Podręcznik klienta Symantec™ Endpoint Protection i Symantec
Transkrypt
Podręcznik klienta Symantec™ Endpoint Protection i Symantec
Podręcznik klienta Symantec™ Endpoint Protection i Symantec Network Access Control Podręcznik klienta Symantec Endpoint Protection i Symantec Network Access Control Oprogramowanie opisane w niniejszym podręczniku jest dostarczane w ramach umowy licencyjnej i może być używane jedynie zgodnie z postanowieniami tej umowy. Wersja dokumentacji 12.01.00.00 Informacje prawne Copyright © 2011 Symantec Corporation. Wszystkie prawa zastrzeżone. Nazwa i logo Symantec oraz nazwy Bloodhound, Confidence Online, Digital Immune System,LiveUpdate, Norton, Sygate, i TruScan to znaki towarowe lub zastrzeżone znaki towarowe firmy Symantec Corporation lub jej oddziałów w USA oraz innych krajach. Inne nazwy mogą być znakami towarowymi odpowiednich właścicieli. Niniejszy produkt Symantec może zawierać oprogramowanie innych firm, które musi być jednoznacznie określone jako takie („programy innych firm”). Niektóre z programów innych firm są dostępne jako oprogramowanie o jawnym kodzie źródłowym lub bezpłatne. Niniejsza umowa licencyjna dołączona do oprogramowania nie powoduje zmiany jakichkolwiek praw lub zobowiązań wynikających z licencji na program o jawnym kodzie źródłowym lub bezpłatny. Dodatkowe informacje na temat programów innych firm są zawarte w zastrzeżeniach prawnych innych firm w załączniku do niniejszej dokumentacji lub w pliku ReadMe dotyczącym praw własności intelektualnej innych firm, dołączonym do niniejszego produktu Symantec. Produkt opisywany w niniejszym dokumencie jest dystrybuowany zgodnie z licencjami ograniczającymi jego użycie, kopiowanie, dystrybucję i dekompilację/odtwarzanie kodu źródłowego. Żadna część tego dokumentu nie może być powielana w jakiejkolwiek formie i w jakikolwiek sposób bez uprzedniej pisemnej zgody Symantec Corporation i jego licencjodawców, jeśli tacy istnieją. NINIEJSZA DOKUMENTACJA JEST DOSTARCZANA W TAKIM STANIE, W JAKIM SIĘ ZNAJDUJE W CHWILI UDOSTĘPNIENIA. WYŁĄCZA SIĘ WSZELKIE GWARANCJE WYRAŹNE LUB DOROZUMIANE, OŚWIADCZENIA I ZAPEWNIENIA, W TYM DOROZUMIANE GWARANCJE DOTYCZĄCE PRZYDATNOŚCI HANDLOWEJ I UŻYTECZNOŚCI DO OKREŚLONEGO CELU, Z WYJĄTKIEM ZAKRESU, W KTÓRYM TAKIE WYŁĄCZENIA SĄ UZNAWANE ZA PRAWNIE NIEWAŻNE. W ŻADNYM WYPADKU FIRMA SYMANTEC CORPORATION NIE PONOSI ODPOWIEDZIALNOŚCI ZA JAKIEKOLWIEK SZKODY UBOCZNE LUB WTÓRNE ZWIĄZANE Z DOSTARCZENIEM LUB WYKORZYSTANIEM NINIEJSZEJ DOKUMENTACJI. INFORMACJE ZAWARTE W NINIEJSZEJ DOKUMENTACJI MOGĄ ZOSTAĆ ZMIENIONE BEZ UPRZEDZENIA. Licencjonowane oprogramowanie i dokumentacja są uznawane za komercyjne oprogramowanie komputerowe zgodnie z przepisami FAR 12.212 i podlegają prawom ograniczonym, zgodnie z FAR, sekcja 52.227-19 „Commercial Computer Software – Restricted Rights” i DFARS 227.7202 „Rights in Commercial Computer Software or Commercial Computer Software Documentation”, oraz wszelkim późniejszym przepisom. Jakiekolwiek wykorzystywanie, modyfikowanie, dystrybuowanie kopii, prezentowanie, wyświetlanie lub ujawnianie oprogramowania i dokumentacji objętych licencją przez rząd USA musi się odbywać zgodnie z postanowieniami niniejszej umowy. Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.pl Pomoc techniczna Pomoc techniczna firmy Symantec prowadzi centra obsługi na całym świecie. Podstawowym zadaniem pomocy technicznej jest odpowiadanie na określone pytania dotyczące funkcji produktu oraz jego działania. Grupa pomocy technicznej opracowuje również zawartość naszej internetowej bazy informacyjnej. Grupa pomocy technicznej współpracuje z innymi działami firmy Symantec, aby w możliwie krótkim czasie odpowiadać na pytania użytkowników. Grupa pomocy technicznej współpracuje na przykład z projektantami produktów oraz z centrum Symantec Security Response, aby udostępniać obsługę alertów i aktualizacje definicji wirusów. Oferta firmy Symantec w zakresie pomocy technicznej obejmuje: ■ Zróżnicowany zakres opcji pomocy technicznej umożliwiających dobranie poziomu usług do rozmiaru organizacji. ■ Telefoniczną i internetową pomoc techniczną zapewniającą szybką reakcję i dostęp do najnowszych informacji. ■ Ubezpieczenie aktualizacyjne, zapewniające uaktualnienia oprogramowania. ■ Płatną globalną pomoc techniczną dostępną w godzinach pracy w regionie lub 24 godziny na dobę, 7 dni w tygodniu. ■ Oferty usług typu Premium obejmujące usługi zarządzania kontami. Informacje na temat oferowanej przez firmę Symantec pomocy technicznej można znaleźć w naszej witrynie internetowej pod następującym adresem URL: www.symantec.com/pl/pl/business/support/ Wszystkie usługi pomocy technicznej będą świadczone zgodnie z odpowiednią umową o pomocy technicznej i aktualnymi zasadami pomocy technicznej dla przedsiębiorstw. Kontakt z pomocą techniczną Klienci posiadający aktualną umowę pomocy technicznej mogą uzyskać dostęp do informacji pomocy technicznej pod następującym adresem URL: www.symantec.com/pl/pl/business/support/ Przed skontaktowaniem się z pomocą techniczną należy się upewnić, że spełnione są wymagania systemowe podane w dokumentacji produktu. Ponadto komputer, na którym wystąpił problem powinien być włączony, aby w razie potrzeby można było odtworzyć problem. Kontaktując się z pomocą techniczną, należy mieć przygotowane następujące informacje: ■ numer wersji produktu, ■ informacje o sprzęcie, ■ ilość dostępnej pamięci i miejsca na dysku oraz informacje o karcie sieciowej, ■ system operacyjny, ■ numer wersji i poprawki do programu, ■ topologia sieci, ■ informacje o routerze, bramie i adresie IP. ■ Opis problemu: ■ komunikaty o błędach i pliki dziennika, ■ próby rozwiązania problemu podjęte przed skontaktowaniem się z firmą Symantec, ■ ostatnie zmiany w konfiguracji oprogramowania i sieci. Licencja i rejestracja Jeśli produkt firmy Symantec wymaga rejestracji lub klucza licencji, należy odwiedzić stronę internetową pomocy technicznej pod następującym adresem URL: www.symantec.com/pl/pl/business/support/ Centrum obsługi klientów Informacje na temat centrum obsługi klientów są dostępne pod następującym adresem URL: www.symantec.com/pl/pl/business/support/ Centrum obsługi klientów służy pomocą w następujących kwestiach nietechnicznych, takich jak: ■ pytania dotyczące licencji lub numerów seryjnych produktów, ■ aktualizacje rejestracji produktów, takie jak zmiana adresu lub nazwy, ■ ogólne informacje o produkcie (funkcje, dostępne wersje językowe, miejscowi dostawcy), ■ najnowsze informacje o aktualizacjach i uaktualnieniach produktów, ■ informacje dotyczące umów o zabezpieczeniu aktualizacji i pomocy technicznej, ■ informacje o programach Symantec Buying Programs, ■ porady dotyczące opcji pomocy technicznej firmy Symantec, ■ pytania inne niż techniczne, dotyczące sprzedaży produktów, ■ kwestie związane z dyskami CD-ROM, dyskami DVD lub podręcznikami. Informacje na temat umowy dotyczącej pomocy technicznej W celu uzyskania informacji o istniejącej umowie dotyczącej pomocy technicznej należy kontaktować się z firmą Symantec przy użyciu następujących adresów regionalnych zespołów administrujących tą umową: Azja Pacyficzna i Japonia [email protected] Europa, Bliski Wschód i Afryka [email protected] Ameryka Północna i Ameryka Łacińska [email protected] Dodatkowe usługi dla przedsiębiorstw Firma Symantec oferuje pełen zestaw usług umożliwiających zmaksymalizowanie korzyści z inwestycji w produkty firmy Symantec oraz poszerzanie wiedzy, umiejętności i ogólnego zrozumienia odpowiednich zagadnień w celu aktywnego zarządzania zabezpieczeniami firmy przed zagrożeniami. Dostępne usługi dla przedsiębiorstw obejmują: Usługi Managed Services Usługi Managed Services eliminują konieczność zarządzania urządzeniami zabezpieczającymi i zdarzeniami dotyczącymi zabezpieczeń oraz ich monitorowania, zapewniając szybką odpowiedź na rzeczywiste zagrożenia. Usługi doradcze Usługi doradcze firmy Symantec obejmują analizy techniczne firmy Symantec i jej zaufanych partnerów na miejscu u klienta. W ramach usług doradczych firmy Symantec oferowane są różne skonfigurowane fabrycznie i niestandardowe opcje umożliwiające ocenianie, projektowanie, wdrażanie, monitorowanie i zarządzanie, pozwalające na uzyskanie i utrzymywanie integralności i dostępności zasobów informatycznych przedsiębiorstwa. Usługi szkoleniowe Usługi szkoleniowe to pełen zestaw szkoleń technicznych i dotyczących bezpieczeństwa, certyfikowanie w dziedzinie zabezpieczeń i programy komunikacyjne budujące świadomość zagrożeń. Więcej informacji na temat usług dla przedsiębiorstw można uzyskać w naszej witrynie internetowej pod następującym adresem URL: www.symantec.com/business/services/ Z indeksu w witrynie należy wybrać kraj lub język. Spis treści Pomoc techniczna ............................................................................................... 4 Rozdział 1 Rozpoczęcie pracy z klientem ........................................... 11 Klient Symantec Endpoint Protection — informacje ............................ Klient Symantec Network Access Control — informacje ....................... Rozpoczęcie pracy na stronie Stan .................................................. Ikony alertów na stronie Stan — informacje ...................................... Natychmiastowe skanowanie komputera .......................................... Wstrzymywanie i odraczanie skanowań ..................................... Dodatkowe źródła informacji .......................................................... Rozdział 2 Reagowanie na alerty i powiadomienia .......................... 21 Typy alertów i powiadomień .......................................................... Wyniki skanowania — informacje .................................................... Reagowanie na wykrycie wirusa lub zagrożenia ................................. Usuwanie wirusa lub zagrożenia z zainfekowanego pliku — informacje ...................................................................... Reagowanie na komunikaty funkcji Download Insight z monitem o zezwolenie lub zablokowanie pliku, który próbuje pobrać użytkownik ........................................................................... Reagowanie na komunikaty z monitem o zezwolenie na aplikację lub jej zablokowanie .................................................................... Komunikaty o wygaśnięciu ważności licencji — informacje ................... Reagowanie na komunikaty dotyczące aktualizowania oprogramowania klienckiego .................................................... Rozdział 3 11 13 13 16 16 18 19 21 23 24 26 28 29 30 31 Zapewnianie ochrony komputerowi ................................ 33 Zarządzanie systemem ochrony komputera ...................................... Aktualizowanie systemu ochrony komputera .................................... Natychmiastowa aktualizacja składników oprogramowania ........... Aktualizacja składników oprogramowania według harmonogramu ................................................................ Sposób określania, czy klient jest połączony i chroniony ..................... Ukrywanie i wyświetlanie ikony obszaru powiadomień ................. 34 36 37 37 38 40 8 Spis treści Klienci zarządzani i klienci niezarządzani — informacje ...................... Sprawdzanie, czy klient jest zarządzany, czy niezarządzany ................ Włączanie i wyłączanie systemu ochrony — informacje ....................... Włączanie lub wyłączanie ochrony na komputerze klienckim ............... Włączanie lub wyłączanie funkcji Automatyczna ochrona ................... Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed naruszeniem integralności ....................................................... Dzienniki — informacje ................................................................. Wyświetlanie dzienników .............................................................. Włączanie dziennika pakietów .................................................. Śledzenie wsteczne zarejestrowanych zdarzeń do ich źródła ................ Eksportowanie danych dziennika .................................................... Rozdział 4 40 42 43 45 46 48 49 51 52 52 53 Zarządzanie skanowaniami ............................................... 57 Zarządzanie skanowaniami na komputerze ....................................... Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware ......................................................................... Typy skanowań — informacje ................................................... Typy funkcji Automatyczna ochrona — informacje ....................... Wirusy i zagrożenia bezpieczeństwa — informacje ....................... Sposób reakcji skanowań na wykrycie wirusa lub zagrożenia ...................................................................... Sposób stosowania danych o reputacji w celu podejmowania decyzji dotyczących plików przez program Symantec Endpoint Protection ......................................................... Planowanie skanowania zdefiniowanego przez użytkownika ................ Planowanie uruchamiania skanowania na żądanie lub przy uruchomieniu komputera ........................................................ Zarządzanie wykryciami funkcji Download Insight na komputerze .......................................................................... Dostosowanie ustawień funkcji Download Insight .............................. Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware ........................................................ Konfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnego oprogramowania i zagrożeń bezpieczeństwa ..................................................................... Wykluczanie elementów ze skanowań — informacje ........................... Wykluczanie elementów ze skanowań .............................................. Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim ............................................................................. Poddawanie plików kwarantannie — informacje ........................... 58 64 66 68 71 73 74 75 79 80 83 84 86 90 91 93 95 Spis treści Przenoszenie pliku do obszaru kwarantanny za pomocą dziennika zagrożeń lub dziennika skanowania ..................................... 96 Ręczne przesyłanie potencjalnie zainfekowanych plików do centrum Symantec Security Response w celu poddania ich analizie .......................................................................... 96 Automatyczne usuwanie plików z obszaru kwarantanny ............... 97 Przesyłanie informacji o wykryciach do centrum Symantec Security Response — informacje ............................................................ 98 Przesyłanie informacji o wykryciach do centrum Symantec Security Response .............................................................................. 99 Klient i Centrum zabezpieczeń systemu Windows — informacje .......... 101 Zarządzanie funkcją SONAR na komputerze klienckim ...................... 102 Funkcja SONAR — informacje ................................................. 104 Pliki i aplikacje wykrywane przez funkcję SONAR — informacje .................................................................... 104 Zmiana ustawień funkcji SONAR ............................................. 105 Rozdział 5 Zarządzanie zaporą i zapobieganiem włamaniom ................................................................... Ochrona przed zagrożeniami sieciowymi — informacje ...................... Zarządzanie zaporą ..................................................................... Sposób działania zapory ........................................................ Konfigurowanie ustawień zapory .................................................. Włączanie ustawień dotyczących ruchu i trybu ukrywania przeglądania Internetu .................................................... Automatyczne zezwalanie na komunikację niezbędnych usług sieciowych .................................................................... Włączanie udostępniania plików i drukarek ............................... Blokowanie i odblokowywanie atakującego komputera ................ Blokowanie ruchu ................................................................. Zezwalanie na aplikacje lub ich blokowanie — informacje ................... Zezwalanie na dostęp lub blokowanie dostępu do sieci aplikacjom .................................................................... Konfigurowanie ustawień specyficznych dla aplikacji ................. Usuwanie ograniczeń dotyczących aplikacji .............................. Wyświetlanie operacji sieciowych .................................................. Reguły zapory klienckiej — informacje ............................................ Kolejność przetwarzania reguł zapory, ustawień zapory i ustawień systemu zapobiegania włamaniom — informacje ........................ Zmiana kolejności reguł zapory ..................................................... Jak zapora stosuje stanową analizę pakietów ................................... Elementy reguły zapory ............................................................... 107 108 108 110 111 113 120 120 122 123 125 126 127 129 129 131 131 133 133 134 9 10 Spis treści Konfigurowanie reguł zapory ........................................................ Dodawanie reguły zapory ....................................................... Eksportowanie i importowanie reguł zapory .............................. Włączanie i wyłączanie reguł zapory ........................................ Zarządzanie systemem zapobiegania włamaniom ............................. Sposób działania funkcji Zapobieganie włamaniom ........................... Włączanie lub wyłączanie funkcji zapobiegania włamaniom ............... Konfigurowanie powiadomień funkcji zapobiegania włamaniom ......... Rozdział 6 137 138 139 140 140 141 142 143 Zarządzanie programem Symantec Network Access Control ........................................................................... 145 Sposób działania programu Symantec Network Access Control ........... Sposób współpracy klienta z modułem Enforcer ............................... Przeprowadzanie sprawdzania integralności hosta ........................... Przywracanie zgodności komputera ............................................... Konfigurowanie klienta w celu używania uwierzytelniania 802.1x ................................................................................ Ponowne uwierzytelnianie komputera ...................................... Wyświetlanie dzienników programu Symantec Network Access Control ............................................................................... 145 147 148 148 149 152 153 Indeks ................................................................................................................. 155 Rozdział 1 Rozpoczęcie pracy z klientem Ten rozdział obejmuje następujące zagadnienia: ■ Klient Symantec Endpoint Protection — informacje ■ Klient Symantec Network Access Control — informacje ■ Rozpoczęcie pracy na stronie Stan ■ Ikony alertów na stronie Stan — informacje ■ Natychmiastowe skanowanie komputera ■ Dodatkowe źródła informacji Klient Symantec Endpoint Protection — informacje Klient Symantec Endpoint Protection łączy kilka warstw ochrony, aby aktywnie chronić komputer przed znanymi i nieznanymi zagrożeniami oraz atakami sieciowymi. Tabela 1-1 przedstawia poszczególne warstwy ochrony. 12 Rozpoczęcie pracy z klientem Klient Symantec Endpoint Protection — informacje Tabela 1-1 Typy ochrony Warstwa Opis Ochrona przed wirusami i programami typu spyware Ta warstwa zwalcza przeróżne zagrożenia, w tym programy typu spyware, robaki, konie trojańskie, narzędzia typu rootkit i programy typu adware. Funkcja Automatyczna ochrona systemu plików stale sprawdza wszystkie pliki na komputerze w poszukiwaniu wirusów i zagrożeń bezpieczeństwa. Funkcja Automatyczna ochrona poczty internetowej skanuje przychodzące i wychodzące wiadomości e-mail, przesyłane za pomocą protokołów komunikacyjnych POP3 i SMTP poprzez protokół SSL. Funkcja Automatyczna ochrona poczty Microsoft Outlook skanuje przychodzące i wychodzące wiadomości e-mail w programie Microsoft Outlook. Patrz „Zarządzanie skanowaniami na komputerze” na stronie 58 Zapobieganie zagrożeniom Technologia zapobiegania zagrożeniom obejmuje funkcję SONAR, która oferuje ochronę w czasie rzeczywistym przeciw nowym atakom. Funkcja SONAR może powstrzymać ataki, zanim tradycyjne metody oparte na definicjach i sygnaturach umożliwią wykrywanie zagrożenia. Funkcja SONAR stosuje również analizę heurystyczną oraz dane o reputacji w celu podejmowania decyzji dotyczących plików. Patrz „Zarządzanie funkcją SONAR na komputerze klienckim” na stronie 102 Ochrona przed zagrożeniami sieciowymi Ta warstwa składa się z zapory i systemu zapobiegania włamaniom. Oparta na regułach zapora blokuje dostęp do komputera nieupoważnionym użytkownikom. System zapobiegania włamaniom automatycznie wykrywa i blokuje ataki sieciowe. Patrz „Zarządzanie zaporą” na stronie 108 Administrator zarządza typami ochrony, które serwer zarządzania powinien przekazywać do komputerów klienckich. Klient automatycznie pobiera definicje wirusów, definicje systemu zapobiegania włamaniom i aktualizacje produktów na komputer. Użytkownicy komputerów przenośnych mogą w podróży pobierać definicje wirusów i aktualizacje produktów bezpośrednio z serwera LiveUpdate. Patrz „Aktualizowanie systemu ochrony komputera” na stronie 36 Rozpoczęcie pracy z klientem Klient Symantec Network Access Control — informacje Klient Symantec Network Access Control — informacje Klient Symantec Network Access Control sprawdza, czy komputer jest odpowiednio chroniony i zgodny z zasadą zabezpieczeń, zanim zezwoli mu na połączenie z siecią firmową. Program kliencki zapewnia zgodność komputera z zasadą zabezpieczeń skonfigurowaną przez administratora. Zasada zabezpieczeń powoduje sprawdzenie, czy na komputerze zainstalowane jest najnowsze oprogramowanie zabezpieczające, na przykład ochrona przed wirusami i zapora. Jeśli na komputerze nie jest zainstalowane wymagane oprogramowanie, oprogramowanie musi zostać zaktualizowane ręcznie przez użytkownika albo automatycznie przez klienta. Dopóki oprogramowanie zabezpieczające nie jest aktualne, dostęp komputera do sieci może być blokowany. Klient co pewien czas przeprowadza testy w celu sprawdzenia, czy komputer jest nadal zgodny z zasadą zabezpieczeń. Patrz „Sposób działania programu Symantec Network Access Control” na stronie 145 Rozpoczęcie pracy na stronie Stan Po otwarciu klienta wyświetlane jest okno główne i strona Stan. Tabela 1-2 przedstawia główne zadania, które można wykonać za pomocą paska menu klienta i opcji Pomoc. 13 14 Rozpoczęcie pracy z klientem Rozpoczęcie pracy na stronie Stan Okno główne klienta Tabela 1-2 Kliknij tę opcję Aby wykonać te zadania Pomoc Otwiera główną Pomoc online i umożliwia wykonanie następujących zadań na kliencie: ■ ■ ■ ■ ■ Stan Wyświetlenie informacji o komputerze, kliencie i systemie ochrony klienta. Wyświetlenie informacji o stanie połączenia klienta z serwerem zarządzania. W razie potrzeby można również spróbować nawiązać połączenie z serwerem. Zaimportowanie i wyeksportowanie zasad zabezpieczeń i ustawień komunikacji na kliencie niezarządzanym. Wyświetlenie i wyeksportowanie dzienników debugowania oraz pliku rozwiązywania problemów w celu ułatwienia administratorowi zdiagnozowania problemu z klientem lub systemem ochrony klienta. Pobranie narzędzia pomocy technicznej w celu zdiagnozowania typowych problemów z klientem. Przedstawia stan ochrony komputera i licencji klienta. Kolory i ikony alertów na stronie Stan wskazują, które technologie są włączone i chronią klienta. Patrz „Ikony alertów na stronie Stan — informacje” na stronie 16 Możliwe jest: Włączenie lub wyłączenie jednej lub wielu technologii ochrony. Patrz „Włączanie i wyłączanie systemu ochrony — informacje” na stronie 43 ■ Sprawdzenie, czy na komputerze znajdują się najnowsze pliki definicji funkcji Ochrona przed wirusami i programami typu spyware, Zapobieganie zagrożeniom oraz Ochrona przed zagrożeniami sieciowymi. ■ Uruchomienie skanowania aktywnego. Patrz „Natychmiastowe skanowanie komputera” na stronie 16 ■ Wyświetlenie listy zagrożeń i sprawdzenie wyników ostatniego skanowania w poszukiwaniu wirusów i programów typu spyware. ■ Rozpoczęcie pracy z klientem Rozpoczęcie pracy na stronie Stan Kliknij tę opcję Aby wykonać te zadania Skanuj w Umożliwia otwarcie i wykonanie następujących zadań: poszukiwaniu ■ Natychmiastowe uruchomienie skanowania aktywnego lub pełnego. zagrożeń Patrz „Natychmiastowe skanowanie komputera” na stronie 16 ■ Utworzenie skanowania zaplanowanego, przy uruchomieniu lub na żądanie. Patrz „Planowanie skanowania zdefiniowanego przez użytkownika” na stronie 75 Patrz „Planowanie uruchamiania skanowania na żądanie lub przy uruchomieniu komputera” na stronie 79 Zmień ustawienia Umożliwia skonfigurowanie ustawień następujących technologii ochrony i funkcji: ■ ■ ■ ■ ■ ■ Włączenie i skonfigurowanie ustawień funkcji Automatyczna ochrona. Patrz „Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware” na stronie 84 Skonfigurowanie ustawień zapory i ustawień systemu zapobiegania włamaniom. Patrz „Zarządzanie zaporą” na stronie 108 Wyświetlenie i dodanie wyjątków do skanowań. Patrz „Wykluczanie elementów ze skanowań” na stronie 91 Wyświetlenie ikony w obszarze powiadomień. Patrz „Sposób określania, czy klient jest połączony i chroniony” na stronie 38 Skonfigurowanie ustawień funkcji Ochrona przed naruszeniem integralności. Patrz „Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed naruszeniem integralności” na stronie 48 Utworzenie harmonogramu pobierania składników oprogramowania i aktualizacji produktu na klienta. Patrz „Aktualizacja składników oprogramowania według harmonogramu” na stronie 37 Patrz „Zarządzanie systemem ochrony komputera” na stronie 34 Wyświetl Umożliwia sprawdzenie wirusów i zagrożeń bezpieczeństwa wykrytych i kwarantannę poddanych kwarantannie przez klienta. W kwarantannie można przywrócić, usunąć, wyczyścić, wyeksportować i dodać pliki. Patrz „Poddawanie plików kwarantannie — informacje” na stronie 95 Wyświetl dzienniki Umożliwia wyświetlenie dowolnego dziennika klienta. Patrz „Wyświetlanie dzienników” na stronie 51 15 16 Rozpoczęcie pracy z klientem Ikony alertów na stronie Stan — informacje Kliknij tę opcję Aby wykonać te zadania LiveUpdate Umożliwia natychmiastowe uruchomienie usługi LiveUpdate. Usługa LiveUpdate pobiera najnowsze definicje składników oprogramowania i aktualizacje produktu z serwera zarządzania znajdującego się w sieci firmy. Patrz „Natychmiastowa aktualizacja składników oprogramowania” na stronie 37 Ikony alertów na stronie Stan — informacje U góry strony Stan wyświetlane są różne ikony alertów, wskazujące stan ochrony komputera. Tabela 1-3 Ikona Ikony alertów na stronie Stan Opis Wskazuje, że wszystkie funkcje ochrony są włączone. Ostrzega, że definicje na komputerze klienckim są nieaktualne W celu otrzymania najnowszych definicji wirusów można natychmiast uruchomić usługę LiveUpdate. Na komputerze klienckim mogą również wystąpić następujące problemy: Komputer kliencki nie przeszedł pomyślnie sprawdzania zgodności z wymogami integralności hosta. Informacje o niespełnionych wymaganiach zawiera dziennik zabezpieczeń funkcji Zarządzanie klientami. ■ Moduł sprawdzania integralności hosta nie jest podłączony. ■ Patrz „Aktualizowanie systemu ochrony komputera” na stronie 36 Pokazuje, że co najmniej jedna funkcja ochrony jest wyłączona lub licencja na kliencie utraciła ważność. Aby włączyć ochronę, należy kliknąć przycisk Napraw lub Napraw wszystko. Patrz „Włączanie i wyłączanie systemu ochrony — informacje” na stronie 43 Natychmiastowe skanowanie komputera Ręczne skanowanie pliku w poszukiwaniu wirusów i zagrożeń bezpieczeństwa można rozpocząć w dowolnej chwili. Komputer należy przeskanować natychmiast po zainstalowaniu klienta lub otrzymaniu wirusa. Do skanowania można wybrać dowolny obiekt, począwszy od jednego pliku, poprzez dyskietkę, a na całym komputerze kończąc. Skanowanie na żądanie Rozpoczęcie pracy z klientem Natychmiastowe skanowanie komputera obejmuje skanowanie aktywne i skanowanie pełne. Można również utworzyć skanowanie niestandardowe uruchamiane na żądanie. Patrz „Planowanie uruchamiania skanowania na żądanie lub przy uruchomieniu komputera” na stronie 79 Patrz „Aktualizowanie systemu ochrony komputera” na stronie 36 Więcej informacji na temat opcji dostępnych w poszczególnych oknach dialogowych można uzyskać, klikając pozycję Pomoc. Aby natychmiast przeprowadzić skanowanie komputera: ◆ Wykonaj jedno z następujących działań: ■ W kliencie, na stronie Stan, obok pozycji Ochrona przed wirusami i programami typu spyware kliknij pozycję Opcje > Uruchom skanowanie aktywne. ■ W programie klienckim kliknij pozycję Skanuj w poszukiwaniu zagrożeń na pasku bocznym. Wykonaj jedno z następujących działań: ■ Kliknij pozycję Uruchom skanowanie aktywne. ■ Kliknij pozycję Uruchom skanowanie pełne. ■ Na liście typów skanowania kliknij prawym przyciskiem myszy dowolne skanowanie, a następnie kliknij polecenie Skanuj teraz. Skanowanie zostanie uruchomione. Można wyświetlać postęp skanowania, o ile administrator nie wyłączył tej opcji. Aby wyświetlić postęp skanowania, kliknij łącze w komunikacie wyświetlanym dla bieżącego skanowania: skanowanie w toku. Patrz „Wyniki skanowania — informacje” na stronie 23 Można także wstrzymać lub anulować skanowanie. Patrz „Wstrzymywanie i odraczanie skanowań” na stronie 18 17 18 Rozpoczęcie pracy z klientem Natychmiastowe skanowanie komputera Aby przeprowadzić skanowanie komputera za pomocą systemu Windows: ◆ W oknie Mój Komputer lub Eksplorator Windows kliknij prawym przyciskiem myszy plik, folder lub dysk, a następnie kliknij polecenie Skanuj w poszukiwaniu wirusów. Funkcja ta jest obsługiwana zarówno w 32-bitowych, jak i 64-bitowych systemach operacyjnych. Uwaga: Funkcja Wyszukiwanie Insight nie skanuje folderu ani dysku, gdy przeprowadzany jest ten typ skanowania. Funkcja Wyszukiwanie Insight jest uruchamiana, jeśli do skanowania wybrano plik lub grupę plików. Wstrzymywanie i odraczanie skanowań Funkcja wstrzymania umożliwia zatrzymanie skanowania w dowolnej chwili i wznowienie go w późniejszym czasie. Można wstrzymywać wszystkie skanowania zainicjowane przez użytkownika. Administrator określa, czy użytkownik może wstrzymywać skanowania inicjowane przez administratora. Jeśli opcja Wstrzymaj skanowanie jest niedostępna, to znaczy, że administrator wyłączył funkcję wstrzymywania. Jeśli administrator włączył funkcję odraczania, użytkownik może na określony czas odraczać wykonanie skanowań zaplanowanych przez administratora. Wznowione skanowanie rozpoczyna się od miejsca, w którym zostało przerwane. Uwaga: W przypadku wstrzymania skanowania w chwili, gdy klient skanuje plik skompresowany, klient może zareagować na żądanie wstrzymania dopiero po kilku minutach. Patrz „Zarządzanie skanowaniami na komputerze” na stronie 58 Aby wstrzymać skanowanie zainicjowane przez użytkownika: 1 W trakcie skanowania, w oknie dialogowym skanowania kliknij pozycję Wstrzymaj skanowanie. Skanowanie zostanie wstrzymane, a okno dialogowe pozostanie otwarte do chwili wznowienia skanowania. 2 W oknie dialogowym skanowania kliknij pozycję Wznów skanowanie, aby kontynuować skanowanie. Rozpoczęcie pracy z klientem Dodatkowe źródła informacji Aby wstrzymać lub odroczyć skanowanie inicjowane przez administratora: 1 Podczas skanowania inicjowanego przez administratora, w oknie dialogowym skanowania kliknij przycisk Wstrzymaj skanowanie. 2 W oknie dialogowym Wstrzymanie skanowania zaplanowanego wykonaj dowolną z poniższych czynności: ■ Aby tymczasowo wstrzymać skanowanie, kliknij pozycję Wstrzymaj. ■ Aby odroczyć skanowanie, kliknij przycisk Odłóż na 1 godzinę lub Odłóż na 3 godziny. Czas, na jaki można odraczać skanowanie, określa administrator. Skanowanie wznowione po upływie czasu wstrzymania rozpoczyna się od początku. Administrator określa również dopuszczalną liczbę odroczeń, po której osiągnięciu funkcja jest wyłączana. ■ Aby kontynuować skanowanie bez wstrzymywania, kliknij przycisk Kontynuuj. Dodatkowe źródła informacji Produkt zawiera kilka źródeł informacji: Tabela 1-4 przedstawia witryny internetowe, w których można uzyskać dodatkowe informacje ułatwiające używanie produktu. Tabela 1-4 Witryny internetowe firmy Symantec Typy informacji Adres internetowy Oprogramowanie Symantec Endpoint Protection http://www.symantec.com/business/products/downloads/ Ogólnodostępna baza wiedzy Symantec Endpoint Protection: http://www.symantec.com/business/support/overview.jsp?pid=54619 Wersje i aktualizacje Aktualizacje podręczników i dokumentacji Symantec Network Access Control: http://www.symantec.com/business/support/overview.jsp?pid=52788 Opcje kontaktu Wirusy i inne zagrożenia — informacje http://www.symantec.com/pl/pl/security_response/ i aktualizacje Wiadomości i aktualizacje dotyczące produktów http://www.symantec.com/pl/pl/business/ Bezpłatne szkolenie techniczne online http://go.symantec.com/education_septc 19 20 Rozpoczęcie pracy z klientem Dodatkowe źródła informacji Typy informacji Adres internetowy Usługi edukacyjne firmy Symantec http://go.symantec.com/education_sep Fora Symantec Connect: Symantec Endpoint Protection: http://www.symantec.com/connect/security/forums/ endpoint-protection-antivirus Symantec Network Access Control: http://www.symantec.com/connect/security/forums/ network-access-control Rozdział 2 Reagowanie na alerty i powiadomienia Ten rozdział obejmuje następujące zagadnienia: ■ Typy alertów i powiadomień ■ Wyniki skanowania — informacje ■ Reagowanie na wykrycie wirusa lub zagrożenia ■ Reagowanie na komunikaty funkcji Download Insight z monitem o zezwolenie lub zablokowanie pliku, który próbuje pobrać użytkownik ■ Reagowanie na komunikaty z monitem o zezwolenie na aplikację lub jej zablokowanie ■ Komunikaty o wygaśnięciu ważności licencji — informacje ■ Reagowanie na komunikaty dotyczące aktualizowania oprogramowania klienckiego Typy alertów i powiadomień Program kliencki działa w tle, chroniąc komputer przed destrukcyjnymi działaniami. Czasami klient musi powiadomić użytkownika o takim działaniu lub wyświetlić monit o podjęcie decyzji. Tabela 2-1 przedstawia typy komunikatów, które mogą wymagać reakcji użytkownika. 