wyświetl monit.
Czułość wykrywania destrukcyjnych lub niepotwierdzonych plików przez funkcję
Download Insight może zmienić użytkownik lub administrator. Zmiana poziomu
czułości może wpłynąć na liczbę wyświetlanych powiadomień.
Funkcja Download Insight używa technologii Symantec Insight, oceniającej pliki
i wyznaczającej ocenę pliku na podstawie danych od globalnej wspólnoty milionów
użytkowników.
Powiadomienie funkcji Download Insight przedstawia następujące informacje o
wykrytym pliku:
■
Reputacja pliku
Reputacja pliku wskazuje wiarygodność pliku. Destrukcyjne pliki nie są godne
zaufania. Niepotwierdzone pliki mogą, ale nie muszą być godne zaufania.
■
Rozpowszechnienie pliku we wspólnocie
Rozpowszechnienie pliku jest istotne. Rzadko spotykane pliki częściej bywają
zagrożeniami.
■
Wiek pliku
Reagowanie na komunikaty z monitem o zezwolenie na aplikację lub jej zablokowanie
Im nowszy jest plik, tym mniej informacji o nim ma firma Symantec.
Informacje te mogą ułatwić decyzję o zezwoleniu na plik lub zablokowaniu go.
Patrz „Sposób stosowania danych o reputacji w celu podejmowania decyzji
dotyczących plików przez program Symantec Endpoint Protection” na stronie 74
Aby zareagować na wykrycie funkcji Download Insight z monitem o zezwolenie na
plik lub jego zablokowanie:
1
2
W komunikacie o wykryciu funkcji Download Insight wykonaj jedną z
następujących czynności:
■
Kliknij pozycję Usuń ten plik z mojego komputera.
Funkcja Download Insight przeniesie plik do kwarantanny. Opcja ta jest
wyświetlana tylko w przypadku plików niepotwierdzonych.
■
Kliknij pozycję Zezwól na ten plik.
Wyświetlone może zostać okno dialogowe zezwolenia z pytaniem, czy
użytkownik na pewno chce zezwolić na plik.
W razie wybrania opcji zezwolenia na niepotwierdzony plik, który nie
został poddany kwarantannie, plik jest uruchamiany automatycznie. W
razie wybrania opcji zezwolenia na plik poddany kwarantannie plik nie
jest uruchamiany automatycznie. Plik można uruchomić z folderu
tymczasowych plików internetowych.
Zazwyczaj folder ten znajduje się w lokalizacji \\Documents and
Settings\nazwa użytkownika\Local Settings\Temporary Internet Files.
W razie zezwolenia na plik na klientach niezarządzanych program Symantec
Endpoint Protection automatycznie tworzy wyjątek dla pliku na danym
komputerze. W razie zezwolenia na plik na klientach zarządzanych program
Symantec Endpoint Protection automatycznie tworzy wyjątek dla pliku na
danym komputerze, o ile administrator umożliwia użytkownikowi tworzenie
wyjątków.
Reagowanie na komunikaty z monitem o zezwolenie
na aplikację lub jej zablokowanie
Przy próbie uzyskania przez aplikację na komputerze dostępu do sieci klient może
wyświetlić monit o zezwolenie lub zablokowanie aplikacji. Można wybrać opcję
zablokowania aplikacji, aby nie zezwolić jej na dostęp do sieci.
Tego typu powiadomienie może zostać wyświetlone z jednego z następujących
powodów:
29
30
Komunikaty o wygaśnięciu ważności licencji — informacje
■
Aplikacja żąda dostępu do połączenia sieciowego użytkownika.
■
Aplikacja, która miała dostęp do połączenia sieciowego użytkownika, została
uaktualniona.
■
Administrator zaktualizował oprogramowanie klienckie.
■
Na komputerze klienckim zmieniono użytkownika za pomocą funkcji Szybkie
przełączanie użytkowników.
Gdy aplikacja próbuje uzyskać dostęp do komputera, może zostać wyświetlone
powiadomienie następującego typu:
IEXPLORE.EXE próbuje uzyskać dostęp do sieci.
Czy chcesz zezwolić temu programowi na dostęp do sieci?
Aby zareagować na komunikat z monitem o zezwolenie na aplikację lub jej
zablokowanie:
1
Opcjonalnie, aby podczas następnej próby uzyskania dostępu do sieci przez
tę samą aplikację pominąć wyświetlanie tego komunikatu, w oknie dialogowym
kliknij pozycję Zapamiętaj odpowiedź i nie zadawaj ponownie pytania o tę
aplikację.
2
Więcej informacji na temat połączenia i aplikacji można też uzyskać, klikając
pozycję Szczegóły>>.
3
■
Aby zezwolić aplikacji na dostęp do sieci, kliknij przycisk Tak.
■
Aby zablokować dostęp aplikacji do sieci, kliknij przycisk Nie.
W polu Uruchomione aplikacje lub na liście Aplikacje można również zmienić
działanie aplikacji.
Patrz „Konfigurowanie ustawień specyficznych dla aplikacji” na stronie 127
Komunikaty o wygaśnięciu ważności licencji —
informacje
Klient używa licencji do aktualizowania definicji wirusów używanych podczas
skanowań oraz do aktualizowania oprogramowania klienckiego. Klient może
używać licencji na wersję próbną lub płatną. Gdy ważność licencji wygaśnie, klient
przestaje aktualizować wszelkie składniki oprogramowania i oprogramowanie
klienckie.
Reagowanie na komunikaty dotyczące aktualizowania oprogramowania klienckiego
Tabela 2-3
Typ licencji
31
Typy licencji
Opis
Licencja na wersję Gdy licencja na wersję próbną wygaśnie, górna część okienka Stan
próbną
klienta jest czerwona i wyświetlany jest w niej następujący komunikat:
Ważność licencji na wersję próbną wygasła.
Pobieranie składników zostanie wstrzymane w dniu daty.
Skontaktuj się z administratorem, aby zakupić licencję
na program
Symantec Endpoint Protection.
Datę ważności można również wyświetlić, klikając pozycję Pomoc >
Informacje.
Licencja na wersję Gdy licencja na wersję płatną wygaśnie, górna część okienka Stan
płatną
klienta jest żółta i wyświetlany jest w niej następujący komunikat:
Ochrona przed wirusami i spywarem - definicje są
przestarzałe.
W przypadku obu typów licencji należy skontaktować się z administratorem w
celu zaktualizowania lub odnowienia licencji.
Patrz „Typy alertów i powiadomień” na stronie 21
Reagowanie na komunikaty dotyczące aktualizowania
oprogramowania klienckiego
Jeżeli oprogramowanie klienckie jest automatycznie aktualizowane, mogą zostać
wyświetlone następujące powiadomienia:
Symantec Endpoint Protection – wykryto, że dostępna
jest nowsza wersja oprogramowania.
Czy chcesz je pobrać i zainstalować teraz?
Aby zareagować na powiadomienie o automatycznej aktualizacji:
1
■
Aby natychmiast pobrać oprogramowanie, kliknij pozycję Pobierz teraz.
32
Reagowanie na komunikaty dotyczące aktualizowania oprogramowania klienckiego
■
2
Aby po upływie określonego czasu zostało wyświetlone przypomnienie,
kliknij pozycję Przypomnij później.
Jeżeli po rozpoczęciu instalacji aktualizowanego oprogramowania zostanie
wyświetlony komunikat, kliknij przycisk OK.
Rozdział
3
Zapewnianie ochrony
komputerowi
■
Zarządzanie systemem ochrony komputera
■
Aktualizowanie systemu ochrony komputera
■
Sposób określania, czy klient jest połączony i chroniony
■
Klienci zarządzani i klienci niezarządzani — informacje
■
Sprawdzanie, czy klient jest zarządzany, czy niezarządzany
■
Włączanie i wyłączanie systemu ochrony — informacje
■
Włączanie lub wyłączanie ochrony na komputerze klienckim
■
Włączanie lub wyłączanie funkcji Automatyczna ochrona
■
Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed naruszeniem
integralności
■
Dzienniki — informacje
■
Wyświetlanie dzienników
■
Śledzenie wsteczne zarejestrowanych zdarzeń do ich źródła
■
Eksportowanie danych dziennika
34
Zapewnianie ochrony komputerowi
Komputer kliencki jest domyślnie chroniony i konfiguracja klienta jest zazwyczaj
zbędna. Można jednak monitorować system ochrony w następujących sytuacjach:
■
Na komputerze użytkownika uruchomiony jest klient niezarządzany.
Po zainstalowaniu klienta niezarządzanego tylko użytkownik ma kontrolę nad
systemem ochrony komputera. Klient niezarządzany jest domyślnie chroniony.
Konieczne może być jednak zmodyfikowanie ustawień systemu ochrony
komputera.
■
Użytkownik chce włączyć lub wyłączyć jedną lub wiele technologii ochrony.
■
Użytkownik chce się upewnić, czy ma najnowsze definicje wirusów.
■
Użytkownik chce przeprowadzić skanowanie ze względu na pojawienie się
nowego wirusa.
Tabela 3-1 przedstawia proces upewniania się, że komputer jest chroniony.
Tabela 3-1
Proces zarządzania systemem ochrony komputera
Krok
Opis
Reagowanie na alerty
i powiadomienia
Należy zareagować na wyświetlony komunikat z monitem o
wprowadzenie danych. Na przykład skanowanie mogło wykryć
wirusa lub zagrożenie bezpieczeństwa i wyświetla okno dialogowe
wyników skanowania z monitem o podjęcie działania wobec
wykrycia.
Sprawdzenie stanu
systemu ochrony
Należy regularnie sprawdzać stronę Stan, aby upewnić się, że
wszystkie typy ochrony są włączone.
Patrz „Rozpoczęcie pracy na stronie Stan” na stronie 13
Patrz „Włączanie lub wyłączanie ochrony na komputerze
klienckim” na stronie 45
Krok
Opis
Aktualizacja definicji
wirusów
Należy sprawdzić, czy na komputerze zainstalowane są najnowsze
definicje wirusów.
(Tylko klient
niezarządzany)
■
Należy sprawdzić, czy zainstalowane są najnowsze aktualizacje
systemu ochrony. Datę i numer tych plików definicji można
sprawdzić na stronie Stan klienta, w obszarach poszczególnych
typów ochrony.
■ Należy uzyskać najnowsze aktualizacje systemu ochrony.
Patrz „Aktualizowanie systemu ochrony komputera” na stronie
36
Skanowanie
komputera
Należy uruchomić skanowanie, aby sprawdzić, czy komputer lub
program pocztowy są wolne od wirusów. Domyślnie klient skanuje
komputer przy uruchomieniu, ale można go przeskanować w
każdej chwili.
Dostosowanie
ustawień skanowania
W większości przypadków domyślne ustawienia zapewniają
wystarczającą ochronę komputera. W razie potrzeby można
obniżyć lub podwyższyć poziom ochrony w następujący sposób:
Planując dodatkowe skanowania
Patrz „Zarządzanie skanowaniami na komputerze”
na stronie 58
■ Dodając reguły zapory (tylko na kliencie niezarządzanym)
■
Sprawdzanie wykryć
lub ataków w
dziennikach
W celu sprawdzenia, czy klient wykrył wirusa lub atak sieciowy
należy przejrzeć dzienniki.
Aktualizacja zasady
zabezpieczeń
Należy sprawdzić, czy klient otrzymał najnowszą zasadę
zabezpieczeń. Zasada zabezpieczeń zawiera najnowsze ustawienia
technologii ochrony stosowanych przez klienta.
(Tylko klient
zarządzany)
Zasada zabezpieczeń jest aktualizowana automatycznie. Aby
upewnić się, że stosowana jest najnowsza zasada, można
zaktualizować ją ręcznie, klikając prawym przyciskiem myszy
ikonę klienta w obszarze powiadomień i wybierając polecenie
Aktualizuj zasadę.
na stronie 38
35
36
Skuteczność ochrony zapewnianej przez produkty firmy Symantec jest uzależniona
od aktualności informacji o nowych zagrożeniach. Informacje te są dostępne do
pobrania z firmy Symantec za pośrednictwem usługi LiveUpdate.
Aktualizacje składników oprogramowania to pliki, dzięki którym produkty firmy
Symantec są aktualne i korzystają z najnowszych technologii ochrony przed
zagrożeniami. Usługa LiveUpdate pobiera nowe pliki składników oprogramowania
z internetowej witryny firmy Symantec, a następnie zastępuje nimi stare pliki
składników oprogramowania. Otrzymywane aktualizacje są zależne od produktów
zainstalowanych na komputerze. Sposób, w jaki komputer otrzymuje aktualizacje,
zależy od tego, czy komputer jest zarządzany czy niezarządzany i od konfiguracji
aktualizacji ustawionej przez administratora.
Poniższe typy plików to przykłady aktualizacji składników oprogramowania:
■
Pliki definicji wirusów dla funkcji Ochrona przed wirusami i programami typu
spyware.
■
Sygnatury heurystyczne i listy aplikacji komercyjnych dla funkcji Zapobieganie
zagrożeniom.
■
Pliki definicji systemu zapobiegania włamaniom dla funkcji Ochrona przed
zagrożeniami sieciowymi.
Patrz „Ochrona przed zagrożeniami sieciowymi — informacje” na stronie 108
Usługa LiveUpdate może również dostarczać ulepszenia do zainstalowanego
klienta. Ulepszenia te tworzy się zazwyczaj w celu zapewnienia zgodności
oprogramowania z urządzeniami lub systemami operacyjnymi, zwiększenia
wydajności lub usunięcia błędów produktu. Ulepszenia klienta ukazują się, gdy
pojawi się taka potrzeba. Komputer kliencki może pobierać te ulepszenia
bezpośrednio z serwera LiveUpdate. Zarządzany komputer kliencki może także
odbierać te aktualizacje ulepszające automatycznie z serwera zarządzania w
firmie.
Tabela 3-2
Sposoby aktualizowania składników oprogramowania na komputerze
Zadanie
Opis
Aktualizacja składników
oprogramowania według
harmonogramu
Domyślnie usługa LiveUpdate uruchamiana jest
automatycznie w określonych w harmonogramie
odstępach.
Na kliencie niezarządzanym użytkownik może wyłączyć
lub zmienić harmonogram usługi LiveUpdate.
Patrz „Aktualizacja składników oprogramowania według
harmonogramu” na stronie 37
Zadanie
Opis
Natychmiastowa aktualizacja
składników oprogramowania
W zależności od ustawień zabezpieczeń, usługę
LiveUpdate można uruchamiać natychmiast.
Patrz „Natychmiastowa aktualizacja składników
oprogramowania” na stronie 37
Natychmiastowa aktualizacja składników oprogramowania
Pliki składników oprogramowania można aktualizować natychmiast za pomocą
usługi LiveUpdate. Usługę LiveUpdate należy uruchamiać natychmiast w
następujących sytuacjach:
■
Po zainstalowaniu oprogramowania klienckiego.
■
Po upływie długiego czasu od ostatniego skanowania.
■
Gdy użytkownik podejrzewa, że na komputerze jest wirus lub inne destrukcyjne
oprogramowanie.
Patrz „Aktualizacja składników oprogramowania według harmonogramu”
na stronie 37
Aby natychmiast zaktualizować system ochrony:
◆
W programie klienckim kliknij pozycję LiveUpdate na pasku bocznym.
Usługa LiveUpdate łączy się z serwerem firmy Symantec, sprawdza czy są
dostępne nowe aktualizacje, a następnie automatycznie je pobiera i instaluje.
Aktualizacja składników oprogramowania według harmonogramu
Użytkownik może utworzyć harmonogram automatycznego uruchamiania usługi
LiveUpdate. Użytkownik może zaplanować uruchamianie usługi LiveUpdate na
czas, w którym nie używa komputera.
Patrz „Natychmiastowa aktualizacja składników oprogramowania” na stronie 37
Uwaga: W przypadku klienta zarządzanego uruchamianie usługi LiveUpdate
według harmonogramu można skonfigurować, o ile umożliwił to administrator.
Jeśli wyświetlana jest ikona kłódki i opcje są nieaktywne, nie można aktualizować
składników oprogramowania według harmonogramu.
37
38
Aby aktualizować system ochrony według harmonogramu:
1
W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym.
2
Obok pozycji Zarządzanie klientami kliknij pozycję Konfiguruj ustawienia.
3
W oknie dialogowym Ustawienia funkcji Zarządzanie klientami kliknij
pozycję LiveUpdate.
4
Na karcie LiveUpdate zaznacz opcję Włącz automatyczne aktualizacje.
5
W grupie opcji Częstotliwość i czas wybierz, czy chcesz przeprowadzać
aktualizacje codziennie, raz w tygodniu, czy raz w miesiącu. Następnie wybierz
dzień tygodnia i godzinę, o której mają być przeprowadzane aktualizacje.
Ustawienia czasu zależą od opcji wybranej w grupie opcji Częstotliwość.
Dostępność innych opcji w tym oknie dialogowym zależy również od wybranej
częstotliwości.
6
W grupie opcji Okno ponawiania prób zaznacz opcję Ponawiaj próby przez,
a następnie określ interwał czasowy ponawiania uruchamiania usługi
LiveUpdate przez klienta.
7
W grupie opcji Opcje dotyczące działań losowych zaznacz opcję Wybierz
losowo wcześniejszy lub późniejszy czas uruchomienia (w godzinach), a
następnie określ liczbę godzin lub dni.
Opcja ta określa zakres czasu rozpoczęcia pobierania przed lub po
planowanym terminie aktualizacji.
8
W grupie opcji Wykrycie bezczynności zaznacz opcję Opóźnij zaplanowane
sesje usługi LiveUpdate do chwili bezczynności systemu. Zaległe sesje
zostaną w końcu uruchomione bezwarunkowo.
Można również skonfigurować opcje połączenia serwera proxy z wewnętrznym
serwerem LiveUpdate. Informacje na temat opcji są dostępne w Pomocy
online.
9
Kliknij przycisk OK.
Sposób określania, czy klient jest połączony i
chroniony
Za pomocą ikony na pasku zadań systemu klient wskazuje, czy pracuje w trybie
online, czy też offline i czy komputer kliencki jest wystarczająco chroniony.
Kliknięcie tej ikony prawym przyciskiem myszy powoduje wyświetlenie często
używanych poleceń. Ikona znajduje się w prawym dolnym rogu pulpitu na
komputerze klienckim.
Uwaga: Ikona nie jest wyświetlana na klientach zarządzanych, jeżeli administrator
skonfigurował ją tak, aby była niedostępna.
Ikony stanu klienta Symantec Endpoint Protection
Tabela 3-3
Ikona
Opis
Klient działa bez żadnych problemów. Pracuje w trybie offline lub jest
niezarządzany. Klienci niezarządzani nie są połączeni z serwerem
zarządzania. Jako ikona wyświetlana jest zwykła żółta tarcza.
Klient działa bez żadnych problemów. Jest połączony i komunikuje się z
serwerem. Komputer jest chroniony przy użyciu wszystkich składników
zasady zabezpieczeń. Jako ikona wyświetlana jest żółta tarcza z zieloną
kropką.
Występuje drobny problem z klientem. Na przykład definicje wirusów mogą
nie być aktualne. Jako ikona wyświetlana jest żółta tarcza z czarnym
wykrzyknikiem na tle jasnożółtej kropki.
Klient nie działa, występuje poważny problem z klientem lub wyłączona jest
co najmniej jedna technologia ochrony. Wyłączona jest na przykład funkcja
Ochrona przed zagrożeniami sieciowymi. Jako ikona wyświetlana jest żółta
tarcza z białą kropką w czerwonej obwódce i czerwoną linią w poprzek kropki.
Tabela 3-4 przedstawia ikony stanu klienta Symantec Network Access Control
wyświetlane w obszarze powiadomień na pasku zadań systemu.
Ikony stanu klienta Symantec Network Access Control
Tabela 3-4
Ikona
Opis
Klient działa bez żadnych problemów i przeszedł test integralności hosta
oraz zaktualizował zasadę zabezpieczeń. Pracuje w trybie offline lub jest
niezarządzany. Klienci niezarządzani nie są połączeni z serwerem
zarządzania. Jako ikona wyświetlany jest złoty klucz.
Klient działa bez żadnych problemów i przeszedł test integralności hosta
oraz zaktualizował zasadę zabezpieczeń. Komunikuje się z serwerem. Jako
ikona wyświetlany jest złoty klucz z zieloną kropką.
Klient nie przeszedł sprawdzenia integralności hosta lub nie zaktualizował
zasady zabezpieczeń. Jako ikona wyświetlany jest złoty klucz z białym
znakiem „x” na tle czerwonej kropki.
Patrz „Ukrywanie i wyświetlanie ikony obszaru powiadomień” na stronie 40
39
40
Ukrywanie i wyświetlanie ikony obszaru powiadomień
Ikonę obszaru powiadomień można w razie potrzeby ukryć. Można ją na przykład
ukryć, jeżeli potrzebne jest więcej miejsca na pasku zadań systemu Windows.
Patrz „Sposób określania, czy klient jest połączony i chroniony” na stronie 38
Uwaga: W przypadku klientów zarządzanych ikony paska zadań nie można ukryć,
jeżeli administrator ograniczył użycie tej funkcji.
Aby ukryć lub wyświetlić ikonę w obszarze powiadomień:
1
W oknie głównym kliknij pozycję Zmień ustawienia na pasku bocznym.
2
Na stronie Zmiana ustawień kliknij pozycję Konfiguruj ustawienia obok
pozycji Zarządzanie klientami.
3
W oknie dialogowym Ustawienia funkcji Zarządzanie klientami, na karcie
Ogólne, w obszarze Opcje wyświetlania wyczyść pole wyboru Pokazuj ikonę
programu Symantec w obszarze powiadomień.
4
Klienci zarządzani i klienci niezarządzani —
informacje
Administrator może zainstalować klienta jako klienta zarządzanego (instalacja
zarządzana przez administratora) lub niezarządzanego (instalacja autonomiczna).
Tabela 3-5
Typ klienta
Różnice między klientem zarządzanym a klientem niezarządzanym
Opis
Klient zarządzany Klient zarządzany komunikuje się z serwerem zarządzania w sieci
użytkownika. Administrator konfiguruje system ochrony i ustawienia
domyślne, a serwer zarządzania przekazuje ustawienia klientowi. Jeśli
administrator dokona zmian w systemie ochrony, zmiany te są niemal
natychmiast pobierane przez klienta.
Administratorzy mogą zmienić poziom interakcji użytkownika z
klientem na następujące sposoby:
Administrator całkowicie zarządza klientem.
Użytkownik nie musi konfigurować klienta. Wszystkie ustawienia
są zablokowane lub niedostępne, ale użytkownik może wyświetlić
informacje na temat operacji klienta na komputerze.
■ Administrator zarządza klientem, ale użytkownik może zmienić
niektóre ustawienia klienta i wykonać niektóre zadania. Na
przykład może uruchamiać własne skanowania i ręcznie pobierać
aktualizacje klienta oraz systemu ochrony.
Dostępność ustawień klienta, jak również wartości tych ustawień
mogą okresowo się zmieniać. Ustawienie może się na przykład
zmienić, gdy administrator zaktualizuje zasadę sterującą ochroną
komputera klienckiego.
■ Administrator zarządza klientem, ale użytkownik może zmienić
wszystkie ustawienia klienta i wykonać wszystkie zadania związane
z ochroną.
■
Klient
niezarządzany
Klient niezarządzany nie komunikuje się z serwerem zarządzania, a
administrator nie zarządza klientem.
Klient niezarządzany może być klientem jednego z następujących
typów:
Autonomicznym komputerem niepodłączonym do sieci, takim jak
komputer domowy lub przenośny. Na komputerze musi być
zainstalowany program Symantec Endpoint Protection z
ustawieniami domyślnymi lub wstępnie skonfigurowanymi przez
administratora.
■ Zdalnym komputerem łączącym się z siecią firmową, który w celu
nawiązania połączenia musi spełnić wymagania dotyczące
bezpieczeństwa.
■
Klient po zainstalowaniu ma ustawienia domyślne. Po zainstalowaniu
klienta użytkownik może zmienić wszystkie ustawienia klienta i
wykonać wszystkie zadania związane z ochroną.
Patrz „Sprawdzanie, czy klient jest zarządzany, czy niezarządzany” na stronie 42
41
42
Sprawdzanie, czy klient jest zarządzany, czy niezarządzany
Tabela 3-6 przedstawia różnice w interfejsie użytkownika między klientem
zarządzanym a klientem niezarządzanym.
Tabela 3-6
Różnice między klientem zarządzanym a klientem niezarządzanym
według obszarów funkcji
Obszar funkcji
Klient centralnie zarządzany
Klient samozarządzany
Ochrona przed
wirusami i
programami typu
spyware
Klient wyświetla ikonę
Klient nie wyświetla ani
zamkniętej kłódki, a opcje,
zamkniętej kłodki, ani otwartej
których nie może skonfigurować kłódki.
użytkownik, są nieaktywne.
Zapobieganie
zagrożeniom
Klient wyświetla ikonę
Klient nie wyświetla ani
zamkniętej kłódki, a opcje,
zamkniętej kłodki, ani otwartej
których nie może skonfigurować kłódki.
użytkownik, są nieaktywne.
Ustawienia funkcji Ustawienia kontrolowane przez Wyświetlane są wszystkie
Zarządzanie
administratora nie są
ustawienia.
klientami i Ochrona wyświetlane.
przed zagrożeniami
sieciowymi
Sprawdzanie, czy klient jest zarządzany, czy
niezarządzany
Aby sprawdzić dostępny poziom kontroli nad konfigurowaniem systemu ochrony
na kliencie, najpierw należy sprawdzić, czy klient jest zarządzany, czy też
niezarządzany. Na kliencie niezarządzanym można skonfigurować więcej ustawień
niż na kliencie zarządzanym.
Aby sprawdzić, czy klient jest zarządzany, czy niezarządzany:
1
Na stronie Stan kliknij pozycję Pomoc > Rozwiązywanie problemów.
2
W oknie dialogowym Rozwiązywanieproblemów kliknij pozycję Zarządzanie.
3
W okienku Zarządzanie, w obszarze Informacje ogólne, obok pozycji Serwer
sprawdź następujące informacje:
■
Jeśli klient jest zarządzany, w polu Serwer wyświetlany jest adres serwera
zarządzania albo tekst Offline.
Może to być adres IP, nazwa DNS lub nazwa NetBIOS. Nazwa DNS to na
przykład SEPMServer1. Jeśli klient jest zarządzany, ale aktualnie nie jest
połączony z serwerem zarządzania, w polu tym wyświetlany jest tekst
Offline.
■
4
Jeśli klient jest niezarządzany, w polu Serwer wyświetlany jest tekst
Samozarządzany.
Kliknij przycisk Zamknij.
Technologie ochrony zazwyczaj powinny być stale włączone na komputerze
klienckim.
W razie problemu z komputerem klienckim można tymczasowo wyłączyć wszystkie
lub wybrane technologie ochrony. Można na przykład wyłączyć funkcję Ochrona
przed zagrożeniami sieciowymi, jeśli aplikacja nie działa lub działa nieprawidłowo.
Jeśli po wyłączeniu wszystkich technologii ochrony problem nie ustępuje, wiadomo
że problem nie jest związany z klientem.
Ostrzeżenie: Należy pamiętać o włączeniu wszystkich funkcji ochrony po
wykonaniu zadań, które wymagały jej wyłączenia, aby zapewnić komputerowi
ochronę.
Tabela 3-7 przedstawia możliwe powody konieczności wyłączenia poszczególnych
technologii ochrony.
43
44
Tabela 3-7
Cel wyłączenia technologii ochrony
Technologia ochrony
Ochrona przed
wirusami i
programami typu
spyware
W razie wyłączenia tej funkcji ochrony wyłączana jest jedynie funkcja Automatyczna
ochrona.
Nie ma to wpływu na uruchamianie innych typów skanowań (zaplanowanych lub przy
uruchamianiu) skonfigurowanych przez użytkownika lub administratora.
Funkcja Automatyczna ochrona może zostać włączona albo wyłączona z następujących
powodów:
Funkcja Automatyczna ochrona może blokować otwarcie dokumentu. Na przykład, jeśli
dokument programu Microsoft Word zawiera makro, funkcja Automatyczna ochrona
może nie zezwolić na jego otwarcie. Jeśli wiadomo, że dokument jest bezpieczny, można
wyłączyć funkcję Automatyczna ochrona.
■ Funkcja Automatyczna ochrona może generować ostrzeżenia o działaniach typowych
dla wirusów, a które na pewno nie są wynikiem obecności wirusa. Ostrzeżenie może
zostać wyświetlone na przykład podczas instalowania nowych aplikacji na komputerze.
Aby uniknąć wyświetlania ostrzeżeń podczas instalowania następnych aplikacji, można
tymczasowo wyłączyć funkcję Automatyczna ochrona.
■ Funkcja Automatyczna ochrona może przeszkadzać w zamianie sterownika systemu
Windows.
■ Funkcja Automatyczna ochrona może spowalniać komputer kliencki.
■
Uwaga: Wskutek wyłączenia funkcji Automatyczna ochrona wyłączona zostaje funkcja
Download Insight, nawet jeśli funkcja Download Insight jest włączona. Funkcja SONAR nie
może również wykrywać heurystycznie zagrożeń. Wykrywanie zmian pliku hosta lub zmian
w systemie przez funkcję SONAR nadal jednak działa.
Patrz „Włączanie lub wyłączanie funkcji Automatyczna ochrona” na stronie 46
Jeśli funkcja Automatyczna ochrona powoduje problem z aplikacją, lepiej jest utworzyć
wyjątek niż na stałe wyłączyć ochronę.
Zapobieganie
zagrożeniom
Funkcję Zapobieganie zagrożeniom można wyłączyć z następujących przyczyn:
■
Wyświetlanych jest zbyt wiele zbędnych ostrzeżeń o zagrożeniach.
■
Funkcja Zapobieganie zagrożeniom może spowalniać komputer kliencki.
Patrz „Włączanie lub wyłączanie ochrony na komputerze klienckim” na stronie 45
Włączanie lub wyłączanie ochrony na komputerze klienckim
Technologia ochrony
Ochrona przed
zagrożeniami
sieciowymi
Funkcję Ochrona przed zagrożeniami sieciowymi można wyłączyć z następujących przyczyn:
■
Instalacja aplikacji może zostać zablokowana przez zaporę.
■
Reguła zapory lub ustawienie zapory blokuje aplikację z powodu błędu administratora.
Zapora lub system zapobiegania włamaniom powodują problemy związane z komunikacją
sieciową.
■ Zapora może spowalniać komputer kliencki.
■
■
Nie można otworzyć aplikacji.
