worry free business security administration guide

Administrator’s Guide

Worry-FreeTM Business Security Standard e Advanced EditionSecuring Your Journey to the Cloud

Guida dell'amministratoreA

dm

inistra

tor’s G

uid

eW

orry

-Free

TM B

usin

ess Secu

rity S

tan

dard

Editio

n 7

T

RE

ND

MIC

RO

TM

www.trendmicro.comItem Code: WBEM74598/100819

TREND MICRO INCORPORATED10101 North De Anza Blvd. Cupertino, CA., 95014, USATel:+1(408)257-1500/1-800 228-5651 Fax:+1(408)257-2003 [email protected]

Trend Micro Incorporated si riserva il diritto di apportare modifiche a questadocumentazione e ai prodotti in essa descritti senza alcun obbligo di notifica. Primadell'installazione e dell'utilizzo del software, leggere con attenzione i file readme, le notesulla versione corrente e l'ultima edizione della relativa documentazione dell'utente,disponibili presso il sito Web Trend Micro all'indirizzo:

http://docs.trendmicro.com/it-it/smb/worry-free-business-security.aspx

Trend Micro, il logo della pallina con il disegno di una T, TrendProtect, TrendSecure,Worry-Free, OfficeScan, ServerProtect, PC-cillin, InterScan e ScanMail sono marchi omarchi registrati di Trend Micro, Incorporated. Tutti gli altri nomi di prodotti o societàpotrebbero essere marchi o marchi registrati dei rispettivi proprietari.

Copyright © 2012 Trend Micro Incorporated. Tutti i diritti riservati.

Codice documento: WFIM85747/121025

Data di pubblicazione: Dicembre 2012

Protetto da brevetto U.S. N. 5.951.698 e 7.188.369

La documentazione dell'utente di Trend Micro Worry-Free Business Security è destinataalla presentazione delle caratteristiche principali del software e alle istruzioni perl'installazione nell'ambiente di produzione dell'utente. Prima di procedere all'installazioneo all'utilizzo del software, leggere attentamente questa documentazione.

Altre informazioni dettagliate sull'uso di funzioni specifiche del software sonodisponibili nel file della guida in linea e nella Knowledge Base sul sito Web di TrendMicro.

Trend Micro si impegna continuamente a migliorare la propria documentazione. Perdomande, commenti o suggerimenti riguardanti questo o qualsiasi documento TrendMicro, scrivere all'indirizzo [email protected].

È possibile esprimere un giudizio su questa documentazione al seguente indirizzo:

http://www.trendmicro.com/download/documentation/rating.asp


mailto:%[email protected]


i

SommarioPrefazione

Prefazione ......................................................................................................... xiii

Documentazione Worry-Free Business Security ........................................ xiv

Destinatari ........................................................................................................ xiv

Convenzioni utilizzate nella documentazione ............................................. xv

Capitolo 1: Presentazione di Worry-Free Business SecurityStandard e Advanced

Panoramica di Trend Micro Worry-Free Business Security ..................... 1-2

Novità della versione ...................................................................................... 1-2

Principali funzioni e vantaggi ........................................................................ 1-3Trend Micro Smart Protection Network ............................................ 1-3Servizi di reputazione file ...................................................................... 1-4Servizi di reputazione Web ................................................................... 1-4Email Reputation (solo Advanced) ...................................................... 1-5Smart Feedback ...................................................................................... 1-6Filtro URL ............................................................................................... 1-7

Vantaggi della protezione .............................................................................. 1-7

Descrizione delle minacce ............................................................................. 1-8Virus e minacce informatiche ............................................................... 1-9Spyware e grayware .............................................................................. 1-11Spam ....................................................................................................... 1-12Intrusioni ............................................................................................... 1-12Comportamento dannoso ................................................................... 1-12Falsi punti di accesso ........................................................................... 1-12Contenuti espliciti o riservati in applicazioni di messaggisticaistantanea ............................................................................................... 1-12Tentativi di phishing ............................................................................ 1-13Attacchi tramite invii di posta in massa ............................................ 1-13Minacce Web ......................................................................................... 1-14

Guida dell'amministratore di Worry-Free Business Security 8.0

ii

Capitolo 2: Informazioni preliminariRete Worry-Free Business Security .............................................................. 2-2

Security Server ................................................................................................. 2-2Scan Server .............................................................................................. 2-2

Agent ................................................................................................................ 2-3

Console Web ................................................................................................... 2-4Apertura della console Web .................................................................. 2-5Navigazione nella console Web ........................................................... 2-7Icone della console Web ..................................................................... 2-10Stato in tempo reale ............................................................................. 2-11

Capitolo 3: Installazione degli agentInstallazione di Security Agent ..................................................................... 3-2

Requisiti di installazione del Security Agent ....................................... 3-2Considerazioni sull'installazione del Security Agent ......................... 3-2Funzioni disponibili per i Security Agent ........................................... 3-3Installazione di Security Agent e supporto IPv6 ............................... 3-6

Metodi di installazione del Security Agent .................................................. 3-8Installazione dalla pagina Web interna .............................................. 3-11Installazione con Impostazione script di accesso ............................ 3-13Installazione con Client Packager ...................................................... 3-15Installazione con Installazione remota .............................................. 3-19Installazione con Vulnerability Scanner ............................................ 3-22Installazione con notifica e-mail ........................................................ 3-34Migrazione a un Security Agent ......................................................... 3-35Esecuzione di operazioni post-installazione sui Security Agent ... 3-36

Installazione di Messaging Security Agent ................................................ 3-38Requisiti di installazione di Messaging Security Agent ................... 3-38Installazione del Messaging Security Agent (solo Advanced) ....... 3-38

Rimozione di agent ....................................................................................... 3-40Rimozione di agent dalla console Web ............................................. 3-41Disinstallazione di agent dalla console Web .................................... 3-42Disinstallazione del Security Agent dal client .................................. 3-43Uso dello strumento di disinstallazione di SA ................................. 3-44

Sommario

iii

Disinstallazione del Messaging Security Agent da Microsoft ExchangeServer (solo Advanced) ....................................................................... 3-46

Capitolo 4: Gestione dei gruppiGruppi .............................................................................................................. 4-2

Aggiunta di gruppi ........................................................................................ 4-10

Aggiunta di agent ai gruppi ......................................................................... 4-11

Spostamento di agent ................................................................................... 4-12Spostamento di Security Agent tra gruppi ........................................ 4-13Spostamento di agent tra Security Server utilizzando la console Web .................................................................................................................. 4-14Spostamento di un Security Agent tra Security Server con ClientMover ..................................................................................................... 4-15

Replica delle impostazioni ........................................................................... 4-17Replica delle impostazioni del gruppo del Security Agent ............. 4-17Replica delle impostazioni del Messaging Security Agent (soloAdvanced) .............................................................................................. 4-18

Importazione ed esportazione delle impostazioni dei gruppi del SecurityAgent .............................................................................................................. 4-19

Esportazione delle impostazioni ........................................................ 4-21Importazione delle impostazioni ....................................................... 4-22

Capitolo 5: Gestione delle impostazioni di sicurezza di baseper i Security Agent

Riepilogo delle Impostazioni di sicurezza base per i Security Agent ...... 5-2

Metodi di scansione ........................................................................................ 5-3Configurazione dei metodi di scansione ............................................. 5-5

Scansione in tempo reale per i Security Agent ........................................... 5-7Configurazione della scansione in tempo reale per i Security Agent .................................................................................................................... 5-7

Firewall ............................................................................................................. 5-8Configurazione del firewall ................................................................. 5-11Utilizzo delle eccezioni Firewall ......................................................... 5-12


iv

Disattivazione del firewall su un gruppo di agent ........................... 5-15Disattivazione del firewall su tutti gli agent ...................................... 5-15

Reputazione Web ......................................................................................... 5-15Configurazione della reputazione Web per Security Agent ........... 5-17

Filtro URL ..................................................................................................... 5-18Configurazione del filtro URL ........................................................... 5-19

Monitoraggio del comportamento ............................................................. 5-20Configurazione del monitoraggio del comportamento .................. 5-21

Programmi affidabili .................................................................................... 5-23Configurazione di un programma affidabile .................................... 5-23

Controllo dispositivo ................................................................................... 5-24Configurazione del controllo dispositivo ......................................... 5-24

Strumenti utente ........................................................................................... 5-26Configurazione degli strumenti dell'utente ....................................... 5-26

Privilegi client ................................................................................................ 5-27Configurazione dei privilegi client ..................................................... 5-27

Directory di quarantena ............................................................................... 5-30Configurazione della directory di quarantena .................................. 5-32

Capitolo 6: Gestione delle Impostazioni di sicurezza di baseper i Messaging Security Agent (solo Advanced)

Messaging Security Agent .............................................................................. 6-2Scansione dei messaggi e-mail da parte di Messaging Security Agent .................................................................................................................... 6-3Impostazioni predefinite di Messaging Security Agent .................... 6-4

Configurazione della scansione in tempo reale per i Messaging SecurityAgent ................................................................................................................ 6-5

Configurazione della scansione in tempo reale per Messaging SecurityAgent ........................................................................................................ 6-6

Anti-spam ......................................................................................................... 6-6Servizi Email Reputation ....................................................................... 6-7Scansione dei contenuti ......................................................................... 6-9

Sommario

v

Filtro dei contenuti ....................................................................................... 6-15Gestione delle regole del filtro dei contenuti ................................... 6-16Tipi di regole di filtro dei contenuti ................................................... 6-20Aggiunta di regole di filtro dei contenuti per tutte le condizioni diassociazione ........................................................................................... 6-21Aggiunta di una regola di filtro dei contenuti per le condizioni diassociazione ........................................................................................... 6-24Aggiunta di una regola di monitoraggio del filtro dei contenuti ... 6-27Creazione di eccezioni alle regole per il filtro dei contenuti .......... 6-30

Prevenzione della perdita di dati ................................................................ 6-31Lavoro di preparazione ....................................................................... 6-31Gestione delle regole per Prevenzione della perdita di dati ........... 6-32Regole per la Prevenzione della perdita di dati predefinite ............ 6-40Aggiunta delle regole per Prevenzione della perdita di dati ........... 6-41

Blocco allegati ............................................................................................... 6-47Configurazione del blocco degli allegati ........................................... 6-47

Reputazione Web ......................................................................................... 6-50Configurazione della Reputazione Web per Messaging SecurityAgent ...................................................................................................... 6-51

Quarantena per i Messaging Security Agent ............................................. 6-53Consultazione delle directory di quarantena .................................... 6-54Visualizzazione dei risultati della query e azioni correttive ............ 6-56Gestione delle directory di quarantena ............................................. 6-58Configurazione delle directory di quarantena .................................. 6-59

Impostazioni di notifica per i Messaging Security Agent ....................... 6-60Configurazione delle impostazioni di notifica per i Messaging SecurityAgent ...................................................................................................... 6-61

Configurazione di Manutenzione spam .................................................... 6-62Gestione della End User Quarantine ................................................ 6-63

Assistenza Trend Micro/Programma di debug ....................................... 6-65Generazione di rapporti del programma di debug di sistema ....... 6-66

Monitoraggio in tempo reale ....................................................................... 6-67Uso del Monitoraggio in tempo reale ................................................ 6-67

Aggiunta di una declinazione di responsabilità ai messaggi e-mail in uscita .......................................................................................................................... 6-68


vi

Capitolo 7: Gestione delle scansioniInformazioni sulle scansioni ......................................................................... 7-2

Scansione in tempo reale ............................................................................... 7-2

Scansione manuale .......................................................................................... 7-3Esecuzione di scansioni manuali .......................................................... 7-4

Scansione pianificata ...................................................................................... 7-7Configurazione delle scansioni pianificate .......................................... 7-7

Destinazioni di scansione e azioni per i Security Agent ......................... 7-10

Destinazioni di scansione e azioni per i Messaging Security Agent ...... 7-18

Capitolo 8: Gestione degli aggiornamentiPanoramica sugli aggiornamenti ................................................................... 8-2

Componenti aggiornabili ............................................................................... 8-4Hotfix, patch e service pack .................................................................. 8-9

Aggiornamenti del Security Server ............................................................. 8-10Configurazione dell'origine di aggiornamento del Security Server 8-12Aggiornamento manuale del Security Server ................................... 8-13Configurazione della pianificazione aggiornamenti per il SecurityServer ...................................................................................................... 8-14Rollback dei componenti .................................................................... 8-15

Aggiornamenti di Security Agent e Messaging Security Agent ............. 8-16

Update Agent ................................................................................................ 8-17Configurazione degli Update Agent .................................................. 8-20

Capitolo 9: Gestione delle notificheNotifiche .......................................................................................................... 9-2

Configurazione degli eventi per le notifiche ............................................... 9-3Variabili token ......................................................................................... 9-4

Capitolo 10: Utilizzo di Difesa dalle infezioniStrategia di difesa dalle infezioni ................................................................ 10-2

Sommario

vii

Valutazione delle vulnerabilità .................................................................... 10-4

Criteri di difesa dalle infezioni .................................................................... 10-6

Stato attuale della difesa dalle infezioni ..................................................... 10-6Dettagli della difesa dalle infezioni automatica ................................ 10-8

Minaccia potenziale ...................................................................................... 10-9File di pattern di valutazione delle vulnerabilità ............................ 10-10Damage Cleanup Services ................................................................. 10-11

Configurazione delle impostazioni di difesa dalle infezioni ................. 10-12Eccezioni della difesa dalle infezioni ............................................... 10-15Configurazione delle impostazioni della valutazione dellevulnerabilità ......................................................................................... 10-18

Capitolo 11: Gestione delle impostazioni globaliImpostazioni globali ..................................................................................... 11-2

Configurazione delle impostazioni del proxy Internet ........................... 11-3

Configurazione delle impostazioni del server SMTP .............................. 11-4

Configurazioni delle impostazioni di desktop/server ............................. 11-5

Configurazione delle impostazioni di sistema ........................................ 11-12

Capitolo 12: Utilizzo dei registri e dei rapportiRegistri ............................................................................................................ 12-2

Utilizzo delle query del registro .......................................................... 12-4

Rapporti ......................................................................................................... 12-5Uso dei rapporti singoli ....................................................................... 12-5Uso dei rapporti pianificati ................................................................. 12-7Interpretazione dei rapporti .............................................................. 12-12

Operazioni di manutenzione per rapporti e registri .............................. 12-15

Capitolo 13: Effettuare operazioni di amministrazioneModifica della password della console Web ............................................. 13-2

Operazioni relative a Plug-in Manager ...................................................... 13-2


viii

Gestione della licenza di prodotto ............................................................. 13-3

Partecipazione al programma Smart Feedback ........................................ 13-5

Modifica della lingua dell'interfaccia dell'Agent ....................................... 13-5

Salvataggio e ripristino delle impostazioni del programma .................... 13-6

Disinstallazione di Security Server ............................................................. 13-8

Capitolo 14: Uso degli strumenti di gestioneTipi di strumenti ........................................................................................... 14-2

Installazione di Trend Micro Worry-Free Remote Manager Agent ..... 14-3

Risparmio di spazio su disco ....................................................................... 14-6Esecuzione di Disk Cleaner sul Security Server .............................. 14-6Esecuzione di Disk Cleaner sul Security Server da interfaccia dellariga di comando .................................................................................... 14-7Risparmio di spazio su disco sui client .............................................. 14-8

Spostamento di database Scan Server ....................................................... 14-9

Ripristino dei file crittografati ..................................................................... 14-9Decrittografia e ripristino di file sul Security Agent ..................... 14-11Decrittografia e ripristino di file sul Security Server, directory diquarantena personalizzata o Messaging Security Agent ............... 14-12Ripristino dei messaggi e-mail Transport Neutral EncapsulationFormat .................................................................................................. 14-13

Utilizzo dello strumento ReGenID ......................................................... 14-14

Gestione dei componenti aggiuntivi di SBS e EBS ............................... 14-15Installazione manuale dei componenti aggiuntivi di SBS e EBS 14-15Uso dei componenti aggiuntivi di SBS e EBS ............................... 14-16

Appendice A: Icone Security AgentControllo dello stato dei Security Agent .................................................... A-2

Visualizzazione delle icone dei Security Agent sulla barra delle applicazionidi Windows ..................................................................................................... A-4

Accesso al flyover della console .................................................................. A-5

Sommario

ix

Appendice B: Supporto dell'IPv6 in Worry-Free BusinessSecurity

Supporto dell'IPv6 per Worry-Free Business Security ............................. B-2Requisiti IPv6 del Security Server ....................................................... B-2Requisiti del Security Agent ................................................................. B-3Requisiti del Messaging Security Agent .............................................. B-3Limitazioni del server IPv6 puro ......................................................... B-3Limitazioni agent IPv6 puro ................................................................ B-4

Configurazione indirizzi IPv6 ...................................................................... B-5

Schermate che visualizzano gli indirizzi IP ................................................ B-6

Appendice C: Visualizzazione della GuidaKnowledge Base di Trend Micro ................................................................ C-2

Come contattare l'assistenza tecnica ........................................................... C-2Case Diagnostic Tool ............................................................................ C-3Velocizzazione della chiamata all'assistenza tecnica ......................... C-3

Informazioni di contatto ............................................................................... C-3

Invio di file sospetti a Trend Micro ............................................................ C-4

Centro informazioni sulla sicurezza ............................................................ C-4

TrendLabs ....................................................................................................... C-5

Riscontri sulla documentazione ................................................................... C-5

Appendice D: Nozioni e terminologia prodottiHotfix .............................................................................................................. D-2

IntelliScan ....................................................................................................... D-2

IntelliTrap ....................................................................................................... D-2

Sistema di rilevamento anti-intrusione ....................................................... D-4

Parole chiave .................................................................................................. D-5

Patch .............................................................................................................. D-10

Espressioni regolari ..................................................................................... D-10


x

Elenco di esclusione scansione ................................................................. D-19

Patch di protezione ..................................................................................... D-26

Service Pack ................................................................................................. D-26

Porta dei cavalli di Troia ............................................................................ D-26

File non disinfettabili .................................................................................. D-28

IndiceIndice ............................................................................................................. IN-1

xiii

Prefazione

PrefazioneGuida per l'amministratore di Trend Micro™ Worry-Free™ Business Security. Questodocumento contiene le informazioni introduttive e illustra le procedure perl'installazione degli agent e per la gestione di agent e Security Server.


xiv

Documentazione Worry-Free BusinessSecurity

La documentazione di Worry-Free Business Security include:

TABELLA 1. Documentazione Worry-Free Business Security

DOCUMENTAZIONE DESCRIZIONE

Guidaall'installazione eall'aggiornamento

Un documento PDF che illustra i requisiti e le procedure diinstallazione del Security Server e l'aggiornamento del server e degliagent

Guidadell'amministratore

Un documento PDF contenente le informazioni introduttive, leprocedure per l'installazione del client e la gestione di SecurityServer e agent

Guida File HTML compilati in formato WebHelp o CHM che fornisconoprocedure, consigli di utilizzo e informazioni specifiche

File Readme Contiene un elenco di problemi noti e la procedura di base perl'installazione. Contiene inoltre le informazioni più recenti sulprodotto che non è stato possibile inserire nella documentazione nelsoftware né in quella stampata

Knowledge Base Database online contenente informazioni utili per la risoluzione deiproblemi. Fornisce le informazioni più recenti sui problemi notiriscontrati nell'utilizzo dei prodotti. Per accedere alla KnowledgeBase, visitare il seguente sito Web:

http://esupport.trendmicro.com/en-us/business/default.aspx

Le versioni aggiornate dei documenti PDF e del file Readme sono disponibili per ildownload alla pagina seguente:


DestinatariLa documentazione di Worry-Free Business è destinata agli utenti seguenti:



Prefazione

xv

• Amministratori della protezione: responsabili della gestione di Worry-FreeBusiness Security, comprese le attività di gestione e installazione di Security Servere agent. Si presuppone che questi utenti abbiano conoscenze avanzate di reti egestione dei server.

• Utenti finali: utenti che hanno il client Security Agent installato nei propricomputer. Le conoscenza informatiche di questi utenti variano da principiante autente esperto.

Convenzioni utilizzate nella documentazionePer facilitare l’individuazione e l’interpretazione delle informazioni, la documentazionedi Worry-Free Business Security segue le convenzioni illustrate di seguito:

TABELLA 2. Convenzioni utilizzate nella documentazione

CONVENZIONE DESCRIZIONE

TUTTO MAIUSCOLO Acronimi, abbreviazioni e nomi di alcuni comandi e tasti dellatastiera

Grassetto Menu e comandi dei menu, pulsanti dei comandi, schede,opzioni e attività

Corsivo Riferimenti ad altra documentazione o a componenti di nuovatecnologia

<Testo> Indica che il testo all'interno delle parentesi angolari deveessere sostituito da dati effettivi. Ad esempio, C:\Programmi\<nome_file> può essere C:\Programmi\esempio.jpg.

Nota Indica note per la configurazione o raccomandazioni

Suggerimento Indica informazioni su procedure ottimali e consigli di TrendMicro

AVVERTENZA! Indica avvisi relativi ad attività che possono comportare danniper i computer della rete

1-1

Capitolo 1

Presentazione di Worry-Free™Business Security Standard eAdvanced

In questo capitolo viene fornita una panoramica su Worry-Free Business Security(WFBS).


1-2

Panoramica di Trend Micro Worry-FreeBusiness Security

Trend Micro Worry-Free Business Security (WFBS) protegge utenti e risorse dellepiccole imprese dal furto di dati e identità, siti pericolosi e spam (solo Advanced).

Questo documento fornisce informazioni per WFBS sia Standard che Advanced. Lesezioni e i capitoli relativi alla versione Advanced sono contrassegnati come "(SoloAdvanced)".

Parte di Trend Micro Smart Protection Network, WFBS è:

• Più sicuro: Blocca virus, spyware, spam (Solo Advanced) e minacce Web primache raggiungano i client. Il filtro URL blocca l'accesso ai siti Web pericolosi econsente di migliorare la produttività.

• Più intelligente: La scansione e gli aggiornamenti rapidi bloccano le nuoveminacce, che hanno così un impatto minimo sui client.

• Più semplice: Facile da implementare e senza bisogno di amministrazione, WFBSrileva più efficacemente le minacce per consentire di concentrarsi sul lavoro inveceche sulla protezione.

Novità della versioneWorry-Free Business Security comprende le nuove funzioni e i miglioramentisottostanti.

• Supporto piattaforme: Ora possibile installare il Security Server e i Security Agentsu Windows 8 e su Windows Server 2012.

• Supporto IPv6: Security Server, Security Agent, Messaging Security Agent (soloAdvanced) e Remote Manager Agent ora possono essere installati sui client IPv6.

• Disinfezione avanzata: Se configurati per l'esecuzione della disinfezione avanzata,i Security Agent sono in grado di interrompere attività di software di protezionenon legittimi, noti anche come FakeAV. L'agent utilizza anche regole didisinfezione avanzate per rilevare e interrompere in modo proattivo le applicazioniche manifestano un comportamento da falso antivirus.

Presentazione di Worry-Free Business Security Standard e Advanced

1-3

Abilitare la disinfezione avanzata sui Security Agent per configurare le impostazionidi scansione manuale e scansione pianificata.

• Azioni contro potenziali virus/malware: Per i probabili virus/malware, l'azionepredefinita è "Impedisci l'accesso" durante la Scansione in tempo reale e "Ignora"durante la Scansione manuale e la Scansione pianificata. Se non si desideraimpostare queste azioni come preferite, è possibile modificarle in Quarantena,Elimina o Rinomina.

• Arresto del client dopo la scansione pianificata: Una nuova configurazionedella console Web (Scansioni > Scansione pianificata > scheda Pianifica)permette agli agent di iniziare l'arresto del client al completamento di una scansionepianificata. Questa impostazione è configurabile solo dalla console Web e non èdisponibile per gli utenti con privilegi Scansione pianificata.

• Percorso di installazione Security Agent: Durante l'installazione del SecurityServer, viene richiesto di specificare il percorso di installazione in cui risiedono iSecurity Agent. Nelle versioni precedenti, non era possibile modificare il percorsodi installazione in seguito all'installazione del Security Server. In questa versione, èpossibile modificare il percorso di installazione dalla console Web da Preferenze >Impostazioni globali > Sistema > sezione Directory di installazione diSecurity Agent. Dopo aver modificato il percorso, il nuovo Security Agent verràinstallato dove specificato.

• Scan Server Database Mover: questo strumento trasferisce il database dello ScanServer in sicurezza su un'altra unità disco. Vedere Spostamento di database Scan Server apagina 14-9.

Principali funzioni e vantaggiWorry-Free Business Security comprende le seguenti funzioni e vantaggi:

Trend Micro™ Smart Protection Network™Trend Micro™ Smart Protection Network™ è un'infrastruttura per la sicurezza deicontenuti dei client cloud di nuova generazione concepita per proteggere gli utenticontro i rischi per la sicurezza e le minacce Web. Comprende soluzioni in sede e gestite


1-4

in hosting da Trend Micro per proteggere gli utenti quando sono in rete, a casa o inviaggio. Smart Protection Network utilizza client più leggeri che accedono allacombinazione "in-the-cloud" unica di tecnologie di reputazione file, posta elettronica eWeb, nonché ai database delle minacce. La protezione dei clienti viene aggiornata erafforzata automaticamente con il progressivo aumento di prodotti, servizi e utenti cheaccedono alla rete, creando in tal modo un servizio di vigilanza continua in tempo reale.

Per ulteriori informazioni su Smart Protection Network, visitare:

http://it.trendmicro.com/it/technology/smart-protection-network/

Servizi di reputazione file

I Servizi di reputazione file verificano la reputazione di ciascun file rispetto a un database"in-the-cloud". Poiché le informazioni sulle minacce informatiche sono memorizzate in-the-cloud, sono disponibili immediatamente a tutti gli utenti. Le reti di trasmissione deicontenuti ad elevate prestazioni e i server di cache locale garantiscono una latenzaminima durante la fase di controllo. L'architettura cloud-client offre una protezione piùimmediata ed elimina l'obbligo dell'implementazione dei pattern, oltre a ridurre in misurasignificativa l'impatto complessivo del client sulle risorse.

I Security Agent devono essere in modalità Smart Scan per utilizzare i Servizi direputazione file. In questo documento questi agent sono definiti come agent smartscan. Gli agent che non sono in modalità Smart Scan non utilizzano i Servizi direputazione file e sono definiti agent di scansione convenzionali. Gli amministratoriWorry-Free Business Security possono configurare tutti o solo alcuni agent in modo cherisultino in modalità smart scan.

Servizi di reputazione Web

Avvalendosi di uno dei database di reputazione dei domini più grandi del mondo, latecnologia di reputazione Web di Trend Micro tiene traccia della credibilità dei dominiWeb assegnando un punteggio di reputazione basato su fattori quali la maturità del sitoWeb, i cambiamenti di percorso e le indicazioni di attività sospette rilevate mediantel'analisi del comportamento delle minacce informatiche. I siti sono continuamentesottoposti alla reputazione Web e l'accesso ai siti infetti viene bloccato. Le informazionidi reputazione Web contribuiscono a garantire che le pagine visitate dagli utenti siano



1-5

sicure e prive di minacce Web quali minacce informatiche, spyware e frodi di phishingvolte a indurre gli utenti a fornire informazioni personali. Per aumentare l'accuratezza eridurre i falsi allarmi, la tecnologia di reputazione Web di Trend Micro assegna punteggidi reputazione alle singole pagine e ai singoli collegamenti anziché classificare o bloccaresiti interi. Spesso, infatti, solo alcune parti di siti legittimi sono pericolose e lareputazione può cambiare con il tempo.

Gli agent nei quali sono applicati i criteri di reputazione Web usano Servizi direputazione Web. Gli amministratori di Worry-Free Business Security possono applicarei criteri di reputazione Web a tutti gli agent o solo ad alcuni.

Email Reputation (solo Advanced)La tecnologia di reputazione e-mail di Trend Micro convalida gli indirizzi IPverificandoli a fronte di un database della reputazione di fonti di spam note e utilizzandoun servizio dinamico capace di valutare la reputazione del mittente e-mail in tempo reale.Le classificazioni della reputazione vengono perfezionate tramite un'analisi continua del"comportamento" degli indirizzi IP, della portata dell'attività e della cronologiaprecedente. I messaggi e-mail dannosi vengono bloccati in-the-cloud in base all'indirizzoIP del mittente, impedendo così a minacce come zombie o botnet di raggiungere la retedell'utente.

La tecnologia Email Reputation identifica lo spam in base alla reputazione del MailTransport Agent (MTA) di origine. In questo modo si riduce il carico di lavoro sulSecurity Server. Con la funzione Email Reputation attivata, tutto il traffico SMTP vienecontrollato dai database IP per verificare se l'indirizzo IP di origine è affidabile o seinvece è stato inserito in una blacklist come vettore di spam noto.

Email Reputation offre i due livelli di servizio

• Standard: Il servizio standard si affida a un database in grado di identificare lareputazione di circa due miliardi di indirizzi IP. Gli indirizzi IP che vengonocostantemente associati alla diffusione di messaggi di spam vengono aggiunti a undatabase e solo raramente rimossi.

• Avanzato: Il livello di servizio avanzato offre un servizio DNS basato su querycome il servizio standard. La base di questo servizio è il database di reputazionestandard, unitamente al database di reputazione dinamico in tempo reale che bloccai messaggi provenienti da fonti note e sospette di spam.


1-6

Quando viene individuato un messaggio e-mail proveniente da un indirizzo IP bloccatoo sospetto, Email Reputation Services (ERS) lo blocca prima che questo raggiungal'infrastruttura. Se il servizio ERS blocca i messaggi e-mail provenienti da un indirizzo IPche l'utente ritiene sicuro, è possibile aggiungere questo indirizzo all'elenco di indirizzi IPapprovati.

Smart FeedbackTrend Micro Smart Feedback rappresenta un canale di comunicazione costante tra iprodotti Trend Micro e le tecnologie e i centri per la ricerca continua delle minacce.Ogni nuova minaccia individuata tramite il controllo di reputazione di routine di ognisingolo cliente aggiorna automaticamente tutti i database delle minacce di Trend Micro,impedendo in tal modo che altri clienti riscontrino la stessa minaccia.

Grazie all'elaborazione continua delle informazioni sulle minacce raccolte attraverso lavasta rete globale di clienti e partner, Trend Micro è in grado di offrire la protezioneautomatica in tempo reale contro le minacce più recenti e di fornire una miglioresicurezza collettiva, molto simile a un sistema di vigilanza continuo e reciproco dellacomunità Poiché le informazioni sulle minacce raccolte si basano sulla reputazione dellafonte di comunicazione, e non sul contenuto della comunicazione specifica, la privacydelle informazioni personali o professionali è sempre protetta.

Esempi di informazioni inviate a Trend Micro:

• Checksum dei file

• Siti Web visitati

• Informazioni sui file, compresi dimensioni e percorsi

• Nomi dei file eseguibili

È possibile interrompere la partecipazione al programma in qualsiasi momento dallaconsole Web. Per i dettagli, consultare Partecipazione al programma Smart Feedback a pagina13-5.