22 Reagowanie na alerty i powiadomienia Typy alertów i powiadomień Tabela 2-1 Typy alertów i powiadomień Alert Opis <nazwa skanowania> uruchomiono lub okno dialogowe Wyniki wykrywania programu Symantec Endpoint Protection Jeśli skanowanie wykryje wirusa lub zagrożenie bezpieczeństwa, pojawi się okno dialogowe Wyniki wykrywania lub Wyniki wykrywania programu Symantec Endpoint Protection, zawierające szczegółowe informacje na temat infekcji. W oknie tym wyświetlane jest również działanie podejmowane przez skanowanie wobec zagrożenia. Zazwyczaj nie ma potrzeby podejmowania żadnych dalszych działań innych niż sprawdzenie informacji i zamknięcie okna dialogowego. W razie potrzeby można jednak podjąć działanie. Patrz „Wyniki skanowania — informacje” na stronie 23<nazwa skanowania> uruchomiono lub Wyniki wykrywania programu Symantec Endpoint Protection Inne okna dialogowe komunikatów Komunikaty wyskakujące mogą zostać wyświetlone w następujących sytuacjach: Klient automatycznie zaktualizował oprogramowanie klienckie. Patrz „Reagowanie na komunikaty dotyczące aktualizowania oprogramowania klienckiego” na stronie 31 ■ Klient wyświetla pytanie, czy użytkownik chce zezwolić na aplikację, czy też ją zablokować. Patrz „Reagowanie na komunikaty z monitem o zezwolenie na aplikację lub jej zablokowanie” na stronie 29 ■ Wygasła ważność licencji na wersję próbną. Patrz „Komunikaty o wygaśnięciu ważności licencji — informacje” na stronie 30 ■ Reagowanie na alerty i powiadomienia Wyniki skanowania — informacje Alert Opis Komunikaty ikony obszaru powiadomień Powiadomienia są wyświetlane nad ikoną w obszarze powiadomień w następujących sytuacjach: ■ Klient zablokował aplikację. Może zostać wyświetlone na przykład następujące powiadomienie: Zablokowano ruch z następującej aplikacji: (nazwa aplikacji) Jeżeli klienta skonfigurowano do blokowania całego ruchu, powiadomienia będą często wyświetlane. Jeżeli klienta skonfigurowano do przepuszczania całego ruchu, te powiadomienia nie będą wyświetlane. ■ Klient wykrywa atak sieciowy na komputer. Może zostać wyświetlony następujący typ powiadomienia: Ruch z adresu IP 192.168.0.3 jest blokowany od 2/14/2010 15:37:58 do 2/14/2010 15:47:58. Rejestrowany jest atak przy użyciu skanowania portów. ■ Sprawdzenie zgodności zabezpieczeń zakończyło się niepowodzeniem. Na komputerze może być blokowany ruch przychodzący i wychodzący Użytkownik nie musi robić niczego oprócz czytania komunikatów. Patrz „Sposób określania, czy klient jest połączony i chroniony” na stronie 38 Wyniki skanowania — informacje W przypadku klientów zarządzanych administrator zazwyczaj konfiguruje pełne skanowanie przeprowadzane co najmniej raz w tygodniu. W przypadku klientów niezarządzanych podczas uruchamiania komputera odbywa się automatycznie generowane skanowanie aktywne. Funkcja Automatyczna ochrona domyślnie działa na komputerze przez cały czas. W trakcie skanowania wyświetlane jest okno dialogowe z postępem skanowania, a następnie wynikami skanowania. Po ukończeniu skanowania jego wyniki są wyświetlane na liście. Jeśli klient nie wykryje żadnych wirusów ani zagrożeń bezpieczeństwa, lista jest pusta, a skanowanie ma stan Zakończone. 23 24 Reagowanie na alerty i powiadomienia Reagowanie na wykrycie wirusa lub zagrożenia Jeśli klient wykryje zagrożenia podczas skanowania, w oknie dialogowym wyników skanowania wyświetlone zostaną wyniki i następujące informacje: ■ Nazwy wirusów lub zagrożeń bezpieczeństwa ■ Nazwy zainfekowanych plików ■ Działania podjęte przez klienta wobec zagrożeń Jeśli klient wykryje wirusa lub zagrożenie bezpieczeństwa, konieczne może być podjęcie przez użytkownika działania wobec zainfekowanego pliku. Uwaga: W przypadku klientów zarządzanych administrator może wybrać ukrycie okna dialogowego wyników skanowania. Jeśli klient jest niezarządzany, użytkownik może wyświetlać lub ukrywać to okno dialogowe. Jeśli użytkownik lub administrator skonfigurował w oprogramowaniu klienckim wyświetlanie okna dialogowego informującego o wynikach skanowania, to możliwe jest wstrzymywanie, ponowne uruchamianie i zatrzymywanie skanowania. Patrz „Klienci zarządzani i klienci niezarządzani — informacje” na stronie 40 Patrz „Reagowanie na wykrycie wirusa lub zagrożenia” na stronie 24 Patrz „Wstrzymywanie i odraczanie skanowań” na stronie 18 Reagowanie na wykrycie wirusa lub zagrożenia Po uruchomieniu skanowania zdefiniowanego przez administratora lub użytkownika albo uruchomieniu funkcji Automatyczna ochrona wyświetlone może zostać okno dialogowe z wynikami skanowania. Za pomocą okna dialogowego z wynikami skanowania można natychmiast podjąć działanie wobec zainfekowanego pliku. Można na przykład usunąć oczyszczony plik, ponieważ użytkownik woli zastąpić go plikiem oryginalnym. Można również podjąć działania wobec pliku później, za pomocą dziennika kwarantanny, zagrożeń lub skanowania. Patrz „Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim” na stronie 93 Reagowanie na alerty i powiadomienia Reagowanie na wykrycie wirusa lub zagrożenia Aby zareagować na wykrycie wirusa lub zagrożenia z okna dialogowego wyników skanowania: 1 W oknie dialogowym wyników skanowania zaznacz żądane pliki. 2 Kliknij wybrane pliki prawym przyciskiem myszy, a następnie wybierz jedną z poniższych opcji: Wyczyść Powoduje usunięcie wirusa z pliku. Ta opcja jest dostępna tylko w przypadku wirusów. Wyklucz Powoduje wykluczenie pliku z ponownego skanowania. Usuń trwale Powoduje usunięcie zainfekowanego pliku i wszystkich skutków ubocznych. W przypadku zagrożeń bezpieczeństwa należy stosować to działanie z dużą ostrożnością. W niektórych przypadkach usunięcie zagrożeń bezpieczeństwa może uniemożliwić korzystanie z aplikacji. Cofnij podjęte działanie Powoduje cofnięcie podjętego działania. Przenieś do obszaru kwarantanny Powoduje umieszczenie zainfekowanego pliku w obszarze kwarantanny. W przypadku zagrożeń bezpieczeństwa klient próbuje także usunąć lub naprawić skutki uboczne. W niektórych przypadkach poddanie zagrożenia bezpieczeństwa kwarantannie może uniemożliwić korzystanie z aplikacji. Właściwości Wyświetla informacje o wirusie lub zagrożeniu bezpieczeństwa. W niektórych przypadkach działanie może nie być dostępne. 3 W oknie dialogowym kliknij przycisk Zamknij. Jeżeli zagrożenia przedstawione na liście wymagają podjęcia działania przez użytkownika, okna tego nie można zamknąć. Może tak być na przykład wówczas, gdy klient musi zakończyć proces lub aplikację albo zatrzymać usługę. W takim przypadku wyświetlane jest okno dialogowe Usuń zagrożenia teraz. 4 Jeśli wyświetlone zostanie okno dialogowe Usuń zagrożenia teraz, kliknij jedną z poniższych opcji: ■ Tak 25 26 Reagowanie na alerty i powiadomienia Reagowanie na wykrycie wirusa lub zagrożenia Klient usuwa zagrożenie. Usunięcie zagrożenia może wymagać ponownego uruchomienia komputera. O tym, czy ponowne uruchomienie jest wymagane, informuje okno dialogowe. ■ 5 Nie Okno dialogowe wyników przypomina, że nadal potrzebne jest działanie. Okno dialogowe Usuń zagrożenia teraz zostanie jednak wyświetlone dopiero po ponownym uruchomieniu komputera. Jeśli okno dialogowe nie zostanie zamknięte w kroku 3, kliknij przycisk Zamknij. Patrz „Sposób reakcji skanowań na wykrycie wirusa lub zagrożenia” na stronie 73 Patrz „Wyświetlanie dzienników” na stronie 51 Patrz „Zarządzanie skanowaniami na komputerze” na stronie 58 Usuwanie wirusa lub zagrożenia z zainfekowanego pliku — informacje Jeśli klient musi zakończyć proces albo aplikację lub zatrzymać usługę, aktywna jest opcja Usuń zagrożenie teraz. Jeżeli zagrożenia przedstawione w oknie dialogowym wymagają podjęcia działania przez użytkownika, okna tego nie można zamknąć. Tabela 2-2 przedstawia opcje w oknie dialogowym wyników. Reagowanie na alerty i powiadomienia Reagowanie na wykrycie wirusa lub zagrożenia Tabela 2-2 Opcje w oknie dialogowym wyników Opcja Opis Zamknij Powoduje zamknięcie okna dialogowego z wynikami skanowania, jeżeli podjęcie działania w związku z którymkolwiek zagrożeniem nie jest wymagane. Jeżeli działanie jest potrzebne, wyświetlane jest jedno z poniższych powiadomień: Wymagane jest usunięcie zagrożenia Wyświetlane, gdy do usunięcia zagrożenia wymagane jest zakończenie procesu. Po usunięciu zagrożenia ponownie wyświetlane jest okno dialogowe z wynikami. Jeśli konieczne jest także ponowne uruchomienie komputera, informacje w wierszu zagrożenia w oknie dialogowym wskazują na tę konieczność. ■ Wymagane ponowne uruchomienie komputera Wyświetlane, gdy do usunięcia zagrożenia wymagane jest ponowne uruchomienie komputera. ■ Wymaganejestusunięciezagrożeniaiponowneuruchomienie komputera Wyświetlane, gdy do usunięcia jednego zagrożenia wymagane jest zakończenie procesu, a inne zagrożenie wymaga ponownego uruchomienia komputera. ■ Usuń zagrożenia teraz Wyświetla okno dialogowe Usuwanie zagrożenia. W oknie Usuwanie zagrożenia można wybrać jedną z następujących opcji w odniesieniu do każdego zagrożenia: Tak Klient usuwa zagrożenie. Usunięcie zagrożenia może wymagać ponownego uruchomienia komputera. O tym, czy ponowne uruchomienie jest wymagane, informuje okno dialogowe. ■ Nie Po zamknięciu okna dialogowego z wynikami skanowania wyświetlane jest okno dialogowe Usuwanie zagrożenia. Okno to przypomina, że nadal potrzebne jest działanie. Okno dialogowe Usuwanie zagrożenia zostanie jednak wyświetlone dopiero po ponownym uruchomieniu komputera. ■ Jeśli wymagane jest ponowne uruchomienie komputera, to dopiero po dokonaniu go zostanie ukończone usuwanie lub naprawa. Jeżeli zagrożenie wymaga podjęcia działania, można zdecydować się na nie później. Zagrożenie można usunąć lub naprawić później następująco: 27 28 Reagowanie na alerty i powiadomienia Reagowanie na komunikaty funkcji Download Insight z monitem o zezwolenie lub zablokowanie pliku, który próbuje pobrać użytkownik ■ Można otworzyć dziennik zagrożeń, kliknąć zagrożenie prawym przyciskiem myszy i wybrać żądane działanie. ■ Można uruchomić skanowanie w celu wykrycia zagrożenia i ponownego otwarcia okna dialogowego z wynikami skanowania. Można także podjąć działanie, klikając zagrożenie w oknie dialogowym prawym przyciskiem myszy i wybierając działanie. Działania, które może podjąć użytkownik, zależą od działań skonfigurowanych dla danego typu wykrytego zagrożenia. Patrz „Reagowanie na wykrycie wirusa lub zagrożenia” na stronie 24 Reagowanie na komunikaty funkcji Download Insight z monitem o zezwolenie lub zablokowanie pliku, który próbuje pobrać użytkownik Gdy włączone są powiadomienia funkcji Download Insight, użytkownikowi wyświetlane są komunikaty dotyczące destrukcyjnych i niepotwierdzonych plików wykrywanych przez funkcję Download Insight podczas próby ich pobrania. Uwaga: Bez względu na to, czy powiadomienia są włączone, użytkownikowi wyświetlane są komunikaty, jeśli dla niepotwierdzonych plików ustawiono działanie Wyświetl monit. Czułość wykrywania destrukcyjnych lub niepotwierdzonych plików przez funkcję Download Insight może zmienić użytkownik lub administrator. Zmiana poziomu czułości może wpłynąć na liczbę wyświetlanych powiadomień. Funkcja Download Insight używa technologii Symantec Insight, oceniającej pliki i wyznaczającej ocenę pliku na podstawie danych od globalnej wspólnoty milionów użytkowników. Powiadomienie funkcji Download Insight przedstawia następujące informacje o wykrytym pliku: ■ Reputacja pliku Reputacja pliku wskazuje wiarygodność pliku. Destrukcyjne pliki nie są godne zaufania. Niepotwierdzone pliki mogą, ale nie muszą być godne zaufania. ■ Rozpowszechnienie pliku we wspólnocie Rozpowszechnienie pliku jest istotne. Rzadko spotykane pliki częściej bywają zagrożeniami. ■ Wiek pliku Reagowanie na alerty i powiadomienia Reagowanie na komunikaty z monitem o zezwolenie na aplikację lub jej zablokowanie Im nowszy jest plik, tym mniej informacji o nim ma firma Symantec. Informacje te mogą ułatwić decyzję o zezwoleniu na plik lub zablokowaniu go. Patrz „Zarządzanie skanowaniami na komputerze” na stronie 58 Patrz „Sposób stosowania danych o reputacji w celu podejmowania decyzji dotyczących plików przez program Symantec Endpoint Protection” na stronie 74 Aby zareagować na wykrycie funkcji Download Insight z monitem o zezwolenie na plik lub jego zablokowanie: 1 2 W komunikacie o wykryciu funkcji Download Insight wykonaj jedną z następujących czynności: ■ Kliknij pozycję Usuń ten plik z mojego komputera. Funkcja Download Insight przeniesie plik do kwarantanny. Opcja ta jest wyświetlana tylko w przypadku plików niepotwierdzonych. ■ Kliknij pozycję Zezwól na ten plik. Wyświetlone może zostać okno dialogowe zezwolenia z pytaniem, czy użytkownik na pewno chce zezwolić na plik. W razie wybrania opcji zezwolenia na niepotwierdzony plik, który nie został poddany kwarantannie, plik jest uruchamiany automatycznie. W razie wybrania opcji zezwolenia na plik poddany kwarantannie plik nie jest uruchamiany automatycznie. Plik można uruchomić z folderu tymczasowych plików internetowych. Zazwyczaj folder ten znajduje się w lokalizacji \\Documents and Settings\nazwa użytkownika\Local Settings\Temporary Internet Files. W razie zezwolenia na plik na klientach niezarządzanych program Symantec Endpoint Protection automatycznie tworzy wyjątek dla pliku na danym komputerze. W razie zezwolenia na plik na klientach zarządzanych program Symantec Endpoint Protection automatycznie tworzy wyjątek dla pliku na danym komputerze, o ile administrator umożliwia użytkownikowi tworzenie wyjątków. Reagowanie na komunikaty z monitem o zezwolenie na aplikację lub jej zablokowanie Przy próbie uzyskania przez aplikację na komputerze dostępu do sieci klient może wyświetlić monit o zezwolenie lub zablokowanie aplikacji. Można wybrać opcję zablokowania aplikacji, aby nie zezwolić jej na dostęp do sieci. Tego typu powiadomienie może zostać wyświetlone z jednego z następujących powodów: 29 30 Reagowanie na alerty i powiadomienia Komunikaty o wygaśnięciu ważności licencji — informacje ■ Aplikacja żąda dostępu do połączenia sieciowego użytkownika. ■ Aplikacja, która miała dostęp do połączenia sieciowego użytkownika, została uaktualniona. ■ Administrator zaktualizował oprogramowanie klienckie. ■ Na komputerze klienckim zmieniono użytkownika za pomocą funkcji Szybkie przełączanie użytkowników. Gdy aplikacja próbuje uzyskać dostęp do komputera, może zostać wyświetlone powiadomienie następującego typu: IEXPLORE.EXE próbuje uzyskać dostęp do sieci. Czy chcesz zezwolić temu programowi na dostęp do sieci? Aby zareagować na komunikat z monitem o zezwolenie na aplikację lub jej zablokowanie: 1 Opcjonalnie, aby podczas następnej próby uzyskania dostępu do sieci przez tę samą aplikację pominąć wyświetlanie tego komunikatu, w oknie dialogowym kliknij pozycję Zapamiętaj odpowiedź i nie zadawaj ponownie pytania o tę aplikację. 2 Więcej informacji na temat połączenia i aplikacji można też uzyskać, klikając pozycję Szczegóły>>. 3 Wykonaj jedno z następujących działań: ■ Aby zezwolić aplikacji na dostęp do sieci, kliknij przycisk Tak. ■ Aby zablokować dostęp aplikacji do sieci, kliknij przycisk Nie. W polu Uruchomione aplikacje lub na liście Aplikacje można również zmienić działanie aplikacji. Patrz „Konfigurowanie ustawień specyficznych dla aplikacji” na stronie 127 Komunikaty o wygaśnięciu ważności licencji — informacje Klient używa licencji do aktualizowania definicji wirusów używanych podczas skanowań oraz do aktualizowania oprogramowania klienckiego. Klient może używać licencji na wersję próbną lub płatną. Gdy ważność licencji wygaśnie, klient przestaje aktualizować wszelkie składniki oprogramowania i oprogramowanie klienckie. Reagowanie na alerty i powiadomienia Reagowanie na komunikaty dotyczące aktualizowania oprogramowania klienckiego Tabela 2-3 Typ licencji 31 Typy licencji Opis Licencja na wersję Gdy licencja na wersję próbną wygaśnie, górna część okienka Stan próbną klienta jest czerwona i wyświetlany jest w niej następujący komunikat: Ważność licencji na wersję próbną wygasła. Pobieranie składników zostanie wstrzymane w dniu daty. Skontaktuj się z administratorem, aby zakupić licencję na program Symantec Endpoint Protection. Datę ważności można również wyświetlić, klikając pozycję Pomoc > Informacje. Licencja na wersję Gdy licencja na wersję płatną wygaśnie, górna część okienka Stan płatną klienta jest żółta i wyświetlany jest w niej następujący komunikat: Ochrona przed wirusami i spywarem - definicje są przestarzałe. W przypadku obu typów licencji należy skontaktować się z administratorem w celu zaktualizowania lub odnowienia licencji. Patrz „Typy alertów i powiadomień” na stronie 21 Patrz „Wyświetlanie dzienników” na stronie 51 Reagowanie na komunikaty dotyczące aktualizowania oprogramowania klienckiego Jeżeli oprogramowanie klienckie jest automatycznie aktualizowane, mogą zostać wyświetlone następujące powiadomienia: Symantec Endpoint Protection – wykryto, że dostępna jest nowsza wersja oprogramowania. Czy chcesz je pobrać i zainstalować teraz? Aby zareagować na powiadomienie o automatycznej aktualizacji: 1 Wykonaj jedno z następujących działań: ■ Aby natychmiast pobrać oprogramowanie, kliknij pozycję Pobierz teraz. 32 Reagowanie na alerty i powiadomienia Reagowanie na komunikaty dotyczące aktualizowania oprogramowania klienckiego ■ 2 Aby po upływie określonego czasu zostało wyświetlone przypomnienie, kliknij pozycję Przypomnij później. Jeżeli po rozpoczęciu instalacji aktualizowanego oprogramowania zostanie wyświetlony komunikat, kliknij przycisk OK. Rozdział 3 Zapewnianie ochrony komputerowi Ten rozdział obejmuje następujące zagadnienia: ■ Zarządzanie systemem ochrony komputera ■ Aktualizowanie systemu ochrony komputera ■ Sposób określania, czy klient jest połączony i chroniony ■ Klienci zarządzani i klienci niezarządzani — informacje ■ Sprawdzanie, czy klient jest zarządzany, czy niezarządzany ■ Włączanie i wyłączanie systemu ochrony — informacje ■ Włączanie lub wyłączanie ochrony na komputerze klienckim ■ Włączanie lub wyłączanie funkcji Automatyczna ochrona ■ Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed naruszeniem integralności ■ Dzienniki — informacje ■ Wyświetlanie dzienników ■ Śledzenie wsteczne zarejestrowanych zdarzeń do ich źródła ■ Eksportowanie danych dziennika 34 Zapewnianie ochrony komputerowi Zarządzanie systemem ochrony komputera Zarządzanie systemem ochrony komputera Komputer kliencki jest domyślnie chroniony i konfiguracja klienta jest zazwyczaj zbędna. Można jednak monitorować system ochrony w następujących sytuacjach: ■ Na komputerze użytkownika uruchomiony jest klient niezarządzany. Po zainstalowaniu klienta niezarządzanego tylko użytkownik ma kontrolę nad systemem ochrony komputera. Klient niezarządzany jest domyślnie chroniony. Konieczne może być jednak zmodyfikowanie ustawień systemu ochrony komputera. Patrz „Klienci zarządzani i klienci niezarządzani — informacje” na stronie 40 ■ Użytkownik chce włączyć lub wyłączyć jedną lub wiele technologii ochrony. ■ Użytkownik chce się upewnić, czy ma najnowsze definicje wirusów. ■ Użytkownik chce przeprowadzić skanowanie ze względu na pojawienie się nowego wirusa. Tabela 3-1 przedstawia proces upewniania się, że komputer jest chroniony. Tabela 3-1 Proces zarządzania systemem ochrony komputera Krok Opis Reagowanie na alerty i powiadomienia Należy zareagować na wyświetlony komunikat z monitem o wprowadzenie danych. Na przykład skanowanie mogło wykryć wirusa lub zagrożenie bezpieczeństwa i wyświetla okno dialogowe wyników skanowania z monitem o podjęcie działania wobec wykrycia. Patrz „Typy alertów i powiadomień” na stronie 21 Sprawdzenie stanu systemu ochrony Należy regularnie sprawdzać stronę Stan, aby upewnić się, że wszystkie typy ochrony są włączone. Patrz „Rozpoczęcie pracy na stronie Stan” na stronie 13 Patrz „Włączanie lub wyłączanie ochrony na komputerze klienckim” na stronie 45 Zapewnianie ochrony komputerowi Zarządzanie systemem ochrony komputera Krok Opis Aktualizacja definicji wirusów Należy sprawdzić, czy na komputerze zainstalowane są najnowsze definicje wirusów. (Tylko klient niezarządzany) ■ Należy sprawdzić, czy zainstalowane są najnowsze aktualizacje systemu ochrony. Datę i numer tych plików definicji można sprawdzić na stronie Stan klienta, w obszarach poszczególnych typów ochrony. ■ Należy uzyskać najnowsze aktualizacje systemu ochrony. Patrz „Aktualizowanie systemu ochrony komputera” na stronie 36 Skanowanie komputera Należy uruchomić skanowanie, aby sprawdzić, czy komputer lub program pocztowy są wolne od wirusów. Domyślnie klient skanuje komputer przy uruchomieniu, ale można go przeskanować w każdej chwili. Patrz „Natychmiastowe skanowanie komputera” na stronie 16 Dostosowanie ustawień skanowania W większości przypadków domyślne ustawienia zapewniają wystarczającą ochronę komputera. W razie potrzeby można obniżyć lub podwyższyć poziom ochrony w następujący sposób: Planując dodatkowe skanowania Patrz „Zarządzanie skanowaniami na komputerze” na stronie 58 ■ Dodając reguły zapory (tylko na kliencie niezarządzanym) Patrz „Zarządzanie zaporą” na stronie 108 ■ Sprawdzanie wykryć lub ataków w dziennikach W celu sprawdzenia, czy klient wykrył wirusa lub atak sieciowy należy przejrzeć dzienniki. Aktualizacja zasady zabezpieczeń Należy sprawdzić, czy klient otrzymał najnowszą zasadę zabezpieczeń. Zasada zabezpieczeń zawiera najnowsze ustawienia technologii ochrony stosowanych przez klienta. (Tylko klient zarządzany) Patrz „Wyświetlanie dzienników” na stronie 51 Zasada zabezpieczeń jest aktualizowana automatycznie. Aby upewnić się, że stosowana jest najnowsza zasada, można zaktualizować ją ręcznie, klikając prawym przyciskiem myszy ikonę klienta w obszarze powiadomień i wybierając polecenie Aktualizuj zasadę. Patrz „Sposób określania, czy klient jest połączony i chroniony” na stronie 38 35 36 Zapewnianie ochrony komputerowi Aktualizowanie systemu ochrony komputera Aktualizowanie systemu ochrony komputera Skuteczność ochrony zapewnianej przez produkty firmy Symantec jest uzależniona od aktualności informacji o nowych zagrożeniach. Informacje te są dostępne do pobrania z firmy Symantec za pośrednictwem usługi LiveUpdate. Aktualizacje składników oprogramowania to pliki, dzięki którym produkty firmy Symantec są aktualne i korzystają z najnowszych technologii ochrony przed zagrożeniami. Usługa LiveUpdate pobiera nowe pliki składników oprogramowania z internetowej witryny firmy Symantec, a następnie zastępuje nimi stare pliki składników oprogramowania. Otrzymywane aktualizacje są zależne od produktów zainstalowanych na komputerze. Sposób, w jaki komputer otrzymuje aktualizacje, zależy od tego, czy komputer jest zarządzany czy niezarządzany i od konfiguracji aktualizacji ustawionej przez administratora. Poniższe typy plików to przykłady aktualizacji składników oprogramowania: ■ Pliki definicji wirusów dla funkcji Ochrona przed wirusami i programami typu spyware. ■ Sygnatury heurystyczne i listy aplikacji komercyjnych dla funkcji Zapobieganie zagrożeniom. ■ Pliki definicji systemu zapobiegania włamaniom dla funkcji Ochrona przed zagrożeniami sieciowymi. Patrz „Ochrona przed zagrożeniami sieciowymi — informacje” na stronie 108 Usługa LiveUpdate może również dostarczać ulepszenia do zainstalowanego klienta. Ulepszenia te tworzy się zazwyczaj w celu zapewnienia zgodności oprogramowania z urządzeniami lub systemami operacyjnymi, zwiększenia wydajności lub usunięcia błędów produktu. Ulepszenia klienta ukazują się, gdy pojawi się taka potrzeba. Komputer kliencki może pobierać te ulepszenia bezpośrednio z serwera LiveUpdate. Zarządzany komputer kliencki może także odbierać te aktualizacje ulepszające automatycznie z serwera zarządzania w firmie. Tabela 3-2 Sposoby aktualizowania składników oprogramowania na komputerze Zadanie Opis Aktualizacja składników oprogramowania według harmonogramu Domyślnie usługa LiveUpdate uruchamiana jest automatycznie w określonych w harmonogramie odstępach. Na kliencie niezarządzanym użytkownik może wyłączyć lub zmienić harmonogram usługi LiveUpdate. Patrz „Aktualizacja składników oprogramowania według harmonogramu” na stronie 37 Zapewnianie ochrony komputerowi Aktualizowanie systemu ochrony komputera Zadanie Opis Natychmiastowa aktualizacja składników oprogramowania W zależności od ustawień zabezpieczeń, usługę LiveUpdate można uruchamiać natychmiast. Patrz „Natychmiastowa aktualizacja składników oprogramowania” na stronie 37 Natychmiastowa aktualizacja składników oprogramowania Pliki składników oprogramowania można aktualizować natychmiast za pomocą usługi LiveUpdate. Usługę LiveUpdate należy uruchamiać natychmiast w następujących sytuacjach: ■ Po zainstalowaniu oprogramowania klienckiego. ■ Po upływie długiego czasu od ostatniego skanowania. ■ Gdy użytkownik podejrzewa, że na komputerze jest wirus lub inne destrukcyjne oprogramowanie. Patrz „Aktualizacja składników oprogramowania według harmonogramu” na stronie 37 Patrz „Aktualizowanie systemu ochrony komputera” na stronie 36 Aby natychmiast zaktualizować system ochrony: ◆ W programie klienckim kliknij pozycję LiveUpdate na pasku bocznym. Usługa LiveUpdate łączy się z serwerem firmy Symantec, sprawdza czy są dostępne nowe aktualizacje, a następnie automatycznie je pobiera i instaluje. Aktualizacja składników oprogramowania według harmonogramu Użytkownik może utworzyć harmonogram automatycznego uruchamiania usługi LiveUpdate. Użytkownik może zaplanować uruchamianie usługi LiveUpdate na czas, w którym nie używa komputera. Patrz „Natychmiastowa aktualizacja składników oprogramowania” na stronie 37 Uwaga: W przypadku klienta zarządzanego uruchamianie usługi LiveUpdate według harmonogramu można skonfigurować, o ile umożliwił to administrator. Jeśli wyświetlana jest ikona kłódki i opcje są nieaktywne, nie można aktualizować składników oprogramowania według harmonogramu. 37 38 Zapewnianie ochrony komputerowi Sposób określania, czy klient jest połączony i chroniony Aby aktualizować system ochrony według harmonogramu: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Obok pozycji Zarządzanie klientami kliknij pozycję Konfiguruj ustawienia. 3 W oknie dialogowym Ustawienia funkcji Zarządzanie klientami kliknij pozycję LiveUpdate. 4 Na karcie LiveUpdate zaznacz opcję Włącz automatyczne aktualizacje. 5 W grupie opcji Częstotliwość i czas wybierz, czy chcesz przeprowadzać aktualizacje codziennie, raz w tygodniu, czy raz w miesiącu. Następnie wybierz dzień tygodnia i godzinę, o której mają być przeprowadzane aktualizacje. Ustawienia czasu zależą od opcji wybranej w grupie opcji Częstotliwość. Dostępność innych opcji w tym oknie dialogowym zależy również od wybranej częstotliwości. 6 W grupie opcji Okno ponawiania prób zaznacz opcję Ponawiaj próby przez, a następnie określ interwał czasowy ponawiania uruchamiania usługi LiveUpdate przez klienta. 7 W grupie opcji Opcje dotyczące działań losowych zaznacz opcję Wybierz losowo wcześniejszy lub późniejszy czas uruchomienia (w godzinach), a następnie określ liczbę godzin lub dni. Opcja ta określa zakres czasu rozpoczęcia pobierania przed lub po planowanym terminie aktualizacji. 8 W grupie opcji Wykrycie bezczynności zaznacz opcję Opóźnij zaplanowane sesje usługi LiveUpdate do chwili bezczynności systemu. Zaległe sesje zostaną w końcu uruchomione bezwarunkowo. Można również skonfigurować opcje połączenia serwera proxy z wewnętrznym serwerem LiveUpdate. Informacje na temat opcji są dostępne w Pomocy online. 9 Kliknij przycisk OK. Sposób określania, czy klient jest połączony i chroniony Za pomocą ikony na pasku zadań systemu klient wskazuje, czy pracuje w trybie online, czy też offline i czy komputer kliencki jest wystarczająco chroniony. Kliknięcie tej ikony prawym przyciskiem myszy powoduje wyświetlenie często używanych poleceń. Ikona znajduje się w prawym dolnym rogu pulpitu na komputerze klienckim. Zapewnianie ochrony komputerowi Sposób określania, czy klient jest połączony i chroniony Uwaga: Ikona nie jest wyświetlana na klientach zarządzanych, jeżeli administrator skonfigurował ją tak, aby była niedostępna. Ikony stanu klienta Symantec Endpoint Protection Tabela 3-3 Ikona Opis Klient działa bez żadnych problemów. Pracuje w trybie offline lub jest niezarządzany. Klienci niezarządzani nie są połączeni z serwerem zarządzania. Jako ikona wyświetlana jest zwykła żółta tarcza. Klient działa bez żadnych problemów. Jest połączony i komunikuje się z serwerem. Komputer jest chroniony przy użyciu wszystkich składników zasady zabezpieczeń. Jako ikona wyświetlana jest żółta tarcza z zieloną kropką. Występuje drobny problem z klientem. Na przykład definicje wirusów mogą nie być aktualne. Jako ikona wyświetlana jest żółta tarcza z czarnym wykrzyknikiem na tle jasnożółtej kropki. Klient nie działa, występuje poważny problem z klientem lub wyłączona jest co najmniej jedna technologia ochrony. Wyłączona jest na przykład funkcja Ochrona przed zagrożeniami sieciowymi. Jako ikona wyświetlana jest żółta tarcza z białą kropką w czerwonej obwódce i czerwoną linią w poprzek kropki. Tabela 3-4 przedstawia ikony stanu klienta Symantec Network Access Control wyświetlane w obszarze powiadomień na pasku zadań systemu. Ikony stanu klienta Symantec Network Access Control Tabela 3-4 Ikona Opis Klient działa bez żadnych problemów i przeszedł test integralności hosta oraz zaktualizował zasadę zabezpieczeń. Pracuje w trybie offline lub jest niezarządzany. Klienci niezarządzani nie są połączeni z serwerem zarządzania. Jako ikona wyświetlany jest złoty klucz. Klient działa bez żadnych problemów i przeszedł test integralności hosta oraz zaktualizował zasadę zabezpieczeń. Komunikuje się z serwerem. Jako ikona wyświetlany jest złoty klucz z zieloną kropką. Klient nie przeszedł sprawdzenia integralności hosta lub nie zaktualizował zasady zabezpieczeń. Jako ikona wyświetlany jest złoty klucz z białym znakiem „x” na tle czerwonej kropki. Patrz „Ukrywanie i wyświetlanie ikony obszaru powiadomień” na stronie 40 39 40 Zapewnianie ochrony komputerowi Klienci zarządzani i klienci niezarządzani — informacje Ukrywanie i wyświetlanie ikony obszaru powiadomień Ikonę obszaru powiadomień można w razie potrzeby ukryć. Można ją na przykład ukryć, jeżeli potrzebne jest więcej miejsca na pasku zadań systemu Windows. Patrz „Sposób określania, czy klient jest połączony i chroniony” na stronie 38 Uwaga: W przypadku klientów zarządzanych ikony paska zadań nie można ukryć, jeżeli administrator ograniczył użycie tej funkcji. Aby ukryć lub wyświetlić ikonę w obszarze powiadomień: 1 W oknie głównym kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Na stronie Zmiana ustawień kliknij pozycję Konfiguruj ustawienia obok pozycji Zarządzanie klientami. 3 W oknie dialogowym Ustawienia funkcji Zarządzanie klientami, na karcie Ogólne, w obszarze Opcje wyświetlania wyczyść pole wyboru Pokazuj ikonę programu Symantec w obszarze powiadomień. 4 Kliknij przycisk OK. Klienci zarządzani i klienci niezarządzani — informacje Administrator może zainstalować klienta jako klienta zarządzanego (instalacja zarządzana przez administratora) lub niezarządzanego (instalacja autonomiczna). Zapewnianie ochrony komputerowi Klienci zarządzani i klienci niezarządzani — informacje Tabela 3-5 Typ klienta Różnice między klientem zarządzanym a klientem niezarządzanym Opis Klient zarządzany Klient zarządzany komunikuje się z serwerem zarządzania w sieci użytkownika. Administrator konfiguruje system ochrony i ustawienia domyślne, a serwer zarządzania przekazuje ustawienia klientowi. Jeśli administrator dokona zmian w systemie ochrony, zmiany te są niemal natychmiast pobierane przez klienta. Administratorzy mogą zmienić poziom interakcji użytkownika z klientem na następujące sposoby: Administrator całkowicie zarządza klientem. Użytkownik nie musi konfigurować klienta. Wszystkie ustawienia są zablokowane lub niedostępne, ale użytkownik może wyświetlić informacje na temat operacji klienta na komputerze. ■ Administrator zarządza klientem, ale użytkownik może zmienić niektóre ustawienia klienta i wykonać niektóre zadania. Na przykład może uruchamiać własne skanowania i ręcznie pobierać aktualizacje klienta oraz systemu ochrony. Dostępność ustawień klienta, jak również wartości tych ustawień mogą okresowo się zmieniać. Ustawienie może się na przykład zmienić, gdy administrator zaktualizuje zasadę sterującą ochroną komputera klienckiego. ■ Administrator zarządza klientem, ale użytkownik może zmienić wszystkie ustawienia klienta i wykonać wszystkie zadania związane z ochroną. ■ Klient niezarządzany Klient niezarządzany nie komunikuje się z serwerem zarządzania, a administrator nie zarządza klientem. Klient niezarządzany może być klientem jednego z następujących typów: Autonomicznym komputerem niepodłączonym do sieci, takim jak komputer domowy lub przenośny. Na komputerze musi być zainstalowany program Symantec Endpoint Protection z ustawieniami domyślnymi lub wstępnie skonfigurowanymi przez administratora. ■ Zdalnym komputerem łączącym się z siecią firmową, który w celu nawiązania połączenia musi spełnić wymagania dotyczące bezpieczeństwa. ■ Klient po zainstalowaniu ma ustawienia domyślne. Po zainstalowaniu klienta użytkownik może zmienić wszystkie ustawienia klienta i wykonać wszystkie zadania związane z ochroną. Patrz „Sprawdzanie, czy klient jest zarządzany, czy niezarządzany” na stronie 42 41 42 Zapewnianie ochrony komputerowi Sprawdzanie, czy klient jest zarządzany, czy niezarządzany Tabela 3-6 przedstawia różnice w interfejsie użytkownika między klientem zarządzanym a klientem niezarządzanym. Tabela 3-6 Różnice między klientem zarządzanym a klientem niezarządzanym według obszarów funkcji Obszar funkcji Klient centralnie zarządzany Klient samozarządzany Ochrona przed wirusami i programami typu spyware Klient wyświetla ikonę Klient nie wyświetla ani zamkniętej kłódki, a opcje, zamkniętej kłodki, ani otwartej których nie może skonfigurować kłódki. użytkownik, są nieaktywne. Zapobieganie zagrożeniom Klient wyświetla ikonę Klient nie wyświetla ani zamkniętej kłódki, a opcje, zamkniętej kłodki, ani otwartej których nie może skonfigurować kłódki. użytkownik, są nieaktywne. Ustawienia funkcji Ustawienia kontrolowane przez Wyświetlane są wszystkie Zarządzanie administratora nie są ustawienia. klientami i Ochrona wyświetlane. przed zagrożeniami sieciowymi Patrz „Typy alertów i powiadomień” na stronie 21 Sprawdzanie, czy klient jest zarządzany, czy niezarządzany Aby sprawdzić dostępny poziom kontroli nad konfigurowaniem systemu ochrony na kliencie, najpierw należy sprawdzić, czy klient jest zarządzany, czy też niezarządzany. Na kliencie niezarządzanym można skonfigurować więcej ustawień niż na kliencie zarządzanym. Patrz „Klienci zarządzani i klienci niezarządzani — informacje” na stronie 40 Aby sprawdzić, czy klient jest zarządzany, czy niezarządzany: 1 Na stronie Stan kliknij pozycję Pomoc > Rozwiązywanie problemów. 