Patrz „Włączanie lub wyłączanie funkcji zapobiegania włamaniom” na stronie 142
Jeśli nie wiadomo, czy to funkcja Ochrona przed zagrożeniami sieciowymi powoduje problem,
konieczne może być wyłączenie wszystkich technologii ochrony.
Na kliencie zarządzanym administrator może całkowicie zablokować funkcję Ochrona przed
zagrożeniami sieciowymi, aby użytkownik nie mógł jej włączyć ani wyłączyć.
Ochrona przed
naruszeniem
integralności
Funkcji Ochrona przed naruszeniem integralności zazwyczaj nie należy wyłączać.
Funkcję Ochrona przed naruszeniem integralności można tymczasowo wyłączyć, aby nie
dopuścić do fałszywych alarmów.
Patrz „Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed naruszeniem
integralności” na stronie 48
Włączanie lub wyłączanie ochrony na komputerze
klienckim
Gdy dowolna z technologii ochrony jest wyłączona na kliencie:
■
Pasek stanu u góry strony Stan jest czerwony.
■
Ikona klienta jest przesłonięta uniwersalnym znakiem zakazu (czerwone kółko
przecięte ukośną kreską). Ikona klienta wyświetlana jest na pasku zadań w
prawym dolnym rogu pulpitu Windows jako pełna tarcza. W przypadku
niektórych konfiguracji ikona ta nie jest wyświetlana.
Patrz „Sposób określania, czy klient jest połączony i chroniony” na stronie 38
Na kliencie zarządzanym administrator może w dowolnej chwili włączyć każdą
funkcję ochrony.
Funkcje Automatyczna ochrona, Zapobieganie zagrożeniom lub Ochrona przed
zagrożeniami sieciowymi można także wyłączyć w celu rozwiązywania problemów.
Na kliencie zarządzanym administrator może zablokować technologię ochrony,
aby użytkownik nie mógł jej wyłączyć.
45
46
Patrz „Włączanie lub wyłączanie funkcji Automatyczna ochrona” na stronie 46
Aby włączyć technologie ochrony za pomocą strony Stan:
◆
Na kliencie, u góry strony Stan kliknij pozycję Napraw lub Napraw wszystko.
Aby włączyć lub wyłączyć technologie ochrony za pomocą paska zadań:
◆
Na pasku zadań systemu Windows kliknij prawym przyciskiem ikonę klienta,
a następnie wykonaj jedno z następujących działań:
■
Kliknij polecenie Włącz program Symantec Endpoint Protection.
■
Kliknij polecenie Wyłącz program Symantec Endpoint Protection.
Aby włączyć lub wyłączyć funkcję Zapobieganie zagrożeniom lub funkcję Ochrona
przed zagrożeniami sieciowymi:
◆
W programie klienckim, na stronie Stan, w obszarze Ochrona typ ochrony
wykonaj jedno z następujących działań:
■
Kliknij pozycję Opcje > Włącz funkcję typ ochrony.
■
Kliknij pozycję Opcje > Wyłącz wszystkie funkcje typ ochrony.
Włączanie lub wyłączanie funkcji Automatyczna
ochrona
Funkcję Automatyczna ochrona plików i procesów, internetowej poczty e-mail
oraz aplikacji e-mail do pracy grupowej można włączać lub wyłączać. Gdy
wyłączony jest dowolny typ funkcji Automatyczna ochrona, stan funkcji Ochrona
przed wirusami i programami typu spyware jest wyświetlany czerwoną czcionką
na stronie Stan.
Gdy funkcja Automatyczna ochrona systemu plików i procesów jest włączona, po
kliknięciu ikony prawym przyciskiem myszy obok polecenia Włącz funkcję
Automatyczna ochrona wyświetlany jest znacznik wyboru.
Patrz „Ikony alertów na stronie Stan — informacje” na stronie 16
Uwaga: Na kliencie zarządzanym administrator może zablokować funkcję
Automatyczna ochrona, aby użytkownik nie mógł jej wyłączyć. Administrator
może także ustawić automatyczne włączanie tymczasowo wyłączonej funkcji
Automatyczna ochrona po upływie określonego czasu.
Jeśli nie zmieniono domyślnych ustawień opcji, funkcja Automatyczna ochrona
jest ładowana przy każdym uruchomieniu komputera, zapewniając natychmiastową
ochronę systemu przed wirusami i zagrożeniami bezpieczeństwa. Automatyczna
ochrona sprawdza uruchomiane programy w poszukiwaniu wirusów i zagrożeń
bezpieczeństwa. Monitoruje także komputer w celu wykrycia jakichkolwiek
operacji, które mogłyby wskazywać na obecność wirusa lub zagrożenia
bezpieczeństwa. W przypadku wykrycia wirusa, działania typowego dla wirusa
(zdarzenia, które może być wynikiem działalności wirusa) lub zagrożenia
bezpieczeństwa funkcja Automatyczna ochrona generuje alert.
Uwaga: Wskutek wyłączenia funkcji Automatyczna ochrona wyłączona zostaje
funkcja Download Insight, nawet jeśli funkcja Download Insight jest włączona.
Funkcja SONAR nie może również wykrywać heurystycznie zagrożeń. ale funkcja
SONAR nadal wykrywa zmiany pliku hosta i zmiany w systemie.
Aby włączyć lub wyłączyć funkcję Automatyczna ochrona systemu plików:
◆
W programie klienckim na stronie Stan, obok pozycji Ochronaprzedwirusami
i programami typu spyware wykonaj jedno z następujących działań:
■
Kliknij pozycję Opcje > Włącz ochronę przed wirusami i programami
typu spyware.
■
Kliknij pozycję Opcje>Wyłączwszystkiefunkcjeochronyprzedwirusami
i programami typu spyware.
Aby włączyć lub wyłączyć funkcję Automatyczna ochrona poczty e-mail:
1
2
Kliknij pozycję Konfiguruj ustawienia obok pozycji Ustawienia ochrony
przed wirusami i programami typu spyware.
3
4
■
Na karcie Automatyczna ochrona poczty internetowej zaznacz lub
wyczyść pole wyboru Włącz Automatyczną ochronę poczty internetowej.
■
Na karcie Automatyczna ochrona poczty Microsoft Outlook zaznacz lub
wyczyść pole wyboru Włącz Automatyczną ochronę poczty Microsoft
Outlook.
■
Na karcie AutomatycznaochronapocztyLotusNotes zaznacz lub wyczyść
pole wyboru Włącz Automatyczną ochronę poczty Lotus Notes.
47
48
Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed naruszeniem integralności
Włączanie, wyłączanie i konfigurowanie funkcji
Ochrona przed naruszeniem integralności
Funkcja Ochrona przed naruszeniem integralności zapewnia w czasie rzeczywistym
ochronę aplikacji firmy Symantec uruchomionych na serwerach i klientach.
Funkcja ta chroni zasoby produktów firmy Symantec przed zakłóceniami ze strony
innych procesów, takich jak robaki, konie trojańskie, wirusy i zagrożenia
bezpieczeństwa. Oprogramowanie można skonfigurować do blokowania lub
rejestrowania prób modyfikowania zasobów produktów firmy Symantec.
Jeżeli funkcja Ochrona przed naruszeniem integralności jest włączona, można
wybrać działanie podejmowane przez nią po wykryciu próby naruszenia
integralności oprogramowania firmy Symantec. Funkcja Ochrona przed
naruszeniem integralności może także wyświetlać komunikat powiadamiający o
próbach naruszenia integralności. Aby dostosować ten komunikat, można użyć
predefiniowanych zmiennych, które funkcja Ochrona przed naruszeniem
integralności zastępuje odpowiednimi informacjami.
Uwaga: Na kliencie zarządzanym administrator może zablokować ustawienia
funkcji Ochrona przed naruszeniem integralności.
Informacje o predefiniowanych zmiennych zawiera Pomoc na karcie Ochrona
integralności.
Aby włączyć lub wyłączyć ochronę przed naruszeniem integralności:
1
2
3
Na karcie Ochrona integralności zaznacz lub wyczyść pole wyboru Chroń
oprogramowanie zabezpieczające firmy Symantec przed naruszeniem
integralności lub zamknięciem.
4
Aby skonfigurować funkcję Ochrona przed naruszeniem integralności:
1
2
3
Na karcie Ochrona integralności, w polu listy Działanie podejmowane, gdy
aplikacja podejmuje próbę naruszenia integralności lub zamknięcia
oprogramowaniazabezpieczającegofirmySymantec kliknij pozycję Zablokuj
i zarejestruj zdarzenie lub Tylko zarejestruj zdarzenie.
4
Aby wyświetlać powiadomienia o wykryciu podejrzanego działania przez
funkcję Ochrona przed naruszeniem integralności, zaznacz pole wyboru
Wyświetlaj powiadomienie, gdy zostanie wykryta próba naruszenia
integralności.
Po włączeniu tych komunikatów użytkownikowi mogą być wyświetlanie
powiadomienia o procesach systemu Windows oraz procesach programów
firmy Symantec.
5
Aby dostosować wyświetlany komunikat, zaktualizuj tekst w polu komunikatu.
6
Dzienniki zawierają informacje o zmianach konfiguracji klienta, operacjach
związanych z zabezpieczeniami i błędach. Zapisy te są zwane zdarzeniami.
Dzienniki wyświetlają te zdarzenia wraz z wszelkimi powiązanymi dodatkowymi
informacjami.
Operacje związane z zabezpieczeniami obejmują informacje na wykryć wirusów,
stanu komputera oraz jego ruchu przychodzącego i wychodzącego. Dzienniki
klienta zarządzanego mogą być regularnie przekazywane do serwera zarządzania.
Administrator może używać danych z dzienników do analizowania ogólnego stanu
zabezpieczeń sieci.
Dzienniki to ważna metoda śledzenia operacji komputera oraz jego interakcji z
innymi komputerami i sieciami. Korzystając z informacji zawartych w dziennikach,
można śledzić trendy związane z wirusami, zagrożeniami bezpieczeństwa
komputera i atakami na komputer. Jeśli komputer jest używany przez kilka osób,
można zidentyfikować osobę wprowadzającą zagrożenia, a następnie wskazać jej
skuteczniejsze środki ochrony przed infekcjami.
Aby uzyskać więcej informacji na temat dziennika, można nacisnąć klawisz F1 w
celu wyświetlenia Pomocy dotyczącej danego dziennika.
Tabela 3-8 przedstawia typy zdarzeń wyświetlanych w poszczególnych
dziennikach.
Tabela 3-8
Dzienniki klienta
Dziennik
Opis
Dziennik skanowania
Zawiera wpisy dotyczące skanowań przeprowadzanych na
komputerze.
49
50
Dziennik
Opis
Dziennik zagrożeń
Zawiera wpisy dotyczące wirusów i zagrożeń bezpieczeństwa,
takich jak programy typu adware i spyware, które infekowały
komputer. Zagrożenia bezpieczeństwa zawierają łącze do strony
internetowej centrum Symantec Security Response zawierającej
dodatkowe informacje.
Patrz „Przenoszenie pliku do obszaru kwarantanny za pomocą
dziennika zagrożeń lub dziennika skanowania” na stronie 96
Dziennik systemu
funkcji Ochrona przed
wirusami i
programami typu
spyware
Zawiera informacje dotyczące operacji systemowych na
komputerze, które są powiązane z wirusami i zagrożeniami
bezpieczeństwa. Informacje te obejmują zmiany konfiguracji,
błędy i dane plików definicji.
Dziennik zagrożeń
Zawiera informacje o zagrożeniach, które funkcja SONAR wykryła
na komputerze. Funkcja SONAR wykrywa wszelkie pliki, które
działają w podejrzany sposób. Funkcja SONAR wykrywa również
zmiany w systemie.
Dziennik systemu
funkcji Zapobieganie
zagrożeniom
Zawiera informacje dotyczące operacji systemowych na
komputerze, związane z funkcją SONAR.
Dziennik ruchu
Zawiera zdarzenia dotyczące ruchu sieciowego zapory i ataków
systemu zapobiegania włamaniom. Dziennik zawiera informacje
na temat połączeń nawiązanych z komputera przez sieć.
Dzienniki funkcji Ochrona przed zagrożeniami sieciowymi
ułatwiają wykrywanie niebezpiecznych operacji, takich jak
skanowanie portów. Można ich również używać do wstecznego
śledzenia ruchu w celu ustalenia jego źródła. Dzienniki ochrony
sieci ułatwiają także rozwiązywanie problemów związanych z
komunikacją lub możliwymi atakami sieciowymi. Dzienniki
zawierają informacje na temat czasu i przyczyn zablokowania
komputerowi dostępu do sieci.
Dziennik pakietów
Zawiera informacje dotyczące pakietów danych przychodzących
lub wychodzących na portach komputera.
Dziennik pakietów jest domyślnie wyłączony. Dziennika pakietów
nie można włączyć na kliencie zarządzanym. Dziennik pakietów
można włączyć na kliencie niezarządzanym.
Patrz „Włączanie dziennika pakietów” na stronie 52
Dziennik
Opis
Dziennik kontroli
Dziennik kontroli zawiera informacje dotyczące kluczy rejestru
systemu Windows, plików i bibliotek DLL, do których aplikacja
uzyskuje dostęp, a także aplikacji uruchamianych na komputerze.
Dziennik zabezpieczeń Zawiera informacje o operacjach, które mogą narażać komputer
na zagrożenie. Mogą być wyświetlane informacje na przykład o
operacjach takich, jak ataki typu „odmowa obsługi”, skanowanie
portów i zmiany plików wykonywalnych.
Dziennik systemu
funkcji Zarządzanie
klientami
Zawiera informacje dotyczące wszystkich wykrytych na
komputerze zmian związanych z systemem operacyjnym.
Zmiany mogą obejmować następujące operacje:
■
Uruchomienie lub zatrzymanie usługi
■
Wykrycie aplikacji sieciowych przez komputer
■
Konfigurowanie oprogramowania
■
Stan klienta działającego jako dostawca aktualizacji grupy
Dziennik funkcji
Ochrona przed
naruszeniem
integralności
Zawiera wpisy dotyczące prób naruszenia integralności aplikacji
firmy Symantec na komputerze. Wpisy te zawierają informacje
na temat prób wykrytych i udaremnionych przez funkcję Ochrona
integralności.
Dzienniki
debugowania
Zawierają informacje o kliencie, skanowaniach i zaporze używane
do celów rozwiązywania problemów. Administrator może poprosić
użytkownika o włączenie lub skonfigurowanie dzienników, a
następnie ich wyeksportowanie.
Dzienniki znajdujące się na komputerze można wyświetlać, aby sprawdzić
szczegóły zdarzeń.
Uwaga: Jeśli nie jest zainstalowana funkcja Ochrona przed zagrożeniami
sieciowymi lub Kontrola dostępu do sieci, nie można wyświetlić dziennika
zabezpieczeń, dziennika systemu lub dziennika kontroli.
Aby wyświetlić dziennik:
1
W oknie głównym kliknij pozycję Wyświetl dzienniki na pasku bocznym.
2
Kliknij pozycję Wyświetl dzienniki obok jednej z następujących pozycji:
51
52
Śledzenie wsteczne zarejestrowanych zdarzeń do ich źródła
■
Ochrona przed wirusami i programami typu spyware
■
■
Ochrona przed zagrożeniami sieciowymi
■
Zarządzanie klientami
■
Kontrola dostępu do sieci
Niektóre pozycje mogą nie być wyświetlane, w zależności od danej instalacji.
3
W menu rozwijanym wybierz dziennik, który chcesz wyświetlić.
Patrz „Dzienniki — informacje” na stronie 49
Włączanie dziennika pakietów
Wszystkie dzienniki funkcji Ochrona przed zagrożeniami sieciowymi oraz
Zarządzanie klientami są włączone domyślnie, oprócz dziennika pakietów. Na
klientach niezarządzanych można włączać i wyłączać dziennik pakietów.
Na klientach zarządzanych administrator może zezwolić na włączanie lub
wyłączanie dziennika pakietów.
Aby włączyć dziennik pakietów:
1
W kliencie, na stronie Stan, z prawej strony pozycji Ochrona przed
zagrożeniami sieciowymi kliknij pozycję Opcje, a następnie kliknij pozycję
Zmień ustawienia.
2
W oknie dialogowym Ustawienia ochrony przed zagrożeniami sieciowymi
kliknij pozycję Dzienniki.
3
Zaznacz opcję Włącz dziennik pakietów.
4
Śledzenie wsteczne zarejestrowanych zdarzeń do ich
źródła
Możliwe jest przeprowadzenie śledzenia wstecznego niektórych zarejestrowanych
zdarzeń aż do źródła danych z nimi związanych. Mechanizm śledzenia wstecznego
wskazuje dokładne kroki, lub inaczej przeskoki, na drodze ruchu przychodzącego.
Przeskok jest to punkt przejścia, taki jak router, pokonywany przez pakiet danych
na drodze między komputerami w Internecie. Mechanizm śledzenia wstecznego
odtwarza ścieżkę pakietu danych, ustalając routery na drodze tego pakietu do
komputera użytkownika.
W przypadku niektórych wpisów dziennika można przeprowadzić śledzenie
pakietu danych użytego przy próbie ataku. Każdy router na drodze pakietu danych
ma ustalony adres IP. Użytkownik może wyświetlić ten adres IP i inne szczegóły.
Wyświetlane informacje nie gwarantują ustalenia prawdziwej tożsamości hakera.
Adres IP ostatniego przeskoku wskazuje właściciela routera, za pośrednictwem
którego hakerzy nawiązali połączenie i nie musi identyfikować samych hakerów.
Użytkownik może przeprowadzić śledzenie wsteczne niektórych zdarzeń
zarejestrowanych w dzienniku zabezpieczeń i dzienniku ruchu.
Aby przeprowadzić śledzenie wsteczne zarejestrowanego zdarzenia:
1
W programie klienckim kliknij pozycję Wyświetl dzienniki na pasku bocznym.
2
Po prawej stronie pozycji Ochrona przed zagrożeniami sieciowymi lub
Zarządzanie klientami kliknij pozycję Wyświetl dzienniki. Następnie kliknij
dziennik zawierający wpis, który chcesz prześledzić.
3
W oknie widoku dziennika wybierz wiersz zawierający wpis, który chcesz
prześledzić.
4
Kliknij pozycję Działanie, a następnie kliknij pozycję Śledzenie wsteczne.
5
W oknie dialogowym Informacje o śledzeniu wstecznym kliknij pozycję Who
is > >, aby wyświetlić szczegółowe informacje o każdym przeskoku.
Na panelu rozwijanym wyświetlone zostaną informacje o właścicielu adresu
IP, z którego pochodzi śledzone zdarzenie ruchu. Używając kombinacji
klawiszy Ctrl+C i Ctrl+V, można wyciąć informacje z panelu i wkleić je w
wiadomości e-mail do administratora.
6
Kliknij ponownie pozycję Who is <<, aby ukryć informacje szczegółowe.
7
Po zakończeniu kliknij przycisk OK.
Informacje z niektórych dzienników można wyeksportować do pliku wartości
rozdzielanych przecinkami (.csv) lub pliku bazy danych programu Access (.mdb).
Format .csv to popularny format plików używany do importowania danych przez
większość arkuszy kalkulacyjnych i baz danych. Dane te można wykorzystać w
innym programie do utworzenia prezentacji i wykresów lub połączenia z innymi
informacjami. Informacje z dzienników funkcji Ochrona przed zagrożeniami
sieciowymi i Zarządzanie klientami można wyeksportować do plików wartości
rozdzielanych tabulatorami.
53
54
Uwaga: Jeśli oprogramowanie klienckie działa w instalacji Server Core systemu
Windows Server 2008, nie można wyeksportować danych dziennika do pliku .mdb.
Format .mdb wymaga aplikacji firmy Microsoft niedostępnych w instalacji Server
Core.
Do pliku .csv lub .mdb można wyeksportować następujące dzienniki:
■
Dziennik systemu funkcji Ochrona przed wirusami i programami typu spyware
■
Dziennik zagrożeń funkcji Ochrona przed wirusami i programami typu spyware
■
Dziennik skanowania funkcji Ochrona przed wirusami i programami typu
spyware
■
Dziennik systemu funkcji Zapobieganie zagrożeniom
■
Dziennik zagrożeń funkcji Zapobieganie zagrożeniom
■
Dziennik funkcji Ochrona przed naruszeniem integralności
Uwaga: Po zastosowaniu jakiegokolwiek filtrowania danych dziennika
wyeksportowane zostaną tylko dane zgodne z aktualnym filtrem. Ograniczenie
to nie dotyczy dzienników eksportowanych do pliku wartości rozdzielanych
tabulatorami. W takim przypadku eksportowane są wszystkie dane zawarte w
tych dziennikach.
Do pliku wartości rozdzielanych tabulatorami z rozszerzeniem .txt można
wyeksportować następujące dzienniki:
■
Dziennik kontroli funkcji Zarządzanie klientami
■
Dziennik zabezpieczeń funkcji Zarządzanie klientami
■
Dziennik systemu funkcji Zarządzanie klientami
■
Dziennik pakietów funkcji Ochrona przed zagrożeniami sieciowymi
■
Dziennik ruchu funkcji Ochrona przed zagrożeniami sieciowymi
Uwaga: Oprócz pliku tekstowego wartości rozdzielanymi tabulatorami można
także wyeksportować dane z dziennika pakietów w formacie monitora sieci lub
formacie NetXray.
W instalacji Server Core systemu Windows Server 2008 okna dialogowe interfejsu
użytkownika mogą różnić się od okien dialogowych opisanych w tych procedurach.
Aby wyeksportować dane do pliku .csv:
1
2
Obok pozycji Ochrona przed wirusami i programami typu spyware lub
Zapobieganie zagrożeniom kliknij pozycję Wyświetl dzienniki.
3
Kliknij nazwę żądanego dziennika.
4
W oknie dziennika sprawdź, czy wyświetlane są dane, które chcesz zapisać,
a następnie kliknij pozycję Eksportuj.
5
Na liście rozwijanej Zapisz w przejdź do katalogu, w którym chcesz zapisać
plik.
6
W polu tekstowym Nazwa pliku wpisz żądaną nazwę pliku.
7
Kliknij przycisk Zapisz.
8
Aby wyeksportować dane dzienników funkcji Ochrona przed zagrożeniami
sieciowymi lub Zarządzanie klientami do pliku tekstowego:
1
2
Po prawej stronie pozycji Ochrona przed zagrożeniami sieciowymi lub
Zarządzanie klientami kliknij pozycję Wyświetl dzienniki.
3
Kliknij nazwę dziennika, z którego chcesz wyeksportować dane.
4
Kliknij menu Plik > Eksportuj.
Jeżeli wybrany został dziennik pakietów, można zamiast tego kliknąć polecenie
Eksportuj do formatu monitora sieci lub Eksportuj do formatu Netxray.
5
Na liście rozwijanej Zapisz w przejdź do katalogu, w którym chcesz zapisać
plik.
6
W polu tekstowym Nazwa pliku wpisz żądaną nazwę pliku.
7
Kliknij przycisk Zapisz.
8
Kliknij pozycję Plik > Zakończ.
55
56
Rozdział
4
Zarządzanie skanowaniami
■
Zarządzanie skanowaniami na komputerze
■
Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware
■
Planowanie skanowania zdefiniowanego przez użytkownika
■
Planowanie uruchamiania skanowania na żądanie lub przy uruchomieniu
komputera
■
Zarządzanie wykryciami funkcji Download Insight na komputerze
■
Dostosowanie ustawień funkcji Download Insight
■
Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów
typu spyware
■
Konfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnego
oprogramowania i zagrożeń bezpieczeństwa
■
Wykluczanie elementów ze skanowań — informacje
■
Wykluczanie elementów ze skanowań
■
Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim
■
Przesyłanie informacji o wykryciach do centrum Symantec Security Response
— informacje
■
■
Klient i Centrum zabezpieczeń systemu Windows — informacje
■
Zarządzanie funkcją SONAR na komputerze klienckim
58
Klient zarządzany domyślnie uruchamia skanowanie aktywne codziennie o 12:30.
Klient niezarządzany jest instalowany z wyłączonym wstępnie ustawionym
skanowaniem aktywnym.
Użytkownik klienta niezarządzanego może zarządzać swoimi skanowaniami. Na
kliencie zarządzanym użytkownik może konfigurować swoje skanowania, o ile
administrator udostępnił te ustawienia.
Tabela 4-1
Krok
Opis
Zapoznanie się ze
sposobem działania
skanowań
Należy sprawdzić typy skanowań oraz typy wirusów i zagrożeń
bezpieczeństwa.
Aktualizacja definicji
wirusów
Należy się upewnić, że na komputerze zainstalowane są
najnowsze definicje wirusów.
Patrz „Sposób działania skanowań w poszukiwaniu wirusów i
programów typu spyware” na stronie 64
Patrz „Aktualizowanie systemu ochrony komputera”
na stronie 36
Sprawdzenie, czy funkcja Funkcja Automatyczna ochrona jest domyślnie włączona.
Automatyczna ochrona Funkcja Automatyczna ochrona powinna być zawsze włączona.
jest włączona
Wskutek wyłączenia funkcji Automatyczna ochrona wyłączona
zostaje funkcja Download Insight, a funkcja SONAR nie może
wykonywać wykrywania heurystycznego.
Patrz „Włączanie lub wyłączanie funkcji Automatyczna ochrona”
na stronie 46
Skanowanie komputera
Komputer należy regularnie skanować w poszukiwaniu wirusów
i zagrożeń bezpieczeństwa. Należy się upewnić, że skanowania
są przeprowadzane regularnie, sprawdzając datę ostatniego
skanowania.
Patrz „Planowanie skanowania zdefiniowanego przez
użytkownika” na stronie 75
Krok
Opis
Wstrzymywanie lub
odraczanie skanowań
Podczas skanowań na żądanie, zaplanowanych, przy
uruchomieniu oraz zdefiniowanych przez użytkownika program
Symantec Endpoint Protection domyślnie wyświetla okno
dialogowe przedstawiające postęp skanowania. Ponadto funkcja
Automatyczna ochrona może wyświetlać okno dialogowe
wyników skanowania, gdy wykryty zostanie wirus lub zagrożenie
bezpieczeństwa. Powiadomienia te można wyłączyć.
Funkcja wstrzymania umożliwia zatrzymanie skanowania w
dowolnej chwili i wznowienie go w późniejszym czasie. Można
wstrzymywać wszystkie skanowania zainicjowane przez
użytkownika.
W sieci zarządzanej administrator określa, czy użytkownik może
wstrzymywać skanowania inicjowane przez administratora.
Jeśli opcja Wstrzymaj skanowanie jest niedostępna, to znaczy,
że administrator wyłączył funkcję wstrzymywania. Jeśli
administrator włączył funkcję odraczania, użytkownik może na
określony czas odraczać wykonanie skanowań zaplanowanych
przez administratora.
Wznowione skanowanie rozpoczyna się od miejsca, w którym
zostało przerwane.
Uwaga: W przypadku wstrzymania skanowania w chwili, gdy
klient skanuje plik skompresowany, klient może zareagować na
żądanie wstrzymania dopiero po kilku minutach.
59
60
Krok
Opis
Interakcja z wynikami
skanowania
Gdy uruchomione jest skanowanie, wyświetlane może być okno
dialogowe z wynikami skanowania. Za pomocą okna dialogowego
z wynikami skanowania można wykonać działania wobec
elementów wykrytych przez skanowanie.
W sieci zarządzanej okno dialogowe postępu skanowania może
nie być wyświetlane podczas skanowań inicjowanych przez
administratora. Administrator może wyłączyć opcję
wyświetlania wyników w przypadku wykrycia wirusa lub
zagrożenia bezpieczeństwa przez klienta. W niektórych
przypadkach administrator może zezwolić użytkownikowi na
wyświetlanie wyników skanowania, ale nie na wstrzymanie ani
wznawianie skanowania.
Uwaga: W używanej wersji językowej systemu operacyjnego
niektóre znaki w nazwach wirusów wyświetlanych w oknie
dialogowym wyników skanowania mogą nie być interpretowane
poprawnie. Jeśli system operacyjny nie może zinterpretować
znaków, wyświetlane są one w powiadomieniach jako znaki
zapytania. Na przykład nazwy niektórych wirusów mogą
zawierać dwubajtowe znaki Unicode. Na komputerach klienckich
z systemem operacyjnym w wersji angielskiej znaki te są
wyświetlane jako znaki zapytania.
Patrz „Reagowanie na wykrycie wirusa lub zagrożenia”
na stronie 24
Krok
Opis
Dostosowanie skanowań Domyślnie program Symantec Endpoint Protection zapewnia
w celu zwiększenia
wysoki poziom zabezpieczeń, zarazem minimalizując
wydajności komputera
niekorzystny wpływ na wydajność komputera. Ustawienia można
dostosować, aby dodatkowo zwiększyć wydajność komputera.
W przypadku skanowań zaplanowanych i na żądanie można
zmienić następujące opcje:
Optymalizacja skanowania
Można ustawić opcję optymalizacji skanowania Najwyższa
wydajność aplikacji.
■ Pliki skompresowane
Można zmienić liczbę poziomów skanowania plików
skompresowanych.
■ Wznawiane skanowania
Można określić maksymalną długość czasu skanowania.
Skanowanie będzie wznawiane podczas bezczynności
komputera.
■ Skanowania w terminach losowych
Można określić losowy czas uruchamiania skanowania w
określonym przedziale czasu.
■
Można również wyłączyć skanowania przy uruchamianiu lub
zmienić harmonogram skanowań zaplanowanych.
Patrz „Dostosowywanie ustawień skanowań w poszukiwaniu
wirusów i programów typu spyware” na stronie 84
Patrz „Planowanie skanowania zdefiniowanego przez
użytkownika” na stronie 75
61
62
Krok
Opis
Dostosowanie skanowań W większości przypadków domyślne ustawienia skanowania
w celu zwiększenia
zapewniają wystarczającą ochronę komputera. W niektórych
ochrony komputera
przypadkach może być konieczne zwiększenie ochrony.
Zwiększenie ochrony może mieć negatywny wpływ na wydajność
komputera.
W przypadku skanowań zaplanowanych i na żądanie można
zmienić następujące opcje:
Wydajność skanowania
Można ustawić opcję optymalizacji skanowania Najwyższa
wydajność skanowania.
■ Działania skanowania
Zmienić działania naprawcze wykonywane po wykryciu
wirusa.
■ Czas trwania skanowania
Domyślnie skanowania zaplanowane są uruchamiane do
końca określonego przedziału czasu, a następnie wznawiane,
gdy komputer kliencki jest bezczynny. Użytkownik może
ustawić czas trwania skanowania Skanowanie aż do
zakończenia.
■ Wyszukiwanie Insight
Funkcja Wyszukiwanie Insight używa najnowszego zestawu
definicji do skanowania i podejmowania decyzji dotyczących
plików. Stosuje również technologię oceny reputacji firmy
Symantec. Funkcja Wyszukiwanie Insight powinna być
włączona. Ustawienia funkcji Wyszukiwanie Insight są
podobne do ustawień funkcji Download Insight.