1-7

SuggerimentoPer proteggere i computer non è necessario partecipare al programma Smart Feedback. Lapartecipazione è facoltativa e ci si può ritirare in qualsiasi momento. Trend Micro consigliadi partecipare al programma Smart Feedback per consentire di offrire una miglioreprotezione a tutti i suoi clienti.

Per ulteriori informazioni su Smart Protection Network, visitare:


Filtro URLIl filtro URL contribuisce a controllare l'accesso ai siti Web per ridurre i tempi diinattività dei dipendenti, limitare il consumo di ampiezza di banda Internet e creare unambiente Internet più sicuro. È possibile scegliere un livello di protezione del filtro URLoppure specificare quali tipi di siti Web tenere sotto controllo.

Vantaggi della protezioneLa tabella riportata di seguito descrive come i vari componenti di Worry-Free BusinessSecurity proteggono i computer dalle minacce.

TABELLA 1-1. Vantaggi della protezione

MINACCIA PROTEZIONE

Virus/minacce informatiche. Virus,cavalli di Troia, worm, backdoor e rootkit

Spyware/Grayware. Spyware, dialer,strumenti per hacker, applicazioni perdecifratura password, adware, programmiingannevoli e keylogger.

Scansioni basate su file (scansionemanuale, scansione in tempo reale,scansione pianificata)



1-8

MINACCIA PROTEZIONE

Minacce per la sicurezza trasmessetramite messaggi e-mail

Scansione posta POP3 in Security Agent

Scansione posta IMAP in MessagingSecurity Agent

Anti-spam, Filtro dei contenuti,Prevenzione della perdita di dati, Bloccoallegati e Reputazione Web nelMessaging Security Agent

Worm/virus in rete e intrusioni Firewall in Security Agent

Siti Web e siti di phishing presumibilmentepericolosi

Reputazione Web e Filtro URL nel SecurityAgent

Minacce alla sicurezza che si diffondonoattraverso periferiche USB e altreperiferiche esterne

Controllo dispositivi in Security Agent

Comportamento dannoso Monitoraggio del comportamento inSecurity Agent

Falsi punti di accesso Wi-Fi Advisor in Security Agent

Contenuti espliciti o riservati in applicazionidi messaggistica istantanea

Filtro contenuti IM in Security Agent

Descrizione delle minacceLe organizzazioni che non dispongono di personale addetto alla sicurezza e conpolitiche di sicurezza troppo permissive sono esposte in modo crescente alle minacce,anche se sono dotate di infrastrutture di sicurezza di base. Quando vengono scoperte leminacce, è possibile che si siano già diffuse in molte risorse informatiche, richiedendotempo e sforzi considerevoli per l'eliminazione completa. Inoltre i costi imprevisticorrelati all'eliminazione delle minacce possono risultare sconcertanti.

Le informazioni sulla sicurezza di rete di Trend Micro e i server cloud che compongonoTrend Micro Smart Protection Network individuano e rispondono alle minacce di nuovagenerazione.


1-9

Virus e minacce informatiche

Esistono decine di migliaia di virus e minacce informatiche e ogni giorno ne vengonocreati di nuovi. Sebbene in origine fossero diffusi soprattutto in DOS e Windows, i virusinformatici odierni, grazie alla loro capacità di sfruttare le vulnerabilità possono causarenotevoli danni alle reti aziendali, ai sistemi e-mail e ai siti Web.

• Programma Joke: Programma simile a un virus che spesso manipola l'aspettodegli oggetti sul monitor di un computer.

• Probabile virus/minaccia informatica: File sospetti con alcune caratteristiche divirus/minacce informatiche. Per maggiori dettagli, consultare Enciclopedia delleminacce Trend Micro:

http://about-threats.trendmicro.com/threatencyclopedia.aspx

• Rootkit: Un programma o una raccolta di programmi che installa ed esegue uncodice su un sistema senza il consenso o la consapevolezza dell'utente finale.Utilizza un virus stealth per mantenere una presenza costante e non rilevabile sulcomputer. I rootkit non infettano i computer ma cercano piuttosto di fornire unambiente non rilevabile per consentire l'esecuzione di un codice dannoso. I rootkitvengono installati sui sistemi tramite social engineering, con l'esecuzione di minacceinformatiche o semplicemente accedendo ad un sito Web dannoso. Una voltainstallato, l'aggressore può virtualmente eseguire qualunque funzione sul sistema,incluso l'accesso remoto, le intercettazioni, operazioni che nascondono i processi, ifile, le chiavi di registro e i canali di comunicazione.

• Cavallo di Troia: Questo tipo di processo utilizza spesso le porte per accedere acomputer e programmi eseguibili. I cavalli di Troia non sono in grado di riprodursi,ma risiedono nei sistemi per compiere operazioni dannose, ad esempio l'aperturadelle porte, per consentire l'ingresso degli hacker. Le soluzioni antivirus tradizionalisono in grado di rilevare e rimuovere i virus ma non i cavalli di Troia, soprattutto sesono già in esecuzione nel sistema.

• Virus: Programma in grado di replicarsi. Per farlo, un virus deve attaccarsi ad altrifile di programma che gli consentono di attivarsi quando il programma che loospita viene eseguito, inclusi:

• Codice dannoso ActiveX: Codice presente nelle pagine Web che eseguonocontrolli ActiveX™.



1-10

• Virus del settore boot: Virus che infetta il settore di boot di una partizione oun disco.

• File COM ed EXE infettante: Programma eseguibile con estensione .como .exe.

• Codice dannoso Java: Codice virus indipendente dal sistema operativoscritto o incluso in un codice Java™.

• Virus da macro: Virus codificato come una macro di applicazione e spessoincluso in un documento.

• Virus di rete: Un virus che si diffonde su una rete non è necessariamente unvirus di rete. Solo alcuni tipi di virus o minacce informatiche, quali i worm,possono essere considerati virus di rete. In particolare, per moltiplicarsi, ivirus di rete utilizzano protocolli di rete quali TCP, FTP, UDP, HTTP e iprotocolli di posta elettronica. Spesso non alterano i file di sistema némodificano i settori boot dei dischi rigidi. I virus di rete hanno per lo più loscopo di infettare la memoria dei computer, obbligandoli a invadere di trafficola rete causando pertanto rallentamenti o persino errori nell'intera rete. Poichéi virus di rete rimangono in memoria, spesso non sono rilevabili mediante itradizionali metodi di scansione I/O dei file.

Il firewall di WFBS funziona con il pattern comune per firewall peridentificare e bloccare i virus di rete.

• Packer: Programma eseguibile compresso e/o codificato per Windows oLinux™ (spesso è un cavallo di Troia). La compressione di programmieseguibili ne rende più difficile il rilevamento per i prodotti antivirus.

• Virus di prova: Un file inerte che agisce come un virus reale e può essererilevato dal software di scansione antivirus. I virus di prova, come gli script diprova EICAR, possono essere utilizzati per verificare che l'antivirus installatofunzioni correttamente.

• Virus VBScript, JavaScript o HTML: Virus presente in una pagina Web escaricato tramite un browser.

• Worm: Programma (o gruppo di programmi) autonomo in grado didiffondere copie funzionanti di se stesso o di suoi segmenti ad altri sistemi,spesso tramite e-mail.


1-11

• Altro: Virus/minacce informatiche che non rientrano nelle altre categorie.

Spyware e graywareCi sono altre minacce che potrebbero mettere a repentaglio i client oltre ai virus e alleminacce informatiche. Per spyware e grayware si intendono applicazioni o file nonclassificati come virus o cavalli di Troia ma che possono avere un'influenza negativa sulleprestazioni dei computer della rete e introdurre notevoli rischi per la sicurezza, lariservatezza e causare problemi legali alle organizzazioni. Spesso spyware e graywareattivano una varietà di azioni indesiderate e pericolose come la visualizzazione di irritantifinestre pop-up, la registrazione delle sequenze di tasti premute dall'utente ol'esposizione delle vulnerabilità del computer agli attacchi.

Se si trova un'applicazione o un file che Worry-Free Business Security non può rilevarecome grayware ma si pensa che sia un tipo di grayware, inviarlo a Trend Micro perun'analisi:

http://esupport.trendmicro.com/solution/en-us/1059565.aspx

• Spyware: Raccoglie dati, quali nomi utente e password e li trasmette a terzi.

• Adware: Visualizza delle pubblicità e raccoglie dati, quali le preferenze dinavigazione Web in modo da indirizzare pubblicità mirata attraverso un browserWeb.

• Dialer: Modifica le impostazioni Internet del computer e può forzare il computer achiamare numeri telefonici predeterminati attraverso un modem. Si tratta in generedi numeri a pagamento o internazionali che rappresentano un notevole costo perl'organizzazione.

• Programma Joke: Causa un comportamento anomalo del computer, comel'apertura e la chiusura dell'unità CD-ROM o la visualizzazione di diverse finestre didialogo.

• Strumento per hacker: Consente agli hacker di penetrare nel computer.

• Strumento di accesso remoto: Consente agli hacker di accedere al computer inremoto e controllarlo.

• Applicazione per decifratura password: Consente agli hacker di decifrare i nomiutente e le password.



1-12

• Altro: Altri tipi di programmi potenzialmente dannosi.

Spam

Il termine spam indica tutti i messaggi e-mail non richiesti (messaggi di postaindesiderati), spesso di natura commerciale, inviati indiscriminatamente a elenchi didiversi destinatari, individui o newsgroup. Esistono due tipi di spam: i messaggi e-mailcommerciali non richiesti (UCE) e i messaggi e-mail indesiderati (UBE).

Intrusioni

Per intrusione si intende l'accesso a una rete o a un computer compiuto con la forza osenza autorizzazione. Può indicare anche il superamento della protezione di una rete oun computer.

Comportamento dannoso

Un comportamento dannoso è quello che apporta delle modifiche non autorizzateeffettuate da un software al sistema operativo, alle chiavi di registro, ad altri software o afile e cartelle.

Falsi punti di accesso

Con falsi punti di accesso, detti anche Evil Twin, si intendono dei punti di accesso Wi-Fidisponibili presso diverse strutture che sembrano legittimi ma che in realtà sono statirealizzati da hacker per spiare le comunicazioni wireless.

Contenuti espliciti o riservati in applicazioni dimessaggistica istantanea

I contenuti testuali espliciti o riservati dell'azienda, quali informazioni aziendaliconfidenziali, possono costituire una minaccia se trasmessi tramite applicazioni dimessaggistica istantanea.


1-13

Tentativi di phishing

I programmi phish o phishing sono metodi di frode in rapida ascesa che, presentandosicome sito Web legittimo, tentano di raggirare gli utenti Web inducendoli a divulgareinformazioni riservate.

In una situazione tipo, un utente ignaro riceve un messaggio e-mail urgente(apparentemente autentico) che lo informa della presenza di un problema nell'accountche deve essere immediatamente risolto, pena la chiusura dell'account stesso. Ilmessaggio e-mail include un URL a un sito Web apparentemente esistente; si trattainfatti di una semplice copia di un indirizzo e-mail e di un sito Web autentici, ma ilbackend che riceve i dati raccolti è diverso.

Il messaggio invita l'utente ad accedere al sito e confermare alcune informazioni relativeall'account. In questo modo, un hacker riceve i dati forniti dall'utente, quali nome diaccesso, password, numero di carta di credito o codice fiscale.

Il phishing è rapido, economico e facile da realizzare. Potenzialmente, è anche alquantoredditizio per i criminali che lo praticano. Rilevare il phishing è difficile anche per gliutenti più esperti. È difficile rintracciarlo anche per le forze dell'ordine. È quasiimpossibile perseguirlo.

Si prega segnalare a Trend Micro qualsiasi sito Web che si sospetta possa essere un sitodi phishing. Per ulteriori informazioni, consultare Invio di file sospetti a Trend Micro a paginaC-4.

Per il rilevamento dei tentativi di phishing, i moduli Messaging Security Agent utilizzanola funzione Anti-spam. L'operazione raccomandata da Trend Micro per i tentativi diphishing è l'eliminazione dell'intero messaggio in cui è stato rilevato il tentativo.

Attacchi tramite invii di posta in massa

I virus e le minacce informatiche per e-mail hanno la capacità di diffondersi mediante imessaggi e-mail grazie all'automatizzazione del client e-mail del computer infetto o alladiffusione di virus/minacce informatiche. Le caratteristiche legate all'invio di posta inmassa descrivono una situazione in cui un'infezione si diffonde rapidamente in unambiente Microsoft Exchange. Trend Micro ha elaborato un motore di scansione ingrado di rilevare i comportamenti che in genere si verificano nel corso di un attacco di


1-14

posta in massa. Questi comportamenti vengono registrati nel file di pattern antivirus cheviene aggiornato utilizzando i server Trend Micro ActiveUpdate.

È possibile attivare il Messaging Security Agent (solo Advanced) in modo che eseguadeterminate operazioni per contrastare gli attacchi di posta in massa ogniqualvolta vienerilevato un comportamento del genere. L'operazione prevista per contrastare un attaccodi posta in massa ha la priorità su qualsiasi altra operazione. L'operazione predefinita nelcaso di attacchi di posta in massa è l'eliminazione del messaggio.

Ad esempio: Messaging Security Agent viene configurato per mettere in quarantena imessaggi quando rileva un'infezione da worm o cavallo di Troia. È possibile ancheattivare il riconoscimento dei comportamenti di invio di posta in massa e impostarel'agent in modo che elimini tutti i messaggi che mostrano un comportamento di invio diposta in massa. L'agent riceve un messaggio contenente un worm come ad esempio unavariante di MyDoom. Questo worm utilizza il proprio motore SMTP per inviarsi aindirizzi di posta elettronica raccolti dal computer infetto. Quando l'agent rileva il wormMyDoom e riconosce il comportamento di invio di posta in massa, elimina il messaggioe-mail contenente il worm, invece di metterlo in quarantena come avverrebbe per altritipi di worm.

Minacce WebLe minacce Web comprendono un'ampia gamma di minacce che hanno origine daInternet. I metodi di tali minacce sono sofisticati e usano una combinazione di diversifile e tecniche piuttosto che un singolo file o approccio. Ad esempio, i creatori diminacce Web modificano costantemente la versione o la variante utilizzata. Poiché laminaccia Web non si trova solo sul computer infetto, ma in una determinata posizionedi un sito Web, il creatore della minaccia ne modifica continuamente il codice perimpedire che venga individuata.

Negli ultimi anni, persone precedentemente classificate come hacker, autori di virus,spammer e creatori di spyware sono diventati noti come cybercriminali. Le minacce Webconsentono a costoro di perseguire due tipi di obiettivi. Il primo consistenell'appropriarsi di informazioni da rivendere. Ciò determina la violazione dellariservatezza delle informazioni in forma di furto di identità Il computer infettato puòessere utilizzato per un attacco di phishing o per altre attività volte a carpireinformazioni. Tra l'altro, questo tipo di minaccia rischia di mettere a repentaglio lafiducia nei confronti del Web commerce e quindi l'affidabilità delle transazioni su


1-15

Internet. Il secondo obiettivo consiste nell'appropriarsi della capacità della CPU di unutente allo scopo di utilizzarla per condurre attività a fini di lucro. Tali attività includonol'invio di posta indesiderata (spam) e l'esecuzione di attacchi di tipo DoS (Denial ofService) o attività di tipo pay-per-click.

2-1

Capitolo 2

Informazioni preliminariIn questo capitolo viene descritto come far funzionare Worry-Free Business Security.


2-2

Rete Worry-Free Business SecurityWorry-Free Business Security è composto dai seguenti componenti:

• Security Server a pagina 2-2

• Agent a pagina 2-3

• Console Web a pagina 2-4

Security ServerSecurity Server rappresenta il fulcro di Worry-Free Business Security Advanced. SecurityServer ospita la console Web, una console di gestione centralizzata Web per Worry-FreeBusiness Security. Il Security Server consente di installare gli agent sui client presenti inuna rete e, unitamente agli agent, forma una relazione agent-server. Con Security Serverè possibile consultare le informazioni sullo stato, visualizzare gli Agent, configurare lasicurezza del sistema e scaricare i componenti da una postazione centralizzata. SecurityServer contiene inoltre il database in cui memorizza i registri delle minacce informatichesegnalate dagli agent.

Security Server esegue queste importanti funzioni:

• Installa, controlla e gestisce gli agent.

• Scarica i componenti necessari per gli agent. Per impostazione predefinita, ilSecurity Server scarica i componenti dal server ActiveUpdate Trend Micro, per poidistribuirli agli agent.

Scan Server

Il Security Server comprende un servizio chiamato Scan Server, installatoautomaticamente durante l'installazione del Security Server. Per questo motivo non ènecessario installarlo separatamente. Lo Scan Server funziona con il nome di processoiCRCService.exe e compare come Trend Micro Smart Scan Service in MicrosoftManagement Console.

Informazioni preliminari

2-3

Quando i Security Agent utilizzano un metodo di scansione denominato smart scan, loScan Server permette a questi agent di eseguire le scansioni in maniera più efficiente. Ilprocesso smart scan è il seguente:

• Il Security Agent esegue la scansione del client in cerca di minacce alla sicurezzautilizzando lo Smart Scan Agent Pattern, versione ridotta del tradizionale VirusPattern. Lo Smart Scan Agent Pattern contiene la maggior parte di firme diminacce disponibili nel Virus Pattern.

• Un Security Agent non in grado di determinare il rischio del file durante lascansione, verifica il rischio inviando una query di scansione allo Scan Server. LoScan Server verifica il rischio sfruttando lo Smart Scan Pattern, che contiene tuttele firme di minacce non disponibili nello Smart Scan Agent Pattern.

• Il Security Agent memorizza in cache il risultato della query di scansione fornitodallo Scan Server per migliorare le prestazioni di scansione.

Conservando in hosting alcune delle definizioni delle minacce, lo Scan Server aiuta aridurre il consumo di banda per i Security Agent durante il download dei componenti.Invece di scaricare il Virus Pattern, i Security Agent scaricano lo Smart Scan AgentPattern che è di dimensioni significativamente inferiori.

Se i Security Agent non sono in grado di connettersi allo Scan Server, inviano query discansione alla Smart Protection Network Trend Micro, che ha il medesimo ruolo delloScan Server.

Non è possibile disinstallare lo Scan Server separatamente dal Security Server. Per nonutilizzare lo Scan Server:

1. Sul computer del Security Server, aprire Microsoft Management Console edisattivare il servizio Trend Micro Smart Scan Service.

2. Nella console Web, far passare i Security Agent alla scansione tradizionale daPreferenze > Impostazioni globali > scheda Desktop/Server e selezionarel'opzione Disattiva Smart Scan Service.

AgentGli agent proteggono i client dalle minacce alla sicurezza. I client includono desktop,server e server Microsoft Exchange. Gli agent WFBS sono:


2-4

TABELLA 2-1. Agent WFBS

AGENT DESCRIZIONE

Security Agent Protegge desktop e server dalle minacce alla sicurezza e dalleintrusioni

Messaging SecurityAgent (soloAdvanced)

Protegge i server Microsoft Exchange da minacce alla sicurezzatrasmesse tramite e-mail

Un agent invia notifiche al Security Server dal quale è stato installato. Per fornire alSecurity Server i dati più aggiornati riguardanti il client, l'agent invia informazioni sullostato degli eventi in tempo reale. L'agent riporta eventi quali il rilevamento di minacce,l'avvio e lo spegnimento, l'avvio di una scansione e il completamento di unaggiornamento.

Console WebLa console Web è l'elemento centrale per il monitoraggio dei client in tutta la reteaziendale. La console è dotata di un insieme di impostazioni e valori predefiniti che èpossibile configurare in base ai propri requisiti e alle proprie specifiche di sicurezza. Laconsole Web utilizza tecnologie Internet standard quali Java, CGI, HTML e HTTP.

Utilizzare la console Web per:

• Implementare gli agent sui client.

• Organizzare gli agent in gruppi logici, per poterli configurare e gestirecontemporaneamente.

• Impostare le configurazioni di scansione antivirus e anti-spyware e avviare lascansione manuale su uno o più gruppi.

• Ricevere le notifiche e visualizzare i rapporti di registro per le attività correlate alleminacce.

• Ricevere le notifiche e inviare gli avvisi sulle infezioni attraverso messaggi e-mail,Trap SNMP o registro eventi di Windows quando vengono rilevate minacce suiclient.


2-5

• Controllare le infezioni tramite configurazione e attivazione della difesa dalleinfezioni.

Apertura della console Web


Aprire la console Web da un client della rete che abbia le seguenti risorse:

• Internet Explorer 6.0 SP2 o versione successiva

• Schermo a 32.000 o più colori con risoluzione 1024x768 o maggiore

Procedura

1. Per aprire la console Web, selezionare una delle opzioni riportate di seguito:

• Sul computer di installazione del Security Server, andare sul Desktop e fareclic sul collegamento Worry-Free Business Security.

• Sul computer di installazione del Security Server, fare clic sul menu Start diWindows > Trend Micro Worry-Free Business Security > Worry-FreeBusiness Security.

• Su un qualsiasi client della rete, aprire un browser e digitare quanto segue nellabarra degli indirizzi:

https://{Security_Server_Name or IP Address}:{portnumber}/SMB

Ad esempio:

https://my-test-server:4343/SMB

https://192.168.0.10:4343/SMB

http://my-test-server:8059/SMB

http://192.168.0.10:8059/SMB


2-6

Suggerimento

se NON si utilizza SSL, digitare http invece di https. La porta predefinita perle connessioni HTTP è la 8059, mentre per le connessioni HTTP è la 4343.

Se l'ambiente non è in grado di risolvere i nomi di server tramite DNS,utilizzare il nome del server al posto dell'indirizzo IP.

Nel browser viene visualizzata la schermata di accesso di Worry-Free BusinessSecurity.

2. Digitare la password e fare clic su Accedi.

Il browser visualizza la schermata Stato in tempo reale.

Operazioni successive

Se non è possibile accedere alla console Web, verificare quanto segue.

ELEMENTI DACONTROLLARE

DETTAGLI

Password Se la password è stata dimenticata, utilizzare lo Strumento per lareimpostazione della password della console per reimpostarla.Accedere allo strumento nel computer Security Server nella cartellaTrend Micro Worry-Free Business Security nel menu Start diWindows.

Cache delbrowser

In caso di aggiornamento da una versione precedente di WFBS, ilbrowser e i file della cache del server proxy possono impedire ilcorretto caricamento della console Web. Azzerare la memoria dellacache sul browser e su qualunque server proxy che si trova tra TrendMicro Security Server e il client in uso per accedere alla consoleWeb.

Certificato SSL Controllare anche che il server Web funzioni correttamente. Se si stautilizzando SSL, verificare che il certificato SSL sia ancora valido. Perulteriori informazioni, consultare la documentazione del server Web.


2-7


DETTAGLI

Impostazionidella directoryvirtuale

Le impostazioni della directory virtuale potrebbero sollevare deiproblemi in caso di esecuzione della console Web su un server IIS ese viene visualizzato il seguente messaggio:

The page cannot be displayed

HTTP Error 403.1 - Forbidden: Execute access is denied.

Internet Information Services (IIS)

È possibile che venga visualizzato questo messaggio quando vieneutilizzato uno dei seguenti indirizzi per accedere alla console:

http://{nome server}/SMB/

http://{nome server}/SMB/default.htm

La console si potrebbe aprire invece senza problemi quando siutilizza il seguente indirizzo:

http://{nome server}/SMB/console/html/cgi/cgichkmasterpwd.exe

Per risolvere questo problema, controllare le autorizzazioni diesecuzione della directory virtuale SMB.

Per attivare gli script:

1. Aprire il gestore di Internet Information Services (IIS).

2. Nella directory virtuale SMB, selezionare Proprietà.

3. Selezionare la scheda Directory virtuale e modificare laautorizzazioni di esecuzione con Scripts invece di none.Modificare anche le autorizzazioni di esecuzione della directoryvirtuale di installazione del client.

Navigazione nella console Web

Sezioni principali della console Web

La console Web è composta delle seguenti sezioni principali:


2-8

SEZIONE DESCRIZIONE

A. Menu principale Il menu principale si trova lungo il lato superiore della consoleWeb.

Nell'angolo in alto a destra è situata una casella a discesa checontiene i collegamenti rapidi alle attività eseguitefrequentemente dagli amministratori.

È inoltre fornito il collegamento Disconnetti per consentire diterminare la sessione corrente.

B.Area diconfigurazione

L'area di configurazione si trova sotto le voci del menuprincipale. Tale area consente di selezionare le opzioni in basealla voce di menu selezionata.

C.Barra laterale deimenu (non disponibilesu tutte le schermate)

La barra laterale dei menu viene visualizzata quando siseleziona un gruppo di Security Agent nella schermataImpostazioni di sicurezza e si fa clic su Configura. La barralaterale consente di configurare le impostazioni di sicurezza e lescansioni per i computer desktop e server che appartengono algruppo.

Se si seleziona un Messaging Security Agent nella schermataImpostazioni di sicurezza (solo Advanced), è possibile utilizzarela barra laterale per configurare le impostazioni di sicurezza e lescansioni per i server Microsoft Exchange.

Opzioni di menu console Web

Utilizzare le seguenti opzioni di menu della console Web:


2-9

OPZIONI DI MENU DESCRIZIONE

Stato in temporeale

Costituisce un elemento essenziale della strategia di Worry-FreeBusiness Security. Utilizzare Stato in tempo reale per visualizzareavvisi e notifiche sulle infezioni e i rischi per la sicurezza.

• Visualizzare gli avvisi di allarme rosso e giallo pubblicati daTrend Micro

• Visualizzare le più recenti minacce per i client della rete

• Visualizzare le più recenti minacce per i server MicrosoftExchange (solo Advanced)

• Implementare gli aggiornamenti sui client a rischio

Impostazioni disicurezza

• Personalizzare le impostazioni di sicurezza per gli agent

• Replica delle impostazioni tra i gruppi

Difesa dalleinfezioni

Invia avvisi relativi allo stato attuale e fornisce le istruzioni da seguireper tutto il ciclo dell'infezione

Scansioni • Scansione dei client alla ricerca di minacce

• Pianificare scansioni per i client

Aggiornamenti • Controllare i server Trend Micro ActiveUpdate (o l'origineaggiornamenti personalizzata) per individuare i componenti piùaggiornati, compresi i file di pattern antivirus, il motore discansione, i componenti di disinfezione e il programma dell'agent

• Configurare l'origine degli aggiornamenti

• Assegnare ai Security Agent funzioni di Update Agent

Rapporti Generare rapporti per tenere traccia delle minaccia e di altri eventicorrelati alla sicurezza


2-10

OPZIONI DI MENU DESCRIZIONE

Preferenze • Impostare le notifiche di eventi anomali legati a minacce o alsistema

• Configurare le impostazioni globali per facilitare la manutenzione

• Utilizzare strumenti di gestione per facilitare la gestione della retee dei client

• Visualizzare le informazioni sulla licenza del prodotto, gestire lapassword dell'amministratore e garantire la sicurezzadell'ambiente aziendale per quanto riguarda lo scambio diinformazioni digitali aderendo al programma Smart Feedback

Guida • Eseguire la ricerca di contenuti e argomenti specifici

• Visualizzare la Guida dell'amministratore

• Accedere alle informazioni più recenti della Knowledge Base(KB)

• Visualizzare informazioni su sicurezza, vendite, assistenza eversione

Icone della console Web

La tabella seguente descrive le icone visualizzate nella console Web e ne illustra ilsignificato.

TABELLA 2-2. Icone della console Web

ICONA DESCRIZIONE

Icona Guida. Apre la Guida in linea.

Icona Aggiorna. Aggiorna la visualizzazione della schermata corrente.

Icona Espandi/Comprimi sezione. Visualizza/Nasconde le sezioni. Èpossibile espandere una sola sezione alla volta.

Icona di informazione. Visualizza le informazioni relative a unelemento specifico.


2-11

ICONA DESCRIZIONE

Icona Personalizza notifiche. Visualizza le varie opzioni di notifica.

Stato in tempo realeUtilizzare la schermata Stato in tempo reale per consultare lo stato della rete di WFBS.Per aggiornare manualmente le informazioni visualizzate nella schermata, fare clic suAggiorna.

Descrizione delle icone

Le icone avvisano l'utente delle azioni da svolgere. Per visualizzare altre informazioni,espandere la sezione. Per visualizzare dettagli specifici, è anche possibile fare clic sullevoci presenti nella tabella. Per ulteriori informazioni su determinati client, fare clic suicollegamenti numerati presenti nelle tabelle.


2-12

TABELLA 2-3. Icone dello Stato in tempo reale

ICONA DESCRIZIONE

Normale

L'applicazione delle patch è richiesta soltanto su alcuni client. Leattività di virus, spyware e altri malware sui computer e sulla rete noncostituiscono un rischio significativo.

Attenzione

Adottare degli accorgimenti per evitare ulteriori rischi alla rete. Ingenere un'icona di avviso significa che su diversi computer vulnerabiliè stato rilevato un numero eccessivo di virus o di altri incidenti relativia minacce informatiche. Quando Trend Micro emette un allarmegiallo, viene visualizzato l'avviso per la Difesa dalle infezioni.

Operazione richiesta

L'icona di avviso indica che l'amministratore deve intervenire perrisolvere un problema di sicurezza.

Le informazioni visualizzate nella schermata Stato in tempo reale vengono generate daSecurity Server in base ai dati raccolti sui client.

Stato della minaccia

Questa sezione contiene le informazioni seguenti:

TABELLA 2-4. Sezioni Stato della minaccia e informazioni visualizzate

SEZIONE INFORMAZIONE VISUALIZZATA

Difesa dalleinfezioni

Possibile infezione virale in rete.


2-13


Antivirus A partire dall'incidente n. 5, l'icona di stato diventa un'icona di avviso.Se si deve eseguire un'operazione:

• Il Security Agent non ha eseguito correttamente l'azione per laquale è stato impostato. Fare clic sul collegamento numerato pervisualizzare informazioni dettagliate relative ai computer sui qualiSecurity Agent non è stato in grado di eseguire un'azione.

• La scansione in tempo reale è disattivata sui Security Agent.Fare clic su Attiva ora per avviare nuovamente la scansione intempo reale.

• La scansione in tempo reale è disattivata su Messaging SecurityAgent.

Anti-spyware Visualizza le voci di registro e i risultati della scansione più recentirelativi agli spyware. La colonna Numero di incidenti della tabellaIncidenti minaccia spyware mostra i risultati dell'ultima scansionespyware.

Per ulteriori informazioni su determinati client, fare clic sulcollegamento numerato nella colonna Incidenti rilevati della tabellaIncidenti minaccia spyware. In questa schermata è possibile trovarele informazioni riguardanti specifiche minacce spyware che hannoinfettato i client.