2 W oknie dialogowym Rozwiązywanieproblemów kliknij pozycję Zarządzanie. 3 W okienku Zarządzanie, w obszarze Informacje ogólne, obok pozycji Serwer sprawdź następujące informacje: ■ Jeśli klient jest zarządzany, w polu Serwer wyświetlany jest adres serwera zarządzania albo tekst Offline. Zapewnianie ochrony komputerowi Włączanie i wyłączanie systemu ochrony — informacje Może to być adres IP, nazwa DNS lub nazwa NetBIOS. Nazwa DNS to na przykład SEPMServer1. Jeśli klient jest zarządzany, ale aktualnie nie jest połączony z serwerem zarządzania, w polu tym wyświetlany jest tekst Offline. ■ 4 Jeśli klient jest niezarządzany, w polu Serwer wyświetlany jest tekst Samozarządzany. Kliknij przycisk Zamknij. Włączanie i wyłączanie systemu ochrony — informacje Technologie ochrony zazwyczaj powinny być stale włączone na komputerze klienckim. W razie problemu z komputerem klienckim można tymczasowo wyłączyć wszystkie lub wybrane technologie ochrony. Można na przykład wyłączyć funkcję Ochrona przed zagrożeniami sieciowymi, jeśli aplikacja nie działa lub działa nieprawidłowo. Jeśli po wyłączeniu wszystkich technologii ochrony problem nie ustępuje, wiadomo że problem nie jest związany z klientem. Ostrzeżenie: Należy pamiętać o włączeniu wszystkich funkcji ochrony po wykonaniu zadań, które wymagały jej wyłączenia, aby zapewnić komputerowi ochronę. Tabela 3-7 przedstawia możliwe powody konieczności wyłączenia poszczególnych technologii ochrony. 43 44 Zapewnianie ochrony komputerowi Włączanie i wyłączanie systemu ochrony — informacje Tabela 3-7 Cel wyłączenia technologii ochrony Technologia ochrony Cel wyłączenia technologii ochrony Ochrona przed wirusami i programami typu spyware W razie wyłączenia tej funkcji ochrony wyłączana jest jedynie funkcja Automatyczna ochrona. Nie ma to wpływu na uruchamianie innych typów skanowań (zaplanowanych lub przy uruchamianiu) skonfigurowanych przez użytkownika lub administratora. Funkcja Automatyczna ochrona może zostać włączona albo wyłączona z następujących powodów: Funkcja Automatyczna ochrona może blokować otwarcie dokumentu. Na przykład, jeśli dokument programu Microsoft Word zawiera makro, funkcja Automatyczna ochrona może nie zezwolić na jego otwarcie. Jeśli wiadomo, że dokument jest bezpieczny, można wyłączyć funkcję Automatyczna ochrona. ■ Funkcja Automatyczna ochrona może generować ostrzeżenia o działaniach typowych dla wirusów, a które na pewno nie są wynikiem obecności wirusa. Ostrzeżenie może zostać wyświetlone na przykład podczas instalowania nowych aplikacji na komputerze. Aby uniknąć wyświetlania ostrzeżeń podczas instalowania następnych aplikacji, można tymczasowo wyłączyć funkcję Automatyczna ochrona. ■ Funkcja Automatyczna ochrona może przeszkadzać w zamianie sterownika systemu Windows. ■ Funkcja Automatyczna ochrona może spowalniać komputer kliencki. ■ Uwaga: Wskutek wyłączenia funkcji Automatyczna ochrona wyłączona zostaje funkcja Download Insight, nawet jeśli funkcja Download Insight jest włączona. Funkcja SONAR nie może również wykrywać heurystycznie zagrożeń. Wykrywanie zmian pliku hosta lub zmian w systemie przez funkcję SONAR nadal jednak działa. Patrz „Włączanie lub wyłączanie funkcji Automatyczna ochrona” na stronie 46 Jeśli funkcja Automatyczna ochrona powoduje problem z aplikacją, lepiej jest utworzyć wyjątek niż na stałe wyłączyć ochronę. Patrz „Wykluczanie elementów ze skanowań” na stronie 91 Zapobieganie zagrożeniom Funkcję Zapobieganie zagrożeniom można wyłączyć z następujących przyczyn: ■ Wyświetlanych jest zbyt wiele zbędnych ostrzeżeń o zagrożeniach. ■ Funkcja Zapobieganie zagrożeniom może spowalniać komputer kliencki. Patrz „Włączanie lub wyłączanie ochrony na komputerze klienckim” na stronie 45 Zapewnianie ochrony komputerowi Włączanie lub wyłączanie ochrony na komputerze klienckim Technologia ochrony Cel wyłączenia technologii ochrony Ochrona przed zagrożeniami sieciowymi Funkcję Ochrona przed zagrożeniami sieciowymi można wyłączyć z następujących przyczyn: ■ Instalacja aplikacji może zostać zablokowana przez zaporę. ■ Reguła zapory lub ustawienie zapory blokuje aplikację z powodu błędu administratora. Zapora lub system zapobiegania włamaniom powodują problemy związane z komunikacją sieciową. ■ Zapora może spowalniać komputer kliencki. ■ ■ Nie można otworzyć aplikacji. Patrz „Włączanie lub wyłączanie funkcji zapobiegania włamaniom” na stronie 142 Patrz „Włączanie lub wyłączanie ochrony na komputerze klienckim” na stronie 45 Jeśli nie wiadomo, czy to funkcja Ochrona przed zagrożeniami sieciowymi powoduje problem, konieczne może być wyłączenie wszystkich technologii ochrony. Na kliencie zarządzanym administrator może całkowicie zablokować funkcję Ochrona przed zagrożeniami sieciowymi, aby użytkownik nie mógł jej włączyć ani wyłączyć. Ochrona przed naruszeniem integralności Funkcji Ochrona przed naruszeniem integralności zazwyczaj nie należy wyłączać. Funkcję Ochrona przed naruszeniem integralności można tymczasowo wyłączyć, aby nie dopuścić do fałszywych alarmów. Patrz „Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed naruszeniem integralności” na stronie 48 Włączanie lub wyłączanie ochrony na komputerze klienckim Gdy dowolna z technologii ochrony jest wyłączona na kliencie: ■ Pasek stanu u góry strony Stan jest czerwony. ■ Ikona klienta jest przesłonięta uniwersalnym znakiem zakazu (czerwone kółko przecięte ukośną kreską). Ikona klienta wyświetlana jest na pasku zadań w prawym dolnym rogu pulpitu Windows jako pełna tarcza. W przypadku niektórych konfiguracji ikona ta nie jest wyświetlana. Patrz „Sposób określania, czy klient jest połączony i chroniony” na stronie 38 Na kliencie zarządzanym administrator może w dowolnej chwili włączyć każdą funkcję ochrony. Funkcje Automatyczna ochrona, Zapobieganie zagrożeniom lub Ochrona przed zagrożeniami sieciowymi można także wyłączyć w celu rozwiązywania problemów. Na kliencie zarządzanym administrator może zablokować technologię ochrony, aby użytkownik nie mógł jej wyłączyć. 45 46 Zapewnianie ochrony komputerowi Włączanie lub wyłączanie funkcji Automatyczna ochrona Patrz „Włączanie i wyłączanie systemu ochrony — informacje” na stronie 43 Patrz „Włączanie lub wyłączanie funkcji Automatyczna ochrona” na stronie 46 Aby włączyć technologie ochrony za pomocą strony Stan: ◆ Na kliencie, u góry strony Stan kliknij pozycję Napraw lub Napraw wszystko. Aby włączyć lub wyłączyć technologie ochrony za pomocą paska zadań: ◆ Na pasku zadań systemu Windows kliknij prawym przyciskiem ikonę klienta, a następnie wykonaj jedno z następujących działań: ■ Kliknij polecenie Włącz program Symantec Endpoint Protection. ■ Kliknij polecenie Wyłącz program Symantec Endpoint Protection. Aby włączyć lub wyłączyć funkcję Zapobieganie zagrożeniom lub funkcję Ochrona przed zagrożeniami sieciowymi: ◆ W programie klienckim, na stronie Stan, w obszarze Ochrona typ ochrony wykonaj jedno z następujących działań: ■ Kliknij pozycję Opcje > Włącz funkcję typ ochrony. ■ Kliknij pozycję Opcje > Wyłącz wszystkie funkcje typ ochrony. Włączanie lub wyłączanie funkcji Automatyczna ochrona Funkcję Automatyczna ochrona plików i procesów, internetowej poczty e-mail oraz aplikacji e-mail do pracy grupowej można włączać lub wyłączać. Gdy wyłączony jest dowolny typ funkcji Automatyczna ochrona, stan funkcji Ochrona przed wirusami i programami typu spyware jest wyświetlany czerwoną czcionką na stronie Stan. Gdy funkcja Automatyczna ochrona systemu plików i procesów jest włączona, po kliknięciu ikony prawym przyciskiem myszy obok polecenia Włącz funkcję Automatyczna ochrona wyświetlany jest znacznik wyboru. Patrz „Ikony alertów na stronie Stan — informacje” na stronie 16 Patrz „Włączanie i wyłączanie systemu ochrony — informacje” na stronie 43 Uwaga: Na kliencie zarządzanym administrator może zablokować funkcję Automatyczna ochrona, aby użytkownik nie mógł jej wyłączyć. Administrator może także ustawić automatyczne włączanie tymczasowo wyłączonej funkcji Automatyczna ochrona po upływie określonego czasu. Zapewnianie ochrony komputerowi Włączanie lub wyłączanie funkcji Automatyczna ochrona Jeśli nie zmieniono domyślnych ustawień opcji, funkcja Automatyczna ochrona jest ładowana przy każdym uruchomieniu komputera, zapewniając natychmiastową ochronę systemu przed wirusami i zagrożeniami bezpieczeństwa. Automatyczna ochrona sprawdza uruchomiane programy w poszukiwaniu wirusów i zagrożeń bezpieczeństwa. Monitoruje także komputer w celu wykrycia jakichkolwiek operacji, które mogłyby wskazywać na obecność wirusa lub zagrożenia bezpieczeństwa. W przypadku wykrycia wirusa, działania typowego dla wirusa (zdarzenia, które może być wynikiem działalności wirusa) lub zagrożenia bezpieczeństwa funkcja Automatyczna ochrona generuje alert. Uwaga: Wskutek wyłączenia funkcji Automatyczna ochrona wyłączona zostaje funkcja Download Insight, nawet jeśli funkcja Download Insight jest włączona. Funkcja SONAR nie może również wykrywać heurystycznie zagrożeń. ale funkcja SONAR nadal wykrywa zmiany pliku hosta i zmiany w systemie. Aby włączyć lub wyłączyć funkcję Automatyczna ochrona systemu plików: ◆ W programie klienckim na stronie Stan, obok pozycji Ochronaprzedwirusami i programami typu spyware wykonaj jedno z następujących działań: ■ Kliknij pozycję Opcje > Włącz ochronę przed wirusami i programami typu spyware. ■ Kliknij pozycję Opcje>Wyłączwszystkiefunkcjeochronyprzedwirusami i programami typu spyware. Aby włączyć lub wyłączyć funkcję Automatyczna ochrona poczty e-mail: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Ustawienia ochrony przed wirusami i programami typu spyware. 3 Wykonaj jedno z następujących działań: 4 ■ Na karcie Automatyczna ochrona poczty internetowej zaznacz lub wyczyść pole wyboru Włącz Automatyczną ochronę poczty internetowej. ■ Na karcie Automatyczna ochrona poczty Microsoft Outlook zaznacz lub wyczyść pole wyboru Włącz Automatyczną ochronę poczty Microsoft Outlook. ■ Na karcie AutomatycznaochronapocztyLotusNotes zaznacz lub wyczyść pole wyboru Włącz Automatyczną ochronę poczty Lotus Notes. Kliknij przycisk OK. 47 48 Zapewnianie ochrony komputerowi Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed naruszeniem integralności Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed naruszeniem integralności Funkcja Ochrona przed naruszeniem integralności zapewnia w czasie rzeczywistym ochronę aplikacji firmy Symantec uruchomionych na serwerach i klientach. Funkcja ta chroni zasoby produktów firmy Symantec przed zakłóceniami ze strony innych procesów, takich jak robaki, konie trojańskie, wirusy i zagrożenia bezpieczeństwa. Oprogramowanie można skonfigurować do blokowania lub rejestrowania prób modyfikowania zasobów produktów firmy Symantec. Jeżeli funkcja Ochrona przed naruszeniem integralności jest włączona, można wybrać działanie podejmowane przez nią po wykryciu próby naruszenia integralności oprogramowania firmy Symantec. Funkcja Ochrona przed naruszeniem integralności może także wyświetlać komunikat powiadamiający o próbach naruszenia integralności. Aby dostosować ten komunikat, można użyć predefiniowanych zmiennych, które funkcja Ochrona przed naruszeniem integralności zastępuje odpowiednimi informacjami. Uwaga: Na kliencie zarządzanym administrator może zablokować ustawienia funkcji Ochrona przed naruszeniem integralności. Informacje o predefiniowanych zmiennych zawiera Pomoc na karcie Ochrona integralności. Patrz „Włączanie i wyłączanie systemu ochrony — informacje” na stronie 43 Aby włączyć lub wyłączyć ochronę przed naruszeniem integralności: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Obok pozycji Zarządzanie klientami kliknij pozycję Konfiguruj ustawienia. 3 Na karcie Ochrona integralności zaznacz lub wyczyść pole wyboru Chroń oprogramowanie zabezpieczające firmy Symantec przed naruszeniem integralności lub zamknięciem. 4 Kliknij przycisk OK. Aby skonfigurować funkcję Ochrona przed naruszeniem integralności: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Obok pozycji Zarządzanie klientami kliknij pozycję Konfiguruj ustawienia. 3 Na karcie Ochrona integralności, w polu listy Działanie podejmowane, gdy aplikacja podejmuje próbę naruszenia integralności lub zamknięcia oprogramowaniazabezpieczającegofirmySymantec kliknij pozycję Zablokuj i zarejestruj zdarzenie lub Tylko zarejestruj zdarzenie. Zapewnianie ochrony komputerowi Dzienniki — informacje 4 Aby wyświetlać powiadomienia o wykryciu podejrzanego działania przez funkcję Ochrona przed naruszeniem integralności, zaznacz pole wyboru Wyświetlaj powiadomienie, gdy zostanie wykryta próba naruszenia integralności. Po włączeniu tych komunikatów użytkownikowi mogą być wyświetlanie powiadomienia o procesach systemu Windows oraz procesach programów firmy Symantec. 5 Aby dostosować wyświetlany komunikat, zaktualizuj tekst w polu komunikatu. 6 Kliknij przycisk OK. Dzienniki — informacje Dzienniki zawierają informacje o zmianach konfiguracji klienta, operacjach związanych z zabezpieczeniami i błędach. Zapisy te są zwane zdarzeniami. Dzienniki wyświetlają te zdarzenia wraz z wszelkimi powiązanymi dodatkowymi informacjami. Operacje związane z zabezpieczeniami obejmują informacje na wykryć wirusów, stanu komputera oraz jego ruchu przychodzącego i wychodzącego. Dzienniki klienta zarządzanego mogą być regularnie przekazywane do serwera zarządzania. Administrator może używać danych z dzienników do analizowania ogólnego stanu zabezpieczeń sieci. Dzienniki to ważna metoda śledzenia operacji komputera oraz jego interakcji z innymi komputerami i sieciami. Korzystając z informacji zawartych w dziennikach, można śledzić trendy związane z wirusami, zagrożeniami bezpieczeństwa komputera i atakami na komputer. Jeśli komputer jest używany przez kilka osób, można zidentyfikować osobę wprowadzającą zagrożenia, a następnie wskazać jej skuteczniejsze środki ochrony przed infekcjami. Aby uzyskać więcej informacji na temat dziennika, można nacisnąć klawisz F1 w celu wyświetlenia Pomocy dotyczącej danego dziennika. Tabela 3-8 przedstawia typy zdarzeń wyświetlanych w poszczególnych dziennikach. Tabela 3-8 Dzienniki klienta Dziennik Opis Dziennik skanowania Zawiera wpisy dotyczące skanowań przeprowadzanych na komputerze. 49 50 Zapewnianie ochrony komputerowi Dzienniki — informacje Dziennik Opis Dziennik zagrożeń Zawiera wpisy dotyczące wirusów i zagrożeń bezpieczeństwa, takich jak programy typu adware i spyware, które infekowały komputer. Zagrożenia bezpieczeństwa zawierają łącze do strony internetowej centrum Symantec Security Response zawierającej dodatkowe informacje. Patrz „Przenoszenie pliku do obszaru kwarantanny za pomocą dziennika zagrożeń lub dziennika skanowania” na stronie 96 Dziennik systemu funkcji Ochrona przed wirusami i programami typu spyware Zawiera informacje dotyczące operacji systemowych na komputerze, które są powiązane z wirusami i zagrożeniami bezpieczeństwa. Informacje te obejmują zmiany konfiguracji, błędy i dane plików definicji. Dziennik zagrożeń Zawiera informacje o zagrożeniach, które funkcja SONAR wykryła na komputerze. Funkcja SONAR wykrywa wszelkie pliki, które działają w podejrzany sposób. Funkcja SONAR wykrywa również zmiany w systemie. Dziennik systemu funkcji Zapobieganie zagrożeniom Zawiera informacje dotyczące operacji systemowych na komputerze, związane z funkcją SONAR. Dziennik ruchu Zawiera zdarzenia dotyczące ruchu sieciowego zapory i ataków systemu zapobiegania włamaniom. Dziennik zawiera informacje na temat połączeń nawiązanych z komputera przez sieć. Dzienniki funkcji Ochrona przed zagrożeniami sieciowymi ułatwiają wykrywanie niebezpiecznych operacji, takich jak skanowanie portów. Można ich również używać do wstecznego śledzenia ruchu w celu ustalenia jego źródła. Dzienniki ochrony sieci ułatwiają także rozwiązywanie problemów związanych z komunikacją lub możliwymi atakami sieciowymi. Dzienniki zawierają informacje na temat czasu i przyczyn zablokowania komputerowi dostępu do sieci. Dziennik pakietów Zawiera informacje dotyczące pakietów danych przychodzących lub wychodzących na portach komputera. Dziennik pakietów jest domyślnie wyłączony. Dziennika pakietów nie można włączyć na kliencie zarządzanym. Dziennik pakietów można włączyć na kliencie niezarządzanym. Patrz „Włączanie dziennika pakietów” na stronie 52 Zapewnianie ochrony komputerowi Wyświetlanie dzienników Dziennik Opis Dziennik kontroli Dziennik kontroli zawiera informacje dotyczące kluczy rejestru systemu Windows, plików i bibliotek DLL, do których aplikacja uzyskuje dostęp, a także aplikacji uruchamianych na komputerze. Dziennik zabezpieczeń Zawiera informacje o operacjach, które mogą narażać komputer na zagrożenie. Mogą być wyświetlane informacje na przykład o operacjach takich, jak ataki typu „odmowa obsługi”, skanowanie portów i zmiany plików wykonywalnych. Dziennik systemu funkcji Zarządzanie klientami Zawiera informacje dotyczące wszystkich wykrytych na komputerze zmian związanych z systemem operacyjnym. Zmiany mogą obejmować następujące operacje: ■ Uruchomienie lub zatrzymanie usługi ■ Wykrycie aplikacji sieciowych przez komputer ■ Konfigurowanie oprogramowania ■ Stan klienta działającego jako dostawca aktualizacji grupy Dziennik funkcji Ochrona przed naruszeniem integralności Zawiera wpisy dotyczące prób naruszenia integralności aplikacji firmy Symantec na komputerze. Wpisy te zawierają informacje na temat prób wykrytych i udaremnionych przez funkcję Ochrona integralności. Dzienniki debugowania Zawierają informacje o kliencie, skanowaniach i zaporze używane do celów rozwiązywania problemów. Administrator może poprosić użytkownika o włączenie lub skonfigurowanie dzienników, a następnie ich wyeksportowanie. Patrz „Wyświetlanie dzienników” na stronie 51 Wyświetlanie dzienników Dzienniki znajdujące się na komputerze można wyświetlać, aby sprawdzić szczegóły zdarzeń. Uwaga: Jeśli nie jest zainstalowana funkcja Ochrona przed zagrożeniami sieciowymi lub Kontrola dostępu do sieci, nie można wyświetlić dziennika zabezpieczeń, dziennika systemu lub dziennika kontroli. Aby wyświetlić dziennik: 1 W oknie głównym kliknij pozycję Wyświetl dzienniki na pasku bocznym. 2 Kliknij pozycję Wyświetl dzienniki obok jednej z następujących pozycji: 51 52 Zapewnianie ochrony komputerowi Śledzenie wsteczne zarejestrowanych zdarzeń do ich źródła ■ Ochrona przed wirusami i programami typu spyware ■ Zapobieganie zagrożeniom ■ Ochrona przed zagrożeniami sieciowymi ■ Zarządzanie klientami ■ Kontrola dostępu do sieci Niektóre pozycje mogą nie być wyświetlane, w zależności od danej instalacji. 3 W menu rozwijanym wybierz dziennik, który chcesz wyświetlić. Patrz „Dzienniki — informacje” na stronie 49 Włączanie dziennika pakietów Wszystkie dzienniki funkcji Ochrona przed zagrożeniami sieciowymi oraz Zarządzanie klientami są włączone domyślnie, oprócz dziennika pakietów. Na klientach niezarządzanych można włączać i wyłączać dziennik pakietów. Na klientach zarządzanych administrator może zezwolić na włączanie lub wyłączanie dziennika pakietów. Patrz „Dzienniki — informacje” na stronie 49 Aby włączyć dziennik pakietów: 1 W kliencie, na stronie Stan, z prawej strony pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje, a następnie kliknij pozycję Zmień ustawienia. 2 W oknie dialogowym Ustawienia ochrony przed zagrożeniami sieciowymi kliknij pozycję Dzienniki. 3 Zaznacz opcję Włącz dziennik pakietów. 4 Kliknij przycisk OK. Śledzenie wsteczne zarejestrowanych zdarzeń do ich źródła Możliwe jest przeprowadzenie śledzenia wstecznego niektórych zarejestrowanych zdarzeń aż do źródła danych z nimi związanych. Mechanizm śledzenia wstecznego wskazuje dokładne kroki, lub inaczej przeskoki, na drodze ruchu przychodzącego. Przeskok jest to punkt przejścia, taki jak router, pokonywany przez pakiet danych na drodze między komputerami w Internecie. Mechanizm śledzenia wstecznego odtwarza ścieżkę pakietu danych, ustalając routery na drodze tego pakietu do komputera użytkownika. Zapewnianie ochrony komputerowi Eksportowanie danych dziennika Patrz „Dzienniki — informacje” na stronie 49 W przypadku niektórych wpisów dziennika można przeprowadzić śledzenie pakietu danych użytego przy próbie ataku. Każdy router na drodze pakietu danych ma ustalony adres IP. Użytkownik może wyświetlić ten adres IP i inne szczegóły. Wyświetlane informacje nie gwarantują ustalenia prawdziwej tożsamości hakera. Adres IP ostatniego przeskoku wskazuje właściciela routera, za pośrednictwem którego hakerzy nawiązali połączenie i nie musi identyfikować samych hakerów. Użytkownik może przeprowadzić śledzenie wsteczne niektórych zdarzeń zarejestrowanych w dzienniku zabezpieczeń i dzienniku ruchu. Aby przeprowadzić śledzenie wsteczne zarejestrowanego zdarzenia: 1 W programie klienckim kliknij pozycję Wyświetl dzienniki na pasku bocznym. 2 Po prawej stronie pozycji Ochrona przed zagrożeniami sieciowymi lub Zarządzanie klientami kliknij pozycję Wyświetl dzienniki. Następnie kliknij dziennik zawierający wpis, który chcesz prześledzić. 3 W oknie widoku dziennika wybierz wiersz zawierający wpis, który chcesz prześledzić. 4 Kliknij pozycję Działanie, a następnie kliknij pozycję Śledzenie wsteczne. 5 W oknie dialogowym Informacje o śledzeniu wstecznym kliknij pozycję Who is > >, aby wyświetlić szczegółowe informacje o każdym przeskoku. Na panelu rozwijanym wyświetlone zostaną informacje o właścicielu adresu IP, z którego pochodzi śledzone zdarzenie ruchu. Używając kombinacji klawiszy Ctrl+C i Ctrl+V, można wyciąć informacje z panelu i wkleić je w wiadomości e-mail do administratora. 6 Kliknij ponownie pozycję Who is <<, aby ukryć informacje szczegółowe. 7 Po zakończeniu kliknij przycisk OK. Eksportowanie danych dziennika Informacje z niektórych dzienników można wyeksportować do pliku wartości rozdzielanych przecinkami (.csv) lub pliku bazy danych programu Access (.mdb). Format .csv to popularny format plików używany do importowania danych przez większość arkuszy kalkulacyjnych i baz danych. Dane te można wykorzystać w innym programie do utworzenia prezentacji i wykresów lub połączenia z innymi informacjami. Informacje z dzienników funkcji Ochrona przed zagrożeniami sieciowymi i Zarządzanie klientami można wyeksportować do plików wartości rozdzielanych tabulatorami. Patrz „Dzienniki — informacje” na stronie 49 53 54 Zapewnianie ochrony komputerowi Eksportowanie danych dziennika Uwaga: Jeśli oprogramowanie klienckie działa w instalacji Server Core systemu Windows Server 2008, nie można wyeksportować danych dziennika do pliku .mdb. Format .mdb wymaga aplikacji firmy Microsoft niedostępnych w instalacji Server Core. Do pliku .csv lub .mdb można wyeksportować następujące dzienniki: ■ Dziennik systemu funkcji Ochrona przed wirusami i programami typu spyware ■ Dziennik zagrożeń funkcji Ochrona przed wirusami i programami typu spyware ■ Dziennik skanowania funkcji Ochrona przed wirusami i programami typu spyware ■ Dziennik systemu funkcji Zapobieganie zagrożeniom ■ Dziennik zagrożeń funkcji Zapobieganie zagrożeniom ■ Dziennik funkcji Ochrona przed naruszeniem integralności Uwaga: Po zastosowaniu jakiegokolwiek filtrowania danych dziennika wyeksportowane zostaną tylko dane zgodne z aktualnym filtrem. Ograniczenie to nie dotyczy dzienników eksportowanych do pliku wartości rozdzielanych tabulatorami. W takim przypadku eksportowane są wszystkie dane zawarte w tych dziennikach. Do pliku wartości rozdzielanych tabulatorami z rozszerzeniem .txt można wyeksportować następujące dzienniki: ■ Dziennik kontroli funkcji Zarządzanie klientami ■ Dziennik zabezpieczeń funkcji Zarządzanie klientami ■ Dziennik systemu funkcji Zarządzanie klientami ■ Dziennik pakietów funkcji Ochrona przed zagrożeniami sieciowymi ■ Dziennik ruchu funkcji Ochrona przed zagrożeniami sieciowymi Uwaga: Oprócz pliku tekstowego wartości rozdzielanymi tabulatorami można także wyeksportować dane z dziennika pakietów w formacie monitora sieci lub formacie NetXray. W instalacji Server Core systemu Windows Server 2008 okna dialogowe interfejsu użytkownika mogą różnić się od okien dialogowych opisanych w tych procedurach. Zapewnianie ochrony komputerowi Eksportowanie danych dziennika Aby wyeksportować dane do pliku .csv: 1 W programie klienckim kliknij pozycję Wyświetl dzienniki na pasku bocznym. 2 Obok pozycji Ochrona przed wirusami i programami typu spyware lub Zapobieganie zagrożeniom kliknij pozycję Wyświetl dzienniki. 3 Kliknij nazwę żądanego dziennika. 4 W oknie dziennika sprawdź, czy wyświetlane są dane, które chcesz zapisać, a następnie kliknij pozycję Eksportuj. 5 Na liście rozwijanej Zapisz w przejdź do katalogu, w którym chcesz zapisać plik. 6 W polu tekstowym Nazwa pliku wpisz żądaną nazwę pliku. 7 Kliknij przycisk Zapisz. 8 Kliknij przycisk OK. Aby wyeksportować dane dzienników funkcji Ochrona przed zagrożeniami sieciowymi lub Zarządzanie klientami do pliku tekstowego: 1 W programie klienckim kliknij pozycję Wyświetl dzienniki na pasku bocznym. 2 Po prawej stronie pozycji Ochrona przed zagrożeniami sieciowymi lub Zarządzanie klientami kliknij pozycję Wyświetl dzienniki. 3 Kliknij nazwę dziennika, z którego chcesz wyeksportować dane. 4 Kliknij menu Plik > Eksportuj. Jeżeli wybrany został dziennik pakietów, można zamiast tego kliknąć polecenie Eksportuj do formatu monitora sieci lub Eksportuj do formatu Netxray. 5 Na liście rozwijanej Zapisz w przejdź do katalogu, w którym chcesz zapisać plik. 6 W polu tekstowym Nazwa pliku wpisz żądaną nazwę pliku. 7 Kliknij przycisk Zapisz. 8 Kliknij pozycję Plik > Zakończ. 55 56 Zapewnianie ochrony komputerowi Eksportowanie danych dziennika Rozdział 4 Zarządzanie skanowaniami Ten rozdział obejmuje następujące zagadnienia: ■ Zarządzanie skanowaniami na komputerze ■ Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware ■ Planowanie skanowania zdefiniowanego przez użytkownika ■ Planowanie uruchamiania skanowania na żądanie lub przy uruchomieniu komputera ■ Zarządzanie wykryciami funkcji Download Insight na komputerze ■ Dostosowanie ustawień funkcji Download Insight ■ Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware ■ Konfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnego oprogramowania i zagrożeń bezpieczeństwa ■ Wykluczanie elementów ze skanowań — informacje ■ Wykluczanie elementów ze skanowań ■ Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim ■ Przesyłanie informacji o wykryciach do centrum Symantec Security Response — informacje ■ Przesyłanie informacji o wykryciach do centrum Symantec Security Response ■ Klient i Centrum zabezpieczeń systemu Windows — informacje ■ Zarządzanie funkcją SONAR na komputerze klienckim 58 Zarządzanie skanowaniami Zarządzanie skanowaniami na komputerze Zarządzanie skanowaniami na komputerze Klient zarządzany domyślnie uruchamia skanowanie aktywne codziennie o 12:30. Klient niezarządzany jest instalowany z wyłączonym wstępnie ustawionym skanowaniem aktywnym. Użytkownik klienta niezarządzanego może zarządzać swoimi skanowaniami. Na kliencie zarządzanym użytkownik może konfigurować swoje skanowania, o ile administrator udostępnił te ustawienia. Tabela 4-1 Zarządzanie skanowaniami Krok Opis Zapoznanie się ze sposobem działania skanowań Należy sprawdzić typy skanowań oraz typy wirusów i zagrożeń bezpieczeństwa. Aktualizacja definicji wirusów Należy się upewnić, że na komputerze zainstalowane są najnowsze definicje wirusów. Patrz „Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware” na stronie 64 Patrz „Aktualizowanie systemu ochrony komputera” na stronie 36 Sprawdzenie, czy funkcja Funkcja Automatyczna ochrona jest domyślnie włączona. Automatyczna ochrona Funkcja Automatyczna ochrona powinna być zawsze włączona. jest włączona Wskutek wyłączenia funkcji Automatyczna ochrona wyłączona zostaje funkcja Download Insight, a funkcja SONAR nie może wykonywać wykrywania heurystycznego. Patrz „Włączanie lub wyłączanie funkcji Automatyczna ochrona” na stronie 46 Skanowanie komputera Komputer należy regularnie skanować w poszukiwaniu wirusów i zagrożeń bezpieczeństwa. Należy się upewnić, że skanowania są przeprowadzane regularnie, sprawdzając datę ostatniego skanowania. Patrz „Natychmiastowe skanowanie komputera” na stronie 16 Patrz „Planowanie skanowania zdefiniowanego przez użytkownika” na stronie 75 Zarządzanie skanowaniami Zarządzanie skanowaniami na komputerze Krok Opis Wstrzymywanie lub odraczanie skanowań Podczas skanowań na żądanie, zaplanowanych, przy uruchomieniu oraz zdefiniowanych przez użytkownika program Symantec Endpoint Protection domyślnie wyświetla okno dialogowe przedstawiające postęp skanowania. Ponadto funkcja Automatyczna ochrona może wyświetlać okno dialogowe wyników skanowania, gdy wykryty zostanie wirus lub zagrożenie bezpieczeństwa. Powiadomienia te można wyłączyć. Funkcja wstrzymania umożliwia zatrzymanie skanowania w dowolnej chwili i wznowienie go w późniejszym czasie. Można wstrzymywać wszystkie skanowania zainicjowane przez użytkownika. W sieci zarządzanej administrator określa, czy użytkownik może wstrzymywać skanowania inicjowane przez administratora. Jeśli opcja Wstrzymaj skanowanie jest niedostępna, to znaczy, że administrator wyłączył funkcję wstrzymywania. Jeśli administrator włączył funkcję odraczania, użytkownik może na określony czas odraczać wykonanie skanowań zaplanowanych przez administratora. Wznowione skanowanie rozpoczyna się od miejsca, w którym zostało przerwane. Uwaga: W przypadku wstrzymania skanowania w chwili, gdy klient skanuje plik skompresowany, klient może zareagować na żądanie wstrzymania dopiero po kilku minutach. Patrz „Wstrzymywanie i odraczanie skanowań” na stronie 18 59 60 Zarządzanie skanowaniami Zarządzanie skanowaniami na komputerze Krok Opis Interakcja z wynikami skanowania Gdy uruchomione jest skanowanie, wyświetlane może być okno dialogowe z wynikami skanowania. Za pomocą okna dialogowego z wynikami skanowania można wykonać działania wobec elementów wykrytych przez skanowanie. W sieci zarządzanej okno dialogowe postępu skanowania może nie być wyświetlane podczas skanowań inicjowanych przez administratora. Administrator może wyłączyć opcję wyświetlania wyników w przypadku wykrycia wirusa lub zagrożenia bezpieczeństwa przez klienta. W niektórych przypadkach administrator może zezwolić użytkownikowi na wyświetlanie wyników skanowania, ale nie na wstrzymanie ani wznawianie skanowania. Uwaga: W używanej wersji językowej systemu operacyjnego niektóre znaki w nazwach wirusów wyświetlanych w oknie dialogowym wyników skanowania mogą nie być interpretowane poprawnie. Jeśli system operacyjny nie może zinterpretować znaków, wyświetlane są one w powiadomieniach jako znaki zapytania. Na przykład nazwy niektórych wirusów mogą zawierać dwubajtowe znaki Unicode. Na komputerach klienckich z systemem operacyjnym w wersji angielskiej znaki te są wyświetlane jako znaki zapytania. Patrz „Reagowanie na wykrycie wirusa lub zagrożenia” na stronie 24 Zarządzanie skanowaniami Zarządzanie skanowaniami na komputerze Krok Opis Dostosowanie skanowań Domyślnie program Symantec Endpoint Protection zapewnia w celu zwiększenia wysoki poziom zabezpieczeń, zarazem minimalizując wydajności komputera niekorzystny wpływ na wydajność komputera. Ustawienia można dostosować, aby dodatkowo zwiększyć wydajność komputera. W przypadku skanowań zaplanowanych i na żądanie można zmienić następujące opcje: Optymalizacja skanowania Można ustawić opcję optymalizacji skanowania Najwyższa wydajność aplikacji. ■ Pliki skompresowane Można zmienić liczbę poziomów skanowania plików skompresowanych. ■ Wznawiane skanowania Można określić maksymalną długość czasu skanowania. Skanowanie będzie wznawiane podczas bezczynności komputera. ■ Skanowania w terminach losowych Można określić losowy czas uruchamiania skanowania w określonym przedziale czasu. ■ Można również wyłączyć skanowania przy uruchamianiu lub zmienić harmonogram skanowań zaplanowanych. Patrz „Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware” na stronie 84 Patrz „Planowanie skanowania zdefiniowanego przez użytkownika” na stronie 75 61 62 Zarządzanie skanowaniami Zarządzanie skanowaniami na komputerze Krok Opis Dostosowanie skanowań W większości przypadków domyślne ustawienia skanowania w celu zwiększenia zapewniają wystarczającą ochronę komputera. W niektórych ochrony komputera przypadkach może być konieczne zwiększenie ochrony. Zwiększenie ochrony może mieć negatywny wpływ na wydajność komputera. W przypadku skanowań zaplanowanych i na żądanie można zmienić następujące opcje: Wydajność skanowania Można ustawić opcję optymalizacji skanowania Najwyższa wydajność skanowania. ■ Działania skanowania Zmienić działania naprawcze wykonywane po wykryciu wirusa. ■ Czas trwania skanowania Domyślnie skanowania zaplanowane są uruchamiane do końca określonego przedziału czasu, a następnie wznawiane, gdy komputer kliencki jest bezczynny. Użytkownik może ustawić czas trwania skanowania Skanowanie aż do zakończenia. ■ Wyszukiwanie Insight Funkcja Wyszukiwanie Insight używa najnowszego zestawu definicji do skanowania i podejmowania decyzji dotyczących plików. Stosuje również technologię oceny reputacji firmy Symantec. Funkcja Wyszukiwanie Insight powinna być włączona. Ustawienia funkcji Wyszukiwanie Insight są podobne do ustawień funkcji Download Insight. ■ Można także podwyższyć poziom ochrony przy użyciu technologii Bloodhound. Technologia Bloodhound wydziela i izoluje logiczne obszary pliku w celu wykrywania sposobu działania typowego dla wirusów. Automatyczny poziom wykrywania można zmienić na Agresywny, aby podwyższyć poziom ochrony na komputerze. Ustawienie Agresywny skutkuje jednak zazwyczaj większą liczbą fałszywych alarmów. Patrz „Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware” na stronie 84 Zarządzanie skanowaniami Zarządzanie skanowaniami na komputerze Krok Opis Modyfikacja ustawień Można zmienić następujące opcje funkcji Automatyczna funkcji Automatyczna ochrona: ochrona w celu ■ Pamięć podręczna plików zwiększenia wydajności Pamięć podręczna plików powinna być włączona (ustawienie komputera lub domyślne). Gdy pamięć podręczna plików jest włączona, zwiększenia ochrony funkcja Automatyczna ochrona zapamiętuje przeskanowane, niezainfekowane