■
Można także podwyższyć poziom ochrony przy użyciu
technologii Bloodhound. Technologia Bloodhound wydziela i
izoluje logiczne obszary pliku w celu wykrywania sposobu
działania typowego dla wirusów. Automatyczny poziom
wykrywania można zmienić na Agresywny, aby podwyższyć
poziom ochrony na komputerze. Ustawienie Agresywny
skutkuje jednak zazwyczaj większą liczbą fałszywych alarmów.
Krok
Opis
Modyfikacja ustawień
Można zmienić następujące opcje funkcji Automatyczna
funkcji Automatyczna
ochrona:
ochrona w celu
■ Pamięć podręczna plików
zwiększenia wydajności
Pamięć podręczna plików powinna być włączona (ustawienie
komputera lub
domyślne). Gdy pamięć podręczna plików jest włączona,
zwiększenia ochrony
funkcja Automatyczna ochrona zapamiętuje przeskanowane,
niezainfekowane pliki i nie skanuje ich ponownie.
■ Ustawienia sieci
Gdy funkcja Automatyczna ochrona na komputerach
zdalnych jest włączona, opcja Tylko wówczas, gdy pliki są
wykonywane powinna być włączona.
■ Można również określić, że funkcja Automatyczna ochrona
ufa plikom na komputerach zdalnych i używa pamięci
podręcznej sieci.
Automatyczna ochrona domyślnie skanuje pliki podczas ich
zapisywania z komputera użytkownika na komputerze
zdalnym. Automatyczna ochrona skanuje także pliki podczas
ich zapisywania z komputera zdalnego na komputerze
użytkownika.
Pamięć podręczna sieci przechowuje rejestr plików, które
Automatyczna ochrona przeskanowała z komputera
zdalnego. Używając pamięci podręcznej sieci, zapobiega się
skanowaniu przez funkcję Automatyczna ochrona tego
samego pliku więcej niż raz.
Zarządzanie wykryciami Funkcja Download Insight sprawdza pliki, które użytkownik
funkcji Download Insight próbuje pobrać za pomocą przeglądarek internetowych i
komunikatorów internetowych oraz innych portali. Funkcja
Download Insight stosuje informacje o reputacji z usługi
Symantec Insight w celu podejmowania decyzji dotyczących
plików.
Patrz „Zarządzanie wykryciami funkcji Download Insight na
komputerze” na stronie 80
Zarządzanie funkcją
SONAR
Funkcja SONAR jest częścią funkcji Zapobieganie zagrożeniom.
Identyfikacja wyjątków
skanowania
Należy wykluczyć ze skanowania bezpieczne pliki lub procesy.
Patrz „Zarządzanie funkcją SONAR na komputerze klienckim”
na stronie 102
63
64
Krok
Opis
Przesyłanie informacji o Domyślnie komputer kliencki wysyła informacje o wykryciach
wykryciach do firmy
do centrum Symantec Security Response. Można wyłączyć
Symantec
wysyłki lub wybrać rodzaje przesyłanych informacji.
Firma Symantec zaleca niewyłączanie wysyłek. Informacje te
ułatwiają firmie Symantec eliminowanie zagrożeń.
Patrz „Przesyłanie informacji o wykryciach do centrum
Symantec Security Response” na stronie 99
Zarządzanie plikami
poddanymi
kwarantannie
Program Symantec Endpoint Protection poddaje zainfekowane
pliki kwarantannie i przenosi je do lokalizacji, z której nie mogą
infekować innych plików na komputerze.
Jeśli pliku poddanego kwarantannie nie można naprawić,
użytkownik musi podjąć decyzję, co zrobić z plikiem.
Można także wykonać następujące działania:
Usunięcie pliku poddanego kwarantannie, jeśli dostępna jest
kopia zapasowa pliku lub plik zastępczy z zaufanego źródła.
■ Pozostawienie plików z nieznanymi infekcjami w obszarze
kwarantanny, dopóki firma Symantec nie wyda nowych
definicji wirusów.
■ Co pewien czas należy sprawdzić pliki poddane
kwarantannie, aby nie dopuścić do nagromadzenia dużej
liczby plików. Pliki poddane kwarantannie należy sprawdzać,
gdy w sieci pojawi się nowa infekcja wirusowa.
■
Patrz „Zarządzanie plikami poddanymi kwarantannie na
komputerze klienckim” na stronie 93
Patrz „Poddawanie plików kwarantannie — informacje”
na stronie 95
Sposób działania skanowań w poszukiwaniu wirusów
i programów typu spyware
Skanowania w poszukiwaniu wirusów i zagrożeń bezpieczeństwa identyfikują i
neutralizują lub eliminują wirusy i zagrożenia bezpieczeństwa znalezione na
komputerach. Skanowanie eliminuje wirusa lub zagrożenie, stosując następujący
proces:
■
Mechanizm skanowania przeszukuje pliki i inne składniki na komputerze w
poszukiwaniu śladów wirusów. Każdy wirus zawiera rozpoznawalny wzorzec,
zwany sygnaturą. Na kliencie zainstalowany jest plik definicji wirusów
zawierający znane sygnatury wirusów bez ich destrukcyjnego kodu. Mechanizm
skanowania porównuje każdy plik lub składnik z plikiem definicji wirusów.
Jeśli mechanizm skanowania znajdzie dopasowanie, plik jest zainfekowany.
■
Mechanizm skanowania używa plików definicji w celu ustalenia, czy doszło
do infekcji wirusem lub zagrożeniem. Następnie mechanizm skanowania
podejmuje działanie naprawcze wobec zainfekowanego pliku. W celu naprawy
zainfekowanego pliku klient oczyszcza lub usuwa plik albo poddaje go
kwarantannie.
Patrz „Sposób reakcji skanowań na wykrycie wirusa lub zagrożenia”
na stronie 73
Tabela 4-2 przedstawia obszary komputera skanowane przez klienta.
Tabela 4-2
Obszary komputera skanowane przez klienta
Składnik
Opis
Wybrane pliki
Klient skanuje wybrane pliki. W większości typów skanowania
żądane pliki wybiera użytkownik.
Oprogramowanie klienckie stosuje skanowanie oparte na wzorcach
w celu wyszukania w plikach oznak wirusów. Oznaki wirusów zwane
są wzorcami lub sygnaturami. W celu identyfikacji wirusa każdy
plik jest porównywany z nieszkodliwymi sygnaturami zawartymi
w pliku definicji wirusów.
Jeśli wirus zostanie wykryty, klient domyślnie próbuje go usunąć z
zainfekowanego pliku. Jeśli usunięcie okaże się niemożliwe, klient
poddaje plik kwarantannie w celu uniemożliwienia dalszego
infekowania komputera.
Klient stosuje również skanowanie oparte na wzorcach w celu
wyszukiwania oznak zagrożeń bezpieczeństwa w plikach i kluczach
rejestru systemu Windows. W razie znalezienie zagrożenia
bezpieczeństwa klient domyślnie poddaje zainfekowane pliki
kwarantannie i usuwa skutki działania zagrożenia. Jeśli jest to
niemożliwe, klient rejestruje próbę.
Pamięć RAM
Klient przeszukuje pamięć komputera. Każdy wirus plików, wirus
sektora rozruchowego lub wirus makr może być wirusem
rezydującym w pamięci. Wirusy rezydentne kopiują się do pamięci
komputera. W pamięci mogą pozostać ukryte, dopóki nie nastąpi
uaktywniające je zdarzenie. Następnie wirus może przenieść się na
dyskietkę znajdującą się w napędzie lub na dysk twardy. Wirusa
znajdującego się w pamięci nie można usunąć. Można jednak usunąć
wirusa z pamięci, ponownie uruchamiając komputer w odpowiedzi
na wyświetlony monit.
65
66
Składnik
Opis
Sektor rozruchowy
Klient sprawdza sektor rozruchowy komputera w poszukiwaniu
wirusów. Sprawdzane są dwa elementy: tablice partycji i główny
rekord rozruchowy.
Dyskietki
Wirusy często rozprzestrzeniają się na dyskietkach. Dyskietka może
pozostać w napędzie podczas uruchamiania lub wyłączania
komputera. Gdy uruchomione zostaje skanowanie, klient przeszukuje
sektor rozruchowy i tabele partycji dyskietki znajdującej się w
napędzie. Podczas wyłączania komputera wyświetlany jest monit o
wyjęcie dyskietki w celu zapobieżenia ewentualnej infekcji.
Typy skanowań — informacje
Program Symantec Endpoint Protection oferuje różne typy skanowań w celu
zapewnienia ochrony przed różnymi typami wirusów i zagrożeń.
Domyślnie program Symantec Endpoint Protection uruchamia skanowanie aktywne
codziennie o 12:30. Program Symantec Endpoint Protection uruchamia skanowanie
aktywne również po nadejściu nowych definicji na komputer kliencki. Na
komputerach niezarządzanych program Symantec Endpoint Protection oferuje
również (wyłączoną) opcję domyślnego skanowania przy uruchamianiu.
Na klientach niezarządzanych należy codziennie uruchamiać na komputerze
skanowanie aktywne. W przypadku podejrzenia, że na komputerze znajduje się
nieaktywne zagrożenie, można zaplanować uruchamianie skanowania pełnego
raz w tygodniu lub raz w miesiącu. Skanowania pełne bardziej obciążają zasoby
komputera i mogą obniżyć wydajność komputera.
Tabela 4-3
Typy skanowania
Typ skanowania
Opis
Automatyczna ochrona
Funkcja Automatyczna ochrona nieustannie analizuje pliki i dane wiadomości e-mail
podczas ich zapisywania lub odczytu na komputerze. Funkcja Automatyczna ochrona
automatycznie neutralizuje lub eliminuje wykryte wirusy i zagrożenia bezpieczeństwa.
Funkcja Automatyczna ochrona chroni również wysyłane i odbierane wiadomości e-mail.
Patrz „Typy funkcji Automatyczna ochrona — informacje” na stronie 68
Typ skanowania
Opis
Download Insight
Funkcja Download Insight zwiększa ochronę zapewnianą przez funkcję Automatyczna
ochrona, sprawdzając pliki, które użytkownicy próbują pobrać za pomocą przeglądarek
i innych portali.
Funkcja Download Insight używa danych o reputacji w celu podejmowania decyzji
dotyczących plików. Wynik reputacji plików jest określany przez technologię firmy
Symantec o nazwie Insight. Usługa Insight analizuje nie tylko źródło pliku, lecz również
jego kontekst. Usługa Insight zapewnia ocenę bezpieczeństwa, którą funkcja Download
Insight stosuje w celu podjęcia decyzji dotyczących plików.
Funkcja Download Insight jest częścią funkcji Automatyczna ochrona i wymaga, aby
funkcja Automatyczna ochrona była włączona. Wskutek wyłączenia funkcji Automatyczna
ochrona wyłączona zostaje funkcja Download Insight, nawet jeśli funkcja Download
Insight jest włączona.
Patrz „Sposób stosowania danych o reputacji w celu podejmowania decyzji dotyczących
plików przez program Symantec Endpoint Protection” na stronie 74
67
68
Typ skanowania
Opis
Skanowania
administratora i
skanowania
zdefiniowane przez
użytkownika
Dla klientów zarządzanych administrator może tworzyć skanowania zaplanowane lub
uruchamiać skanowania na żądanie. W przypadku klientów niezarządzanych lub klientów
zarządzanych z odblokowanymi ustawieniami skanowania użytkownicy mogą tworzyć i
uruchamiać własne skanowania.
Skanowania zdefiniowane przez administratora lub użytkownika wykrywają wirusy i
zagrożenia bezpieczeństwa, analizując wszystkie pliki oraz procesy na komputerze
klienckim. Te typy skanowania mogą również sprawdzać pamięć i punkty ładowania.
Dostępne są następujące typy skanowań zdefiniowanych przez administratora lub
użytkownika:
Skanowania zaplanowane
Skanowanie zaplanowane jest uruchamiane na komputerach klienckich w
wyznaczonych terminach. Skanowania zaplanowane na ten sam termin są uruchamiane
po kolei. Jeśli podczas skanowania zaplanowanego komputer będzie wyłączony,
skanowanie nie zostanie wykonane, chyba że jest skonfigurowane do ponawiania w
razie pominięcia. Można zaplanować skanowanie aktywne, pełne lub niestandardowe.
Skonfigurowane ustawienia skanowania zaplanowanego można zapisać jako szablon.
Dowolnych ustawień skanowania zapisanych jako szablon można użyć jako podstawy
innego skanowania. Szablony skanowań pozwalają oszczędzić czas podczas
konfigurowania wielu zasad. Szablon skanowania zaplanowanego jest domyślnie
uwzględniony w zasadzie. Domyślne skanowanie zaplanowane obejmuje wszystkie
pliki i katalogi.
■ Skanowania przy uruchomieniu i skanowania wyzwalane zdarzeniami
Skanowania przy uruchomieniu są uruchamiane po każdym zalogowaniu
użytkowników na komputerach. Skanowania wyzwalane zdarzeniami są uruchamiane
po pobraniu nowych definicji wirusów na komputery.
■ Skanowania na żądanie
Skanowanie na żądanie to skanowania uruchamiane ręcznie przez użytkownika.
Skanowania na żądanie można uruchomić ze strony Skanowanie w poszukiwaniu
zagrożeń.
■
SONAR
Funkcja SONAR która oferuje ochronę w czasie rzeczywistym przeciw nowym atakom.
Funkcja SONAR może powstrzymać ataki, zanim tradycyjne metody oparte na definicjach
i sygnaturach umożliwią wykrywanie zagrożenia. Funkcja SONAR stosuje również analizę
heurystyczną oraz dane o reputacji w celu podejmowania decyzji dotyczących plików.
Podobnie jak prewencyjne skanowania w poszukiwaniu zagrożeń, funkcja SONAR wykrywa
programy rejestrujące naciśnięcia klawiszy, programy typu spyware i wszelkie inne
aplikacje destrukcyjne faktycznie lub potencjalnie.
Typy funkcji Automatyczna ochrona — informacje
Funkcja Automatyczna ochrona skanuje pliki oraz określone typy wiadomości
e-mail i załączników do wiadomości e-mail.
Jeśli na komputerze klienckim stosowane są inne produkty zabezpieczające pocztę
e-mail, takie jak program Symantec Mail Security, włączenie funkcji Automatyczna
ochrona poczty elektronicznej może być zbędne.
Automatyczna ochrona współpracuje tylko z obsługiwanymi klientami pocztowymi.
Nie działa na serwerach pocztowych.
Uwaga: W razie wykrycia wirusa otwieranie wiadomości e-mail może zająć kilka
sekund, gdyż funkcja Automatyczna ochrona musi ukończyć jej skanowanie.
Tabela 4-4
Typy funkcji Automatyczna ochrona
Typ funkcji Automatyczna
ochrona
Opis
Nieustannie skanuje pliki podczas ich odczytu lub zapisu na komputerze
Funkcja Automatyczna ochrona jest domyślnie włączona dla systemu plików.
Ładowana jest przy uruchomieniu systemu komputera. Sprawdza wszystkie pliki
w poszukiwaniu wirusów i zagrożeń bezpieczeństwa oraz blokuje instalację
zagrożeń bezpieczeństwa. Może opcjonalnie skanować pliki według rozszerzeń,
skanować pliki na komputerach zdalnych i skanować dyskietki w poszukiwaniu
wirusów rekordu rozruchowego. Opcjonalnie może tworzyć kopie zapasowe
plików przed podjęciem próby ich naprawy oraz wymuszać zakończenie procesów
i zatrzymanie usług.
Funkcję Automatyczna ochrona można skonfigurować do skanowania jedynie
plików o wybranych rozszerzeniach. Jeżeli skanowane mają być wybrane
rozszerzenia plików, funkcja Automatyczna ochrona potrafi ustalić typ pliku,
nawet jeżeli wirus zmieni jego rozszerzenie.
Jeśli nie jest uruchomiona Automatyczna ochrona poczty elektronicznej, ale
włączona jest funkcja Automatyczna ochrona, komputery klienckie są nadal
chronione. Większość aplikacji pocztowych zapisuje załączniki wiadomości e-mail
w katalogu tymczasowym, gdy użytkownicy uruchamiają załączniki. Funkcja
Automatyczna ochrona skanuje plik podczas jego zapisu w katalogu tymczasowym
i wykrywa wszelkie wirusy lub zagrożenia bezpieczeństwa. Wirus zostanie również
wykryty przez funkcję Automatyczna ochrona, jeżeli użytkownik będzie próbował
zapisać zainfekowany załącznik na dysku lokalnym lub sieciowym.
69
70
Typ funkcji Automatyczna
ochrona
Opis
internetowej poczty e-mail
Skanuje pocztę internetową (POP3 lub SMTP) i załączniki w poszukiwaniu wirusów
i zagrożeń bezpieczeństwa, a także przeprowadza skanowanie heurystyczne
poczty wychodzącej.
Automatyczna ochrona internetowej poczty e-mail domyślnie obsługuje
szyfrowane hasła i wiadomości przesyłane przez połączenia protokołów POP3 i
SMTP. Jeżeli używane są protokoły POP3 i SMTP z warstwą SSL (Secure Sockets
Layer), klient wykrywa połączenia zabezpieczone, ale nie skanuje szyfrowanych
wiadomości.
Uwaga: Z powodu negatywnego wpływu na wydajność Automatyczna ochrona
internetowej poczty e-mail dla połączeń POP3 nie jest obsługiwana w systemach
operacyjnych dla serwerów. Skanowanie internetowej poczty e-mail nie jest także
obsługiwane na komputerach 64-bitowych.
Skanowanie poczty elektronicznej nie obsługuje usług IMAP, AOL ani HTTP,
takich jak Hotmail lub Yahoo! Mail.
Automatyczna ochrona poczty
Microsoft Outlook
Skanuje wiadomości e-mail w programie Microsoft Outlook (MAPI i Internet)
oraz załączniki w poszukiwaniu wirusów i zagrożeń bezpieczeństwa
Obsługiwana w programie Microsoft Outlook 98/2000/2002/2003/2007/2010
(MAPI i Internet)
Jeżeli program Microsoft Outlook jest już zainstalowany na komputerze podczas
instalacji oprogramowania klienckiego, aplikacja pocztowa zostanie wykryta
przez oprogramowanie klienckie. Klient automatycznie zainstaluje funkcję
Automatyczna ochrona poczty Microsoft Outlook.
W razie używania programu Microsoft Outlook z interfejsem MAPI albo klienta
Microsoft Exchange, gdy funkcja Automatyczna ochrona jest włączona dla
wiadomości e-mail, załączniki są pobierane natychmiast. Załączniki są skanowane
podczas ich otwierania. Jeżeli za pomocą wolnego połączenia pobierany jest duży
załącznik, wpływa to negatywnie na szybkość działania poczty. Funkcję tę można
wyłączyć, jeżeli często odbierane są załączniki o dużych rozmiarach.
Uwaga: Na serwerach Microsoft Exchange nie należy instalować składnika
Automatyczna ochrona poczty Microsoft Outlook.
Automatyczna ochrona poczty
Lotus Notes
Skanuje wiadomości e-mail w programie Lotus Notes oraz załączniki w
poszukiwaniu wirusów i zagrożeń bezpieczeństwa
Obsługiwana w programie Lotus Notes 4.5x, 4.6, 5.0 i 6.x
Jeżeli program Lotus Notes jest już zainstalowany na komputerze podczas
instalacji oprogramowania klienckiego, aplikacja pocztowa zostanie wykryta
przez oprogramowanie klienckie. Klient automatycznie zainstaluje funkcję
Automatyczna ochrona poczty Lotus Notes.
Wirusy i zagrożenia bezpieczeństwa — informacje
Program Symantec Endpoint Protection przeprowadza skanowania w poszukiwaniu
zarówno wirusów, jak i zagrożeń bezpieczeństwa. Zagrożenia bezpieczeństwa to
programy typu spyware, adware i narzędzia typu rootkit oraz inne pliki, które
mogą zagrażać komputerowi lub sieci.
Wirusy i zagrożenia bezpieczeństwa można otrzymać w wiadomościach e-mail
lub wiadomościach przesłanych za pomocą komunikatorów internetowych. Można
nieświadomie pobrać zagrożenie, akceptując umowę licencyjną innego
oprogramowania.
Wiele wirusów i zagrożeń bezpieczeństwa instalowanych jest wskutek ataków
„drive-by download”. Do tego typu pobrań dochodzi podczas odwiedzania
destrukcyjnych lub zainfekowanych witryn internetowych, a program pobierający
aplikację jest instalowany przy użyciu luki zabezpieczeń komputera.
Informacje o poszczególnych zagrożeniach można wyświetlić w witrynie
internetowej centrum Symantec Security Response.
Najnowsze informacje na temat zagrożeń można znaleźć w witrynie internetowej
centrum Symantec Security Response. Witryna zawiera również obszerne
informacje techniczne oraz szczegóły dotyczące wirusów i zagrożeń
bezpieczeństwa.
Patrz „Sposób reakcji skanowań na wykrycie wirusa lub zagrożenia” na stronie 73
Ilustracja 4-1
Inne
komputery,
sieciowe
udziały
plików
Sposoby atakowania komputera przez wirusy i zagrożenia
bezpieczeństwa
Dysk flash
USB
Internet
Wirusy,
destrukcyjne
oprogramowanie
i zagrożenia
bezpieczeństwa
Poczta
elektroniczna,
komunikatory
internetowe
Wirusy, destrukcyjne
oprogramowanie i
zagrożenia
bezpieczeństwa
Wirusy,
destrukcyjne
oprogramowanie
i zagrożenia
bezpieczeństwa
Komputer kliencki
71
72
Tabela 4-5 przedstawia listę typów wirusów i zagrożeń, mogących atakować
komputer.
Tabela 4-5
Wirusy i zagrożenia bezpieczeństwa
Zagrożenie
Opis
Wirusy
Programy lub kod, który po uruchomieniu dołącza własną kopię
do innego programu lub pliku. Przy uruchomieniu
zainfekowanego programu dołączony wirus programu jest
uaktywniany i dołącza się do następnych programów i plików.
Do kategorii wirusów zalicza się następujące typy zagrożeń:
■
■
■
■
■
Destrukcyjne roboty internetowe
Programy uruchamiające zautomatyzowane zadania przez
Internet. Roboty mogą być używane do automatyzowania
ataków na komputery w celu zbierania informacji z witryn
internetowych.
Robaki
Programy powielające się bez infekowania innych programów.
Niektóre robaki rozprzestrzeniają się poprzez kopiowanie z
dysku na dysk, a inne powielają się w pamięci w celu obniżenia
wydajności komputera.
Konie trojańskie
Programy ukryte w czymś pozornie niewinnym, takim jak gra
lub program narzędziowy.
Zagrożenia hybrydowe
Są to zagrożenia, które łączą cechy wirusów, robaków, koni
trojańskich i kodu ze słabymi punktami serwerów i Internetu
w celu inicjowania, przesyłania i rozprzestrzeniania ataków.
Zagrożenia hybrydowe wykorzystują wiele metod i technik
umożliwiających im błyskawiczne rozprzestrzenianie się i
powodowanie rozległych szkód.
Narzędzia typu rootkit
Programy ukrywające się przed systemem operacyjnym
komputera.
Adware
Programy wyświetlające treści reklamowe.
Dialery
Programy powodujące łączenie się komputera z Internetem przez
numery typu 0700 lub witryny FTP, bez wiedzy użytkownika.
Zazwyczaj numery te są wybierane w celu naliczenia opłat.
Zagrożenie
Opis
Narzędzia hakerskie
Programy używane przez hakerów w celu uzyskania
nieautoryzowanego dostępu do komputera użytkownika. Na
przykład jednym z narzędzi hakerskich jest program śledzący i
zapisujący poszczególne naciśnięcia klawiszy i wysyłający te
informacje do hakera. Za pomocą tych informacji haker może
następnie wykonać skanowanie portów lub skanowanie w
poszukiwaniu luk w zabezpieczeniach. Narzędzia hakerskie mogą
także zostać użyte do tworzenia wirusów.
Programy – żarty
Programy zmieniające lub przerywające działanie komputera w
sposób, który w zamierzeniu ma rozbawić lub przestraszyć
użytkownika. Przy próbie usunięcia program–żart może na
przykład odsuwać ikonę Kosza od kursora myszy.
Aplikacje
wprowadzające w błąd
Aplikacje celowo błędnie przedstawiające stan zabezpieczeń
komputera. Aplikacje te zazwyczaj wyświetlają fałszywe
powiadomienia dotyczące zabezpieczeń, informujące o rzekomych
infekcjach, które trzeba usunąć.
Programy do kontroli
rodzicielskiej
Programy monitorujące lub ograniczające użytkowanie
komputera. Programy te mogą działać w sposób niewykrywalny
i zazwyczaj przesyłają dane dotyczące monitorowania na inny
komputer.
Programy do zdalnego
dostępu
Programy umożliwiające innemu komputerowi zdalny dostęp
przez Internet w celu zbierania informacji, zaatakowania albo
zmodyfikowania zaatakowanego komputera.
Narzędzie oceny
zabezpieczeń
Programy używane do zbierania informacji w celu uzyskania
nieautoryzowanego dostępu do komputera.
Spyware
Samodzielne programy niepostrzeżenie monitorujące działania
w systemie, wykrywające hasła oraz inne poufne informacje i
przesyłające je do innego komputera.
Program śledzący
Programy samodzielne lub dołączane do innych programów,
śledzące działania użytkownika w Internecie i wysyłające te
informacje do systemu kontrolnego lub do hakera.
Sposób reakcji skanowań na wykrycie wirusa lub zagrożenia
Klient reaguje na zainfekowanie plików przez wirusy i zagrożenia bezpieczeństwa
na różne sposoby zgodnie z ustawieniami dla danego typu zagrożenia. Wobec
każdego typu zagrożenia podejmowane jest pierwsze działanie, a jeśli zakończy
się ono niepowodzeniem — drugie działanie.
73
74
Sposoby reagowania skanowania na wirusy i zagrożenia
bezpieczeństwa
Tabela 4-6
Typ zagrożenia Działanie
Wirus
Gdy klient wykryje wirusa, domyślnie:
■
Najpierw próbuje usunąć wirusa z zainfekowanego pliku.
■
Jeżeli klient wyczyści plik, całkowicie usuwa zagrożenie z komputera.
■
Jeżeli klient nie może wyczyścić pliku, rejestruje niepowodzenie w
dzienniku i przenosi zainfekowany plik do obszaru kwarantanny.
Zagrożenie
Gdy klient wykryje zagrożenie bezpieczeństwa, domyślnie:
bezpieczeństwa
■ Poddaje zainfekowany plik kwarantannie.
Podejmuje próbę usunięcia lub naprawy wszelkich zmian dokonanych
przez to zagrożenie.
■ Jeżeli zagrożenia bezpieczeństwa nie można poddać kwarantannie,
jest ono rejestrowane i pozostawiane bez zmian.
■
Zdarza się, że użytkownik nieświadomie instaluje aplikację zawierającą
zagrożenie bezpieczeństwa, takie jak program typu adware lub spyware.
Jeśli firma Symantec uznaje, że poddanie danego zagrożenia kwarantannie
nie szkodzi komputerowi, program kliencki podejmie to działanie.
Natychmiastowe poddanie zagrożenia kwarantannie może spowodować
niestabilny stan komputera. Dlatego przed poddaniem zagrożenia
kwarantannie klient czeka na ukończenie instalacji aplikacji. Następnie
naprawia skutki uboczne zagrożenia.
Dla każdego typu skanowania użytkownik może zmienić ustawienia sposobu
obsługi wirusów i zagrożeń bezpieczeństwa przez klienta. Można wybrać różne
działania dla każdej kategorii i dla poszczególnych zagrożeń bezpieczeństwa.
Sposób stosowania danych o reputacji w celu podejmowania decyzji
dotyczących plików przez program Symantec Endpoint Protection
Firma Symantec zbiera informacje o plikach z globalnej wspólnoty milionów
użytkowników oraz z sieci Global Intelligence Network. Zebrane informacje tworzą
bazę danych reputacji prowadzoną przez firmę Symantec. Produkty firmy
Symantec używają tych informacji w celu zapewnienia komputerom klienckim
ochrony przed nowymi, wyspecjalizowanymi i mutującymi zagrożeniami. Dane
te są „przetwarzane na serwerach Cloud”, ponieważ nie znajdują się na komputerze
klienckim. Komputer kliencki musi wysłać żądanie lub kwerendę do bazy danych
reputacji.
Firma Symantec używa technologii o nazwie Insight w celu określenia poziomu
zagrożenia każdego pliku, czyli „oceny bezpieczeństwa”.
Usługa Insight określa ocenę bezpieczeństwa pliku, sprawdzając następujące
cechy pliku i jego kontekstu:
■
Źródło pliku
■
Wiek pliku
■
Rozpowszechnienie pliku we wspólnocie
■
Inne miary bezpieczeństwa, na przykład sposób, w jaki plik może zostać
skojarzony z destrukcyjnym oprogramowaniem
Funkcje skanowania w programie Symantec Endpoint Protection wykorzystują
usługę Insight w celu podejmowania decyzji dotyczących plików i aplikacji. System
ochrony przed wirusami i programami typu spyware ma funkcję o nazwie
Download Insight. Funkcja Download Insight używa danych o reputacji w celu
dokonywania wykryć. W przypadku wyłączenia wyszukiwań Insight funkcja
Download Insight działa, ale nie może dokonywać wykryć. Inne funkcje ochrony,
takie jak Wyszukiwanie Insight i SONAR, stosują informacje o reputacji w celu
dokonywania wykryć, ale funkcje te mogą w tym celu używać innych technologii.
Domyślnie komputery klienckie wysyłają informacje o wykryciach reputacji do
centrum Symantec Security Response w celu analizy. Informacje te umożliwiają
doskonalenie bazy danych reputacji w usłudze Insight. Im więcej klientów przesyła
informacje, tym przydatniejsza staje się baza danych reputacji.
Wysyłki danych dotyczących reputacji można wyłączyć. Firma Symantec zaleca
jednak niewyłączanie wysyłek.
Komputery klienckie wysyłają również inne typy informacji o wykryciach do
centrum Symantec Security Response.
Patrz „Zarządzanie wykryciami funkcji Download Insight na komputerze”
na stronie 80
Patrz „Przesyłanie informacji o wykryciach do centrum Symantec Security
Response” na stronie 99
Planowanie skanowania zdefiniowanego przez
użytkownika
Skanowania zaplanowane są ważnym składnikiem ochrony przed wirusami i
zagrożeniami bezpieczeństwa. Jako minimum ochrony przed wirusami i
zagrożeniami bezpieczeństwa należy zaplanować przeprowadzanie skanowania
75
76
raz w tygodniu. Nowo utworzone skanowanie pojawia się na liście skanowań w
okienku Skanowanie w poszukiwaniu zagrożeń.