Anti-spam Fare clic sul collegamento Alto, Medio o Bassa per tornare allaschermata di configurazione del server Microsoft Exchangeselezionato in cui è possibile impostare il livello di soglia dallaschermata Anti-spam. Fare clic su Disattivato per tornare allaschermata appropriata. Queste informazioni vengono aggiornate ogniora.

ReputazioneWeb

Siti Web potenzialmente dannosi in base alle indicazioni di TrendMicro. A partire dall'incidente n. 200, l'icona di stato diventa un'iconadi avviso.

Filtro URL Siti Web con limitazioni in base alle indicazioni dell'amministratore. Apartire dall'incidente n. 300, l'icona di stato diventa un'icona di avviso.

Monitoraggio delcomportamento

Violazioni dei criteri di monitoraggio del comportamento.

Virus di rete Rilevamento determinato dalle impostazioni del firewall.


2-14


Controllodispositivo

Limita l'accesso ai dispositivi USB e alle unità di rete

Stato del sistema

Questa sezione mostra informazioni riguardanti i componenti aggiornati e lo spaziolibero sui client dove sono installati gli agent.

TABELLA 2-5. Sezioni Stato del sistema e informazioni visualizzate


Aggiornamentodei componenti

Lo stato degli aggiornamenti dei componenti di Security Server ol'implementazione dei componenti aggiornati sugli agent.

Smart Scan Alcuni Security Agent non sono in grado di connettersi allo ScanServer.

NotaLo Scan Server è semplicemente un servizio in hosting sulSecurity Server.

Eventi disistema insoliti

Le informazioni relative allo spazio su disco per i client che fungonoda server (cioè sui quali sono in esecuzione sistemi operativi delserver).

È possibile personalizzare i parametri che attivano la visualizzazione sulla console Webdi un'icona Avviso o Operazione richiesta in Preferenze > Notifiche.

Stato della licenza

Questa sezione contiene informazioni sullo stato della licenza del prodotto, inparticolare per quanto riguarda la scadenza.

Intervalli di aggiornamento dello stato in tempo reale

Per capire la frequenza con cui vengono aggiornate le informazioni sullo stato in temporeale, consultare la tabella seguente.


2-15

TABELLA 2-6. Intervalli di aggiornamento dello stato in tempo reale

VOCEINTERVALLO DI

AGGIORNAMENTO (INMINUTI)

L'AGENT INVIA REGISTRI AL SERVERDOPO... (MINUTI)

Difesa dalle infezioni 3 N/D

Antivirus 1 Security Agent: immediatamente

Messaging Security Agent: 5

Anti-spyware 3 1

Anti-spam 3 60

Reputazione Web 3 immediatamente

Filtro URL 3 immediatamente


3 2

Virus di rete 3 2

Controllo dispositivo 3 2

Smart Scan 60 N/D

Licenza 10 N/D

Aggiornamento deicomponenti

3 N/D

Eventi di sistema insoliti 10 Quando viene avviato il servizio diascolto TmListen

3-1

Capitolo 3

Installazione degli agentQuesto capitolo descrive le fasi necessarie per installare Security Agent e MessagingSecurity Agent (solo Advanced). Vengono inoltre fornite informazioni su comerimuovere questi agent.


3-2

Installazione di Security AgentEseguire un'installazione da zero del Security Agent sui client Windows (desktop eserver). Utilizzare il metodo di installazione più adatto agli specifici requisiti.

Prima di installare il Security Agent, chiudere le applicazioni in esecuzione sui client. Sesi esegue l'installazione mentre sono in esecuzione altre applicazioni, il completamentodell'installazione potrebbe richiedere più tempo.

NotaPer informazioni sull'aggiornamento dei Security Agent a questa versione, vedere la Guidaall'installazione e all'aggiornamento.

Requisiti di installazione del Security AgentVisitare il sito Web seguente per un elenco completo dei requisiti di installazione e deiprodotti compatibili di terze parti:


Considerazioni sull'installazione del Security AgentPrima di installare i Security Agent, valutare le informazioni riportate di seguito:

• Caratteristiche dell'agent: Alcune funzioni del Security Agent non sonodisponibili su determinate piattaforme Windows. Per i dettagli, consultare Funzionidisponibili per i Security Agent a pagina 3-3.

• Piattaforme x64: Per la piattaforma x64 è disponibile una versione ridotta diSecurity Agent. Per la piattaforma IA-64 al momento non è invece disponibilealcun supporto.

• Supporto IPv6: Il Security Agent può essere installato su client dual-stack o IPv6puri. Tuttavia:

• Alcuni sistemi operativi Windows sui quali è possibile installare l'agent nonsupportano l'indirizzamento IPv6.


Installazione degli agent

3-3

• Alcuni metodi di installazione richiedono dei requisiti particolari per installarel'agent correttamente.

Per i dettagli, consultare Installazione di Security Agent e supporto IPv6 a pagina 3-6.

• Elenchi eccezioni: Assicurarsi che gli elenchi di eccezioni per le funzioni seguentisiano configurati correttamente:

• Monitoraggio del comportamento: Aggiungere le applicazioni importantidel client all'elenco Programmi approvati per evitare che tali applicazioni sianobloccate dal Security Agent. Per ulteriori informazioni, vedere Configurazione delmonitoraggio del comportamento a pagina 5-21.

• Reputazione Web: Aggiungere i siti Web considerati sicuri all'Elenco URLapprovati per evitare che il Security Agent blocchi l'accesso ai siti Web. Perulteriori informazioni, vedere Configurazione della reputazione Web per SecurityAgent a pagina 5-17.

• Directory di installazione di Security Agent: Durante l'installazione del SecurityServer, il programma di installazione richiede di specificare la directory diinstallazione dell'agent, che per impostazione predefinita si trova in$ProgramFiles\Trend Micro\Security Agent. Per installare i SecurityAgent in una directory diversa, specificare la nuova directory in Preferenze >Impostazioni globali > Sistema > sezione Installazione del Security Agent.

Funzioni disponibili per i Security AgentLe funzioni per i Security Agent disponibili sul client dipendono dal sistema operativodel computer. Quando si installa un agent su un particolare sistema operativo, ènecessario conoscere le funzioni non supportate .


3-4

TABELLA 3-1. Funzioni per i Security Agent

FUNZIONE

SISTEMA OPERATIVO WINDOWS

XP VISTA 7 8SERVER/SBS2003

SERVER/SBS2008

SBS2011

SERVER2012

Scansionemanuale,scansionein temporeale escansionepianificata

Sì Sì Sì Sì Sì Sì Sì Sì

Firewall Sì Sì Sì Sì Sì Sì Sì Sì

Reputazione Web


Filtro URL Sì Sì Sì Sì Sì Sì Sì Sì


Sì (32bit)

No (64bit)

Sì(32/64bit)

No (64bitsenzaSP1)

Sì Sì Sì(32-bit)

No (64bit)

Sì Sì Sì

Controllodispositivo

Sì (32bit)

No (64bit)

Sì(32/64bit)

No (64bitsenzaSP1)

Sì Sì Sì(32-bit)

No (64bit)

Sì Sì Sì

DamageCleanupServices



3-5

FUNZIONE



SERVER/SBS2008

SBS2011

SERVER2012

FiltrocontenutiIM


Applicazioni di messaggistica istantanea supportate:

• AIM 6

• ICQ 6

• MSN 7.5, 8.1

• Yahoo! Messenger 8.1

POP3 MailScan


Aggiornamentimanuali epianificati


UpdateAgent


AgentPlug-inManager


SmartFeedback



3-6

FUNZIONE



SERVER/SBS2008

SBS2011

SERVER2012

Barra deglistrumentiTrendMicro Anti-Spam

Sì (32bit)

No (64bit)

Sì Sì Sì No No No No

Client di posta elettronica supportati:

• Microsoft Outlook 2003, 2007,2010

• Outlook Express 6.0 conService Pack 2 o versionisuccessive

• Windows Mail 6.0

• Windows Live Mail 2011

HouseCall Sì Sì Sì Sì Sì Sì Sì Sì

CaseDiagnosticTool


Wi-FiAdvisor

Sì Sì Sì Sì No No No No

Installazione di Security Agent e supporto IPv6In questo argomento vengono illustrate le considerazioni relative all'installazione delSecurity Agent su client dual-stack o IPv6 puri.

Sistema operativo

Il Security Agent può essere installato solo sui seguenti sistemi operativi che supportanol'indirizzamento IPv6:

• Windows Vista (tutte le edizioni)


3-7

• Windows Server 2008 (tutte le edizioni)

• Windows 7 (tutte le edizioni)

• Windows SBS 2011



Visitare il sito Web seguente per un elenco completo dei requisiti di sistema:


Metodi di installazione supportati

Per installare il Security Agent su client dual-stack o IPv6 puri, è possibile usare tutti imetodi di installazione disponibili. Alcuni metodi di installazione necessitano di requisitiparticolari per installare correttamente il Security Agent.

TABELLA 3-2. Metodi di installazione e supporto IPv6

METODO DIINSTALLAZIONE

REQUISITI E CONSIDERAZIONI

Pagina Web interna eInstallazione notifica e-mail

Se si sta effettuando l'installazione su un client IPv6 puro, ilSecurity Server deve essere dual-stack o IPv6 puro e ilrelativo nome host o indirizzo IPv6 deve essere inclusonell'URL.

Per i client dual-stack, l'indirizzo IPv6 visualizzato nellaschermata dello stato di installazione dipende dall'opzioneselezionata nella sezione Indirizzo IP preferito di Preferenze> Impostazioni globali > scheda Desktop/Server.

Vulnerability Scanner eInstallazione remota

Un Security Server IPv6 puro non può installare il SecurityAgent su client IPv4 puri. Analogamente, un Security ServerIPv4 puro non può installare l'agent su client IPv6 puri.

Indirizzi IP del Security Agent

Un Security Server installato in un ambiente che supporta l'indirizzamento IPv6 puògestire i seguenti Security Agent:

• Un Security Server installato su un client IPv6 puro può gestire i Security AgentIPv6 puri.



3-8

• Un Security Server installato su un client dual-stack con indirizzi IPv4 e IPv6assegnati può gestire Security Agent IPv6 puri, dual-stack e IPv4 puri.

Quando vengono installati o aggiornati, i Security Agent effettuano la registrazione alSecurity Server usando un indirizzo IP.

• I Security Agent IPv6 puri effettuano la registrazione usando il proprio indirizzoIPv6.

• I Security Agent IPv4 puri effettuano la registrazione usando il proprio indirizzoIPv4.

• I Security Agent dual-stack effettuano la registrazione usando il proprio indirizzoIPv4 o IPv6. È possibile scegliere l'indirizzo IP che questi agent utilizzeranno dallasezione Indirizzo IP preferito in Preferenze > Impostazioni globali > schedaDesktop/Server.

Metodi di installazione del Security AgentQuesta sezione fornisce un riepilogo dei diversi metodi di installazione disponibili perl'installazione da zero del Security Agent. Tutti i metodi di installazione necessitano deiprivilegi di amministratore locali sui client di destinazione.

Se si stanno installando i Security Agent e si desidera attivare il supporto IPv6, leggere leistruzioni riportate in Installazione di Security Agent e supporto IPv6 a pagina 3-6.

TABELLA 3-3. Metodi di installazione

METODO DIINSTALLAZIONE/

SUPPORTO SISTEMAOPERATIVO

CONSIDERAZIONI SULL'IMPLEMENTAZIONE

IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT

IMPLEMENTAZIONEDI MASSA

AMPIEZZA DIBANDA

UTILIZZATA

pagina Webinterna

Supporto per tutti isistemi operativi

Sì Sì Sì No No Basso, sepianificato


3-9




IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT


AMPIEZZA DIBANDA

UTILIZZATA

notifica e-mail


Sì Sì Sì No No Alto, se leinstallazionivengonoavviatenello stessomomento

Installazioneremota

Supporto per tutti isistemi operativieccetto:

• Windows VistaHome BasicEdition e HomePremiumEdition

• Windows XPHome Edition

• Windows 7Home Basic/Home Premium

No Sì No Sì Sì Basso, sepianificato

Impostazionescript di accesso


No Sì No Sì Sì Alto, se leinstallazionivengonoavviatenello stessomomento

Client Packager


Sì No Sì Sì No Basso, sepianificato


3-10




IMPLEMENTAZIONE

WAN

GESTIONECENTRALIZ

ZATA

RICHIEDEINTERVEN

TOUTENTE

RICHIEDE

RISORSA IT


AMPIEZZA DIBANDA

UTILIZZATA

Trend MicroVulnerabilityScanner (TMVS)

Supporto per tutti isistemi operativieccetto:

• Windows VistaHome BasicEdition e HomePremiumEdition

• Windows XPHome Edition

• Windows 7Home Basic/Home Premium

No Sì No Sì Sì Basso, sepianificato

Per implementazioni su un singolo sito e in aziende in cui le policy IT vengono applicaterigorosamente, gli amministratori dell'IT possono scegliere di implementare medianteInstallazione remota o Impostazione script di accesso.

Nelle aziende in cui le policy IT vengono applicate con minor rigore, Trend Microconsiglia di installare i Security Agent utilizzando la pagina Web interna. Con questometodo, tuttavia, gli utenti che desiderano installare Security Agent devono disporre deiprivilegi di amministratore.

L'Installazione remota è utile per le reti con Active Directory. Se sulla rete non èpresente Active Directory, utilizzare la pagina Web interna.


3-11

Installazione dalla pagina Web interna


Per installare la pagina Web interna, è richiesto quanto segue:


REQUISITO

Security Server Il Security Server deve essere installato su:

• Windows XP, Vista, 7, 8, Server 2003/2008/2012 o SBS 2011

• con Internet Information Server (IIS) 6.0, 7.0, 7.5, 8.0 o Apache2.0.6x

Client didestinazione

• Il client di destinazione deve possedere Internet Explorer 6.0 oversioni successive.

• Gli utenti devono utilizzare un account amministratore peraccedere al client.

NotaSe il client destinazione gira su Windows 7, attivare primal'account dell'amministratore integrato. Per impostazionepredefinita Windows 7 disattiva l'account di amministratorepredefinito. Per ulteriori informazioni, fare riferimento alsito dell'assistenza Microsoft (http://technet.microsoft.com/it-it/library/dd744293%28WS.10%29.aspx).

http://technet.microsoft.com/it-it/library/dd744293%28WS.10%29.aspx




3-12


REQUISITO

Clientdestinazioneche gira suWindows XP,Vista, Server2008, 7, 8, SBS2011, Server2012

Gli utenti devono attenersi alla seguente procedura:

1. Avviare Internet Explorer e aggiungere l'URL del Security Server(ad esempio https://<nome Security Server>:4343/SMB/console/html/client) all'elenco di siti affidabili. Su WindowsXP, accedere all'elenco da Strumenti > Opzioni Internet >scheda Sicurezza, selezionare l'icona Siti attendibili e fare clicsu Siti.

2. Modificare le impostazioni di sicurezza di Internet Explorer eattivare Richiesta di conferma automatica per controlliActiveX. Su Windows XP, accedere a Strumenti > OpzioniInternet > scheda Sicurezza e fare clic su Livellopersonalizzato.

Clientdestinazionecon WindowsVista

Gli utenti devono attivare la Modalità protetta. Per attivare la Modalitàprotetta in Internet Explorer, fare clic su Strumenti > OpzioniInternet > scheda Sicurezza.

IPv6 In caso di ambiente misto composto da client IPv4 puri, IPv6 puri edual-stack, il Security Server deve avere sia indirizzi IPv4, cheindirizzi IPv6, in modo che tutti i client si connettano alla pagina Webinterna del Security Server.

Per installare il Security Agent dalla pagina Web interna, inviare agli utenti le seguentiistruzioni. Per inviare la notifica di installazione per e-mail, vedere Installazione con notificae-mail a pagina 3-34.

Procedura

1. Accedere al client utilizzando un account amministratore.

2. Aprire una finestra di Internet Explorer e digitare uno degli indirizzi riportati diseguito:

• Security Server con SSL:

https://<nome o indirizzo IP Security Server>:4343/SMB/console/html/client


3-13

• Security Server senza SSL:

http://<nome o indirizzo IP Security Server>:8059/SMB/console/html/client

3. Per avviare l'installazione del Security Agent, fare clic su Installa ora.

L'installazione viene avviata. Quando viene richiesto, consentire l'installazione delcontrollo ActiveX. Sulla barra delle applicazioni di Windows viene visualizzatal'icona di Security Agent.

NotaPer ottenere un elenco delle icone visualizzate nella barra delle applicazioni diWindows, vedere Controllo dello stato dei Security Agent a pagina A-2.


Se gli utenti riscontrano che non è possibile eseguire l'installazione dalla pagina Webinterna, provare i metodi riportati di seguito.

• Verificare la presenza della comunicazione client/server mediante ping e telnet.

• Controllare se TCP/IP sul client è stato attivato e configurato correttamente.

• Se si utilizza un server proxy per la comunicazione client/server, controllare che leimpostazioni proxy siano state configurate correttamente.

• Nel browser Web, eliminare la cronologia dei componenti aggiuntivi e delleesplorazioni di Trend Micro.

Installazione con Impostazione script di accessoAccedi Il programma Impostazione script automatizza l'installazione di Security Agentper client non protetti quando questi accedono alla rete. L'Impostazione script diaccesso aggiunge allo script di accesso del server un programma denominatoAutoPcc.exe.

AutoPcc.exe installa il Security Agent nei computer non protetti e aggiornacomponenti e file di programma. Per poter utilizzare AutoPcc tramite lo script diaccesso, i client devono appartenere al dominio.


3-14

Se si dispone già di uno script di accesso, Impostazione script di accesso aggiunge uncomando per l'esecuzione di AutoPcc.exe. Altrimenti, crea un file batch denominatoofcscan.bat contenente il comando per eseguire AutoPcc.exe.

Impostazione script di accesso aggiunge alla fine dello script gli elementi riportati diseguito:

\\<nome_server>\ofcscan\autopcc

Dove:

• <nome_server> è il nome o l'indirizzo IP del computer del Security Server.

• "ofcscan" è il nome della cartella condivisa sul Security Server.

• "autopcc" è il collegamento al file eseguibile autopcc che installa il SecurityAgent.

Percorso dello script di accesso su tutte le versioni di Windows Server (tramite unadirectory ad accesso condiviso di rete):

\\Windows server\unità di sistema\windir\sysvol\domain\scripts\ofcscan.bat

Procedura

1. Sul computer utilizzato per eseguire l'installazione del server, aprire <Cartelladi installazione del Security Server>\PCCSRV\Admin.

2. Fare doppio clic su SetupUsr.exe.

Viene caricata l'utilità Impostazione script di accesso. La console visualizza unastruttura ad albero con tutti i domini della rete.

3. Individuare il server di cui si desidera modificare lo script di accesso, selezionarlo efare clic su Seleziona. Accertarsi che il server sia il controller di dominio primario edi disporre dei privilegi di amministratore del server.

Per Impostazione script di accesso, vengono richiesti il nome utente e la password.

4. Immettere il nome utente e la password. Fare clic su OK per continuare.


3-15

Viene visualizzata la schermata Selezione utente. L'elenco Utenti contiene iprofili degli utenti che si collegano al server. L'elenco Utenti selezionati contieneinvece i profili degli utenti di cui si desidera modificare lo script di accesso.

5. Per modificare lo script di accesso di un profilo utente, selezionarlo dall'elencoUtenti e fare clic su Aggiungi.

6. Per modificare lo script di accesso di tutti gli utenti, fare clic su Aggiungi tutti.

7. Per escludere il profilo di un utente precedentemente selezionato, fare clic sul suonome nell'elenco Utenti selezionati e quindi su Elimina.

8. Per ripristinare le opzioni predefinite, fare clic su Rimuovi tutto.

9. Quando tutti i profili utenti di destinazione si trovano nell'elenco Utentiselezionati, fare clic su Applica.

Viene visualizzato un messaggio in cui viene confermata la corretta modifica degliscript di accesso al server.

10. Fare clic su OK.

Si ritorna alla schermata iniziale dell'Impostazione script di accesso.

11. Per chiudere il programma Impostazione script di accesso, fare clic su Esci.

Installazione con Client PackagerClient Packager crea un pacchetto di installazione che può essere inviato agli utenti consupporti convenzionali come i CD-ROM. Gli utenti eseguono il pacchetto sui propriclient per installare o aggiornare il Security Agent e aggiornare i componenti.

Client Packager è particolarmente utile:

• Durante l'implementazione del Security Agent o dei componenti sui client in ufficiremoti a larghezza di banda ridotta.

• Se l'ambiente prevede limitazioni per la connessione a Internet, in presenza di unaLAN chiusa o in assenza di una connessione.

I Security Agent installati mediante Client Packager inviano notifiche al server in cui èstato creato il pacchetto.


3-16

Procedura

1. Sul computer Security Server, aprire il percorso <Cartella diinstallazione del server>\PCCSRV\Admin\Utility\ClientPackager.

2. Fare doppio clic su ClnPack.exe.

Viene aperta la console di Client Packager.

3. Selezionare il sistema operativo per cui si desidera creare il pacchetto.Implementare il pacchetto solo sui client che eseguono questo tipo di sistemaoperativo. Creare un altro pacchetto da implementare su un altro tipo di sistemaoperativo.

4. Selezionare il metodo di scansione del pacchetto.

Per ulteriori informazioni sui metodi di scansione, vedere Metodi di scansione a pagina5-3.

I componenti inclusi nel pacchetto dipendono dal metodo di scansione selezionato.Per le smart scan, tutti i componenti, salvo il Pattern dei virus, saranno inclusi. Perle scansioni convenzionali, tutti i componenti, salvo Smart Scan Agent Pattern,saranno inclusi.

5. Selezionare il tipo di pacchetto che si desidera creare.

TABELLA 3-4. Tipi di pacchetti client

TIPO PACCHETTO DESCRIZIONE

Installazione Selezionare Configurazione per creare il pacchetto comefile MSI, conforme al formato di pacchetto di WindowsInstaller. Il pacchetto installa il Security Agent con icomponenti attualmente disponibili nel Security Server.

Se il client destinazione possiede una versione del SecurityAgent precedente installata ed è necessario aggiornarla,creare il file MSI dal Security Agent che gestisce l'agent.Altrimenti, l'agent non viene aggiornato.


3-17

TIPO PACCHETTO DESCRIZIONE

Aggiornamento Selezionare Aggiorna per creare un pacchetto contenentei componenti attualmente disponibili nel Security Server. Ilpacchetto viene creato come file eseguibile. Utilizzarequesto pacchetto in caso di problemi durantel'aggiornamento dei componenti sul client in cui è installatoil Security Agent.

6. Fare clic su Modalità invisibile per creare un pacchetto che viene installato inbackground, in modo impercettibile per l'utente del client e senza visualizzare lafinestra sullo stato dell'installazione. Attivare questa opzione se si intendeimplementare il pacchetto da remoto sul client.

7. Fare clic su Disattiva pre-scansione (solo per prima installazione) per noneseguire la scansione del client in cerca di minacce prima di installare il SecurityAgent. Disattivare l'opzione qualora sia certo che il client sia privo di minacce.

Se la pre-scansione è attivata, il programma di installazione esegue la scansione perrilevare virus e minacce informatiche nelle aree del computer più vulnerabili,comprese quelle riportate di seguito:

• Area boot e la directory boot (per i virus del settore boot)

• Cartella Windows

• Cartella Programmi

8. Assicurarsi che la posizione del file ofcscan.ini all'interno del campo File diorigine sia corretta. Per modificare il percorso, fare clic su ( ) per cercare il fileofcscan.ini. Per impostazione predefinita, questo file si trova in <Cartelladi installazione del server>\PCCSRV.

9. In File di destinazione, sfare clic su ( ), specificare in quale percorso creare ilpacchetto e digitare il nome del file del pacchetto (ad esempioClientSetup.exe).

10. Fare clic su Crea.

Quando Client Packager ha completato la creazione del pacchetto, vienevisualizzato il messaggio “Creazione pacchetto completata”. Individuare il packagenella directory specificata nel passaggio precedente.


3-18


Implementare l'impostazione sui client.

Requisiti per il client:

• 1 GB di spazio libero su disco, se il metodo di scansione per il pacchetto èscansione tradizionale, 500 MB per smart scan

• Windows Installer 3.0 (per eseguire un pacchetto MSI)

Linee guida per l'implementazione del pacchetto:

• Inviare il pacchetto agli utenti e chiedergli di eseguirlo con un doppio clic sul file(.msi o .exe).

Nota

Inviare il pacchetto solo agli utenti con Security Agent che riporta al server laposizione nella quale è stato creato.

• In presenza di utenti che installano il pacchetto .exe su computer con WindowsVista, 7, 8, Server 2008, SBS 2011 o Server 2012, avvertirli che devono fare clic conil pulsante destro del mouse sul file .exe e selezionare Esegui comeamministratore.

• È possibile usufruire delle funzioni di Active Directory per eseguireautomaticamente l'implementazione del Security Agent su tutti i clientcontemporaneamente con il file .msi, piuttosto che richiedere a ciascun utente diinstallare il Security Agent autonomamente. Utilizzare Configurazione computerinvece di Configurazione utente, in modo che il Security Agent venga installatoindipendentemente da quale utente accede al client.

• Se il Security Agent appena installato non è in grado di collegarsi al Security Server,il Security Agent mantiene le impostazioni predefinite. Quando il Security Agent siconnette al Security Server, ottiene le impostazioni per il proprio gruppo nellaconsole Web.

• Se si verificano problemi con l'aggiornamento del Security Agent tramite ClientPackager, Trend Micro consiglia di disinstallare prima la versione precedente del


3-19

Security Agent, per poi installare la nuova versione. Per istruzioni sulladisinstallazione, vedere Rimozione di agent a pagina 3-40.

Installazione con Installazione remota


È possibile installare da remoto il Security Agent su uno o più computer collegati in rete.

Per installare con Installazione remota, sono previsti i seguenti requisiti:


REQUISITO


• Uso di un account amministratore per accedere a ogni clientdestinazione.


• Il client destinazione non deve avere il Security Server installato.Installazione remota non installa il Security Agent su un client sulquale è già in esecuzione il Security Server.





3-20


REQUISITO

Clientdestinazionecon WindowsVista, 7, 8,Server2008/2012 oSBS 2011

Eseguire le operazioni riportate di seguito:

1. Sul client, attivare temporaneamente la condivisione file estampanti.

NotaSe i criteri di protezione aziendali prevedono ladisattivazione di Windows Firewall, andare al punto 2 eavviare il servizio Registro remoto.

a. Aprire Windows Firewall nel Pannello di controllo.

b. Fare clic su Consenti programma con Windows Firewall.Se viene richiesta una password di amministrazione o unaconferma, eseguire l'operazione richiesta. Viene visualizzatala finestra di dialogo delle impostazioni di Windows Firewall.

c. Nell'elenco Programma o porta della scheda Eccezioni,verificare che la casella di controllo Condivisione file estampanti sia selezionata.

d. Fare clic su OK.

2. Avviare temporaneamente il servizio Registro remoto.

a. Aprire Microsoft Management Console.

NotaNella finestra Esegui immettere services.msc peraprire la Microsoft Management Console.

b. Fare clic con il tasto destro del mouse su Registro remotoe scegliere Avvia.

3. Dopo l'installazione dei Security Agent nel client con WindowsVista, se necessario, ripristinare le impostazioni originali.

4. Disattivare il controllo di accesso dell'utente.


3-21


REQUISITO

IPv6 Un Security Server dual-stack è in grado di installare il Security Agentsu qualsiasi client. Un Security Server IPv6 puro è in grado diinstallare il Security Agent su client IPv6 puri o dual-stack.

Procedura

1. Sulla console Web, accedere a Impostazioni di sicurezza > Aggiungi.

Viene visualizzata una nuova schermata.

2. Selezionare Desktop o Server, dalla sezione Tipo di computer.

3. Selezionare Installazione remota dalla sezione Metodo.

4. Fare clic su Avanti.


5. Selezionare un client dall'elenco di client nella casella Gruppi e computer, quindifare clic su Aggiungi. Viene richiesto un nome utente e una password per il client.

6. Immettere nome utente e password, quindi fare clic su Accedi. Il client comparenella casella di riepilogo Computer selezionati.

7. Ripetere questi passaggi fino a quando nell'elenco non vengono visualizzati tutti icomputer Windows presenti nella casella di riepilogo Computer selezionati.

8. Fare clic su Installa.

Viene visualizzata una finestra di dialogo di conferma.

9. Fare clic su Sì per confermare l'installazione dell'agent sui client.

Mentre viene eseguita la copia dei file del Security Agent su ogni client, compareuna schermata di avanzamento.

Al termine dell'installazione su un client, nel campo Risultato dell'elenco deiComputer selezionati, viene visualizzato lo stato dell'installazione e accanto alnome del computer un segno di spunta verde.


3-22


Se l'installazione remota non termina correttamente, attenersi alla seguente procedura:

• Verificare la presenza della comunicazione client/server mediante ping e telnet.

• Controllare se TCP/IP sul client è stato attivato e configurato correttamente.

• Se si utilizza un server proxy per la comunicazione client/server, controllare che leimpostazioni proxy siano state configurate correttamente.

• Nel browser Web, eliminare la cronologia dei componenti aggiuntivi e delleesplorazioni di Trend Micro.

Installazione con Vulnerability Scanner


Esegue scansioni di vulnerabilità per rilevare le soluzioni antivirus installate, cercare iclient non protetti presenti nella rete e installare i Security Agent sui client.

Per installare con Vulnerability Scanner, sono previsti i seguenti requisiti:


REQUISITO

Dove avviare ilVulnerabilityScanner

È possibile eseguire Vulnerability Scanner sul Security Server o suqualsiasi client nella rete. Il client non deve avere in esecuzione ilTerminal Server.


3-23


REQUISITO


• Il client destinazione non deve avere il Security Server installato.Vulnerability Scanner non installa il Security Agent su un client incui è già in esecuzione il Security Server.

• Gli utenti devono utilizzare un account amministratore peraccedere al client.


Sono disponibili diversi metodi per l'esecuzione delle scansioni di vulnerabilità.

• Esecuzione di una scansione di vulnerabilità manuale a pagina 3-23

• Esecuzione di una scansione DHCP a pagina 3-25

• Configurazione di una scansione di vulnerabilità pianificata a pagina 3-28

Esecuzione di una scansione di vulnerabilità manuale

Esegue scansioni di vulnerabilità su richiesta.

Procedura

1. Avviare Vulnerability Scanner.





3-24

PER AVVIAREVULNERABILITYSCANNER SU:

PASSAGGI

Security Server a. Raggiungere la <Cartella di installazione delserver>\PCCSRV\Admin\Utility\TMVS.

b. Fare doppio clic su TMVS.exe.

Un client in rete a. Sul Security Server, aprire il percorso <cartella diinstallazione del server>\PCCSRV\Admin\Utility.

b. Copiare la cartella TMVSnell'altro client.

c. Sull'altro client, aprire la cartella TMVS, quindi faredoppio clic su TMVS.exe.

2. Andare alla sezione Scansione manuale.

3. Immettere l'intervallo di indirizzi IP dei client da controllare.

a. Immettere un intervallo di indirizzi IPv4.