pliki i nie skanuje ich ponownie. ■ Ustawienia sieci Gdy funkcja Automatyczna ochrona na komputerach zdalnych jest włączona, opcja Tylko wówczas, gdy pliki są wykonywane powinna być włączona. ■ Można również określić, że funkcja Automatyczna ochrona ufa plikom na komputerach zdalnych i używa pamięci podręcznej sieci. Automatyczna ochrona domyślnie skanuje pliki podczas ich zapisywania z komputera użytkownika na komputerze zdalnym. Automatyczna ochrona skanuje także pliki podczas ich zapisywania z komputera zdalnego na komputerze użytkownika. Pamięć podręczna sieci przechowuje rejestr plików, które Automatyczna ochrona przeskanowała z komputera zdalnego. Używając pamięci podręcznej sieci, zapobiega się skanowaniu przez funkcję Automatyczna ochrona tego samego pliku więcej niż raz. Patrz „Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware” na stronie 84 Zarządzanie wykryciami Funkcja Download Insight sprawdza pliki, które użytkownik funkcji Download Insight próbuje pobrać za pomocą przeglądarek internetowych i komunikatorów internetowych oraz innych portali. Funkcja Download Insight stosuje informacje o reputacji z usługi Symantec Insight w celu podejmowania decyzji dotyczących plików. Patrz „Zarządzanie wykryciami funkcji Download Insight na komputerze” na stronie 80 Zarządzanie funkcją SONAR Funkcja SONAR jest częścią funkcji Zapobieganie zagrożeniom. Identyfikacja wyjątków skanowania Należy wykluczyć ze skanowania bezpieczne pliki lub procesy. Patrz „Zarządzanie funkcją SONAR na komputerze klienckim” na stronie 102 Patrz „Wykluczanie elementów ze skanowań” na stronie 91 63 64 Zarządzanie skanowaniami Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware Krok Opis Przesyłanie informacji o Domyślnie komputer kliencki wysyła informacje o wykryciach wykryciach do firmy do centrum Symantec Security Response. Można wyłączyć Symantec wysyłki lub wybrać rodzaje przesyłanych informacji. Firma Symantec zaleca niewyłączanie wysyłek. Informacje te ułatwiają firmie Symantec eliminowanie zagrożeń. Patrz „Przesyłanie informacji o wykryciach do centrum Symantec Security Response” na stronie 99 Zarządzanie plikami poddanymi kwarantannie Program Symantec Endpoint Protection poddaje zainfekowane pliki kwarantannie i przenosi je do lokalizacji, z której nie mogą infekować innych plików na komputerze. Jeśli pliku poddanego kwarantannie nie można naprawić, użytkownik musi podjąć decyzję, co zrobić z plikiem. Można także wykonać następujące działania: Usunięcie pliku poddanego kwarantannie, jeśli dostępna jest kopia zapasowa pliku lub plik zastępczy z zaufanego źródła. ■ Pozostawienie plików z nieznanymi infekcjami w obszarze kwarantanny, dopóki firma Symantec nie wyda nowych definicji wirusów. ■ Co pewien czas należy sprawdzić pliki poddane kwarantannie, aby nie dopuścić do nagromadzenia dużej liczby plików. Pliki poddane kwarantannie należy sprawdzać, gdy w sieci pojawi się nowa infekcja wirusowa. ■ Patrz „Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim” na stronie 93 Patrz „Poddawanie plików kwarantannie — informacje” na stronie 95 Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware Skanowania w poszukiwaniu wirusów i zagrożeń bezpieczeństwa identyfikują i neutralizują lub eliminują wirusy i zagrożenia bezpieczeństwa znalezione na komputerach. Skanowanie eliminuje wirusa lub zagrożenie, stosując następujący proces: ■ Mechanizm skanowania przeszukuje pliki i inne składniki na komputerze w poszukiwaniu śladów wirusów. Każdy wirus zawiera rozpoznawalny wzorzec, zwany sygnaturą. Na kliencie zainstalowany jest plik definicji wirusów Zarządzanie skanowaniami Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware zawierający znane sygnatury wirusów bez ich destrukcyjnego kodu. Mechanizm skanowania porównuje każdy plik lub składnik z plikiem definicji wirusów. Jeśli mechanizm skanowania znajdzie dopasowanie, plik jest zainfekowany. ■ Mechanizm skanowania używa plików definicji w celu ustalenia, czy doszło do infekcji wirusem lub zagrożeniem. Następnie mechanizm skanowania podejmuje działanie naprawcze wobec zainfekowanego pliku. W celu naprawy zainfekowanego pliku klient oczyszcza lub usuwa plik albo poddaje go kwarantannie. Patrz „Sposób reakcji skanowań na wykrycie wirusa lub zagrożenia” na stronie 73 Tabela 4-2 przedstawia obszary komputera skanowane przez klienta. Tabela 4-2 Obszary komputera skanowane przez klienta Składnik Opis Wybrane pliki Klient skanuje wybrane pliki. W większości typów skanowania żądane pliki wybiera użytkownik. Oprogramowanie klienckie stosuje skanowanie oparte na wzorcach w celu wyszukania w plikach oznak wirusów. Oznaki wirusów zwane są wzorcami lub sygnaturami. W celu identyfikacji wirusa każdy plik jest porównywany z nieszkodliwymi sygnaturami zawartymi w pliku definicji wirusów. Jeśli wirus zostanie wykryty, klient domyślnie próbuje go usunąć z zainfekowanego pliku. Jeśli usunięcie okaże się niemożliwe, klient poddaje plik kwarantannie w celu uniemożliwienia dalszego infekowania komputera. Klient stosuje również skanowanie oparte na wzorcach w celu wyszukiwania oznak zagrożeń bezpieczeństwa w plikach i kluczach rejestru systemu Windows. W razie znalezienie zagrożenia bezpieczeństwa klient domyślnie poddaje zainfekowane pliki kwarantannie i usuwa skutki działania zagrożenia. Jeśli jest to niemożliwe, klient rejestruje próbę. Pamięć RAM Klient przeszukuje pamięć komputera. Każdy wirus plików, wirus sektora rozruchowego lub wirus makr może być wirusem rezydującym w pamięci. Wirusy rezydentne kopiują się do pamięci komputera. W pamięci mogą pozostać ukryte, dopóki nie nastąpi uaktywniające je zdarzenie. Następnie wirus może przenieść się na dyskietkę znajdującą się w napędzie lub na dysk twardy. Wirusa znajdującego się w pamięci nie można usunąć. Można jednak usunąć wirusa z pamięci, ponownie uruchamiając komputer w odpowiedzi na wyświetlony monit. 65 66 Zarządzanie skanowaniami Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware Składnik Opis Sektor rozruchowy Klient sprawdza sektor rozruchowy komputera w poszukiwaniu wirusów. Sprawdzane są dwa elementy: tablice partycji i główny rekord rozruchowy. Dyskietki Wirusy często rozprzestrzeniają się na dyskietkach. Dyskietka może pozostać w napędzie podczas uruchamiania lub wyłączania komputera. Gdy uruchomione zostaje skanowanie, klient przeszukuje sektor rozruchowy i tabele partycji dyskietki znajdującej się w napędzie. Podczas wyłączania komputera wyświetlany jest monit o wyjęcie dyskietki w celu zapobieżenia ewentualnej infekcji. Typy skanowań — informacje Program Symantec Endpoint Protection oferuje różne typy skanowań w celu zapewnienia ochrony przed różnymi typami wirusów i zagrożeń. Domyślnie program Symantec Endpoint Protection uruchamia skanowanie aktywne codziennie o 12:30. Program Symantec Endpoint Protection uruchamia skanowanie aktywne również po nadejściu nowych definicji na komputer kliencki. Na komputerach niezarządzanych program Symantec Endpoint Protection oferuje również (wyłączoną) opcję domyślnego skanowania przy uruchamianiu. Na klientach niezarządzanych należy codziennie uruchamiać na komputerze skanowanie aktywne. W przypadku podejrzenia, że na komputerze znajduje się nieaktywne zagrożenie, można zaplanować uruchamianie skanowania pełnego raz w tygodniu lub raz w miesiącu. Skanowania pełne bardziej obciążają zasoby komputera i mogą obniżyć wydajność komputera. Patrz „Zarządzanie skanowaniami na komputerze” na stronie 58 Tabela 4-3 Typy skanowania Typ skanowania Opis Automatyczna ochrona Funkcja Automatyczna ochrona nieustannie analizuje pliki i dane wiadomości e-mail podczas ich zapisywania lub odczytu na komputerze. Funkcja Automatyczna ochrona automatycznie neutralizuje lub eliminuje wykryte wirusy i zagrożenia bezpieczeństwa. Funkcja Automatyczna ochrona chroni również wysyłane i odbierane wiadomości e-mail. Patrz „Typy funkcji Automatyczna ochrona — informacje” na stronie 68 Zarządzanie skanowaniami Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware Typ skanowania Opis Download Insight Funkcja Download Insight zwiększa ochronę zapewnianą przez funkcję Automatyczna ochrona, sprawdzając pliki, które użytkownicy próbują pobrać za pomocą przeglądarek i innych portali. Funkcja Download Insight używa danych o reputacji w celu podejmowania decyzji dotyczących plików. Wynik reputacji plików jest określany przez technologię firmy Symantec o nazwie Insight. Usługa Insight analizuje nie tylko źródło pliku, lecz również jego kontekst. Usługa Insight zapewnia ocenę bezpieczeństwa, którą funkcja Download Insight stosuje w celu podjęcia decyzji dotyczących plików. Funkcja Download Insight jest częścią funkcji Automatyczna ochrona i wymaga, aby funkcja Automatyczna ochrona była włączona. Wskutek wyłączenia funkcji Automatyczna ochrona wyłączona zostaje funkcja Download Insight, nawet jeśli funkcja Download Insight jest włączona. Patrz „Sposób stosowania danych o reputacji w celu podejmowania decyzji dotyczących plików przez program Symantec Endpoint Protection” na stronie 74 67 68 Zarządzanie skanowaniami Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware Typ skanowania Opis Skanowania administratora i skanowania zdefiniowane przez użytkownika Dla klientów zarządzanych administrator może tworzyć skanowania zaplanowane lub uruchamiać skanowania na żądanie. W przypadku klientów niezarządzanych lub klientów zarządzanych z odblokowanymi ustawieniami skanowania użytkownicy mogą tworzyć i uruchamiać własne skanowania. Skanowania zdefiniowane przez administratora lub użytkownika wykrywają wirusy i zagrożenia bezpieczeństwa, analizując wszystkie pliki oraz procesy na komputerze klienckim. Te typy skanowania mogą również sprawdzać pamięć i punkty ładowania. Dostępne są następujące typy skanowań zdefiniowanych przez administratora lub użytkownika: Skanowania zaplanowane Skanowanie zaplanowane jest uruchamiane na komputerach klienckich w wyznaczonych terminach. Skanowania zaplanowane na ten sam termin są uruchamiane po kolei. Jeśli podczas skanowania zaplanowanego komputer będzie wyłączony, skanowanie nie zostanie wykonane, chyba że jest skonfigurowane do ponawiania w razie pominięcia. Można zaplanować skanowanie aktywne, pełne lub niestandardowe. Skonfigurowane ustawienia skanowania zaplanowanego można zapisać jako szablon. Dowolnych ustawień skanowania zapisanych jako szablon można użyć jako podstawy innego skanowania. Szablony skanowań pozwalają oszczędzić czas podczas konfigurowania wielu zasad. Szablon skanowania zaplanowanego jest domyślnie uwzględniony w zasadzie. Domyślne skanowanie zaplanowane obejmuje wszystkie pliki i katalogi. ■ Skanowania przy uruchomieniu i skanowania wyzwalane zdarzeniami Skanowania przy uruchomieniu są uruchamiane po każdym zalogowaniu użytkowników na komputerach. Skanowania wyzwalane zdarzeniami są uruchamiane po pobraniu nowych definicji wirusów na komputery. ■ Skanowania na żądanie Skanowanie na żądanie to skanowania uruchamiane ręcznie przez użytkownika. Skanowania na żądanie można uruchomić ze strony Skanowanie w poszukiwaniu zagrożeń. ■ SONAR Funkcja SONAR która oferuje ochronę w czasie rzeczywistym przeciw nowym atakom. Funkcja SONAR może powstrzymać ataki, zanim tradycyjne metody oparte na definicjach i sygnaturach umożliwią wykrywanie zagrożenia. Funkcja SONAR stosuje również analizę heurystyczną oraz dane o reputacji w celu podejmowania decyzji dotyczących plików. Podobnie jak prewencyjne skanowania w poszukiwaniu zagrożeń, funkcja SONAR wykrywa programy rejestrujące naciśnięcia klawiszy, programy typu spyware i wszelkie inne aplikacje destrukcyjne faktycznie lub potencjalnie. Typy funkcji Automatyczna ochrona — informacje Funkcja Automatyczna ochrona skanuje pliki oraz określone typy wiadomości e-mail i załączników do wiadomości e-mail. Zarządzanie skanowaniami Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware Jeśli na komputerze klienckim stosowane są inne produkty zabezpieczające pocztę e-mail, takie jak program Symantec Mail Security, włączenie funkcji Automatyczna ochrona poczty elektronicznej może być zbędne. Automatyczna ochrona współpracuje tylko z obsługiwanymi klientami pocztowymi. Nie działa na serwerach pocztowych. Uwaga: W razie wykrycia wirusa otwieranie wiadomości e-mail może zająć kilka sekund, gdyż funkcja Automatyczna ochrona musi ukończyć jej skanowanie. Tabela 4-4 Typy funkcji Automatyczna ochrona Typ funkcji Automatyczna ochrona Opis Automatyczna ochrona Nieustannie skanuje pliki podczas ich odczytu lub zapisu na komputerze Funkcja Automatyczna ochrona jest domyślnie włączona dla systemu plików. Ładowana jest przy uruchomieniu systemu komputera. Sprawdza wszystkie pliki w poszukiwaniu wirusów i zagrożeń bezpieczeństwa oraz blokuje instalację zagrożeń bezpieczeństwa. Może opcjonalnie skanować pliki według rozszerzeń, skanować pliki na komputerach zdalnych i skanować dyskietki w poszukiwaniu wirusów rekordu rozruchowego. Opcjonalnie może tworzyć kopie zapasowe plików przed podjęciem próby ich naprawy oraz wymuszać zakończenie procesów i zatrzymanie usług. Funkcję Automatyczna ochrona można skonfigurować do skanowania jedynie plików o wybranych rozszerzeniach. Jeżeli skanowane mają być wybrane rozszerzenia plików, funkcja Automatyczna ochrona potrafi ustalić typ pliku, nawet jeżeli wirus zmieni jego rozszerzenie. Jeśli nie jest uruchomiona Automatyczna ochrona poczty elektronicznej, ale włączona jest funkcja Automatyczna ochrona, komputery klienckie są nadal chronione. Większość aplikacji pocztowych zapisuje załączniki wiadomości e-mail w katalogu tymczasowym, gdy użytkownicy uruchamiają załączniki. Funkcja Automatyczna ochrona skanuje plik podczas jego zapisu w katalogu tymczasowym i wykrywa wszelkie wirusy lub zagrożenia bezpieczeństwa. Wirus zostanie również wykryty przez funkcję Automatyczna ochrona, jeżeli użytkownik będzie próbował zapisać zainfekowany załącznik na dysku lokalnym lub sieciowym. 69 70 Zarządzanie skanowaniami Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware Typ funkcji Automatyczna ochrona Opis Automatyczna ochrona internetowej poczty e-mail Skanuje pocztę internetową (POP3 lub SMTP) i załączniki w poszukiwaniu wirusów i zagrożeń bezpieczeństwa, a także przeprowadza skanowanie heurystyczne poczty wychodzącej. Automatyczna ochrona internetowej poczty e-mail domyślnie obsługuje szyfrowane hasła i wiadomości przesyłane przez połączenia protokołów POP3 i SMTP. Jeżeli używane są protokoły POP3 i SMTP z warstwą SSL (Secure Sockets Layer), klient wykrywa połączenia zabezpieczone, ale nie skanuje szyfrowanych wiadomości. Uwaga: Z powodu negatywnego wpływu na wydajność Automatyczna ochrona internetowej poczty e-mail dla połączeń POP3 nie jest obsługiwana w systemach operacyjnych dla serwerów. Skanowanie internetowej poczty e-mail nie jest także obsługiwane na komputerach 64-bitowych. Skanowanie poczty elektronicznej nie obsługuje usług IMAP, AOL ani HTTP, takich jak Hotmail lub Yahoo! Mail. Automatyczna ochrona poczty Microsoft Outlook Skanuje wiadomości e-mail w programie Microsoft Outlook (MAPI i Internet) oraz załączniki w poszukiwaniu wirusów i zagrożeń bezpieczeństwa Obsługiwana w programie Microsoft Outlook 98/2000/2002/2003/2007/2010 (MAPI i Internet) Jeżeli program Microsoft Outlook jest już zainstalowany na komputerze podczas instalacji oprogramowania klienckiego, aplikacja pocztowa zostanie wykryta przez oprogramowanie klienckie. Klient automatycznie zainstaluje funkcję Automatyczna ochrona poczty Microsoft Outlook. W razie używania programu Microsoft Outlook z interfejsem MAPI albo klienta Microsoft Exchange, gdy funkcja Automatyczna ochrona jest włączona dla wiadomości e-mail, załączniki są pobierane natychmiast. Załączniki są skanowane podczas ich otwierania. Jeżeli za pomocą wolnego połączenia pobierany jest duży załącznik, wpływa to negatywnie na szybkość działania poczty. Funkcję tę można wyłączyć, jeżeli często odbierane są załączniki o dużych rozmiarach. Uwaga: Na serwerach Microsoft Exchange nie należy instalować składnika Automatyczna ochrona poczty Microsoft Outlook. Automatyczna ochrona poczty Lotus Notes Skanuje wiadomości e-mail w programie Lotus Notes oraz załączniki w poszukiwaniu wirusów i zagrożeń bezpieczeństwa Obsługiwana w programie Lotus Notes 4.5x, 4.6, 5.0 i 6.x Jeżeli program Lotus Notes jest już zainstalowany na komputerze podczas instalacji oprogramowania klienckiego, aplikacja pocztowa zostanie wykryta przez oprogramowanie klienckie. Klient automatycznie zainstaluje funkcję Automatyczna ochrona poczty Lotus Notes. Zarządzanie skanowaniami Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware Wirusy i zagrożenia bezpieczeństwa — informacje Program Symantec Endpoint Protection przeprowadza skanowania w poszukiwaniu zarówno wirusów, jak i zagrożeń bezpieczeństwa. Zagrożenia bezpieczeństwa to programy typu spyware, adware i narzędzia typu rootkit oraz inne pliki, które mogą zagrażać komputerowi lub sieci. Wirusy i zagrożenia bezpieczeństwa można otrzymać w wiadomościach e-mail lub wiadomościach przesłanych za pomocą komunikatorów internetowych. Można nieświadomie pobrać zagrożenie, akceptując umowę licencyjną innego oprogramowania. Wiele wirusów i zagrożeń bezpieczeństwa instalowanych jest wskutek ataków „drive-by download”. Do tego typu pobrań dochodzi podczas odwiedzania destrukcyjnych lub zainfekowanych witryn internetowych, a program pobierający aplikację jest instalowany przy użyciu luki zabezpieczeń komputera. Informacje o poszczególnych zagrożeniach można wyświetlić w witrynie internetowej centrum Symantec Security Response. Najnowsze informacje na temat zagrożeń można znaleźć w witrynie internetowej centrum Symantec Security Response. Witryna zawiera również obszerne informacje techniczne oraz szczegóły dotyczące wirusów i zagrożeń bezpieczeństwa. Patrz „Sposób reakcji skanowań na wykrycie wirusa lub zagrożenia” na stronie 73 Ilustracja 4-1 Inne komputery, sieciowe udziały plików Sposoby atakowania komputera przez wirusy i zagrożenia bezpieczeństwa Dysk flash USB Internet Wirusy, destrukcyjne oprogramowanie i zagrożenia bezpieczeństwa Poczta elektroniczna, komunikatory internetowe Wirusy, destrukcyjne oprogramowanie i zagrożenia bezpieczeństwa Wirusy, destrukcyjne oprogramowanie i zagrożenia bezpieczeństwa Komputer kliencki 71 72 Zarządzanie skanowaniami Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware Tabela 4-5 przedstawia listę typów wirusów i zagrożeń, mogących atakować komputer. Tabela 4-5 Wirusy i zagrożenia bezpieczeństwa Zagrożenie Opis Wirusy Programy lub kod, który po uruchomieniu dołącza własną kopię do innego programu lub pliku. Przy uruchomieniu zainfekowanego programu dołączony wirus programu jest uaktywniany i dołącza się do następnych programów i plików. Do kategorii wirusów zalicza się następujące typy zagrożeń: ■ ■ ■ ■ ■ Destrukcyjne roboty internetowe Programy uruchamiające zautomatyzowane zadania przez Internet. Roboty mogą być używane do automatyzowania ataków na komputery w celu zbierania informacji z witryn internetowych. Robaki Programy powielające się bez infekowania innych programów. Niektóre robaki rozprzestrzeniają się poprzez kopiowanie z dysku na dysk, a inne powielają się w pamięci w celu obniżenia wydajności komputera. Konie trojańskie Programy ukryte w czymś pozornie niewinnym, takim jak gra lub program narzędziowy. Zagrożenia hybrydowe Są to zagrożenia, które łączą cechy wirusów, robaków, koni trojańskich i kodu ze słabymi punktami serwerów i Internetu w celu inicjowania, przesyłania i rozprzestrzeniania ataków. Zagrożenia hybrydowe wykorzystują wiele metod i technik umożliwiających im błyskawiczne rozprzestrzenianie się i powodowanie rozległych szkód. Narzędzia typu rootkit Programy ukrywające się przed systemem operacyjnym komputera. Adware Programy wyświetlające treści reklamowe. Dialery Programy powodujące łączenie się komputera z Internetem przez numery typu 0700 lub witryny FTP, bez wiedzy użytkownika. Zazwyczaj numery te są wybierane w celu naliczenia opłat. Zarządzanie skanowaniami Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware Zagrożenie Opis Narzędzia hakerskie Programy używane przez hakerów w celu uzyskania nieautoryzowanego dostępu do komputera użytkownika. Na przykład jednym z narzędzi hakerskich jest program śledzący i zapisujący poszczególne naciśnięcia klawiszy i wysyłający te informacje do hakera. Za pomocą tych informacji haker może następnie wykonać skanowanie portów lub skanowanie w poszukiwaniu luk w zabezpieczeniach. Narzędzia hakerskie mogą także zostać użyte do tworzenia wirusów. Programy – żarty Programy zmieniające lub przerywające działanie komputera w sposób, który w zamierzeniu ma rozbawić lub przestraszyć użytkownika. Przy próbie usunięcia program–żart może na przykład odsuwać ikonę Kosza od kursora myszy. Aplikacje wprowadzające w błąd Aplikacje celowo błędnie przedstawiające stan zabezpieczeń komputera. Aplikacje te zazwyczaj wyświetlają fałszywe powiadomienia dotyczące zabezpieczeń, informujące o rzekomych infekcjach, które trzeba usunąć. Programy do kontroli rodzicielskiej Programy monitorujące lub ograniczające użytkowanie komputera. Programy te mogą działać w sposób niewykrywalny i zazwyczaj przesyłają dane dotyczące monitorowania na inny komputer. Programy do zdalnego dostępu Programy umożliwiające innemu komputerowi zdalny dostęp przez Internet w celu zbierania informacji, zaatakowania albo zmodyfikowania zaatakowanego komputera. Narzędzie oceny zabezpieczeń Programy używane do zbierania informacji w celu uzyskania nieautoryzowanego dostępu do komputera. Spyware Samodzielne programy niepostrzeżenie monitorujące działania w systemie, wykrywające hasła oraz inne poufne informacje i przesyłające je do innego komputera. Program śledzący Programy samodzielne lub dołączane do innych programów, śledzące działania użytkownika w Internecie i wysyłające te informacje do systemu kontrolnego lub do hakera. Sposób reakcji skanowań na wykrycie wirusa lub zagrożenia Klient reaguje na zainfekowanie plików przez wirusy i zagrożenia bezpieczeństwa na różne sposoby zgodnie z ustawieniami dla danego typu zagrożenia. Wobec każdego typu zagrożenia podejmowane jest pierwsze działanie, a jeśli zakończy się ono niepowodzeniem — drugie działanie. 73 74 Zarządzanie skanowaniami Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware Sposoby reagowania skanowania na wirusy i zagrożenia bezpieczeństwa Tabela 4-6 Typ zagrożenia Działanie Wirus Gdy klient wykryje wirusa, domyślnie: ■ Najpierw próbuje usunąć wirusa z zainfekowanego pliku. ■ Jeżeli klient wyczyści plik, całkowicie usuwa zagrożenie z komputera. ■ Jeżeli klient nie może wyczyścić pliku, rejestruje niepowodzenie w dzienniku i przenosi zainfekowany plik do obszaru kwarantanny. Patrz „Poddawanie plików kwarantannie — informacje” na stronie 95 Zagrożenie Gdy klient wykryje zagrożenie bezpieczeństwa, domyślnie: bezpieczeństwa ■ Poddaje zainfekowany plik kwarantannie. Podejmuje próbę usunięcia lub naprawy wszelkich zmian dokonanych przez to zagrożenie. ■ Jeżeli zagrożenia bezpieczeństwa nie można poddać kwarantannie, jest ono rejestrowane i pozostawiane bez zmian. ■ Zdarza się, że użytkownik nieświadomie instaluje aplikację zawierającą zagrożenie bezpieczeństwa, takie jak program typu adware lub spyware. Jeśli firma Symantec uznaje, że poddanie danego zagrożenia kwarantannie nie szkodzi komputerowi, program kliencki podejmie to działanie. Natychmiastowe poddanie zagrożenia kwarantannie może spowodować niestabilny stan komputera. Dlatego przed poddaniem zagrożenia kwarantannie klient czeka na ukończenie instalacji aplikacji. Następnie naprawia skutki uboczne zagrożenia. Dla każdego typu skanowania użytkownik może zmienić ustawienia sposobu obsługi wirusów i zagrożeń bezpieczeństwa przez klienta. Można wybrać różne działania dla każdej kategorii i dla poszczególnych zagrożeń bezpieczeństwa. Sposób stosowania danych o reputacji w celu podejmowania decyzji dotyczących plików przez program Symantec Endpoint Protection Firma Symantec zbiera informacje o plikach z globalnej wspólnoty milionów użytkowników oraz z sieci Global Intelligence Network. Zebrane informacje tworzą bazę danych reputacji prowadzoną przez firmę Symantec. Produkty firmy Symantec używają tych informacji w celu zapewnienia komputerom klienckim ochrony przed nowymi, wyspecjalizowanymi i mutującymi zagrożeniami. Dane te są „przetwarzane na serwerach Cloud”, ponieważ nie znajdują się na komputerze klienckim. Komputer kliencki musi wysłać żądanie lub kwerendę do bazy danych reputacji. Zarządzanie skanowaniami Planowanie skanowania zdefiniowanego przez użytkownika Firma Symantec używa technologii o nazwie Insight w celu określenia poziomu zagrożenia każdego pliku, czyli „oceny bezpieczeństwa”. Usługa Insight określa ocenę bezpieczeństwa pliku, sprawdzając następujące cechy pliku i jego kontekstu: ■ Źródło pliku ■ Wiek pliku ■ Rozpowszechnienie pliku we wspólnocie ■ Inne miary bezpieczeństwa, na przykład sposób, w jaki plik może zostać skojarzony z destrukcyjnym oprogramowaniem Funkcje skanowania w programie Symantec Endpoint Protection wykorzystują usługę Insight w celu podejmowania decyzji dotyczących plików i aplikacji. System ochrony przed wirusami i programami typu spyware ma funkcję o nazwie Download Insight. Funkcja Download Insight używa danych o reputacji w celu dokonywania wykryć. W przypadku wyłączenia wyszukiwań Insight funkcja Download Insight działa, ale nie może dokonywać wykryć. Inne funkcje ochrony, takie jak Wyszukiwanie Insight i SONAR, stosują informacje o reputacji w celu dokonywania wykryć, ale funkcje te mogą w tym celu używać innych technologii. Domyślnie komputery klienckie wysyłają informacje o wykryciach reputacji do centrum Symantec Security Response w celu analizy. Informacje te umożliwiają doskonalenie bazy danych reputacji w usłudze Insight. Im więcej klientów przesyła informacje, tym przydatniejsza staje się baza danych reputacji. Wysyłki danych dotyczących reputacji można wyłączyć. Firma Symantec zaleca jednak niewyłączanie wysyłek. Komputery klienckie wysyłają również inne typy informacji o wykryciach do centrum Symantec Security Response. Patrz „Zarządzanie wykryciami funkcji Download Insight na komputerze” na stronie 80 Patrz „Przesyłanie informacji o wykryciach do centrum Symantec Security Response” na stronie 99 Planowanie skanowania zdefiniowanego przez użytkownika Skanowania zaplanowane są ważnym składnikiem ochrony przed wirusami i zagrożeniami bezpieczeństwa. Jako minimum ochrony przed wirusami i zagrożeniami bezpieczeństwa należy zaplanować przeprowadzanie skanowania 75 76 Zarządzanie skanowaniami Planowanie skanowania zdefiniowanego przez użytkownika raz w tygodniu. Nowo utworzone skanowanie pojawia się na liście skanowań w okienku Skanowanie w poszukiwaniu zagrożeń. Uwaga: Jeśli administrator utworzył dla użytkownika skanowanie zaplanowane, będzie ono wyświetlane na liście skanowań w okienku Skanowaniewposzukiwaniu zagrożeń. Gdy ma się odbyć skanowanie zaplanowane, komputer musi być uruchomiony, a usługi programu Symantec Endpoint Protection muszą być załadowane. Usługi programu Symantec Endpoint Protection Services są domyślnie ładowane po uruchomieniu komputera. W przypadku klientów zarządzanych administrator może ustawić wyższy priorytet dla własnych ustawień. Jeżeli na tym samym komputerze zaplanuje się kilka skanowań rozpoczynających się o tej samej porze, skanowania te są uruchamiane po kolei. Kiedy jedno skanowanie zakończy się, rozpocznie się drugie. Można na przykład zaplanować na jednym komputerze trzy różne skanowania na godzinę 13:00. Każde skanowanie obejmuje inny dysk. Jedno skanowanie obejmuje dysk C, drugie — D, a trzecie — E. W tym przykładzie lepszym rozwiązaniem jest zaplanowanie jednego skanowania dysków C, D i E. Patrz „Natychmiastowe skanowanie komputera” na stronie 16 Patrz „Zarządzanie skanowaniami na komputerze” na stronie 58 Więcej informacji na temat opcji dostępnych w poszczególnych oknach dialogowych można uzyskać, klikając pozycję Pomoc. Aby zaplanować skanowanie zdefiniowane przez użytkownika: 1 W programie klienckim kliknij pozycję Skanuj w poszukiwaniu zagrożeń na pasku bocznym. 2 Kliknij pozycję Utwórz nowe skanowanie. Zarządzanie skanowaniami Planowanie skanowania zdefiniowanego przez użytkownika 3 W oknie dialogowym Tworzenie nowego skanowania – skanowane elementy wybierz jeden z poniższych typów skanowania w celu jego zaplanowania: Skanowanie aktywne Skanowanie obszarów komputera najczęściej infekowanych przez wirusy i zagrożenia bezpieczeństwa. Skanowanie aktywne należy uruchamiać codziennie. Skanowanie pełne Skanowanie całego komputera w poszukiwaniu wirusów i zagrożeń bezpieczeństwa. Skanowanie pełne należy uruchamiać raz w tygodniu lub raz w miesiącu. Skanowania pełne mogą obniżyć wydajność komputera. Skanowanie niestandardowe Skanowanie wybranych obszarów komputera w poszukiwaniu wirusów i zagrożeń bezpieczeństwa. 4 Kliknij przycisk Dalej. 5 W razie wybrania opcji Skanowanie niestandardowe zaznacz odpowiednie pola wyboru, aby określić skanowane lokalizacje, a następnie kliknij przycisk Dalej. Stosowane symbole mają następujące znaczenie: Plik, napęd, lub folder nie jest wybrany. Jeśli element jest napędem lub folderem, znajdujące się w nim foldery i pliki również nie są wybrane. Wskazany plik lub folder jest wybrany. Wskazany folder lub napęd jest wybrany. Wszystkie elementy zawarte w tym folderze lub napędzie są również wybrane. Wskazany folder lub napęd nie jest wybrany, ale wybrany jest jeden lub kilka elementów w tym folderze lub napędzie. 77 78 Zarządzanie skanowaniami Planowanie skanowania zdefiniowanego przez użytkownika 6 W oknie dialogowym Tworzenie nowego skanowania – opcje skanowania można zmodyfikować każdą z poniższych opcji: Typy plików Umożliwiają zmianę rozszerzeń plików skanowanych przez klienta. Domyślne ustawienie to skanowanie wszystkich plików. Działania Umożliwiają zmianę działań, które mają być podejmowane jako pierwsze lub drugie działanie w razie znalezienia wirusów i zagrożeń bezpieczeństwa. Powiadomienia Umożliwiają utworzenie komunikatu wyświetlanego w razie znalezienia wirusa lub zagrożenia bezpieczeństwa. Można również zadecydować, czy program ma powiadamiać o planowanym podjęciu działań naprawczych. Zaawansowane Umożliwiają zmianę dodatkowych funkcji skanowania, takich jak wyświetlanie okna dialogowego z wynikami skanowania. Przyspieszanie skanowania Umożliwiają zmianę składników komputera skanowanych przez klienta. Dostępne opcje są zależne od opcji wybranej w kroku 3. 7 Kliknij przycisk Dalej. 8 W oknie dialogowym Tworzenie nowego skanowania – termin skanowania kliknij pozycję W określonych terminach, a następnie kliknij przycisk Dalej. Można również utworzyć skanowanie na żądanie lub skanowanie przy uruchomieniu. Patrz „Planowanie uruchamiania skanowania na żądanie lub przy uruchomieniu komputera” na stronie 79 9 W oknie dialogowym Tworzenie nowego skanowania – harmonogram określ w obszarze Harmonogram skanowania częstotliwość i terminy skanowania, a następnie kliknij przycisk Dalej. 10 W obszarze Czas trwania skanowania można określić czas, w którym skanowanie musi zostać ukończone. Można również skonfigurować losowy czas uruchamiania skanowania. 11 W obszarze Pominięte skanowania zaplanowane można określić interwał ponawiania prób skanowania. 12 W oknie dialogowym Tworzenie nowego skanowania – nazwa skanowania wpisz nazwę i opis skanowania. Nazwij skanowanie, na przykład: Piątek rano 13 Kliknij przycisk Zakończ. Zarządzanie skanowaniami Planowanie uruchamiania skanowania na żądanie lub przy uruchomieniu komputera Planowanie uruchamiania skanowania na żądanie lub przy uruchomieniu komputera Skanowanie zaplanowane można uzupełnić automatycznym skanowaniem inicjowanym przy każdym uruchomieniu komputera lub zalogowaniu się na komputerze. Często skanowanie przy uruchamianiu jest ograniczone do najważniejszych folderów narażonych na największe ryzyko, takich jak folder systemu Windows i foldery zawierające szablony programów Microsoft Word i Excel. Jeśli zazwyczaj skanowany jest ten sam zestaw plików lub folderów, można utworzyć skanowanie na żądanie ograniczone tylko do tych elementów. Pozwala to na szybkie sprawdzenie w dowolnej chwili, czy określone pliki i foldery są wolne od wirusów i zagrożeń bezpieczeństwa. Skanowania na żądanie muszą być uruchamiane ręcznie. W przypadku utworzenia więcej niż jednego skanowania przy uruchamianiu będą one wykonywane w kolejności utworzenia. Administrator może skonfigurować klienta w sposób uniemożliwiający użytkownikowi utworzenie skanowania przy uruchomieniu. Patrz „Natychmiastowe skanowanie komputera” na stronie 16 Więcej informacji na temat opcji dostępnych w poszczególnych oknach dialogowych można uzyskać, klikając pozycję Pomoc. Aby zaplanować uruchamianie skanowania na żądanie lub przy uruchomieniu komputera: 1 W programie klienckim kliknij pozycję Skanuj w poszukiwaniu zagrożeń na pasku bocznym. 2 Kliknij pozycję Utwórz nowe skanowanie. 3 Określ skanowane elementy i dowolne opcje skanowania zaplanowanego. Patrz „Planowanie skanowania zdefiniowanego przez użytkownika” na stronie 75 4 5 W oknie dialogowym Tworzenie nowego skanowania – termin uruchamiania wykonaj jedno z poniższych działań: ■ Kliknij pozycję Przy uruchomieniu. ■ Kliknij pozycję Na żądanie. Kliknij przycisk Dalej. 