Uwaga: Jeśli administrator utworzył dla użytkownika skanowanie zaplanowane,
będzie ono wyświetlane na liście skanowań w okienku Skanowaniewposzukiwaniu
zagrożeń.
Gdy ma się odbyć skanowanie zaplanowane, komputer musi być uruchomiony, a
usługi programu Symantec Endpoint Protection muszą być załadowane. Usługi
programu Symantec Endpoint Protection Services są domyślnie ładowane po
uruchomieniu komputera.
W przypadku klientów zarządzanych administrator może ustawić wyższy priorytet
dla własnych ustawień.
Jeżeli na tym samym komputerze zaplanuje się kilka skanowań rozpoczynających
się o tej samej porze, skanowania te są uruchamiane po kolei. Kiedy jedno
skanowanie zakończy się, rozpocznie się drugie. Można na przykład zaplanować
na jednym komputerze trzy różne skanowania na godzinę 13:00. Każde skanowanie
obejmuje inny dysk. Jedno skanowanie obejmuje dysk C, drugie — D, a trzecie —
E. W tym przykładzie lepszym rozwiązaniem jest zaplanowanie jednego
skanowania dysków C, D i E.
Aby zaplanować skanowanie zdefiniowane przez użytkownika:
1
W programie klienckim kliknij pozycję Skanuj w poszukiwaniu zagrożeń na
pasku bocznym.
2
Kliknij pozycję Utwórz nowe skanowanie.
3
W oknie dialogowym Tworzenie nowego skanowania – skanowane elementy
wybierz jeden z poniższych typów skanowania w celu jego zaplanowania:
Skanowanie
aktywne
Skanowanie obszarów komputera najczęściej infekowanych przez
wirusy i zagrożenia bezpieczeństwa.
Skanowanie aktywne należy uruchamiać codziennie.
Skanowanie pełne Skanowanie całego komputera w poszukiwaniu wirusów i
zagrożeń bezpieczeństwa.
Skanowanie pełne należy uruchamiać raz w tygodniu lub raz w
miesiącu. Skanowania pełne mogą obniżyć wydajność komputera.
Skanowanie
niestandardowe
Skanowanie wybranych obszarów komputera w poszukiwaniu
wirusów i zagrożeń bezpieczeństwa.
4
Kliknij przycisk Dalej.
5
W razie wybrania opcji Skanowanie niestandardowe zaznacz odpowiednie
pola wyboru, aby określić skanowane lokalizacje, a następnie kliknij przycisk
Dalej.
Stosowane symbole mają następujące znaczenie:
Plik, napęd, lub folder nie jest wybrany. Jeśli element jest napędem lub
folderem, znajdujące się w nim foldery i pliki również nie są wybrane.
Wskazany plik lub folder jest wybrany.
Wskazany folder lub napęd jest wybrany. Wszystkie elementy zawarte w
tym folderze lub napędzie są również wybrane.
Wskazany folder lub napęd nie jest wybrany, ale wybrany jest jeden lub
kilka elementów w tym folderze lub napędzie.
77
78
6
W oknie dialogowym Tworzenie nowego skanowania – opcje skanowania
można zmodyfikować każdą z poniższych opcji:
Typy plików
Umożliwiają zmianę rozszerzeń plików skanowanych przez klienta.
Domyślne ustawienie to skanowanie wszystkich plików.
Działania
Umożliwiają zmianę działań, które mają być podejmowane jako
pierwsze lub drugie działanie w razie znalezienia wirusów i
Powiadomienia Umożliwiają utworzenie komunikatu wyświetlanego w razie
znalezienia wirusa lub zagrożenia bezpieczeństwa. Można również
zadecydować, czy program ma powiadamiać o planowanym podjęciu
działań naprawczych.
Zaawansowane
Umożliwiają zmianę dodatkowych funkcji skanowania, takich jak
wyświetlanie okna dialogowego z wynikami skanowania.
Przyspieszanie
skanowania
Umożliwiają zmianę składników komputera skanowanych przez
klienta. Dostępne opcje są zależne od opcji wybranej w kroku 3.
7
8
W oknie dialogowym Tworzenie nowego skanowania – termin skanowania
kliknij pozycję W określonych terminach, a następnie kliknij przycisk Dalej.
Można również utworzyć skanowanie na żądanie lub skanowanie przy
uruchomieniu.
Patrz „Planowanie uruchamiania skanowania na żądanie lub przy
uruchomieniu komputera” na stronie 79
9
W oknie dialogowym Tworzenie nowego skanowania – harmonogram określ
w obszarze Harmonogram skanowania częstotliwość i terminy skanowania,
a następnie kliknij przycisk Dalej.
10 W obszarze Czas trwania skanowania można określić czas, w którym
skanowanie musi zostać ukończone. Można również skonfigurować losowy
czas uruchamiania skanowania.
11 W obszarze Pominięte skanowania zaplanowane można określić interwał
ponawiania prób skanowania.
12 W oknie dialogowym Tworzenie nowego skanowania – nazwa skanowania
wpisz nazwę i opis skanowania.
Nazwij skanowanie, na przykład: Piątek rano
13 Kliknij przycisk Zakończ.
Planowanie uruchamiania skanowania na żądanie lub przy uruchomieniu komputera
Planowanie uruchamiania skanowania na żądanie lub
przy uruchomieniu komputera
Skanowanie zaplanowane można uzupełnić automatycznym skanowaniem
inicjowanym przy każdym uruchomieniu komputera lub zalogowaniu się na
komputerze. Często skanowanie przy uruchamianiu jest ograniczone do
najważniejszych folderów narażonych na największe ryzyko, takich jak folder
systemu Windows i foldery zawierające szablony programów Microsoft Word i
Excel.
Jeśli zazwyczaj skanowany jest ten sam zestaw plików lub folderów, można
utworzyć skanowanie na żądanie ograniczone tylko do tych elementów. Pozwala
to na szybkie sprawdzenie w dowolnej chwili, czy określone pliki i foldery są wolne
od wirusów i zagrożeń bezpieczeństwa. Skanowania na żądanie muszą być
uruchamiane ręcznie.
W przypadku utworzenia więcej niż jednego skanowania przy uruchamianiu będą
one wykonywane w kolejności utworzenia. Administrator może skonfigurować
klienta w sposób uniemożliwiający użytkownikowi utworzenie skanowania przy
uruchomieniu.
Aby zaplanować uruchamianie skanowania na żądanie lub przy uruchomieniu
komputera:
1
pasku bocznym.
2
Kliknij pozycję Utwórz nowe skanowanie.
3
Określ skanowane elementy i dowolne opcje skanowania zaplanowanego.
Patrz „Planowanie skanowania zdefiniowanego przez użytkownika”
na stronie 75
4
5
W oknie dialogowym Tworzenie nowego skanowania – termin uruchamiania
wykonaj jedno z poniższych działań:
■
Kliknij pozycję Przy uruchomieniu.
■
Kliknij pozycję Na żądanie.
79
80
6
W oknie dialogowym Tworzenie nowego skanowania – nazwa skanowania
wpisz nazwę i opis skanowania.
Nazwij skanowanie, na przykład: MojeSkanowanie1
7
Kliknij przycisk Zakończ.
Zarządzanie wykryciami funkcji Download Insight na
komputerze
Funkcja Automatyczna ochrona obsługuje funkcję Download Insight, sprawdzającą
pliki, które użytkownik próbuje pobrać za pomocą przeglądarek internetowych,
programów do komunikacji tekstowej i innych portali. Funkcja Automatyczna
ochrona musi być włączona, aby funkcja Download Insight mogła działać.
Obsługiwane portale to Internet Explorer, Firefox, Microsoft Outlook, Outlook
Express, Windows Live Messenger i Yahoo Messenger.
Uwaga: W dzienniku zagrożeń szczegóły zagrożenia dotyczące wykrycia funkcji
Download Insight wskazują jedynie pierwszą aplikację portalu, która podjęła próbę
pobrania. Można na przykład spróbować pobrać za pomocą programu Internet
Explorer plik, który wykrywa funkcja Download Insight. Jeśli następnie podjęta
zostanie próba pobrania pliku za pomocą programu Firefox, w polu Pobrane przez
w szczegółach zagrożenia jako portal wyświetlany będzie program Internet
Explorer.
Funkcja Download Insight określa, czy pobrany plik może być zagrożeniem, na
podstawie informacji reputacji pliku. Funkcja Download Insight nie stosuje
sygnatur ani analizy heurystycznej w celu podejmowania decyzji. Jeśli funkcja
Download Insight zezwala na plik, funkcja Automatyczna ochrona lub SONAR
skanuje plik, gdy użytkownik go otwiera lub uruchamia.
Uwaga: Funkcja Automatyczna ochrona może także skanować pliki otrzymane
przez użytkowników jako załączniki wiadomości e-mail.
Tabela 4-7
Zadanie
Opis
Poznanie sposobu stosowania
przez funkcję Download Insight
danych o reputacji w celu
podejmowania decyzji
dotyczących plików
Funkcja Download Insight stosuje informacje o reputacji wyłącznie podczas
podejmowania decyzji dotyczących pobranych plików. Nie stosuje sygnatur ani
analizy heurystycznej w celu podejmowania decyzji. Jeśli funkcja Download
Insight zezwala na plik, funkcja Automatyczna ochrona lub SONAR skanuje
plik, gdy użytkownik go otwiera lub uruchamia.
Reagowanie na wykrycia funkcji
Download Insight
Wyświetlane mogą być powiadomienia o wykryciach funkcji Download Insight.
W przypadku klientów zarządzanych administrator może wyłączyć
powiadomienia o wykryciach funkcji Download Insight.
Gdy powiadomienia są włączone, wyświetlane są komunikaty o wykryciu
destrukcyjnego lub niepotwierdzonego pliku przez funkcję Download Insight.
W przypadku niepotwierdzonych plików użytkownik musi wybrać, czy zezwolić
na plik.
Patrz „Reagowanie na komunikaty funkcji Download Insight z monitem o
zezwolenie lub zablokowanie pliku, który próbuje pobrać użytkownik”
na stronie 28
Tworzenie wyjątków dla
określonych plików lub domen
internetowych
Można utworzyć wyjątek dla aplikacji pobieranej przez użytkowników. Można
także utworzyć wyjątek dla określonej domeny internetowej, która jest
wiarygodna.
Domyślnie funkcja Download Insight nie sprawdza żadnych plików, które
użytkownicy pobierają z zaufanej witryny internetowej lub intranetowej. Zaufane
witryny można skonfigurować na karcie Panel sterowania systemu Windows
> Zaufane witryny internetowe > Zabezpieczenia. Gdy opcja Automatycznie
ufaj wszystkim plikom pobranym z witryny intranetowej jest włączona,
program Symantec Endpoint Protection zezwala na każdy plik pobierany przez
użytkownika z jednej z zaufanych witryn.
Funkcja Download Insight rozpoznaje jedynie jednoznacznie skonfigurowane
witryny zaufane. Symbole wieloznaczne są dozwolone, ale nieroutowalne zakresy
adresów IP nie są obsługiwane. Funkcja Download Insight nie może na przykład
rozpoznać adresu 10.*.*.* jako witryny zaufanej. Funkcja Download Insight nie
obsługuje również witryn wykrytych przy użyciu opcji Opcje internetowe >
Zabezpieczenia > Automatycznie wykryj sieć intranet.
81
82
Zadanie
Opis
Należy upewnić się, że
Funkcja Download Insight wymaga danych o reputacji w celu podejmowania
wyszukiwania Insight są włączone. decyzji dotyczących plików. W przypadku wyłączenia wyszukiwań Insight funkcja
Download Insight działa, ale nie może dokonywać wykryć. Wyszukiwania Insight
są domyślnie włączone.
Dostosowanie ustawień funkcji
Download Insight
Ustawienia funkcji Download Insight można dostosować z następujących
przyczyn:
W celu zwiększenia lub zmniejszenia liczby wykryć funkcji Download Insight.
W celu zwiększenia lub zmniejszenia liczby wykryć można przesunąć suwak
czułości wykrywania destrukcyjnych plików. Na niższych poziomach czułości
funkcja Download Insight wykrywa mniej plików jako destrukcyjne, więcej
plików jako niepotwierdzone. Mniej jest fałszywych alarmów.
Na wyższych poziomach czułości funkcja Download Insight wykrywa więcej
plików jako destrukcyjne, a mniej plików jako niepotwierdzone. Więcej jest
fałszywych alarmów.
■ W celu zmiany działania wobec wykryć destrukcyjnych lub niepotwierdzonych
plików.
Sposób obsługi plików destrukcyjnych lub niepotwierdzonych przez funkcję
Download Insight można zmienić. Można zmienić działanie wobec plików
niepotwierdzonych, aby nie otrzymywać powiadomień o tych wykryciach.
■ W celu uzyskiwania alertów dotyczących wykryć funkcji Download Insight.
Gdy funkcja Download Insight wykrywa destrukcyjny plik, wyświetla
komunikat na komputerze klienckim, jeśli ustawione jest działanie Poddaj
kwarantannie. Działanie Poddaj kwarantannie można cofnąć.
Gdy funkcja Download Insight wykrywa niepotwierdzony plik, wyświetla
komunikat na komputerze klienckim, jeśli dla plików niepotwierdzonych
ustawione jest działanie Monituj lub Poddaj kwarantannie. Jeśli ustawione
jest działanie Monituj, można zezwolić na plik lub zablokować go. Jeśli
ustawione jest działanie Poddaj kwarantannie, można to działanie cofnąć.
Można wyłączyć powiadamianie użytkownika, aby nie mieć wyboru, gdy
funkcja Download Insight wykryje niepotwierdzony plik. Jeśli powiadomienia
pozostają włączone, można dla niepotwierdzonych plików ustawić działanie
Ignoruj, aby zawsze zezwalać na takie pliki bez wyświetlania powiadomienia.
Gdy powiadomienia są włączone, ustawienie czułości wykrywania
destrukcyjnych plików ma wpływ na liczbę wyświetlanych powiadomień.
Zwiększenie poziomu czułości skutkuje zwiększeniem liczby powiadomień,
ponieważ zwiększa się całkowita liczba wykryć.
■
Patrz „Dostosowanie ustawień funkcji Download Insight” na stronie 83
Zadanie
Opis
Przesyłanie informacji o
Domyślnie klient przesyła informacje o wykryciach skanowania reputacji do
wykryciach skanowania reputacji firmy Symantec.
do firmy Symantec
Firma Symantec zaleca włączenie wysyłek wyników skanowania reputacji.
Informacje te ułatwiają firmie Symantec eliminowanie zagrożeń.
Ustawienia funkcji Download Insight można dostosować w celu zmniejszenia
liczby fałszywych alarmów na komputerach klienckich. Można zmienić czułość
funkcji Download Insight na dane dotyczące reputacji plików stosowane do
wykrywania destrukcyjnych plików. Można również zmienić powiadomienia o
wykryciach wyświetlane przez funkcję Download Insight na komputerach
klienckich.
Patrz „Zarządzanie wykryciami funkcji Download Insight na komputerze”
na stronie 80
1
2
3
Na karcie Download Insight zaznacz opcję Włącz funkcję Download Insight,
aby wykrywać możliwe zagrożenia w pobieranych plikach na podstawie
reputacji pliku.
Jeśli funkcja Automatyczna ochrona jest wyłączona, funkcja Download Insight
nie może działać, nawet jeśli jest włączona.
4
Przesuń suwak, aby zmienić czułość wykrywania destrukcyjnych plików.
Uwaga: Jeśli zainstalowana została jedynie podstawowa ochrona przed
wirusami i programami typu spyware, automatycznie ustawiony jest poziom
czułości 1 i nie można go zmienić.
Na wyższych poziomach funkcja Download Insight wykrywa więcej plików
jako destrukcyjne, a mniej plików uznaje za niepotwierdzone. Wyższe
ustawienia skutkują jednak większą liczbą fałszywych alarmów.
83
84
Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware
5
6
Zaznacz lub usuń zaznaczenie następujących opcji używanych jako dodatkowe
kryteria sprawdzania niepotwierdzonych plików:
■
Pliki mające mniej niż x użytkowników
■
Pliki znane użytkownikom krócej niż x dni
Gdy niepotwierdzone pliki spełniają te kryteria, funkcja Download Insight
wykrywa je jako destrukcyjne.
Zaznacz opcję Automatycznie ufaj wszystkim plikom pobranym z witryny
intranetowej.
Opcja ta ma zastosowanie także do wykryć funkcji Wyszukiwanie Insight.
7
Kliknij pozycję Działania.
8
W obszarze Destrukcyjne pliki określ pierwsze i drugie działanie.
9
Określ działanie w obszarze Niepotwierdzone pliki.
10 Kliknij przycisk OK.
11 Kliknij pozycję Powiadomienia i określ, czy mają być wyświetlane
powiadomienia o wykryciach funkcji Download Insight.
Można dostosować tekst wyświetlanego komunikatu ostrzegawczego.
Dostosowywanie ustawień skanowań w poszukiwaniu
wirusów i programów typu spyware
Klient domyślnie zapewnia komputerowi niezbędną ochronę przeciw wirusom i
zagrożeniom bezpieczeństwa. Na kliencie niezarządzanym użytkownik może
skonfigurować niektóre ustawienia skanowania.
Aby dostosować skanowanie zdefiniowane przez użytkownika:
1
pasku bocznym.
2
Na stronie Skanowaniewposzukiwaniuzagrożeń kliknij prawym przyciskiem
myszy żądane skanowanie, a następnie kliknij polecenie Edytuj.
3
Na karcie Opcje skanowania wykonaj dowolne z poniższych zadań:
■
Aby zmienić ustawienia funkcji Wyszukiwanie Insight, kliknij pozycję
Wyszukiwanie Insight.
Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware
Ustawienia funkcji Wyszukiwanie Insight są podobne do ustawień funkcji
Download Insight.
■
Aby zmniejszyć liczbę typów skanowanych plików, kliknij pozycję
Wybrane rozszerzenia, a następnie kliknij pozycję Rozszerzenia.
■
Aby określić pierwsze i drugie działanie podejmowane przez klienta wobec
zainfekowanego pliku, kliknij pozycję Działania.
■
Aby określić opcje powiadomień, kliknij pozycję Powiadomienia.
■
Aby skonfigurować opcje zaawansowane dotyczące plików
skompresowanych, kopii zapasowych i optymalizacji, kliknij pozycję
Zaawansowane.
Opcje optymalizacji można zmienić, aby zwiększyć wydajność komputera
klienckiego.
4
Aby zmienić globalne ustawienia skanowania:
1
■
W programie klienckim kliknij pozycję Zmień ustawienia na pasku
bocznym, a następnie obok pozycji Ochrona przed wirusami i programami
typu spyware kliknij pozycję Konfiguruj ustawienia.
■
W programie klienckim kliknij pozycję Skanuj w poszukiwaniu zagrożeń
na pasku bocznym, a następnie kliknij pozycję Wyświetl globalne
ustawienia skanowania.
2
Na karcie Ustawienia globalne, w obszarze Opcje skanowania zmień
ustawienia funkcji Insight lub Bloodhound.
3
Aby wyświetlić lub utworzyć wyjątki skanowania, kliknij pozycję Wyświetl
listę. Po wyświetleniu lub utworzeniu wyjątków kliknij pozycję Zamknij.
4
Wprowadź żądane zmiany w obszarze Przechowywanie dziennika lub
Ochrona przeglądarki internetowej.
5
Aby dostosować funkcję Automatyczna ochrona:
1
2
85
86
Konfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnego oprogramowania i zagrożeń
bezpieczeństwa
3
Na karcie Automatyczna ochrona wykonaj następujące zadania:
■
Aby zmniejszyć liczbę typów skanowanych plików, kliknij pozycję
Wybrane, a następnie kliknij pozycję Rozszerzenia.
■
Aby określić pierwsze i drugie działanie podejmowane przez klienta wobec
zainfekowanego pliku, kliknij pozycję Działania.
■
Aby określić opcje powiadomień, kliknij pozycję Powiadomienia.
4
Na karcie Automatyczna ochrona kliknij pozycję Zaawansowane.
Można zmienić opcje dotyczące pamięci podręcznej plików, funkcji Śledzenie
zagrożeń i kopii zapasowych. Opcje te można zmienić, aby zwiększyć
wydajność komputera klienckiego.
5
Kliknij pozycję Sieć, aby zmienić ustawienia ufania plikom na komputerach
zdalnych oraz ustawienie pamięci podręcznej sieci.
6
Konfigurowanie działań podejmowanych w przypadku
wykryć destrukcyjnego oprogramowania i zagrożeń
bezpieczeństwa
Można skonfigurować działania, które klient Symantec Endpoint Protection ma
podjąć po wykryciu destrukcyjnego oprogramowania lub zagrożenia
bezpieczeństwa. Można skonfigurować pierwsze działanie i drugie działanie,
podejmowane w razie niepowodzenia pierwszego działania.
Uwaga: Jeśli komputerem zarządza administrator, a przy opcjach widnieje ikona
kłódki, użytkownik nie może zmienić tych opcji, ponieważ zostały zablokowane
przez administratora.
Działania związane z każdym typem skanowania konfiguruje się tak samo. Każdy
typ skanowania ma własną konfigurację działań. Dla różnych skanowań można
skonfigurować różne działania.
Uwaga: Działania dla funkcji Download Insight i SONAR należy skonfigurować
oddzielnie.
bezpieczeństwa
Patrz „Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów
typu spyware” na stronie 84
Patrz „Zmiana ustawień funkcji SONAR” na stronie 105
Więcej informacji na temat opcji stosowanych w procedurach można uzyskać,
klikając pozycję Pomoc.
Aby skonfigurować działania podejmowane w przypadku wykryć destrukcyjnego
oprogramowania i zagrożeń bezpieczeństwa:
1
W programie klienckim kliknij pozycję Zmień ustawienia lub Skanuj w
poszukiwaniu zagrożeń na pasku bocznym.
2
■
przed wirusami i programami typu spyware, a następnie kliknij pozycję
Działania na dowolnej karcie Automatyczna ochrona.
■
Zaznacz żądane skanowanie, kliknij je prawym przyciskiem myszy i
wybierz polecenie Edytuj, a następnie kliknij pozycję Opcje skanowania.
3
Kliknij pozycję Działania.
4
W oknie dialogowym Działania skanowania kliknij w drzewie kategorię lub
podkategorię w obszarze Destrukcyjne oprogramowanie lub Zagrożenia
bezpieczeństwa.
Domyślnie każda podkategoria jest automatycznie konfigurowana do użycia
tych samych działań, które skonfigurowano dla całej kategorii.
Kategorie zmieniają się dynamicznie w czasie, gdy firma Symantec uzyskuje
nowe informacje o zagrożeniach.
5
Aby skonfigurować działania tylko dla żądanej podkategorii, wykonaj jedno
z następujących działań:
■
Zaznacz opcję Pomiń działania skonfigurowane dla destrukcyjnego
oprogramowania, a następnie ustaw działania tylko dla tej podkategorii.
Uwaga: Kategoria może zawierać jedną podkategorię, w zależności od
bieżącej klasyfikacji zagrożeń według firmy Symantec. Kategoria
Destrukcyjne oprogramowanie może na przykład zawierać jedną
podkategorię o nazwie Wirusy.
■
Zaznacz opcję Pomiń działania skonfigurowane dla zagrożeń
bezpieczeństwa, a następnie ustaw działania tylko dla tej podkategorii.
87
88
bezpieczeństwa
6
Wybierz pierwsze i drugie działanie spośród następujących opcji:
Wyczyść zagrożenie
Usuwa wirusa z zainfekowanego pliku. Jest to domyślne
pierwsze działanie w przypadku wirusów.
Uwaga: To działanie jest dostępne tylko jako pierwsze
działanie dotyczące wirusów. To działanie nie dotyczy
To ustawienie powinno być zawsze pierwszym działaniem
w przypadku wirusów. Jeśli klient skutecznie usunie wirusa
z pliku, nie jest konieczne żadne inne działanie. Komputer
jest wolny od wirusów i nie zagraża już rozprzestrzenianie
się wirusów do innych obszarów komputera.
Kiedy klient czyści zainfekowany plik, usuwa wirusa z tego
pliku, sektora rozruchowego lub tabeli partycji. Uniemożliwia
także dalsze rozprzestrzenianie się wirusa. Klient jest
zazwyczaj w stanie znaleźć i wyczyścić wirusa, zanim
uszkodzi on komputer. Klient domyślnie tworzy kopię
zapasową pliku.
W niektórych przypadkach wyczyszczony plik może nie
nadawać się do użytku. Wirus mógł spowodować w nim zbyt
wiele uszkodzeń.
Z niektórych zainfekowanych plików nie można usunąć
wirusa.
Poddaj zagrożenie
kwarantannie
Powoduje przeniesienie zainfekowanego pliku z jego
oryginalnej lokalizacji do obszaru kwarantanny.
Zainfekowane pliki znajdujące się w obszarze kwarantanny
nie mogą rozprzestrzeniać wirusów.
W przypadku wirusów — przeniesienie zainfekowanego pliku
z jego oryginalnej lokalizacji do obszaru kwarantanny. To
ustawienie jest domyślnym drugim działaniem w przypadku
wirusów.
W przypadku zagrożeń bezpieczeństwa klient przenosi
zainfekowane pliki z ich oryginalnej lokalizacji do obszaru
kwarantanny i podejmuje próbę usunięcia lub naprawy
skutków ubocznych. To ustawienie jest domyślnym
pierwszym działaniem w przypadku zagrożeń
bezpieczeństwa.
Kwarantanna zawiera zapis wszystkich przeprowadzonych
działań. Umożliwia to przywrócenie stanu komputera sprzed
usunięcia zagrożenia przez program kliencki.
bezpieczeństwa
Usuń zagrożenie
Powoduje usunięcie zainfekowanego pliku z dysku twardego
komputera. Jeżeli klient nie może usunąć pliku, informacje
o działaniu wykonywanym przez klienta są wyświetlane w
oknie dialogowym Powiadamianie. Informacje te są również
rejestrowane w dzienniku zdarzeń.
Z działania tego należy korzystać jedynie w przypadku, gdy
możliwe jest zastąpienie usuniętego pliku kopią zapasową
wolną od wirusów i zagrożeń bezpieczeństwa. Klient usuwa
zagrożenie bezpowrotnie. Zainfekowanego pliku nie można
odzyskać z Kosza.
Uwaga: Z działania tego należy korzystać ostrożnie podczas
konfiguracji działań podejmowanych wobec zagrożeń
bezpieczeństwa. W niektórych przypadkach usunięcie
zagrożeń bezpieczeństwa powoduje utratę funkcjonalności
przez aplikacje.
Pozostaw bez zmian
(tylko rejestruj)
Powoduje pozostawienie pliku bez zmian.
Jeżeli działanie to zostanie zastosowane do wirusów,
pozostaną one w zainfekowanych plikach. Wirusy te mogą
rozprzestrzenić się na inne obszary komputera. W Historii
zagrożeń umieszczany jest wpis, aby pozostał ślad po
zainfekowaniu pliku.
Działania Pozostaw bez zmian (tylko rejestruj) można używać
jako drugiego działania zarówno wobec destrukcyjnego
oprogramowania, jak i zagrożeń bezpieczeństwa.
Działania tego nie należy wybierać, prowadząc skanowania
automatyczne na dużą skalę, na przykład skanowania
zaplanowane. Działania tego warto użyć, zamierzając
przejrzeć wyniki skanowania i podjąć dodatkowe działania
później. Dodatkowe działanie może polegać na przeniesieniu
pliku do obszaru Kwarantanny.
W przypadku zagrożeń bezpieczeństwa to działanie
pozostawia zainfekowane pliki bez zmian, a w Historii
zagrożeń umieszczany jest wpis, aby pozostał ślad po
zagrożeniu. Za pomocą tej opcji można ręcznie kontrolować
sposób obsługi zagrożenia bezpieczeństwa przez klienta. Jest
to domyślne drugie działanie w przypadku zagrożeń
bezpieczeństwa.
Administrator może także wysłać niestandardową wiadomość
zawierającą instrukcje postępowania.
7
Powtórz te kroki w przypadku każdej kategorii, dla której chcesz ustawić
określone działania, a następnie kliknij przycisk OK.
89
90
8
Dla jednego lub kilku elementów wybranej kategorii zagrożeń bezpieczeństwa
można wybrać działania niestandardowe. Zagrożenia bezpieczeństwa można
wykluczyć ze skanowania. Można na przykład wykluczyć program typu adware
potrzebny do pracy.
9
Wyjątki to znane zagrożenia bezpieczeństwa, pliki, rozszerzenia plików lub
procesy, które użytkownik chce wykluczyć ze skanowania. Jeśli użytkownik
przeskanował komputer i wie, że niektóre pliki są bezpieczne, może je wykluczyć.
W niektórych przypadkach wyjątki mogą skrócić czas skanowania i zwiększyć
wydajność systemu. Tworzenie wyjątków zazwyczaj nie jest potrzebne.
Administrator może utworzyć wyjątki skanowań dla klientów zarządzanych. Jeśli
utworzony przez użytkownika wyjątek jest sprzeczny z wyjątkiem zdefiniowanym
przez administratora, stosowany będzie wyjątek zdefiniowany przez
administratora. Administrator może również zablokować użytkownikowi
możliwość konfigurowania dowolnych typów wyjątków.
Uwaga: Jeżeli program pocztowy przechowuje całą pocztę e-mail w jednym pliku,
należy utworzyć wyjątek pliku, aby wykluczyć plik skrzynki odbiorczej ze
skanowania. Domyślnie skanowania poddają wirusy kwarantannie. Jeżeli
skanowanie wykryje wirusa w pliku skrzynki odbiorczej, kwarantannie zostaje
poddana cała skrzynka odbiorcza. Jeżeli skanowanie doda do obszaru kwarantanny
skrzynkę odbiorczą, nie można będzie uzyskać dostępu do poczty.
Tabela 4-8
Typy wyjątków
Typ wyjątku
Opis
Plik
Dotyczy skanowań w poszukiwaniu wirusów i programów
typu spyware
Skanowania ignorują wybrany plik.
Folder
typu spyware i/lub skanowań funkcji SONAR
Skanowania ignorują wybrany folder.
Typ wyjątku
Opis
Znane zagrożenia
typu spyware
Skanowania ignorują każde wybrane przez użytkownika
znane zagrożenie.
Rozszerzenia
typu spyware
Skanowania ignorują wszystkie pliki o określonych
rozszerzeniach.