Nota

Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solose eseguito su un client IPv4 puro o dual-stack. Vulnerability Scanner supportasoltanto gli intervalli di indirizzi IP di classe B, ad esempio, da 168.212.1.1 a168.212.254.254.

b. Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefissoIPv6.

Nota

Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv6 solose eseguito su un client IPv6 puro o dual-stack.

4. Fare clic su Impostazioni.

Viene visualizzata la schermata Impostazioni.


3-25

5. Configurare le impostazioni della scansione di vulnerabilità. Per i dettagli,consultare Impostazioni di Scansione vulnerabilità a pagina 3-30.

6. Fare clic su OK.

La schermata Impostazioni si chiude.

7. Fare clic su Avvia.

I risultati della scansione di vulnerabilità vengono visualizzati nella tabellaRisultatiall'interno della scheda Scansione manuale.

NotaSe nel computer è in esecuzione Windows Server 2008, le informazioni sull'indirizzoMAC non vengono visualizzate nella tabella Risultati.

8. Per salvare i risultati in un file CSV (comma-separated value), fare clic su Esporta,individuare la cartella in cui salvare il file, digitare il nome del file e fare clic suSalva.

Esecuzione di una scansione DHCP

Esegue le scansioni della vulnerabilità sui client che richiedono indirizzi IP da un serverDHCP.

Vulnerability Scanner esegue l'ascolto sulla porta 67 (la porta di ascolto del server DHCPper le richieste DHCP). Se rileva una richiesta DHCP proveniente da un client, lascansione di vulnerabilità viene eseguita sul client.

NotaVulnerability Scanner non rileva le richieste DHCP se partono da Windows Server 2008 oWindows 7.


3-26

Procedura

1. Configurare le impostazioni DHCP nel file TMVS.ini situato nella cartellariportata di seguito: <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS.

TABELLA 3-5. Impostazioni DHCP nel file TMVS.ini

IMPOSTAZIONE DESCRIZIONE

DhcpThreadNum=x Specificare il numero di thread per la modalità DHCP. Ilminimo è 3 e il massimo è 100. Il valore predefinito è 3.

DhcpDelayScan=x La durata del ritardo in secondi prima che venga eseguito ilcontrollo del software antivirus nel computer che effettua larichiesta.

Il minimo è 0 (senza attesa) e il massimo è 600. Il valorepredefinito è 60.

LogReport=x Il valore 0 disattiva la registrazione, il valore 1 la attiva.

Vulnerability Scanner invia i risultati della scansione alserver WFBS. I registri vengono visualizzati nellaschermata Registri eventi di sistema della console Web.

OsceServer=x L'indirizzo IP o il nome DNS del server WFBS.

OsceServerPort=x La porta del server Web nel server WFBS.



PASSAGGI




3-27


PASSAGGI

Un client in rete a. Sul Security Server, aprire il percorso <Cartella diinstallazione del server>\PCCSRV\Admin\Utility.



3. A fianco della sezione Scansione manuale, fare clic su Impostazioni.

Viene visualizzata la schermata Impostazioni.

4. Configurare le impostazioni della scansione di vulnerabilità. Per i dettagli,consultare Impostazioni di Scansione vulnerabilità a pagina 3-30.

5. Fare clic su OK.

La schermata Impostazioni si chiude.

6. Nella tabella Risultati fare clic sulla scheda Scansione DHCP.

Nota

La scheda Scansione DHCP non è disponibile nei computer con Windows Server2008 e Windows 7.

7. Fare clic su Avvio DHCP.

Vulnerability Scanner avvia l'ascolto delle richieste DHCP e l'esecuzione dicontrolli di vulnerabilità sui client mano a mano che essi si connettono alla rete.



3-28

Configurazione di una scansione di vulnerabilità pianificata

Le scansioni della vulnerabilità vengono eseguite automaticamente in base a unapianificazione.

Procedura



PASSAGGI



Un client in rete a. Sul Security Server, aprire il percorso <cartella diinstallazione del server>\PCCSRV\Admin\Utility.



2. Andare alla sezione Scansione pianificata.

3. Fare clic su Aggiungi/Modifica.

Viene visualizzata la schermata Scansione pianificata.

4. Digitare un nome per la scansione di vulnerabilità pianificata.

5. Immettere l'intervallo di indirizzi IP dei computer da controllare.

a. Immettere un intervallo di indirizzi IPv4.


3-29

Nota

Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv4 solose è eseguito su una macchina host IPv4 pura o dual-stack con un indirizzoIPv4 disponibile. Vulnerability Scanner supporta soltanto gli intervalli diindirizzi IP di classe B, ad esempio, da 168.212.1.1 a 168.212.254.254.

b. Per un intervallo di indirizzi IPv6, immettere una lunghezza o un prefissoIPv6.

Nota

Vulnerability Scanner può eseguire query per un intervallo di indirizzi IPv6 solose è eseguito su una macchina host IPv6 pura o dual-stack con un indirizzoIPv6 disponibile.

6. Specificare un'ora di inizio con il formato 24 ore, quindi selezionare con qualefrequenza si desidera eseguire la scansione. Selezionare una frequenza giornaliera,settimanale o mensile.

7. Se sono state configurate le impostazioni di scansione vulnerabilità manuale e sidesidera usarle, selezionare Usa impostazioni correnti. Per ulteriori informazionisulle impostazioni di scansione di vulnerabilità manuale, vedere Esecuzione di unascansione di vulnerabilità manuale a pagina 3-23.

Se non sono state specificate le impostazioni di scansione vulnerabilità manuale o sidesidera usare altre impostazioni, selezionare Modifica impostazioni, quindi fareclic su Impostazioni. Viene visualizzata la schermata Impostazioni. Configurarele impostazioni di scansione, quindi fare clic su OK. Per i dettagli, consultareImpostazioni di Scansione vulnerabilità a pagina 3-30.

8. Fare clic su OK.

La schermata Scansione pianificata viene chiusa. La scansione di vulnerabilitàpianificata creata viene visualizzata nella sezione Scansione pianificata. Se sonostate attivate le notifiche, Vulnerability Scanner invia i risultati della scansione divulnerabilità pianificata.

9. Per eseguire immediatamente la scansione di vulnerabilità pianificata, fare clic suEsegui ora.


3-30

I risultati della scansione di vulnerabilità vengono visualizzati nella tabella Risultatiall'interno della scheda Scansione pianificata.

NotaSe nel computer è in esecuzione Windows Server 2008, le informazioni sull'indirizzoMAC non vengono visualizzate nella tabella Risultati.


11. Per interrompere le scansioni della vulnerabilità pianificate, accedere alla sezioneScansioni pianificate, selezionare la scansione pianificata, quindi fare clic suElimina.

Impostazioni di Scansione vulnerabilità

Durante le scansioni di vulnerabilità, configurare le seguenti impostazioni. Per i dettaglisui diversi tipi di scansioni vulnerabilità, vedere Installazione con Vulnerability Scanner apagina 3-22.


3-31

IMPOSTAZIONI DESCRIZIONE E ISTRUZIONI

Query prodotto Vulnerability Scanner è in grado di verificare la presenza disoftware di sicurezza nei client destinazione.

1. Selezionare il software di sicurezza da controllare.

2. Vulnerability Scanner utilizza le porte predefinite mostratesullo schermo per controllare la presenza di software. Sel'amministratore del software modifica le porte predefinite,apportare le modifiche necessarie, altrimenti VulnerabilityScanner non rileva il software.

3. Per Norton Antivirus Corporate Edition, è possibile cambiarele impostazioni di timeout in Impostazioni.

Altre impostazioni query del prodotto

Consente di impostare il numero di client che verrannocontemporaneamente controllati da Vulnerability Scanner perverificare la presenza di software di sicurezza:

1. Andare in <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e aprire TMVS.iniutilizzando un editor di testo, ad esempio Blocco note.

2. Per definire il numero di client controllati:

• Per le scansioni vulnerabilità manuali, modificare ilvalore per ThreadNumManual. Specificare un valorecompreso tra 8 e 64.

Ad esempio, digitare ThreadNumManual=60 se sidesidera che Vulnerability Scanner esegua il controllo su60 client alla volta.

• Per le scansioni vulnerabilità pianificate, modificare ilvalore per ThreadNumSchedule. Specificare un valorecompreso tra 8 e 64.

Ad esempio, digitare ThreadNumSchedule=50 se sidesidera che Vulnerability Scanner esegua il controllo su50 client alla volta.

3. Salvare il file TMVS.ini.


3-32


Impostazioni direcuperodescrizione

Quando Vulnerability Scanner è in grado si eseguire il "ping" deiclient, può reperire ulteriori informazioni sui client. Sono disponibilidue metodi di recupero delle informazioni:

• Recupero normale: recupera le informazioni del dominio edel computer

• Recupero rapido: recupera solo il nome del computer

Impostazioni avvisi Per inviare automaticamente i risultati della scansione divulnerabilità a se stessi o ad altri amministratorinell'organizzazione:

1. Selezionare Risultati e-mail all'amministratore di sistema.

2. Fare clic su Configura per specificare le impostazioni e-mail.

3. Nel campo A immettere l'indirizzo e-mail del destinatario.

4. Nel campo Da, immettere l'indirizzo e-mail del mittente.

5. Nel campo Server SMTP digitare l'indirizzo del server SMTP.

Ad esempio, inserire smtp.company.com. Le informazioni sulserver SMTP sono obbligatorie.

6. Nel campo Oggetto immettere un nuovo oggetto per ilmessaggio, oppure accettare quello predefinito.

7. Fare clic su OK.

Per comunicare agli utenti che sui computer non è installato ilsoftware di sicurezza:

1. Selezionare Visualizza una notifica sui computer nonprotetti.

2. Fare clic su Personalizza per configurare il messaggio dinotifica.

3. Nella schermata Messaggio di notifica, digitare un nuovomessaggio o accettare il messaggio predefinito.

4. Fare clic su OK.


3-33


Salvare come fileCSV

Salvare i risultati della scansione vulnerabilità in un file CSV(comma-separated value).

Il file viene salvato sul client in cui è stato avviato VulnerabilityScanner. Accettare il percorso del file predefinito o modificarlo inbase alle preferenze.

Impostazioni ping Utilizzare le impostazioni "ping" per convalidare l'esistenza di unclient e verificare il sistema operativo usato. Se questeimpostazioni sono disattivate, Vulnerability Scanner esegue lascansione di tutti gli indirizzi IP nell'intervallo specificato, anche diquelli che non sono utilizzati su nessun client, quindi il tentativo dieseguire la scansione impiegherà più tempo di quanto previsto.

1. Accettare le impostazioni predefinite o immettere nuovi valorinei campi Dimensioni pacchetto e Timeout.

2. Selezionare Rilevare il tipo di sistema operativo usandol'impronta del sistema operativo ICMP.

Se si seleziona questa opzione, Vulnerability Scannerdetermina se un client gira su Windows o su un altro sistemaoperativo. Per i client con Windows, Vulnerability Scanner èin grado di identificare la versione di Windows.

Altre impostazioni ping

Per impostare il numero di client che verranno sottoposticontemporaneamente a ping da parte di Vulnerability Scanner:

1. Andare in <Cartella di installazione del server>\PCCSRV\Admin\Utility\TMVS e aprire TMVS.iniutilizzando un editor di testo, ad esempio Blocco note.

2. Modificare il valore per EchoNum. Specificare un valorecompreso tra 1 e 64.

Ad esempio, digitare EchoNum=60 se si desidera cheVulnerability Scanner esegua il ping su 60 client alla volta.

3. Salvare il file TMVS.ini.


3-34


Impostazioni diSecurity Server

1. Selezionare Installazione automatica di Security Agent sucomputer non protetti per installare il Security Agent suiclient analizzati dal Vulnerability Scanner.

2. Specificare il nome host o l'indirizzo IPv4/IPv6 e il numero diporta del Security Server. I Security Agent installati dalVulnerability Scanner invieranno notifiche a questo server.

3. Configurare le credenziali amministrative da utilizzaredurante l'accesso ai client selezionando Installa Account.Nella schermata Informazioni account, digitare un nomeutente e una password, quindi fare clic su OK.

Installazione con notifica e-mail

Utilizzare questo metodo di installazione per inviare un messaggio e-mail con uncollegamento al programma di installazione.

Procedura

1. Sulla console Web, accedere a Impostazioni di sicurezza > Aggiungi.


2. Selezionare Desktop o Server, dalla sezione Tipo di computer.

3. Selezionare Installazione notifica e-mail dalla sezione Metodo.



5. Inserire l'oggetto del messaggio e-mail e i destinatari.

6. Fare clic su Applica. Viene aperto il client e-mail predefinito con destinatari,oggetto e il collegamento al programma di installazione.


3-35

Migrazione a un Security Agent

Quando si installa il Security Agent, il programma di installazione controlla la presenzadi software di protezione endpoint Trend Micro o terze parti installati sul client.

Il programma di installazione è in grado di svolgere le seguenti operazioni:

• Rimuovere altri software di protezione endpoint attualmente installati sul client esostituirli con il Security Agent

• Rilevare altri software di protezione endpoint, ma non rimuoverli

Visitare il sito Web seguente per un elenco completo dei software di protezioneendpoint:

http://esupport.trendmicro.com/solution/en-US/1060980.aspx

Se il software sul client non può essere rimosso automaticamente o è solo rilevabile, manon rimuovibile, disinstallarlo prima manualmente. In base al tipo di processo didisinstallazione, potrebbe essere necessario riavviare il client.

Problematiche di migrazione e possibili soluzioni

La disinstallazione automatica di software di protezione endpoint terze parti potrebbenon terminare correttamente per i seguenti motivi:

• Il numero di versione del software di terzi o la chiave del prodotto è incompatibile.

• Il programma di disinstallazione del software di terzi non funziona.

• Alcuni file del software di terzi sono mancanti o danneggiati.

• La chiave di registro del software di terzi non può essere disinfettata.

• Il software di terzi non ha un programma di disinstallazione.

Possibili soluzioni a questi problemi:

• Rimuovere manualmente il software di terzi.

• Interrompere il servizio del software di terzi.

• Rimuovere il servizio o il processo del software di terzi.

http://esupport.trendmicro.com/solution/en-US/1060980.aspx


3-36

Esecuzione di operazioni post-installazione sui SecurityAgent

Procedura

1. Verificare quanto segue:

• I collegamenti al Security Agent vengono visualizzati nel menu Start diWindows del client.

• Il Trend Micro Worry-Free Business Security Agent è incluso nell'elencoInstallazione applicazioni del Pannello di controllo del client.

• Il Security Agent compare nella schermata Impostazioni di sicurezza dellaconsole Web e si trova nel gruppo Server (predefiniti) o Desktop(predefiniti), a seconda del tipo di sistema operativo del client.

Nota

Se il Security Agent non compare, eseguire un'operazione di verifica dellaconnessione da Preferenze > Impostazioni globali > Sistema (scheda) >Verifica della connessione dell'Agent.

• I seguenti servizi del Security Agent sono visualizzati in MicrosoftManagement Console:

• Listener Trend Micro Security Agent (tmlisten.exe)

• Scansione in tempo reale Trend Micro Security Agent (ntrtscan.exe)

• Servizio proxy NT Trend Micro Security Agent (TmProxy.exe)

Nota

Questo servizio non è disponibile su Windows 8 e Windows Server 2012.

• Firewall Trend Micro Security Agent (TmPfw.exe), se il firewall è statoattivato durante l'installazione


3-37

• Servizio di Prevenzione modifiche non autorizzate Trend Micro(TMBMSRV.exe), se Monitoraggio del comportamento o Controllodispositivo è stato attivato durante l'installazione

2. Se il Security Agent non compare nella console Web, potrebbe non essere in gradodi inviare il proprio stato al server. Effettuare una delle seguenti operazioni:

• Aprire un browser Web sul client, digitare https://{Trend MicroSecurity Server_Nome}:{numero porta}/SMB/cgi/cgionstart.exe nella casella di testo dell'indirizzo e premere INVIO.

Se nella schermata successiva viene visualizzato -2, significa che l'agent è ingrado di comunicare con il server. In questo caso, il problema potrebbedipendere dal fatto che nel database del server non è presente un recordrelativo all'agent.

• Verificare la presenza della comunicazione client/server mediante ping etelnet.

• Se si dispone di un'ampiezza di banda limitata, verificare se essa sia la causadel timeout tra il server e il client.

• Verificare che la cartella \PCCSRV del server disponga di privilegi condivisi eche a tutti gli utenti siano stati assegnati privilegi di controllo completi

• Verificare che le impostazioni proxy di Trend Micro Security Server sianocorrette.

3. Provare il Security Agent utilizzando lo script di prova EICAR.

L'istituto EICAR (European Institute for Computer Antivirus Research) hasviluppato un virus di prova che consente di collaudare la propria installazione econfigurazione. Il file consiste in un file di testo inerte il cui pattern binario ècompreso nel file di pattern antivirus della maggioranza dei produttori di antivirus.Il file non è un virus e non contiene codice di programmazione.

È possibile scaricare il virus di prova EICAR dai seguenti indirizzi URL:

http://www.eicar.org/anti_virus_test_file.htm

In alternativa, è possibile creare un virus di prova EICAR digitando quanto seguein un file di testo da denominare eicar.com:

http://www.eicar.org/anti_virus_test_file.htm


3-38

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Nota

Prima di effettuare la prova, svuotare la cache del server cache e del browser locale.

Installazione di Messaging Security AgentI Messaging Security Agent sono installabili solo se l'utente è in possesso della versioneAdvanced di Worry-Free Business Security.

Eseguire un'installazione da zero del Messaging Security Agent sui server MicrosoftExchange.

Nota

Per informazioni sull'aggiornamento dei Messaging Security Agent a questa versione,vedere la Guida all'installazione e all'aggiornamento.

Requisiti di installazione di Messaging Security AgentVisitare il sito Web seguente per un elenco completo dei requisiti di installazione:


Installazione del Messaging Security Agent (soloAdvanced)


Note e promemoria di installazione:

• Non è necessario interrompere o avviare i servizi Microsoft Exchange prima odopo l'installazione.



3-39

• Se sul client sono presenti informazioni derivanti da una precedente installazionedel Messaging Security Agent, non è possibile completare l’installazione delMessaging Security Agent. Utilizzare l'utilità Windows Installer Cleanup perdisinfettare eventuali residui di un'installazione precedente. Per scaricare l'utilitàWindows Installer Cleanup, visitare:

http://support.microsoft.com/kb/290301/it-it

• In caso di installazione di un Messaging Security Agent su un server con strumentidi blocco, rimuovere lo strumento di blocco in modo da non disabilitare il servizioIIS e provocare il fallimento dell'installazione.

• Inoltre, è possibile installare il Messaging Security Agent durante l'installazione delSecurity Server. Per ulteriori informazioni, fare riferimento alla Guidaall'installazione e all'aggiornamento.

Procedura

1. Accedere a Impostazioni di sicurezza > Aggiungi.


2. Selezionare Server Exchange.

3. In Informazioni sul server Exchange, immettere le informazioni seguenti:

• Nome server: il nome del server Microsoft Exchange su cui installare l'agent.

• Account: Il nome utente dell'amministratore del dominio predefinito.

• Password: La password dell'amministratore del dominio predefinito.


La procedura guidata di installazione visualizza una schermata diversa a seconda deltipo di installazione necessario.

• Installazione da zero: l'agent non esiste sul server Microsoft Exchange everrà installato.

• Aggiornamento: sul server Microsoft Exchange esiste una versione dell'agente verrà aggiornata alla versione corrente.



3-40

• Nessuna installazione richiesta: la versione corrente dell'agent è giàpresente sul server Microsoft Exchange. Se l'agent attualmente non è presentenella Struttura dei gruppi di protezione, verrà aggiunto automaticamente.

• Non valida: problema di installazione dell'agent.

NotaPer Tipo di gestione spam, verrà usato End User Quarantine.

5. In Directory, modificare o accettare la destinazione predefinita e le directorycondivise per l'installazione del Messaging Security Agent. Le directory didestinazione e condivise predefinite sono C:\Programmi\Trend Micro\Messaging Security Agent e C$, rispettivamente.



7. Verificare che le impostazioni del server Microsoft Exchange specificate nelleschermate precedenti siano corrette e fare clic su Avanti per avviare l'installazione.

8. Per visualizzare lo stato dell'installazione, fare clic sulla scheda Stato in temporeale.

Rimozione di agentEsistono due modi per rimuovere Security Agent e Messaging Security Agents (soloAdvanced):

Rimozione di agent dalla console Web

Utilizzare questa opzione per gli agent inattivi. Un agent inattivo compare costantementecome disconnesso sulla console Web, poiché il client sul quale l'agent è installatopotrebbe essere rimasto spento per un periodo prolungato o riformattato prima chel'agent potesse essere disinstallato.

Quando si rimuovono agent dalla console Web:

• L'agent, se esiste ancora sul client, non viene disinstallato.


3-41

• Il server interrompe la gestione dell'agent.

• Quando l'agent ricomincia a comunicare con il server (ad esempio, dopo averacceso il client), l'agent viene aggiunto di nuovo alla console Web. Il Security Agentapplica le impostazioni del suo gruppo originale. Se il gruppo non esiste più, l'agentviene raggruppato in Server (predefiniti) o Desktop (predefiniti), a seconda delsistema operativo del client e applica le impostazioni di quel gruppo.

SuggerimentoWFBS mette a disposizione un'altra funzione che verifica la presenza di e rimuove gli agentinattivi dalla console Web. Utilizzare questa funzione per automatizzare l'operazione dirimozione agent. Per utilizzare questa funzione, raggiungere Preferenze > Impostazioniglobali > scheda Sistema ed entrare nella sezione Rimozione di Security Agent inattivi.

Disinstallazione dell'agent

È possibile disinstallare l'agent (e di conseguenza rimuoverlo dalla console Web), qualorasi riscontrino problemi con il programma dell'agent. Trend Micro consiglia di reinstallareimmediatamente l'agent per mantenere il client protetto dalle minacce.

Rimozione di agent dalla console Web

Procedura

1. Accedere a Impostazioni di sicurezza.

2. Per rimuovere Security Agent, selezionare un gruppo, quindi scegliere gli agent. Perrimuovere un Messaging Security Agent, selezionarlo.

SuggerimentoPer selezionare più Security Agent adiacenti, fare clic sul primo agent dell'intervallo,tenere premuto il tasto MAIUSC, quindi fare clic sull'ultimo degli agent dell'intervallo.Per selezionare un intervallo di agent non contigui, fare clic sul primo agentdell'intervallo, tenere premuto il tasto CTRL, quindi fare clic sugli agent daselezionare.

3. Fare clic su Rimuovi.


3-42


4. Fare clic su Rimuovere gli agent selezionati.

5. Fare clic su Applica.

Disinstallazione di agent dalla console Web

Durante la disinstallazione del Messaging Security Agent, il servizio di amministrazionedi IIS o il server Apache e tutti i servizi correlati vengono interrotti e riavviatiautomaticamente.

Procedura


2. Per disinstallare Security Agent, selezionare un gruppo, quindi scegliere gli agent.Per disinstallare un Messaging Security Agent, selezionarlo.

Suggerimento

Per selezionare più Security Agent adiacenti, fare clic sul primo agent dell'intervallo,tenere premuto il tasto MAIUSC, quindi fare clic sull'ultimo degli agent dell'intervallo.Per selezionare un intervallo di agent non contigui, fare clic sul primo agentdell'intervallo, tenere premuto il tasto CTRL, quindi fare clic sugli agent daselezionare.

3. Fare clic su Rimuovi.


4. Fare clic su Disinstallare gli agent selezionati.


Viene visualizzata una finestra di popup con il numero di notifiche didisinstallazione inviate dal server e il numero di agent che hanno ricevuto lanotifica.


3-43

NotaPer un Messaging Security Agent, immettere il nome utente e la password del serverMicrosoft Exchange quando richiesto.

6. Fare clic su OK.

7. Per verificare che l'agent sia stato disinstallato, aggiornare la schermataImpostazioni di sicurezza. L'agent non dovrebbe più essere visualizzato nellaStruttura dei gruppi di protezione.

Se la disinstallazione del Security Agent fallisce, consultare Uso dello strumento didisinstallazione di SA a pagina 3-44.

Disinstallazione del Security Agent dal clientGli utenti possono disinstallare l'agent dal client.

In base alla configurazione, la disinstallazione può richiedere o meno una password. Se èrichiesta una password, assicurarsi di condividere la password solo con gli utenti chedevono eseguire il programma di disinstallazione e cambiarla immediatamente se vienedivulgata ad altri utenti.

La password può essere impostata o disattivata in Preferenze > Impostazioni globali> scheda Desktop/Server > Password disinstallazione di Security Agent.

Procedura

1. Fare clic su Pannello di controllo > Installazione applicazioni.

2. Trovare il Trend Micro Worry-Free Business Security Agent e fare clic suModifica o Disinstalla, a seconda dell'opzione disponibile.

3. Seguire le istruzioni visualizzate.

4. Se richiesto, digitare la password per la disinstallazione.

Il Security Server informa l'utente sul progresso e il completamento delladisinstallazione. Per completare la disinstallazione, non è necessario riavviare ilclient.


3-44

Se si verifica un errore durante l'esecuzione della procedura, vedere Uso dellostrumento di disinstallazione di SA a pagina 3-44.

Uso dello strumento di disinstallazione di SAUtilizzare lo strumento di disinstallazione di SA:

• Quando si verifica un errore durante l'installazione o quando è necessaria unadisinstallazione completa. Lo strumento consente la rimozione automatica di tutti icomponenti del Security Agent dal client.

• Per disattivare il Security Agent

Procedura

1. Sul Security Server, aprire il percorso <Cartella di installazione delserver>\PCCSRV\Private.

2. Copiare il file SA_Uninstall.exe nel client di destinazione.

3. Sul client destinazione, eseguire SA_Uninstall.exe.

4. Eseguire l'accesso a Windows come amministratore (o con qualsiasi account dotatodi privilegi di amministratore).

5. Attenersi alla procedura relativa all'operazione da svolgere.


3-45

OPERAZIONE PASSAGGI

Disinstallazione delSecurity Agent

a. Eseguire Uninstall.bat. Sono disponibili diversi metodiper questa operazione.

• Su Windows Vista, 7, 8, Server 2008/2012 o SBS2011, raggiungere la directory dello strumento, fareclic con il tasto destro del mouse su Uninstall.bat,quindi selezionare Esegui come amministratore.Nella schermata Controllo dell'account utente,selezionare Accetto.

• Su Windows XP/2003, doppio clic suUninstall.bat.

b. Quando viene visualizzato il messaggio Riavviare ilcomputer ora? (S/N), selezionare:

• N [INVIO]: alcuni driver non verranno disinstallatifino al riavvio.

• Y [INVIO]: il computer verrà riavviato dopo 30secondi.

Il programma di disinstallazione di SA interrompeautomaticamente l'agent.

Disattivazione delSecurity Agent

a. Eseguire Stop.bat. Sono disponibili diversi metodi perquesta operazione.

• Su Windows Vista, 7, 8, Server2008/2012 o SBS2011, raggiungere la directory dello strumento, fareclic con il tasto destro del mouse su Stop.bat,quindi selezionare Esegui come amministratore.Nella schermata Controllo dell'account utente,selezionare Accetto.

• Su Windows XP/2003, doppio clic su Stop.bat.

b. Verificare che il programma termini al momentodell'interruzione del client.


3-46

Disinstallazione del Messaging Security Agent daMicrosoft Exchange Server (solo Advanced)

Durante la disinstallazione del Messaging Security Agent, il servizio di amministrazionedi IIS o il server Apache e tutti i servizi correlati vengono interrotti e riavviatiautomaticamente.

Procedura

1. Accedere al server Microsoft Exchange con privilegi di amministratore.

2. Fare clic su Pannello di controllo > Installazione applicazioni.

3. Selezionare Trend Micro Messaging Security Agent e fare clic su Modifica.

4. Seguire le istruzioni visualizzate.

4-1

Capitolo 4

Gestione dei gruppiQuesto capitolo spiega come vengono concepiti e utilizzati i gruppi in Worry-FreeBusiness Security.


4-2

GruppiIn Worry-Free Business Security, i gruppi rappresentano un insieme di agent checondividono la stessa configurazione ed eseguono le stesse operazioni. Organizzare gliagent in gruppi nella schermata Impostazioni di sicurezza per configurarli e gestirlicontemporaneamente.

Struttura dei gruppi di sicurezza ed elenco agent

FIGURA 4-1. Schermata Impostazioni di sicurezza contenente gli agent in un gruppo

Nella schermata Impostazioni di sicurezza, i gruppi si trovano nella sezione Strutturadei gruppi di sicurezza a sinistra. Per semplificare la gestione, creare gruppi cherappresentino reparti o ruoli lavorativi dell'azienda. Si possono anche creare gruppispeciali. Ad esempio, creare un gruppo che includa Security Agent sui client conmaggiore rischio di infezione, in modo tale da applicare criteri e impostazioni disicurezza più rigidi al gruppo.

Quando si seleziona un gruppo, gli agent appartenenti a tale gruppo vengono visualizzatinell'Elenco agent sulla destra.

Colonne dell'Elenco agent

Le colonne nell'Elenco agent mostrano le seguenti informazioni per ogni agent:

Gestione dei gruppi

4-3

SuggerimentoLe celle con ombreggiatura rossa nell'Elenco agent contengono informazioni cherichiedono attenzione.

COLONNA INFORMAZIONI VISUALIZZATE

Per i Security Agent

Nome Nome host del client in cui è installato l'agent

Indirizzo IP Indirizzo IP del client in cui è installato l'agent

Online/Offline • Online: l'agent è connesso al Security Server

• Offline: l'agent è disconnesso dal Security Server

Scansione pianificata Data e ora dell'ultima scansione pianificata

Scansione manuale Data e ora dell'ultima scansione manuale

Piattaforma Sistema operativo del client in cui è installato l'agent

Architettura • x64: Sistema operativo a 64 bit

• x86: Sistema operativo a 32 bit

Metodo di scansione • Smart: Scansioni locali e nel cloud

• Convenzionale: Solo scansioni locali

Per i dettagli, consultare Metodi di scansione a pagina5-3.

Motore antivirus Versione motore di scansione virus

Smart Scan Agent Pattern

NotaQuesta colonnaviene visualizzatasolo se il metodo discansione è smart.

Versione di Smart Scan Agent Pattern


4-4


Servizio Smart Scan

NotaQuesta colonnaviene visualizzatasolo se il metodo discansione è smart.

• Connesso: l'agent è connesso al servizio Smart Scan

• Disconnesso: l'agent è disconnesso dal servizioSmart Scan

NotaIl servizio Smart Scan è in hosting sul SecurityServer. Se un agent è disconnesso, significa chenon è in grado di connettersi al Security Server oil servizio Smart Scan non funziona (adesempio, se il servizio è stato interrotto).

Pattern antivirus

NotaQuesta colonnaviene visualizzatasolo se il metodo discansione èconvenzionale.