79 80 Zarządzanie skanowaniami Zarządzanie wykryciami funkcji Download Insight na komputerze 6 W oknie dialogowym Tworzenie nowego skanowania – nazwa skanowania wpisz nazwę i opis skanowania. Nazwij skanowanie, na przykład: MojeSkanowanie1 7 Kliknij przycisk Zakończ. Zarządzanie wykryciami funkcji Download Insight na komputerze Funkcja Automatyczna ochrona obsługuje funkcję Download Insight, sprawdzającą pliki, które użytkownik próbuje pobrać za pomocą przeglądarek internetowych, programów do komunikacji tekstowej i innych portali. Funkcja Automatyczna ochrona musi być włączona, aby funkcja Download Insight mogła działać. Obsługiwane portale to Internet Explorer, Firefox, Microsoft Outlook, Outlook Express, Windows Live Messenger i Yahoo Messenger. Uwaga: W dzienniku zagrożeń szczegóły zagrożenia dotyczące wykrycia funkcji Download Insight wskazują jedynie pierwszą aplikację portalu, która podjęła próbę pobrania. Można na przykład spróbować pobrać za pomocą programu Internet Explorer plik, który wykrywa funkcja Download Insight. Jeśli następnie podjęta zostanie próba pobrania pliku za pomocą programu Firefox, w polu Pobrane przez w szczegółach zagrożenia jako portal wyświetlany będzie program Internet Explorer. Funkcja Download Insight określa, czy pobrany plik może być zagrożeniem, na podstawie informacji reputacji pliku. Funkcja Download Insight nie stosuje sygnatur ani analizy heurystycznej w celu podejmowania decyzji. Jeśli funkcja Download Insight zezwala na plik, funkcja Automatyczna ochrona lub SONAR skanuje plik, gdy użytkownik go otwiera lub uruchamia. Uwaga: Funkcja Automatyczna ochrona może także skanować pliki otrzymane przez użytkowników jako załączniki wiadomości e-mail. Zarządzanie skanowaniami Zarządzanie wykryciami funkcji Download Insight na komputerze Tabela 4-7 Zarządzanie wykryciami funkcji Download Insight na komputerze Zadanie Opis Poznanie sposobu stosowania przez funkcję Download Insight danych o reputacji w celu podejmowania decyzji dotyczących plików Funkcja Download Insight stosuje informacje o reputacji wyłącznie podczas podejmowania decyzji dotyczących pobranych plików. Nie stosuje sygnatur ani analizy heurystycznej w celu podejmowania decyzji. Jeśli funkcja Download Insight zezwala na plik, funkcja Automatyczna ochrona lub SONAR skanuje plik, gdy użytkownik go otwiera lub uruchamia. Patrz „Sposób stosowania danych o reputacji w celu podejmowania decyzji dotyczących plików przez program Symantec Endpoint Protection” na stronie 74 Reagowanie na wykrycia funkcji Download Insight Wyświetlane mogą być powiadomienia o wykryciach funkcji Download Insight. W przypadku klientów zarządzanych administrator może wyłączyć powiadomienia o wykryciach funkcji Download Insight. Gdy powiadomienia są włączone, wyświetlane są komunikaty o wykryciu destrukcyjnego lub niepotwierdzonego pliku przez funkcję Download Insight. W przypadku niepotwierdzonych plików użytkownik musi wybrać, czy zezwolić na plik. Patrz „Reagowanie na komunikaty funkcji Download Insight z monitem o zezwolenie lub zablokowanie pliku, który próbuje pobrać użytkownik” na stronie 28 Tworzenie wyjątków dla określonych plików lub domen internetowych Można utworzyć wyjątek dla aplikacji pobieranej przez użytkowników. Można także utworzyć wyjątek dla określonej domeny internetowej, która jest wiarygodna. Domyślnie funkcja Download Insight nie sprawdza żadnych plików, które użytkownicy pobierają z zaufanej witryny internetowej lub intranetowej. Zaufane witryny można skonfigurować na karcie Panel sterowania systemu Windows > Zaufane witryny internetowe > Zabezpieczenia. Gdy opcja Automatycznie ufaj wszystkim plikom pobranym z witryny intranetowej jest włączona, program Symantec Endpoint Protection zezwala na każdy plik pobierany przez użytkownika z jednej z zaufanych witryn. Funkcja Download Insight rozpoznaje jedynie jednoznacznie skonfigurowane witryny zaufane. Symbole wieloznaczne są dozwolone, ale nieroutowalne zakresy adresów IP nie są obsługiwane. Funkcja Download Insight nie może na przykład rozpoznać adresu 10.*.*.* jako witryny zaufanej. Funkcja Download Insight nie obsługuje również witryn wykrytych przy użyciu opcji Opcje internetowe > Zabezpieczenia > Automatycznie wykryj sieć intranet. Patrz „Wykluczanie elementów ze skanowań” na stronie 91 81 82 Zarządzanie skanowaniami Zarządzanie wykryciami funkcji Download Insight na komputerze Zadanie Opis Należy upewnić się, że Funkcja Download Insight wymaga danych o reputacji w celu podejmowania wyszukiwania Insight są włączone. decyzji dotyczących plików. W przypadku wyłączenia wyszukiwań Insight funkcja Download Insight działa, ale nie może dokonywać wykryć. Wyszukiwania Insight są domyślnie włączone. Patrz „Przesyłanie informacji o wykryciach do centrum Symantec Security Response” na stronie 99 Dostosowanie ustawień funkcji Download Insight Ustawienia funkcji Download Insight można dostosować z następujących przyczyn: W celu zwiększenia lub zmniejszenia liczby wykryć funkcji Download Insight. W celu zwiększenia lub zmniejszenia liczby wykryć można przesunąć suwak czułości wykrywania destrukcyjnych plików. Na niższych poziomach czułości funkcja Download Insight wykrywa mniej plików jako destrukcyjne, więcej plików jako niepotwierdzone. Mniej jest fałszywych alarmów. Na wyższych poziomach czułości funkcja Download Insight wykrywa więcej plików jako destrukcyjne, a mniej plików jako niepotwierdzone. Więcej jest fałszywych alarmów. ■ W celu zmiany działania wobec wykryć destrukcyjnych lub niepotwierdzonych plików. Sposób obsługi plików destrukcyjnych lub niepotwierdzonych przez funkcję Download Insight można zmienić. Można zmienić działanie wobec plików niepotwierdzonych, aby nie otrzymywać powiadomień o tych wykryciach. ■ W celu uzyskiwania alertów dotyczących wykryć funkcji Download Insight. Gdy funkcja Download Insight wykrywa destrukcyjny plik, wyświetla komunikat na komputerze klienckim, jeśli ustawione jest działanie Poddaj kwarantannie. Działanie Poddaj kwarantannie można cofnąć. Gdy funkcja Download Insight wykrywa niepotwierdzony plik, wyświetla komunikat na komputerze klienckim, jeśli dla plików niepotwierdzonych ustawione jest działanie Monituj lub Poddaj kwarantannie. Jeśli ustawione jest działanie Monituj, można zezwolić na plik lub zablokować go. Jeśli ustawione jest działanie Poddaj kwarantannie, można to działanie cofnąć. Można wyłączyć powiadamianie użytkownika, aby nie mieć wyboru, gdy funkcja Download Insight wykryje niepotwierdzony plik. Jeśli powiadomienia pozostają włączone, można dla niepotwierdzonych plików ustawić działanie Ignoruj, aby zawsze zezwalać na takie pliki bez wyświetlania powiadomienia. Gdy powiadomienia są włączone, ustawienie czułości wykrywania destrukcyjnych plików ma wpływ na liczbę wyświetlanych powiadomień. Zwiększenie poziomu czułości skutkuje zwiększeniem liczby powiadomień, ponieważ zwiększa się całkowita liczba wykryć. ■ Patrz „Dostosowanie ustawień funkcji Download Insight” na stronie 83 Zarządzanie skanowaniami Dostosowanie ustawień funkcji Download Insight Zadanie Opis Przesyłanie informacji o Domyślnie klient przesyła informacje o wykryciach skanowania reputacji do wykryciach skanowania reputacji firmy Symantec. do firmy Symantec Firma Symantec zaleca włączenie wysyłek wyników skanowania reputacji. Informacje te ułatwiają firmie Symantec eliminowanie zagrożeń. Patrz „Przesyłanie informacji o wykryciach do centrum Symantec Security Response” na stronie 99 Dostosowanie ustawień funkcji Download Insight Ustawienia funkcji Download Insight można dostosować w celu zmniejszenia liczby fałszywych alarmów na komputerach klienckich. Można zmienić czułość funkcji Download Insight na dane dotyczące reputacji plików stosowane do wykrywania destrukcyjnych plików. Można również zmienić powiadomienia o wykryciach wyświetlane przez funkcję Download Insight na komputerach klienckich. Patrz „Zarządzanie wykryciami funkcji Download Insight na komputerze” na stronie 80 Dostosowanie ustawień funkcji Download Insight 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Ustawienia ochrony przed wirusami i programami typu spyware. 3 Na karcie Download Insight zaznacz opcję Włącz funkcję Download Insight, aby wykrywać możliwe zagrożenia w pobieranych plikach na podstawie reputacji pliku. Jeśli funkcja Automatyczna ochrona jest wyłączona, funkcja Download Insight nie może działać, nawet jeśli jest włączona. 4 Przesuń suwak, aby zmienić czułość wykrywania destrukcyjnych plików. Uwaga: Jeśli zainstalowana została jedynie podstawowa ochrona przed wirusami i programami typu spyware, automatycznie ustawiony jest poziom czułości 1 i nie można go zmienić. Na wyższych poziomach funkcja Download Insight wykrywa więcej plików jako destrukcyjne, a mniej plików uznaje za niepotwierdzone. Wyższe ustawienia skutkują jednak większą liczbą fałszywych alarmów. 83 84 Zarządzanie skanowaniami Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware 5 6 Zaznacz lub usuń zaznaczenie następujących opcji używanych jako dodatkowe kryteria sprawdzania niepotwierdzonych plików: ■ Pliki mające mniej niż x użytkowników ■ Pliki znane użytkownikom krócej niż x dni Gdy niepotwierdzone pliki spełniają te kryteria, funkcja Download Insight wykrywa je jako destrukcyjne. Zaznacz opcję Automatycznie ufaj wszystkim plikom pobranym z witryny intranetowej. Opcja ta ma zastosowanie także do wykryć funkcji Wyszukiwanie Insight. 7 Kliknij pozycję Działania. 8 W obszarze Destrukcyjne pliki określ pierwsze i drugie działanie. 9 Określ działanie w obszarze Niepotwierdzone pliki. 10 Kliknij przycisk OK. 11 Kliknij pozycję Powiadomienia i określ, czy mają być wyświetlane powiadomienia o wykryciach funkcji Download Insight. Można dostosować tekst wyświetlanego komunikatu ostrzegawczego. 12 Kliknij przycisk OK. Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware Klient domyślnie zapewnia komputerowi niezbędną ochronę przeciw wirusom i zagrożeniom bezpieczeństwa. Na kliencie niezarządzanym użytkownik może skonfigurować niektóre ustawienia skanowania. Patrz „Zarządzanie skanowaniami na komputerze” na stronie 58 Aby dostosować skanowanie zdefiniowane przez użytkownika: 1 W programie klienckim kliknij pozycję Skanuj w poszukiwaniu zagrożeń na pasku bocznym. 2 Na stronie Skanowaniewposzukiwaniuzagrożeń kliknij prawym przyciskiem myszy żądane skanowanie, a następnie kliknij polecenie Edytuj. 3 Na karcie Opcje skanowania wykonaj dowolne z poniższych zadań: ■ Aby zmienić ustawienia funkcji Wyszukiwanie Insight, kliknij pozycję Wyszukiwanie Insight. Zarządzanie skanowaniami Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware Ustawienia funkcji Wyszukiwanie Insight są podobne do ustawień funkcji Download Insight. Patrz „Dostosowanie ustawień funkcji Download Insight” na stronie 83 ■ Aby zmniejszyć liczbę typów skanowanych plików, kliknij pozycję Wybrane rozszerzenia, a następnie kliknij pozycję Rozszerzenia. ■ Aby określić pierwsze i drugie działanie podejmowane przez klienta wobec zainfekowanego pliku, kliknij pozycję Działania. ■ Aby określić opcje powiadomień, kliknij pozycję Powiadomienia. ■ Aby skonfigurować opcje zaawansowane dotyczące plików skompresowanych, kopii zapasowych i optymalizacji, kliknij pozycję Zaawansowane. Opcje optymalizacji można zmienić, aby zwiększyć wydajność komputera klienckiego. Więcej informacji na temat opcji dostępnych w poszczególnych oknach dialogowych można uzyskać, klikając pozycję Pomoc. 4 Kliknij przycisk OK. Aby zmienić globalne ustawienia skanowania: 1 Wykonaj jedno z następujących działań: ■ W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym, a następnie obok pozycji Ochrona przed wirusami i programami typu spyware kliknij pozycję Konfiguruj ustawienia. ■ W programie klienckim kliknij pozycję Skanuj w poszukiwaniu zagrożeń na pasku bocznym, a następnie kliknij pozycję Wyświetl globalne ustawienia skanowania. 2 Na karcie Ustawienia globalne, w obszarze Opcje skanowania zmień ustawienia funkcji Insight lub Bloodhound. 3 Aby wyświetlić lub utworzyć wyjątki skanowania, kliknij pozycję Wyświetl listę. Po wyświetleniu lub utworzeniu wyjątków kliknij pozycję Zamknij. 4 Wprowadź żądane zmiany w obszarze Przechowywanie dziennika lub Ochrona przeglądarki internetowej. 5 Kliknij przycisk OK. Aby dostosować funkcję Automatyczna ochrona: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Ustawienia ochrony przed wirusami i programami typu spyware. 85 86 Zarządzanie skanowaniami Konfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnego oprogramowania i zagrożeń bezpieczeństwa 3 Na karcie Automatyczna ochrona wykonaj następujące zadania: ■ Aby zmniejszyć liczbę typów skanowanych plików, kliknij pozycję Wybrane, a następnie kliknij pozycję Rozszerzenia. ■ Aby określić pierwsze i drugie działanie podejmowane przez klienta wobec zainfekowanego pliku, kliknij pozycję Działania. ■ Aby określić opcje powiadomień, kliknij pozycję Powiadomienia. Więcej informacji na temat opcji dostępnych w poszczególnych oknach dialogowych można uzyskać, klikając pozycję Pomoc. 4 Na karcie Automatyczna ochrona kliknij pozycję Zaawansowane. Można zmienić opcje dotyczące pamięci podręcznej plików, funkcji Śledzenie zagrożeń i kopii zapasowych. Opcje te można zmienić, aby zwiększyć wydajność komputera klienckiego. 5 Kliknij pozycję Sieć, aby zmienić ustawienia ufania plikom na komputerach zdalnych oraz ustawienie pamięci podręcznej sieci. 6 Kliknij przycisk OK. Konfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnego oprogramowania i zagrożeń bezpieczeństwa Można skonfigurować działania, które klient Symantec Endpoint Protection ma podjąć po wykryciu destrukcyjnego oprogramowania lub zagrożenia bezpieczeństwa. Można skonfigurować pierwsze działanie i drugie działanie, podejmowane w razie niepowodzenia pierwszego działania. Uwaga: Jeśli komputerem zarządza administrator, a przy opcjach widnieje ikona kłódki, użytkownik nie może zmienić tych opcji, ponieważ zostały zablokowane przez administratora. Działania związane z każdym typem skanowania konfiguruje się tak samo. Każdy typ skanowania ma własną konfigurację działań. Dla różnych skanowań można skonfigurować różne działania. Uwaga: Działania dla funkcji Download Insight i SONAR należy skonfigurować oddzielnie. Zarządzanie skanowaniami Konfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnego oprogramowania i zagrożeń bezpieczeństwa Patrz „Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware” na stronie 84 Patrz „Dostosowanie ustawień funkcji Download Insight” na stronie 83 Patrz „Zmiana ustawień funkcji SONAR” na stronie 105 Więcej informacji na temat opcji stosowanych w procedurach można uzyskać, klikając pozycję Pomoc. Aby skonfigurować działania podejmowane w przypadku wykryć destrukcyjnego oprogramowania i zagrożeń bezpieczeństwa: 1 W programie klienckim kliknij pozycję Zmień ustawienia lub Skanuj w poszukiwaniu zagrożeń na pasku bocznym. 2 Wykonaj jedno z następujących działań: ■ Kliknij pozycję Konfiguruj ustawienia obok pozycji Ustawienia ochrony przed wirusami i programami typu spyware, a następnie kliknij pozycję Działania na dowolnej karcie Automatyczna ochrona. ■ Zaznacz żądane skanowanie, kliknij je prawym przyciskiem myszy i wybierz polecenie Edytuj, a następnie kliknij pozycję Opcje skanowania. 3 Kliknij pozycję Działania. 4 W oknie dialogowym Działania skanowania kliknij w drzewie kategorię lub podkategorię w obszarze Destrukcyjne oprogramowanie lub Zagrożenia bezpieczeństwa. Domyślnie każda podkategoria jest automatycznie konfigurowana do użycia tych samych działań, które skonfigurowano dla całej kategorii. Kategorie zmieniają się dynamicznie w czasie, gdy firma Symantec uzyskuje nowe informacje o zagrożeniach. 5 Aby skonfigurować działania tylko dla żądanej podkategorii, wykonaj jedno z następujących działań: ■ Zaznacz opcję Pomiń działania skonfigurowane dla destrukcyjnego oprogramowania, a następnie ustaw działania tylko dla tej podkategorii. Uwaga: Kategoria może zawierać jedną podkategorię, w zależności od bieżącej klasyfikacji zagrożeń według firmy Symantec. Kategoria Destrukcyjne oprogramowanie może na przykład zawierać jedną podkategorię o nazwie Wirusy. ■ Zaznacz opcję Pomiń działania skonfigurowane dla zagrożeń bezpieczeństwa, a następnie ustaw działania tylko dla tej podkategorii. 87 88 Zarządzanie skanowaniami Konfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnego oprogramowania i zagrożeń bezpieczeństwa 6 Wybierz pierwsze i drugie działanie spośród następujących opcji: Wyczyść zagrożenie Usuwa wirusa z zainfekowanego pliku. Jest to domyślne pierwsze działanie w przypadku wirusów. Uwaga: To działanie jest dostępne tylko jako pierwsze działanie dotyczące wirusów. To działanie nie dotyczy zagrożeń bezpieczeństwa. To ustawienie powinno być zawsze pierwszym działaniem w przypadku wirusów. Jeśli klient skutecznie usunie wirusa z pliku, nie jest konieczne żadne inne działanie. Komputer jest wolny od wirusów i nie zagraża już rozprzestrzenianie się wirusów do innych obszarów komputera. Kiedy klient czyści zainfekowany plik, usuwa wirusa z tego pliku, sektora rozruchowego lub tabeli partycji. Uniemożliwia także dalsze rozprzestrzenianie się wirusa. Klient jest zazwyczaj w stanie znaleźć i wyczyścić wirusa, zanim uszkodzi on komputer. Klient domyślnie tworzy kopię zapasową pliku. W niektórych przypadkach wyczyszczony plik może nie nadawać się do użytku. Wirus mógł spowodować w nim zbyt wiele uszkodzeń. Z niektórych zainfekowanych plików nie można usunąć wirusa. Poddaj zagrożenie kwarantannie Powoduje przeniesienie zainfekowanego pliku z jego oryginalnej lokalizacji do obszaru kwarantanny. Zainfekowane pliki znajdujące się w obszarze kwarantanny nie mogą rozprzestrzeniać wirusów. W przypadku wirusów — przeniesienie zainfekowanego pliku z jego oryginalnej lokalizacji do obszaru kwarantanny. To ustawienie jest domyślnym drugim działaniem w przypadku wirusów. W przypadku zagrożeń bezpieczeństwa klient przenosi zainfekowane pliki z ich oryginalnej lokalizacji do obszaru kwarantanny i podejmuje próbę usunięcia lub naprawy skutków ubocznych. To ustawienie jest domyślnym pierwszym działaniem w przypadku zagrożeń bezpieczeństwa. Kwarantanna zawiera zapis wszystkich przeprowadzonych działań. Umożliwia to przywrócenie stanu komputera sprzed usunięcia zagrożenia przez program kliencki. Zarządzanie skanowaniami Konfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnego oprogramowania i zagrożeń bezpieczeństwa Usuń zagrożenie Powoduje usunięcie zainfekowanego pliku z dysku twardego komputera. Jeżeli klient nie może usunąć pliku, informacje o działaniu wykonywanym przez klienta są wyświetlane w oknie dialogowym Powiadamianie. Informacje te są również rejestrowane w dzienniku zdarzeń. Z działania tego należy korzystać jedynie w przypadku, gdy możliwe jest zastąpienie usuniętego pliku kopią zapasową wolną od wirusów i zagrożeń bezpieczeństwa. Klient usuwa zagrożenie bezpowrotnie. Zainfekowanego pliku nie można odzyskać z Kosza. Uwaga: Z działania tego należy korzystać ostrożnie podczas konfiguracji działań podejmowanych wobec zagrożeń bezpieczeństwa. W niektórych przypadkach usunięcie zagrożeń bezpieczeństwa powoduje utratę funkcjonalności przez aplikacje. Pozostaw bez zmian (tylko rejestruj) Powoduje pozostawienie pliku bez zmian. Jeżeli działanie to zostanie zastosowane do wirusów, pozostaną one w zainfekowanych plikach. Wirusy te mogą rozprzestrzenić się na inne obszary komputera. W Historii zagrożeń umieszczany jest wpis, aby pozostał ślad po zainfekowaniu pliku. Działania Pozostaw bez zmian (tylko rejestruj) można używać jako drugiego działania zarówno wobec destrukcyjnego oprogramowania, jak i zagrożeń bezpieczeństwa. Działania tego nie należy wybierać, prowadząc skanowania automatyczne na dużą skalę, na przykład skanowania zaplanowane. Działania tego warto użyć, zamierzając przejrzeć wyniki skanowania i podjąć dodatkowe działania później. Dodatkowe działanie może polegać na przeniesieniu pliku do obszaru Kwarantanny. W przypadku zagrożeń bezpieczeństwa to działanie pozostawia zainfekowane pliki bez zmian, a w Historii zagrożeń umieszczany jest wpis, aby pozostał ślad po zagrożeniu. Za pomocą tej opcji można ręcznie kontrolować sposób obsługi zagrożenia bezpieczeństwa przez klienta. Jest to domyślne drugie działanie w przypadku zagrożeń bezpieczeństwa. Administrator może także wysłać niestandardową wiadomość zawierającą instrukcje postępowania. 7 Powtórz te kroki w przypadku każdej kategorii, dla której chcesz ustawić określone działania, a następnie kliknij przycisk OK. 89 90 Zarządzanie skanowaniami Wykluczanie elementów ze skanowań — informacje 8 Dla jednego lub kilku elementów wybranej kategorii zagrożeń bezpieczeństwa można wybrać działania niestandardowe. Zagrożenia bezpieczeństwa można wykluczyć ze skanowania. Można na przykład wykluczyć program typu adware potrzebny do pracy. 9 Kliknij przycisk OK. Wykluczanie elementów ze skanowań — informacje Wyjątki to znane zagrożenia bezpieczeństwa, pliki, rozszerzenia plików lub procesy, które użytkownik chce wykluczyć ze skanowania. Jeśli użytkownik przeskanował komputer i wie, że niektóre pliki są bezpieczne, może je wykluczyć. W niektórych przypadkach wyjątki mogą skrócić czas skanowania i zwiększyć wydajność systemu. Tworzenie wyjątków zazwyczaj nie jest potrzebne. Administrator może utworzyć wyjątki skanowań dla klientów zarządzanych. Jeśli utworzony przez użytkownika wyjątek jest sprzeczny z wyjątkiem zdefiniowanym przez administratora, stosowany będzie wyjątek zdefiniowany przez administratora. Administrator może również zablokować użytkownikowi możliwość konfigurowania dowolnych typów wyjątków. Uwaga: Jeżeli program pocztowy przechowuje całą pocztę e-mail w jednym pliku, należy utworzyć wyjątek pliku, aby wykluczyć plik skrzynki odbiorczej ze skanowania. Domyślnie skanowania poddają wirusy kwarantannie. Jeżeli skanowanie wykryje wirusa w pliku skrzynki odbiorczej, kwarantannie zostaje poddana cała skrzynka odbiorcza. Jeżeli skanowanie doda do obszaru kwarantanny skrzynkę odbiorczą, nie można będzie uzyskać dostępu do poczty. Tabela 4-8 Typy wyjątków Typ wyjątku Opis Plik Dotyczy skanowań w poszukiwaniu wirusów i programów typu spyware Skanowania ignorują wybrany plik. Folder Dotyczy skanowań w poszukiwaniu wirusów i programów typu spyware i/lub skanowań funkcji SONAR Skanowania ignorują wybrany folder. Zarządzanie skanowaniami Wykluczanie elementów ze skanowań Typ wyjątku Opis Znane zagrożenia Dotyczy skanowań w poszukiwaniu wirusów i programów typu spyware Skanowania ignorują każde wybrane przez użytkownika znane zagrożenie. Rozszerzenia Dotyczy skanowań w poszukiwaniu wirusów i programów typu spyware Skanowania ignorują wszystkie pliki o określonych rozszerzeniach. Zaufana domena internetowa Dotyczy skanowań w poszukiwaniu wirusów i programów typu spyware Funkcja Download Insight ignoruje określoną zaufaną domenę internetową. Aplikacja Dotyczy skanowań w poszukiwaniu wirusów i programów typu spyware oraz funkcji SONAR Skanowania ignorują, rejestrują, poddają kwarantannie lub zamykają aplikację określoną tutaj. Patrz „Wykluczanie elementów ze skanowań” na stronie 91 Wykluczanie elementów ze skanowań Wyjątki to znane zagrożenia bezpieczeństwa, pliki, foldery, rozszerzenia plików, domeny internetowe lub aplikacje, które użytkownik chce wykluczyć ze skanowania. Jeśli użytkownik przeskanował komputer i wie, że niektóre pliki są bezpieczne, może je wykluczyć. W niektórych przypadkach wyjątki mogą skrócić czas skanowania i zwiększyć wydajność systemu. Tworzenie wyjątków zazwyczaj nie jest potrzebne. Administrator może utworzyć wyjątki skanowań dla klientów zarządzanych. Jeśli utworzony przez użytkownika wyjątek jest sprzeczny z wyjątkiem zdefiniowanym przez administratora, stosowany będzie wyjątek zdefiniowany przez administratora. Wyjątki zagrożeń bezpieczeństwa dotyczą wszystkich skanowań w poszukiwaniu zagrożeń bezpieczeństwa. Wyjątki aplikacji także dotyczą wszystkich skanowań w poszukiwaniu zagrożeń bezpieczeństwa. Wyjątki folderów funkcji SONAR dotyczą tylko funkcji SONAR. Funkcja SONAR nie obsługuje wyjątków plików. Aby wykluczyć plik z funkcji SONAR, należy użyć wyjątku aplikacji. 91 92 Zarządzanie skanowaniami Wykluczanie elementów ze skanowań Patrz „Zarządzanie skanowaniami na komputerze” na stronie 58 Patrz „Wykluczanie elementów ze skanowań — informacje” na stronie 90 Uwaga: W instalacji Server Core systemu Windows Server 2008 okna dialogowe interfejsu użytkownika mogą różnić się wyglądem od okien dialogowych opisanych w tych procedurach. Więcej informacji na temat opcji dostępnych w poszczególnych oknach dialogowych można uzyskać, klikając pozycję Pomoc. Aby wykluczyć elementy ze skanowań w poszukiwaniu zagrożeń bezpieczeństwa: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Wyjątki. 3 W oknie dialogowym Wyjątki, w obszarze Wyjątki zdefiniowane przez użytkownika kliknij pozycję Dodaj > Wyjątki zagrożeń bezpieczeństwa. 4 Należy wybrać jeden z następujących typów wyjątków: 5 ■ Znane zagrożenia ■ Plik ■ Folder ■ Rozszerzenia ■ Domena internetowa Wykonaj jedno z następujących działań: ■ Zaznacz znane zagrożenia bezpieczeństwa, które mają być wykluczone ze skanowań. Jeżeli chcesz rejestrować zdarzenie związane z wykryciem i zignorowaniem zagrożenia bezpieczeństwa, zaznacz pole wyboru Rejestruj wykrycie zagrożenia bezpieczeństwa. ■ Zaznacz plik lub folder, który chcesz wykluczyć, a następnie kliknij pozycję Dodaj. Zaznacz lub wyczyść opcję Uwzględnij podfoldery. ■ Wpisz rozszerzenia, które chcesz wykluczyć. W polu tekstowym można wpisać tylko jedną nazwę rozszerzenia. W przypadku wpisania wielu rozszerzeń klient traktuje ten wpis jako jedną nazwę rozszerzenia. ■ Wprowadź witrynę internetową, którą chcesz wykluczyć z wykrywania przez funkcję Download Insight. Zarządzanie skanowaniami Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim 6 Kliknij przycisk OK. 7 W oknie dialogowym Wyjątki kliknij przycisk Zamknij. Aby wykluczyć folder z funkcji SONAR: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Wyjątki. 3 W oknie dialogowym Wyjątki, w obszarze Wyjątki zdefiniowane przez użytkownika kliknij pozycję Dodaj > Wyjątek funkcji SONAR > Folder. 4 Zaznacz folder, który chcesz wykluczyć, zaznacz lub usuń zaznaczenie pozycji Uwzględnij podfoldery, a następnie kliknij pozycję Dodaj. W razie wybrania pliku, zamiast folderu, klient stosuje folder nadrzędny jako wykluczenie. 5 W oknie dialogowym Wyjątki kliknij przycisk Zamknij. Aby zmienić sposób przetwarzania aplikacji przez wszystkie skanowania: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Wyjątki. 3 W oknie dialogowym Wyjątki, w obszarze Wyjątki zdefiniowane przez użytkownika kliknij pozycję Dodaj > Wyjątek aplikacji. 4 Wybierz nazwę pliku aplikacji. 5 Z listy rozwijanej Działanie wybierz opcję Ignoruj, Tylko rejestruj, Poddaj kwarantannie lub Zakończ. 6 Kliknij pozycję Dodaj. 7 W oknie dialogowym Wyjątki kliknij przycisk Zamknij. Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim Program Symantec Endpoint Protection domyślnie próbuje usunąć wykrytego wirusa z zainfekowanego pliku. Jeśli oczyszczenie pliku okaże się niemożliwe, skanowanie poddaje plik kwarantannie na komputerze. W przypadku zagrożeń bezpieczeństwa skanowania przenoszą zainfekowane pliki do kwarantanny i naprawiają wszelkie skutki uboczne działań zagrożenia bezpieczeństwa. Funkcja Download Insight i funkcja SONAR mogą również poddawać pliki kwarantannie. Patrz „Poddawanie plików kwarantannie — informacje” na stronie 95 93 94 Zarządzanie skanowaniami Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim Tabela 4-9 Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim Zadanie Opis Przywrócenie pliku w jego oryginalnej Czasami lokalizacja, w której powinien zostać lokalizacji przywrócony czysty plik, jest niedostępna. Na przykład, zainfekowany załącznik mógł zostać oddzielony od wiadomości e-mail i umieszczony w obszarze kwarantanny. Plik ten powinien zostać zwolniony i umieszczony w lokalizacji określonej przez użytkownika. Ręczne poddanie elementu kwarantannie Plik można ręcznie poddać kwarantannie, dodając go do obszaru kwarantanny lub wybierając plik w dzienniku ochrony przed wirusami i programami typu spyware lub dzienniku funkcji SONAR. Patrz „Przenoszenie pliku do obszaru kwarantanny za pomocą dziennika zagrożeń lub dziennika skanowania” na stronie 96 Bezpowrotne usunięcie plików z kwarantanny Z obszaru kwarantanny można ręcznie usunąć pliki, które nie są już potrzebne. Można również określić przedział czasu, po jakim pliki mają być usuwane automatycznie. Uwaga: Administrator może określić maksymalną liczbę dni, przez jaką elementy mogą pozostawać w obszarze kwarantanny. Po tym czasie pliki zostaną usunięte automatycznie. Ponowne skanowanie plików w kwarantannie po otrzymaniu nowych definicji Po zaktualizowaniu definicji pliki w kwarantannie mogą zostać ponownie przeskanowane, oczyszczone i automatycznie przywrócone. W przypadku niektórych plików wyświetlany jest Kreator napraw. Aby ukończyć ponowne skanowanie i naprawę, należy postępować zgodnie z instrukcjami wyświetlanymi na ekranie. Użytkownik może również ręcznie ponownie przeskanować zainfekowane wirusami pliki poddane kwarantannie. Eksportowanie informacji o kwarantannie Zawartość obszaru kwarantanny można wyeksportować do pliku wartości rozdzielanych przecinkami (.csv) lub pliku bazy danych programu Microsoft Access (.mdb). Zarządzanie skanowaniami Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim Zadanie Opis Przesyłanie zainfekowanych plików z obszaru kwarantanny do centrum Symantec Security Response Po ponownym przeskanowaniu elementów w kwarantannie można wysłać nadal zainfekowany plik do centrum Symantec Security Response w celu dalszej analizy. Patrz „Ręczne przesyłanie potencjalnie zainfekowanych plików do centrum Symantec Security Response w celu poddania ich analizie” na stronie 96 Usuwanie kopii zapasowych Przed podjęciem próby oczyszczenia lub naprawienia zainfekowanych elementów klient domyślnie tworzy ich kopie zapasowe. Po pomyślnym usunięciu wirusa przez klienta należy ręcznie usunąć element z kwarantanny, ponieważ kopia zapasowa jest nadal zainfekowana. Automatyczne usuwanie plików z obszaru kwarantanny Klienta można skonfigurować w taki sposób, aby automatycznie usuwał elementy z kwarantanny po upływie określonego czasu. Można również określić, że klient ma usuwać elementy po przekroczeniu określonego rozmiaru folderu, w którym są przechowywane. Konfiguracja taka zapobiega gromadzeniu się plików, które użytkownik zapomniał usunąć ręcznie. Patrz „Automatyczne usuwanie plików z obszaru kwarantanny” na stronie 97 Poddawanie plików kwarantannie — informacje Gdy klient przeniesie zainfekowany plik do obszaru kwarantanny, wirus lub zagrożenie nie może się powielać i infekować innych plików na komputerze użytkownika ani innych komputerach w sieci. Działanie Poddaj kwarantannie nie usuwa jednak zagrożenia. Zagrożenie pozostaje na komputerze użytkownika do chwili wyczyszczenia lub usunięcia zainfekowanego pliku przez program kliencki. Nie trzeba otwierać pliku. Można jednak usunąć plik z obszaru kwarantanny. Po aktualizacji komputera przy użyciu nowych definicji wirusów klient automatycznie sprawdza obszar kwarantanny. Elementy znajdujące się w obszarze kwarantanny można ponownie przeskanować. Najnowsze definicje mogą umożliwić wyczyszczenie lub naprawę poddanych uprzednio kwarantannie plików. Wirusy można poddać kwarantannie. Wirusy rekordów rozruchowych znajdują się w sektorze rozruchowym lub w tablicach partycji, a tych elementów nie można przenieść do obszaru kwarantanny. Czasami program kliencki wykrywa nieznanego 95 96 Zarządzanie skanowaniami Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim wirusa, którego nie można wyeliminować przy użyciu bieżącego zestawu definicji wirusów. Jeśli plik jest prawdopodobnie zainfekowany, ale skanowania nie wykrywają żadnej infekcji, plik należy poddać kwarantannie. Uwaga: W wersji językowej systemu operacyjnego komputera klienckiego niektóre znaki w nazwach zagrożeń mogą nie być interpretowane poprawnie. Jeśli system operacyjny nie może zinterpretować znaków, wyświetlane są one w powiadomieniach jako znaki zapytania. Na przykład nazwy niektórych zagrożeń mogą zawierać znaki dwubajtowe. Na komputerach klienckich z systemem operacyjnym w wersji angielskiej znaki te są wyświetlane jako znaki zapytania. Patrz „Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim” na stronie 93 Przenoszenie pliku do obszaru kwarantanny za pomocą dziennika zagrożeń lub dziennika skanowania W zależności od wstępnie ustawionego działania podejmowanego przez program po wykryciu zagrożenia, wybór dokonany przez użytkownika po wykryciu może okazać się niemożliwy do zrealizowania. Plik można później poddać kwarantannie przy użyciu dziennika zagrożeń lub dziennika skanowania. Patrz „Poddawanie plików kwarantannie — informacje” na stronie 95 Patrz „Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim” na stronie 93 Aby przenieść plik do obszaru kwarantanny za pomocą dziennika zagrożeń lub dziennika skanowania: 1 Na kliencie kliknij pozycję Wyświetl dzienniki. 2 Obok pozycji Ochrona przed wirusami i programami typu spyware kliknij pozycję Wyświetl dziennik, a następnie wybierz pozycję Dziennik zagrożeń lub Dziennik skanowania. 3 Zaznacz plik, który chcesz poddać kwarantannie, a następnie kliknij przycisk Poddaj kwarantannie. 4 Kliknij przycisk OK, a następnie kliknij przycisk Zamknij. Ręczne przesyłanie potencjalnie zainfekowanych plików do centrum Symantec Security Response w celu poddania ich analizie Po przesłaniu zainfekowanego elementu z listy kwarantanny do centrum Symantec Security Response pracownicy centrum Symantec Security Response mogą Zarządzanie skanowaniami Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim przeanalizować ten element w celu sprawdzenia, czy jest zainfekowany. Centrum Symantec Security Response używa również tych danych do zapewnienia ochrony przed nowymi lub powstającymi zagrożeniami. Uwaga: Opcja wysyłki nie jest dostępna, jeśli administrator wyłączył te typy wysyłek. Patrz „Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim” na stronie 93 Aby przesłać plik z obszaru kwarantanny do centrum Symantec Security Response: 1 W programie klienckim kliknij pozycję Wyświetl kwarantannę na pasku bocznym. 2 Zaznacz wymagany plik na liście plików znajdujących się w obszarze kwarantanny. 3 Kliknij przycisk Prześlij. 4 Wykonuj instrukcje wyświetlane w kreatorze, niezbędne do zebrania potrzebnych informacji i przesłania pliku do analizy. Automatyczne usuwanie plików z obszaru kwarantanny Oprogramowanie można skonfigurować w taki sposób, aby automatycznie usuwało elementy z kwarantanny po upływie określonego czasu. Można również określić, że klient ma usuwać elementy po przekroczeniu określonego rozmiaru folderu, w którym są przechowywane. Konfiguracja taka zapobiega gromadzeniu się plików, które użytkownik zapomniał usunąć ręcznie. Patrz „Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim” na stronie 93 Aby automatycznie usunąć pliki z obszaru kwarantanny: 1 W programie klienckim kliknij pozycję Wyświetl kwarantannę na pasku bocznym. 2 Kliknij przycisk Opcje przeczyszczania. 3 W oknie dialogowym Opcje przeczyszczania wybierz jedną z poniższych kart: ■ Elementy poddane kwarantannie ■ Elementy z kopiami zapasowymi ■ Elementy naprawione 97 98 Zarządzanie skanowaniami Przesyłanie informacji o wykryciach do centrum Symantec Security Response — informacje 4 Zaznacz lub wyczyść pozycję Długość czasu przechowywania przekracza, aby umożliwić lub uniemożliwić klientowi usuwanie plików po upływie skonfigurowanego czasu. 