Zaufana domena internetowa Dotyczy skanowań w poszukiwaniu wirusów i programów
typu spyware
Funkcja Download Insight ignoruje określoną zaufaną
domenę internetową.
Aplikacja
typu spyware oraz funkcji SONAR
Skanowania ignorują, rejestrują, poddają kwarantannie lub
zamykają aplikację określoną tutaj.
Wyjątki to znane zagrożenia bezpieczeństwa, pliki, foldery, rozszerzenia plików,
domeny internetowe lub aplikacje, które użytkownik chce wykluczyć ze
skanowania. Jeśli użytkownik przeskanował komputer i wie, że niektóre pliki są
bezpieczne, może je wykluczyć. W niektórych przypadkach wyjątki mogą skrócić
czas skanowania i zwiększyć wydajność systemu. Tworzenie wyjątków zazwyczaj
nie jest potrzebne.
Administrator może utworzyć wyjątki skanowań dla klientów zarządzanych. Jeśli
utworzony przez użytkownika wyjątek jest sprzeczny z wyjątkiem zdefiniowanym
przez administratora, stosowany będzie wyjątek zdefiniowany przez
administratora.
Wyjątki zagrożeń bezpieczeństwa dotyczą wszystkich skanowań w poszukiwaniu
zagrożeń bezpieczeństwa. Wyjątki aplikacji także dotyczą wszystkich skanowań
w poszukiwaniu zagrożeń bezpieczeństwa. Wyjątki folderów funkcji SONAR
dotyczą tylko funkcji SONAR.
Funkcja SONAR nie obsługuje wyjątków plików. Aby wykluczyć plik z funkcji
SONAR, należy użyć wyjątku aplikacji.
91
92
Patrz „Wykluczanie elementów ze skanowań — informacje” na stronie 90
Uwaga: W instalacji Server Core systemu Windows Server 2008 okna dialogowe
interfejsu użytkownika mogą różnić się wyglądem od okien dialogowych opisanych
w tych procedurach.
Aby wykluczyć elementy ze skanowań w poszukiwaniu zagrożeń bezpieczeństwa:
1
2
Kliknij pozycję Konfiguruj ustawienia obok pozycji Wyjątki.
3
W oknie dialogowym Wyjątki, w obszarze Wyjątki zdefiniowane przez
użytkownika kliknij pozycję Dodaj > Wyjątki zagrożeń bezpieczeństwa.
4
Należy wybrać jeden z następujących typów wyjątków:
5
■
Znane zagrożenia
■
Plik
■
Folder
■
Rozszerzenia
■
Domena internetowa
■
Zaznacz znane zagrożenia bezpieczeństwa, które mają być wykluczone
ze skanowań.
Jeżeli chcesz rejestrować zdarzenie związane z wykryciem i zignorowaniem
zagrożenia bezpieczeństwa, zaznacz pole wyboru Rejestruj wykrycie
zagrożenia bezpieczeństwa.
■
Zaznacz plik lub folder, który chcesz wykluczyć, a następnie kliknij pozycję
Dodaj.
Zaznacz lub wyczyść opcję Uwzględnij podfoldery.
■
Wpisz rozszerzenia, które chcesz wykluczyć.
W polu tekstowym można wpisać tylko jedną nazwę rozszerzenia. W
przypadku wpisania wielu rozszerzeń klient traktuje ten wpis jako jedną
nazwę rozszerzenia.
■
Wprowadź witrynę internetową, którą chcesz wykluczyć z wykrywania
przez funkcję Download Insight.
6
7
W oknie dialogowym Wyjątki kliknij przycisk Zamknij.
Aby wykluczyć folder z funkcji SONAR:
1
2
3
użytkownika kliknij pozycję Dodaj > Wyjątek funkcji SONAR > Folder.
4
Zaznacz folder, który chcesz wykluczyć, zaznacz lub usuń zaznaczenie pozycji
Uwzględnij podfoldery, a następnie kliknij pozycję Dodaj.
W razie wybrania pliku, zamiast folderu, klient stosuje folder nadrzędny jako
wykluczenie.
5
Aby zmienić sposób przetwarzania aplikacji przez wszystkie skanowania:
1
2
3
użytkownika kliknij pozycję Dodaj > Wyjątek aplikacji.
4
Wybierz nazwę pliku aplikacji.
5
Z listy rozwijanej Działanie wybierz opcję Ignoruj, Tylko rejestruj, Poddaj
kwarantannie lub Zakończ.
6
Kliknij pozycję Dodaj.
7
Zarządzanie plikami poddanymi kwarantannie na
komputerze klienckim
Program Symantec Endpoint Protection domyślnie próbuje usunąć wykrytego
wirusa z zainfekowanego pliku. Jeśli oczyszczenie pliku okaże się niemożliwe,
skanowanie poddaje plik kwarantannie na komputerze. W przypadku zagrożeń
bezpieczeństwa skanowania przenoszą zainfekowane pliki do kwarantanny i
naprawiają wszelkie skutki uboczne działań zagrożenia bezpieczeństwa. Funkcja
Download Insight i funkcja SONAR mogą również poddawać pliki kwarantannie.
93
94
Tabela 4-9
Zarządzanie plikami poddanymi kwarantannie na komputerze
klienckim
Zadanie
Opis
Przywrócenie pliku w jego oryginalnej Czasami lokalizacja, w której powinien zostać
lokalizacji
przywrócony czysty plik, jest niedostępna. Na
przykład, zainfekowany załącznik mógł zostać
oddzielony od wiadomości e-mail i umieszczony
w obszarze kwarantanny. Plik ten powinien zostać
zwolniony i umieszczony w lokalizacji określonej
przez użytkownika.
Ręczne poddanie elementu
kwarantannie
Plik można ręcznie poddać kwarantannie, dodając
go do obszaru kwarantanny lub wybierając plik
w dzienniku ochrony przed wirusami i
programami typu spyware lub dzienniku funkcji
SONAR.
Patrz „Przenoszenie pliku do obszaru
kwarantanny za pomocą dziennika zagrożeń lub
dziennika skanowania” na stronie 96
Bezpowrotne usunięcie plików z
kwarantanny
Z obszaru kwarantanny można ręcznie usunąć
pliki, które nie są już potrzebne. Można również
określić przedział czasu, po jakim pliki mają być
usuwane automatycznie.
Uwaga: Administrator może określić maksymalną
liczbę dni, przez jaką elementy mogą pozostawać
w obszarze kwarantanny. Po tym czasie pliki
zostaną usunięte automatycznie.
Ponowne skanowanie plików w
kwarantannie po otrzymaniu nowych
definicji
Po zaktualizowaniu definicji pliki w kwarantannie
mogą zostać ponownie przeskanowane,
oczyszczone i automatycznie przywrócone. W
przypadku niektórych plików wyświetlany jest
Kreator napraw. Aby ukończyć ponowne
skanowanie i naprawę, należy postępować zgodnie
z instrukcjami wyświetlanymi na ekranie.
Użytkownik może również ręcznie ponownie
przeskanować zainfekowane wirusami pliki
poddane kwarantannie.
Eksportowanie informacji o
kwarantannie
Zawartość obszaru kwarantanny można
wyeksportować do pliku wartości rozdzielanych
przecinkami (.csv) lub pliku bazy danych
programu Microsoft Access (.mdb).
Zadanie
Opis
Przesyłanie zainfekowanych plików z
obszaru kwarantanny do centrum
Symantec Security Response
Po ponownym przeskanowaniu elementów w
kwarantannie można wysłać nadal zainfekowany
plik do centrum Symantec Security Response w
celu dalszej analizy.
Patrz „Ręczne przesyłanie potencjalnie
zainfekowanych plików do centrum Symantec
Security Response w celu poddania ich analizie”
na stronie 96
Usuwanie kopii zapasowych
Przed podjęciem próby oczyszczenia lub
naprawienia zainfekowanych elementów klient
domyślnie tworzy ich kopie zapasowe. Po
pomyślnym usunięciu wirusa przez klienta należy
ręcznie usunąć element z kwarantanny, ponieważ
kopia zapasowa jest nadal zainfekowana.
Automatyczne usuwanie plików z
obszaru kwarantanny
Klienta można skonfigurować w taki sposób, aby
automatycznie usuwał elementy z kwarantanny
po upływie określonego czasu. Można również
określić, że klient ma usuwać elementy po
przekroczeniu określonego rozmiaru folderu, w
którym są przechowywane. Konfiguracja taka
zapobiega gromadzeniu się plików, które
użytkownik zapomniał usunąć ręcznie.
Patrz „Automatyczne usuwanie plików z obszaru
kwarantanny” na stronie 97
Poddawanie plików kwarantannie — informacje
Gdy klient przeniesie zainfekowany plik do obszaru kwarantanny, wirus lub
zagrożenie nie może się powielać i infekować innych plików na komputerze
użytkownika ani innych komputerach w sieci. Działanie Poddaj kwarantannie nie
usuwa jednak zagrożenia. Zagrożenie pozostaje na komputerze użytkownika do
chwili wyczyszczenia lub usunięcia zainfekowanego pliku przez program kliencki.
Nie trzeba otwierać pliku. Można jednak usunąć plik z obszaru kwarantanny.
Po aktualizacji komputera przy użyciu nowych definicji wirusów klient
automatycznie sprawdza obszar kwarantanny. Elementy znajdujące się w obszarze
kwarantanny można ponownie przeskanować. Najnowsze definicje mogą umożliwić
wyczyszczenie lub naprawę poddanych uprzednio kwarantannie plików.
Wirusy można poddać kwarantannie. Wirusy rekordów rozruchowych znajdują
się w sektorze rozruchowym lub w tablicach partycji, a tych elementów nie można
przenieść do obszaru kwarantanny. Czasami program kliencki wykrywa nieznanego
95
96
wirusa, którego nie można wyeliminować przy użyciu bieżącego zestawu definicji
wirusów. Jeśli plik jest prawdopodobnie zainfekowany, ale skanowania nie
wykrywają żadnej infekcji, plik należy poddać kwarantannie.
Uwaga: W wersji językowej systemu operacyjnego komputera klienckiego niektóre
znaki w nazwach zagrożeń mogą nie być interpretowane poprawnie. Jeśli system
operacyjny nie może zinterpretować znaków, wyświetlane są one w
powiadomieniach jako znaki zapytania. Na przykład nazwy niektórych zagrożeń
mogą zawierać znaki dwubajtowe. Na komputerach klienckich z systemem
operacyjnym w wersji angielskiej znaki te są wyświetlane jako znaki zapytania.
na stronie 93
Przenoszenie pliku do obszaru kwarantanny za pomocą dziennika
zagrożeń lub dziennika skanowania
W zależności od wstępnie ustawionego działania podejmowanego przez program
po wykryciu zagrożenia, wybór dokonany przez użytkownika po wykryciu może
okazać się niemożliwy do zrealizowania. Plik można później poddać kwarantannie
przy użyciu dziennika zagrożeń lub dziennika skanowania.
na stronie 93
Aby przenieść plik do obszaru kwarantanny za pomocą dziennika zagrożeń lub
dziennika skanowania:
1
Na kliencie kliknij pozycję Wyświetl dzienniki.
2
Obok pozycji Ochrona przed wirusami i programami typu spyware kliknij
pozycję Wyświetl dziennik, a następnie wybierz pozycję Dziennik zagrożeń
lub Dziennik skanowania.
3
Zaznacz plik, który chcesz poddać kwarantannie, a następnie kliknij przycisk
Poddaj kwarantannie.
4
Kliknij przycisk OK, a następnie kliknij przycisk Zamknij.
Ręczne przesyłanie potencjalnie zainfekowanych plików do centrum
Symantec Security Response w celu poddania ich analizie
Po przesłaniu zainfekowanego elementu z listy kwarantanny do centrum Symantec
Security Response pracownicy centrum Symantec Security Response mogą
przeanalizować ten element w celu sprawdzenia, czy jest zainfekowany. Centrum
Symantec Security Response używa również tych danych do zapewnienia ochrony
przed nowymi lub powstającymi zagrożeniami.
Uwaga: Opcja wysyłki nie jest dostępna, jeśli administrator wyłączył te typy
wysyłek.
na stronie 93
Aby przesłać plik z obszaru kwarantanny do centrum Symantec Security Response:
1
W programie klienckim kliknij pozycję Wyświetl kwarantannę na pasku
bocznym.
2
Zaznacz wymagany plik na liście plików znajdujących się w obszarze
kwarantanny.
3
Kliknij przycisk Prześlij.
4
Wykonuj instrukcje wyświetlane w kreatorze, niezbędne do zebrania
potrzebnych informacji i przesłania pliku do analizy.
Automatyczne usuwanie plików z obszaru kwarantanny
Oprogramowanie można skonfigurować w taki sposób, aby automatycznie usuwało
elementy z kwarantanny po upływie określonego czasu. Można również określić,
że klient ma usuwać elementy po przekroczeniu określonego rozmiaru folderu,
w którym są przechowywane. Konfiguracja taka zapobiega gromadzeniu się plików,
które użytkownik zapomniał usunąć ręcznie.
na stronie 93
Aby automatycznie usunąć pliki z obszaru kwarantanny:
1
W programie klienckim kliknij pozycję Wyświetl kwarantannę na pasku
bocznym.
2
Kliknij przycisk Opcje przeczyszczania.
3
W oknie dialogowym Opcje przeczyszczania wybierz jedną z poniższych
kart:
■
Elementy poddane kwarantannie
■
Elementy z kopiami zapasowymi
■
Elementy naprawione
97
98
Przesyłanie informacji o wykryciach do centrum Symantec Security Response — informacje
4
Zaznacz lub wyczyść pozycję Długość czasu przechowywania przekracza,
aby umożliwić lub uniemożliwić klientowi usuwanie plików po upływie
skonfigurowanego czasu.
5
W przypadku zaznaczenia opcji Długość czasu przechowywania przekracza
wpisz żądany czas lub kliknij strzałkę, aby go wprowadzić.
6
Z listy rozwijanej wybierz jednostkę czasu. Domyślne ustawienie to 30 dni.
7
W przypadku zaznaczenia pozycji Łączny rozmiar folderów przekracza podaj
maksymalny dozwolony rozmiar folderu w megabajtach. Domyślne ustawienie
to 50 megabajtów.
W przypadku zaznaczenia obu pól wyboru w pierwszej kolejności usuwane
są wszystkie pliki starsze niż określony czas. Jeśli rozmiar folderu nadal
przekracza limit ustawiony przez użytkownika, klient będzie pojedynczo
usuwał najstarsze pliki. Najstarsze pliki będą usuwane dotąd, aż rozmiar
folderu przestanie przekraczać dozwolony limit.
8
Powtórz kroki od 4 do 7 dla każdej z pozostałych kart.
9
Przesyłanie informacji o wykryciach do centrum
Symantec Security Response — informacje
Komputer można skonfigurować do automatycznego przesyłania informacji o
wykrytych zagrożeniach do centrum Symantec Security Response w celu analizy.
Centrum Symantec Security Response i sieć Global Intelligence Network używają
przesłanych informacji w celu szybkiego formułowania reakcji na nowe i zmienione
zagrożenia. Dane przesyłane do firmy Symantec ułatwiają jej reagowanie na
zagrożenia i dostosowywanie ochrony. Firma Symantec zaleca niewyłączanie
wysyłek.
Patrz „Klient Symantec Endpoint Protection — informacje” na stronie 11
Można wybrać przesyłanie dowolnych z następujących typów danych:
■
Reputacja pliku
Informacje o plikach wykrytych na podstawie ich reputacji. Informacje o tych
plikach tworzą bazę danych dotyczących reputacji Symantec Insight, używaną
w celu ochrony komputerów przed nowymi i zmieniającymi się zagrożeniami.
■
Wykrycia programu antywirusowego
Informacje dotyczące wykryć wirusów i programów typu spyware.
■
Wykrycia zaawansowanego mechanizmu heurystycznego ochrony przed
wirusami
Informacje o potencjalnych zagrożeniach wykrytych przez funkcję Bloodhound
i inne skanowania heurystyczne w poszukiwaniu wirusów i programów typu
spyware.
Wykrycia te są wykryciami w trybie dyskretnym, niewyświetlanymi w dzienniku
zagrożeń. Informacje o tych wykryciach są stosowane w analizach
statystycznych.
■
Wykrycia funkcji SONAR
Informacje o zagrożeniach wykrytych przez funkcję SONAR, takich jak
wykrycia zagrożeń wysokiego lub niskiego stopnia, zdarzenia zmiany w
systemie i podejrzany sposób działania zaufanych aplikacji.
■
Heurystyka funkcji SONAR
Wykrycia heurystyczne funkcji SONAR są wykryciami w trybie dyskretnym,
niewyświetlanymi w dzienniku zagrożeń. Informacje te są stosowane w
analizach statystycznych.
Z kwarantanny można również ręcznie wysłać próbkę do centrum Symantec
Security Response.
Patrz „Pliki i aplikacje wykrywane przez funkcję SONAR — informacje”
na stronie 104
Przesyłanie informacji o wykryciach do centrum
Program Symantec Endpoint Protection może chronić komputer, monitorując
informacje, które przychodzą do komputera i wychodzą z niego, a także blokując
próby ataku.
Można włączyć przesyłanie informacji o wykrytych zagrożeniach do centrum
Symantec Security Response. Centrum Symantec Security Response używa tych
informacji w celu zapewnienia komputerom klienckim ochrony przed nowymi,
wyspecjalizowanymi i mutującymi zagrożeniami. Wszelkie dane przesyłane do
firmy Symantec ułatwiają jej reagowanie na zagrożenia i dostosowywanie ochrony
komputera użytkownika. Firma Symantec zaleca przesyłanie jak niewiększej ilości
informacji o wykryciach.
99
100
Ze strony Kwarantanna można również ręcznie wysłać próbkę do centrum
Symantec Response. Strona Kwarantanna umożliwia również określenie sposobu
przesyłania elementów do centrum Symantec Security Response.
na stronie 93
Response — informacje” na stronie 98
Aby skonfigurować wysyłki do centrum Symantec Security Response:
1
Wybierz pozycję Zmień ustawienia > Zarządzanie klientami.
2
Na karcie Wysyłki zaznacz pozycję Zezwól temu komputerowi na
automatyczne, anonimowe przekazywanie wybranych informacji o
zabezpieczeniach do firmy Symantec. Ta opcja umożliwia programowi
Symantec Endpoint Protection wysyłanie informacji o zagrożeniach
znalezionych na komputerze.
Firma Symantec zaleca włączenie tej opcji.
3
Wybierz przesyłane typy informacji:
■
Reputacja pliku
Informacje o plikach wykrytych na podstawie ich reputacji. Informacje o
tych plikach tworzą bazę danych dotyczących reputacji Symantec Insight,
używaną w celu ochrony komputerów przed nowymi i zmieniającymi się
zagrożeniami.
■
Wykrycia programu antywirusowego
Informacje dotyczące wykryć wirusów i programów typu spyware.
■
Wykrycia zaawansowanego mechanizmu heurystycznego ochrony przed
wirusami
Informacje o potencjalnych zagrożeniach wykrytych przez funkcję
Bloodhound i inne skanowania heurystyczne w poszukiwaniu wirusów i
programów typu spyware.
Wykrycia te są wykryciami w trybie dyskretnym, niewyświetlanymi w
dzienniku zagrożeń. Informacje o tych wykryciach są stosowane w
analizach statystycznych.
■
Wykrycia funkcji SONAR
Informacje o zagrożeniach wykrytych przez funkcję SONAR, takich jak
wykrycia zagrożeń wysokiego lub niskiego stopnia, zdarzenia zmiany w
systemie i podejrzany sposób działania zaufanych aplikacji.
■
Heurystyka funkcji SONAR
Klient i Centrum zabezpieczeń systemu Windows — informacje
Wykrycia heurystyczne funkcji SONAR są wykryciami w trybie
dyskretnym, niewyświetlanymi w dzienniku zagrożeń. Informacje te są
stosowane w analizach statystycznych.
4
Opcję Zezwalaj na wyszukiwania Insight w celu wykrywania zagrożeń należy
włączyć, aby umożliwić programowi Symantec Endpoint Protection używanie
bazy danych dotyczących reputacji w celu podejmowania decyzji dotyczących
zagrożeń.
Wyszukiwania Insight są domyślnie włączone. Firma Symantec zaleca
zezwolenie na wyszukiwania Insight. Wyłączenie tej funkcji wyłącza funkcję
Download Insight i może zakłócić działanie funkcji SONAR oraz Wyszukiwanie
Insight.
Można jednak wyłączyć tę opcję, aby nie zezwalać na wysyłanie kwerend do
bazy danych Symantec Insight.
Klient i Centrum zabezpieczeń systemu Windows —
informacje
W razie używania Centrum zabezpieczeń systemu Windows w systemie Windows
XP z dodatkiem Service Pack 2 w celu monitorowania stanu zabezpieczeń, stan
programu Symantec Endpoint Protection jest wyświetlany w oknie Centrum
zabezpieczeń systemu Windows.
Tabela 4-10 przedstawia raporty o stanie wyświetlane w Centrum zabezpieczeń
systemu Windows.
Tabela 4-10
Raport o stanie ochrony w Centrum zabezpieczeń systemu Windows
Stan produktu firmy Symantec
Stan systemu ochrony
Program Symantec Endpoint Protection nie jest zainstalowany
NIE ZNALEZIONO
(czerwony)
Program Symantec Endpoint Protection jest zainstalowany i
zapewnia pełną ochronę
WŁĄCZONA (zielony)
Program Symantec Endpoint Protection jest zainstalowany, a
definicje wirusów i zagrożeń bezpieczeństwa są nieaktualne
NIEAKTUALNA
(czerwony)
WYŁĄCZONA
funkcja Automatyczna ochrona systemu plików nie jest włączona (czerwony)
Program Symantec Endpoint Protection jest zainstalowany,
WYŁĄCZONA
funkcja Automatyczna ochrona systemu plików nie jest włączona, (czerwony)
a definicje wirusów i zagrożeń bezpieczeństwa są nieaktualne
101
102
Stan systemu ochrony
program Rtvscan wyłączono ręcznie
WYŁĄCZONA
(czerwony)
Tabela 4-11 przedstawia raporty o stanie zapory programu Symantec Endpoint
Protection wyświetlane w Centrum zabezpieczeń systemu Windows.
Tabela 4-11
Raport o stanie zapory w Centrum zabezpieczeń systemu Windows
Stan zapory
Zapora firmy Symantec nie jest zainstalowana
NIE ZNALEZIONO
(czerwony)
Zapora firmy Symantec jest zainstalowana i włączona
WŁĄCZONA (zielony)
Zapora firmy Symantec jest zainstalowana, ale nie jest włączona WYŁĄCZONA
(czerwony)
Zapora firmy Symantec nie jest zainstalowana ani włączona, ale WŁĄCZONA (zielony)
zainstalowana i włączona jest zapora innej firmy
Uwaga: Program Symantec Endpoint Protection domyślnie wyłącza zaporę systemu
Windows.
W razie włączenia więcej niż jednej zapory Centrum zabezpieczeń systemu
Windows zgłasza, że zainstalowano i włączono wiele zapór.
Zarządzanie funkcją SONAR to część funkcji Zapobieganie zagrożeniom. Na
klientach zarządzanych administrator może zablokować niektóre ustawienia.
Patrz „Typy skanowań — informacje” na stronie 66
Tabela 4-12
Zadanie
Opis
Włączenie funkcji SONAR
Aby zapewnić najlepszą ochronę komputerowi
klienckiemu, należy włączyć funkcję SONAR.
Funkcja SONAR jest domyślnie włączona.
Aby włączyć funkcję SONAR, należy włączyć
funkcję Zapobieganie zagrożeniom.
Patrz „Włączanie i wyłączanie systemu ochrony
— informacje” na stronie 43
Należy upewnić się, że wyszukiwania
Insight są włączone.
Funkcja SONAR używa analizy heurystycznej oraz
danych dotyczących reputacji w celu
podejmowania decyzji. W przypadku wyłączenia
wyszukiwań Insight (kwerend dotyczących
reputacji) funkcja SONAR dokonuje wykryć tylko
przy użyciu analizy heurystycznej. Liczba
fałszywych alarmów może wzrosnąć, a ochrona
zapewniana przez funkcję SONAR jest
ograniczona.
Patrz „Przesyłanie informacji o wykryciach do
centrum Symantec Security Response”
na stronie 99
Zmiana ustawień funkcji SONAR
Funkcję SONAR można włączać i wyłączać. Można
także zmienić działanie w przypadku wykrycia
niektórych typów zagrożeń przez funkcję SONAR.
Działania dotyczące wykryć można zmienić, aby
zmniejszyć liczbę fałszywych alarmów.
Patrz „Zmiana ustawień funkcji SONAR”
na stronie 105
Utworzenie wyjątków dla bezpiecznych Funkcja SONAR może wykrywać pliki lub
aplikacji
aplikacje, które mają być uruchamiane na
komputerze. Można utworzyć wyjątki aplikacji
lub folderów. Wyjątek można również utworzyć
na stronie Kwarantanna.
Patrz „Wykluczanie elementów ze skanowań”
na stronie 91
103
104
Zadanie
Opis
Przesyłanie informacji o wykryciach do Firma Symantec zaleca wysyłanie informacji o
centrum Symantec Security Response wykryciach do centrum Symantec Security
Response. Informacje te ułatwiają firmie
Symantec eliminowanie zagrożeń. Wysyłki są
domyślnie włączone.
Patrz „Przesyłanie informacji o wykryciach do
centrum Symantec Security Response”
na stronie 99
Funkcja SONAR — informacje
SONAR to funkcja ochrony w czasie rzeczywistym, która wykrywa potencjalnie
destrukcyjne aplikacje podczas ich uruchamiania na komputerach. Funkcja SONAR
zapewnia ochronę przed nowymi zagrożeniami, ponieważ wykrywa je, zanim
utworzone zostaną tradycyjne definicje wirusów i programów typu spyware,
umożliwiające eliminację takich zagrożeń.
Funkcja SONAR stosuje również analizę heurystyczną oraz dane o reputacji w
celu wykrywania nowych i nieznanych zagrożeń. Funkcja SONAR zapewnia
dodatkowy poziom ochrony na komputerach klienckich oraz uzupełnia istniejącą
ochronę przed wirusami i programami typu spyware, zapobieganie zagrożeniom
oraz zaporę.
Uwaga: Funkcja Automatyczna ochrona wykorzystuje również mechanizm
heurystyczny o nazwie Bloodhound w celu wykrywania podejrzanego działania
w plikach.
Patrz „Zarządzanie funkcją SONAR na komputerze klienckim” na stronie 102
Patrz „Pliki i aplikacje wykrywane przez funkcję SONAR — informacje”
na stronie 104
Pliki i aplikacje wykrywane przez funkcję SONAR — informacje
Funkcja SONAR używa systemu heurystycznego wykorzystującego sieć wywiadu
internetowego firmy Symantec oraz prewencyjne monitorowanie lokalne na
komputerze w celu wykrywania nowych zagrożeń. Funkcja SONAR wykrywa także
zmiany lub sposób działania na komputerze, który należy monitorować.
Funkcja SONAR nie dokonuje wykryć na podstawie typu aplikacji, tylko na
podstawie sposobu działania procesu. Funkcja SONAR podejmuje działanie wobec
aplikacji tylko w przypadku, gdy aplikacja działa w sposób destrukcyjny, bez
względu na jej typ. Jeśli na przykład koń trojański lub program rejestrujący
naciśnięcia klawiszy nie działa w destrukcyjny sposób, funkcja SONAR go nie
wykrywa.
Funkcja SONAR wykrywa następujące elementy:
Zagrożenia heurystyczne
Funkcja SONAR stosuje heurystykę w celu
określenia, czy nieznany plik działa w podejrzany
sposób i może stanowić zagrożenie wysokiego lub
niskiego stopnia. Stosuje również dane dotyczące
reputacji w celu określenia, czy jest to zagrożenie
wysokiego, czy niskiego stopnia.
Zmiany w systemie
Funkcja SONAR wykrywa aplikacje lub pliki, które
próbują zmodyfikować ustawienia usługi DNS lub
plik hosta na komputerze klienckim.
Zaufane aplikacje wykazujące
nieprawidłowy sposób działania
Niektóre prawidłowe, zaufane pliki mogą być
skojarzone z podejrzanym sposobem działania.
Funkcja SONAR wykrywa te pliki jako zdarzenia
podejrzanego sposobu działania. Na przykład
znana aplikacja udostępniania dokumentów może
tworzyć pliki wykonywalne.
Wyłączenie funkcji Automatyczna ochrona ogranicza funkcji SONAR możliwości
wykrywania plików zagrożeń wysokiego i niskiego stopnia. Wyłączenie wyszukiwań
Insight (kwerend dotyczących reputacji) również ogranicza możliwości wykrywania
funkcji SONAR.
Zmiana ustawień funkcji SONAR
Działania funkcji SONAR można zmienić, aby zmniejszyć liczbę fałszywych
alarmów. Można także zmienić powiadomienia dotyczące wykryć heurystycznych
funkcji SONAR.
Uwaga: Na klientach zarządzanych administrator może zablokować te ustawienia.
Aby zmienić ustawienia funkcji SONAR:
1
2
Kliknij pozycję Konfiguruj ustawienia obok pozycji Zapobieganie
zagrożeniom.
105
106
3
Na karcie SONAR, zmień działania dotyczące zagrożeń heurystycznych
wysokiego lub niskiego stopnia.
Dla zagrożeń niskiego stopnia można włączyć tryb agresywny wykrywania.
To ustawienie zwiększa czułość wykrywania zagrożeń niskiego stopnia przez
funkcję SONAR. Może zwiększyć liczbę fałszywych alarmów.
4
Opcjonalnie zmień ustawienia powiadomień.
5
Na karcie Wykrycie podejrzanego sposobu działania zmień działanie dla
wykryć zagrożeń wysokiego stopnia lub niskiego stopnia. Funkcja SONAR
dokonuje tych wykryć, gdy zaufane pliki są skojarzone z podejrzanym
sposobem działania.
6
Na karcie Zdarzenia zmian w systemie zmień działanie skanowania dla
wykryć zmian ustawień serwera DNS lub pliku hosts.
7
Rozdział
5
Zarządzanie zaporą i
zapobieganiem włamaniom
■
Ochrona przed zagrożeniami sieciowymi — informacje
■
Zarządzanie zaporą
■
Konfigurowanie ustawień zapory
■
Zezwalanie na aplikacje lub ich blokowanie — informacje
■
Wyświetlanie operacji sieciowych
■
Reguły zapory klienckiej — informacje
■
Kolejność przetwarzania reguł zapory, ustawień zapory i ustawień systemu
zapobiegania włamaniom — informacje
■
Zmiana kolejności reguł zapory
■
Jak zapora stosuje stanową analizę pakietów
■
Elementy reguły zapory
■
Konfigurowanie reguł zapory
■
Zarządzanie systemem zapobiegania włamaniom
■
Sposób działania funkcji Zapobieganie włamaniom
■
Włączanie lub wyłączanie funkcji zapobiegania włamaniom
■
Konfigurowanie powiadomień funkcji zapobiegania włamaniom
108
Zarządzanie zaporą i zapobieganiem włamaniom
Funkcja klienta Symantec Endpoint Protection Ochrona przed zagrożeniami
sieciowymi monitoruje informacje, które przychodzą do komputera i wychodzą
z niego, a także blokuje próby ataków sieciowych.