Versione del pattern antivirus

Virus rilevati Numero di virus/minacce informatiche rilevati

Spyware rilevati Numero di spyware/grayware rilevati

Versione Versione dell'agent

URL violati Numero di accessi ad URL proibiti

Spam rilevato Numero dei messaggi di e-mail spam rilevati

Scansione POP3 • Attivata

• Disattivata

Per i Messaging Security Agent (solo Advanced)

Nome Nome host del client in cui è installato l'agent

Indirizzo IP Indirizzo IP del client in cui è installato l'agent

Gestione dei gruppi

4-5


Online/Offline • Online: l'agent è connesso al Security Server

• Offline: l'agent è disconnesso dal Security Server

Piattaforma Sistema operativo del client in cui è installato l'agent

Architettura • x64: Sistema operativo a 64 bit

• x86: Sistema operativo a 32 bit

Versione di Exchange Versione del server Microsoft Exchange

Pattern antivirus Versione del pattern antivirus

Motore antivirus Versione motore di scansione virus

Versione Versione dell'agent

Attività per gruppi e agent

Eseguire le operazioni su un gruppo o uno o più agent.

L'esecuzione di un'operazione comporta due fasi:

1. Selezionare una destinazione.

2. Fare clic sul pulsante relativo all'operazione.

La tabella seguente elenca le operazioni che è possibile eseguire.


4-6

OPERAZIONE DESTINAZIONE DESCRIZIONE

Configura Un gruppo diSecurity Agent(desktop oserver)

Consente di configurare le seguenti impostazionidi sicurezza base per tutti i Security Agentappartenenti al gruppo selezionato:

• Metodo di scansione. Vedere Configurazionedei metodi di scansione a pagina 5-5.

• Antivirus/Anti-spyware. VedereConfigurazione della scansione in temporeale per i Security Agent a pagina 5-7.

• Firewall. Vedere Configurazione del firewall apagina 5-11.

• Reputazione Web. Vedere Configurazionedella reputazione Web per Security Agent apagina 5-17.

• Filtro URL. Vedere Configurazione del filtroURL a pagina 5-19.

• Monitoraggio del comportamento. VedereConfigurazione del monitoraggio delcomportamento a pagina 5-21.

• Controllo dispositivo. Vedere Configurazionedel controllo dispositivo a pagina 5-24.

• Strumenti utente (solo gruppi di desktop).Vedere Configurazione degli strumentidell'utente a pagina 5-26.

• Privilegi client. Vedere Configurazione deiprivilegi client a pagina 5-27.

• Quarantena. Vedere Configurazione delladirectory di quarantena a pagina 5-32.

Gestione dei gruppi

4-7


Configura Un MessagingSecurity Agent(solo Advanced)

Configurare le seguenti impostazioni di sicurezzabase per il Messaging Security Agent selezionato:

• Antivirus. Vedere Configurazione dellascansione in tempo reale per MessagingSecurity Agent a pagina 6-6.

• Anti-spam. Vedere Configurazione di EmailReputation a pagina 6-8 e Configurazionedella scansione dei contenuti a pagina 6-10.

• Filtro dei contenuti. Vedere Gestione delleregole del filtro dei contenuti a pagina 6-16.

• Blocco allegati. Vedere Configurazione delblocco degli allegati a pagina 6-47.

• Reputazione Web. Vedere Configurazionedella Reputazione Web per MessagingSecurity Agent a pagina 6-51.

• Quarantena. Vedere Consultazione delledirectory di quarantena a pagina 6-54,Gestione delle directory di quarantena apagina 6-58 e Configurazione delle directorydi quarantena a pagina 6-59.

• Operazioni. Vedere Configurazione delleimpostazioni di notifica per i MessagingSecurity Agent a pagina 6-61,Configurazione di Manutenzione spam apagina 6-62 e Generazione di rapporti delprogramma di debug di sistema a pagina6-66.

Replicaimpostazioni

Un gruppo diSecurity Agent(desktop oserver)

Le impostazioni del gruppo selezionato sarannoapplicate da un altro gruppo dello stesso tipo(gruppo di desktop o gruppo di server).

Per i dettagli, consultare Replica delleimpostazioni a pagina 4-17.


4-8


Importa Un gruppo diSecurity Agent(desktop oserver)

Consente di importare le impostazioni di ungruppo di origine nel gruppo destinazioneselezionato.

Prima di eseguire l'importazione, verificare di averesportato le impostazioni del gruppo di origine inun file.

Per i dettagli, consultare Importazione edesportazione delle impostazioni dei gruppi delSecurity Agent a pagina 4-19.

Esporta Un gruppo diSecurity Agent(desktop oserver)

Consente di esportare le impostazioni del gruppodestinazione selezionato in un file.

Effettuare questa operazione per eseguire ilbackup delle impostazioni oppure per importarle inun altro gruppo.

Per i dettagli, consultare Importazione edesportazione delle impostazioni dei gruppi delSecurity Agent a pagina 4-19.

Aggiungi gruppo Struttura deigruppi disicurezza ( )

Consente di aggiungere un nuovo gruppo SecurityAgent (gruppo di desktop o server).

Per i dettagli, consultare Aggiunta di gruppi apagina 4-10.

Aggiungi Struttura deigruppi disicurezza ( )

Installare uno dei seguenti componenti:

• Security Agent su un client (desktop oserver)

• Messaging Security Agent su un MicrosoftExchange Server (solo Advanced)

Per i dettagli, consultare Aggiunta di agent aigruppi a pagina 4-11.

Gestione dei gruppi

4-9


Rimuovi Un gruppo diSecurity Agent(desktop oserver)

Consente di rimuovere il gruppo selezionato dallastruttura dei gruppi di sicurezza.

Accertarsi che il gruppo non abbia agent o chenon venga eliminato.

Per i dettagli, consultare Rimozione di agent apagina 3-40.

Uno o piùSecurity Agentappartenenti aun gruppo

Sono disponibili due opzioni:

• Rimuovere i Security Agent selezionati dalloro gruppo.

• Disinstallare i Security Agent selezionati dailoro client e rimuoverli dal gruppo.


Un MessagingSecurity Agent(solo Advanced)

Sono disponibili due opzioni:

• Rimuovere il Messaging Security Agent e ilsuo gruppo.

• Disinstallare dal server Microsoft Exchange iMessaging Security Agent selezionati erimuovere il gruppo.


Sposta Uno o piùSecurity Agentappartenenti aun gruppo

Consente di spostare i Security Agent selezionatiin un altro gruppo o su un altro Security Server.

Per i dettagli, consultare Spostamento di agent apagina 4-12.


4-10


Azzera contatori Struttura deigruppi disicurezza ( )

Azzera il conteggio delle minacce su tutti iSecurity Agent. In particolare, verranno azzerati ivalori nelle seguenti colonne dell'Elenco agent:

• Virus rilevati

• Spyware rilevati

• Spam rilevato

• URL violati

Per ulteriori informazioni su queste colonne,vedere Struttura dei gruppi di sicurezza ed elencoagent a pagina 4-2.

Aggiunta di gruppiConsente di aggiungere un gruppo di server o desktop, che può contenere uno o piùSecurity Agent.

Non è possibile aggiungere un gruppo contenente Messaging Security Agent. Dopo cheun Messaging Security Agent viene installato e invia notifiche al Security Server,costituisce automaticamente il proprio gruppo nella Struttura dei gruppi di sicurezza.

Procedura


2. Fare clic su Aggiungi gruppo.


3. Selezionare un tipo di gruppo.

• Desktop

• Server

4. Inserire un nome per il gruppo.

Gestione dei gruppi

4-11

5. Per applicare le impostazioni di un gruppo esistente al gruppo che sta per essereaggiunto, fare clic su Importa le impostazioni dal gruppo, quindi selezionare ilgruppo. Vengono visualizzati solo i gruppi relativi al tipo di gruppo selezionato.

6. Fare clic su Salva.

Aggiunta di agent ai gruppiIn seguito all'installazione di un agent e all'invio dallo stesso di notifiche al SecurityServer, il server lo aggiunge al gruppo.

• I Security Agent installati sulle piattaforme server, come Windows Server 2003 eWindows Server 2008, sono aggiunti al gruppo Server (predefiniti).

• I Security Agent installati su desktop, come Windows XP, Windows Vista eWindows 7, sono aggiunti al gruppo Desktop (predefiniti).

Nota

Spostandoli, è possibile assegnare Security Agent ad altri gruppi. Per i dettagli,consultare Spostamento di agent a pagina 4-12.

• Ogni Messaging Security Agent (solo Advanced) rappresenta il proprio gruppo.Non è possibile organizzare più Messaging Security Agent in un gruppo.

Se il numero di agent nella Struttura dei gruppi di sicurezza non è corretto, è possibileche gli agent siano stati rimossi senza inviare notifiche al server (ad esempio, se lacomunicazione client-server si è interrotta durante la rimozione dell'agent). Questocomporta la conservazione delle informazioni sull'agent da parte del server nel propriodatabase, mostrando l'agent non in linea nella console Web. Quando si reinstalla l'agent,il server crea un nuovo record nel database e considera l'agent come nuovo, conconseguenti agent duplicati nella struttura dei gruppi di sicurezza. Per controllare irecord di agent duplicati, utilizzare la funzione Verifica della connessione dell'Agent inPreferenze > Impostazioni globali > Sistema.

Installazione di Security Agent

Consultare i seguenti argomenti:


4-12

• Requisiti di installazione del Security Agent a pagina 3-2

• Considerazioni sull'installazione del Security Agent a pagina 3-2

• Metodi di installazione del Security Agent a pagina 3-8

• Installazione dalla pagina Web interna a pagina 3-11

• Installazione con Impostazione script di accesso a pagina 3-13

• Installazione con Client Packager a pagina 3-15

• Installazione con Installazione remota a pagina 3-19

• Installazione con Vulnerability Scanner a pagina 3-22

• Installazione con notifica e-mail a pagina 3-34

• Esecuzione di operazioni post-installazione sui Security Agent a pagina 3-36

Installazione del Messaging Security Agent (solo Advanced)

Consultare i seguenti argomenti:

• Requisiti di installazione di Messaging Security Agent a pagina 3-38

• Installazione del Messaging Security Agent (solo Advanced) a pagina 3-38

Spostamento di agentEsistono diversi modi per spostare gli agent.

Gestione dei gruppi

4-13

AGENT DASPOSTARE

DETTAGLIMODALITÀ DI SPOSTAMENTO

AGENT

SecurityAgent

Spostamento di Security Agent tragruppi. Dopo lo spostamento, gli agentereditano le impostazioni del loro nuovogruppo.

Utilizzare la console Web perspostare uno o più agent.Vedere Spostamento diSecurity Agent tra gruppi apagina 4-13.

Nel caso di almeno due Security Server,spostare i Security Agent tra server.

Dopo lo spostamento, un agent vieneraggruppato nel gruppo Desktop(predefiniti) o Server (predefiniti)sull'altro Security Server, a seconda delsistema operativo del client. L'agentacquisirà automaticamente leimpostazioni del nuovo gruppo.

• Utilizzare la consoleWeb per spostare uno opiù agent. VedereSpostamento di agenttra Security Serverutilizzando la consoleWeb a pagina 4-14.

• Utilizzare lo strumentoClient Mover su un clientper spostare l'agentinstallato su quel client.Vedere Spostamento diun Security Agent traSecurity Server conClient Mover a pagina4-15.

MessagingSecurityAgent (soloAdvanced)

Nel caso di almeno due Security Server,spostare i Messaging Security Agent traserver.

Dopo lo spostamento, l'agent costituirà ilproprio gruppo sull'altro Security Server econserverà le proprie impostazioni.

Utilizzare la console Web perspostare più agentcontemporaneamente.Vedere Spostamento diagent tra Security Serverutilizzando la console Web apagina 4-14.

Spostamento di Security Agent tra gruppi

Procedura


2. Selezionare un gruppo di desktop o server.


4-14

3. Selezionare gli agent da spostare.

Suggerimento


4. Trascinare gli agent nei loro nuovi gruppi.

Spostamento di agent tra Security Server utilizzando laconsole Web


Durante lo spostamento di un agent tra Security Server:

• Se un agent con una versione precedente passa su un Security Server con laversione corrente, l'agent viene aggiornato automaticamente.

• Non spostare un agent con una versione corrente su un Security Server dotato diversione precedente, in quanto l'agent diventerebbe non gestito (la registrazionedell'agent viene eliminata dal server precedente e la registrazione al nuovo serverfallisce, non comparendo pertanto nella console Web). L'agent mantiene laversione corrente e non effettuerà il downgrade a quella precedente.

• I Security Server devono avere la stessa versione di lingua.

• Registrare nome host e porta di ascolto del Security Server sul quale l'agent verràspostato. Nome host e porta di ascolto si trovano nella schermata Impostazioni disicurezza del Security Server, sopra il pannello Attività.

Procedura

1. Sulla console Web del Security Server che attualmente gestisce gli agent, accederealle Impostazioni di sicurezza.

Gestione dei gruppi

4-15

2. Per spostare Security Agent, selezionare un gruppo, quindi scegliere gli agent. Perspostare un Messaging Security Agent, selezionarlo.

Suggerimento


3. Fare clic su Sposta.


4. Immettere nome host e porta in ascolto del Security Server sul quale gli agentverranno spostati.

5. Fare clic su Sposta.

6. Per controllare che gli agent ora comunichino con l'altro Security Server, aprire laconsole Web di quel server e trovare gli agent nella Struttura dei gruppi diprotezione.

Nota

Se gli agent non sono presenti nella Struttura dei gruppi di protezione, riavviare ilservizio principale del server (ofservice.exe).

Spostamento di un Security Agent tra Security Server conClient Mover


Durante lo spostamento di un agent tra Security Server:

• Se un agent con una versione precedente passa su un Security Server con laversione corrente, l'agent viene aggiornato automaticamente.


4-16

• Non spostare un agent con una versione corrente su un Security Server dotato diversione precedente, in quanto l'agent diventerebbe non gestito (la registrazionedell'agent viene eliminata dal server precedente e la registrazione al nuovo serverfallisce, non comparendo pertanto nella console Web). L'agent mantiene laversione corrente e non effettuerà il downgrade a quella precedente.

• I Security Server devono avere la stessa versione di lingua.

• Registrare nome host e porta di ascolto del Security Server sul quale l'agent verràspostato. Nome host e porta di ascolto si trovano nella schermata Impostazioni disicurezza del Security Server, sopra il pannello Attività.

• Accedere al client utilizzando un account amministratore.

Procedura

1. Sul Security Server che attualmente gestisce l'agent, aprire il percorso <Cartelladi installazione del server>\PCCSRV\Admin\Utility\IpXfer.

2. Copiare IpXfer.exe sul client in cui è installato l'agent.

3. Sul client, aprire una finestra del prompt dei comandi.

4. Immettere cd e il percorso della cartella in cui è stato copiato il file eseguibile. Adesempio: cd C:\Test

5. Eseguire Client Mover utilizzando la sintassi riportata di seguito:

<executable file name> -s <server name> -p <serverlistening port> -m 1 -c <client listening port>

TABELLA 4-1. Parametri Client Mover

PARAMETRO SPIEGAZIONE

<executable filename>

IpXfer.exe

<server name> Il nome del server WFBS di destinazione (il server alquale viene trasferito l'agent)

Gestione dei gruppi

4-17

PARAMETRO SPIEGAZIONE

<server listeningport>

La porta di ascolto (o porta attendibile) del SecurityServer di destinazione.

1 Il server basato su HTTP (è necessario utilizzare ilnumero “1” dopo “-m”)

<client listeningport>

Il numero della porta usato dal Security Agent percomunicare con il server

Esempio:

ipXfer.exe -s Server01 -p 8080 -m 1 -c 21112

6. Per controllare che il Security Agent ora comunichi con l'altro Security Server,aprire la console Web di quel server e trovare l'agent nella Struttura dei gruppi diprotezione.

Nota

Se l'agent non è presente nella Struttura dei gruppi di protezione, riavviare il servizioprincipale del server (ofservice.exe).

Replica delle impostazioniReplica impostazioni tra i gruppo del Security Agent o tra Messaging Security Agent(solo Advanced).

Replica delle impostazioni del gruppo del Security Agent

Utilizzare questa funzione per applicare le impostazioni di uno specifico gruppo desktopo server a un altro gruppo dello stesso tipo. Non è possibile replicare le impostazioni diun gruppo server in un gruppo desktop e viceversa.

Se esiste un solo gruppo per un particolare tipo di gruppo, questa funzione è disabilitata.


4-18

Procedura



3. Fare clic su Replica impostazioni.


4. Selezionare i gruppi destinazione che ereditano le impostazioni.


Replica delle impostazioni del Messaging Security Agent(solo Advanced)

È possibile replicare le impostazioni soltanto tra Messaging Security Agent appartenentiallo stesso dominio.

Procedura


2. Selezionare un Messaging Security Agent.

3. Fare clic su Replica impostazioni.


4. Selezionare il Messaging Security Agent che eredita le impostazioni.


6. Se la replica non viene completata correttamente:

a. Avviare l'Editor del Registro di sistema (regedit).

b. Accedere a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg.

c. Fare clic con il pulsante destro su winreg > Autorizzazioni.

Gestione dei gruppi

4-19

d. Aggiungere Smex Admin Group del dominio di destinazione e abilitareConsenti lettura.

Importazione ed esportazione delleimpostazioni dei gruppi del Security Agent

Esportare le impostazioni di un gruppo desktop o server in un file .dat per eseguire ilbackup delle impostazioni. Inoltre, è possibile utilizzare il file .dat per importare leimpostazioni in un altro gruppo.

NotaÈ possibile importare ed esportare le impostazioni tra gruppi di server e desktop. Leimpostazioni non dipendono dal tipo di gruppo. È anche possibile utilizzare la funzioneReplica impostazioni, sebbene dipenda dal tipo di gruppo. Per ulteriori dettagli sullafunzione Replica impostazioni, vedere Replica delle impostazioni a pagina 4-17.

Impostazioni importabili ed esportabili

Le impostazioni importabili ed esportabili dipendono da se si seleziona l'icona Strutturadei gruppi di protezione ( ) oppure uno specifico gruppo desktop/server.


4-20

SELEZIONESCHERMATA CHE CONTIENE LE

INFORMAZIONIIMPOSTAZIONI ESPORTABILI/

IMPORTABILI

Icona Strutturadei gruppi diprotezione ( )

Impostazioni di sicurezza(Impostazioni di sicurezza >Configura)

Le seguenti impostazioni per igruppi Server (predefiniti) eDesktop (predefiniti):

• Metodo di scansione

• Firewall

• Reputazione Web

• Filtro URL

• Monitoraggio delcomportamento

• Programmi affidabili

• Strumenti utente (disponibilisolo nei gruppi desktop)

• Privilegi client

• Quarantena

• Controllo dispositivo

Aggiornamento manuale(Aggiornamenti > Manuale)

Componenti selezionati nellaschermata Aggiornamentomanuale

Aggiornamento pianificato(Aggiornamenti > Pianificati)

Componenti selezionati nellaschermata Aggiornamentopianificato

Rapporti pianificati (Rapporti >Rapporti pianificati)

Tutte le impostazioni

Manutenzione rapporti (Rapporti> Manutenzione )


Notifiche (Preferenze >Notifiche)


Impostazioni globali (Preferenze> Impostazioni globali)

Tutte le impostazioni nelleseguenti schede:

• Proxy

• SMTP

• Desktop/Server

• Sistema

Gestione dei gruppi

4-21

SELEZIONESCHERMATA CHE CONTIENE LE

INFORMAZIONIIMPOSTAZIONI ESPORTABILI/

IMPORTABILI

Gruppo desktop( ) o grupposerver ( )

Impostazioni di sicurezza(Impostazioni di sicurezza >Configura)

• Scansione antivirus/anti-spyware in tempo reale

• Firewall

• Reputazione Web

• Filtro URL


• Programmi affidabili

• Strumenti utente(disponibili solo nei gruppidesktop)

• Privilegi client

• Quarantena


Schermata Scansione manuale(Scansioni > Scansionemanuale)


Schermata Scansione pianificata(Scansioni > Scansionepianificata)


Esportazione delle impostazioni

Procedura


2. Selezionare la struttura dei gruppi di sicurezza o un gruppo desktop/server.

3. Fare clic su Esporta.



4-22

4. Se è stata selezionata la Struttura dei gruppi di sicurezza, scegliere le impostazionida esportare.

5. Fare clic su Esporta.

Viene visualizzata una finestra di dialogo.

6. Fare clic su Salva, scegliere un percorso, quindi fare clic su Salva.

Importazione delle impostazioni

Procedura


2. Selezionare la struttura dei gruppi di protezione o un gruppo desktop/server.

3. Fare clic su Importa.


4. Fare clic su Sfoglia, trovare il file, quindi fare clic su Importa.

5-1

Capitolo 5

Gestione delle impostazioni disicurezza di base per i Security Agent

In questo capitolo viene descritto come configurare le impostazioni di sicurezza di baseper i Security Agent.


5-2

Riepilogo delle Impostazioni di sicurezza baseper i Security Agent

TABELLA 5-1. Riepilogo delle Impostazioni di sicurezza base per i Security Agent

OPZIONE DESCRIZIONE PREDEFINITO

Metodo di scansione Stabilisce se Smart Scan èattivato o meno.

L'attivazione o ladisattivazione vieneselezionata durantel'installazione di WFBS.

Antivirus/Anti-spyware Consente di configurare leopzioni di scansione intempo reale, antivirus eanti-spyware.

Attivato (Scansione intempo reale)

Firewall Consente di configurare leopzioni del firewall.

Disattivato

Reputazione Web Consente di configurare leopzioni In ufficio e Fuoriufficio di Web Reputation.

In ufficio: Attivata, Basso

Fuori ufficio: attivato, medio

Filtro URL Blocca i siti Web cheviolano i criteri configurati.

Attivata, Basso


Consente di configurare leopzioni di monitoraggio delcomportamento.

Attivata per gruppi didesktop

Disattivata per gruppi diserver

Programmi affidabili Consente di specificare iprogrammi che non devonoessere sottoposti amonitoraggio percomportamento sospetto.

N/D

Controllo dispositivo Consente di configurarel'esecuzione automatica,nonché l'accesso adispositivi USB e alla rete.

Disattivato

Gestione delle impostazioni di sicurezza di base per i Security Agent

5-3

OPZIONE DESCRIZIONE PREDEFINITO

Strumenti utente Configurare Wi-Fi Advisor eBarra degli strumenti TrendMicro Anti-Spam

Disattivata: Wi-Fi Advisor

Disattivata: Barra deglistrumenti Anti-spam neiclient di posta supportati

Privilegi client Consente di configurarel'accesso alle impostazionidalla console dell'agent

Disattiva aggiornamentoSecurity Agent eimplementazione hotfix

N/D

Quarantena Consente di specificare ladirectory di quarantena.

N/D

Metodi di scansioneI Security Agent sono in grado di utilizzare uno dei due metodi di scansione quandoeseguono una scansione delle minacce per la sicurezza.

• Smart scan: I Security Agent che utilizzano Smart Scan, in questo documentovengono definiti agent Smart Scan. Gli agent Smart Scan utilizzano le scansionilocali e le query in-the-cloud fornite da Servizi di reputazione file.

• Scansione tradizionale: I Security Agent che non utilizzano smart scan in questodocumento vengono detti agent di scansione convenzionali. Un agent discansione convenzionale memorizza tutti i componenti nel client ed esegue lescansioni di tutti i file localmente.

La tabella riportata di seguito consente di confrontare i due metodi di scansione:


5-4

TABELLA 5-2. Confronto tra Scansione convenzionale e Smart Scan

CRITERI DICONFRONTO

SCANSIONE TRADIZIONALE SMART SCAN

Disponibilità Disponibile in questaversione di WFBS e in tuttequelle precedenti

Disponibile a partire da WFBS 6.0

Comportamentodella scansione

L'agent di scansioneconvenzionale esegue lascansione sul client.

• L'agent smart scan esegue lascansione sul client.

• Se l'agent non è in grado dideterminare il rischio del filedurante la scansione, verifica ilrischio inviando una query discansione allo Scan Server (pergli agent connessi al SecurityServer) o alla Smart ProtectionNetwork Trend Micro (per gliagent non connessi al SecurityServer).

NotaLo Scan Server è unservizio in funzione sulSecurity Server. Per idettagli, consultare ScanServer a pagina 2-2.

• L'agent memorizza in cache ilrisultato della query discansione per migliorare leprestazioni della scansione.

Componenti in usoe aggiornati

Tutti i componenti SecurityAgent disponibili nell'originedi aggiornamento, adeccezione di Smart ScanAgent Pattern

Tutti i componenti disponibilinell'origine di aggiornamento, adeccezione del Pattern dei virus

Origine diaggiornamentotipica

Security Server Security Server


5-5

Configurazione dei metodi di scansione


Durante l'installazione del Security Server, viene fornita l'opzione per l'attivazione dismart scan. Se si attiva l'opzione, il metodo di scansione predefinito è smart scan, ovverotutti i Security Agent utilizzeranno smart scan. Altrimenti, il metodo predefinito èscansione tradizionale. È possibile cambiare i metodi di scansione per i vari agent in basea singoli requisiti specifici. Ad esempio:

• Se gli agent attualmente utilizzano la scansione tradizionale e il completamentodella scansione è un'operazione notevolmente lunga, è possibile passare al metodosmart scan, ideato per ottenere maggiore velocità ed efficienza. Un altro caso in cuipotrebbe essere richiesto il passaggio al metodo smart scan è quando lo spazio sudisco di un agent si sta esaurendo, poiché gli agent smart scan scaricano pattern didimensioni ridotte e pertanto richiedono meno spazio su disco.

Prima di passare al metodo smart scan, in Preferenze > Impostazioni globali >scheda Desktop/Server andare alla sezione Impostazioni globali. Verificare chel'opzione Disattiva servizio Smart Scan sia stata disattivata.

• Far passare gli agenti alla scansione tradizionale se si nota un peggioramento delleprestazioni del Security Server, con conseguente incapacità da parte degli agent digestire con tempestività tutte le query di scansione.

La seguente tabella elenca alcune considerazioni da ricordare quando di cambiano imetodi di scansione:


5-6

TABELLA 5-3. Considerazioni per il cambio dei metodi di scansione

CONSIDERAZIONE DETTAGLI

Connessione delSecurity Server

Verificare che i Security Agent possano connettersi al SecurityServer. Solo gli agent online ricevono la notifica del passaggioa un metodo di scansione diverso. Gli agent offline ricevono lanotifica non appena si connettono.

Inoltre, verificare che il Security Server disponga degli ultimicomponenti, visto che gli agent devono scaricare i nuovicomponenti dal Security Server, vale a dire Smart Scan AgentPattern per gli agent che passano al metodo smart scan eVirus Pattern per gli agent che passano alla scansionetradizionale.

Numero dei SecurityAgent che effettuano ilcambio

Se il numero di agenti che cambia metodo è relativamenteesiguo, l'operazione consente di utilizzare in manieraefficiente le risorse del Security Server. Il Security Server è ingrado di eseguire altre operazioni importanti mentre gli agentcambiano i metodi di scansione.

Tempistica Se i Security Agent cambiano metodo per la prima volta, gliagent devono scaricare i la versione completa di Smart ScanAgent Pattern (per gli agent che passano al metodo smartscan) o Virus Pattern (per gli agent che passano allascansione tradizionale).

Per fare in modo che il processo di download termini in tempibrevi, è opportuno effettuare il passaggio durante l'orario atraffico ridotto. Disattivare temporaneamente anche "Aggiornasubito" negli agent, per impedire agli utenti di avviareaggiornamenti e riattivare la funzione una volta terminato ilpassaggio a un metodo di scansione.

NotaSuccessivamente, gli agent scaricano versioniincrementali ridotte dello Smart Scan Agent Pattern oVirus Pattern, a patto che si aggiornino frequentemente.


5-7

CONSIDERAZIONE DETTAGLI

Supporto IPv6 Un agente smart scan IPv6 puro offline non può inviare querydirettamente alla Smart Protection Network di Trend Micro.

Per consentire all'agent smart scan di inviare query, ènecessario un server proxy dual-stack in grado di convertiregli indirizzi IP, come ad esempio DeleGate.

Procedura



3. Fare clic su Configura.


4. Selezionare il metodo di scansione preferito.


Scansione in tempo reale per i Security AgentLa scansione in tempo reale è una scansione continua e costante. Ogniqualvolta un fileviene aperto, scaricato, copiato o modificato, la scansione in tempo reale del SecurityAgent analizza il file per rilevare eventuali minacce.

Configurazione della scansione in tempo reale per iSecurity Agent

Procedura




5-8



4. Fare clic su Antivirus/Anti-spyware.


5. Fare clic su Attiva antivirus/anti-spyware in tempo reale.

6. Configurazione delle impostazioni di scansione. Per i dettagli, consultareDestinazioni di scansione e azioni per i Security Agent a pagina 7-10:

Nota

Se gli utenti hanno i privilegi per configurare impostazioni di scansionepersonalizzate, durante la scansione vengono utilizzate le impostazioni di scansioneimpostate dall'utente.


FirewallIl firewall può bloccare o consentire l'accesso a un determinato tipo di traffico di retecreando una barriera tra il client e la rete. Inoltre, il firewall identifica dei pattern neipacchetti di rete che rivelare un possibile attacco ai client.

WFBS consente di scegliere tra due opzioni di configurazione del firewall: modalitàsemplice e modalità avanzata. La modalità semplice attiva il firewall con le impostazionipredefinite consigliate da Trend Micro. La modalità avanzata consente invece dipersonalizzare le impostazioni del firewall.

Suggerimento

Trend Micro consiglia di disinstallare altri firewall basati su software primadell'implementazione e dell'attivazione del firewall di Trend Micro.


5-9

Impostazioni predefinite del firewall in modalità semplice

Il firewall è dotato di impostazioni predefinite che costituiscono una base di partenzaper la propria strategia di protezione tramite firewall del client. Le impostazionipredefinite sono intese a includere condizioni comuni che si verificano sui client come,ad esempio, la necessità di accedere a Internet e scaricare o caricare file via FTP.

NotaPer impostazione predefinita, WFBS disabilita il firewall su tutti i nuovi gruppi e SecurityAgent.

TABELLA 5-4. Impostazioni predefinite del firewall

IMPOSTAZIONI STATO

Livello sicurezza Basso

Traffico in entrata e in uscita consentito, bloccatisolo i virus di rete.