5 W przypadku zaznaczenia opcji Długość czasu przechowywania przekracza wpisz żądany czas lub kliknij strzałkę, aby go wprowadzić. 6 Z listy rozwijanej wybierz jednostkę czasu. Domyślne ustawienie to 30 dni. 7 W przypadku zaznaczenia pozycji Łączny rozmiar folderów przekracza podaj maksymalny dozwolony rozmiar folderu w megabajtach. Domyślne ustawienie to 50 megabajtów. W przypadku zaznaczenia obu pól wyboru w pierwszej kolejności usuwane są wszystkie pliki starsze niż określony czas. Jeśli rozmiar folderu nadal przekracza limit ustawiony przez użytkownika, klient będzie pojedynczo usuwał najstarsze pliki. Najstarsze pliki będą usuwane dotąd, aż rozmiar folderu przestanie przekraczać dozwolony limit. 8 Powtórz kroki od 4 do 7 dla każdej z pozostałych kart. 9 Kliknij przycisk OK. Przesyłanie informacji o wykryciach do centrum Symantec Security Response — informacje Komputer można skonfigurować do automatycznego przesyłania informacji o wykrytych zagrożeniach do centrum Symantec Security Response w celu analizy. Centrum Symantec Security Response i sieć Global Intelligence Network używają przesłanych informacji w celu szybkiego formułowania reakcji na nowe i zmienione zagrożenia. Dane przesyłane do firmy Symantec ułatwiają jej reagowanie na zagrożenia i dostosowywanie ochrony. Firma Symantec zaleca niewyłączanie wysyłek. Patrz „Klient Symantec Endpoint Protection — informacje” na stronie 11 Można wybrać przesyłanie dowolnych z następujących typów danych: ■ Reputacja pliku Informacje o plikach wykrytych na podstawie ich reputacji. Informacje o tych plikach tworzą bazę danych dotyczących reputacji Symantec Insight, używaną w celu ochrony komputerów przed nowymi i zmieniającymi się zagrożeniami. ■ Wykrycia programu antywirusowego Informacje dotyczące wykryć wirusów i programów typu spyware. ■ Wykrycia zaawansowanego mechanizmu heurystycznego ochrony przed wirusami Zarządzanie skanowaniami Przesyłanie informacji o wykryciach do centrum Symantec Security Response Informacje o potencjalnych zagrożeniach wykrytych przez funkcję Bloodhound i inne skanowania heurystyczne w poszukiwaniu wirusów i programów typu spyware. Wykrycia te są wykryciami w trybie dyskretnym, niewyświetlanymi w dzienniku zagrożeń. Informacje o tych wykryciach są stosowane w analizach statystycznych. ■ Wykrycia funkcji SONAR Informacje o zagrożeniach wykrytych przez funkcję SONAR, takich jak wykrycia zagrożeń wysokiego lub niskiego stopnia, zdarzenia zmiany w systemie i podejrzany sposób działania zaufanych aplikacji. ■ Heurystyka funkcji SONAR Wykrycia heurystyczne funkcji SONAR są wykryciami w trybie dyskretnym, niewyświetlanymi w dzienniku zagrożeń. Informacje te są stosowane w analizach statystycznych. Z kwarantanny można również ręcznie wysłać próbkę do centrum Symantec Security Response. Patrz „Przesyłanie informacji o wykryciach do centrum Symantec Security Response” na stronie 99 Patrz „Sposób stosowania danych o reputacji w celu podejmowania decyzji dotyczących plików przez program Symantec Endpoint Protection” na stronie 74 Patrz „Pliki i aplikacje wykrywane przez funkcję SONAR — informacje” na stronie 104 Przesyłanie informacji o wykryciach do centrum Symantec Security Response Program Symantec Endpoint Protection może chronić komputer, monitorując informacje, które przychodzą do komputera i wychodzą z niego, a także blokując próby ataku. Można włączyć przesyłanie informacji o wykrytych zagrożeniach do centrum Symantec Security Response. Centrum Symantec Security Response używa tych informacji w celu zapewnienia komputerom klienckim ochrony przed nowymi, wyspecjalizowanymi i mutującymi zagrożeniami. Wszelkie dane przesyłane do firmy Symantec ułatwiają jej reagowanie na zagrożenia i dostosowywanie ochrony komputera użytkownika. Firma Symantec zaleca przesyłanie jak niewiększej ilości informacji o wykryciach. 99 100 Zarządzanie skanowaniami Przesyłanie informacji o wykryciach do centrum Symantec Security Response Ze strony Kwarantanna można również ręcznie wysłać próbkę do centrum Symantec Response. Strona Kwarantanna umożliwia również określenie sposobu przesyłania elementów do centrum Symantec Security Response. Patrz „Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim” na stronie 93 Patrz „Przesyłanie informacji o wykryciach do centrum Symantec Security Response — informacje” na stronie 98 Aby skonfigurować wysyłki do centrum Symantec Security Response: 1 Wybierz pozycję Zmień ustawienia > Zarządzanie klientami. 2 Na karcie Wysyłki zaznacz pozycję Zezwól temu komputerowi na automatyczne, anonimowe przekazywanie wybranych informacji o zabezpieczeniach do firmy Symantec. Ta opcja umożliwia programowi Symantec Endpoint Protection wysyłanie informacji o zagrożeniach znalezionych na komputerze. Firma Symantec zaleca włączenie tej opcji. 3 Wybierz przesyłane typy informacji: ■ Reputacja pliku Informacje o plikach wykrytych na podstawie ich reputacji. Informacje o tych plikach tworzą bazę danych dotyczących reputacji Symantec Insight, używaną w celu ochrony komputerów przed nowymi i zmieniającymi się zagrożeniami. ■ Wykrycia programu antywirusowego Informacje dotyczące wykryć wirusów i programów typu spyware. ■ Wykrycia zaawansowanego mechanizmu heurystycznego ochrony przed wirusami Informacje o potencjalnych zagrożeniach wykrytych przez funkcję Bloodhound i inne skanowania heurystyczne w poszukiwaniu wirusów i programów typu spyware. Wykrycia te są wykryciami w trybie dyskretnym, niewyświetlanymi w dzienniku zagrożeń. Informacje o tych wykryciach są stosowane w analizach statystycznych. ■ Wykrycia funkcji SONAR Informacje o zagrożeniach wykrytych przez funkcję SONAR, takich jak wykrycia zagrożeń wysokiego lub niskiego stopnia, zdarzenia zmiany w systemie i podejrzany sposób działania zaufanych aplikacji. ■ Heurystyka funkcji SONAR Zarządzanie skanowaniami Klient i Centrum zabezpieczeń systemu Windows — informacje Wykrycia heurystyczne funkcji SONAR są wykryciami w trybie dyskretnym, niewyświetlanymi w dzienniku zagrożeń. Informacje te są stosowane w analizach statystycznych. 4 Opcję Zezwalaj na wyszukiwania Insight w celu wykrywania zagrożeń należy włączyć, aby umożliwić programowi Symantec Endpoint Protection używanie bazy danych dotyczących reputacji w celu podejmowania decyzji dotyczących zagrożeń. Wyszukiwania Insight są domyślnie włączone. Firma Symantec zaleca zezwolenie na wyszukiwania Insight. Wyłączenie tej funkcji wyłącza funkcję Download Insight i może zakłócić działanie funkcji SONAR oraz Wyszukiwanie Insight. Można jednak wyłączyć tę opcję, aby nie zezwalać na wysyłanie kwerend do bazy danych Symantec Insight. Klient i Centrum zabezpieczeń systemu Windows — informacje W razie używania Centrum zabezpieczeń systemu Windows w systemie Windows XP z dodatkiem Service Pack 2 w celu monitorowania stanu zabezpieczeń, stan programu Symantec Endpoint Protection jest wyświetlany w oknie Centrum zabezpieczeń systemu Windows. Tabela 4-10 przedstawia raporty o stanie wyświetlane w Centrum zabezpieczeń systemu Windows. Tabela 4-10 Raport o stanie ochrony w Centrum zabezpieczeń systemu Windows Stan produktu firmy Symantec Stan systemu ochrony Program Symantec Endpoint Protection nie jest zainstalowany NIE ZNALEZIONO (czerwony) Program Symantec Endpoint Protection jest zainstalowany i zapewnia pełną ochronę WŁĄCZONA (zielony) Program Symantec Endpoint Protection jest zainstalowany, a definicje wirusów i zagrożeń bezpieczeństwa są nieaktualne NIEAKTUALNA (czerwony) Program Symantec Endpoint Protection jest zainstalowany, a WYŁĄCZONA funkcja Automatyczna ochrona systemu plików nie jest włączona (czerwony) Program Symantec Endpoint Protection jest zainstalowany, WYŁĄCZONA funkcja Automatyczna ochrona systemu plików nie jest włączona, (czerwony) a definicje wirusów i zagrożeń bezpieczeństwa są nieaktualne 101 102 Zarządzanie skanowaniami Zarządzanie funkcją SONAR na komputerze klienckim Stan produktu firmy Symantec Stan systemu ochrony Program Symantec Endpoint Protection jest zainstalowany, a program Rtvscan wyłączono ręcznie WYŁĄCZONA (czerwony) Tabela 4-11 przedstawia raporty o stanie zapory programu Symantec Endpoint Protection wyświetlane w Centrum zabezpieczeń systemu Windows. Tabela 4-11 Raport o stanie zapory w Centrum zabezpieczeń systemu Windows Stan produktu firmy Symantec Stan zapory Zapora firmy Symantec nie jest zainstalowana NIE ZNALEZIONO (czerwony) Zapora firmy Symantec jest zainstalowana i włączona WŁĄCZONA (zielony) Zapora firmy Symantec jest zainstalowana, ale nie jest włączona WYŁĄCZONA (czerwony) Zapora firmy Symantec nie jest zainstalowana ani włączona, ale WŁĄCZONA (zielony) zainstalowana i włączona jest zapora innej firmy Uwaga: Program Symantec Endpoint Protection domyślnie wyłącza zaporę systemu Windows. W razie włączenia więcej niż jednej zapory Centrum zabezpieczeń systemu Windows zgłasza, że zainstalowano i włączono wiele zapór. Zarządzanie funkcją SONAR na komputerze klienckim Zarządzanie funkcją SONAR to część funkcji Zapobieganie zagrożeniom. Na klientach zarządzanych administrator może zablokować niektóre ustawienia. Patrz „Zarządzanie skanowaniami na komputerze” na stronie 58 Patrz „Typy skanowań — informacje” na stronie 66 Zarządzanie skanowaniami Zarządzanie funkcją SONAR na komputerze klienckim Tabela 4-12 Zarządzanie funkcją SONAR na komputerze klienckim Zadanie Opis Włączenie funkcji SONAR Aby zapewnić najlepszą ochronę komputerowi klienckiemu, należy włączyć funkcję SONAR. Funkcja SONAR jest domyślnie włączona. Aby włączyć funkcję SONAR, należy włączyć funkcję Zapobieganie zagrożeniom. Patrz „Włączanie i wyłączanie systemu ochrony — informacje” na stronie 43 Należy upewnić się, że wyszukiwania Insight są włączone. Funkcja SONAR używa analizy heurystycznej oraz danych dotyczących reputacji w celu podejmowania decyzji. W przypadku wyłączenia wyszukiwań Insight (kwerend dotyczących reputacji) funkcja SONAR dokonuje wykryć tylko przy użyciu analizy heurystycznej. Liczba fałszywych alarmów może wzrosnąć, a ochrona zapewniana przez funkcję SONAR jest ograniczona. Patrz „Przesyłanie informacji o wykryciach do centrum Symantec Security Response” na stronie 99 Zmiana ustawień funkcji SONAR Funkcję SONAR można włączać i wyłączać. Można także zmienić działanie w przypadku wykrycia niektórych typów zagrożeń przez funkcję SONAR. Działania dotyczące wykryć można zmienić, aby zmniejszyć liczbę fałszywych alarmów. Patrz „Zmiana ustawień funkcji SONAR” na stronie 105 Utworzenie wyjątków dla bezpiecznych Funkcja SONAR może wykrywać pliki lub aplikacji aplikacje, które mają być uruchamiane na komputerze. Można utworzyć wyjątki aplikacji lub folderów. Wyjątek można również utworzyć na stronie Kwarantanna. Patrz „Wykluczanie elementów ze skanowań” na stronie 91 103 104 Zarządzanie skanowaniami Zarządzanie funkcją SONAR na komputerze klienckim Zadanie Opis Przesyłanie informacji o wykryciach do Firma Symantec zaleca wysyłanie informacji o centrum Symantec Security Response wykryciach do centrum Symantec Security Response. Informacje te ułatwiają firmie Symantec eliminowanie zagrożeń. Wysyłki są domyślnie włączone. Patrz „Przesyłanie informacji o wykryciach do centrum Symantec Security Response” na stronie 99 Funkcja SONAR — informacje SONAR to funkcja ochrony w czasie rzeczywistym, która wykrywa potencjalnie destrukcyjne aplikacje podczas ich uruchamiania na komputerach. Funkcja SONAR zapewnia ochronę przed nowymi zagrożeniami, ponieważ wykrywa je, zanim utworzone zostaną tradycyjne definicje wirusów i programów typu spyware, umożliwiające eliminację takich zagrożeń. Funkcja SONAR stosuje również analizę heurystyczną oraz dane o reputacji w celu wykrywania nowych i nieznanych zagrożeń. Funkcja SONAR zapewnia dodatkowy poziom ochrony na komputerach klienckich oraz uzupełnia istniejącą ochronę przed wirusami i programami typu spyware, zapobieganie zagrożeniom oraz zaporę. Uwaga: Funkcja Automatyczna ochrona wykorzystuje również mechanizm heurystyczny o nazwie Bloodhound w celu wykrywania podejrzanego działania w plikach. Patrz „Zarządzanie funkcją SONAR na komputerze klienckim” na stronie 102 Patrz „Pliki i aplikacje wykrywane przez funkcję SONAR — informacje” na stronie 104 Pliki i aplikacje wykrywane przez funkcję SONAR — informacje Funkcja SONAR używa systemu heurystycznego wykorzystującego sieć wywiadu internetowego firmy Symantec oraz prewencyjne monitorowanie lokalne na komputerze w celu wykrywania nowych zagrożeń. Funkcja SONAR wykrywa także zmiany lub sposób działania na komputerze, który należy monitorować. Funkcja SONAR nie dokonuje wykryć na podstawie typu aplikacji, tylko na podstawie sposobu działania procesu. Funkcja SONAR podejmuje działanie wobec aplikacji tylko w przypadku, gdy aplikacja działa w sposób destrukcyjny, bez Zarządzanie skanowaniami Zarządzanie funkcją SONAR na komputerze klienckim względu na jej typ. Jeśli na przykład koń trojański lub program rejestrujący naciśnięcia klawiszy nie działa w destrukcyjny sposób, funkcja SONAR go nie wykrywa. Funkcja SONAR wykrywa następujące elementy: Zagrożenia heurystyczne Funkcja SONAR stosuje heurystykę w celu określenia, czy nieznany plik działa w podejrzany sposób i może stanowić zagrożenie wysokiego lub niskiego stopnia. Stosuje również dane dotyczące reputacji w celu określenia, czy jest to zagrożenie wysokiego, czy niskiego stopnia. Zmiany w systemie Funkcja SONAR wykrywa aplikacje lub pliki, które próbują zmodyfikować ustawienia usługi DNS lub plik hosta na komputerze klienckim. Zaufane aplikacje wykazujące nieprawidłowy sposób działania Niektóre prawidłowe, zaufane pliki mogą być skojarzone z podejrzanym sposobem działania. Funkcja SONAR wykrywa te pliki jako zdarzenia podejrzanego sposobu działania. Na przykład znana aplikacja udostępniania dokumentów może tworzyć pliki wykonywalne. Wyłączenie funkcji Automatyczna ochrona ogranicza funkcji SONAR możliwości wykrywania plików zagrożeń wysokiego i niskiego stopnia. Wyłączenie wyszukiwań Insight (kwerend dotyczących reputacji) również ogranicza możliwości wykrywania funkcji SONAR. Patrz „Zarządzanie funkcją SONAR na komputerze klienckim” na stronie 102 Zmiana ustawień funkcji SONAR Działania funkcji SONAR można zmienić, aby zmniejszyć liczbę fałszywych alarmów. Można także zmienić powiadomienia dotyczące wykryć heurystycznych funkcji SONAR. Patrz „Zarządzanie funkcją SONAR na komputerze klienckim” na stronie 102 Uwaga: Na klientach zarządzanych administrator może zablokować te ustawienia. Aby zmienić ustawienia funkcji SONAR: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Zapobieganie zagrożeniom. 105 106 Zarządzanie skanowaniami Zarządzanie funkcją SONAR na komputerze klienckim 3 Na karcie SONAR, zmień działania dotyczące zagrożeń heurystycznych wysokiego lub niskiego stopnia. Dla zagrożeń niskiego stopnia można włączyć tryb agresywny wykrywania. To ustawienie zwiększa czułość wykrywania zagrożeń niskiego stopnia przez funkcję SONAR. Może zwiększyć liczbę fałszywych alarmów. 4 Opcjonalnie zmień ustawienia powiadomień. 5 Na karcie Wykrycie podejrzanego sposobu działania zmień działanie dla wykryć zagrożeń wysokiego stopnia lub niskiego stopnia. Funkcja SONAR dokonuje tych wykryć, gdy zaufane pliki są skojarzone z podejrzanym sposobem działania. 6 Na karcie Zdarzenia zmian w systemie zmień działanie skanowania dla wykryć zmian ustawień serwera DNS lub pliku hosts. 7 Kliknij przycisk OK. Rozdział 5 Zarządzanie zaporą i zapobieganiem włamaniom Ten rozdział obejmuje następujące zagadnienia: ■ Ochrona przed zagrożeniami sieciowymi — informacje ■ Zarządzanie zaporą ■ Konfigurowanie ustawień zapory ■ Zezwalanie na aplikacje lub ich blokowanie — informacje ■ Wyświetlanie operacji sieciowych ■ Reguły zapory klienckiej — informacje ■ Kolejność przetwarzania reguł zapory, ustawień zapory i ustawień systemu zapobiegania włamaniom — informacje ■ Zmiana kolejności reguł zapory ■ Jak zapora stosuje stanową analizę pakietów ■ Elementy reguły zapory ■ Konfigurowanie reguł zapory ■ Zarządzanie systemem zapobiegania włamaniom ■ Sposób działania funkcji Zapobieganie włamaniom ■ Włączanie lub wyłączanie funkcji zapobiegania włamaniom ■ Konfigurowanie powiadomień funkcji zapobiegania włamaniom 108 Zarządzanie zaporą i zapobieganiem włamaniom Ochrona przed zagrożeniami sieciowymi — informacje Ochrona przed zagrożeniami sieciowymi — informacje Funkcja klienta Symantec Endpoint Protection Ochrona przed zagrożeniami sieciowymi monitoruje informacje, które przychodzą do komputera i wychodzą z niego, a także blokuje próby ataków sieciowych. Tabela 5-1 przedstawia funkcje programu Symantec Endpoint Protection umożliwiające zarządzanie funkcją Ochrona przed zagrożeniami sieciowymi. Tabela 5-1 Funkcje ochrony przed zagrożeniami sieciowymi Narzędzie Opis Zapora Zapora uniemożliwia nieuprawnionym użytkownikom dostęp do komputera użytkownika i sieci łączących się z Internetem. Zapora wykrywa prawdopodobne ataki hakerskie, chroni osobiste informacje użytkownika i eliminuje niepożądane źródła ruchu sieciowego. Zapora przepuszcza lub blokuje ruch przychodzący i wychodzący. Patrz „Sposób działania zapory” na stronie 110 Patrz „Zarządzanie zaporą” na stronie 108 System zapobiegania włamaniom System zapobiegania włamaniom (IPS) automatycznie wykrywa ataki sieciowe i blokuje je. System zapobiegania włamaniom skanuje każdy pakiet przychodzący i wychodzący na komputerze w poszukiwaniu sygnatur ataków. System zapobiegania włamaniom korzysta z obszernej listy sygnatur ataków, aby wykrywać i blokować podejrzane operacje w sieci. Firma Symantec dostarcza listę znanych zagrożeń, którą można aktualizować w programie klienckim za pomocą usługi Symantec LiveUpdate. Mechanizm systemu zapobiegania włamaniom i odpowiedni zestaw sygnatur tego systemu są instalowane na komputerze klienckim domyślnie. Patrz „Sposób działania funkcji Zapobieganie włamaniom” na stronie 141 Patrz „Zarządzanie systemem zapobiegania włamaniom” na stronie 140 Zarządzanie zaporą Zapora domyślnie zezwala na cały przychodzący i wychodzący ruch sieciowy. Zaporę można skonfigurować w celu przepuszczania lub blokowania określonych typów ruchu. Zarządzanie zaporą i zapobieganiem włamaniom Zarządzanie zaporą Administrator określa poziom interakcji użytkownika z klientem poprzez umożliwienie lub zablokowanie możliwości konfigurowania reguł i ustawień zapory. Administrator może ograniczyć użytkowanie w taki sposób, że użytkownik może pracować z klientem tylko wówczas, gdy klient powiadamia użytkownika o nowych połączeniach sieciowych i możliwych problemach. Administrator może też zapewnić użytkownikowi pełny dostęp do interfejsu użytkownika. Tabela 5-2 przedstawia zadania zapory, które można wykonać w celu ochrony komputera. Wszystkie te zadania są opcjonalne i można je wykonać w dowolnej kolejności. Tabela 5-2 Zarządzanie zaporą Zadanie Opis Zapoznanie się ze sposobem działania zapory Należy poznać sposób, w jaki zapora chroni komputer przed atakami sieciowymi. Konfigurowanie ustawień zapory Użytkownik może nie tylko tworzyć reguły zapory, lecz również włączać i konfigurować ustawienia zapory w celu udoskonalenia ochrony zapewnianej przez zaporę. Patrz „Sposób działania zapory” na stronie 110 Patrz „Konfigurowanie ustawień zapory” na stronie 111 Wyświetlanie Można regularnie sprawdzać stan zapory na komputerze, aby dzienników zdarzeń upewnić się czy: ■ Utworzone reguły zapory działają prawidłowo. ■ Klient zablokował jakiekolwiek ataki sieciowe. ■ Klient zablokował jakiekolwiek aplikacje, które powinny zostać uruchomione. Stan zapory można sprawdzić za pomocą dziennika ruchu i dziennika pakietów. Patrz „Dzienniki — informacje” na stronie 49 Uwaga: Dziennik pakietów jest domyślnie wyłączony na klientach zarządzanych. Konfigurowanie ustawień aplikacji Ochronę komputera można zwiększyć, dostosowując ustawienia aplikacji. Aplikacja to oprogramowanie mające na celu ułatwienie użytkownikowi wykonania żądanych zadań. Aplikacją jest na przykład program Microsoft Internet Explorer. Ustawienia zapory można skonfigurować w celu kontrolowania aplikacji mogących uzyskać dostęp do sieci. Patrz „Zezwalanie na aplikacje lub ich blokowanie — informacje” na stronie 125 109 110 Zarządzanie zaporą i zapobieganiem włamaniom Zarządzanie zaporą Zadanie Opis Monitorowanie operacji sieciowych Można wyświetlić informacje o ruchu przychodzącym i ruchu wychodzącym klienta. Można również wyświetlić listę aplikacji i usług uruchomionych od chwili uruchomienia usługi klienta. Patrz „Wyświetlanie operacji sieciowych” na stronie 129 Dodawanie i dostosowywanie reguł zapory Użytkownik może nie tylko włączać ustawienia zapory, lecz również modyfikować reguły zapory w celu dodatkowego udoskonalenia ochrony zapewnianej przez zaporę. Można także tworzyć nowe reguły zapory. Użytkownik może na przykład zablokować aplikację, której nie chce uruchamiać na komputerze, taką jak program typu adware. Patrz „Reguły zapory klienckiej — informacje” na stronie 131 Patrz „Konfigurowanie reguł zapory” na stronie 137 Patrz „Włączanie i wyłączanie reguł zapory” na stronie 140 Włączanie lub wyłączanie zapory Użytkownik może tymczasowo wyłączyć funkcję Ochrona przed zagrożeniami sieciowymi w celu rozwiązywania problemów. Można ją na przykład wyłączyć w celu umożliwienia otwarcia określonej aplikacji. Patrz „Włączanie lub wyłączanie ochrony na komputerze klienckim” na stronie 45 Patrz „Ochrona przed zagrożeniami sieciowymi — informacje” na stronie 108 Sposób działania zapory Zapora wykonuje wszystkie następujące zadania: ■ Uniemożliwia wszystkim nieuprawnionym użytkownikom dostęp do łączących się z Internetem komputerów i sieci w organizacji. ■ Monitoruje komunikację między chronionymi komputerami a innymi komputerami w Internecie. ■ Tworzy ochronną powłokę zezwalającą na próby uzyskania dostępu do informacji na chronionych komputerach lub blokującą je. ■ Ostrzega użytkownika o próbach połączenia z innych komputerów. ■ Ostrzega o próbach połączeń podejmowanych przez programy znajdujące się na komputerze użytkownika. Zapora sprawdza pakiety danych przesyłane przez Internet. Pakiet to oddzielny fragment danych stanowiący część przepływu informacji między dwoma Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory komputerami. Pakiety są ponownie składane w lokalizacji docelowej w ciągły strumień danych. Pakiety zawierają informacje o: ■ Wysyłających je komputerach ■ Zamierzonych adresatach ■ Sposobie przetwarzania danych pakietu ■ Portach odbierających pakiety Porty to kanały dzielące strumień danych przychodzący z Internetu. Aplikacje uruchamiane na komputerze prowadzą nasłuch na portach. Aplikacje odbierają dane wysłane do odpowiednich portów. Ataki sieciowe wykorzystują luki zabezpieczeń w aplikacjach. Atakujący używają tych luk, aby wysyłać pakiety zawierające destrukcyjny kod programu do określonych portów. Gdy aplikacje narażone na atak prowadzą nasłuch na portach, destrukcyjny kod umożliwia atakującym uzyskania dostępu do komputera. Patrz „Ochrona przed zagrożeniami sieciowymi — informacje” na stronie 108 Patrz „Zarządzanie zaporą” na stronie 108 Konfigurowanie ustawień zapory Tabela 5-3 przedstawia typy ustawień zapory, które użytkownik może skonfigurować w celu dodatkowego dostosowania zapory. Jeśli ustawienia nie są wyświetlane w interfejsie użytkownika lub nie można ich zmodyfikować, administrator nie udzielił użytkownikowi uprawnień do ich konfigurowania. Modyfikacje ustawień zapory są opcjonalne i można je wykonać w dowolnej kolejności. 111 112 Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory Tabela 5-3 Ustawienia zapory Kategoria Opis Ruch i tryb ukrywania przeglądania Internetu Możliwe jest włączenie różnych ustawień ruchu i trybu ukrywania przeglądania Internetu, zapewniających ochronę przed pewnymi typami ataków sieciowych na klienta. Ustawienia ruchu można skonfigurować tak, aby wykrywać i blokować ruch odbywający się za pośrednictwem sterowników, protokołu NetBIOS oraz Token Ring. Można skonfigurować ustawienia tak, aby był wykrywany ruch wykorzystujący mniej widoczne metody ataku. Można także sterować sposobem działania wobec ruchu protokołu IP nie dopasowanego do żadnej reguły zapory. Patrz „Włączanie ustawień dotyczących ruchu i trybu ukrywania przeglądania Internetu” na stronie 113 Wbudowane reguły Program Symantec Endpoint Protection zawiera wbudowane dotyczące niezbędnych usług reguły, umożliwiające normalną wymianę między sieciowych określonymi niezbędnymi usługami sieciowymi. Wbudowane reguły eliminują konieczność tworzenia reguł zapory jawnie zezwalających na te usługi. Podczas przetwarzania wbudowane reguły są stosowane przed regułami zapory, co oznacza, że pakiety zgodne z aktywnym wystąpieniem reguły wbudowanej są przepuszczane. Reguły wbudowane można zdefiniować dla usług DHCP, DNS i WINS. Patrz „Automatyczne zezwalanie na komunikację niezbędnych usług sieciowych” na stronie 120 Udostępnianie plików i drukarek w sieci Klientowi można umożliwić udostępnianie plików i drukarek lub przeglądanie sieci lokalnej w poszukiwaniu udostępnionych plików i drukarek. Aby zapobiec atakom sieciowym, można wyłączyć udostępnianie plików i drukarek w sieci. Patrz „Włączanie udostępniania plików i drukarek” na stronie 120 Blokowanie atakującego komputera Gdy program Symantec Endpoint Protection wykryje atak sieciowy, może automatycznie zablokować połączenie, aby zapewnić bezpieczeństwo komputera klienckiego. Klient włącza aktywną reakcję. Następnie klient automatycznie blokuje przez określony czas całą komunikację z adresem IP atakującego komputera. Adres IP atakującego komputera jest blokowany dla jednej lokalizacji. Patrz „Blokowanie i odblokowywanie atakującego komputera” na stronie 122 Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory Patrz „Reguły zapory klienckiej — informacje” na stronie 131 Patrz „Konfigurowanie reguł zapory” na stronie 137 Włączanie ustawień dotyczących ruchu i trybu ukrywania przeglądania Internetu Możliwe jest włączenie różnych ustawień ruchu i trybu ukrywania przeglądania Internetu, zapewniających ochronę przed pewnymi typami ataków sieciowych na klienta. Ustawienia ruchu można skonfigurować tak, aby wykrywać i blokować ruch odbywający się za pośrednictwem sterowników, protokołu NetBIOS oraz Token Ring. Można skonfigurować ustawienia tak, aby był wykrywany ruch wykorzystujący mniej widoczne metody ataku. Można także sterować sposobem działania wobec ruchu protokołu IP nie dopasowanego do żadnej reguły zapory. Gdy zapora ukończy określone operacje, kontrola jest przekazywana do kilku składników. Każdy składnik jest przeznaczony do przeprowadzania innego typu analizy pakietów. Aby włączyć ustawienia dotyczące ruchu i przeglądania Internetu w trybie ukrycia: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Ochrona przed zagrożeniami sieciowymi. 3 Na karcie Zapora, w obszarze Ustawienia ruchu zaznacz następujące pola wyboru funkcji, które chcesz włączyć: 113 114 Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory Włącz ochronę systemu NetBIOS Umożliwia zablokowanie ruchu systemu NetBIOS z zewnętrznej bramy. Możliwe jest udostępnianie plików i drukarek w otoczeniu sieciowym w sieci LAN i zarazem zabezpieczenie komputera przed atakami z sieci zewnętrznych, wykorzystującymi luki w zabezpieczeniach systemu NetBIOS. Włączenie tej opcji powoduje blokowanie pakietów NetBIOS pochodzących z adresów IP spoza zakresów wewnętrznych określonych przez organizację ICANN. Zakresy wewnętrzne określone przez organizację ICANN obejmują adresy 10.x.x.x, 172.16.x.x, 192.168.x.x i 169.254.x.x z wyjątkiem podsieci 169.254.0.x i 169.254.255.x. Pakiety NetBIOS kierowane są na porty UDP 88, 137, 138 oraz TCP 135, 139, 445 i 1026. Uwaga: Włączenie funkcji ochrony systemu NetBIOS może spowodować problem z programem Microsoft Outlook, jeżeli komputer kliencki łączy się z serwerem Microsoft Exchange znajdującym się w innej podsieci. W takim przypadku można utworzyć regułę zapory, która zezwoli na dostęp do tego serwera. Zezwalaj na ruch Token Ring Zezwala komputerom klienckim łączącym się z siecią za pośrednictwem karty Token Ring na dostęp niezależnie od reguł zapory na kliencie. Po wyłączeniu tego ustawienia do sieci firmowej nie będzie dopuszczany jakikolwiek ruch z komputerów łączących się za pośrednictwem karty sieciowej typu token ring. Zapora nie filtruje ruchu token ring. Możliwe jest tylko całkowite zablokowanie albo całkowite odblokowanie ruchu token ring. Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory Włącz przeciwdziałanie fałszowaniu adresów MAC Zezwala na przychodzący i wychodzący ruch ARP (Address Resolution Protocol) tylko wtedy, gdy do danego hosta wysłano żądanie ARP. Blokowany jest cały pozostały, nieoczekiwany ruch ARP, który jest też rejestrowany w dzienniku zabezpieczeń. Niektórzy hakerzy fałszują adresy MAC w celu przechwycenia sesji komunikacji między dwoma komputerami. Adresy MAC (Media Access Control) są adresami sprzętowymi identyfikującymi komputery, serwery, routery itd. Jeżeli komputer A chce komunikować się z komputerem B, może wysłać do niego pakiet ARP. Funkcja przeciwdziałania fałszowaniu adresów MAC chroni komputer użytkownika przed możliwością zresetowania tabeli adresów MAC przez inny komputer. Po wysłaniu przez komputer komunikatu żądania ARP REQUEST klient zezwala na odbiór związanego z nim komunikatu odpowiedzi ARP RESPOND w ciągu 10 sekund. Wszystkie pozostałe komunikaty odpowiedzi ARP RESPOND są odrzucane. Włącz monitorowanie aplikacji sieciowych Umożliwia klientowi monitorowanie zmian w aplikacjach sieciowych uruchomionych na komputerze klienckim. Aplikacje sieciowe wysyłają i odbierają ruch. Klient wykrywa, czy składniki aplikacji zmieniają się. Blokuj cały ruch do chwili Przy wyłączonej z dowolnego powodu zaporze blokuje uruchomienia zapory i po jej cały ruch przychodzący i wychodzący z komputera zatrzymaniu klienckiego. Komputer nie jest chroniony w każdej z następujących sytuacji: ■ Po jego włączeniu i przed uruchomieniem zapory ■ Po zatrzymaniu zapory i wyłączeniu komputera Ten czas to niewielka luka w zabezpieczeniach, umożliwiająca nieautoryzowaną komunikację. Ustawienie to zapobiega komunikacji nieautoryzowanych aplikacji z innymi komputerami. Uwaga: Jeżeli ochrona przed zagrożeniami sieciowymi jest wyłączona, klient ignoruje to ustawienie. 115 116 Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory Włącz wykrywanie ataków typu odmowa obsługi Gdy to ustawienie jest włączone, program Symantec Endpoint Protection identyfikuje znane ataki na podstawie wielu pakietów, bez względu na numer portu i typ protokołu internetowego. Niezdolność wykrywania tego typu jest ograniczeniem opartych na sygnaturach systemów wykrywania włamań i zapobiegania im. Włącz wykrywanie skanowania portów Gdy to ustawienie jest włączone, program Symantec Endpoint Protection monitoruje wszystkie przychodzące pakiety blokowane przez dowolne reguły zabezpieczeń. Jeśli reguła blokuje w krótkim czasie kilka różnych pakietów na różnych portach, program Symantec Endpoint Protection tworzy wpis w dzienniku zabezpieczeń. Wykrywanie skanowania portów nie blokuje żadnych pakietów. Należy utworzyć zasadę zabezpieczeń w celu blokowania ruchu w razie skanowania portów. Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory 4 W obszarze Ustawienia niedopasowanego ruchu protokołu IP zaznacz pola wyboru funkcji, które chcesz włączyć. Opcje te kontrolują przychodzący i wychodzący ruch protokołu IP nie pasujący do żadnej reguły zapory. Ruch protokołu IP obejmuje pakiety danych przesyłane w sieciach IP przy użyciu protokołów TCP, UDP i ICMP. Do typów ruchu IP należy ruch aplikacji, wymiany wiadomości e-mail, transfery plików, pakiety ping i transmisje internetowe. Można włączyć jedno lub wiele następujących ustawień ruchu protokołu IP: Zezwalaj na ruch protokołu IP Zezwala na wszelki ruch przychodzący i wychodzący nieblokowany przez reguły zapory. Jeśli na przykład dodana zostanie reguła blokująca ruch VPN, zapora będzie zezwalać na wszelki ruch oprócz ruchu VPN. Zezwalaj tylko na ruch aplikacji Zezwala na ruch do i od aplikacji oraz blokuje ruch, który nie jest skojarzony z żadną aplikacją. Zapora zezwala na przykład na ruch programu Internet Explorer, ale blokuje ruch VPN, jeśli nie zezwala na niego reguła. Pytaj przed zezwoleniem na Wyświetla monit o zezwolenie na aplikację lub jej ruch aplikacji zablokowanie. Użytkownicy mogą na przykład wybrać, czy chcą zablokować pliki multimedialne. Użytkownicy mogą też na przykład ukryć emisje procesu NTOSKRNL.DLL. Proces NTOSKRNL.DLL może stanowić wskaźnik obecności programu typu spyware, ponieważ programy typu spyware często pobierają i instalują proces NTOSKRNL.DLL. 117 118 Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory 5 W obszarze Ustawienia ukrywania zaznacz następujące pola wyboru funkcji, które chcesz włączyć. Włącz zmianę sekwencji TCP Włączenie tej opcji zapobiega fałszowaniu lub podszywaniu się pod adresy IP przez intruza. Hakerzy fałszują adresy IP w celu przechwytywania sesji komunikacji między dwoma komputerami (np. komputerami A i B). Haker może na przykład wysłać pakiet danych, który spowoduje przerwanie komunikacji z komputerem A. Następnie haker może podszyć się pod komputer A i nawiązać komunikację z komputerem B, a następnie zaatakować go. Aby chronić komputer, funkcja zmiany sekwencji TCP powoduje generowanie losowych numerów sekwencji TCP. Uwaga: Funkcja maskowania niepowtarzalnego identyfikatora systemu operacyjnego działa najskuteczniej przy włączonym mechanizmie zmiany sekwencji TCP. Ostrzeżenie: Mechanizm zmiany sekwencji TCP powoduję zmianę numeru sekwencji TCP podczas działania usługi na komputerze klienckim. Numer sekwencji jest inny podczas działania i niedziałania usługi. W związku z tym połączenia sieciowe zostają przerwane wskutek wyłączenia bądź włączenia usługi zapory. Pakiety TCP/IP używają sekwencji numerów sesji do komunikacji z innymi komputerami. Kiedy program kliencki nie działa, komputer kliencki używa schematu numerowania systemu Windows. Kiedy program kliencki działa i włączony jest mechanizm zmiany sekwencji TCP, komputer kliencki używa innego schematu numerowania. Jeżeli usługa działająca na kliencie zostanie nagle zatrzymana, przywrócony zostanie schemat numerowania systemu Windows, a system Windows odrzuci pakiety takiego ruchu. Mechanizm zmiany sekwencji TCP może spowodować problemy ze zgodnością z niektórymi kartami sieciowymi, wskutek których klient blokuje cały ruch przychodzący i wychodzący. Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory Włącz tryb ukrywania przeglądania Internetu Powoduje wykrywanie ruchu protokołu HTTP z przeglądarki internetowej na wszystkich portach i usuwanie następujących informacji: nazwy i numeru wersji przeglądarki, systemu operacyjnego i strony internetowej, z której nastąpiło przejście do danej strony. Wskutek tego witryny internetowe nie mogą rozpoznać systemu operacyjnego ani przeglądarki używanej na komputerze. Opcja ta nie powoduje wykrywania ruchu HTTPS (SSL). Ostrzeżenie: Tryb ukrywania przeglądania Internetu może spowodować nieprawidłowe działanie niektórych witryn internetowych. Niektóre serwery internetowe budują strony na podstawie informacji o przeglądarkach. Ponieważ opcja ta powoduje usunięcie informacji o przeglądarce, niektóre strony internetowe mogą nie być wyświetlane prawidłowo bądź wcale. Tryb ukrywania przeglądania Internetu powoduje usunięcie sygnatury przeglądarki, HTTP_USER_AGENT, z nagłówka żądania HTTP i zastąpienie jej sygnaturą ogólną. Włącz maskowanie niepowtarzalnego identyfikatora systemu operacyjnego Zapobiega wykrywaniu systemu operacyjnego zainstalowanego na komputerze klienckim. Klient zmienia wartość TTL i wartość identyfikatora pakietów TCP/IP, aby uniemożliwić identyfikację systemu operacyjnego. Uwaga: Funkcja maskowania niepowtarzalnego identyfikatora systemu operacyjnego działa najskuteczniej przy włączonym mechanizmie zmiany sekwencji TCP. Ostrzeżenie: Mechanizm zmiany sekwencji TCP może spowodować problemy ze zgodnością z niektórymi kartami sieciowymi, wskutek których klient blokuje cały ruch przychodzący i wychodzący. 6 Kliknij przycisk OK. Patrz „Konfigurowanie ustawień zapory” na stronie 111 Patrz „Blokowanie ruchu” na stronie 123 119 120 Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory Automatyczne zezwalanie na komunikację niezbędnych usług sieciowych Program Symantec Endpoint Protection zawiera wbudowane reguły, umożliwiające normalną wymianę między określonymi niezbędnymi usługami sieciowymi. Wbudowane reguły eliminują konieczność tworzenia reguł zapory jawnie zezwalających na te usługi. Podczas przetwarzania wbudowane reguły są stosowane przed regułami zapory, co oznacza, że pakiety zgodne z aktywnym wystąpieniem reguły wbudowanej są przepuszczane. Reguły wbudowane można zdefiniować dla usług DHCP, DNS i WINS. Filtry reguł wbudowanych przepuszczają pakiet przychodzący w odpowiedzi na żądanie. Nie blokują one pakietów. O przepuszczaniu lub blokowaniu pakietów decydują reguły zapory. 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Ochrona przed zagrożeniami sieciowymi. 3 Na karcie Zapora, w obszarze Reguły wbudowane zaznacz dowolne z następujących opcji: 4 ■ Włącz Smart DHCP ■ Włącz Smart DNS ■ Włącz Smart WINS Kliknij przycisk OK. Patrz „Włączanie ustawień dotyczących ruchu i trybu ukrywania przeglądania Internetu” na stronie 113 Patrz „Konfigurowanie ustawień zapory” na stronie 111 Włączanie udostępniania plików i drukarek Klientowi można umożliwić udostępnianie plików i drukarek lub przeglądanie sieci lokalnej w poszukiwaniu udostępnionych plików i drukarek. Aby zapobiec atakom sieciowym, można wyłączyć udostępnianie plików i drukarek w sieci. Udostępnianie plików i drukarek w sieci można włączyć na następujące sposoby: Automatycznie włączając ustawienia udostępniania plików i drukarek na karcie Microsoft Windows Networking. Jeśli reguła zapory blokuje ten ruch, to ma pierwszeństwo. Aby automatycznie włączyć udostępnianie plików i drukarek w sieci: Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory Ręcznie włączając udostępnianie plików i drukarek poprzez dodanie reguł zapory. Można dodać reguły zapory precyzujące ustawienia. Można na przykład utworzyć regułę, aby określić wybranego hosta zamiast wszystkie hosty. Reguły zapory umożliwiają dostęp do portów w celu przeglądania i udostępniania plików i drukarek. Można utworzyć jeden zestaw reguł zapory, umożliwiający klientowi udostępnianie plików i drugi zestaw reguł zapory, umożliwiający klientowi wyszukiwanie innych plików i drukarek. Aby ręcznie umożliwić klientom przeglądanie plików i wyszukiwanie drukarek: Aby ręcznie umożliwić innym komputerom przeglądanie plików na kliencie: Aby automatycznie włączyć udostępnianie plików i drukarek w sieci: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Ochrona przed zagrożeniami sieciowymi. 3 Na karcie Microsoft Windows Networking, w obszarze Ustawienia kliknij menu rozwijane i wybierz kartę sieciową, której dotyczyć mają ustawienia. 4 Kliknij pozycję Przeglądaj pliki i drukarki w sieci, aby umożliwić przeglądanie innych komputerów i wyszukiwanie drukarek w sieci. 5 Aby umożliwić innym komputerom przeglądanie plików na danym komputerze, kliknij pozycję Udostępniaj pliki i drukarki innym użytkownikom sieci. 6 Kliknij przycisk OK. Aby ręcznie umożliwić klientom przeglądanie plików i wyszukiwanie drukarek: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Skonfiguruj reguły zapory. 3 W oknie dialogowym Konfigurowanie reguł zapory kliknij pozycję Dodaj. 4 Na karcie Ogólne wpisz nazwę reguły i kliknij pozycję Blokuj ten ruch. 5 Na karcie Porty i protokoły, na liście rozwijanej Protokół kliknij pozycję TCP. 6 W obszarze Porty zdalne wpisz 88, 135, 139, 445. 7 Kliknij przycisk OK. 121 122 Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory 8 W oknie dialogowym Konfigurowanie reguł zapory kliknij pozycję Dodaj. 9 Na karcie Ogólne wpisz nazwę reguły i kliknij pozycję Blokuj ten ruch. 10 Na karcie Porty i protokoły, na liście rozwijanej Protokół kliknij pozycję UDP. 11 W obszarze Porty zdalne wpisz 88. 12 W obszarze Porty lokalne wpisz 137, 138. 13 Kliknij przycisk OK. Aby ręcznie umożliwić innym komputerom przeglądanie plików na kliencie: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Skonfiguruj reguły zapory. 3 W oknie dialogowym Konfigurowanie reguł zapory kliknij pozycję Dodaj. 4 Na karcie Ogólne wpisz nazwę reguły i kliknij pozycję Blokuj ten ruch. 5 Na karcie Porty i protokoły, na liście rozwijanej Protokół kliknij pozycję TCP. 6 W obszarze Porty lokalne wpisz 88, 135, 139, 445. 7 Kliknij przycisk OK. 8 W oknie dialogowym Konfigurowanie reguł zapory kliknij pozycję Dodaj. 9 Na karcie Ogólne wpisz nazwę reguły i kliknij pozycję Blokuj ten ruch. 10 Na karcie Porty i protokoły, na liście rozwijanej Protokół kliknij pozycję UDP. 11 W obszarze Porty lokalne wpisz 88, 137, 138. 12 Kliknij przycisk OK. Patrz „Konfigurowanie ustawień zapory” na stronie 111 Blokowanie i odblokowywanie atakującego komputera Gdy program Symantec Endpoint Protection wykryje atak sieciowy, może automatycznie zablokować połączenie, aby zapewnić bezpieczeństwo komputera klienckiego. Klient uruchamia aktywną reakcję, która automatycznie blokuje przez określony czas całą komunikację z adresem IP atakującego komputera. Adres IP atakującego komputera jest blokowany dla jednej lokalizacji. Adres IP atakującego komputera można sprawdzić w dzienniku zabezpieczeń. Można również odblokować atak, zatrzymując aktywną reakcję w dzienniku zabezpieczeń. Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory Aby nie czekać na odblokowanie adresu IP przez domyślny okres czasu, można odblokować go natychmiast. Aby zablokować atakujący komputer: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Ochrona przed zagrożeniami sieciowymi. 3 Na karcie Zapora, w obszarze Ustawienia aktywnej reakcji zaznacz pole wyboru Liczba sekund automatycznego blokowania adresu IP atakującego i wprowadź żądaną liczbę sekund. Wprowadź liczbę sekund z przedziału od 1 do 999 999. Ustawienie domyślne to 600 sekund (10 minut). 4 Kliknij przycisk OK. Aby odblokować atakujący komputer: 1 W programie klienckim kliknij pozycję Wyświetl dzienniki na pasku bocznym. 2 Obok pozycji Zarządzanie klientami kliknij pozycję Wyświetl dzienniki > Dziennik zabezpieczeń. 3 W dzienniku zabezpieczeń zaznacz wiersz, w którym kolumnie Typ zdarzenia znajduje się pozycja Aktywna reakcja, a następnie kliknij pozycję Działanie > Zatrzymaj aktywną reakcję. Aby odblokować zablokowane adresy IP, kliknij pozycję Działanie > Zatrzymaj wszystkie aktywne reakcje. Po zablokowaniu aktywnej reakcji w kolumnie Typ zdarzenia wyświetlana jest pozycja Aktywna reakcja anulowana. Po upływie ustawionego czasu reakcji w kolumnie Typ zdarzenia wyświetlana jest pozycja Aktywna reakcja wyłączona. 4 W wyświetlonym oknie komunikatu kliknij przycisk OK. 5 Kliknij menu Plik > Zakończ. Patrz „Blokowanie ruchu” na stronie 123 Patrz „Konfigurowanie ustawień zapory” na stronie 111 Blokowanie ruchu Można skonfigurować komputer tak, aby blokować ruch przychodzący i wychodzący w następujących sytuacjach: 123 124 Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie ustawień zapory Gdy na komputerze uruchomiony zostaje wygaszacz ekranu. Komputer można skonfigurować tak, aby blokować cały ruch przychodzący i wychodzący z otoczenia sieciowego po uruchomieniu wygaszacza ekranu na komputerze. Natychmiast po wyłączeniu wygaszacza ekranu na komputerze przywrócony zostanie poprzednio przypisany poziom zabezpieczeń. Aby blokować ruch po uruchomieniu wygaszacza ekranu: Gdy zapora nie jest uruchomiona. Komputer nie jest chroniony przed uruchomieniem usługi zapory po włączeniu komputera klienckiego lub po zatrzymaniu usługi zapory przed wyłączeniem komputera. Ten czas to niewielka luka w zabezpieczeniach, umożliwiająca nieautoryzowaną komunikację. Aby blokować ruch, gdy zapora nie jest uruchomiona: Gdy ruch wychodzący i przychodzący ma być blokowany przez cały czas. Zablokowanie całego ruchu może być pożądane, gdy sieć lub podsieć firmowa została zaatakowana przez szczególnie niszczycielskiego wirusa. W normalnych okolicznościach nie jest wskazane blokowanie całego ruchu. Uwaga: Administrator może skonfigurować tę opcję tak, aby nie była dostępna. Nie można blokować ruchu na kliencie niezarządzanym. Aby zablokować cały ruch w dowolnej chwili: Wyłączając funkcję Ochrona przed zagrożeniami sieciowymi, można zezwolić na cały ruch. Patrz „Włączanie lub wyłączanie ochrony na komputerze klienckim” na stronie 45 Aby blokować ruch po uruchomieniu wygaszacza ekranu: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Ochrona przed zagrożeniami sieciowymi. 3 Na karcie Usługa Microsoft Windows Networking, w obszarze Tryb wygaszacza ekranu kliknij pozycję Blokuj ruch usługi Microsoft Windows Networking, gdy wygaszacz ekranu jest uruchomiony. 4 Kliknij przycisk OK. Aby blokować ruch, gdy zapora nie jest uruchomiona: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Ochrona przed zagrożeniami sieciowymi. Zarządzanie zaporą i zapobieganiem włamaniom Zezwalanie na aplikacje lub ich blokowanie — informacje 3 Na karcie Zapora, w obszarze Ustawienia ruchu kliknij pozycję Blokuj cały ruch do chwili uruchomienia zapory i po jej zatrzymaniu. 4 Opcjonalnie kliknij pozycję Zezwalaj na początkowy ruch DHCP i NetBIOS. 5 Kliknij przycisk OK. Aby zablokować cały ruch w dowolnej chwili: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Wyświetl operacje sieciowe. 3 Kliknij pozycję Narzędzia > Blokuj cały ruch. 4 Aby potwierdzić, kliknij przycisk Tak. 5 Aby przywrócić poprzednie ustawienia zapory klienta, usuń zaznaczenie opcji Narzędzia > Blokuj cały ruch. Patrz „Blokowanie i odblokowywanie atakującego komputera” na stronie 122 Patrz „Konfigurowanie ustawień zapory” na stronie 111 Zezwalanie na aplikacje lub ich blokowanie — informacje Aplikacja to oprogramowanie używane przez użytkownika w celu wykonania określonych zadań. Aplikacją jest na przykład program Microsoft Internet Explorer lub iTunes. Użytkownik może dostosować klienta w celu kontrolowania określonych aplikacji, aby chronić sieć przed atakami. Poniżej przedstawiono zadania, które można wykonać w celu dostosowania ochrony aplikacji za pomocą zapory. Wszystkie te zadania są opcjonalne i można je wykonać w dowolnej kolejności: ■ Na kliencie można włączyć funkcję zezwalania lub blokowania dostępu aplikacji do sieci. Patrz „Zezwalanie na dostęp lub blokowanie dostępu do sieci aplikacjom” na stronie 126 ■ Można skonfigurować ustawienia dotyczące aplikacji uruchamianej po uruchomieniu usługi klienckiej lub próbującej uzyskać dostęp do sieci. Można też skonfigurować ograniczenia dotyczące aplikacji, na przykład określić adresy IP i porty, których dana aplikacja może używać. Można wyświetlić i zmienić działanie podejmowane przez klienta wobec każdej aplikacji próbującej uzyskać dostęp za pośrednictwem połączenia sieciowego. Konfigurując ustawienia dla określonej aplikacji, tworzy się regułę zapory dotyczącą tej aplikacji. 125 126 Zarządzanie zaporą i zapobieganiem włamaniom Zezwalanie na aplikacje lub ich blokowanie — informacje Patrz „Konfigurowanie ustawień specyficznych dla aplikacji” na stronie 127 ■ Administrator może usunąć ograniczenia dotyczące aplikacji, takie jak pora dnia, o której zapora blokuje aplikację. W przypadku usunięcia ograniczeń działanie podejmowane przez klienta wobec aplikacji również jest wymazywane. Gdy aplikacja lub usługa spróbuje ponownie połączyć się z siecią, może zostać wyświetlone pytanie, czy zezwolić jej na to, czy ją zablokować. Uruchomienie aplikacji lub usługi można także zatrzymać do chwili, gdy spróbuje ona ponownie uzyskać dostęp do komputera, na przykład przy ponownym uruchamianiu komputera. Patrz „Usuwanie ograniczeń dotyczących aplikacji” na stronie 129 Patrz „Zarządzanie zaporą” na stronie 108 Zezwalanie na dostęp lub blokowanie dostępu do sieci aplikacjom Na kliencie można włączyć funkcję zezwalania lub blokowania dostępu aplikacji do sieci. Tabela 5-4 przedstawia działania podejmowane przez klienta wobec ruchu sieciowego. Tabela 5-4 Działania podejmowane przez zaporę, gdy aplikacje uzyskują dostęp do klienta lub sieci Działanie Opis Zezwalaj Zezwala ruchowi przychodzącemu na dostęp do komputera klienckiego, a ruchowi wychodzącemu na dostęp do sieci. Gdy klient odbiera ruch, ikona wyświetla małą niebieską kropkę w lewym dolnym rogu. Gdy klient wysyła ruch, ikona wyświetla kropkę w prawym dolnym rogu. Blokuj Blokuje ruchowi przychodzącemu i wychodzącemu dostęp do sieci lub połączenia internetowego. Pytaj Przy następnej próbie uruchomienia aplikacji użytkownikowi wyświetlane jest pytanie, czy zezwolić aplikacji na dostęp do sieci. Zakończ Zatrzymuje proces. Aby zezwalać na dostęp lub blokować dostęp do sieci aplikacjom: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Wyświetl operacje sieciowe. Zarządzanie zaporą i zapobieganiem włamaniom Zezwalanie na aplikacje lub ich blokowanie — informacje 3 W oknie dialogowym Operacje sieciowe, w polu Uruchomione aplikacje kliknij prawym przyciskiem myszy żądaną aplikację lub usługę, a następnie kliknij żądaną opcję. 4 Kliknij przycisk Zamknij. Patrz „Wyświetlanie operacji sieciowych” na stronie 129 Patrz „Blokowanie ruchu” na stronie 123 Patrz „Zezwalanie na aplikacje lub ich blokowanie — informacje” na stronie 125 Konfigurowanie ustawień specyficznych dla aplikacji Można skonfigurować ustawienia dotyczące aplikacji uruchamianej po uruchomieniu usługi klienckiej lub próbującej uzyskać dostęp do sieci. Można skonfigurować ograniczenia dotyczące aplikacji, na przykład określić adresy IP i porty, których dana aplikacja może używać. Można wyświetlić i zmienić działanie podejmowane przez klienta wobec każdej aplikacji próbującej uzyskać dostęp za pośrednictwem połączenia sieciowego. Konfigurując ustawienia dla określonej aplikacji, tworzy się regułę zapory dotyczącą tej aplikacji. Uwaga: W przypadku konfliktu między regułą zapory a ustawieniem dla określonej aplikacji priorytet ma reguła zapory. Jeżeli na przykład skonfigurowano regułę zapory blokującą cały ruch od godziny 01:00 do 08:00, ustawienie to zastępuje harmonogram dla określonej gry sieciowej. Aplikacje wyświetlane w oknie dialogowym Operacje sieciowe to aplikacje i usługi uruchomione od momentu uruchomienia usługi klienckiej. Aby skonfigurować ustawienia specyficzne dla aplikacji: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Wyświetl ustawienia aplikacji. 3 W oknie dialogowym Wyświetl ustawienia aplikacji wybierz aplikację, którą chcesz skonfigurować, a następnie kliknij pozycję Konfiguruj. 4 W oknie dialogowym Konfigurowanie ustawień aplikacji, w polu tekstowym Zaufane adresy IP aplikacji wpisz adres IP lub zakres adresów IP. 5 W grupie opcji Porty serwera zdalnego lub Porty lokalne wybierz port TCP lub UDP. 127 128 Zarządzanie zaporą i zapobieganiem włamaniom Zezwalanie na aplikacje lub ich blokowanie — informacje 6 Aby określić kierunek ruchu, kliknij jeden lub oba następujące elementy: Aby zezwolić na ruch wychodzący: Kliknij pozycję Zezwalaj na połączenia wychodzące. Aby zezwolić na ruch przychodzący: Kliknij pozycję Zezwalaj na połączenia przychodzące. 7 Aby reguła była stosowana, gdy uruchomiony zostanie wygaszacz ekranu, kliknij pozycję Zezwalaj, gdy wygaszacz ekranu jest włączony. 8 Aby skonfigurować harmonogram włączania i wyłączania ograniczeń, kliknij pozycję Włącz harmonogramy. 9 Wybierz jedną z następujących opcji: Aby określić czas obowiązywania ograniczeń: Kliknij pozycję W poniższym okresie. Aby określić czas nieobowiązywania ograniczeń: Kliknij pozycję Z wykluczeniem poniższego okresu. 10 Skonfiguruj harmonogram. 11 Kliknij przycisk OK. 12 W celu zmiany działania podejmowanego wobec danej aplikacji, w oknie dialogowym Wyświetl ustawienia aplikacji kliknij prawym przyciskiem myszy żądaną aplikację, a następnie kliknij polecenie Zezwalaj lub Blokuj. 13 Kliknij przycisk OK. Aby zatrzymać aplikację lub usługę: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Wyświetl operacje sieciowe. 3 W polu Uruchomione aplikacje kliknij prawym przyciskiem myszy żądaną aplikację, a następnie kliknij polecenie Zakończ. 4 Aby potwierdzić, kliknij przycisk Tak, a następnie kliknij przycisk Zamknij. Patrz „Dodawanie reguły zapory” na stronie 138 Patrz „Wyświetlanie operacji sieciowych” na stronie 129 Patrz „Zezwalanie na aplikacje lub ich blokowanie — informacje” na stronie 125 Zarządzanie zaporą i zapobieganiem włamaniom Wyświetlanie operacji sieciowych Usuwanie ograniczeń dotyczących aplikacji Administrator może usunąć ograniczenia dotyczące aplikacji, takie jak pora dnia, o której zapora blokuje aplikację. W przypadku usunięcia ograniczeń działanie podejmowane przez klienta wobec aplikacji również jest wymazywane. Gdy aplikacja lub usługa spróbuje ponownie połączyć się z siecią, może zostać wyświetlone pytanie, czy zezwolić jej na to, czy ją zablokować. Uruchomienie aplikacji lub usługi można zatrzymać do chwili, gdy spróbuje ona ponownie uzyskać dostęp do komputera, na przykład przy ponownym uruchamianiu komputera. Aby usunąć ograniczenia dotyczące aplikacji: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Wyświetl ustawienia aplikacji. 3 W oknie dialogowym Wyświetlanie ustawień aplikacji wykonaj jedno z poniższych działań: Aby usunąć aplikację z listy. Zaznacz aplikację, a następnie kliknij pozycję Usuń. Aby usunąć wszystkie aplikacje z listy. 4 Kliknij przycisk Tak. 5 Kliknij przycisk OK. Kliknij pozycję Usuń wszystkie. Patrz „Konfigurowanie ustawień specyficznych dla aplikacji” na stronie 127 Patrz „Zezwalanie na aplikacje lub ich blokowanie — informacje” na stronie 125 Wyświetlanie operacji sieciowych Można wyświetlić informacje o ruchu przychodzącym i ruchu wychodzącym komputera. Można również wyświetlić listę aplikacji i usług uruchomionych od chwili uruchomienia usługi klienta. Uwaga: Klient nie wykrywa ruchu sieciowego z urządzeń PDA. Ruch sieciowy można wyświetlić jako ruch emisji albo multiemisji. Ruch emisji to ruch sieciowy wysyłany do każdego komputera w danej podsieci, a nie jedynie do konkretnego komputera. Ruch emisji pojedynczej to ruch skierowany konkretnie do komputera użytkownika. 129 130 Zarządzanie zaporą i zapobieganiem włamaniom Wyświetlanie operacji sieciowych Aby wyświetlić historię operacji sieciowych: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Wyświetl operacje sieciowe. 3 Kliknij przycisk Zamknij. Aby pokazać lub ukryć usługi systemu Windows i ruch emisji: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Wyświetl operacje sieciowe. 3 W oknie dialogowym Operacje sieciowe kliknij prawym przyciskiem myszy pozycję Uruchomione aplikacje i wykonaj dowolną z poniższych czynności: 4 Aby pokazać lub ukryć usługi systemu Windows: Zaznacz lub wyczyść pole wyboru Pokaż usługi systemu Windows. Aby wyświetlić ruch emisji: Zaznacz pozycję Pokaż ruch emisji. Aby wyświetlić ruch emisji pojedynczej: Usuń zaznaczenie pozycji Pokaż ruch emisji. Kliknij przycisk Zamknij. Aby zmienić sposób wyświetlania informacji aplikacji: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Wyświetl operacje sieciowe. 3 W polu Uruchomione aplikacje kliknij prawym przyciskiem myszy żądaną aplikację, a następnie kliknij żądany widok. Można na przykład kliknąć pozycję Szczegóły. 4 Kliknij przycisk Zamknij. Patrz „Konfigurowanie ustawień specyficznych dla aplikacji” na stronie 127 Patrz „Zezwalanie na dostęp lub blokowanie dostępu do sieci aplikacjom” na stronie 126 Patrz „Blokowanie ruchu” na stronie 123 Patrz „Zarządzanie zaporą” na stronie 108 Zarządzanie zaporą i zapobieganiem włamaniom Reguły zapory klienckiej — informacje Reguły zapory klienckiej — informacje Tabela 5-5 przedstawia niezbędne informacje na temat reguł zapory klienckiej. Tabela 5-5 Tematy dotyczące reguł zapory klienckiej Temat Opis Zrozumienie sposobów przetwarzania reguł zapory, ustawień oraz ustawień systemu zapobiegania włamaniom Zrozumienie sposobów przetwarzania reguł, ustawień zapory i ustawień systemu zapobiegania włamaniom ułatwia tworzenie skutecznych reguł zapory. Zrozumienie sposobu przetwarzania reguł i ustawień ułatwia odpowiednie ustawienie kolejności reguł. Patrz „Kolejność przetwarzania reguł zapory, ustawień zapory i ustawień systemu zapobiegania włamaniom — informacje” na stronie 131 Patrz „Zmiana kolejności reguł zapory” na stronie 133 Zapoznanie się ze sposobem, w jaki klient stosuje stanową analizę pakietów, aby nie musieć tworzyć specjalnych reguł Program Symantec Endpoint Protection stosuje analizę stanową. To znaczy, że dla ruchu inicjowanego w jednym kierunku nie trzeba tworzyć reguł zezwalających na ruch w drugim kierunku. Zrozumienie sposobu działania analizy stanowej eliminuje konieczność tworzenia reguł. Patrz „Jak zapora stosuje stanową analizę pakietów” na stronie 133 Poznanie elementów reguły zapory W celu tworzenia skutecznych reguł zapory należy zrozumieć składniki, z których składa się reguła. Patrz „Elementy reguły zapory” na stronie 134 Patrz „Zarządzanie zaporą” na stronie 108 Kolejność przetwarzania reguł zapory, ustawień zapory i ustawień systemu zapobiegania włamaniom — informacje Reguły zapory ułożone są w kolejności od reguły z najwyższym priorytetem do reguły z najniższym priorytetem, odpowiednio od góry do dołu na liście reguł. Jeśli pierwsza reguła nie określi, jak należy postąpić z pakietem, zapora przetwarza drugą regułę. Proces ten jest powtarzany aż do znalezienia dopasowania. Po znalezieniu dopasowania zapora podejmuje działanie określone w regule. Kolejne reguły o niższym priorytecie nie są przetwarzane. Jeśli na przykład na liście 131 132 Zarządzanie zaporą i zapobieganiem włamaniom Kolejność przetwarzania reguł zapory, ustawień zapory i ustawień systemu zapobiegania włamaniom — informacje najpierw znajduje się reguła blokująca cały ruch, a za nią reguła zezwalająca na cały ruch, klient zablokuje cały ruch. Kolejność reguł można ustawić według ograniczeń. Najpierw przetwarzane są reguły z największymi ograniczeniami, a na końcu najbardziej ogólne. Na przykład reguły blokujące ruch należy umieścić w pobliżu początku listy reguł. Reguły niżej na liście mogą zezwalać na ruch. Sprawdzone metody tworzenia bazy reguł przewidują następującą kolejność reguł: 1 Reguły blokujące cały ruch. 2 Reguły zezwalające na cały ruch. 3 Reguły zezwalające na określone komputery lub blokujące je. 4 Reguły zezwalające na określone aplikacje, usługi sieciowe i porty lub blokujące je. Tabela 5-6 przedstawia kolejność przetwarzania reguł, ustawień zapory i ustawień systemu zapobiegania włamaniom przez zaporę. Tabela 5-6 Kolejność przetwarzania Priorytet Ustawienie Pierwszy Sygnatury niestandardowego systemu zapobiegania włamaniom Drugi Ustawienia systemu zapobiegania włamaniom, ruchu i trybu ukrywania Trzeci Reguły wbudowane Czwarty Reguły zapory Piąty Sprawdzanie skanowania portów Szósty Sygnatury systemu zapobiegania włamaniom pobierane za pośrednictwem usługi LiveUpdate Patrz „Zmiana kolejności reguł zapory” na stronie 133 Patrz „Sposób działania zapory” na stronie 110 Patrz „Sposób działania funkcji Zapobieganie włamaniom” na stronie 141 Patrz „Reguły zapory klienckiej — informacje” na stronie 131 Zarządzanie zaporą i zapobieganiem włamaniom Zmiana kolejności reguł zapory Zmiana kolejności reguł zapory Zapora przetwarza listę reguł zapory w kolejności od góry do dołu. Zmieniając kolejność reguł na liście, można wpływać na sposób ich przetwarzania przez zaporę. Zmiana kolejności dotyczy tylko aktualnie wybranej lokalizacji. Uwaga: Aby uzyskać lepszą ochronę, należy reguły z największymi ograniczeniami umieścić na początku listy, a na jej końcu reguły najmniej restrykcyjne. Aby zmienić kolejność reguł zapory: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Skonfiguruj reguły zapory. 3 W oknie dialogowym Konfigurowanie reguł zapory wybierz regułę, którą chcesz przenieść. 4 Wykonaj jedno z następujących działań: 5 ■ Aby zapora przetwarzała tę regułę przed regułą ją poprzedzającą, kliknij strzałkę w górę. ■ Aby zapora przetwarzała tę regułę po regule znajdującą się za nią, kliknij strzałkę w dół. Po zakończeniu przenoszenia reguł kliknij przycisk OK. Patrz „Kolejność przetwarzania reguł zapory, ustawień zapory i ustawień systemu zapobiegania włamaniom — informacje” na stronie 131 Patrz „Reguły zapory klienckiej — informacje” na stronie 131 Jak zapora stosuje stanową analizę pakietów Zapora stosuje analizę stanową do śledzenia bieżących połączeń. Analiza stanowa śledzi źródłowe i docelowe adresy IP, porty, aplikacje oraz inne informacje o połączeniu. Zanim klient sprawdzi reguły zapory, podejmuje decyzje dotyczące przepływu ruchu na podstawie informacji o połączeniu. Na przykład, jeśli reguła zapory zezwala na połączenie komputera z serwerem internetowym, zapora rejestruje informacje o połączeniu. Gdy serwer odpowiada, zapora odkrywa, że na komputerze spodziewana jest odpowiedź z serwera internetowego. Zezwala na przepływ ruchu z serwera internetowego do inicjującego komputera bez sprawdzania bazy reguł. Reguła musi zezwalać na początkowy ruch wychodzący, zanim zapora zarejestruje informacje o połączeniu. 133 134 Zarządzanie zaporą i zapobieganiem włamaniom Elementy reguły zapory Stanowa analiza pakietów eliminuje konieczność tworzenia nowych reguł. Dla ruchu inicjowanego w jednym kierunku nie trzeba tworzyć reguł zezwalających na ruch w obu kierunkach. Ruch klienta inicjowany w jednym kierunku to ruch protokołów Telnet (port 23), HTTP (port 80) i HTTPS (port 443). Ruch wychodzący inicjują komputery klienckie. Należy utworzyć regułę zezwalającą na ruch wychodzący tych protokołów. Stanowa analiza pakietów automatycznie zezwala na ruch zwrotny przesyłany w odpowiedzi na ruch wychodzący. Ponieważ zapora z natury przeprowadza analizę stanową, należy jedynie utworzyć reguły inicjujące połączenie, a nie charakterystyki poszczególnych pakietów. Wszystkie pakiety należące do dozwolonego połączenia są automatycznie przepuszczane jako część tego samego połączenia. Stanowa analiza pakietów obsługuje wszystkie reguły kierujące ruchem TCP. Stanowa analiza pakietów nie obsługuje reguł filtrowania ruchu protokołu ICMP. Dla ruchu protokołu ICMP należy utworzyć reguły dopuszczające ruch w obu kierunkach. Na przykład, jeśli klienci mają mieć możliwość używania polecenia ping i otrzymywania odpowiedzi, należy utworzyć regułę dopuszczającą ruch protokołu ICMP w obu kierunkach. Patrz „Sposób działania zapory” na stronie 110 Patrz „Reguły zapory klienckiej — informacje” na stronie 131 Elementy reguły zapory Reguły zapory sterują sposobem, w jaki klient chroni komputer użytkownika przed destrukcyjnym ruchem sieciowym. Gdy komputer próbuje nawiązać połączenie z innym komputerem, zapora porównuje typ tego połączenia z regułami zapory. Zapora automatycznie sprawdza zgodność wszystkich pakietów ruchu przychodzącego i ruchu wychodzącego z regułami. Zapora przepuszcza lub blokuje pakiety zgodnie z regułami. W celu definiowania reguł zapory można używać wyzwalaczy takich jak aplikacje, hosty i protokoły. Reguła może na przykład identyfikować protokół w odniesieniu do adresu docelowego. Gdy zapora analizuje regułę, wszystkie wyzwalacze muszą zwracać wartość true, aby dopasowanie było pozytywne. Jeśli którykolwiek z wyzwalaczy jest fałszywy w odniesieniu do bieżącego pakietu, zapora nie stosuje reguły. Po uruchomieniu reguły zapory nie są przetwarzane żadne inne reguły zapory. Jeśli nie zostanie uruchomiona żadna reguła, pakiet jest automatycznie blokowany i zdarzenie nie jest rejestrowane. Reguła zapory opisuje warunki, w jakich połączenie sieciowe może zostać dozwolone lub zablokowane. Reguła może na przykład zezwalać na ruch sieciowy Zarządzanie zaporą i zapobieganiem włamaniom Elementy reguły zapory między zdalnym portem numer 80 i adresem IP 192.58.74.0 codziennie w godzinach od 9 do 17. Tabela 5-7 przedstawia kryteria używane do definiowania reguły zapory. 135 136 Zarządzanie zaporą i zapobieganiem włamaniom Elementy reguły zapory Tabela 5-7 Warunki reguły zapory Warunek Opis Wyzwalacze Dostępne są następujące wyzwalacze reguł zapory: Aplikacje Gdy aplikacja jest jedynym wyzwalaczem zdefiniowanym w regule zezwalającej na ruch, zapora zezwala aplikacji na wykonywanie wszystkich operacji sieciowych. Wartością znaczącą jest aplikacja, a nie wykonywane przez nią operacje sieciowe. Przyjmijmy na przykład, że reguła zezwala na aplikację Internet Explorer i nie definiuje żadnych innych wyzwalaczy. Użytkownicy mogą uzyskać dostęp do zdalnych witryn przy użyciu protokołu HTTP, HTTPS, FTP, Gopher lub dowolnego innego protokołu obsługiwanego przez przeglądarkę internetową. Można zdefiniować dodatkowe wyzwalacze opisujące konkretne protokoły sieciowe i hosty, z którymi komunikacja jest dozwolona. ■ Hosty Host lokalny to zawsze lokalny komputer kliencki, a host zdalny to zawsze komputer zdalny znajdujący się w innym miejscu w sieci. Takie wyrażenie relacji hosta jest niezależne od kierunku ruchu. Definiując wyzwalacze hosta, określa się hosta po zdalnej stronie opisanego połączenia sieciowego. ■ Protokoły Wyzwalacz protokołu identyfikuje co najmniej jeden protokół sieciowy, który ma znaczenie w odniesieniu do opisywanego ruchu. Lokalny komputer hosta zawsze jest właścicielem portu lokalnego, a zdalny komputer jest zawsze właścicielem portu zdalnego. Takie wyrażenie relacji portu jest niezależne od kierunku ruchu. ■ Karty sieciowe W przypadku zdefiniowania wyzwalacza karty sieciowej reguła ma zastosowanie tylko do ruchu przesyłanego lub odbieranego przy użyciu określonego typu karty sieciowej. Można określić dowolną kartę sieciową lub kartę aktualnie skojarzoną z komputerem klienckim. ■ Definicje wyzwalające można łączyć, aby utworzyć bardziej złożone reguły, na przykład w celu identyfikowania określonego protokołu w odniesieniu do określonego adresu docelowego. Kiedy zapora analizuje regułę, wszystkie wyzwalacze muszą zwracać wartość true, aby dopasowanie było pozytywne. Jeśli którykolwiek z wyzwalaczy nie zwróci wartości true w odniesieniu do bieżącego pakietu, zapora nie może zastosować reguły. Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie reguł zapory Warunek Opis Warunki Harmonogram i stan wygaszacza ekranu. Parametry warunkowe nie opisują aspektu połączenia sieciowego. Parametry warunkowe określają natomiast aktywny stan reguły. Parametry warunkowe są opcjonalne, i jeśli nie zostały zdefiniowane, nie mają znaczenia. Można skonfigurować harmonogram lub określić stan wygaszacza ekranu, który będzie określał, kiedy dana reguła ma być uważana za aktywną lub nieaktywną. Zapora nie analizuje nieaktywnych reguł, gdy odbiera pakiety. Działania Zezwól lub zablokuj i zarejestruj lub nie zarejestruj. Parametry działania określają działania, które ma podjąć zapora po pomyślnym dopasowaniu reguły. Jeśli reguła zostanie wybrana w odpowiedzi na odebrany pakiet, zapora wykona wszystkie działania. Zapora przepuszcza albo blokuje pakiet i rejestruje go w dzienniku lub nie rejestruje. Jeśli zapora przepuszcza ruch, zezwala ruchowi określonemu przez regułę na dostęp do sieci. Jeśli zapora blokuje ruch, blokuje ruch określony przez regułę, dzięki czemu nie uzyska on dostępu do sieci użytkownika. Patrz „Jak zapora stosuje stanową analizę pakietów” na stronie 133 Patrz „Dodawanie reguły zapory” na stronie 138 Patrz „Reguły zapory klienckiej — informacje” na stronie 131 Konfigurowanie reguł zapory Tabela 5-8 przedstawia sposób konfigurowania nowych reguł zapory. 137 138 Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie reguł zapory Tabela 5-8 Sposób konfigurowania reguł zapory Krok Zadanie Opis 1 Dodaj nową regułę zapory Program Symantec Endpoint Protection jest instalowany z domyślnymi regułami zapory. Można jednak utworzyć własne reguły. Patrz „Dodawanie reguły zapory” na stronie 138 Inną metodą dodawania reguły zapory jest wyeksportowanie istniejących reguł zapory z innej zasady zapory. Reguły i ustawienia zapory można następnie zaimportować, dzięki czemu nie trzeba ich ponownie tworzyć. Patrz „Eksportowanie i importowanie reguł zapory” na stronie 139 2 (Opcjonalnie) Po utworzeniu nowej reguły lub w celu dostosowania reguły Dostosuj domyślnej można zmodyfikować dowolne kryteria reguły zapory. kryteria reguły Patrz „Elementy reguły zapory” na stronie 134 zapory Patrz „Reguły zapory klienckiej — informacje” na stronie 131 Patrz „Włączanie i wyłączanie reguł zapory” na stronie 140 Dodawanie reguły zapory Dodając regułę zapory, użytkownik musi podjąć decyzję dotyczącą działania reguły. Można na przykład zezwalać na cały ruch z określonego źródła lub blokować pakiety UDP z określonej witryny internetowej. Utworzone reguły zapory są włączane automatycznie. Aby dodać regułę zapory: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Skonfiguruj reguły zapory. 