Tabela 5-1 przedstawia funkcje programu Symantec Endpoint Protection
umożliwiające zarządzanie funkcją Ochrona przed zagrożeniami sieciowymi.
Tabela 5-1
Funkcje ochrony przed zagrożeniami sieciowymi
Narzędzie
Opis
Zapora
Zapora uniemożliwia nieuprawnionym użytkownikom dostęp do
komputera użytkownika i sieci łączących się z Internetem. Zapora
wykrywa prawdopodobne ataki hakerskie, chroni osobiste
informacje użytkownika i eliminuje niepożądane źródła ruchu
sieciowego. Zapora przepuszcza lub blokuje ruch przychodzący i
wychodzący.
Patrz „Sposób działania zapory” na stronie 110
System zapobiegania
włamaniom
System zapobiegania włamaniom (IPS) automatycznie wykrywa
ataki sieciowe i blokuje je. System zapobiegania włamaniom
skanuje każdy pakiet przychodzący i wychodzący na komputerze
w poszukiwaniu sygnatur ataków.
System zapobiegania włamaniom korzysta z obszernej listy
sygnatur ataków, aby wykrywać i blokować podejrzane operacje
w sieci. Firma Symantec dostarcza listę znanych zagrożeń, którą
można aktualizować w programie klienckim za pomocą usługi
Symantec LiveUpdate. Mechanizm systemu zapobiegania
włamaniom i odpowiedni zestaw sygnatur tego systemu są
instalowane na komputerze klienckim domyślnie.
Patrz „Sposób działania funkcji Zapobieganie włamaniom”
na stronie 141
Patrz „Zarządzanie systemem zapobiegania włamaniom”
na stronie 140
Zapora domyślnie zezwala na cały przychodzący i wychodzący ruch sieciowy.
Zaporę można skonfigurować w celu przepuszczania lub blokowania określonych
typów ruchu.
Administrator określa poziom interakcji użytkownika z klientem poprzez
umożliwienie lub zablokowanie możliwości konfigurowania reguł i ustawień
zapory. Administrator może ograniczyć użytkowanie w taki sposób, że użytkownik
może pracować z klientem tylko wówczas, gdy klient powiadamia użytkownika o
nowych połączeniach sieciowych i możliwych problemach. Administrator może
też zapewnić użytkownikowi pełny dostęp do interfejsu użytkownika.
Tabela 5-2 przedstawia zadania zapory, które można wykonać w celu ochrony
komputera. Wszystkie te zadania są opcjonalne i można je wykonać w dowolnej
kolejności.
Tabela 5-2
Zadanie
Opis
Zapoznanie się ze
sposobem działania
zapory
Należy poznać sposób, w jaki zapora chroni komputer przed atakami
sieciowymi.
Konfigurowanie
ustawień zapory
Użytkownik może nie tylko tworzyć reguły zapory, lecz również
włączać i konfigurować ustawienia zapory w celu udoskonalenia
ochrony zapewnianej przez zaporę.
Patrz „Konfigurowanie ustawień zapory” na stronie 111
Wyświetlanie
Można regularnie sprawdzać stan zapory na komputerze, aby
dzienników zdarzeń upewnić się czy:
■
Utworzone reguły zapory działają prawidłowo.
■
Klient zablokował jakiekolwiek ataki sieciowe.
■
Klient zablokował jakiekolwiek aplikacje, które powinny zostać
uruchomione.
Stan zapory można sprawdzić za pomocą dziennika ruchu i dziennika
pakietów.
Uwaga: Dziennik pakietów jest domyślnie wyłączony na klientach
zarządzanych.
Konfigurowanie
ustawień aplikacji
Ochronę komputera można zwiększyć, dostosowując ustawienia
aplikacji. Aplikacja to oprogramowanie mające na celu ułatwienie
użytkownikowi wykonania żądanych zadań. Aplikacją jest na
przykład program Microsoft Internet Explorer. Ustawienia zapory
można skonfigurować w celu kontrolowania aplikacji mogących
uzyskać dostęp do sieci.
Patrz „Zezwalanie na aplikacje lub ich blokowanie — informacje”
na stronie 125
109
110
Zadanie
Opis
Monitorowanie
operacji sieciowych
Można wyświetlić informacje o ruchu przychodzącym i ruchu
wychodzącym klienta. Można również wyświetlić listę aplikacji i
usług uruchomionych od chwili uruchomienia usługi klienta.
Patrz „Wyświetlanie operacji sieciowych” na stronie 129
Dodawanie i
dostosowywanie
reguł zapory
Użytkownik może nie tylko włączać ustawienia zapory, lecz również
modyfikować reguły zapory w celu dodatkowego udoskonalenia
ochrony zapewnianej przez zaporę. Można także tworzyć nowe
reguły zapory. Użytkownik może na przykład zablokować aplikację,
której nie chce uruchamiać na komputerze, taką jak program typu
adware.
Patrz „Reguły zapory klienckiej — informacje” na stronie 131
Patrz „Konfigurowanie reguł zapory” na stronie 137
Patrz „Włączanie i wyłączanie reguł zapory” na stronie 140
Włączanie lub
wyłączanie zapory
Użytkownik może tymczasowo wyłączyć funkcję Ochrona przed
zagrożeniami sieciowymi w celu rozwiązywania problemów. Można
ją na przykład wyłączyć w celu umożliwienia otwarcia określonej
aplikacji.
Patrz „Włączanie lub wyłączanie ochrony na komputerze klienckim”
na stronie 45
Sposób działania zapory
Zapora wykonuje wszystkie następujące zadania:
■
Uniemożliwia wszystkim nieuprawnionym użytkownikom dostęp do łączących
się z Internetem komputerów i sieci w organizacji.
■
Monitoruje komunikację między chronionymi komputerami a innymi
komputerami w Internecie.
■
Tworzy ochronną powłokę zezwalającą na próby uzyskania dostępu do
informacji na chronionych komputerach lub blokującą je.
■
Ostrzega użytkownika o próbach połączenia z innych komputerów.
■
Ostrzega o próbach połączeń podejmowanych przez programy znajdujące się
na komputerze użytkownika.
Zapora sprawdza pakiety danych przesyłane przez Internet. Pakiet to oddzielny
fragment danych stanowiący część przepływu informacji między dwoma
komputerami. Pakiety są ponownie składane w lokalizacji docelowej w ciągły
strumień danych.
Pakiety zawierają informacje o:
■
Wysyłających je komputerach
■
Zamierzonych adresatach
■
Sposobie przetwarzania danych pakietu
■
Portach odbierających pakiety
Porty to kanały dzielące strumień danych przychodzący z Internetu. Aplikacje
uruchamiane na komputerze prowadzą nasłuch na portach. Aplikacje odbierają
dane wysłane do odpowiednich portów.
Ataki sieciowe wykorzystują luki zabezpieczeń w aplikacjach. Atakujący używają
tych luk, aby wysyłać pakiety zawierające destrukcyjny kod programu do
określonych portów. Gdy aplikacje narażone na atak prowadzą nasłuch na portach,
destrukcyjny kod umożliwia atakującym uzyskania dostępu do komputera.
Tabela 5-3 przedstawia typy ustawień zapory, które użytkownik może
skonfigurować w celu dodatkowego dostosowania zapory.
Jeśli ustawienia nie są wyświetlane w interfejsie użytkownika lub nie można ich
zmodyfikować, administrator nie udzielił użytkownikowi uprawnień do ich
konfigurowania. Modyfikacje ustawień zapory są opcjonalne i można je wykonać
w dowolnej kolejności.
111
112
Tabela 5-3
Ustawienia zapory
Kategoria
Opis
Ruch i tryb ukrywania
przeglądania Internetu
Możliwe jest włączenie różnych ustawień ruchu i trybu
ukrywania przeglądania Internetu, zapewniających ochronę
przed pewnymi typami ataków sieciowych na klienta.
Ustawienia ruchu można skonfigurować tak, aby wykrywać
i blokować ruch odbywający się za pośrednictwem
sterowników, protokołu NetBIOS oraz Token Ring. Można
skonfigurować ustawienia tak, aby był wykrywany ruch
wykorzystujący mniej widoczne metody ataku. Można także
sterować sposobem działania wobec ruchu protokołu IP nie
dopasowanego do żadnej reguły zapory.
Patrz „Włączanie ustawień dotyczących ruchu i trybu
ukrywania przeglądania Internetu” na stronie 113
Wbudowane reguły
Program Symantec Endpoint Protection zawiera wbudowane
dotyczące niezbędnych usług reguły, umożliwiające normalną wymianę między
sieciowych
określonymi niezbędnymi usługami sieciowymi. Wbudowane
reguły eliminują konieczność tworzenia reguł zapory jawnie
zezwalających na te usługi. Podczas przetwarzania
wbudowane reguły są stosowane przed regułami zapory, co
oznacza, że pakiety zgodne z aktywnym wystąpieniem
reguły wbudowanej są przepuszczane. Reguły wbudowane
można zdefiniować dla usług DHCP, DNS i WINS.
Patrz „Automatyczne zezwalanie na komunikację
niezbędnych usług sieciowych” na stronie 120
Udostępnianie plików i
drukarek w sieci
Klientowi można umożliwić udostępnianie plików i drukarek
lub przeglądanie sieci lokalnej w poszukiwaniu
udostępnionych plików i drukarek. Aby zapobiec atakom
sieciowym, można wyłączyć udostępnianie plików i drukarek
w sieci.
Patrz „Włączanie udostępniania plików i drukarek”
na stronie 120
Blokowanie atakującego
komputera
Gdy program Symantec Endpoint Protection wykryje atak
sieciowy, może automatycznie zablokować połączenie, aby
zapewnić bezpieczeństwo komputera klienckiego. Klient
włącza aktywną reakcję. Następnie klient automatycznie
blokuje przez określony czas całą komunikację z adresem
IP atakującego komputera. Adres IP atakującego komputera
jest blokowany dla jednej lokalizacji.
Patrz „Blokowanie i odblokowywanie atakującego
Włączanie ustawień dotyczących ruchu i trybu ukrywania przeglądania
Internetu
Możliwe jest włączenie różnych ustawień ruchu i trybu ukrywania przeglądania
Internetu, zapewniających ochronę przed pewnymi typami ataków sieciowych na
klienta. Ustawienia ruchu można skonfigurować tak, aby wykrywać i blokować
ruch odbywający się za pośrednictwem sterowników, protokołu NetBIOS oraz
Token Ring. Można skonfigurować ustawienia tak, aby był wykrywany ruch
wykorzystujący mniej widoczne metody ataku. Można także sterować sposobem
działania wobec ruchu protokołu IP nie dopasowanego do żadnej reguły zapory.
Gdy zapora ukończy określone operacje, kontrola jest przekazywana do kilku
składników. Każdy składnik jest przeznaczony do przeprowadzania innego typu
analizy pakietów.
Aby włączyć ustawienia dotyczące ruchu i przeglądania Internetu w trybie ukrycia:
1
2
Kliknij pozycję Konfiguruj ustawienia obok pozycji Ochrona przed
3
Na karcie Zapora, w obszarze Ustawienia ruchu zaznacz następujące pola
wyboru funkcji, które chcesz włączyć:
113
114
Włącz ochronę systemu
NetBIOS
Umożliwia zablokowanie ruchu systemu NetBIOS z
zewnętrznej bramy.
Możliwe jest udostępnianie plików i drukarek w
otoczeniu sieciowym w sieci LAN i zarazem
zabezpieczenie komputera przed atakami z sieci
zewnętrznych, wykorzystującymi luki w
zabezpieczeniach systemu NetBIOS. Włączenie tej opcji
powoduje blokowanie pakietów NetBIOS pochodzących
z adresów IP spoza zakresów wewnętrznych
określonych przez organizację ICANN. Zakresy
wewnętrzne określone przez organizację ICANN
obejmują adresy 10.x.x.x, 172.16.x.x, 192.168.x.x i
169.254.x.x z wyjątkiem podsieci 169.254.0.x i
169.254.255.x. Pakiety NetBIOS kierowane są na porty
UDP 88, 137, 138 oraz TCP 135, 139, 445 i 1026.
Uwaga: Włączenie funkcji ochrony systemu NetBIOS
może spowodować problem z programem Microsoft
Outlook, jeżeli komputer kliencki łączy się z serwerem
Microsoft Exchange znajdującym się w innej podsieci.
W takim przypadku można utworzyć regułę zapory,
która zezwoli na dostęp do tego serwera.
Zezwalaj na ruch Token Ring Zezwala komputerom klienckim łączącym się z siecią
za pośrednictwem karty Token Ring na dostęp
niezależnie od reguł zapory na kliencie.
Po wyłączeniu tego ustawienia do sieci firmowej nie
będzie dopuszczany jakikolwiek ruch z komputerów
łączących się za pośrednictwem karty sieciowej typu
token ring. Zapora nie filtruje ruchu token ring.
Możliwe jest tylko całkowite zablokowanie albo
całkowite odblokowanie ruchu token ring.
Włącz przeciwdziałanie
fałszowaniu adresów MAC
Zezwala na przychodzący i wychodzący ruch ARP
(Address Resolution Protocol) tylko wtedy, gdy do
danego hosta wysłano żądanie ARP. Blokowany jest
cały pozostały, nieoczekiwany ruch ARP, który jest też
rejestrowany w dzienniku zabezpieczeń.
Niektórzy hakerzy fałszują adresy MAC w celu
przechwycenia sesji komunikacji między dwoma
komputerami. Adresy MAC (Media Access Control) są
adresami sprzętowymi identyfikującymi komputery,
serwery, routery itd. Jeżeli komputer A chce
komunikować się z komputerem B, może wysłać do
niego pakiet ARP.
Funkcja przeciwdziałania fałszowaniu adresów MAC
chroni komputer użytkownika przed możliwością
zresetowania tabeli adresów MAC przez inny komputer.
Po wysłaniu przez komputer komunikatu żądania ARP
REQUEST klient zezwala na odbiór związanego z nim
komunikatu odpowiedzi ARP RESPOND w ciągu 10
sekund. Wszystkie pozostałe komunikaty odpowiedzi
ARP RESPOND są odrzucane.
Włącz monitorowanie
aplikacji sieciowych
Umożliwia klientowi monitorowanie zmian w
aplikacjach sieciowych uruchomionych na komputerze
klienckim.
Aplikacje sieciowe wysyłają i odbierają ruch. Klient
wykrywa, czy składniki aplikacji zmieniają się.
Blokuj cały ruch do chwili
Przy wyłączonej z dowolnego powodu zaporze blokuje
uruchomienia zapory i po jej cały ruch przychodzący i wychodzący z komputera
zatrzymaniu
klienckiego.
Komputer nie jest chroniony w każdej z następujących
sytuacji:
■
Po jego włączeniu i przed uruchomieniem zapory
■
Po zatrzymaniu zapory i wyłączeniu komputera
Ten czas to niewielka luka w zabezpieczeniach,
umożliwiająca nieautoryzowaną komunikację.
Ustawienie to zapobiega komunikacji
nieautoryzowanych aplikacji z innymi komputerami.
Uwaga: Jeżeli ochrona przed zagrożeniami sieciowymi
jest wyłączona, klient ignoruje to ustawienie.
115
116
Włącz wykrywanie ataków
typu odmowa obsługi
Gdy to ustawienie jest włączone, program Symantec
Endpoint Protection identyfikuje znane ataki na
podstawie wielu pakietów, bez względu na numer portu
i typ protokołu internetowego.
Niezdolność wykrywania tego typu jest ograniczeniem
opartych na sygnaturach systemów wykrywania
włamań i zapobiegania im.
Włącz wykrywanie
skanowania portów
Gdy to ustawienie jest włączone, program Symantec
Endpoint Protection monitoruje wszystkie
przychodzące pakiety blokowane przez dowolne reguły
zabezpieczeń. Jeśli reguła blokuje w krótkim czasie
kilka różnych pakietów na różnych portach, program
Symantec Endpoint Protection tworzy wpis w
dzienniku zabezpieczeń.
Wykrywanie skanowania portów nie blokuje żadnych
pakietów. Należy utworzyć zasadę zabezpieczeń w celu
blokowania ruchu w razie skanowania portów.
4
W obszarze Ustawienia niedopasowanego ruchu protokołu IP zaznacz pola
wyboru funkcji, które chcesz włączyć.
Opcje te kontrolują przychodzący i wychodzący ruch protokołu IP nie pasujący
do żadnej reguły zapory. Ruch protokołu IP obejmuje pakiety danych
przesyłane w sieciach IP przy użyciu protokołów TCP, UDP i ICMP. Do typów
ruchu IP należy ruch aplikacji, wymiany wiadomości e-mail, transfery plików,
pakiety ping i transmisje internetowe.
Można włączyć jedno lub wiele następujących ustawień ruchu protokołu IP:
Zezwalaj na ruch protokołu
IP
Zezwala na wszelki ruch przychodzący i wychodzący
nieblokowany przez reguły zapory. Jeśli na przykład
dodana zostanie reguła blokująca ruch VPN, zapora
będzie zezwalać na wszelki ruch oprócz ruchu VPN.
Zezwalaj tylko na ruch
aplikacji
Zezwala na ruch do i od aplikacji oraz blokuje ruch,
który nie jest skojarzony z żadną aplikacją. Zapora
zezwala na przykład na ruch programu Internet
Explorer, ale blokuje ruch VPN, jeśli nie zezwala na
niego reguła.
Pytaj przed zezwoleniem na Wyświetla monit o zezwolenie na aplikację lub jej
ruch aplikacji
zablokowanie. Użytkownicy mogą na przykład wybrać,
czy chcą zablokować pliki multimedialne. Użytkownicy
mogą też na przykład ukryć emisje procesu
NTOSKRNL.DLL. Proces NTOSKRNL.DLL może
stanowić wskaźnik obecności programu typu spyware,
ponieważ programy typu spyware często pobierają i
instalują proces NTOSKRNL.DLL.
117
118
5
W obszarze Ustawienia ukrywania zaznacz następujące pola wyboru funkcji,
które chcesz włączyć.
Włącz zmianę sekwencji TCP Włączenie tej opcji zapobiega fałszowaniu lub
podszywaniu się pod adresy IP przez intruza.
Hakerzy fałszują adresy IP w celu przechwytywania
sesji komunikacji między dwoma komputerami (np.
komputerami A i B). Haker może na przykład wysłać
pakiet danych, który spowoduje przerwanie
komunikacji z komputerem A. Następnie haker może
podszyć się pod komputer A i nawiązać komunikację
z komputerem B, a następnie zaatakować go. Aby
chronić komputer, funkcja zmiany sekwencji TCP
powoduje generowanie losowych numerów sekwencji
TCP.
Uwaga: Funkcja maskowania niepowtarzalnego
identyfikatora systemu operacyjnego działa
najskuteczniej przy włączonym mechanizmie zmiany
sekwencji TCP.
Ostrzeżenie: Mechanizm zmiany sekwencji TCP
powoduję zmianę numeru sekwencji TCP podczas
działania usługi na komputerze klienckim. Numer
sekwencji jest inny podczas działania i niedziałania
usługi. W związku z tym połączenia sieciowe zostają
przerwane wskutek wyłączenia bądź włączenia usługi
zapory. Pakiety TCP/IP używają sekwencji numerów
sesji do komunikacji z innymi komputerami. Kiedy
program kliencki nie działa, komputer kliencki używa
schematu numerowania systemu Windows. Kiedy
program kliencki działa i włączony jest mechanizm
zmiany sekwencji TCP, komputer kliencki używa
innego schematu numerowania. Jeżeli usługa działająca
na kliencie zostanie nagle zatrzymana, przywrócony
zostanie schemat numerowania systemu Windows, a
system Windows odrzuci pakiety takiego ruchu.
Mechanizm zmiany sekwencji TCP może spowodować
problemy ze zgodnością z niektórymi kartami
sieciowymi, wskutek których klient blokuje cały ruch
przychodzący i wychodzący.
Włącz tryb ukrywania
przeglądania Internetu
Powoduje wykrywanie ruchu protokołu HTTP z
przeglądarki internetowej na wszystkich portach i
usuwanie następujących informacji: nazwy i numeru
wersji przeglądarki, systemu operacyjnego i strony
internetowej, z której nastąpiło przejście do danej
strony. Wskutek tego witryny internetowe nie mogą
rozpoznać systemu operacyjnego ani przeglądarki
używanej na komputerze. Opcja ta nie powoduje
wykrywania ruchu HTTPS (SSL).
Ostrzeżenie: Tryb ukrywania przeglądania Internetu
może spowodować nieprawidłowe działanie niektórych
witryn internetowych. Niektóre serwery internetowe
budują strony na podstawie informacji o
przeglądarkach. Ponieważ opcja ta powoduje usunięcie
informacji o przeglądarce, niektóre strony internetowe
mogą nie być wyświetlane prawidłowo bądź wcale. Tryb
ukrywania przeglądania Internetu powoduje usunięcie
sygnatury przeglądarki, HTTP_USER_AGENT, z
nagłówka żądania HTTP i zastąpienie jej sygnaturą
ogólną.
Włącz maskowanie
niepowtarzalnego
identyfikatora systemu
operacyjnego
Zapobiega wykrywaniu systemu operacyjnego
zainstalowanego na komputerze klienckim. Klient
zmienia wartość TTL i wartość identyfikatora pakietów
TCP/IP, aby uniemożliwić identyfikację systemu
operacyjnego.
Uwaga: Funkcja maskowania niepowtarzalnego
identyfikatora systemu operacyjnego działa
najskuteczniej przy włączonym mechanizmie zmiany
sekwencji TCP.
Ostrzeżenie: Mechanizm zmiany sekwencji TCP może
spowodować problemy ze zgodnością z niektórymi
kartami sieciowymi, wskutek których klient blokuje
cały ruch przychodzący i wychodzący.
6
Patrz „Blokowanie ruchu” na stronie 123
119
120
Automatyczne zezwalanie na komunikację niezbędnych usług
sieciowych
Program Symantec Endpoint Protection zawiera wbudowane reguły, umożliwiające
normalną wymianę między określonymi niezbędnymi usługami sieciowymi.
Wbudowane reguły eliminują konieczność tworzenia reguł zapory jawnie
zezwalających na te usługi. Podczas przetwarzania wbudowane reguły są stosowane
przed regułami zapory, co oznacza, że pakiety zgodne z aktywnym wystąpieniem
reguły wbudowanej są przepuszczane. Reguły wbudowane można zdefiniować dla
usług DHCP, DNS i WINS.
Filtry reguł wbudowanych przepuszczają pakiet przychodzący w odpowiedzi na
żądanie. Nie blokują one pakietów. O przepuszczaniu lub blokowaniu pakietów
decydują reguły zapory.
1
2
3
Na karcie Zapora, w obszarze Reguły wbudowane zaznacz dowolne z
następujących opcji:
4
■
Włącz Smart DHCP
■
Włącz Smart DNS
■
Włącz Smart WINS
Patrz „Włączanie ustawień dotyczących ruchu i trybu ukrywania przeglądania
Internetu” na stronie 113
Włączanie udostępniania plików i drukarek
Klientowi można umożliwić udostępnianie plików i drukarek lub przeglądanie
sieci lokalnej w poszukiwaniu udostępnionych plików i drukarek. Aby zapobiec
atakom sieciowym, można wyłączyć udostępnianie plików i drukarek w sieci.
Udostępnianie plików i drukarek w sieci można włączyć na następujące sposoby:
Automatycznie włączając
ustawienia udostępniania
plików i drukarek na karcie
Microsoft Windows
Networking.
Jeśli reguła zapory blokuje ten ruch, to ma pierwszeństwo.
Aby automatycznie włączyć udostępnianie plików i drukarek
w sieci:
Ręcznie włączając
udostępnianie plików i
drukarek poprzez dodanie
reguł zapory.
Można dodać reguły zapory precyzujące ustawienia. Można
na przykład utworzyć regułę, aby określić wybranego hosta
zamiast wszystkie hosty. Reguły zapory umożliwiają dostęp
do portów w celu przeglądania i udostępniania plików i
drukarek.
Można utworzyć jeden zestaw reguł zapory, umożliwiający
klientowi udostępnianie plików i drugi zestaw reguł zapory,
umożliwiający klientowi wyszukiwanie innych plików i
drukarek.
Aby ręcznie umożliwić klientom przeglądanie plików i
wyszukiwanie drukarek:
Aby ręcznie umożliwić innym komputerom przeglądanie
plików na kliencie:
Aby automatycznie włączyć udostępnianie plików i drukarek w sieci:
1
2
3
Na karcie Microsoft Windows Networking, w obszarze Ustawienia kliknij
menu rozwijane i wybierz kartę sieciową, której dotyczyć mają ustawienia.
4
Kliknij pozycję Przeglądaj pliki i drukarki w sieci, aby umożliwić przeglądanie
innych komputerów i wyszukiwanie drukarek w sieci.
5
Aby umożliwić innym komputerom przeglądanie plików na danym
komputerze, kliknij pozycję Udostępniaj pliki i drukarki innym
użytkownikom sieci.
6
Aby ręcznie umożliwić klientom przeglądanie plików i wyszukiwanie drukarek:
1
W programie klienckim kliknij pozycję Stan na pasku bocznym.
2
Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje
> Skonfiguruj reguły zapory.
3
W oknie dialogowym Konfigurowanie reguł zapory kliknij pozycję Dodaj.
4
Na karcie Ogólne wpisz nazwę reguły i kliknij pozycję Blokuj ten ruch.
5
Na karcie Porty i protokoły, na liście rozwijanej Protokół kliknij pozycję
TCP.
6
W obszarze Porty zdalne wpisz 88, 135, 139, 445.
7
121
122
8
9
10 Na karcie Porty i protokoły, na liście rozwijanej Protokół kliknij pozycję
UDP.
11 W obszarze Porty zdalne wpisz 88.
12 W obszarze Porty lokalne wpisz 137, 138.
Aby ręcznie umożliwić innym komputerom przeglądanie plików na kliencie:
1
2
3
4
5
Na karcie Porty i protokoły, na liście rozwijanej Protokół kliknij pozycję
TCP.
6
W obszarze Porty lokalne wpisz 88, 135, 139, 445.
7
8
9
10 Na karcie Porty i protokoły, na liście rozwijanej Protokół kliknij pozycję
UDP.
11 W obszarze Porty lokalne wpisz 88, 137, 138.
Blokowanie i odblokowywanie atakującego komputera
Gdy program Symantec Endpoint Protection wykryje atak sieciowy, może
automatycznie zablokować połączenie, aby zapewnić bezpieczeństwo komputera
klienckiego. Klient uruchamia aktywną reakcję, która automatycznie blokuje przez
określony czas całą komunikację z adresem IP atakującego komputera. Adres IP
atakującego komputera jest blokowany dla jednej lokalizacji.
Adres IP atakującego komputera można sprawdzić w dzienniku zabezpieczeń.
Można również odblokować atak, zatrzymując aktywną reakcję w dzienniku
zabezpieczeń.
Aby nie czekać na odblokowanie adresu IP przez domyślny okres czasu, można
odblokować go natychmiast.
Aby zablokować atakujący komputer:
1
2
3
Na karcie Zapora, w obszarze Ustawienia aktywnej reakcji zaznacz pole
wyboru Liczba sekund automatycznego blokowania adresu IP atakującego
i wprowadź żądaną liczbę sekund.
Wprowadź liczbę sekund z przedziału od 1 do 999 999. Ustawienie domyślne
to 600 sekund (10 minut).
4
Aby odblokować atakujący komputer:
1
2
Obok pozycji Zarządzanie klientami kliknij pozycję Wyświetl dzienniki >
Dziennik zabezpieczeń.
3
W dzienniku zabezpieczeń zaznacz wiersz, w którym kolumnie Typ zdarzenia
znajduje się pozycja Aktywna reakcja, a następnie kliknij pozycję Działanie
> Zatrzymaj aktywną reakcję.
Aby odblokować zablokowane adresy IP, kliknij pozycję Działanie > Zatrzymaj
wszystkie aktywne reakcje. Po zablokowaniu aktywnej reakcji w kolumnie
Typ zdarzenia wyświetlana jest pozycja Aktywna reakcja anulowana. Po
upływie ustawionego czasu reakcji w kolumnie Typ zdarzenia wyświetlana
jest pozycja Aktywna reakcja wyłączona.
4
W wyświetlonym oknie komunikatu kliknij przycisk OK.
5
Kliknij menu Plik > Zakończ.
Blokowanie ruchu
Można skonfigurować komputer tak, aby blokować ruch przychodzący i
wychodzący w następujących sytuacjach:
123
124
Gdy na komputerze
uruchomiony zostaje
wygaszacz ekranu.
Komputer można skonfigurować tak, aby blokować cały
ruch przychodzący i wychodzący z otoczenia sieciowego po
uruchomieniu wygaszacza ekranu na komputerze.
Natychmiast po wyłączeniu wygaszacza ekranu na
komputerze przywrócony zostanie poprzednio przypisany
poziom zabezpieczeń.
Aby blokować ruch po uruchomieniu wygaszacza ekranu:
Gdy zapora nie jest
uruchomiona.
Komputer nie jest chroniony przed uruchomieniem usługi
zapory po włączeniu komputera klienckiego lub po
zatrzymaniu usługi zapory przed wyłączeniem komputera.
Ten czas to niewielka luka w zabezpieczeniach,
umożliwiająca nieautoryzowaną komunikację.
Aby blokować ruch, gdy zapora nie jest uruchomiona:
Gdy ruch wychodzący i
przychodzący ma być
blokowany przez cały czas.
Zablokowanie całego ruchu może być pożądane, gdy sieć
lub podsieć firmowa została zaatakowana przez szczególnie
niszczycielskiego wirusa. W normalnych okolicznościach
nie jest wskazane blokowanie całego ruchu.
Uwaga: Administrator może skonfigurować tę opcję tak,
aby nie była dostępna. Nie można blokować ruchu na kliencie
niezarządzanym.
Aby zablokować cały ruch w dowolnej chwili:
Wyłączając funkcję Ochrona przed zagrożeniami sieciowymi, można zezwolić na
cały ruch.
Aby blokować ruch po uruchomieniu wygaszacza ekranu:
1
2
3
Na karcie Usługa Microsoft Windows Networking, w obszarze Tryb
wygaszacza ekranu kliknij pozycję Blokuj ruch usługi Microsoft Windows
Networking, gdy wygaszacz ekranu jest uruchomiony.