Sistema di rilevamento anti-intrusione

Disattivato

Messaggio di avviso (invio) Disattivato

TABELLA 5-5. Eccezioni firewall predefinite

NOME ECCEZIONE OPERAZIONE DIREZIONE PROTOCOLLO PORTA

DNS Consenti In entrata e inuscita

TCP/UDP 53

NetBIOS Consenti In entrata e inuscita

TCP/UDP 137, 138, 139,445

HTTPS Consenti In entrata e inuscita

TCP 443

HTTP Consenti In entrata e inuscita

TCP 80

Telnet Consenti In entrata e inuscita

TCP 23


5-10

NOME ECCEZIONE OPERAZIONE DIREZIONE PROTOCOLLO PORTA

SMTP Consenti In entrata e inuscita

TCP 25

FTP Consenti In entrata e inuscita

TCP 21

POP3 Consenti In entrata e inuscita

TCP 110

MSA Consenti In entrata e inuscita

TCP 16372, 16373

TABELLA 5-6. Impostazioni firewall predefinite in base al percorso

PERCORSO IMPOSTAZIONI FIREWALL

In ufficio Disattivo

Fuori ufficio Disattivo

Filtraggio del traffico

Il firewall filtra tutto il traffico in entrata e in uscita e offre la possibilità di bloccarealcuni tipi di traffico in base ai seguenti criteri:

• Direzione (in entrata/in uscita)

• Protocollo (TCP/UDP/ICMP/ICMPv6)

• Porte di destinazione

• Computer di destinazione

Scansione dei virus di rete

Il firewall esamina inoltre tutti i pacchetti alla ricerca di virus di rete.

Stateful Inspection

Il firewall è di tipo "stateful inspection", monitora cioè tutte le connessioni al computerclient e archivia tutti gli stati di connessione. È in grado di identificare condizionispecifiche in ogni connessione, prevedere quali azioni seguiranno e individuare leinterruzioni in una connessione normale. L'uso efficace del firewall, quindi, non sono


5-11

implica la creazione di profili e criteri, ma anche l'analisi delle connessioni e il filtro deipacchetti che passano attraverso il firewall.

Driver comune firewall

Il driver comune per firewall, in combinazione con le impostazioni definite dall'utentedel firewall, blocca le porte durante un'infezione. Il driver comune per firewall utilizza ilfile dei pattern dei virus di rete per ricercare i virus di rete.

Configurazione del firewallConfigurare il firewall per In ufficio/Fuori ufficio. Se l'opzione Location Awareness èdisattivata, verranno utilizzate le impostazioni In ufficio per le connessioni Fuori ufficio.Per ulteriori dettagli su Location Awareness, vedere Configurazioni delle impostazioni didesktop/server a pagina 11-5.

Trend Micro disabilita il firewall per impostazione predefinita.

Procedura





4. Fare clic su Firewall > In ufficio o Firewall > Fuori ufficio.


5. Selezionare Attiva firewall.

6. Selezionare quanto segue:

• Modalità semplice: Attiva il firewall con le impostazioni predefinite. Per idettagli, consultare Impostazioni predefinite del firewall in modalità semplice a pagina5-9.

• Modalità avanzata: Abilita il firewall con le impostazioni personalizzate.


5-12

7. Se viene selezionata la Modalità avanzata, aggiornare le seguenti opzioni aseconda delle esigenze:

• Livello sicurezza: Il livello di sicurezza controlla le regole del traffico daimplementare per le porte che non sono incluse nell'elenco delle eccezioni.

• Alto: Blocca tutto il traffico in entrata e in uscita, ad eccezione di quelloconsentito nell'elenco delle eccezioni.

• Medio: Blocca tutto il traffico in entrata e consente tutto il traffico inuscita, ad eccezione di quello consentito e bloccato nell'elenco delleeccezioni.

• Basso: Consente tutto il traffico in entrata e in uscita, ad eccezione diquello bloccato nell'elenco delle eccezioni. Questa è l'impostazionepredefinita per la modalità minima.

• Impostazioni

• Attiva sistema di rilevamento anti-intrusione: Il sistema dirilevamento anti-intrusione consente di identificare i pattern nei pacchettidi rete che possono indicare un attacco sul computer. Vedere Sistema dirilevamento anti-intrusione a pagina D-4.

• Attiva messaggi avviso: Quando WFBS rileva una violazione, invia unanotifica al client.

• Eccezioni: Le porte nell'elenco delle eccezioni non vengono bloccate. VedereUtilizzo delle eccezioni Firewall a pagina 5-12.


Le modifiche hanno effetto immediato.

Utilizzo delle eccezioni FirewallL'elenco delle eccezioni del firewall contiene voci che possono essere configurate perconsentire il blocco di vari tipi di traffico di rete in base ai numeri di porta dei client eagli indirizzi IP. Durante un'infezione, il Security Server applica le eccezioni ai criteri diTrend Micro che vengono automaticamente implementati per proteggere la rete.


5-13

Ad esempio, durante un’infezione è possibile scegliere di bloccare tutto il traffico deiclient, inclusa la porta HTTP (porta 80). Se tuttavia si desidera comunque concederel'accesso a Internet ai client bloccati, è possibile aggiungere il server proxy Web all'elencodelle eccezioni.

Procedura







5. Selezionare Attiva firewall.

6. Selezionare Modalità avanzata.

7. Per aggiungere un'eccezione:

a. Fare clic su Aggiungi.


b. Digitare un nome per l'eccezione.

c. Accanto a Operazione, fare clic su una delle seguenti opzioni:

• Consenti tutto traffico di rete

• Blocca tutto traffico di rete

d. Accanto a Direzione, fare clic su In entrata o In uscita per selezionare iltipo di traffico a cui applicare le impostazioni dell'eccezione.

e. Selezionare il tipo di protocollo di rete dall'elenco Protocollo.

• Tutti

• TCP/UDP (impostazione predefinita)


5-14

• TCP

• UDP

• ICMP

• ICMPv6

f. Fare clic su una delle seguenti opzioni per specificare le porte del client:

• Tutte le porte (impostazione predefinita)

• Intervallo: Immettere un intervallo di porte

• Porte specificate: Specificare le singole porte. Per separare i numeri diporta, utilizzare la virgola ",".

g. Nella sezione Computer, selezionare gli indirizzi IP dei client da includerenell'eccezione. Ad esempio, se si seleziona Blocca tutto il traffico di rete (Inentrata e In uscita) e si immette l'indirizzo IP di un singolo computer dellarete, qualsiasi client con questa eccezione tra i criteri non potrà inviare oricevere dati da quell'indirizzo IP. Fare clic su una delle opzioni riportate diseguito.

• Tutti gli indirizzi IP (impostazione predefinita)

• IP unico: Immettere un nome host o un indirizzo IPv4 o ICMPv6. Perrisolvere il nome host del client in un indirizzo IP, fare clic su Risolvi.

• Intervallo (per IPv4 o IPv6): Digitare due indirizzi IPv4 o due indirizziIPv6 nei campi Da e A. Non è possibile immettere un indirizzo IPv6 inun campo e un indirizzo IPv4 nell'altro.

• Intervallo IP (per IPv6): Immettere una lunghezza o un prefisso diindirizzo IPv6.

h. Fare clic su Salva.

8. Per modificare un'eccezione, fare clic su Modifica, quindi modificare leimpostazioni nella schermata visualizzata.

9. Per spostare un'eccezione in alto o in basso nell'elenco, selezionare l'eccezione,quindi fare clic su Sposta su o Sposta giù finché non raggiunge la posizionedesiderata.


5-15

10. Per rimuovere un'eccezione, selezionare l'eccezione e fare clic su Rimuovi.

Disattivazione del firewall su un gruppo di agent

Procedura







5. Selezionare Disattiva firewall.


Disattivazione del firewall su tutti gli agent

Procedura

1. Accedere a Preferenze > Impostazioni globali > scheda Desktop/Server.

2. In Impostazioni firewall, selezionare Disabilita firewall e disinstalla driver.


Reputazione WebReputazione Web contribuisce a impedire l'accesso a URL sul Web o incorporati inmessaggi e-mail che comportano rischi di sicurezza. Reputazione Web controlla la


5-16

reputazione dell'URL rispetto ai server di reputazione Web Trend Micro e quindi correlala reputazione con gli specifici criteri di reputazione Web attuati sul client. In base aicriteri in uso:

• Il Security Agent blocca o consente l'accesso al sito Web.

• Il Messaging Security Agent (solo Advanced) mette in quarantena, elimina ocontrassegna il messaggio e-mail che contiene l'URL dannoso oppure ne consentel'invio se gli URL sono sicuri.

Reputazione Web invia una notifica e-mail all'amministratore e una notifica onlineall'utente riguardante i rilevamenti.

Configurare un livello di sicurezza diverso per i Security Agent in base alla posizione delclient (In ufficio/Fuori ufficio).

Se la reputazione Web blocca un URL che invece è ritenuto sicuro, è possibileaggiungere l'URL all'elenco degli URL approvati.

SuggerimentoPer risparmiare ampiezza di banda della rete, Trend Micro consiglia di aggiungere i siti Webaziendali interni all'elenco degli URL approvati da reputazione Web.

Punteggio di reputazione

Il punteggio di reputazione di un URL indica se è presente una minaccia Web o meno.Trend Micro calcola il punteggio utilizzando delle tecniche di misurazione esclusive.

Trend Micro considera un URL una minaccia Web se il suo punteggio rientra in unasoglia definita e sicuro se il punteggio supera tale soglia.

Nei Security Agent esistono tre livelli di protezione che determinano se l'accesso a unURL va consentito o bloccato.

• Alto: Blocca pagine con indicazione:

• Pericoloso: È stata verificata la natura fraudolenta della pagina o si tratta diun'origine nota di minacce

• Altamente sospetto: Si sospetta la natura fraudolenta della pagina o si trattadi una possibile origine di minacce


5-17

• Sospetto: Associate a spam o probabilmente compromesse

• Non testato: Anche se Trend Micro verifica attivamente le pagine Web pergarantire la sicurezza, gli utenti possono trovare pagine non verificate quandovisitano pagine Web nuove o poco conosciute. Bloccando le pagine nonverificate si migliora la sicurezza, ma si impedisce anche l'accesso alle paginesicure.

• Medio: Blocca le pagine con indicazione:



• Basso: Blocca pagine con indicazione:


Configurazione della reputazione Web per Security AgentNel momento in cui viene effettuata una richiesta HTTP/HTTPS, il servizioReputazione Web valuta i potenziali rischi dell'URL in questione effettuando una ricercanel database di Trend Micro.

Nota(Solo standard) Configurare le impostazioni di Reputazione Web per In ufficio/Fuoriufficio. Se l'opzione Location Awareness è disattivata, verranno utilizzate le impostazioni Inufficio per le connessioni Fuori ufficio. Per ulteriori informazioni su Location Awareness,vedere Configurazioni delle impostazioni di desktop/server a pagina 11-5.

Procedura


2. Selezionare un gruppo desktop o server.



5-18


4. Fare clic su Reputazione Web > In ufficio o Reputazione Web > Fuoriufficio.


5. Aggiornare le informazioni riportate di seguito, in base alle necessità:

• Attiva Web Reputation

• Livello sicurezza: Alto, Medio o Basso

• URL approvati

• URL da approvare: Separare più URL con il punto e virgola (;). Fareclic su Aggiungi.

Nota

L'approvazione di un URL comporta l'approvazione di tutti i sottodominicorrispondenti.

Utilizzare i caratteri jolly con cautela in quanto possono approvare interigruppi di URL.

• Elenco URL approvati: Gli URL contenuti in questo elenco nonvengono bloccati. Per eliminare una voce, fare clic sull'icona del cestinocorrispondente.


Filtro URLIl filtro URL contribuisce a controllare l'accesso ai siti Web per ridurre i tempi diinattività dei dipendenti, limitare il consumo di ampiezza di banda Internet e creare unambiente Internet più sicuro. È possibile scegliere un livello di protezione del filtro URLoppure specificare quali tipi di siti Web tenere sotto controllo.


5-19

Configurazione del filtro URLÈ possibile selezionare tipi specifici di siti Web da bloccare nelle diverse ore del giornoselezionando Personalizzata.

Procedura





4. Fare clic su Filtro URL.



• Attiva Filtro URL

• Efficacia del filtro

• Alto: Blocca le minacce alla sicurezza conosciute o potenziali, ilcontenuto inappropriato o potenzialmente offensivo, il contenuto cheincide su produttività o ampiezza di banda e le pagine senzaclassificazione.

• Medio: Blocca le minacce alla sicurezza note e il contenutoinappropriato

• Basso: Blocca le minacce alla sicurezza note

• Personalizzato: Consente di selezionare categorie a piacimento e didecidere se bloccare tali categorie durante l'orario di lavoro o il tempolibero.

• Regole del filtro: Selezionare le categorie o sottocategorie da bloccare.

• Ore di lavoro: I giorni e le ore non specificate come Ore di lavoro sonoconsiderate Ore tempo libero.


5-20

• Filtro URL


• Elenco URL approvati: Gli URL contenuti in questo elenco nonvengono bloccati. Per eliminare una voce, fare clic sull'icona del cestinocorrispondente.

• URL da bloccare: Separare più URL con il punto e virgola (;). Fare clicsu Aggiungi.

• Elenco URL bloccati: Gli URL contenuti in questo elenco vengonobloccati. Per eliminare una voce, fare clic sull'icona del cestinocorrispondente.

NotaUtilizzare i caratteri jolly con cautela in quanto possono consentire o bloccareinteri gruppi di URL.

L'approvazione o il blocco di un URL comporta l'approvazione o il blocco ditutti i sottodomini corrispondenti.

L'elenco degli URL approvati ha la precedenza sull'elenco degli URL bloccati.Quando un URL corrisponde a una voce nell'elenco degli URL approvati,questo viene automaticamente approvato e non viene verificata la sua presenzanell'elenco degli URL bloccati.


Monitoraggio del comportamentoI Security Agent controllano costantemente i client alla ricerca di modifiche insolite alsistema operativo o al software installato. Gli amministratori (o gli utenti) possonocreare degli elenchi di eccezioni per consentire a determinati programmi di funzionarepur effettuando una modifica monitorata o per bloccare completamente determinatiprogrammi. Inoltre, è sempre consentito l'avvio dei programmi con una firma digitalevalida.


5-21

Un'altra funzione di Monitoraggio del comportamento consiste nel proteggere i fileEXE e DLL da eventuale eliminazione o modifica. Gli utenti che dispongono di questoprivilegio possono proteggere le cartelle specifiche. Inoltre, gli utenti possono decideredi proteggere in modo unitario tutti i programmi Intuit QuickBooks.

Configurazione del monitoraggio del comportamento

Procedura





4. Fare clic su Monitoraggio del comportamento.



• Attiva monitoraggio del comportamento

Nota

Per consentire agli utenti di personalizzare le impostazioni di Monitoraggio delcomportamento, da Impostazioni di sicurezza > {gruppo} > Configura >Privilegi client > Monitoraggio del comportamento selezionare Consenteagli utenti di modificare le impostazioni di Monitoraggio delcomportamento.

• Attiva protezione Intuit QuickBooks: protegge tutti i file e le cartelle IntuitQuickBooks da modifiche non autorizzate effettuate da altri programmi.L'attivazione di questa caratteristica non influisce sulle modifiche effettuatedall'interno dei programmi Intuit QuickBooks, ma impedisce solamente lemodifiche effettuate da altre applicazioni non autorizzate.

Sono supportati i seguenti prodotti:


5-22

• QuickBooks Simple Start

• QuickBooks Pro

• QuickBooks Premier

• QuickBooks Online

Nota

Tutti i file eseguibili Intuit dispongono di una firma digitale e gli aggiornamentia questi file non vengono bloccati. Se sono presenti altri programmi che tentanodi modificare il file binario Intuit, l'agent visualizza un messaggio con il nomedel programma che sta tentando di aggiornare i file binari. È possibileconsentire ad altri programmi di aggiornare i file Intuit. A tal fine, aggiungere ilprogramma desiderato all'Elenco eccezioni Monitoraggio del comportamentodell'agent. Rimuovere il programma dall'elenco eccezioni una volta completatol'aggiornamento.

• Attiva Blocco del comportamento minacce informatiche: Gruppo ditecnologie basate su serie di regole che tentano di identificare determinaticomportamenti sospetti, comuni tra i malware o falsi anti-virus. Esempi di talicomportamenti sono l'esecuzione improvvisa e inaspettata di nuovi servizi,modifiche al firewall, modifiche ai file di sistema, ecc.

• Eccezioni: Le eccezioni includono l'Elenco Programmi approvati e l'ElencoProgrammi bloccati. I programmi nell'Elenco Programmi approvati possonoessere avviati anche se tale operazione viola una modifica monitorata, mentre iprogrammi nell'Elenco Programmi bloccati non possono mai essere avviati.

• Inserire percorso completo del programma: Digitare il percorsocompleto UNC o Windows del programma. Separare più voci con puntoe virgola (;). Fare clic su Aggiungi all'elenco Approvati o Aggiungiall'elenco Approvati. Se necessario, utilizzare le variabili ambientali perspecificare i percorsi.

VARIABILE AMBIENTALE CARTELLA INDICATA

$windir$ Cartella Windows

$rootdir$ cartella principale


5-23

VARIABILE AMBIENTALE CARTELLA INDICATA

$tempdir$ Cartella Temp di Windows

$programdir$ Cartella Programmi

• Elenco Programmi approvati: I programmi (fino a un massimo di 100)in questo elenco possono essere avviati. Fare clic sull'iconacorrispondente per eliminare una voce

• Elenco Programmi bloccati: I programmi (fino a un massimo di 100)in questo elenco non possono essere avviati. Fare clic sull'iconacorrispondente per eliminare una voce


Programmi affidabiliI programmi inclusi nell'elenco Programmi affidabili non vengono sottoposti amonitoraggio per attività di accesso ai file sospette.

Configurazione di un programma affidabile

Procedura





4. Fare clic su Programmi affidabili.



5-24

5. Per escludere un programma dal monitoraggio di attività di accesso ai file sospette,digitare il percorso di file completo e fare clic su Aggiungi all'elenco Programmiaffidabili.

<nome_unità>:/<percorso>/<nome_file>

Esempio 1: C:\Windows\system32\regedit.exe

Esempio 2: D:\backup\tool.exe

Questa impostazione impedisce agli hacker di utilizzare nomi di programmiriportati nell'elenco delle esclusioni, ma rilasciati in un percorso di file differenteper l'esecuzione.


Controllo dispositivoControllo dispositivo gestisce l'accesso ai dispositivi di archiviazione esterni e alle risorsedi rete collegate ai client.

Configurazione del controllo dispositivo

Procedura





4. Fare clic su Controllo dispositivo.




5-25

• Attiva controllo dispositivo

• Attiva prevenzione automatica USB

• Autorizzazioni: impostare per i dispositivi USB e le risorse di rete.

TABELLA 5-7. Autorizzazioni controllo dispositivo

AUTORIZZAZIONI FILE NEL DISPOSITIVO FILE IN ENTRATA

Accessocompleto

Operazioni consentite:Copia, Sposta, Apri, Salva,Elimina, Esegui

Operazioni consentite:salvataggio, spostamento,copia

Ciò significa che un file puòessere salvato, spostato ecopiato nel dispositivo.

Modifica Operazioni consentite:Copia, Sposta, Apri, Salva,Elimina

Operazioni non consentite:Esegui

Operazioni consentite:salvataggio, spostamento,copia

Lettura edesecuzione

Operazioni consentite:Copia, Apri, Esegui

Operazioni non consentite:Salva, Sposta, Elimina

Operazioni non consentite:salvataggio, spostamento,copia

Lettura Operazioni consentite:Copia, Apri

Operazioni non consentite:Salva, Sposta, Elimina,Esegui


Nessunaccesso

Operazioni non consentite:tutte le operazioni

Il dispositivo e i file checontiene sono visibiliall'utente (ad esempio, daEsplora risorse diWindows).



5-26

• Eccezioni: Se un utente non ha l'autorizzazione per leggere un determinatodispositivo, potrà comunque eseguire o aprire qualsiasi file o programmadell'Elenco Approvati.

Tuttavia, se l'opzione Prevenzione esecuzione automatica è attivata, anche seun file è incluso nell'Elenco Approvati, non sarà comunque possibileeseguirlo.

Per aggiungere un'eccezione all'Elenco Approvati, immettere il nome del file eil percorso o la firma digitale e fare clic su Aggiungi all'elenco Approvati.


Strumenti utente• Wi-Fi Advisor: Determina la sicurezza di una connessione wireless verificando

l'autenticità dei punti di accesso in base alla validità dei rispettivi SSID, a metodi diautenticazione e requisiti di crittografia. Un avviso a comparsa mostrerà se laconnessione non è sicura.

• Barra degli strumenti Anti-Spam: Filtra i messaggi di spam in MicrosoftOutlook, fornisce statistiche e permette di modificare determinate impostazioni.

• Case Diagnostic Tool: quando si verifica un problema, Trend Micro CaseDiagnostic Tool (CDT) raccoglie le informazioni di debugging necessarie dalprodotto del cliente. Attiva e disattiva automaticamente lo stato di debug delprodotto e raccoglie i file necessari a seconda della categoria del problema. Questeinformazioni vengono utilizzate da Trend Micro per risolvere i problemi legati alprodotto.

Tale strumento è disponibile solo sulla console del Security Agent.

Configurazione degli strumenti dell'utente

Procedura



5-27




4. Fare clic su Strumenti utente.



• Attiva Wi-Fi Advisor: Controlla la protezione delle reti wireless sulla basedella validità dei loro SSID, dei metodi di autenticazione e dei requisiti dicrittografia.

• Consenti di attivare la barra degli strumenti Anti-Spam nei client diposta supportati


Privilegi clientConcedere i privilegi client per consentire agli utenti di modificare le impostazioni delSecurity Agent sul client.

Suggerimento

Per implementare un criterio di protezione regolamentato in tutta l'organizzazione, TrendMicro consiglia di assegnare agli utenti dei privilegi limitati. Questo consente di impedireagli utenti di modificare le impostazioni di scansione o scaricare il Security Agent.

Configurazione dei privilegi client

Procedura



5-28




4. Fare clic su Privilegi client.



SEZIONE PRIVILEGI

Antivirus/Anti-spyware

• Impostazioni scansione manuale

• Impostazioni scansione pianificata

• Impostazioni scansione in tempo reale

• Salta scansione pianificata

Firewall Impostazioni firewall

Web Reputation -Continuanavigazione

Viene visualizzato un collegamento che consente agli utenti dicontinuare la navigazione in un determinato URL dannosofino al riavvio del computer. Vengono comunque visualizzatigli avvisi relativi agli altri URL dannosi.

Filtro URL -Continuanavigazione

Viene visualizzato un collegamento che consente agli utenti dicontinuare la navigazione in un determinato URL conlimitazioni fino al riavvio del computer. Vengono comunquevisualizzati gli avvisi relativi agli altri URL con limitazioni.


Consente agli utenti di modificare le impostazioni diMonitoraggio del comportamento.

Programmiaffidabili

Consente agli utenti di modificare l'elenco Programmiaffidabili.


5-29

SEZIONE PRIVILEGI

Impostazioni proxy Consenti di configurare le impostazioni proxy.

NotaSe si disattiva questa funzione, vengono reimpostate leimpostazioni proxy predefinite.

Privilegi diaggiornamento

• Consenti agli utenti di eseguire aggiornamenti manuali

• Usa Trend Micro ActiveUpdate come origine diaggiornamento secondaria

• Disattiva implementazione hotfix

NotaL'implementazione di hotfix, patch, patch per lasicurezza/critiche e service pack su un grandenumero di agent contemporaneamente incrementasignificativamente il traffico di rete. Prendere inconsiderazione l'attivazione di questa opzione sudiversi gruppi, per scaglionare l'implementazione.

L'attivazione di questa opzione disattiva anche gliaggiornamenti build automatici sugli agent (adesempio, dalla build Beta alla build della versionedi prodotto corrente), ma non gli aggiornamentiversione automatici (ad esempio, dalla versione7.x alla versione corrente). Per disattivare gliaggiornamenti di versione automatici, eseguire ilpacchetto di installazione di Security Server escegliere l'opzione relativa al ritardo degliaggiornamenti.

Protezione client Consente di impedire agli utenti o ad altri processi la modificadei file di programma, i registri e i processi di Trend Micro.



5-30

Directory di quarantenaSe l'azione per un file infetto è "Quarantena", il Security Agent codifica il file e lo spostatemporaneamente in una cartella di quarantena:

• <Cartella di installazione Security Agent>\quarantine per gliagent aggiornati dalla versione 6.x o precedenti

• <Cartella di installazione Security Agent>\SUSPECT\Backup pergli agent appena installati e quelli aggiornati dalla versione 7.x o successive

Il Security Agent invia il file infetto a una directory centralizzata di quarantena,configurabile dalla console Web in Impostazioni di sicurezza > {Gruppo} >Configura > Quarantena.

Directory di quarantena centralizzata predefinita

La directory di quarantena centralizzata predefinita si trova sul Security Server. Ladirectory è in formato URL e contiene il nome host del server o l'indirizzo IP delSecurity Server, in formato http://server. Il percorso assoluto equivalente è<Cartella di installazione Security Server>\PCCSRV\Virus.

• Se il server gestisce agent IPv4 e IPv6, usare il nome host in modo che tutti i clientpossano inviare file in quarantena al server.

• Se il server dispone solo di un indirizzo IPv4 (o è identificato con tale indirizzo),solo gli agent IPv4 puri e dual-stack possono inviare file in quarantena al server.

• Se il server dispone solo di un indirizzo IPv6 (o è identificato con tale indirizzo),solo gli agent IPv6 puri e dual-stack possono inviare file in quarantena al server.

Directory di quarantena centralizzata alternativa

È possibile specificare una directory di quarantena centralizzata alternativa immettendoil percorso in formato URL o UNC o un percorso assoluto. I Security Agent devonoessere in grado di connettersi a questa directory. Ad esempio, la directory deve avere unindirizzo IPv6 se riceverà file in quarantena da client dual-stack e IPv6 puri. TrendMicro consiglia di designare una directory dual-stack, identificando la directory con ilcorrispondente nome host e specificando la directory con un percorso UNC.


5-31

Linee guida per specificare la directory di quarantena centralizzata

Utilizzare la tabella riportata di seguito come riferimento su quando utilizzare URL,percorso UNC o percorso di file assoluto:

TABELLA 5-8. Directory di quarantena

DIRECTORY DIQUARANTENA

FORMATOACCETTATO

ESEMPIO NOTE

Directorypredefinita sulSecurity Server

URL http:// <nomehost o IP delserver>

Se si mantiene la directorypredefinita, configurare leimpostazioni di manutenzione perla directory, come le dimensionedella cartella di quarantena adesempio, in Preferenze >Impostazioni > scheda Sistema> sezione Manutenzione dellaquarantena.

PercorsoUNC

\\<nome host oIP del server>\ofcscan\Virus

Un'altra directorysul SecurityServer

PercorsoUNC

\\<nome host oIP del server>\D$\QuarantinedFiles

Per non utilizzare la directorypredefinita (ad esempio in caso dispazio su disco insufficiente),immettere il percorso UNC versoun'altra directory. In tal caso,inserire il percorso assolutoequivalente in Preferenze >Impostazioni globali > schedaSistema > sezioneManutenzione della quarantenaper consentire l'applicazione delleimpostazioni di manutenzione.


5-32

DIRECTORY DIQUARANTENA

FORMATOACCETTATO

ESEMPIO NOTE

Una directory suun altro SecurityServer (se sonopresenti altriSecurity Servernella rete)

URL http:// <nomehost o IP delserver2>

Accertarsi che gli agent siano ingrado di connettersi a questadirectory. Se si specifica unadirectory non valida, l'agentconserva i file di quarantena finoa quando non viene specificatauna directory di quarantenavalida. Nei registri di virus eminacce informatiche sul server, ilrisultato della scansione è"Impossibile inviare il file damettere in quarantena alla cartellain quarantena specificata".

Se si utilizza il percorso UNC,assicurarsi che la directory diquarantena sia condivisa per ilgruppo "Tutti" e che tutti i membridel gruppo abbiano i permessi dilettura e scrittura.

PercorsoUNC

\\<nome host oIP del server2>\ofcscan\Virus

Un altrocomputer dellarete

PercorsoUNC

\\<nome_computer>\temp

Una directory sulclient diversa

Percorsoassoluto

C:\temp Specificare un percorso assolutose:

• I file in quarantena devonotrovarsi solo sul client.

• Gli agent non devonoarchiviare i file nella directorypredefinita nel client.

Se il percorso non esiste, ilSecurity Agent lo creaautomaticamente.

Configurazione della directory di quarantena

Procedura



5-33




4. Fare clic su Quarantena.


5. Configurare la directory di quarantena. Per i dettagli, consultare Directory diquarantena a pagina 5-30.


6-1

Capitolo 6

Gestione delle Impostazioni disicurezza di base per i MessagingSecurity Agent (solo Advanced)

In questo capitolo viene illustrato il Messaging Security Agent e viene descritto comeimpostare le opzioni di scansione in tempo reale, configurare le impostazioni anti-spam,il filtro dei contenuti, il blocco degli allegati e le opzioni di gestione della quarantena perl'agent.


6-2

Messaging Security AgentI Messaging Security Agent proteggono i server Microsoft Exchange. L'agent consentedi evitare l'attacco delle minacce trasmesse tramite e-mail grazie alla scansione deimessaggi in entrata e in uscita dall'Archivio cassette postali di Microsoft Exchange e deimessaggi che transitano tra il server Microsoft Exchange e le destinazioni esterne.Inoltre, Messaging Security Agent è in grado di:

• Ridurre lo spam

• Bloccare i messaggi e-mail in base al contenuto

• Bloccare o limitare i messaggi e-mail con allegati

• Rilevare URL dannosi nei messaggi e-mail

• Impedire la perdita di dati confidenziali

Informazioni importanti sui Messaging Security Agent

• I moduli Messaging Security Agent possono essere installi solo sui server MicrosoftExchange.

• La Struttura dei gruppi di protezione nella console Web visualizza tutti i MessagingSecurity Agent. Non è possibile combinare più Messaging Security Agent in ungruppo. Ogni Messaging Security Agent deve essere amministrato e gestitoindividualmente.

• WFBS utilizza il Messaging Security Agent per raccogliere informazioni dai serverMicrosoft Exchange. Ad esempio, il Messaging Security Agent segnala i rilevamentidello spam o il completamento degli aggiornamenti dei componenti al SecurityServer. Queste informazioni vengono visualizzate nella console Web. Il SecurityServer utilizza anche queste informazioni per generare i registri e i rapporti circa lostato della sicurezza nei server Microsoft Exchange.

Ogni minaccia rilevata genera una voce di registro/notifica. Di conseguenza, seMessaging Security Agent rileva varie minacce in un unico messaggio e-mail,vengono generate più voci di registro e notifiche. Può accadere che una stessaminaccia venga rilevata varie volte, specialmente se si utilizza la modalità cache diOutlook 2003. Quando la modalità cache è attivata, la stessa minaccia può essere

Gestione delle Impostazioni di sicurezza di base per i Messaging Security Agent (solo

Advanced)

6-3

rilevata sia nella cartella di coda del trasferimento che nella cartella della postainviata o della posta in uscita.