3 W oknie dialogowym Konfigurowanie reguł zapory kliknij pozycję Dodaj. 4 Na karcie Ogólne wpisz nazwę reguły i kliknij pozycję Blokuj ten ruch albo Zezwalaj na ten ruch. 5 Aby zdefiniować wyzwalacze reguły, klikaj karty i konfiguruj niezbędne ustawienia. 6 Aby określić przedziały czasu aktywności lub nieaktywności reguły, na karcie Planowanie kliknij pozycję Włącz harmonogramy, a następnie skonfiguruj harmonogram. Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie reguł zapory 7 Po zakończeniu wprowadzania zmian kliknij przycisk OK. 8 Kliknij przycisk OK. Patrz „Elementy reguły zapory” na stronie 134 Patrz „Włączanie i wyłączanie reguł zapory” na stronie 140 Patrz „Konfigurowanie reguł zapory” na stronie 137 Eksportowanie i importowanie reguł zapory Reguły można udostępniać innym klientom, dzięki czemu nie trzeba ich ponownie tworzyć. Reguły można wyeksportować z innego komputera i zaimportować do własnego. Importowane reguły są dodawane na końcu listy reguł zapory. Importowane reguły nie zastępują istniejących reguł, nawet jeśli są z nimi identyczne. Eksportowane i importowane reguły są zapisywane w pliku .sar. Aby wyeksportować reguły zapory: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Skonfiguruj reguły zapory. 3 W oknie dialogowym Konfigurowanie reguł zapory wybierz reguły, które chcesz wyeksportować. 4 Kliknij te reguły prawym przyciskiem myszy, a następnie kliknij pozycję Wyeksportuj wybrane reguły. 5 W oknie dialogowym Eksport wpisz nazwę pliku, a następnie kliknij pozycję Zapisz. 6 Kliknij przycisk OK. Aby zaimportować reguły zapory: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Skonfiguruj reguły zapory. 3 W oknie dialogowym Konfigurowanie reguł zapory kliknij prawym przyciskiem myszy listę reguł zapory, a następnie kliknij pozycję Zaimportuj regułę. 4 W oknie dialogowym Import znajdź plik o rozszerzeniu .sar zawierający reguły, które chcesz zaimportować. 139 140 Zarządzanie zaporą i zapobieganiem włamaniom Zarządzanie systemem zapobiegania włamaniom 5 Kliknij przycisk Otwórz. 6 Kliknij przycisk OK. Patrz „Dodawanie reguły zapory” na stronie 138 Włączanie i wyłączanie reguł zapory Aby zapora przetwarzała reguły, muszą one zostać włączone. Dodawane reguły zapory są włączane automatycznie. Jeśli trzeba zezwolić na komunikację z konkretnym komputerem albo aplikacją, można wyłączyć regułę zapory. Aby włączyć i wyłączyć reguły zapory: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje > Skonfiguruj reguły zapory. 3 W oknie dialogowym Konfigurowanieregułzapory, w kolumnie Nazwa reguły zaznacz lub wyczyść pole wyboru wyświetlane obok reguły, którą chcesz włączyć lub wyłączyć. 4 Kliknij przycisk OK. Patrz „Dodawanie reguły zapory” na stronie 138 Zarządzanie systemem zapobiegania włamaniom Zarządzanie systemem zapobiegania włamaniom to część funkcji Ochrona przed zagrożeniami sieciowymi. Tabela 5-9 Zarządzanie systemem zapobiegania włamaniom Działanie Opis Zapoznanie się z systemem zapobiegania włamaniom Należy zapoznać się ze sposobem, w jaki sposób system zapobiegania włamaniom wykrywa ataki sieciowe i ataki na przeglądarkę. Patrz „Sposób działania funkcji Zapobieganie włamaniom” na stronie 141 Pobranie najnowszych sygnatur systemu zapobiegania włamaniom Domyślnie najnowsze sygnatury są pobierane na klienta. Sygnatury można jednak pobrać natychmiast. Patrz „Aktualizowanie systemu ochrony komputera” na stronie 36 Zarządzanie zaporą i zapobieganiem włamaniom Sposób działania funkcji Zapobieganie włamaniom Działanie Opis Włączenie lub wyłączenie zapobiegania Ustawienia systemu zapobiegania włamaniom włamaniom sieciowym lub włamaniom można wyłączyć w celu rozwiązywania problemów do przeglądarki lub gdy komputery klienckie zgłaszają nadmierną liczbę fałszywych alarmów. Zazwyczaj nie należy wyłączać funkcji zapobiegania włamaniom. Można włączyć lub wyłączyć następujące typy funkcji zapobiegania włamaniom: ■ Zapobieganie włamaniom sieciowym ■ Zapobieganie włamaniom do przeglądarki Patrz „Włączanie lub wyłączanie funkcji zapobiegania włamaniom” na stronie 142 Zapobieganie włamaniom można również włączyć lub wyłączyć, włączając lub wyłączając funkcję Ochrona przed zagrożeniami sieciowymi. Patrz „Włączanie i wyłączanie systemu ochrony — informacje” na stronie 43 Konfigurowanie powiadomień funkcji zapobiegania włamaniom Można skonfigurować powiadomienia, które będą wyświetlane, gdy program Symantec Endpoint Protection wykryje włamanie do sieci lub do przeglądarki. Patrz „Konfigurowanie powiadomień funkcji zapobiegania włamaniom” na stronie 143 Sposób działania funkcji Zapobieganie włamaniom Funkcja Zapobieganie włamaniom to część funkcji Ochrona przed zagrożeniami sieciowymi. Funkcja Zapobieganie włamaniom automatycznie wykrywa ataki sieciowe oraz ataki na przeglądarkę i blokuje je. Funkcja Zapobieganie włamaniom to druga po zaporze warstwa ochrony komputerów klienckich. Funkcja Zapobieganie włamaniom jest zwana również systemem zapobiegania włamaniom (Intrusion Prevention System, IPS). Patrz „Zarządzanie systemem zapobiegania włamaniom” na stronie 140 Funkcja Zapobieganie włamaniom przechwytuje dane w warstwie sieci. Skanuje pakiety lub strumienie pakietów przy użyciu sygnatur. Skanuje każdy pakiet z osobna, szukając wzorców odpowiadających atakom sieciowym lub atakom na 141 142 Zarządzanie zaporą i zapobieganiem włamaniom Włączanie lub wyłączanie funkcji zapobiegania włamaniom przeglądarkę. Funkcja Zapobieganie włamaniom stosuje sygnatury w celu wykrywania ataków składniki systemu operacyjnego i warstwę aplikacji. Funkcja Zapobieganie włamaniom zapewnia dwa typy ochrony. Zapobieganie włamaniom sieciowym Funkcja Zapobieganie włamaniom sieciowym za pomocą sygnatur identyfikuje ataki na komputery klienckie. W przypadku znanych ataków system zapobiegania włamaniom automatycznie odrzuca pakiety dopasowane do sygnatur. Sygnatur niestandardowych nie można utworzyć na kliencie. Można jednak zaimportować na klienta sygnatury niestandardowe utworzone przez użytkownika lub administratora w programie Symantec Endpoint Protection Manager. Zapobieganie włamaniom do przeglądarki Funkcja Zapobieganie włamaniom do przeglądarki monitoruje ataki na przeglądarki Internet Explorer i Firefox. Funkcja Zapobieganie włamaniom do przeglądarki nie jest obsługiwana w żadnych innych przeglądarkach. Ten typ zapobiegania włamaniom stosuje sygnatury ataków oraz analizę heurystyczną w celu identyfikowania ataków na przeglądarki. W przypadku niektórych ataków na przeglądarki funkcja zapobiegania włamaniom wymaga, aby klient zamknął przeglądarkę. Na komputerze klienckim wyświetlane jest powiadomienie. Włączanie lub wyłączanie funkcji zapobiegania włamaniom Zazwyczaj po wyłączeniu systemu zapobiegania włamaniom na komputerze staje się on mniej bezpieczny. Wyłączenie tych ustawień może być jednak konieczne, aby zapobiec fałszywym alarmom lub rozwiązać problemy z komputerem. Program Symantec Endpoint Protection rejestruje próby i zdarzenia włamań w dzienniku zabezpieczeń. Program Symantec Endpoint Protection może rejestrować włamania również w dzienniku pakietów, o ile administrator skonfigurował go w ten sposób. Patrz „Zarządzanie systemem zapobiegania włamaniom” na stronie 140 Patrz „Wyświetlanie dzienników” na stronie 51 Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie powiadomień funkcji zapobiegania włamaniom Można włączyć lub wyłączyć dwa typy funkcji zapobiegania włamaniom: ■ Zapobieganie włamaniom sieciowym ■ Zapobieganie włamaniom do przeglądarki Uwaga: Administrator może zablokować dostęp do tych opcji. Patrz „Włączanie i wyłączanie systemu ochrony — informacje” na stronie 43 Aby włączyć lub wyłączyć ustawienia systemu zapobiegania włamaniom: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Ochrona przed zagrożeniami sieciowymi. 3 Na karcie Zapobieganie włamaniom zaznacz lub usuń zaznaczenie następujących ustawień: ■ Włącz funkcję Zapobieganie włamaniom sieciowym ■ Włącz funkcję Zapobieganie włamaniom do przeglądarki Aby uzyskać dodatkowe informacje o ustawieniach, kliknij pozycję Pomoc. 4 Kliknij przycisk OK. Konfigurowanie powiadomień funkcji zapobiegania włamaniom Użytkownik może skonfigurować powiadomienia wyświetlane w przypadku wykrycia ataku sieciowego na komputer lub zablokowania przez klienta aplikacji próbującej uzyskać dostęp do komputera. Można ustawić czas wyświetlania powiadomień i włączyć lub wyłączyć odtwarzanie sygnału dźwiękowego. Aby wyświetlane były powiadomienia funkcji zapobiegania włamaniom, funkcja ta musi być włączona. Uwaga: Administrator może zablokować dostęp do tych opcji. Patrz „Zarządzanie systemem zapobiegania włamaniom” na stronie 140 143 144 Zarządzanie zaporą i zapobieganiem włamaniom Konfigurowanie powiadomień funkcji zapobiegania włamaniom Aby skonfigurować powiadomienia funkcji zapobiegania włamaniom: 1 W programie klienckim kliknij pozycję Zmień ustawienia na pasku bocznym. 2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Ochrona przed zagrożeniami sieciowymi. 3 W oknie dialogowym Ustawienia ochrony przed zagrożeniami sieciowymi kliknij pozycję Powiadomienia. 4 Zaznacz pole wyboru Wyświetlaj powiadomienia systemu zapobiegania włamaniom. 5 Aby w momencie wyświetlenia powiadomienia odtwarzany był sygnał dźwiękowy, zaznacz pole wyboru Odtwarzaj dźwięk podczas powiadamiania użytkowników. 6 Kliknij przycisk OK. Rozdział 6 Zarządzanie programem Symantec Network Access Control Ten rozdział obejmuje następujące zagadnienia: ■ Sposób działania programu Symantec Network Access Control ■ Sposób współpracy klienta z modułem Enforcer ■ Przeprowadzanie sprawdzania integralności hosta ■ Przywracanie zgodności komputera ■ Konfigurowanie klienta w celu używania uwierzytelniania 802.1x ■ Wyświetlanie dzienników programu Symantec Network Access Control Sposób działania programu Symantec Network Access Control Program Symantec Network Access Control sprawdza i wymusza zgodność z zasadą komputerów próbujących połączyć się z siecią. Proces sprawdzania i wymuszania zaczyna się, zanim komputer zostanie połączony z siecią i trwa przez cały czas połączenia. Zasada integralności hosta to zasada zabezpieczeń, która służy jako podstawa wszystkich ocen i działań. Funkcja Integralność hosta jest również zwana „zgodnością zabezpieczeń”. Tabela 6-1 przedstawia proces stosowany przez program Symantec Network Access Control w celu egzekwowania zgodności zasady na komputerze klienckim. 146 Zarządzanie programem Symantec Network Access Control Sposób działania programu Symantec Network Access Control Tabela 6-1 Opis działania programu Symantec Network Access Control Działanie Opis Klient ocenia swoją zgodność Użytkownik włącza komputer kliencki. Klient uruchamia w trybie ciągłym. sprawdzanie integralności hosta w celu porównania konfiguracji komputera z zasadą integralności hosta pobraną z serwera zarządzania. Podczas sprawdzania integralności hosta oceniana jest zgodność komputera z zasadą integralności hosta pod względem oprogramowania antywirusowego, poprawek oprogramowania i systemu operacyjnego oraz innych wymagań dotyczących zabezpieczeń. Zasada może na przykład wymagać sprawdzenia daty ostatniej aktualizacji definicji wirusów oraz ostatnich poprawek zastosowanych do systemu operacyjnego. Urządzenie Symantec Enforcer uwierzytelnia komputer kliencki i albo zezwala mu na dostęp do sieci, albo blokuje i poddaje kwarantannie jako niezgodny. Komputer przechodzi pomyślnie sprawdzanie integralności hosta, jeśli spełnia wszystkie wymagania zasady. Moduł Enforcer udziela pełnego dostępu do sieci komputerom, które mają prawidłowy wynik sprawdzania integralności hosta. Jeśli komputer nie spełnia wymagań zasady, nie przechodzi testu integralności hosta. W przypadku nieprawidłowego wyniku sprawdzania integralności hosta klient lub urządzenie Symantec Enforcer blokuje komputer użytkownika lub poddaje kwarantannie do chwili przywrócenia jego zgodności. Komputery poddane kwarantannie mają ograniczony dostęp lub nie mają dostępu do sieci. Patrz „Sposób współpracy klienta z modułem Enforcer” na stronie 147 Administrator może tak Klient może wyświetlać powiadomienie za każdym razem, skonfigurować zasadę, że gdy przejdzie test integralności hosta. wynik sprawdzania Patrz „Typy alertów i powiadomień” na stronie 21 integralności hosta będzie prawidłowy nawet wtedy, gdy niektóre określone wymagania nie zostaną spełnione. Zarządzanie programem Symantec Network Access Control Sposób współpracy klienta z modułem Enforcer Działanie Opis Klient przywraca zgodność niezgodnych komputerów. Jeśli klient wykryje, że wymaganie zasady integralności hosta nie jest spełnione, instaluje lub żąda zainstalowania wymaganego oprogramowania. Po przywróceniu zgodności komputer ponawia próbę dostępu do sieci. Jeśli komputer jest w pełni zgodny, uzyskuje zezwolenie na dostęp do sieci. Patrz „Przywracanie zgodności komputera” na stronie 148 Klient prewencyjnie monitoruje zgodność. Klient aktywnie monitoruje stan zgodności wszystkich komputerów klienckich. Jeśli stan zgodności komputera zmieni się, zmianie ulegną także jego uprawnienia dostępu do sieci. Więcej informacji na temat wyników sprawdzania integralności hosta można znaleźć w dzienniku zabezpieczeń. Sposób współpracy klienta z modułem Enforcer Klient komunikuje się z urządzeniem Symantec Enforcer. Moduł Enforcer sprawdza na wszystkich łączących się z chronioną siecią komputerach, czy jest na nich uruchomione oprogramowanie klienckie i stosowana jest prawidłowa zasada zabezpieczeń. Patrz „Sposób działania programu Symantec Network Access Control” na stronie 145 Moduł Enforcer musi uwierzytelnić użytkownika lub komputer kliencki przed zezwoleniem komputerowi klienckiemu na dostęp do sieci. Program Symantec Network Access Control uwierzytelnia komputery klienckie, współpracując z kilkoma typami modułów Enforcer. Symantec Enforcer to sprzętowe urządzenie sieciowe, które weryfikuje wyniki sprawdzania integralności hosta i tożsamość komputera klienckiego przed zezwoleniem komputerowi na dostęp do sieci. Przed zezwoleniem klientowi na dostęp do sieci moduł Enforcer sprawdza, czy: ■ Dozwolona jest wersja oprogramowania uruchomionego na komputerze. ■ Klient ma niepowtarzalny identyfikator (UID). ■ Klient został zaktualizowany przy użyciu najnowszej zasady integralności hosta. ■ Komputer kliencki przeszedł pomyślnie sprawdzanie integralności hosta. Patrz „Konfigurowanie klienta w celu używania uwierzytelniania 802.1x” na stronie 149 147 148 Zarządzanie programem Symantec Network Access Control Przeprowadzanie sprawdzania integralności hosta Przeprowadzanie sprawdzania integralności hosta Administrator ustawia częstotliwość, z jaką klient uruchamia sprawdzanie integralności hosta. Konieczne może być natychmiastowe przeprowadzanie sprawdzania integralności hosta, zamiast oczekiwania na następny termin. Na przykład sprawdzanie integralności hosta może wykazać, że należy zaktualizować sygnatury ochrony przed wirusami na komputerze. Klient może zezwolić użytkownikowi na wybranie, czy wymagane oprogramowanie ma zostać pobrane natychmiast, czy później. W przypadku natychmiastowego pobrania oprogramowania konieczne jest ponowne przeprowadzenie sprawdzania integralności hosta w celu potwierdzenia, że na komputerze klienckim zainstalowane jest odpowiednie oprogramowanie. Można zaczekać na uruchomienie następnego zaplanowanego testu integralności hosta lub uruchomić sprawdzanie natychmiast. Aby uruchomić sprawdzanie integralności hosta: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Symantec Network Access Control kliknij pozycję Opcje > Sprawdź zgodność. 3 Jeśli pojawi się komunikat potwierdzający, że test integralności hosta został uruchomiony, kliknij przycisk OK. Jeśli dostęp do sieci był zablokowany, powinien zostać przywrócony po zaktualizowaniu komputera zgodnie z najnowszymi zasadami zabezpieczeń. Przywracanie zgodności komputera Jeśli klient wykryje, że wymaganie zasady integralności hosta nie jest spełnione, reaguje na jeden z poniższych sposobów: ■ Klient automatycznie pobiera aktualizację oprogramowania. ■ Klient wyświetla monit o pobranie wymaganej aktualizacji oprogramowania. Aby przywrócić zgodność komputera: ◆ W wyświetlonym oknie dialogowym programu Symantec Endpoint Protection wykonaj jedno z poniższych działań: ■ Aby sprawdzić, których wymagań zabezpieczeń komputer nie spełnia, kliknij pozycję Szczegóły. ■ Aby natychmiast zainstalować oprogramowanie, kliknij pozycję Przywróć teraz. Dostępna może być opcja anulowania instalacji po jej rozpoczęciu. Zarządzanie programem Symantec Network Access Control Konfigurowanie klienta w celu używania uwierzytelniania 802.1x ■ Aby przełożyć instalację na później, kliknij pozycję Przypomnij później i wybierz odstęp czasu z listy rozwijanej. Administrator może określić dozwoloną maksymalną liczbę odroczeń instalacji przez użytkownika. Konfigurowanie klienta w celu używania uwierzytelniania 802.1x Jeżeli w danej sieci firmowej uwierzytelnianie jest przeprowadzane za pomocą modułu LAN Enforcer, komputer kliencki musi być skonfigurowany do przeprowadzania uwierzytelniania 802.1x. Klienta może skonfigurować użytkownik lub administrator. Administrator może, ale nie musi udzielić uprawnień do konfigurowania uwierzytelniania 802.1x. Proces uwierzytelniania 802.1x obejmuje następujące kroki: ■ Nieuwierzytelniony klient lub suplikant innej firmy wysyła informacje o użytkowniku i informacje dotyczące zgodności do zarządzanego przełącznika sieciowego obsługującego standard 802.1x. ■ Przełącznik sieciowy przekazuje te informacje do modułu LAN Enforcer. Moduł LAN Enforcer wysyła informacje o użytkowniku do serwera uwierzytelniania w celu ich uwierzytelnienia. Serwerem uwierzytelniania jest serwer RADIUS. ■ Jeżeli uwierzytelnienie na poziomie użytkownika nie powiedzie się lub klient nie spełnia zasady integralności hosta, urządzenie Enforcer może zablokować dostęp do sieci. Moduł Enforcer umieszcza niezgodny komputer kliencki w sieci kwarantanny, gdzie może on zostać poddany działaniom naprawczym. ■ Po naprawie i zapewnieniu zgodności komputera z obowiązującymi zasadami jest on ponownie uwierzytelniany przy użyciu protokołu 802.1x i urządzenie zezwala na dostęp do sieci. Aby klient mógł współpracować z modułem LAN Enforcer, może używać suplikanta wbudowanego lub suplikanta innej firmy. Tabela 6-2 przedstawia opcje, które umożliwiają skonfigurowanie uwierzytelniania 802.1x. 149 150 Zarządzanie programem Symantec Network Access Control Konfigurowanie klienta w celu używania uwierzytelniania 802.1x Tabela 6-2 Opcje uwierzytelniania 802.1x Opcja Opis Z użyciem suplikanta innej Używany jest suplikant protokołu 802.1x innej firmy. firmy Moduł LAN Enforcer współpracuje z serwerem RADIUS i suplikantami protokołu 802.1x w celu uwierzytelniania użytkowników. Suplikant protokołu 802.1x wyświetla monit o podanie informacji o użytkowniku. Moduł LAN Enforcer przekazuje te informacje o użytkowniku do serwera RADIUS w celu przeprowadzenia uwierzytelniania na poziomie użytkownika. Klient wysyła do modułu Enforcer informacje o profilu klienta i stanie integralności hosta, a moduł Enforcer uwierzytelnia komputer. Uwaga: Aby klienta programu Symantec Network Access Control można było używać z suplikantem innej firmy, zainstalowany musi być moduł ochrony przed zagrożeniami sieciowymi klienta programu Symantec Endpoint Protection. Tryb przeźroczysty Klient działa jako suplikant protokołu 802.1x. Z tej metody należy korzystać, jeżeli administrator nie chce przeprowadzać uwierzytelniania przy użyciu serwera RADIUS. Moduł LAN Enforcer pracuje wtedy w trybie przeźroczystym i działa jako pseudoserwer RADIUS. Tryb przeźroczysty oznacza, że suplikant nie wyświetla monitu o podanie informacji o użytkowniku. W trybie tym klient działa jako suplikant protokołu 802.1x. Klient odpowiada na żądanie EAP przełącznika, wysyłając informacje o profilu klienta i stanie integralności hosta. Przełącznik przekierowuje te informacje do modułu LAN Enforcer, który działa jako pseudoserwer RADIUS. Moduł LAN Enforcer sprawdza odebrane z przełącznika informacje o integralności hosta i profilu klienta, a następnie odpowiednio zezwala na dostęp do sieci, blokuje go lub dynamicznie przypisuje sieć VLAN. Uwaga: Aby używać klienta jako suplikanta protokołu 802.1x, na komputerze klienckim należy odinstalować lub wyłączyć suplikantów protokołu 802.1x innych firm. Zarządzanie programem Symantec Network Access Control Konfigurowanie klienta w celu używania uwierzytelniania 802.1x Opcja Opis Z użyciem suplikanta wbudowanego Używany jest wbudowany suplikant protokołu 802.1x komputera klienckiego. Wbudowane protokoły uwierzytelniania to: Karta inteligentna, PEAP i TLS. Po włączeniu uwierzytelniania 802.1x należy wybrać protokół uwierzytelniania, który ma być używany. Ostrzeżenie: Przed skonfigurowaniem klienta do używania uwierzytelniania 802.1x należy skontaktować się z administratorem. Konieczne jest uzyskanie informacji, czy w sieci firmowej jako serwer uwierzytelniania używany jest serwer RADIUS. Jeżeli uwierzytelnianie 802.1x zostanie skonfigurowane nieprawidłowo, utracone może zostać połączenie z siecią. Aby skonfigurować klienta do używania suplikanta innej firmy: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Kontrola dostępu do sieci kliknij pozycję Opcje > Zmień ustawienia > Ustawienia 802.1x. 3 W oknie dialogowym Ustawienia funkcji Kontrola dostępu do sieci kliknij pozycję Włącz uwierzytelnianie 802.1x. 4 Kliknij przycisk OK. Musisz też utworzyć regułę zapory, która zezwoli sterownikom suplikanta protokołu 802.1x innej firmy na dostęp do sieci. Patrz „Dodawanie reguły zapory” na stronie 138 Klienta można skonfigurować do używania suplikanta wbudowanego. Klient może używać uwierzytelniania 802.1x i jednocześnie działać jako suplikant protokołu 802.1x. Aby skonfigurować klienta do używania trybu przeźroczystego lub suplikanta wbudowanego: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Obok pozycji Kontrola dostępu do sieci kliknij pozycję Opcje > Zmień ustawienia > Ustawienia 802.1x. 3 W oknie dialogowym Ustawienia funkcji Kontrola dostępu do sieci kliknij pozycję Włącz uwierzytelnianie 802.1x. 4 Kliknij pozycję Użyj klienta jako suplikanta protokołu 802.1x. 5 Wykonaj jedno z następujących działań: 151 152 Zarządzanie programem Symantec Network Access Control Konfigurowanie klienta w celu używania uwierzytelniania 802.1x 6 ■ Aby wybrać tryb przeźroczysty, zaznacz pole wyboru Stosuj tryb przeźroczysty firmy Symantec. ■ Aby skonfigurować suplikanta wbudowanego, kliknij pozycję Umożliwia wybór protokołu uwierzytelniania. Użytkownik musi wybrać protokół uwierzytelniania dla połączenia sieciowego. Kliknij przycisk OK. Aby wybrać protokół uwierzytelniania: 1 Na komputerze klienckim kliknij przycisk Start > Ustawienia > Połączenia sieciowe, a następnie kliknij ikonę Połączenie lokalne. Uwaga: Te kroki dotyczą komputerów z systemem Windows XP. Właściwa procedura może być inna. 2 W oknie dialogowym Stan: Połączenie lokalne kliknij przycisk Właściwości. 3 W oknie dialogowym Właściwości: Połączenie lokalne kliknij kartę Uwierzytelnianie. 4 Na karcie Uwierzytelnianie kliknij listę rozwijaną Typ protokołu EAP i wybierz jeden z następujących protokołów uwierzytelniania: ■ Karta inteligentna lub inny certyfikat ■ Chroniony protokół EAP (PEAP) ■ Tryb przeźroczysty Symantec NAC Upewnij się, że pole wyboru Włącz uwierzytelnianie IEEE 802.1x dla tej sieci jest zaznaczone. 5 Kliknij przycisk OK. 6 Kliknij przycisk Zamknij. Ponowne uwierzytelnianie komputera Jeśli komputer przeszedł test integralności hosta, ale blokuje go moduł Enforcer, konieczne może być ponowne uwierzytelnienie komputera. W normalnych warunkach ponowne uwierzytelniania komputera nie powinno być nigdy konieczne. Moduł Enforcer może zablokować komputer po wystąpieniu jednego z następujących zdarzeń: Zarządzanie programem Symantec Network Access Control Wyświetlanie dzienników programu Symantec Network Access Control ■ Komputer kliencki nie przeszedł uwierzytelniania użytkownika, ponieważ podana została nieprawidłowa nazwa użytkownika lub hasło. ■ Komputer kliencki znajduje się w niewłaściwej sieci VLAN. ■ Komputer kliencki nie uzyskał połączenia z siecią. Do zerwania połączenia sieciowego dochodzi zazwyczaj wtedy, gdy przełącznik znajdujący się między komputerem klienckim a modułem LAN Enforcer nie uwierzytelnił podanej nazwy użytkownika i hasła. ■ Użytkownik zalogował się do komputera klienckiego, który uwierzytelnił poprzedniego użytkownika. ■ Komputer kliencki nie przeszedł testu zgodności. Komputer można ponownie uwierzytelnić tylko pod warunkiem, że użytkownik lub administrator skonfigurował go przy użyciu wbudowanego suplikanta. Uwaga: Administrator mógł nie skonfigurować klienta do wyświetlania polecenia Ponowne uwierzytelnianie. Aby ponownie uwierzytelnić komputer: 1 Kliknij prawym przyciskiem myszy ikonę w obszarze powiadomień. 2 Kliknij pozycję Ponowne uwierzytelnianie. 3 W oknie dialogowym Ponowne uwierzytelnianie wpisz swoją nazwę użytkownika i hasło. 4 Kliknij przycisk OK. Wyświetlanie dzienników programu Symantec Network Access Control Klient Symantec Network Access Control monitoruje różne aspekty swojego działania oraz wyniki sprawdzania integralności hosta przy użyciu następujących dzienników: Zabezpieczenia Rejestruje wyniki i stan testów integralności hosta. System Rejestruje wszystkie zmiany operacyjne klienta, takie jak połączenie z serwerem zarządzania i aktualizacje zasad zabezpieczeń klienta. Dzienniki klienta zarządzanego mogą być regularnie przekazywane do serwera. Administrator może używać danych z dzienników do analizowania ogólnego stanu zabezpieczeń sieci. 153 154 Zarządzanie programem Symantec Network Access Control Wyświetlanie dzienników programu Symantec Network Access Control Dane zawarte w dzienniku można eksportować. Aby wyświetlić dzienniki programu Symantec Network Access Control: 1 W programie klienckim kliknij pozycję Stan na pasku bocznym. 2 Aby wyświetlić dziennik zabezpieczeń, obok pozycji Kontrola dostępu do sieci kliknij pozycję Opcje > Wyświetl dzienniki. 3 W dzienniku zabezpieczeń zaznacz pierwszy wpis dziennika. W lewym dolnym rogu okna wyświetlone zostaną wyniki sprawdzania integralności hosta. Jeśli klient był już zainstalowany, predefiniowany wymóg zapory został spełniony. Jeśli klient nie był zainstalowany, predefiniowany wymóg zapory nie został spełniony, ale wyświetlany jest wynik prawidłowy. 4 Aby wyświetlić dziennik systemu, w oknie dialogowym Dziennikzabezpieczeń — Dzienniki programu Symantec Network Access Control kliknij pozycję Widok > Dziennik systemu. 5 Kliknij menu Plik > Zakończ. Patrz „Dzienniki — informacje” na stronie 49 Indeks A adware 72 aktualizacja definicji 36–37 aktywna reakcja informacje 122 alerty ikony 16 reagowanie 21 aplikacje 125 wykluczanie ze skanowań 91 zezwalanie lub blokowanie 127, 138 aplikacje wprowadzające w błąd 73 Automatyczna ochrona dla klientów poczty e-mail stanowiących składnik oprogramowania do pracy grupowej 68 dla programu Lotus Notes 70 Download Insight 44 internetowej poczty e-mail 68 programu Microsoft Outlook 68 systemu plików 46 włączanie lub wyłączanie 44, 46 B blokowanie atakującego komputera 122 blokowanie ruchu 123, 127 reagowanie na komunikaty 29 reguły zapory 138 C Centrum zabezpieczeń systemu Windows wyświetlanie stanu ochrony antywirusowej 101 wyświetlanie stanu zapory 102 czyszczenie wirusów 24, 74 D dane dotyczące reputacji 74 definicje aktualizowanie 36–37 informacje 65 definicje wirusów aktualizowanie 36–37 informacje 65 destrukcyjne oprogramowanie konfigurowanie działań wobec wykryć 86 dialery 72 domena internetowa wykluczanie ze skanowań 91 Download Insight dane dotyczące reputacji 74 dostosowywanie 83 interakcja z funkcją Automatyczna ochrona 44 reagowanie na powiadomienia 28 zarządzanie wykryciami 80 Dziennik debugowania 51 Dziennik funkcji Ochrona przed naruszeniem integralności 51 Dziennik kontroli 51 Dziennik pakietów 50 dziennik pakietów włączanie 52 Dziennik ruchu 50 Dziennik skanowania 49 dziennik skanowania poddawanie pliku kwarantannie 96 Dziennik systemu Ochrona przed wirusami i programami typu spyware 50 Zapobieganie zagrożeniom 50 Zarządzanie klientami 51 Dziennik zabezpieczeń 51 Dziennik zagrożeń 50 dziennik zagrożeń poddawanie pliku kwarantannie 96 dzienniki eksportowanie danych 53 eksportowanie filtrowanych wpisów dziennika 54 formaty eksportu 53–54 informacje 49 kontroli dostępu do sieci 153 156 Indeks wyświetlanie 51 włączanie dziennika pakietów 52 śledzenie wsteczne wpisów 52 foldery wykluczanie ze skanowań 91 kontrola dostępu do sieci egzekwowanie 147 informacje 13, 145 przywracanie zgodności komputera 148 kwarantanna przenoszenie plików 95 przesyłanie plików do centrum Symantec Security Response 97 ręczne poddawanie pliku kwarantannie 96 usuwanie plików 97 wyświetlanie zainfekowanych plików 95 zarządzanie plikami 93 I L ikona paska zadań 38 ikona tarczy 38 ikona w obszarze powiadomień informacje 38 ukrywanie i wyświetlanie 40 ikony kłódka 42 na stronie Stan 16 tarcza 38 Insight 74 licencje reagowanie na komunikaty 30 LiveUpdate bezzwłoczne uruchamianie 37 opis ogólny 36 polecenie 16 tworzenie harmonogramu funkcji 37 E egzekwowanie informacje 147 F K klienci sposób ochrony komputerów 34 wyłączanie systemu ochrony 43 zarządzani i niezarządzani 40, 42 klienci autonomiczni 40 klienci niezarządzani informacje 40 sprawdzanie 42 zarządzanie ochroną 34 klienci zarządzani informacje 40 sprawdzanie 42 zarządzanie ochroną 34 komputery aktualizowanie systemu ochrony 36 skanowanie 58 sposób ochrony komputerów 34 komputery 64-bitowe 18 komunikaty reagowanie 21, 29–31 zapobieganie włamaniom 143 konie trojańskie 72 N narzędzia hakerskie 73 narzędzia typu rootkit 72 narzędzie oceny zabezpieczeń 73 O ochrona na poziomie sterowników włączanie 113 Ochrona przed naruszeniem integralności konfigurowanie 48 wyłączanie 45 włączanie i wyłączanie 48 Ochrona przed wirusami i programami typu spyware Dziennik systemu 50 informacje 12 Ochrona przed zagrożeniami sieciowymi dzienniki 50 informacje 12, 108 włączanie lub wyłączanie 45–46 zarządzanie 108 ochrona systemu NetBIOS włączanie 113 odblokowanie atakującego komputera 122 opcja Pomoc 14 opcje niedostępne 41 Indeks operacje sieciowe wyświetlanie 129 ruch token ring włączanie 113 P S pliki serwer klienci zarządzani 41 łączenie 38 skanowania dostosowywanie ustawień 84 działania naprawcze 84 działania powiadomień 84 informacje 66 interpretowanie wyników 23 konfigurowanie wyjątków 84 na żądanie i przy uruchomieniu 79 odraczanie 18 opcje odraczania 19 reagowanie na wykrycie 24 skanowane składniki 64 sposób działania 64 typy 66 uruchamianie 16 wstrzymywanie 18 wykluczanie elementów 91 zaplanowane 75 zarządzanie 58 zdefiniowane przez użytkownika 84 skanowania aktywne uruchamianie 77 skanowania na żądanie tworzenie 79 uruchamianie 16 skanowania niestandardowe uruchamianie 77 skanowania pełne uruchamianie 77 skanowania przy uruchamianiu tworzenie 79 skanowania zaplanowane tworzenie 75 wiele 76 skanowanie poczty e-mail. Patrz Automatyczna ochrona skanowanie za pomocą kliknięcia prawym przyciskiem myszy 16 Smart DHCP 120 Smart DNS 120 Smart WINS 120 działanie po wykryciu 24 przesyłanie do centrum Symantec Security Response 97 udostępnianie 120 wykluczanie ze skanowań 91 poczta e-mail wykluczanie pliku skrzynki odbiorczej ze skanowania 90 poddawanie wirusów kwarantannie 24 ponowne uwierzytelnianie 152 powiadomienia Download Insight 28 reagowanie 21 zapobieganie włamaniom 143 programy do kontroli rodzicielskiej 73 programy do zdalnego dostępu 73 programy śledzące 73 programy – żarty 73 przeciwdziałanie fałszowaniu adresów MAC włączanie 113 R reguły zapory 133 dodawanie 138 eksportowanie 139 importowanie 139 informacje 134 kolejność przetwarzania informacje 131 zmiana 133 konfigurowanie 137 włączanie i wyłączanie 140 robaki 72 roboty 72 roboty internetowe 72 rozwiązywanie problemów za pomocą strony Stan 14 ruch blokowanie 123 wyświetlanie 129 zezwalanie lub blokowanie 127 ruch emisji pokazywanie 129 157 158 Indeks SONAR dzienniki 50 informacje 12, 104 informacje o wykrywaniu 105 zarządzanie 102 zmienianie ustawień 105 sprawdzanie integralności hosta uruchamianie 148 spyware 73 stanowa analiza pakietów 133 strona Skanowanie w poszukiwaniu zagrożeń 15 strona Stan 14 ikony alertów 16 rozwiązywanie problemów 14 strona Wyświetlanie kwarantanny 15 strona Zmiana ustawień 15 Symantec Security Response przesyłanie plików 97 system ochrony aktualizowanie 36–37 używanie 34 włączanie lub wyłączanie 43 system zapobiegania włamaniom aktualizowanie definicji 36 informacje 108 T tryb ukrywania przeglądania Internetu włączanie 113 U udostępnianie drukowania 120 udostępnianie plików i drukarek 120 ustawienia zapobieganie włamaniom 143 ustawienia ruchu i trybu ukrywania 113 usuwanie wirusów 24 usługi systemu Windows pokazywanie 129 uwierzytelnianie 802.1x informacje 149 konfigurowanie 151 W wirus usuwanie z zainfekowanego pliku 26 wirusy 72 konfigurowanie działań wobec wykryć 86 nierozpoznawane 97 sposób wykrywania przez klienta 65 sposoby reagowania klienta 66 sposoby reagowania klienta na wykrycie 74 wyjątki informacje 90–91 tworzenie 91 wyjątki skanowania. Patrz wyjątki wysyłki 98–99 Wyszukiwanie Insight zaufane witryny intranetowe 83 wyłączanie Automatyczna ochrona 44, 46 Ochrona przed zagrożeniami sieciowymi 45–46 Zapobieganie zagrożeniom 44, 46 włączanie Automatyczna ochrona 46 Ochrona przed zagrożeniami sieciowymi 46 Zapobieganie zagrożeniom 46 Z zagrożenia hybrydowe 72 zagrożenia bezpieczeństwa konfigurowanie działań wobec wykryć 86 sposób wykrywania przez klienta 65 sposoby reagowania klienta 66 sposoby reagowania klienta na wykrycie 74 wykluczanie ze skanowań 91 zagrożenia hybrydowe 72 zagrożenie usuwanie z zainfekowanego pliku 26 zainfekowane pliki podejmowanie działań 23 zapobieganie włamaniom. Patrz system zapobiegania włamaniom powiadomienia 143 sposób działania 141 włączanie lub wyłączanie 143 zarządzanie 140 zapobieganie włamaniom do przeglądarki informacje 141 zapobieganie włamaniom sieciowym informacje 141 Zapobieganie zagrożeniom informacje 12 włączanie lub wyłączanie 44, 46 zapora aplikacje 125 Indeks definicja 108 stanowa analiza pakietów 133 ustawienia 111 włączanie lub wyłączanie 46 zarządzanie 108 zezwalanie na ruch 127 reagowanie na komunikaty 29 reguły zapory 138 159