4
Aby blokować ruch, gdy zapora nie jest uruchomiona:
1
2
3
Na karcie Zapora, w obszarze Ustawienia ruchu kliknij pozycję Blokuj cały
ruch do chwili uruchomienia zapory i po jej zatrzymaniu.
4
Opcjonalnie kliknij pozycję Zezwalaj na początkowy ruch DHCP i NetBIOS.
5
Aby zablokować cały ruch w dowolnej chwili:
1
2
> Wyświetl operacje sieciowe.
3
Kliknij pozycję Narzędzia > Blokuj cały ruch.
4
Aby potwierdzić, kliknij przycisk Tak.
5
Aby przywrócić poprzednie ustawienia zapory klienta, usuń zaznaczenie
opcji Narzędzia > Blokuj cały ruch.
Patrz „Blokowanie i odblokowywanie atakującego komputera” na stronie 122
Zezwalanie na aplikacje lub ich blokowanie —
informacje
Aplikacja to oprogramowanie używane przez użytkownika w celu wykonania
określonych zadań. Aplikacją jest na przykład program Microsoft Internet Explorer
lub iTunes. Użytkownik może dostosować klienta w celu kontrolowania
określonych aplikacji, aby chronić sieć przed atakami.
Poniżej przedstawiono zadania, które można wykonać w celu dostosowania ochrony
aplikacji za pomocą zapory. Wszystkie te zadania są opcjonalne i można je wykonać
w dowolnej kolejności:
■
Na kliencie można włączyć funkcję zezwalania lub blokowania dostępu aplikacji
do sieci.
Patrz „Zezwalanie na dostęp lub blokowanie dostępu do sieci aplikacjom”
na stronie 126
■
Można skonfigurować ustawienia dotyczące aplikacji uruchamianej po
uruchomieniu usługi klienckiej lub próbującej uzyskać dostęp do sieci. Można
też skonfigurować ograniczenia dotyczące aplikacji, na przykład określić adresy
IP i porty, których dana aplikacja może używać. Można wyświetlić i zmienić
działanie podejmowane przez klienta wobec każdej aplikacji próbującej uzyskać
dostęp za pośrednictwem połączenia sieciowego. Konfigurując ustawienia dla
określonej aplikacji, tworzy się regułę zapory dotyczącą tej aplikacji.
125
126
■
Administrator może usunąć ograniczenia dotyczące aplikacji, takie jak pora
dnia, o której zapora blokuje aplikację. W przypadku usunięcia ograniczeń
działanie podejmowane przez klienta wobec aplikacji również jest wymazywane.
Gdy aplikacja lub usługa spróbuje ponownie połączyć się z siecią, może zostać
wyświetlone pytanie, czy zezwolić jej na to, czy ją zablokować. Uruchomienie
aplikacji lub usługi można także zatrzymać do chwili, gdy spróbuje ona
ponownie uzyskać dostęp do komputera, na przykład przy ponownym
uruchamianiu komputera.
Patrz „Usuwanie ograniczeń dotyczących aplikacji” na stronie 129
Zezwalanie na dostęp lub blokowanie dostępu do sieci aplikacjom
Na kliencie można włączyć funkcję zezwalania lub blokowania dostępu aplikacji
do sieci.
Tabela 5-4 przedstawia działania podejmowane przez klienta wobec ruchu
sieciowego.
Tabela 5-4
Działania podejmowane przez zaporę, gdy aplikacje uzyskują dostęp
do klienta lub sieci
Działanie
Opis
Zezwalaj
Zezwala ruchowi przychodzącemu na dostęp do komputera klienckiego, a
ruchowi wychodzącemu na dostęp do sieci.
Gdy klient odbiera ruch, ikona wyświetla małą niebieską kropkę w lewym
dolnym rogu. Gdy klient wysyła ruch, ikona wyświetla kropkę w prawym
dolnym rogu.
Blokuj
Blokuje ruchowi przychodzącemu i wychodzącemu dostęp do sieci lub
połączenia internetowego.
Pytaj
Przy następnej próbie uruchomienia aplikacji użytkownikowi wyświetlane
jest pytanie, czy zezwolić aplikacji na dostęp do sieci.
Zakończ
Zatrzymuje proces.
Aby zezwalać na dostęp lub blokować dostęp do sieci aplikacjom:
1
2
3
W oknie dialogowym Operacje sieciowe, w polu Uruchomione aplikacje
kliknij prawym przyciskiem myszy żądaną aplikację lub usługę, a następnie
kliknij żądaną opcję.
4
Patrz „Zezwalanie na aplikacje lub ich blokowanie — informacje” na stronie 125
Konfigurowanie ustawień specyficznych dla aplikacji
Można skonfigurować ustawienia dotyczące aplikacji uruchamianej po
uruchomieniu usługi klienckiej lub próbującej uzyskać dostęp do sieci.
Można skonfigurować ograniczenia dotyczące aplikacji, na przykład określić
adresy IP i porty, których dana aplikacja może używać. Można wyświetlić i zmienić
działanie podejmowane przez klienta wobec każdej aplikacji próbującej uzyskać
dostęp za pośrednictwem połączenia sieciowego. Konfigurując ustawienia dla
określonej aplikacji, tworzy się regułę zapory dotyczącą tej aplikacji.
Uwaga: W przypadku konfliktu między regułą zapory a ustawieniem dla określonej
aplikacji priorytet ma reguła zapory. Jeżeli na przykład skonfigurowano regułę
zapory blokującą cały ruch od godziny 01:00 do 08:00, ustawienie to zastępuje
harmonogram dla określonej gry sieciowej.
Aplikacje wyświetlane w oknie dialogowym Operacje sieciowe to aplikacje i usługi
uruchomione od momentu uruchomienia usługi klienckiej.
Aby skonfigurować ustawienia specyficzne dla aplikacji:
1
2
> Wyświetl ustawienia aplikacji.
3
W oknie dialogowym Wyświetl ustawienia aplikacji wybierz aplikację, którą
chcesz skonfigurować, a następnie kliknij pozycję Konfiguruj.
4
W oknie dialogowym Konfigurowanie ustawień aplikacji, w polu tekstowym
Zaufane adresy IP aplikacji wpisz adres IP lub zakres adresów IP.
5
W grupie opcji Porty serwera zdalnego lub Porty lokalne wybierz port TCP
lub UDP.
127
128
6
Aby określić kierunek ruchu, kliknij jeden lub oba następujące elementy:
Aby zezwolić na ruch
wychodzący:
Kliknij pozycję Zezwalaj na połączenia wychodzące.
Aby zezwolić na ruch
przychodzący:
Kliknij pozycję Zezwalaj na połączenia przychodzące.
7
Aby reguła była stosowana, gdy uruchomiony zostanie wygaszacz ekranu,
kliknij pozycję Zezwalaj, gdy wygaszacz ekranu jest włączony.
8
Aby skonfigurować harmonogram włączania i wyłączania ograniczeń, kliknij
pozycję Włącz harmonogramy.
9
Wybierz jedną z następujących opcji:
Aby określić czas
obowiązywania ograniczeń:
Kliknij pozycję W poniższym okresie.
Aby określić czas
nieobowiązywania
ograniczeń:
Kliknij pozycję Z wykluczeniem poniższego okresu.
10 Skonfiguruj harmonogram.
12 W celu zmiany działania podejmowanego wobec danej aplikacji, w oknie
dialogowym Wyświetl ustawienia aplikacji kliknij prawym przyciskiem
myszy żądaną aplikację, a następnie kliknij polecenie Zezwalaj lub Blokuj.
Aby zatrzymać aplikację lub usługę:
1
2
3
W polu Uruchomione aplikacje kliknij prawym przyciskiem myszy żądaną
aplikację, a następnie kliknij polecenie Zakończ.
4
Aby potwierdzić, kliknij przycisk Tak, a następnie kliknij przycisk Zamknij.
Patrz „Dodawanie reguły zapory” na stronie 138
Usuwanie ograniczeń dotyczących aplikacji
Administrator może usunąć ograniczenia dotyczące aplikacji, takie jak pora dnia,
o której zapora blokuje aplikację. W przypadku usunięcia ograniczeń działanie
podejmowane przez klienta wobec aplikacji również jest wymazywane. Gdy
aplikacja lub usługa spróbuje ponownie połączyć się z siecią, może zostać
wyświetlone pytanie, czy zezwolić jej na to, czy ją zablokować.
Uruchomienie aplikacji lub usługi można zatrzymać do chwili, gdy spróbuje ona
ponownie uzyskać dostęp do komputera, na przykład przy ponownym
uruchamianiu komputera.
Aby usunąć ograniczenia dotyczące aplikacji:
1
2
> Wyświetl ustawienia aplikacji.
3
W oknie dialogowym Wyświetlanie ustawień aplikacji wykonaj jedno z
poniższych działań:
Aby usunąć aplikację z listy. Zaznacz aplikację, a następnie kliknij pozycję Usuń.
Aby usunąć wszystkie
aplikacje z listy.
4
Kliknij przycisk Tak.
5
Kliknij pozycję Usuń wszystkie.
Można wyświetlić informacje o ruchu przychodzącym i ruchu wychodzącym
komputera. Można również wyświetlić listę aplikacji i usług uruchomionych od
chwili uruchomienia usługi klienta.
Uwaga: Klient nie wykrywa ruchu sieciowego z urządzeń PDA.
Ruch sieciowy można wyświetlić jako ruch emisji albo multiemisji. Ruch emisji
to ruch sieciowy wysyłany do każdego komputera w danej podsieci, a nie jedynie
do konkretnego komputera. Ruch emisji pojedynczej to ruch skierowany konkretnie
do komputera użytkownika.
129
130
Aby wyświetlić historię operacji sieciowych:
1
2
3
Aby pokazać lub ukryć usługi systemu Windows i ruch emisji:
1
2
3
W oknie dialogowym Operacje sieciowe kliknij prawym przyciskiem myszy
pozycję Uruchomione aplikacje i wykonaj dowolną z poniższych czynności:
4
Aby pokazać lub ukryć usługi systemu
Windows:
Zaznacz lub wyczyść pole wyboru Pokaż
usługi systemu Windows.
Aby wyświetlić ruch emisji:
Zaznacz pozycję Pokaż ruch emisji.
Aby wyświetlić ruch emisji pojedynczej:
Usuń zaznaczenie pozycji Pokaż ruch
emisji.
Aby zmienić sposób wyświetlania informacji aplikacji:
1
2
3
W polu Uruchomione aplikacje kliknij prawym przyciskiem myszy żądaną
aplikację, a następnie kliknij żądany widok. Można na przykład kliknąć pozycję
Szczegóły.
4
Patrz „Zezwalanie na dostęp lub blokowanie dostępu do sieci aplikacjom”
na stronie 126
Tabela 5-5 przedstawia niezbędne informacje na temat reguł zapory klienckiej.
Tabela 5-5
Tematy dotyczące reguł zapory klienckiej
Temat
Opis
Zrozumienie sposobów
przetwarzania reguł zapory,
ustawień oraz ustawień
systemu zapobiegania
włamaniom
Zrozumienie sposobów przetwarzania reguł, ustawień
zapory i ustawień systemu zapobiegania włamaniom ułatwia
tworzenie skutecznych reguł zapory. Zrozumienie sposobu
przetwarzania reguł i ustawień ułatwia odpowiednie
ustawienie kolejności reguł.
Patrz „Kolejność przetwarzania reguł zapory, ustawień
zapory i ustawień systemu zapobiegania włamaniom —
informacje” na stronie 131
Patrz „Zmiana kolejności reguł zapory” na stronie 133
Zapoznanie się ze sposobem,
w jaki klient stosuje stanową
analizę pakietów, aby nie
musieć tworzyć specjalnych
reguł
Program Symantec Endpoint Protection stosuje analizę
stanową. To znaczy, że dla ruchu inicjowanego w jednym
kierunku nie trzeba tworzyć reguł zezwalających na ruch
w drugim kierunku. Zrozumienie sposobu działania analizy
stanowej eliminuje konieczność tworzenia reguł.
Patrz „Jak zapora stosuje stanową analizę pakietów”
na stronie 133
Poznanie elementów reguły
zapory
W celu tworzenia skutecznych reguł zapory należy
zrozumieć składniki, z których składa się reguła.
Patrz „Elementy reguły zapory” na stronie 134
Kolejność przetwarzania reguł zapory, ustawień
zapory i ustawień systemu zapobiegania włamaniom
— informacje
Reguły zapory ułożone są w kolejności od reguły z najwyższym priorytetem do
reguły z najniższym priorytetem, odpowiednio od góry do dołu na liście reguł.
Jeśli pierwsza reguła nie określi, jak należy postąpić z pakietem, zapora przetwarza
drugą regułę. Proces ten jest powtarzany aż do znalezienia dopasowania. Po
znalezieniu dopasowania zapora podejmuje działanie określone w regule. Kolejne
reguły o niższym priorytecie nie są przetwarzane. Jeśli na przykład na liście
131
132
Kolejność przetwarzania reguł zapory, ustawień zapory i ustawień systemu zapobiegania włamaniom — informacje
najpierw znajduje się reguła blokująca cały ruch, a za nią reguła zezwalająca na
cały ruch, klient zablokuje cały ruch.
Kolejność reguł można ustawić według ograniczeń. Najpierw przetwarzane są
reguły z największymi ograniczeniami, a na końcu najbardziej ogólne. Na przykład
reguły blokujące ruch należy umieścić w pobliżu początku listy reguł. Reguły niżej
na liście mogą zezwalać na ruch.
Sprawdzone metody tworzenia bazy reguł przewidują następującą kolejność reguł:
1
Reguły blokujące cały ruch.
2
Reguły zezwalające na cały ruch.
3
Reguły zezwalające na określone komputery lub blokujące je.
4
Reguły zezwalające na określone aplikacje, usługi sieciowe i porty lub blokujące
je.
Tabela 5-6 przedstawia kolejność przetwarzania reguł, ustawień zapory i ustawień
systemu zapobiegania włamaniom przez zaporę.
Tabela 5-6
Kolejność przetwarzania
Priorytet
Ustawienie
Pierwszy
Sygnatury niestandardowego systemu zapobiegania włamaniom
Drugi
Ustawienia systemu zapobiegania włamaniom, ruchu i trybu ukrywania
Trzeci
Reguły wbudowane
Czwarty
Reguły zapory
Piąty
Sprawdzanie skanowania portów
Szósty
Sygnatury systemu zapobiegania włamaniom pobierane za
pośrednictwem usługi LiveUpdate
Patrz „Zmiana kolejności reguł zapory” na stronie 133
Patrz „Sposób działania funkcji Zapobieganie włamaniom” na stronie 141
Zapora przetwarza listę reguł zapory w kolejności od góry do dołu. Zmieniając
kolejność reguł na liście, można wpływać na sposób ich przetwarzania przez
zaporę. Zmiana kolejności dotyczy tylko aktualnie wybranej lokalizacji.
Uwaga: Aby uzyskać lepszą ochronę, należy reguły z największymi ograniczeniami
umieścić na początku listy, a na jej końcu reguły najmniej restrykcyjne.
Aby zmienić kolejność reguł zapory:
1
2
3
W oknie dialogowym Konfigurowanie reguł zapory wybierz regułę, którą
chcesz przenieść.
4
5
■
Aby zapora przetwarzała tę regułę przed regułą ją poprzedzającą, kliknij
strzałkę w górę.
■
Aby zapora przetwarzała tę regułę po regule znajdującą się za nią, kliknij
strzałkę w dół.
Po zakończeniu przenoszenia reguł kliknij przycisk OK.
Patrz „Kolejność przetwarzania reguł zapory, ustawień zapory i ustawień systemu
zapobiegania włamaniom — informacje” na stronie 131
Jak zapora stosuje stanową analizę pakietów
Zapora stosuje analizę stanową do śledzenia bieżących połączeń. Analiza stanowa
śledzi źródłowe i docelowe adresy IP, porty, aplikacje oraz inne informacje o
połączeniu. Zanim klient sprawdzi reguły zapory, podejmuje decyzje dotyczące
przepływu ruchu na podstawie informacji o połączeniu.
Na przykład, jeśli reguła zapory zezwala na połączenie komputera z serwerem
internetowym, zapora rejestruje informacje o połączeniu. Gdy serwer odpowiada,
zapora odkrywa, że na komputerze spodziewana jest odpowiedź z serwera
internetowego. Zezwala na przepływ ruchu z serwera internetowego do inicjującego
komputera bez sprawdzania bazy reguł. Reguła musi zezwalać na początkowy
ruch wychodzący, zanim zapora zarejestruje informacje o połączeniu.
133
134
Stanowa analiza pakietów eliminuje konieczność tworzenia nowych reguł. Dla
ruchu inicjowanego w jednym kierunku nie trzeba tworzyć reguł zezwalających
na ruch w obu kierunkach. Ruch klienta inicjowany w jednym kierunku to ruch
protokołów Telnet (port 23), HTTP (port 80) i HTTPS (port 443). Ruch wychodzący
inicjują komputery klienckie. Należy utworzyć regułę zezwalającą na ruch
wychodzący tych protokołów. Stanowa analiza pakietów automatycznie zezwala
na ruch zwrotny przesyłany w odpowiedzi na ruch wychodzący. Ponieważ zapora
z natury przeprowadza analizę stanową, należy jedynie utworzyć reguły inicjujące
połączenie, a nie charakterystyki poszczególnych pakietów. Wszystkie pakiety
należące do dozwolonego połączenia są automatycznie przepuszczane jako część
tego samego połączenia.
Stanowa analiza pakietów obsługuje wszystkie reguły kierujące ruchem TCP.
Stanowa analiza pakietów nie obsługuje reguł filtrowania ruchu protokołu ICMP.
Dla ruchu protokołu ICMP należy utworzyć reguły dopuszczające ruch w obu
kierunkach. Na przykład, jeśli klienci mają mieć możliwość używania polecenia
ping i otrzymywania odpowiedzi, należy utworzyć regułę dopuszczającą ruch
protokołu ICMP w obu kierunkach.
Reguły zapory sterują sposobem, w jaki klient chroni komputer użytkownika przed
destrukcyjnym ruchem sieciowym. Gdy komputer próbuje nawiązać połączenie
z innym komputerem, zapora porównuje typ tego połączenia z regułami zapory.
Zapora automatycznie sprawdza zgodność wszystkich pakietów ruchu
przychodzącego i ruchu wychodzącego z regułami. Zapora przepuszcza lub blokuje
pakiety zgodnie z regułami.
W celu definiowania reguł zapory można używać wyzwalaczy takich jak aplikacje,
hosty i protokoły. Reguła może na przykład identyfikować protokół w odniesieniu
do adresu docelowego. Gdy zapora analizuje regułę, wszystkie wyzwalacze muszą
zwracać wartość true, aby dopasowanie było pozytywne. Jeśli którykolwiek z
wyzwalaczy jest fałszywy w odniesieniu do bieżącego pakietu, zapora nie stosuje
reguły.
Po uruchomieniu reguły zapory nie są przetwarzane żadne inne reguły zapory.
Jeśli nie zostanie uruchomiona żadna reguła, pakiet jest automatycznie blokowany
i zdarzenie nie jest rejestrowane.
Reguła zapory opisuje warunki, w jakich połączenie sieciowe może zostać
dozwolone lub zablokowane. Reguła może na przykład zezwalać na ruch sieciowy
między zdalnym portem numer 80 i adresem IP 192.58.74.0 codziennie w godzinach
od 9 do 17.
Tabela 5-7 przedstawia kryteria używane do definiowania reguły zapory.
135
136
Tabela 5-7
Warunki reguły zapory
Warunek
Opis
Wyzwalacze
Dostępne są następujące wyzwalacze reguł zapory:
Aplikacje
Gdy aplikacja jest jedynym wyzwalaczem zdefiniowanym w regule
zezwalającej na ruch, zapora zezwala aplikacji na wykonywanie
wszystkich operacji sieciowych. Wartością znaczącą jest aplikacja,
a nie wykonywane przez nią operacje sieciowe. Przyjmijmy na
przykład, że reguła zezwala na aplikację Internet Explorer i nie
definiuje żadnych innych wyzwalaczy. Użytkownicy mogą uzyskać
dostęp do zdalnych witryn przy użyciu protokołu HTTP, HTTPS,
FTP, Gopher lub dowolnego innego protokołu obsługiwanego przez
przeglądarkę internetową. Można zdefiniować dodatkowe wyzwalacze
opisujące konkretne protokoły sieciowe i hosty, z którymi
komunikacja jest dozwolona.
■ Hosty
Host lokalny to zawsze lokalny komputer kliencki, a host zdalny to
zawsze komputer zdalny znajdujący się w innym miejscu w sieci.
Takie wyrażenie relacji hosta jest niezależne od kierunku ruchu.
Definiując wyzwalacze hosta, określa się hosta po zdalnej stronie
opisanego połączenia sieciowego.
■ Protokoły
Wyzwalacz protokołu identyfikuje co najmniej jeden protokół
sieciowy, który ma znaczenie w odniesieniu do opisywanego ruchu.
Lokalny komputer hosta zawsze jest właścicielem portu lokalnego,
a zdalny komputer jest zawsze właścicielem portu zdalnego. Takie
wyrażenie relacji portu jest niezależne od kierunku ruchu.
■ Karty sieciowe
W przypadku zdefiniowania wyzwalacza karty sieciowej reguła ma
zastosowanie tylko do ruchu przesyłanego lub odbieranego przy
użyciu określonego typu karty sieciowej. Można określić dowolną
kartę sieciową lub kartę aktualnie skojarzoną z komputerem
klienckim.
■
Definicje wyzwalające można łączyć, aby utworzyć bardziej złożone
reguły, na przykład w celu identyfikowania określonego protokołu w
odniesieniu do określonego adresu docelowego. Kiedy zapora analizuje
regułę, wszystkie wyzwalacze muszą zwracać wartość true, aby
dopasowanie było pozytywne. Jeśli którykolwiek z wyzwalaczy nie zwróci
wartości true w odniesieniu do bieżącego pakietu, zapora nie może
zastosować reguły.
Warunek
Opis
Warunki
Harmonogram i stan wygaszacza ekranu.
Parametry warunkowe nie opisują aspektu połączenia sieciowego.
Parametry warunkowe określają natomiast aktywny stan reguły.
Parametry warunkowe są opcjonalne, i jeśli nie zostały zdefiniowane,
nie mają znaczenia. Można skonfigurować harmonogram lub określić
stan wygaszacza ekranu, który będzie określał, kiedy dana reguła ma
być uważana za aktywną lub nieaktywną. Zapora nie analizuje
nieaktywnych reguł, gdy odbiera pakiety.
Działania
Zezwól lub zablokuj i zarejestruj lub nie zarejestruj.
Parametry działania określają działania, które ma podjąć zapora po
pomyślnym dopasowaniu reguły. Jeśli reguła zostanie wybrana w
odpowiedzi na odebrany pakiet, zapora wykona wszystkie działania.
Zapora przepuszcza albo blokuje pakiet i rejestruje go w dzienniku lub
nie rejestruje.
Jeśli zapora przepuszcza ruch, zezwala ruchowi określonemu przez
regułę na dostęp do sieci.
Jeśli zapora blokuje ruch, blokuje ruch określony przez regułę, dzięki
czemu nie uzyska on dostępu do sieci użytkownika.
Patrz „Jak zapora stosuje stanową analizę pakietów” na stronie 133
Tabela 5-8 przedstawia sposób konfigurowania nowych reguł zapory.
137
138
Tabela 5-8
Sposób konfigurowania reguł zapory
Krok
Zadanie
Opis
1
Dodaj nową
regułę zapory
Program Symantec Endpoint Protection jest instalowany z
domyślnymi regułami zapory. Można jednak utworzyć własne
reguły.
Inną metodą dodawania reguły zapory jest wyeksportowanie
istniejących reguł zapory z innej zasady zapory. Reguły i
ustawienia zapory można następnie zaimportować, dzięki czemu
nie trzeba ich ponownie tworzyć.
Patrz „Eksportowanie i importowanie reguł zapory” na stronie 139
2
(Opcjonalnie)
Po utworzeniu nowej reguły lub w celu dostosowania reguły
Dostosuj
domyślnej można zmodyfikować dowolne kryteria reguły zapory.
kryteria reguły
zapory
Dodawanie reguły zapory
Dodając regułę zapory, użytkownik musi podjąć decyzję dotyczącą działania reguły.
Można na przykład zezwalać na cały ruch z określonego źródła lub blokować
pakiety UDP z określonej witryny internetowej.
Utworzone reguły zapory są włączane automatycznie.
Aby dodać regułę zapory:
1
2
3
4
Na karcie Ogólne wpisz nazwę reguły i kliknij pozycję Blokuj ten ruch albo
Zezwalaj na ten ruch.
5
Aby zdefiniować wyzwalacze reguły, klikaj karty i konfiguruj niezbędne
ustawienia.
6
Aby określić przedziały czasu aktywności lub nieaktywności reguły, na karcie
Planowanie kliknij pozycję Włącz harmonogramy, a następnie skonfiguruj
harmonogram.
7
Po zakończeniu wprowadzania zmian kliknij przycisk OK.
8
Eksportowanie i importowanie reguł zapory
Reguły można udostępniać innym klientom, dzięki czemu nie trzeba ich ponownie
tworzyć. Reguły można wyeksportować z innego komputera i zaimportować do
własnego. Importowane reguły są dodawane na końcu listy reguł zapory.
Importowane reguły nie zastępują istniejących reguł, nawet jeśli są z nimi
identyczne.
Eksportowane i importowane reguły są zapisywane w pliku .sar.
Aby wyeksportować reguły zapory:
1
2
3
W oknie dialogowym Konfigurowanie reguł zapory wybierz reguły, które
chcesz wyeksportować.
4
Kliknij te reguły prawym przyciskiem myszy, a następnie kliknij pozycję
Wyeksportuj wybrane reguły.
5
W oknie dialogowym Eksport wpisz nazwę pliku, a następnie kliknij pozycję
Zapisz.
6
Aby zaimportować reguły zapory:
1
2
3
W oknie dialogowym Konfigurowanie reguł zapory kliknij prawym
przyciskiem myszy listę reguł zapory, a następnie kliknij pozycję Zaimportuj
regułę.
4
W oknie dialogowym Import znajdź plik o rozszerzeniu .sar zawierający
reguły, które chcesz zaimportować.
139
140
5
Kliknij przycisk Otwórz.
6
Włączanie i wyłączanie reguł zapory
Aby zapora przetwarzała reguły, muszą one zostać włączone. Dodawane reguły
zapory są włączane automatycznie.
Jeśli trzeba zezwolić na komunikację z konkretnym komputerem albo aplikacją,
można wyłączyć regułę zapory.
Aby włączyć i wyłączyć reguły zapory:
1
2
3
W oknie dialogowym Konfigurowanieregułzapory, w kolumnie Nazwa reguły
zaznacz lub wyczyść pole wyboru wyświetlane obok reguły, którą chcesz
włączyć lub wyłączyć.
4
Zarządzanie systemem zapobiegania włamaniom to część funkcji Ochrona przed
Tabela 5-9
Działanie
Opis
Zapoznanie się z systemem
zapobiegania włamaniom
Należy zapoznać się ze sposobem, w jaki sposób
system zapobiegania włamaniom wykrywa ataki
sieciowe i ataki na przeglądarkę.
Patrz „Sposób działania funkcji Zapobieganie
włamaniom” na stronie 141
Pobranie najnowszych sygnatur
systemu zapobiegania włamaniom
Domyślnie najnowsze sygnatury są pobierane na
klienta. Sygnatury można jednak pobrać
natychmiast.
Patrz „Aktualizowanie systemu ochrony
Działanie
Opis
Włączenie lub wyłączenie zapobiegania Ustawienia systemu zapobiegania włamaniom
włamaniom sieciowym lub włamaniom można wyłączyć w celu rozwiązywania problemów
do przeglądarki
lub gdy komputery klienckie zgłaszają nadmierną
liczbę fałszywych alarmów. Zazwyczaj nie należy
wyłączać funkcji zapobiegania włamaniom.
Można włączyć lub wyłączyć następujące typy
funkcji zapobiegania włamaniom:
■
Zapobieganie włamaniom sieciowym
■
Zapobieganie włamaniom do przeglądarki
Patrz „Włączanie lub wyłączanie funkcji
zapobiegania włamaniom” na stronie 142
Zapobieganie włamaniom można również włączyć
lub wyłączyć, włączając lub wyłączając funkcję
Ochrona przed zagrożeniami sieciowymi.
Patrz „Włączanie i wyłączanie systemu ochrony
— informacje” na stronie 43
Konfigurowanie powiadomień funkcji
zapobiegania włamaniom
Można skonfigurować powiadomienia, które będą
wyświetlane, gdy program Symantec Endpoint
Protection wykryje włamanie do sieci lub do
przeglądarki.
Patrz „Konfigurowanie powiadomień funkcji
zapobiegania włamaniom” na stronie 143
Funkcja Zapobieganie włamaniom to część funkcji Ochrona przed zagrożeniami
sieciowymi.
Funkcja Zapobieganie włamaniom automatycznie wykrywa ataki sieciowe oraz
ataki na przeglądarkę i blokuje je. Funkcja Zapobieganie włamaniom to druga po
zaporze warstwa ochrony komputerów klienckich. Funkcja Zapobieganie
włamaniom jest zwana również systemem zapobiegania włamaniom (Intrusion
Prevention System, IPS).
Patrz „Zarządzanie systemem zapobiegania włamaniom” na stronie 140
Funkcja Zapobieganie włamaniom przechwytuje dane w warstwie sieci. Skanuje
pakiety lub strumienie pakietów przy użyciu sygnatur. Skanuje każdy pakiet z
osobna, szukając wzorców odpowiadających atakom sieciowym lub atakom na
141
142
Włączanie lub wyłączanie funkcji zapobiegania włamaniom
przeglądarkę. Funkcja Zapobieganie włamaniom stosuje sygnatury w celu
wykrywania ataków składniki systemu operacyjnego i warstwę aplikacji.
Funkcja Zapobieganie włamaniom zapewnia dwa typy ochrony.
Zapobieganie włamaniom
sieciowym
Funkcja Zapobieganie włamaniom sieciowym za
pomocą sygnatur identyfikuje ataki na komputery
klienckie. W przypadku znanych ataków system
zapobiegania włamaniom automatycznie odrzuca
pakiety dopasowane do sygnatur.
Sygnatur niestandardowych nie można utworzyć na
kliencie. Można jednak zaimportować na klienta
sygnatury niestandardowe utworzone przez
użytkownika lub administratora w programie Symantec
Endpoint Protection Manager.