• Nei computer sui quali è in esecuzione Microsoft Exchange Server 2007, ilMessaging Security Agent utilizza un database SQL Server. Per evitare eventualiproblemi, i servizi del Messaging Security Agent sono pensati per essere dipendentidall'istanza di servizio SQL Server MSSQL$SCANMAIL. Ogni volta che questaistanza viene arrestata o riavviata, anche i seguenti servizi del Messaging SecurityAgent vengono arrestati:

• ScanMail_Master

• ScanMail_RemoteConfig

Riavviare manualmente questi servizi se MSSQL$SCANMAIL viene arrestato oriavviato. Esistono diversi eventi, tra cui l'aggiornamento dell'SQL Server, chepossono causare l'arresto o il riavvio di MSSQL$SCANMAIL.

Scansione dei messaggi e-mail da parte di MessagingSecurity Agent

Il Messaging Security Agent si avvale della sequenza riportata di seguito per sottoporre ascansione i messaggi e-mail:

1. Esamina la presenza di spam (anti-spam)

a. Confronta il messaggio e-mail con l'elenco di mittenti approvati/bloccatidefinito dall'amministratore

b. Verifica la presenza di eventi di phishing

c. Confronta il messaggio e-mail con l'elenco delle eccezioni fornito da TrendMicro

d. Confronta il messaggio e-mail con il database di definizioni di spam

e. Applica le regole della scansione euristica

2. Verifica la presenza di violazioni alle regole di filtro dei contenuti

3. Sottopone a scansione gli allegati che superano i parametri definiti dall'utente


6-4

4. Verifica la presenza di virus/minacce informatiche (antivirus)

5. Scansione di URL dannosi

Impostazioni predefinite di Messaging Security Agent

Valutare le opzioni elencate nella tabella come supporto per ottimizzare leconfigurazioni di Messaging Security Agent.

TABELLA 6-1. Le azioni predefinite di Trend Micro per Messaging Security Agent

OPZIONI DI SCANSIONE SCANSIONE IN TEMPO REALESCANSIONE MANUALE E

PIANIFICATA

Anti-spam

Spam Mettere in quarantena imessaggi nella cartella dispam dell'utente (questa èl'impostazione predefinita,se Outlook Junk Email oEnd User Quarantine sonoinstallati)

Non pertinente

Phishing Elimina intero messaggio Non pertinente

Filtro dei contenuti

Filtra messaggi chesoddisfano qualsiasicondizione definita

Metti in quarantena interomessaggio

Sostituisci

Filtra messaggi chesoddisfano tutte lecondizioni definite


Non pertinente

Monitora il contenuto deimessaggi di particolariaccount e-mail.


Sostituisci

Crea un'eccezione perparticolari account e-mail

Ignora Ignora


Advanced)

6-5

OPZIONI DI SCANSIONE SCANSIONE IN TEMPO REALESCANSIONE MANUALE E

PIANIFICATA

Blocco allegati

Operazione Sostituisci allegato contesto/file

Sostituisci allegato contesto/file

Altro

File crittografati e protetti dapassword

Ignora (quando si impostal'azione su Ignora, i filecrittografati e i file protettida password vengonoignorati e l'evento non vieneregistrato)

Ignora (quando si impostal'azione su Ignora, i filecrittografati e i file protettida password vengonoignorati e l'evento non vieneregistrato)

File esclusi (file oltre lelimitazioni di scansionespecificate)

Ignora (quando si impostal'azione su Ignora, i file o iltesto dei messaggi per cuivalgono le restrizioni discansione specificatevengono ignorati e l'eventonon viene registrato)

Ignora (quando si impostal'azione su Ignora, i file o iltesto dei messaggi per cuivalgono le restrizioni discansione specificatevengono ignorati e l'eventonon viene registrato)

Configurazione della scansione in tempo realeper i Messaging Security Agent

La scansione in tempo reale è una scansione continua e costante. La scansione in temporeale nel Messaging Security Agent (solo Advanced) protegge tutti i possibili punti diingresso di virus effettuando la scansione in tempo reale di tutti i messaggi in entrata,messaggi SMTP, documenti pubblicati su cartelle pubbliche e file replicati da altri serverMicrosoft Exchange.


6-6

Configurazione della scansione in tempo reale perMessaging Security Agent

Procedura





4. Fare clic su Antivirus.


5. Selezionare Attiva Antivirus in tempo reale.

6. Configurazione delle impostazioni di scansione. Per i dettagli, consultareDestinazioni di scansione e azioni per i Messaging Security Agent a pagina 7-18.


Configurare chi riceve le notifiche quando si verifica un evento. VedereConfigurazione degli eventi per le notifiche a pagina 9-3.

Anti-spamWFBS offre due sistemi per ostacolare lo spam: Email Reputation e Scansione deicontenuti.

Messaging Security Agent utilizza i seguenti componenti per filtrare i messaggi e-mail edevitare problemi legati a spam e phishing.

• Motore anti-spam Trend Micro (TMASE - Trend Micro Anti-Spam Engine)

• File di pattern anti-spam Trend Micro


Advanced)

6-7

Trend Micro aggiorna con frequenza il motore e il file di pattern e li rende disponibiliper lo scaricamento. Security Server può scaricare questi componenti con unaggiornamento manuale o pianificato.

Il motore anti-spam utilizza file di definizione anti-spam e regole euristiche per filtrare imessaggi e-mail. Esegue la scansione dei messaggi e assegna a ognuno un punteggio dispamming in base all'aderenza alle regole e ai pattern del file di pattern. MessagingSecurity Agent mette a confronto il punteggio di spamming con il livello di rilevamentodello spam definito dall'utente. Quando il punteggio di spamming supera il livello dirilevamento, l'agent interviene contro lo spam.

Ad esempio: gli spammer utilizzano nei loro messaggi e-mail una gran quantità di puntiesclamativi o più punti esclamativi uno di seguito all'altro (!!!!). Quando MessagingSecurity Agent rileva un messaggio che contiene punti esclamativi utilizzati in questitermini, aumenta il punteggio di spamming del messaggio e-mail.

SuggerimentoOltre a utilizzare Anti-spam per eliminare lo spam, è possibile configurare il filtro delcontenuto in modo che controlli l'intestazione, l'oggetto, il corpo e gli allegati ed escluda lospam e altri contenuti indesiderati.

Gli utenti non possono modificare il metodo utilizzato dal motore anti-spam perl'assegnazione dei punteggi, ma possono regolare i livelli di rilevamento utilizzati daMessaging Security Agent per separare la posta dallo spam.

NotaMicrosoft Outlook può filtrare automaticamente e inviare i messaggi che il MessagingSecurity Agent considera spam alla cartella della posta indesiderata.

Servizi Email ReputationLa tecnologia Email Reputation identifica lo spam in base alla reputazione del MailTransport Agent (MTA) di origine. In questo modo si riduce il carico di lavoro sulSecurity Server. Con la funzione Email Reputation attivata, tutto il traffico SMTP vienecontrollato dai database IP per verificare se l'indirizzo IP di origine è affidabile, se èstato inserito in una blacklist o se è un vettore di spam noto.


6-8

Email Reputation offre i due livelli di servizio, ovvero:

• Standard: Il servizio standard si affida a un database in grado di identificare lareputazione di circa due miliardi di indirizzi IP. Gli indirizzi IP che vengonocostantemente associati alla diffusione di messaggi di spam vengono aggiunti a undatabase e solo raramente rimossi.

• Avanzato: Il livello di servizio avanzato offre un servizio DNS basato su querycome il servizio standard. La base di questo servizio è il database di reputazionestandard, unitamente al database di reputazione dinamico in tempo reale che bloccai messaggi provenienti da fonti note e sospette di spam.

Quando viene individuato un messaggio e-mail proveniente da un indirizzo IP bloccatoo sospetto, Email Reputation blocca il messaggio prima che questo raggiunga il gateway.

Configurazione di Email Reputation

Configurare l'opzione Email Reputation per bloccare i messaggi da origini di spam noteo sospette. Creare inoltre esclusioni per consentire o bloccare i messaggi provenienti daaltri mittenti.

Procedura





4. Fare clic su Anti-spam > Email Reputation.


5. Dalla scheda Destinazione, aggiornare i seguenti campi secondo le esigenze:

• Attiva anti-spam in tempo reale (Email Reputation)

• Livello del servizio:

• Standard


Advanced)

6-9

• Avanzata

• Indirizzi IP approvati: I messaggi e-mail provenienti da questi indirizzi IPnon vengono mai bloccati. Immettere l'indirizzo IP da approvare e fare clic suAggiungi. Se necessario, è possibile importare un elenco di indirizzi IP da unfile di testo. Per rimuovere un indirizzo IP, selezionare l'indirizzo e fare clic suRimuovi.

• Indirizzi IP bloccati: I messaggi e-mail provenienti da questi indirizzi IPvengono sempre bloccati. Immettere l'indirizzo IP da bloccare e fare clic suAggiungi. Se necessario, è possibile importare un elenco di indirizzi IP da unfile di testo. Per rimuovere un indirizzo IP, selezionare l'indirizzo e fare clic suRimuovi.


7. Visitare: http://ers.trendmicro.com/ per visualizzare i rapporti.

Nota

Email Reputation è un servizio basato sul Web. Gli amministratori possonoconfigurare il livello del servizio unicamente dalla console Web.

Scansione dei contenuti

La scansione dei contenuti identifica lo spam in base al contenuto del messaggiopiuttosto che dall'IP di origine. Messaging Security Agent utilizza il motore anti-spam e ilfile dei pattern anti-spam di Trend Micro per escludere lo spam da ogni messaggio e-mail prima che venga inviato all'archivio di informazioni. Il server Microsoft Exchangenon elabora la posta rifiutata indesiderata, evitando che i messaggi raggiungano le casellepostali dell'utente.

Nota

Attenzione a non confondere Scansione dei contenuti (anti-spam basato su firme e regoleeuristiche) Filtro dei contenuti (scansione e blocco di messaggi e-mail sulla base di categoriedi parole chiave). Vedere Filtro dei contenuti a pagina 6-15.

http://ers.trendmicro.com/


6-10

Configurazione della scansione dei contenuti

Il Messaging Security Agent individua i messaggi di spam in tempo reale ed esegue leazioni necessarie per proteggere i server Microsoft Exchange.

Procedura





4. Fare clic su Anti-spam > Scansione dei contenuti.


5. Selezionare Attiva Anti-spam in tempo reale.

6. Selezionare la scheda Destinazione per specificare il metodo e la frequenza dirilevamento spam che il Messaging Security Agent deve utilizzare per l'eliminazionedello spam:

a. Selezionare il livello di rilevamento basso, medio o alto, dall'elenco dei livellidi rilevamento spam. Messaging Security Agent utilizza questo livello peresaminare tutti i messaggi.

• Alto: È il più rigoroso livello di rilevamento dello spam. MessagingSecurity Agent monitora tutti i messaggi e-mail alla ricerca di file o testosospetti, ma vi è un'alta probabilità che si verifichino falsi allarmi. I falsiallarmi riguardano i messaggi e-mail che Messaging Security Agent filtracome spam, mentre sono in realtà messaggi del tutto legittimi.

• Medio: Questa è l'impostazione predefinita e più sicura. MessagingSecurity Agent monitora i messaggi adottando un livello alto dirilevamento dello spam; presenta una moderata possibilità di falsi allarmi.

• Basso: È il livello meno rigoroso di rilevamento dello spam. MessagingSecurity Agent filtra solo i messaggi indesiderati più ovvi e diffusi, ma vi


Advanced)

6-11

è una scarsissima probabilità di falsi allarmi. Filtro in base al punteggio dispamming.

b. Per fare in modo che il Messaging Security Agent elimini i tentativi diphishing, fare clic su Rileva phishing. Per i dettagli, consultare Tentativi diphishing a pagina 1-13.

c. Aggiungere gli indirizzi all'elenco Mittenti approvati e Mittenti bloccati. Per idettagli, consultare Elenchi di mittenti approvati e bloccati a pagina 6-12.

• Mittenti approvati: I messaggi e-mail provenienti da questi indirizzi onomi di dominio non vengono mai bloccati. Immettere gli indirizzi e-mail o i nomi di dominio da approvare e fare clic su Aggiungi. Senecessario, è possibile importare un elenco di indirizzi o di nomi didominio da un file di testo. Per rimuovere indirizzi o nomi di dominio,selezionare l'indirizzo e fare clic su Rimuovi.

• Mittenti bloccati: I messaggi e-mail provenienti da questi indirizzi onomi di dominio vengono sempre bloccati. Immettere gli indirizzi e-mailo i nomi di dominio da bloccare e fare clic su Aggiungi. Se necessario, èpossibile importare un elenco di indirizzi o di nomi di dominio da un filedi testo. Per rimuovere indirizzi o nomi di dominio, selezionarel'indirizzo e fare clic su Rimuovi.

NotaL'amministratore Microsoft Exchange conserva un elenco Mittenti approvati/bloccati separato per il server Microsoft Exchange. Se un utente finale crea unmittente approvato, ma il mittente è inserito nell'elenco dei mittenti bloccatidell'amministratore, Messaging Security Agent rileva i messaggi provenienti dalmittente in questione ed esegue operazioni per bloccare questi messaggi.

7. Fare clic sulla scheda Operazione per impostare le operazioni che il MessagingSecurity Agent deve eseguire quando rileva un messaggio di spam o un tentativo diphishing.

NotaPer ulteriori informazioni sulle operazioni, vedere Destinazioni di scansione e azioni per iMessaging Security Agent a pagina 7-18.


6-12

Messaging Security Agent esegue una delle operazioni riportate di seguito in basealle singole configurazioni.

• Inserisci in quarantena il messaggio nella cartella di spam lato server

• Inserisci in quarantena il messaggio nella cartella di spam utente

NotaSe si sceglie questa operazione, configurare la End User Quarantine. Per idettagli, consultare Configurazione di Manutenzione spam a pagina 6-62.

• Elimina intero messaggio

• Contrassegna e recapita


Elenchi di mittenti approvati e bloccati

Un elenco di mittenti approvati è un elenco di indirizzi e-mail affidabili. Il MessagingSecurity Agent non filtra i messaggi provenienti da questi indirizzi alla ricerca di spam,salvo nel caso in cui sia attivata l’opzione Rileva tentativi di phishing. Se l’opzioneRileva tentativi di phishing è stata abilitata e l'agent rileva un problema legato alphishing in un messaggio e-mail, il messaggio non viene consegnato anche se appartienea un elenco dei mittenti approvati. Un elenco di mittenti bloccati è un elenco di indirizzie-mail sospetti. L'agent classifica sempre i messaggi e-mail provenienti dai destinataribloccati come spam e interviene di conseguenza.

Esistono due elenchi di mittenti approvati: uno per l'amministratore di MicrosoftExchange e uno per gli utenti finali.

• L'elenco dei mittenti approvati e bloccati dell'amministratore di MicrosoftExchange (schermata Anti-spam) consente di controllare la modalità con cuiMessaging Security Agent tratta i messaggi e-mail destinati al server MicrosoftExchange.

• L'utente finale gestisce la Cartella di spam appositamente creata durantel'installazione. Gli elenchi degli utenti finali influenzano soltanto i messaggidestinati all'archivio della casella di posta lato server di ogni singolo utente finale.


Advanced)

6-13

Linee guida generali

• Gli elenchi dei mittenti approvati e bloccati su un server Microsoft Exchangeprevalgono sugli elenchi di mittenti approvati e bloccati su un client. Ad esempio, ilmittente [email protected] è incluso nell'elenco dei mittenti bloccatidell'amministratore, ma l'utente finale ha aggiunto l'indirizzo al suo elenco deimittenti approvati. I messaggi inviati da questo mittente arrivano nell'archivio delserver Microsoft Exchange e Messaging Security Agent li contrassegna come spamed esegue operazioni per bloccarli. Se l'agent esegue l'azione Mettere in quarantenai messaggi nella cartella di spam utente, cercherà di consegnare il messaggio nellacartella dello spam dell'utente finale, ma il messaggio verrà invece reindirizzato allacasella della posta in arrivo dell'utente finale poiché l'utente ha approvato ilmittente.

• Se si utilizza Outlook, esiste un limite in termini di dimensione per quanto riguardala quantità e la dimensione degli indirizzi dell'elenco. Per evitare errori di sistema,Messaging Security Agent limita la quantità di indirizzi che un utente finale puòincludere nell’elenco dei mittenti approvati (questo limite viene calcolato in basealla lunghezza e al numero di indirizzi e-mail).

Corrispondenza con caratteri jolly

Per quanto riguarda gli elenchi di mittenti approvati e mittenti bloccati, MessagingSecurity Agent supporta la corrispondenza con caratteri jolly. Il carattere utilizzato èl'asterisco (*).

Messaging Security Agent non supporta la corrispondenza con caratteri jolly nella partedel nome utente. Tuttavia, se si digita un pattern come “*@trend.com”, l'agent loconsidera sempre come “@trend.com”.

È possibile utilizzare un carattere jolly solo se è:

• Accanto a un solo punto e al primo o ultimo carattere di una stringa

• A sinistra di un simbolo @ e come primo carattere della stringa

• Qualsiasi sezione mancante all'inizio o alla fine di una stringa, che ha la stessafunzione di un carattere jolly


6-14

TABELLA 6-2. Indirizzi e-mail corrispondenti ai caratteri jolly

PATTERN ESEMPI CORRISPONDENTI ESEMPI NON CORRISPONDENTI

[email protected] [email protected] Qualsiasi indirizzo diversodal modello

@esempio.com

*@esempio.com

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

esempio.com [email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

*.esempio.com [email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

esempio.com.* [email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

*.esempio.com.* [email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]


Advanced)

6-15

PATTERN ESEMPI CORRISPONDENTI ESEMPI NON CORRISPONDENTI

*.*.*.esempio.com

*****.esempio.com

Corrisponde a "*.esempio.com"

*esempio.com

esempio.com

esempio.*.com

@*.esempio.com

Modelli non validi

Filtro dei contenutiIl filtro dei contenuti esamina i messaggi e-mail in entrata e in uscita sulla base delleregole definite dall'utente. Ogni regola contiene un elenco di parole chiave e di frasi. Ilfiltro del contenuto prende in considerazione l'intestazione e/o il contenuto deimessaggi confrontando il messaggio con l'elenco di parole chiave. Quando il filtro delcontenuto individua una parola che corrisponde a una parola chiave, può eseguireoperazioni affinché il contenuto indesiderato non venga consegnato ai client MicrosoftExchange. Messaging Security Agent invia notifiche ogniqualvolta prende provvedimenticontro contenuti indesiderati.

NotaAttenzione a non confondere Scansione dei contenuti (anti-spam basato su firme e regoleeuristiche) Filtro dei contenuti (scansione e blocco di messaggi e-mail sulla base di categoriedi parole chiave). Vedere Scansione dei contenuti a pagina 6-9.

Il filtro dei contenuti consente all'amministratore di valutare e controllare la consegnadei messaggi e-mail sulla base del testo del messaggio stesso. Può essere utilizzato permonitorare i messaggi in entrata e in uscita e per controllare la presenza di contenutomolesto, offensivo o in qualche modo riprovevole. Il filtro dei contenuti fornisce inoltreuna funzione di verifica dei sinonimi che consente di estendere la portata dei criteriadottati. Ad esempio, è possibile creare regole per il controllo degli aspetti riportati diseguito.

• Linguaggio contenente delle molestie di natura sessuale


6-16

• Linguaggio con contenuti razzisti

• Spam incorporato nel corpo di un messaggio e-mail

Nota

Per impostazione predefinita, il filtro del contenuto non è attivato.

Gestione delle regole del filtro dei contenuti

Le regole dei filtri dei contenuti del Messaging Security Agent sono visualizzate nellaschermata Filtro dei contenuti. Accedere a questa schermata da:

• Per Scansione in tempo reale:

Impostazioni di sicurezza > {Messaging Security Agent} > Configura >Filtro dei contenuti

• Per la Scansione manuale:

Scansioni > Manuale > {espandere il Messaging Security Agent} > Filtro deicontenuti

• Per la Scansione pianificata:

Scansioni > Pianificazione > {espandere il Messaging Security Agent} >Filtro dei contenuti

Procedura

1. In questa schermata sono visualizzate informazioni riassuntive riguardanti le regole,fra cui:

• Regola: WFBS è dotato di regole predefinite che filtrano i contenuti secondole seguenti categorie: volgarità, discriminazione razziale, discriminazionesessuale, truffe e catene di Sant'Antonio. Le regole sono disattivate perimpostazione predefinita. È possibile modificare queste regole secondospecifici requisiti oppure eliminarle. Se nessuna di queste regole soddisfa irequisiti, l'utente può aggiungere le proprie.


Advanced)

6-17

• Azione: Il Messaging Security Agent esegue questa operazione quando rilevacontenuti indesiderati.

• Priorità: Il Messaging Security Agent applica ogni filtro in sequenza in baseall'ordine visualizzato in questa schermata.

• Attivato: Un'icona verde indica una regola attiva, mentre un'icona rossa indicaun'icona disattivata.

2. Eseguire le operazioni riportate di seguito:

OPERAZIONE PASSAGGI

Attivare/Disattivarele regole di filtrodei contenuti

Selezionare o annullare la selezione di Attiva filtro deicontenuti in tempo reale nella parte superiore dellaschermata.

Aggiungere unaregola

Fare clic su Aggiungi.

Si apre una nuova schermata dove è possibile scegliere il tipodi regola da aggiungere. Per i dettagli, vedere Tipi di regole difiltro dei contenuti a pagina 6-20.


6-18

OPERAZIONE PASSAGGI

Modificare unaregola

a. Fare clic sul nome della regola.


b. Le opzioni disponibili nella schermata dipendono dal tipodi regola. Per determinare il tipo di regola, controllare ilpercorso di navigazione nella parte superiore dellaschermata e osservare il secondo elemento nel percorsodi navigazione. Ad esempio:

Filtro dei contenuti > Regola Soddisfa una qualsiasicondizione > Modifica regola

Per i dettagli sulle impostazioni di una regola modificabili,vedere uno dei seguenti argomenti:

• Aggiunta di una regola di filtro dei contenuti per lecondizioni di associazione a pagina 6-24

• Aggiunta di regole di filtro dei contenuti per tutte lecondizioni di associazione a pagina 6-21

NotaQuesto tipo di regola non è disponibile per lescansioni di filtraggio contenuti manuali epianificate.

• Aggiunta di una regola di monitoraggio del filtro deicontenuti a pagina 6-27

• Creazione di eccezioni alle regole per il filtro deicontenuti a pagina 6-30


Advanced)

6-19

OPERAZIONE PASSAGGI

Riordinare leregole

Il Messaging Security Agent applica le regole di filtro deicontenuti per i messaggi e-mail seguendo l'ordine dellaschermata Filtro dei contenuti. L'ordine con cui le regolevengono applicate viene configurato dall'utente. L'agent filtratutti i messaggi e-mail in base alle regole finché unaviolazione non attiva un'operazione che interrompe lascansione (ad esempio Elimina o Metti in quarantena). Èpossibile modificare l'ordine delle regole per ottimizzare il filtrodei contenuti.

a. Selezionare una casella di controllo che corrisponde allaregola di cui si vuole cambiare l'ordine.

b. Fare clic su Riordina.

Viene visualizzata una casella intorno al numero d'ordinedella regola.

c. Nella casella della colonna Priorità, eliminare il numerodi ordine esistente e immetterne uno nuovo.

NotaAccertarsi di immettere un numero non superioreal numero totale di regole nell'elenco. Se siimmette un numero superiore rispetto al numerototale di regole, WFBS ignora l'immissione e nonmodifica l'ordine della regola.

d. Fare clic su Salva riordino.

La regola sposta il livello di priorità immesso e tutti gli altrinumeri di ordine delle regole cambiano di conseguenza.

Se si seleziona la regola numero 5 e la si cambia inregola numero 3, i numeri 1 e 2 rimangono invariati,mentre il numero 3 e i successivi aumentano di un'unità.

Attivare/Disattivareil monitoraggio

Fare clic sull'icona sotto alla colonna Attivato.


6-20

OPERAZIONE PASSAGGI

Rimuovere regole Quando si elimina una regola, Messaging Security Agentaggiorna l'ordine delle regole restanti per adattarsi allamodifica.

Notal'eliminazione di una regola è un processo irreversibile;spesso è preferibile semplicemente disattivarla.

a. Selezionare una regola.

b. Fare clic su Rimuovi.


Tipi di regole di filtro dei contenutiÈ possibile creare regole che filtrano i messaggi e-mail in base alle condizioni specificateo agli indirizzi e-mail del mittente o del destinatario. In una regola si possono specificarele seguenti condizioni: quali campi dell'intestazione analizzare, se esaminare o meno ilcorpo del messaggio e-mail e quali parole chiave cercare.

È possibile creare regole per eseguire le seguenti funzioni:

• Filtra messaggi che soddisfano qualsiasi condizione definita: Questo tipo diregola è in grado di filtrare il contenuto di qualsiasi messaggio durante unascansione. Per i dettagli, consultare Aggiunta di una regola di filtro dei contenuti per lecondizioni di associazione a pagina 6-24.

• Filtra messaggi che soddisfano tutte le condizioni definite: Questo tipo diregola è in grado di filtrare il contenuto di qualsiasi messaggio durante unascansione. Per i dettagli, consultare Aggiunta di regole di filtro dei contenuti per tutte lecondizioni di associazione a pagina 6-21.

NotaQuesto tipo di regola non è disponibile per le scansioni manuali e pianificate confiltro dei contenuti.


Advanced)

6-21

• Monitora il contenuto dei messaggi di particolari account e-mail: Questo tipodi regola monitora il contenuto dei messaggi di particolari account e-mail. Le regoledi monitoraggio sono simili a una regola generale di filtro dei contenuti, solo chefiltrano il contenuto proveniente soltanto da determinati account e-mail. Per idettagli, consultare Aggiunta di una regola di monitoraggio del filtro dei contenuti a pagina6-27.

• Creare eccezioni per particolari account e-mail: Questo tipo di regola creaun'eccezione per determinati account e-mail. Se viene creata un'eccezione per unaccount, l'account non viene sottoposto al filtraggio per l'individuazione diviolazioni delle regole dei contenuti. Per i dettagli, consultare Creazione di eccezionialle regole per il filtro dei contenuti a pagina 6-30.

Dopo avere creato la regola, Messaging Security Agent inizia a filtrare tutti i messaggi inentrata e in uscita in base alla regola. Quando si verifica una violazione dei contenuti,Messaging Security Agent prende provvedimenti contro tale violazione. L'operazioneeseguita da Security Server dipende anche dalle impostazioni della regola.

Aggiunta di regole di filtro dei contenuti per tutte lecondizioni di associazione

Questo tipo di regola non è disponibile per le scansioni di filtraggio contenuti manuali epianificate.

Procedura





4. Fare clic su Filtro dei contenuti.


5. Fare clic su Aggiungi.


6-22


6. Selezionare Filtra messaggi che soddisfano tutte le condizioni definite.


8. Immettere il nome della regola nel campo Nome regola.

9. Selezionare la parte del messaggio che si desidera analizzare per individuare icontenuti indesiderati. Messaging Security Agent è in grado di filtrare i messaggi e-mail per:

• Intestazione (Da, A e CC)

• Oggetto

• Dimensione del corpo o dell'allegato del messaggio

• Nome file allegato

NotaDurante la scansione in tempo reale, Messaging Security Agent supporta solo il filtrodei contenuti dell'intestazione e dell'oggetto.


11. Selezionare un'operazione da eseguire quando Messaging Security Agent rilevacontenuti indesiderati. Il Messaging Security Agent è in grado di eseguire leoperazioni descritte di seguito (per le descrizioni vedere Destinazioni di scansione eazioni per i Messaging Security Agent a pagina 7-18):

• Sostituisci con testo/file

NotaNon è possibile sostituire il testo nei campi Da, A, Cc o Oggetto.

• Metti in quarantena intero messaggio

• Parte del messaggio in quarantena



Advanced)

6-23

• Archivia

• Ignora intero messaggio

12. Selezionare Notifica ai destinatari per impostare il Messaging Security Agent inmodo che comunichi ai destinatari dei messaggi e-mail che i contenuti sono statifiltrati.

Selezionare Non notificare a destinatari esterni per inviare le notifiche solo aidestinatari di messaggi interni. Definire indirizzi interni da Operazioni >Impostazioni di notifica > Definizione posta interna.

13. Selezionare Notifica ai mittenti per impostare il Messaging Security Agent inmodo che comunichi ai mittenti dei messaggi e-mail che i contenuti sono statifiltrati.

Selezionare Non notificare ai mittenti esterni per inviare le notifiche solo aimittenti di messaggi interni. Definire indirizzi interni da Operazioni >Impostazioni di notifica > Definizione posta interna.

14. Nella sezione Opzioni avanzate, fare clic sull'icona del segno (+) per espandere lasottosezione Impostazione archivio.

a. Nel campo Directory di quarantena, immettere il percorso della cartellaFiltro dei contenuti in cui inserire le e-mail in quarantena oppure accettare ilvalore predefinito: <Cartella di installazione MessagingSecurity Agent>\storage\quarantine

b. Nel campo Directory di archiviazione, immettere il percorso della cartellaFiltro dei contenuti in cui inserire le e-mail archiviate oppure accettare ilvalore predefinito: <Cartella di installazione MessagingSecurity Agent>\storage\backup for content filter

15. Fare clic sull'icona del segno (+) per espandere la sottosezione Impostazioni disostituzione.

a. Nel campo Nome del file sostitutivo, immettere il nome del file con il qualeFiltro dei contenuti sostituirà un messaggio e-mail quando viene attivata unaregola che utilizza l'operazione "Sostituisci con testo/file" oppure accettare ilvalore predefinito.

b. Nel campo Testo sostitutivo, digitare o incollare il contenuto del testosostitutivo che Filtro dei contenuti dovrà utilizzare quando un messaggio e-


6-24

mail attiva una regola la cui operazione sia "Sostituisci con testo/file" oppureaccettare il testo predefinito.

16. Fare clic sul pulsante Fine.

La procedura guidata viene chiusa e viene visualizzata la schermata Filtro deicontenuti.

Aggiunta di una regola di filtro dei contenuti per lecondizioni di associazione







Procedura



2. Selezionare Filtrare messaggi che soddisfano qualsiasi condizione definita.





Advanced)

6-25


• Oggetto

• Corpo

• Allegato

NotaDurante la scansione in tempo reale, Messaging Security Agent supporta solo il filtrodei contenuti dell'intestazione e dell'oggetto.


7. Aggiungere le parole chiave per la parte di destinazione da filtrare per individuarecontenuti indesiderati. Per informazioni dettagliate sull'uso delle parole chiave, fareriferimento a Parole chiave a pagina D-5.

a. Se necessario, selezionare se attivare o meno la distinzione tra maiuscole eminuscole per i contenuti.

b. Importare i nuovi file di parole chiave da un file .txt a seconda delleesigenze.

c. Definire un elenco dei sinonimi.








6-26


• Archivia

10. Selezionare Notifica ai destinatari per impostare il Messaging Security Agent inmodo che comunichi ai destinatari dei messaggi e-mail che i contenuti sono statifiltrati.