Zapobieganie włamaniom do
przeglądarki
Funkcja Zapobieganie włamaniom do przeglądarki
monitoruje ataki na przeglądarki Internet Explorer i
Firefox. Funkcja Zapobieganie włamaniom do
przeglądarki nie jest obsługiwana w żadnych innych
przeglądarkach.
Ten typ zapobiegania włamaniom stosuje sygnatury
ataków oraz analizę heurystyczną w celu
identyfikowania ataków na przeglądarki.
W przypadku niektórych ataków na przeglądarki
funkcja zapobiegania włamaniom wymaga, aby klient
zamknął przeglądarkę. Na komputerze klienckim
wyświetlane jest powiadomienie.
Włączanie lub wyłączanie funkcji zapobiegania
włamaniom
Zazwyczaj po wyłączeniu systemu zapobiegania włamaniom na komputerze staje
się on mniej bezpieczny. Wyłączenie tych ustawień może być jednak konieczne,
aby zapobiec fałszywym alarmom lub rozwiązać problemy z komputerem.
Program Symantec Endpoint Protection rejestruje próby i zdarzenia włamań w
dzienniku zabezpieczeń. Program Symantec Endpoint Protection może rejestrować
włamania również w dzienniku pakietów, o ile administrator skonfigurował go w
ten sposób.
Można włączyć lub wyłączyć dwa typy funkcji zapobiegania włamaniom:
■
Zapobieganie włamaniom sieciowym
■
Zapobieganie włamaniom do przeglądarki
Uwaga: Administrator może zablokować dostęp do tych opcji.
Aby włączyć lub wyłączyć ustawienia systemu zapobiegania włamaniom:
1
2
3
Na karcie Zapobieganie włamaniom zaznacz lub usuń zaznaczenie
następujących ustawień:
■
Włącz funkcję Zapobieganie włamaniom sieciowym
■
Włącz funkcję Zapobieganie włamaniom do przeglądarki
Aby uzyskać dodatkowe informacje o ustawieniach, kliknij pozycję Pomoc.
4
Konfigurowanie powiadomień funkcji zapobiegania
włamaniom
Użytkownik może skonfigurować powiadomienia wyświetlane w przypadku
wykrycia ataku sieciowego na komputer lub zablokowania przez klienta aplikacji
próbującej uzyskać dostęp do komputera. Można ustawić czas wyświetlania
powiadomień i włączyć lub wyłączyć odtwarzanie sygnału dźwiękowego.
Aby wyświetlane były powiadomienia funkcji zapobiegania włamaniom, funkcja
ta musi być włączona.
Uwaga: Administrator może zablokować dostęp do tych opcji.
143
144
Aby skonfigurować powiadomienia funkcji zapobiegania włamaniom:
1
2
3
W oknie dialogowym Ustawienia ochrony przed zagrożeniami sieciowymi
kliknij pozycję Powiadomienia.
4
Zaznacz pole wyboru Wyświetlaj powiadomienia systemu zapobiegania
włamaniom.
5
Aby w momencie wyświetlenia powiadomienia odtwarzany był sygnał
dźwiękowy, zaznacz pole wyboru Odtwarzaj dźwięk podczas powiadamiania
użytkowników.
6
Rozdział
6
Zarządzanie programem
Symantec Network Access
Control
■
Sposób działania programu Symantec Network Access Control
■
Sposób współpracy klienta z modułem Enforcer
■
Przeprowadzanie sprawdzania integralności hosta
■
Przywracanie zgodności komputera
■
Konfigurowanie klienta w celu używania uwierzytelniania 802.1x
■
Wyświetlanie dzienników programu Symantec Network Access Control
Sposób działania programu Symantec Network Access
Control
Program Symantec Network Access Control sprawdza i wymusza zgodność z
zasadą komputerów próbujących połączyć się z siecią. Proces sprawdzania i
wymuszania zaczyna się, zanim komputer zostanie połączony z siecią i trwa przez
cały czas połączenia. Zasada integralności hosta to zasada zabezpieczeń, która
służy jako podstawa wszystkich ocen i działań. Funkcja Integralność hosta jest
również zwana „zgodnością zabezpieczeń”.
Tabela 6-1 przedstawia proces stosowany przez program Symantec Network
Access Control w celu egzekwowania zgodności zasady na komputerze klienckim.
146
Zarządzanie programem Symantec Network Access Control
Sposób działania programu Symantec Network Access Control
Tabela 6-1
Opis działania programu Symantec Network Access Control
Działanie
Opis
Klient ocenia swoją zgodność Użytkownik włącza komputer kliencki. Klient uruchamia
w trybie ciągłym.
sprawdzanie integralności hosta w celu porównania
konfiguracji komputera z zasadą integralności hosta
pobraną z serwera zarządzania.
Podczas sprawdzania integralności hosta oceniana jest
zgodność komputera z zasadą integralności hosta pod
względem oprogramowania antywirusowego, poprawek
oprogramowania i systemu operacyjnego oraz innych
wymagań dotyczących zabezpieczeń. Zasada może na
przykład wymagać sprawdzenia daty ostatniej aktualizacji
definicji wirusów oraz ostatnich poprawek zastosowanych
do systemu operacyjnego.
Urządzenie Symantec
Enforcer uwierzytelnia
komputer kliencki i albo
zezwala mu na dostęp do
sieci, albo blokuje i poddaje
kwarantannie jako
niezgodny.
Komputer przechodzi pomyślnie sprawdzanie integralności
hosta, jeśli spełnia wszystkie wymagania zasady. Moduł
Enforcer udziela pełnego dostępu do sieci komputerom,
które mają prawidłowy wynik sprawdzania integralności
hosta.
Jeśli komputer nie spełnia wymagań zasady, nie przechodzi
testu integralności hosta. W przypadku nieprawidłowego
wyniku sprawdzania integralności hosta klient lub
urządzenie Symantec Enforcer blokuje komputer
użytkownika lub poddaje kwarantannie do chwili
przywrócenia jego zgodności. Komputery poddane
kwarantannie mają ograniczony dostęp lub nie mają dostępu
do sieci.
Patrz „Sposób współpracy klienta z modułem Enforcer”
na stronie 147
Administrator może tak
Klient może wyświetlać powiadomienie za każdym razem,
skonfigurować zasadę, że
gdy przejdzie test integralności hosta.
wynik sprawdzania
integralności hosta będzie
prawidłowy nawet wtedy, gdy
niektóre określone
wymagania nie zostaną
spełnione.
Działanie
Opis
Klient przywraca zgodność
niezgodnych komputerów.
Jeśli klient wykryje, że wymaganie zasady integralności
hosta nie jest spełnione, instaluje lub żąda zainstalowania
wymaganego oprogramowania. Po przywróceniu zgodności
komputer ponawia próbę dostępu do sieci. Jeśli komputer
jest w pełni zgodny, uzyskuje zezwolenie na dostęp do sieci.
Patrz „Przywracanie zgodności komputera” na stronie 148
Klient prewencyjnie
monitoruje zgodność.
Klient aktywnie monitoruje stan zgodności wszystkich
komputerów klienckich. Jeśli stan zgodności komputera
zmieni się, zmianie ulegną także jego uprawnienia dostępu
do sieci.
Więcej informacji na temat wyników sprawdzania integralności hosta można
znaleźć w dzienniku zabezpieczeń.
Klient komunikuje się z urządzeniem Symantec Enforcer. Moduł Enforcer sprawdza
na wszystkich łączących się z chronioną siecią komputerach, czy jest na nich
uruchomione oprogramowanie klienckie i stosowana jest prawidłowa zasada
zabezpieczeń.
Patrz „Sposób działania programu Symantec Network Access Control”
na stronie 145
Moduł Enforcer musi uwierzytelnić użytkownika lub komputer kliencki przed
zezwoleniem komputerowi klienckiemu na dostęp do sieci. Program Symantec
Network Access Control uwierzytelnia komputery klienckie, współpracując z
kilkoma typami modułów Enforcer. Symantec Enforcer to sprzętowe urządzenie
sieciowe, które weryfikuje wyniki sprawdzania integralności hosta i tożsamość
komputera klienckiego przed zezwoleniem komputerowi na dostęp do sieci.
Przed zezwoleniem klientowi na dostęp do sieci moduł Enforcer sprawdza, czy:
■
Dozwolona jest wersja oprogramowania uruchomionego na komputerze.
■
Klient ma niepowtarzalny identyfikator (UID).
■
Klient został zaktualizowany przy użyciu najnowszej zasady integralności
hosta.
■
Komputer kliencki przeszedł pomyślnie sprawdzanie integralności hosta.
Patrz „Konfigurowanie klienta w celu używania uwierzytelniania 802.1x”
na stronie 149
147
148
Administrator ustawia częstotliwość, z jaką klient uruchamia sprawdzanie
integralności hosta. Konieczne może być natychmiastowe przeprowadzanie
sprawdzania integralności hosta, zamiast oczekiwania na następny termin. Na
przykład sprawdzanie integralności hosta może wykazać, że należy zaktualizować
sygnatury ochrony przed wirusami na komputerze. Klient może zezwolić
użytkownikowi na wybranie, czy wymagane oprogramowanie ma zostać pobrane
natychmiast, czy później. W przypadku natychmiastowego pobrania
oprogramowania konieczne jest ponowne przeprowadzenie sprawdzania
integralności hosta w celu potwierdzenia, że na komputerze klienckim
zainstalowane jest odpowiednie oprogramowanie. Można zaczekać na
uruchomienie następnego zaplanowanego testu integralności hosta lub uruchomić
sprawdzanie natychmiast.
Aby uruchomić sprawdzanie integralności hosta:
1
2
Obok pozycji Symantec Network Access Control kliknij pozycję Opcje >
Sprawdź zgodność.
3
Jeśli pojawi się komunikat potwierdzający, że test integralności hosta został
uruchomiony, kliknij przycisk OK.
Jeśli dostęp do sieci był zablokowany, powinien zostać przywrócony po
zaktualizowaniu komputera zgodnie z najnowszymi zasadami zabezpieczeń.
Przywracanie zgodności komputera
Jeśli klient wykryje, że wymaganie zasady integralności hosta nie jest spełnione,
reaguje na jeden z poniższych sposobów:
■
Klient automatycznie pobiera aktualizację oprogramowania.
■
Klient wyświetla monit o pobranie wymaganej aktualizacji oprogramowania.
Aby przywrócić zgodność komputera:
◆
W wyświetlonym oknie dialogowym programu Symantec Endpoint Protection
wykonaj jedno z poniższych działań:
■
Aby sprawdzić, których wymagań zabezpieczeń komputer nie spełnia,
kliknij pozycję Szczegóły.
■
Aby natychmiast zainstalować oprogramowanie, kliknij pozycję Przywróć
teraz.
Dostępna może być opcja anulowania instalacji po jej rozpoczęciu.
■
Aby przełożyć instalację na później, kliknij pozycję Przypomnij później
i wybierz odstęp czasu z listy rozwijanej.
Administrator może określić dozwoloną maksymalną liczbę odroczeń
instalacji przez użytkownika.
Konfigurowanie klienta w celu używania
uwierzytelniania 802.1x
Jeżeli w danej sieci firmowej uwierzytelnianie jest przeprowadzane za pomocą
modułu LAN Enforcer, komputer kliencki musi być skonfigurowany do
przeprowadzania uwierzytelniania 802.1x. Klienta może skonfigurować użytkownik
lub administrator. Administrator może, ale nie musi udzielić uprawnień do
konfigurowania uwierzytelniania 802.1x.
Proces uwierzytelniania 802.1x obejmuje następujące kroki:
■
Nieuwierzytelniony klient lub suplikant innej firmy wysyła informacje o
użytkowniku i informacje dotyczące zgodności do zarządzanego przełącznika
sieciowego obsługującego standard 802.1x.
■
Przełącznik sieciowy przekazuje te informacje do modułu LAN Enforcer. Moduł
LAN Enforcer wysyła informacje o użytkowniku do serwera uwierzytelniania
w celu ich uwierzytelnienia. Serwerem uwierzytelniania jest serwer RADIUS.
■
Jeżeli uwierzytelnienie na poziomie użytkownika nie powiedzie się lub klient
nie spełnia zasady integralności hosta, urządzenie Enforcer może zablokować
dostęp do sieci. Moduł Enforcer umieszcza niezgodny komputer kliencki w
sieci kwarantanny, gdzie może on zostać poddany działaniom naprawczym.
■
Po naprawie i zapewnieniu zgodności komputera z obowiązującymi zasadami
jest on ponownie uwierzytelniany przy użyciu protokołu 802.1x i urządzenie
zezwala na dostęp do sieci.
Aby klient mógł współpracować z modułem LAN Enforcer, może używać suplikanta
wbudowanego lub suplikanta innej firmy.
Tabela 6-2 przedstawia opcje, które umożliwiają skonfigurowanie uwierzytelniania
802.1x.
149
150
Tabela 6-2
Opcje uwierzytelniania 802.1x
Opcja
Opis
Z użyciem suplikanta innej Używany jest suplikant protokołu 802.1x innej firmy.
firmy
Moduł LAN Enforcer współpracuje z serwerem RADIUS i
suplikantami protokołu 802.1x w celu uwierzytelniania
użytkowników. Suplikant protokołu 802.1x wyświetla monit
o podanie informacji o użytkowniku. Moduł LAN Enforcer
przekazuje te informacje o użytkowniku do serwera RADIUS
w celu przeprowadzenia uwierzytelniania na poziomie
użytkownika. Klient wysyła do modułu Enforcer informacje
o profilu klienta i stanie integralności hosta, a moduł Enforcer
uwierzytelnia komputer.
Uwaga: Aby klienta programu Symantec Network Access
Control można było używać z suplikantem innej firmy,
zainstalowany musi być moduł ochrony przed zagrożeniami
sieciowymi klienta programu Symantec Endpoint Protection.
Tryb przeźroczysty
Klient działa jako suplikant protokołu 802.1x.
Z tej metody należy korzystać, jeżeli administrator nie chce
przeprowadzać uwierzytelniania przy użyciu serwera
RADIUS. Moduł LAN Enforcer pracuje wtedy w trybie
przeźroczystym i działa jako pseudoserwer RADIUS.
Tryb przeźroczysty oznacza, że suplikant nie wyświetla
monitu o podanie informacji o użytkowniku. W trybie tym
klient działa jako suplikant protokołu 802.1x. Klient
odpowiada na żądanie EAP przełącznika, wysyłając informacje
o profilu klienta i stanie integralności hosta. Przełącznik
przekierowuje te informacje do modułu LAN Enforcer, który
działa jako pseudoserwer RADIUS. Moduł LAN Enforcer
sprawdza odebrane z przełącznika informacje o integralności
hosta i profilu klienta, a następnie odpowiednio zezwala na
dostęp do sieci, blokuje go lub dynamicznie przypisuje sieć
VLAN.
Uwaga: Aby używać klienta jako suplikanta protokołu 802.1x,
na komputerze klienckim należy odinstalować lub wyłączyć
suplikantów protokołu 802.1x innych firm.
Opcja
Opis
Z użyciem suplikanta
wbudowanego
Używany jest wbudowany suplikant protokołu 802.1x
komputera klienckiego.
Wbudowane protokoły uwierzytelniania to: Karta
inteligentna, PEAP i TLS. Po włączeniu uwierzytelniania
802.1x należy wybrać protokół uwierzytelniania, który ma
być używany.
Ostrzeżenie: Przed skonfigurowaniem klienta do używania uwierzytelniania 802.1x
należy skontaktować się z administratorem. Konieczne jest uzyskanie informacji,
czy w sieci firmowej jako serwer uwierzytelniania używany jest serwer RADIUS.
Jeżeli uwierzytelnianie 802.1x zostanie skonfigurowane nieprawidłowo, utracone
może zostać połączenie z siecią.
Aby skonfigurować klienta do używania suplikanta innej firmy:
1
2
Obok pozycji Kontrola dostępu do sieci kliknij pozycję Opcje > Zmień
ustawienia > Ustawienia 802.1x.
3
W oknie dialogowym Ustawienia funkcji Kontrola dostępu do sieci kliknij
pozycję Włącz uwierzytelnianie 802.1x.
4
Musisz też utworzyć regułę zapory, która zezwoli sterownikom suplikanta
protokołu 802.1x innej firmy na dostęp do sieci.
Klienta można skonfigurować do używania suplikanta wbudowanego. Klient
może używać uwierzytelniania 802.1x i jednocześnie działać jako suplikant
protokołu 802.1x.
Aby skonfigurować klienta do używania trybu przeźroczystego lub suplikanta
wbudowanego:
1
2
Obok pozycji Kontrola dostępu do sieci kliknij pozycję Opcje > Zmień
ustawienia > Ustawienia 802.1x.
3
W oknie dialogowym Ustawienia funkcji Kontrola dostępu do sieci kliknij
pozycję Włącz uwierzytelnianie 802.1x.
4
Kliknij pozycję Użyj klienta jako suplikanta protokołu 802.1x.
5
151
152
6
■
Aby wybrać tryb przeźroczysty, zaznacz pole wyboru Stosuj tryb
przeźroczysty firmy Symantec.
■
Aby skonfigurować suplikanta wbudowanego, kliknij pozycję Umożliwia
wybór protokołu uwierzytelniania.
Użytkownik musi wybrać protokół uwierzytelniania dla połączenia
sieciowego.
Aby wybrać protokół uwierzytelniania:
1
Na komputerze klienckim kliknij przycisk Start > Ustawienia > Połączenia
sieciowe, a następnie kliknij ikonę Połączenie lokalne.
Uwaga: Te kroki dotyczą komputerów z systemem Windows XP. Właściwa
procedura może być inna.
2
W oknie dialogowym Stan: Połączenie lokalne kliknij przycisk Właściwości.
3
W oknie dialogowym Właściwości: Połączenie lokalne kliknij kartę
Uwierzytelnianie.
4
Na karcie Uwierzytelnianie kliknij listę rozwijaną Typ protokołu EAP i
wybierz jeden z następujących protokołów uwierzytelniania:
■
Karta inteligentna lub inny certyfikat
■
Chroniony protokół EAP (PEAP)
■
Tryb przeźroczysty Symantec NAC
Upewnij się, że pole wyboru Włącz uwierzytelnianie IEEE 802.1x dla tej sieci
jest zaznaczone.
5
6
Ponowne uwierzytelnianie komputera
Jeśli komputer przeszedł test integralności hosta, ale blokuje go moduł Enforcer,
konieczne może być ponowne uwierzytelnienie komputera. W normalnych
warunkach ponowne uwierzytelniania komputera nie powinno być nigdy
konieczne.
Moduł Enforcer może zablokować komputer po wystąpieniu jednego z
następujących zdarzeń:
■
Komputer kliencki nie przeszedł uwierzytelniania użytkownika, ponieważ
podana została nieprawidłowa nazwa użytkownika lub hasło.
■
Komputer kliencki znajduje się w niewłaściwej sieci VLAN.
■
Komputer kliencki nie uzyskał połączenia z siecią. Do zerwania połączenia
sieciowego dochodzi zazwyczaj wtedy, gdy przełącznik znajdujący się między
komputerem klienckim a modułem LAN Enforcer nie uwierzytelnił podanej
nazwy użytkownika i hasła.
■
Użytkownik zalogował się do komputera klienckiego, który uwierzytelnił
poprzedniego użytkownika.
■
Komputer kliencki nie przeszedł testu zgodności.
Komputer można ponownie uwierzytelnić tylko pod warunkiem, że użytkownik
lub administrator skonfigurował go przy użyciu wbudowanego suplikanta.
Uwaga: Administrator mógł nie skonfigurować klienta do wyświetlania polecenia
Ponowne uwierzytelnianie.
Aby ponownie uwierzytelnić komputer:
1
Kliknij prawym przyciskiem myszy ikonę w obszarze powiadomień.
2
Kliknij pozycję Ponowne uwierzytelnianie.
3
W oknie dialogowym Ponowne uwierzytelnianie wpisz swoją nazwę
użytkownika i hasło.
4
Wyświetlanie dzienników programu Symantec
Network Access Control
Klient Symantec Network Access Control monitoruje różne aspekty swojego
działania oraz wyniki sprawdzania integralności hosta przy użyciu następujących
dzienników:
Zabezpieczenia
Rejestruje wyniki i stan testów integralności hosta.
System
Rejestruje wszystkie zmiany operacyjne klienta, takie jak połączenie
z serwerem zarządzania i aktualizacje zasad zabezpieczeń klienta.
Dzienniki klienta zarządzanego mogą być regularnie przekazywane do serwera.
Administrator może używać danych z dzienników do analizowania ogólnego stanu
zabezpieczeń sieci.
153
154
Dane zawarte w dzienniku można eksportować.
Aby wyświetlić dzienniki programu Symantec Network Access Control:
1
2
Aby wyświetlić dziennik zabezpieczeń, obok pozycji Kontrola dostępu do
sieci kliknij pozycję Opcje > Wyświetl dzienniki.
3
W dzienniku zabezpieczeń zaznacz pierwszy wpis dziennika.
W lewym dolnym rogu okna wyświetlone zostaną wyniki sprawdzania
integralności hosta. Jeśli klient był już zainstalowany, predefiniowany wymóg
zapory został spełniony. Jeśli klient nie był zainstalowany, predefiniowany
wymóg zapory nie został spełniony, ale wyświetlany jest wynik prawidłowy.
4
Aby wyświetlić dziennik systemu, w oknie dialogowym Dziennikzabezpieczeń
— Dzienniki programu Symantec Network Access Control kliknij pozycję
Widok > Dziennik systemu.
5
Kliknij menu Plik > Zakończ.
Indeks
A
adware 72
aktualizacja
definicji 36–37
aktywna reakcja
informacje 122
alerty
ikony 16
reagowanie 21
aplikacje 125
wykluczanie ze skanowań 91
zezwalanie lub blokowanie 127, 138
aplikacje wprowadzające w błąd 73
dla klientów poczty e-mail stanowiących
składnik oprogramowania do pracy
grupowej 68
dla programu Lotus Notes 70
Download Insight 44
internetowej poczty e-mail 68
programu Microsoft Outlook 68
systemu plików 46
włączanie lub wyłączanie 44, 46
B
blokowanie atakującego komputera 122
blokowanie ruchu 123, 127
reagowanie na komunikaty 29
reguły zapory 138
C
Centrum zabezpieczeń systemu Windows
wyświetlanie stanu ochrony antywirusowej 101
wyświetlanie stanu zapory 102
czyszczenie wirusów 24, 74
D
dane dotyczące reputacji 74
definicje
aktualizowanie 36–37
informacje 65
definicje wirusów
informacje 65
destrukcyjne oprogramowanie
konfigurowanie działań wobec wykryć 86
dialery 72
domena internetowa
Download Insight
dane dotyczące reputacji 74
dostosowywanie 83
interakcja z funkcją Automatyczna ochrona 44
reagowanie na powiadomienia 28
zarządzanie wykryciami 80
Dziennik debugowania 51
Dziennik funkcji Ochrona przed naruszeniem
integralności 51
Dziennik kontroli 51
Dziennik pakietów 50
dziennik pakietów
włączanie 52
Dziennik ruchu 50
Dziennik skanowania 49
dziennik skanowania
poddawanie pliku kwarantannie 96
Dziennik systemu
Ochrona przed wirusami i programami typu
spyware 50
Zapobieganie zagrożeniom 50
Zarządzanie klientami 51
Dziennik zabezpieczeń 51
Dziennik zagrożeń 50
dziennik zagrożeń
poddawanie pliku kwarantannie 96
dzienniki
eksportowanie danych 53
eksportowanie filtrowanych wpisów
dziennika 54
formaty eksportu 53–54
informacje 49
kontroli dostępu do sieci 153
156
Indeks
wyświetlanie 51
włączanie dziennika pakietów 52
śledzenie wsteczne wpisów 52
foldery
kontrola dostępu do sieci
egzekwowanie 147
informacje 13, 145
przywracanie zgodności komputera 148
kwarantanna
przenoszenie plików 95
przesyłanie plików do centrum Symantec
Security Response 97
ręczne poddawanie pliku kwarantannie 96
usuwanie plików 97
wyświetlanie zainfekowanych plików 95
zarządzanie plikami 93
I
L
ikona paska zadań 38
ikona tarczy 38
ikona w obszarze powiadomień
informacje 38
ukrywanie i wyświetlanie 40
ikony
kłódka 42
na stronie Stan 16
tarcza 38
Insight 74
licencje
LiveUpdate
bezzwłoczne uruchamianie 37
opis ogólny 36
polecenie 16
tworzenie harmonogramu funkcji 37
E
egzekwowanie
informacje 147
F
K
klienci
sposób ochrony komputerów 34
wyłączanie systemu ochrony 43
zarządzani i niezarządzani 40, 42
klienci autonomiczni 40
klienci niezarządzani
informacje 40
sprawdzanie 42
zarządzanie ochroną 34
klienci zarządzani
informacje 40
sprawdzanie 42
zarządzanie ochroną 34
komputery
aktualizowanie systemu ochrony 36
skanowanie 58
sposób ochrony komputerów 34
komputery 64-bitowe 18
komunikaty
reagowanie 21, 29–31
zapobieganie włamaniom 143
konie trojańskie 72
N
narzędzia hakerskie 73
narzędzia typu rootkit 72
narzędzie oceny zabezpieczeń 73
O
ochrona na poziomie sterowników
włączanie 113
Ochrona przed naruszeniem integralności
konfigurowanie 48
wyłączanie 45
włączanie i wyłączanie 48
Ochrona przed wirusami i programami typu spyware
Dziennik systemu 50
informacje 12
Ochrona przed zagrożeniami sieciowymi
dzienniki 50
informacje 12, 108
włączanie lub wyłączanie 45–46
zarządzanie 108
ochrona systemu NetBIOS
włączanie 113
odblokowanie atakującego komputera 122
opcja Pomoc 14
opcje
niedostępne 41
Indeks
operacje sieciowe
wyświetlanie 129
ruch token ring
włączanie 113
P
S
pliki
serwer
klienci zarządzani 41
łączenie 38
skanowania
dostosowywanie ustawień 84
działania naprawcze 84
działania powiadomień 84
informacje 66
interpretowanie wyników 23
konfigurowanie wyjątków 84
na żądanie i przy uruchomieniu 79
odraczanie 18
opcje odraczania 19
reagowanie na wykrycie 24
skanowane składniki 64
sposób działania 64
typy 66
uruchamianie 16
wstrzymywanie 18
wykluczanie elementów 91
zaplanowane 75
zarządzanie 58
zdefiniowane przez użytkownika 84
skanowania aktywne
uruchamianie 77
skanowania na żądanie
tworzenie 79
uruchamianie 16
skanowania niestandardowe
uruchamianie 77
skanowania pełne
uruchamianie 77
skanowania przy uruchamianiu
tworzenie 79
skanowania zaplanowane
tworzenie 75
wiele 76
skanowanie poczty e-mail. Patrz Automatyczna
ochrona
skanowanie za pomocą kliknięcia prawym
przyciskiem myszy 16
Smart DHCP 120
Smart DNS 120
Smart WINS 120
działanie po wykryciu 24
przesyłanie do centrum Symantec Security
Response 97
udostępnianie 120
poczta e-mail
wykluczanie pliku skrzynki odbiorczej ze
skanowania 90
poddawanie wirusów kwarantannie 24
ponowne uwierzytelnianie 152
powiadomienia
Download Insight 28
reagowanie 21
programy do kontroli rodzicielskiej 73
programy do zdalnego dostępu 73
programy śledzące 73
programy – żarty 73
przeciwdziałanie fałszowaniu adresów MAC
włączanie 113
R
reguły zapory 133
dodawanie 138
eksportowanie 139
importowanie 139
informacje 134
kolejność przetwarzania
informacje 131
zmiana 133
konfigurowanie 137
włączanie i wyłączanie 140
robaki 72
roboty 72
roboty internetowe 72
rozwiązywanie problemów
za pomocą strony Stan 14
ruch
blokowanie 123
wyświetlanie 129
zezwalanie lub blokowanie 127
ruch emisji
pokazywanie 129
157
158
Indeks
SONAR
dzienniki 50
informacje 12, 104
informacje o wykrywaniu 105
zarządzanie 102
zmienianie ustawień 105
sprawdzanie integralności hosta
uruchamianie 148
spyware 73
stanowa analiza pakietów 133
strona Skanowanie w poszukiwaniu zagrożeń 15
strona Stan 14
ikony alertów 16
rozwiązywanie problemów 14
strona Wyświetlanie kwarantanny 15
strona Zmiana ustawień 15
przesyłanie plików 97
system ochrony
używanie 34
włączanie lub wyłączanie 43
system zapobiegania włamaniom
aktualizowanie definicji 36
informacje 108
T
tryb ukrywania przeglądania Internetu
włączanie 113
U
udostępnianie drukowania 120
udostępnianie plików i drukarek 120
ustawienia
ustawienia ruchu i trybu ukrywania 113
usuwanie wirusów 24
usługi systemu Windows
pokazywanie 129
uwierzytelnianie 802.1x
informacje 149
konfigurowanie 151
W
wirus
usuwanie z zainfekowanego pliku 26
wirusy 72
nierozpoznawane 97
sposób wykrywania przez klienta 65
sposoby reagowania klienta 66
sposoby reagowania klienta na wykrycie 74
wyjątki
informacje 90–91
tworzenie 91
wyjątki skanowania. Patrz wyjątki
wysyłki 98–99
Wyszukiwanie Insight
zaufane witryny intranetowe 83
wyłączanie
Automatyczna ochrona 44, 46
Ochrona przed zagrożeniami sieciowymi 45–46
Zapobieganie zagrożeniom 44, 46
włączanie
Automatyczna ochrona 46
Ochrona przed zagrożeniami sieciowymi 46
Zapobieganie zagrożeniom 46
Z
zagrożenia
hybrydowe 72
zagrożenia bezpieczeństwa
sposób wykrywania przez klienta 65
sposoby reagowania klienta 66
sposoby reagowania klienta na wykrycie 74
zagrożenia hybrydowe 72
zagrożenie
usuwanie z zainfekowanego pliku 26
zainfekowane pliki
podejmowanie działań 23
zapobieganie włamaniom. Patrz system zapobiegania
włamaniom
powiadomienia 143
sposób działania 141
zarządzanie 140
zapobieganie włamaniom do przeglądarki
informacje 141
zapobieganie włamaniom sieciowym
informacje 141
informacje 12
włączanie lub wyłączanie 44, 46
zapora
aplikacje 125
Indeks
definicja 108
stanowa analiza pakietów 133
ustawienia 111
zarządzanie 108
zezwalanie na ruch 127
reguły zapory 138
159

Podręcznik klienta Symantec™ Endpoint Protection i Symantec

Transkrypt

Podobne dokumenty

Strona wyświetli wyniki wyszukiwania. Kliknij na link.