11. Selezionare Notifica ai mittenti per impostare il Messaging Security Agent inmodo che comunichi ai mittenti dei messaggi e-mail che i contenuti sono statifiltrati.



a. Nel campo Directory di quarantena, immettere il percorso della cartellaFiltro dei contenuti in cui inserire le e-mail in quarantena oppure accettare ilvalore predefinito: <Cartella di installazione MessagingSecurity Agent>\storage\quarantine

b. Nel campo Directory di archiviazione, immettere il percorso della cartellaFiltro dei contenuti in cui inserire le e-mail archiviate oppure accettare ilvalore predefinito: <Cartella di installazione MessagingSecurity Agent>\storage\backup for content filter





Advanced)

6-27




Aggiunta di una regola di monitoraggio del filtro deicontenuti







Procedura



2. Selezionare Monitora il contenuto dei messaggi di particolari account e-mail.



5. Impostare gli account e-mail da monitorare.



6-28


• Oggetto

• Corpo

• Allegato

NotaDurante la scansione in tempo reale, Messaging Security Agent supporta solo il filtrodi queste parti del messaggio e-mail. Durante le scansioni manuali e pianificate, nonsupporta il filtro del contenuto dell'intestazione e dell'oggetto.

8. Aggiungere le parole chiave per la parte di destinazione da filtrare per individuarecontenuti indesiderati. Per informazioni dettagliate sull'uso delle parole chiave,vedere Parole chiave a pagina D-5.

a. Se necessario, selezionare se attivare o meno la distinzione tra maiuscole eminuscole per i contenuti.

b. Importare i nuovi file di parole chiave da un file .txt a seconda delleesigenze.

c. Definire un elenco di sinonimi.







Advanced)

6-29



• Archivia

11. Selezionare Notifica ai destinatari per impostare Messaging Security Agent inmodo che comunichi ai destinatari dei messaggi che i contenuti sono stati filtrati.


12. Selezionare Notifica ai mittenti per impostare Messaging Security Agent in modoche comunichi ai mittenti dei messaggi e-mail che i contenuti sono stati filtrati.



a. Nel campo Directory di quarantena, immettere il percorso della cartellaFiltro dei contenuti in cui inserire i messaggi e-mail in quarantena oppureaccettare il valore predefinito: <Cartella di installazione diMessaging Security Agent>\storage\quarantine

b. Nel campo Directory di archiviazione, immettere il percorso della cartellaFiltro dei contenuti in cui inserire i messaggi e-mail archiviati oppure accettareil valore predefinito: <Cartella di installazione di MessagingSecurity Agent>\storage\backup for content filter





6-30




Creazione di eccezioni alle regole per il filtro dei contenuti







Procedura



2. Selezionare Creare eccezioni per particolari account e-mail.


4. Immettere il nome della regola.

5. Immettere nell'apposito spazio gli account e-mail da escludere dal filtro deicontenuti e fare clic su Aggiungi.


Advanced)

6-31

L'account e-mail viene aggiunto all'elenco degli account e-mail esenti. MessagingSecurity Agent non applica agli account e-mail di questo elenco le regole deicontenuti con una priorità inferiore a quella di questa regola.

6. Una volta soddisfatti dell'elenco degli account e-mail, fare clic su Fine.

La procedura guidata viene chiusa e compare la schermata Filtro dei contenuti.

Prevenzione della perdita di datiUtilizzare Prevenzione della perdita di dati per evitare la perdita di dati dalla posta inuscita. Questa funzione è in grado di proteggere dati quali il codice fiscale, i numeri ditelefono, i numeri di conto corrente bancario e altre informazioni aziendali riservate checorrispondono a un determinato pattern.

In questa versione sono supportate le seguenti versioni di Microsoft Exchange:

TABELLA 6-3. Versioni di Microsoft Exchange supportate

SUPPORTATA NON SUPPORTATA

2007 x64 2003 x86/x64

2010 x64 2007 x86

2010 x86

Lavoro di preparazionePrima di effettuare il monitoraggio dei dati sensibili per evitare potenziali perdite,determinare quanto segue:

• I dati che necessitano di protezione da utenti non autorizzati

• Ubicazione dei dati

• Dove e come i dati vengono trasmessi

• Gli utenti autorizzati ad accedere o a trasmettere queste informazioni


6-32

Questo importante controllo richiede immissioni da parte di molteplici reparti epersonale in grado di utilizzare correttamente le informazioni sensibilinell'organizzazione. Nelle procedure seguenti si suppone che siano state identificate leinformazioni sensibili e che siano stati impostati criteri di sicurezza relativi alla gestionedelle informazioni aziendali riservate.

La funzione Prevenzione della perdita di dati comprende tre parti base:

• Le regole (i pattern da ricercare)

• I domini da escludere dai filtri

• I mittenti approvati (account e-mail da escludere dal filtro)

Per i dettagli, consultare Gestione delle regole per Prevenzione della perdita di dati a pagina 6-32.

Gestione delle regole per Prevenzione della perdita di datiIl Messaging Security Agent visualizza tutte le regole di Prevenzione della perdita di datinella schermata Prevenzione della perdita di dati (Impostazioni di sicurezza >{Messaging Security Agent} > Configura > Prevenzione della perdita di dati).

Procedura

1. In questa schermata sono visualizzate informazioni riassuntive riguardanti le regole,fra cui:

• Regola: WFBS è dotato di regole predefinite (vedere Regole per la Prevenzionedella perdita di dati predefinite a pagina 6-40). Le regole sono disattivate perimpostazione predefinita. È possibile modificare queste regole secondospecifici requisiti oppure eliminarle. Se nessuna di queste regole soddisfa irequisiti, l'utente può aggiungere le proprie.

Suggerimento

Per visualizzare la regola, passare con il mouse sopra il nome corrispondente.Le regole che utilizzano un'espressione regolare sono contrassegnate con una

lente di ingrandimento ( ).


Advanced)

6-33

• Azione: Il Messaging Security Agent esegue questa operazione quando vieneattivata una regola.

• Priorità: Il Messaging Security Agent applica ogni regola in sequenza in baseall'ordine visualizzato in questa schermata.

• Attivato: Un'icona verde indica una regola attiva, mentre un'icona rossa indicaun'icona disattivata.


OPERAZIONE PASSAGGI

Attiva/Disattiva laPrevenzione per laperdita di dati

Selezionare o annullare la selezione di Attiva la prevenzioneper la perdita di dati in tempo reale nella parte superioredella schermata.

Aggiungere unaregola

Fare clic su Aggiungi.

Si apre una nuova schermata dove è possibile scegliere il tipodi regola da aggiungere. Per i dettagli, vedere Aggiunta delleregole per Prevenzione della perdita di dati a pagina 6-41.

Modificare unaregola

Fare clic sul nome della regola.

Viene visualizzata una nuova schermata. Per i dettagli sulleimpostazioni di una regola modificabili, vedere Aggiunta delleregole per Prevenzione della perdita di dati a pagina 6-41.


6-34

OPERAZIONE PASSAGGI

Importazione edesportazione delleregole

Importare una o più regole da (o esportarle in) un file di testonormale, come descritto di seguito. Se si preferisce, èpossibile modificare le regole direttamente utilizzando questofile.

[SMEX_SUB_CFG_CF_RULE43ca5aea-6e75-44c5-94c9-d0b35d2be599]

RuleName=Bubbly

UserExample=

Value=Bubbly

[SMEX_SUB_CFG_CF_RULE8b752cf2-aca9-4730-a4dd-8e174f9147b6]

RuleName=Master Card No.

UserExample=Value=.REG. \b5[1-5]\d{2}\-?\x20?\d{4}\-?\x20?\d{4}\-?\x20?\d{4}\b

Per esportare regole in un file di testo normale, selezionareuna o più regole nell'elenco, quindi fare clic su Esporta.

SuggerimentoÈ possibile selezionare le regole che appaiono solo suuna schermata. Per selezionare le regole attualmentevisualizzate in schermate diverse, aumentare il valoreRighe per pagina sulla parte superiore della tabelladell'elenco Regola, per visualizzare un numero di righesufficiente per comprendere tutte le regole daesportare.


Advanced)

6-35

OPERAZIONE PASSAGGI

Per importare le regole:

a. Creare un file di testo normale nel formato mostratosopra. Inoltre, è possibile fare clic su Scarica più regolepredefinite sotto alla tabella, quindi salvare le regole.

b. Fare clic su Importa.

Compare una nuova finestra.

c. Fare clic su Sfoglia per individuare il file da importare,quindi scegliere Importa.

Prevenzione della perdita di dati importa le regole e leaccoda alla fine dell'elenco di regole corrente.

SuggerimentoSe vi sono più di 10 regole, le regole importate nonsaranno visibili nella prima pagina. Utilizzare leicone di navigazione nella pagina sulla partesuperiore e inferiore dell'elenco di regole pervisualizzare l'ultima pagina dell'elenco. Le nuoveregole importate appaiono in questo punto.


6-36

OPERAZIONE PASSAGGI

Riordinare leregole

Il Messaging Security Agent applica le regole di Prevenzionedella perdita di dati ai i messaggi e-mail seguendo l'ordinedella schermata Prevenzione della perdita di dati. L'ordinecon cui le regole vengono applicate viene configuratodall'utente. L'agent filtra tutti i messaggi e-mail in base alleregole finché una violazione non attiva un'operazione cheinterrompe la scansione (ad esempio Elimina o Metti inquarantena). Modificare l'ordine di queste regole perottimizzare la Prevenzione della perdita di dati.

a. Selezionare una casella di controllo che corrisponde allaregola di cui si vuole cambiare l'ordine.

b. Fare clic su Riordina.

Viene visualizzata una casella intorno al numero d'ordinedella regola.

c. Nella casella della colonna Priorità, eliminare il numerodi ordine esistente e immetterne uno nuovo.

NotaAccertarsi di immettere un numero non superioreal numero totale di regole nell'elenco. Se siimmette un numero superiore rispetto al numerototale di regole, WFBS ignora l'immissione e nonmodifica l'ordine della regola.

d. Fare clic su Salva riordino.

La regola sposta il livello di priorità immesso e tutti gli altrinumeri di ordine delle regole cambiano di conseguenza.

Se si seleziona la regola numero 5 e la si cambia inregola numero 3, i numeri 1 e 2 rimangono invariati,mentre il numero 3 e i successivi aumentano di un'unità.

Attivare/Disattivareil monitoraggio



Advanced)

6-37

OPERAZIONE PASSAGGI

Rimuovere regole Quando si elimina una regola, Messaging Security Agentaggiorna l'ordine delle regole restanti per adattarsi allamodifica.

Notal'eliminazione di una regola è un processo irreversibile;spesso è preferibile semplicemente disattivarla.

a. Selezionare una regola.

b. Fare clic su Rimuovi.


6-38

OPERAZIONE PASSAGGI

Esclusione diaccount di dominiospecifici

All'interno di un'azienda, lo scambio di informazioni riservate èuna necessità quotidiana. Inoltre, il carico di elaborazione suiSecurity Server sarebbe estremo se Prevenzione della perditadi dati dovesse filtrare tutti i messaggi interni. Per questimotivi, è necessario impostare uno o più domini predefiniti,rappresentanti il traffico di posta interno dell'azienda, in modoche Prevenzione della perdita di dati non filtri i messaggiinviati da un account e-mail all'altro all'interno del dominiodell'azienda.

Questo elenco consente a tutti i messaggi e-mail interni(nell'ambito del dominio di un'azienda) di bypassare le regoleper la prevenzione della perdita di dati. È necessario almenouno di questi domini. Se si utilizzano più domini, aggiungerli aquesto elenco.

Ad esempio: *@example.com

a. Fare clic sull'icona più (+) per espandere la sezioneSpecificare account di domini specifici esclusi dallaPrevenzione della perdita di dati.

b. Posizionare il cursore nel campo Aggiungi e immettere ildominio, utilizzando il seguente pattern: *@example.com

c. Fare clic su Aggiungi.

Il dominio appare nell'elenco mostrato al di sotto delcampo Aggiungi.

d. Fare clic su Salva per completare il processo.

AVVERTENZA!Prevenzione della perdita di dati non effettual'aggiunta del dominio fino a quando non siseleziona Salva. Selezionando Aggiungi, ma nonSalva, il dominio non viene aggiunto.


Advanced)

6-39

OPERAZIONE PASSAGGI

Aggiunta diaccount e-mailall'elenco Mittentiapprovati

La posta proveniente dai mittenti approvati viaggia al di fuoridella rete, senza alcuni filtro di Prevenzione della perdita didati. Prevenzione della perdita di dati ignora il contenuto dellee-mail inviare da account e-mail nell'elenco approvati.

a. Fare clic sull'icona del segno (+) per espandere lasezione Mittenti approvati.

b. Posizionare il cursore nel campo Aggiungi e immetterel'indirizzo e-mail completo, utilizzando il seguente pattern:[email protected]


L'indirizzo appare nell'elenco mostrato al di sotto delcampo Aggiungi.

d. Fare clic su Salva per completare il processo.

NotaPrevenzione della perdita di dati non effettual'aggiunta dell'indirizzo fino a quando non siseleziona Salva. Selezionando Aggiungi, ma nonSalva, l'indirizzo non viene aggiunto.


6-40

OPERAZIONE PASSAGGI

Importazione diaccount e-mailnell'elenco Mittentiapprovati

È possibile importare un elenco di indirizzi e-mail da un file ditesto normale formattato con un account e-mail per riga, adesempio:

[email protected]

[email protected]

[email protected]

a. Fare clic sull'icona del segno (+) per espandere lasezione Mittenti approvati.

b. Fare clic su Importa.

Compare una nuova finestra.

c. Fare clic su Sfoglia per individuare il file di testo normaleda importare, quindi scegliere Importa.

Prevenzione della perdita di dati importa le regole e leaccoda alla fine dell'elenco corrente.


Regole per la Prevenzione della perdita di dati predefiniteIn Prevenzione della perdita di dati sono incluse alcune regole predefinite, comeillustrato nella seguente tabella.

TABELLA 6-4. Regole per la Prevenzione della perdita di dati predefinite

NOME REGOLA ESEMPIO ESPRESSIONE REGOLARE

Numero diaccount Visa

4111-1111-1111-1111 .REG. \b4\d{3}\-?\x20?\d{4}\-?\x20?\d{4}\-?\x20?\d{4}\b

Numero diaccountMasterCard

5111-1111-1111-1111 .REG. \b5[1-5]\d{2}\-?\x20?\d{4}\-?\x20?\d{4}\-?\x20?\d{4}\b


Advanced)

6-41

NOME REGOLA ESEMPIO ESPRESSIONE REGOLARE

Numero diaccountAmericanExpress

3111-111111-11111 .REG. \b3[4,7]\d{2}\-?\x20?\d{6}\-?\x20?\d{5}\b

Numero diaccount DinersClub/CarteBlanche

3111-111111-1111 .REG. [^\d-]((36\d{2}|38\d{2}|30[0-5]\d)-?\d{6}-?\d{4})[^\d-]

IBAN BE68 5390 0754 7034, FR142004 1010 0505 0001 3M02 606,DK50 0040 0440 1162 43

.REG. [^\w](([A-Z]{2}\d{2}[-|\s]?)([A-Za-z0-9]{11,27}|([A-Za-z0-9]{4}[-|\s]){3,6}[A-Za-z0-9]{0,3}|([A-Za-z0-9]{4}[-|\s]){2}[A-Za-z0-9]{3,4}))[^\w]

Swift BIC BANK US 99 .REG. [^\w-]([A-Z]{6}[A-Z0-9]{2}([A-Z0-9]{3})?)[^\w-]

Data ISO 2004/01/23, 04/01/23,2004-01-23, 04-01-23

.REG. [^\d\/-]([1-2]\d{3}[-\/][0-1]?\d[-\/][0-3]?\d|\d{2}[-\/][0-1]?\d[-\/][0-3]?\d)[^\d\/-]

NotaDalla console Web, è possibile scaricare un file zip contenente più regole DLP.Raggiungere Impostazioni di sicurezza > {Messaging Security Agent} > Configura >Prevenzione della perdita di dati e fare clic su Scarica più regole predefinite.

Aggiunta delle regole per Prevenzione della perdita di dati

Procedura






6-42

4. Fare clic su Prevenzione della perdita di dati.




6. Selezionare la parte di messaggio da valutare. Messaging Security Agent è in gradodi filtrare i messaggi e-mail per:


• Oggetto

• Corpo

• Allegato

7. Aggiungere una regola.

Per aggiungere una regola in base a una parola chiave:

a. Selezionare Parola chiave.

b. Digitare la parola chiave nel campo visualizzato. La parola chiave deve esserecomposta da 1 a 64 caratteri alfanumerici.

c. Fare clic su Avanti.

Per aggiungere una regola in base a espressioni generate automaticamente:

a. Per istruzioni su come definire le espressioni regolari, vedere Espressioni regolaria pagina D-10.

b. Selezionare Espressione regolare (generata automaticamente).

c. Nel campo visualizzato, immettere un Nome regola. Il campo è obbligatorio.

d. Nel campo Esempio, digitare o incollare un esempio del tipo di stringa (finoa 40 caratteri) a cui deve corrispondere l'espressione regolare. I caratterialfanumerici sono visualizzati tutti in maiuscolo nell'area in ombra con le righedelle caselle al di sotto del campo Esempio.


Advanced)

6-43

e. Se sono contenute delle costanti in un'espressione, selezionarle facendo clicsulle caselle in cui sono visualizzati i caratteri.

Quando si fa clic su ciascuna casella, i rispettivi bordi diventano rossi perindicare che si tratta di una costante e lo strumento di generazione automaticamodifica l'espressione regolare mostrata al di sotto dell'area in ombra.

Nota

I caratteri non alfanumerici (ad esempio, spazi, punti e virgola e altri segni dipunteggiatura) sono automaticamente considerati costanti e non possono esseretrasformati in variabili.

f. Per verificare che l'espressione regolare generata corrisponda al patterndesiderato, selezionare Specificare un altro esempio per verificare laregola (facoltativo).

Viene visualizzato un campo di prova al di sotto di questa opzione.

g. Digitare un altro esempio del pattern appena immesso.

Ad esempio, se questa espressione corrisponde a una serie di numeri diaccount del pattern “01-EX????? 20??”, digitare un altro esempio checorrisponda, come "01-Extreme 2010" e fare clic su Test.

Lo strumento convalida il nuovo esempio rispetto all'espressione regolareesistente e inserisce un segno di spunta verde accanto al campo, nel caso in cuiil nuovo esempio corrisponda. Se l'espressione regolare non corrisponde alnuovo esempio, accanto al campo viene visualizzata un'icona di X rossa.

AVVERTENZA!

Le espressioni regolari generate da questo strumento sono indipendenti dall'usodi maiuscole e minuscole. Queste espressioni possono corrispondere solo aipattern con lo stesso numero di caratteri dell'esempio. Non sono in grado divalutare un pattern di uno o più caratteri determinati.

h. Fare clic su Avanti.

Per aggiungere una regola in base a espressioni definite dall'utente:


6-44

AVVERTENZA!

Le espressioni regolari sono un potente strumento di ricerca delle stringhe. Accertarsidi conoscere l'utilizzo della sintassi delle espressioni regolari, prima di utilizzarequeste espressioni. La scrittura non corretta delle espressioni regolari può avere unimpatto significativo sulle prestazioni. Trend Micro consiglia di cominciare conl'utilizzo delle espressioni regolari semplici. Quando si creano nuove regole, utilizzarel'operazione di archiviazione e osservare il modo in cui Prevenzione della perdita didati gestisce i messaggi utilizzando la regola. Quando si è certi che la regola non haconseguenze impreviste, è il momento di modificare l'azione.

a. Per istruzioni su come definire le espressioni regolari, vedere Espressioni regolaria pagina D-10.

b. Selezionare Espressione regolare (definita dall'utente).

Vengono visualizzati i campi Nome regola ed Espressione regolare.

c. Nel campo visualizzato, immettere un Nome regola. Il campo è obbligatorio.

d. Nel campo Espressione regolare digitare un'espressione regolare, che inizicon il prefisso ".REG.", costituita da un massimo di 255 caratteri incluso ilprefisso.

AVVERTENZA!

Prestare estrema attenzione quando si incolla in questo campo. Se negli appuntivengono inclusi caratteri estranei, come uno specifico avanzamento di riga delsistema operativo o un tag HTML, l'espressione incollata risulterà inaccurata.Per questo motivo, Trend Micro consiglia di digitare manualmente leespressioni.

e. Per verificare che l'espressione regolare corrisponda al pattern desiderato,selezionare Specificare un altro esempio per verificare la regola(facoltativo).

Viene visualizzato un campo di prova al di sotto di questa opzione.

f. Digitare un altro esempio del pattern appena immesso (massimo 40 caratteri).


Advanced)

6-45

Ad esempio, se l'espressione deve corrispondere a una serie di numeri diaccount del pattern "ACC-????? 20??", digitare un altro esempio checorrisponda, come "Acc-65432 2012" e fare clic su Test.

Lo strumento convalida il nuovo esempio rispetto all'espressione regolareesistente e inserisce un segno di spunta verde accanto al campo, nel caso in cuiil nuovo esempio corrisponda. Se l'espressione regolare non corrisponde alnuovo esempio, accanto al campo viene visualizzata un'icona di X rossa.

g. Fare clic su Avanti.

8. Selezionare un'azione che il Messaging Security Agent deve compiere quando vieneattivata una regola (per le descrizioni, vedere Destinazioni di scansione e azioni per iMessaging Security Agent a pagina 7-18):


Nota

Non è possibile sostituire il testo nei campi Da, A, Cc o Oggetto.




• Archivia

• Ignora intero messaggio

9. Selezionare Notifica ai destinatari per impostare il Messaging Security Agent inmodo che avvisi i destinatari interessati in caso di Prevenzione della perdita di datia fronte di uno specifico messaggio di e-mail.

Per diversi motivi, è possibile evitare di notificare ai destinatari di e-mail il blocco diun messaggio contenente informazioni sensibili. Selezionare Non notificare adestinatari esterni per inviare le notifiche solo ai destinatari di messaggi interni.Definire indirizzi interni da Operazioni > Impostazioni di notifica >Definizione posta interna.


6-46

10. Selezionare Notifica ai mittenti per impostare il Messaging Security Agent inmodo che avvisi i mittenti interessati in caso di Prevenzione della perdita di dati afronte di uno specifico messaggio di e-mail.

Per diversi motivi, è possibile evitare di notificare ai mittenti di e-mail il blocco diun messaggio contenente informazioni sensibili. Selezionare Non notificare aimittenti esterni per inviare le notifiche solo ai mittenti di messaggi interni.Definire indirizzi interni da Operazioni > Impostazioni di notifica >Definizione posta interna.


a. Nel campo Directory di quarantena, immettere il percorso della cartellaPrevenzione della perdita di dati in cui inserire i messaggi e-mail in quarantenaoppure accettare il valore predefinito: <Cartella di installazionedi Messaging Security Agent>\storage\quarantine

b. Nel campo Directory di archiviazione, immettere il percorso della cartellaPrevenzione della perdita di dati in cui inserire i messaggi e-mail archiviatioppure accettare il valore predefinito: <Cartella di installazionedi Messaging Security Agent>\storage\backup for contentfilter


a. Nel campo Nome del file sostitutivo, immettere il nome del file con il qualePrevenzione della perdita di dati sostituirà un messaggio e-mail quando vieneattivata una regola che utilizza l'operazione "Sostituisci con testo/file" oppureaccettare il valore predefinito.

b. Nel campo Testo sostitutivo, digitare o incollare il contenuto del testosostitutivo che Prevenzione della perdita di dati dovrà utilizzare quando unmessaggio e-mail attiva una regola la cui operazione sia Sostituisci con testo/file oppure accettare il testo predefinito.

13. Fare clic su Fine.


Advanced)

6-47

La procedura guidata viene chiusa e viene visualizzata nuovamente la schermataPrevenzione della perdita di dati.

Blocco allegatiIl Blocco allegati impedisce che gli allegati presenti nei messaggi e-mail venganoconsegnati all'archivio di informazioni di Microsoft Exchange. Configurare MessagingSecurity Agent in modo da bloccare gli allegati a seconda del tipo di allegato o del nomedi allegato e quindi sostituire, mettere in quarantena o eliminare tutti i messaggicontenenti allegati corrispondenti ai criteri.

Il blocco può verificarsi durante una scansione in tempo reale, manuale e pianificata, male operazioni di eliminazione e messa in quarantena non sono disponibili durante lescansioni manuali e pianificate.

L'estensione di un allegato identifica il tipo di file, ad esempio .txt, .exe o .dll.Tuttavia, Messaging Security Agent esamina l'intestazione del file piuttosto che il nomeper accertarsi del tipo di file effettivo. Spesso virus/minacce informatiche sono associatia determinati tipi di file. Configurando Messaging Security Agent affinché blocchi i filein base al tipo, è possibile ridurre il rischio per la sicurezza dei server MicrosoftExchange. In maniera analoga, attacchi specifici sono spesso associati a un determinatonome file.

SuggerimentoIl blocco è un metodo efficace per controllare il diffondersi delle infezioni virali. Èpossibile mettere temporaneamente in quarantena tutti i tipi di file ad alto rischio o quelli ilcui nome è associato a virus/minacce informatiche noti. In seguito, quando si è disponibili,esaminare con calma la cartella di quarantena e intervenire contro i file infetti.

Configurazione del blocco degli allegatiLa configurazione delle opzioni di blocco degli allegati per i server Microsoft Exchangeprevede l'impostazione delle regole per bloccare i messaggi che contengono determinatiallegati.



6-48

Impostazioni di sicurezza > {Messaging Security Agent} > Configura >Blocco allegati

• Per la scansione manuale:

Scansioni > Manuale > {espandere il Messaging Security Agent} > Bloccoallegati

• Per la scansione pianificata:

Scansioni > Pianificazione > {espandere il Messaging Security Agent} >Blocco allegati

Procedura

1. Dalla scheda Destinazione, aggiornare i seguenti campi secondo le esigenze:

• Tutti gli allegati: l'agent consente di bloccare tutti i messaggi e-mail checontengono allegati. Tuttavia, questo tipo di scansione richiede una notevoleelaborazione. Perfezionare questo tipo di scansione selezionando i tipi diallegati o i nomi da escludere.

• Tipi di allegati da escludere

• Nomi di allegati da escludere

• Allegati specificati: quando si seleziona questo tipo di scansione, l'agentesegue soltanto la scansione dei messaggi e-mail contenenti gli allegatiidentificati. Questo tipo di scansione può essere molto esclusiva ed è l'idealeper rilevare messaggi e-mail contenenti allegati sospetti che potrebberocontenere minacce. L'esecuzione di questa scansione è molto rapida quando sispecifica una quantità relativamente ridotta di nomi o tipi di allegati.

• Tipi di allegati: l'agent esamina l'intestazione del file anziché il nomeper determinare con certezza il tipo di file effettivo.

• Nomi degli allegati: Per impostazione predefinita, l'agent esaminal'intestazione del file anziché il nome per determinare con certezza il tipodi file effettivo. Quando si imposta Blocco allegati per sottoporre ascansione nomi specifici, l'agent rileva i tipi di allegato in base al loronome.


Advanced)

6-49

• Blocca tipi o nomi di allegati all'interno di file .ZIP

2. Fare clic sulla scheda Operazione per impostare le operazioni che il MessagingSecurity Agent deve eseguire quando rileva allegati. Il Messaging Security Agent èin grado di eseguire le operazioni descritte di seguito (per le descrizioni vedereDestinazioni di scansione e azioni per i Messaging Security Agent a pagina 7-18):





3. Selezionare Notifica ai destinatari per impostare il Messaging Security Agent inmodo che comunichi con i destinatari dei messaggi e-mail con allegati.


4. Selezionare Notifica ai mittenti per impostare il Messaging Security Agent inmodo che comunichi con i mittenti dei messaggi e-mail con allegati.



a. Nel campo Nome del file sostitutivo, immettere il nome del file con il qualeBlocco allegati sostituirà un messaggio e-mail quando viene attivata una regolache utilizza l'operazione "Sostituisci con testo/file" oppure accettare il valorepredefinito.

b. Nel campo Testo sostitutivo, digitare o incollare il contenuto del testosostitutivo che Blocco allegati dovrà utilizzare quando un messaggio e-mailattiva una regola la cui operazione sia "Sostituisci con testo/file" oppureaccettare il testo predefinito.


6-50


Reputazione WebReputazione Web contribuisce a impedire l'accesso a URL sul Web o incorporati inmessaggi e-mail che comportano rischi di sicurezza. Reputazione Web controlla lareputazione dell'URL rispetto ai server di reputazione Web Trend Micro e quindi correlala reputazione con gli specifici criteri di reputazione Web attuati sul client. In base aicriteri in uso:

• Il Security Agent blocca o consente l'accesso al sito Web.

• Il Messaging Security Agent (solo Advanced) mette in quarantena, elimina ocontrassegna il messaggio e-mail che contiene l'URL dannoso oppure ne consentel'invio se gli URL sono sicuri.

Reputazione Web invia una notifica e-mail all'amministratore e una notifica onlineall'utente riguardante i rilevamenti.

Configurare un livello di sicurezza diverso per i Security Agent in base alla posizione delclient (In ufficio/Fuori ufficio).

Se la reputazione Web blocca un URL che invece è ritenuto sicuro, è possibileaggiungere l'URL all'elenco degli URL approvati.

Suggerimento

Per risparmiare ampiezza di banda della rete, Trend Micro consiglia di aggiungere i siti Webaziendali interni all'elenco degli URL approvati da reputazione Web.

Punteggio di reputazione

Il punteggio di reputazione di un URL indica se è presente una minaccia Web o meno.Trend Micro calcola il punteggio utilizzando delle tecniche di misurazione esclusive.

Trend Micro considera un URL una minaccia Web se il suo punteggio rientra in unasoglia definita e sicuro se il punteggio supera tale soglia.


Advanced)

6-51

Nei Security Agent esistono tre livelli di protezione che determinano se l'accesso a unURL va consentito o bloccato.

• Alto: Blocca pagine con indicazione:



• Sospetto: Associate a spam o probabilmente compromesse

• Non testato: Anche se Trend Micro verifica attivamente le pagine Web pergarantire la sicurezza, gli utenti possono trovare pagine non verificate quandovisitano pagine Web nuove o poco conosciute. Bloccando le pagine nonverificate si migliora la sicurezza, ma si impedisce anche l'accesso alle paginesicure.

• Medio: Blocca le pagine con indicazione:



• Basso: Blocca pagine con indicazione:


Configurazione della Reputazione Web per MessagingSecurity Agent

Procedura




6-52



4. Fare clic su Reputazione Web.



• Attiva Web Reputation

• Livello sicurezza: Alto, Medio o Basso

• URL approvati


NotaL'approvazione di un URL comporta l'approvazione di tutti i sottodominicorrispondenti.

Utilizzare i caratteri jolly con cautela in quanto possono approvare interigruppi di URL.

• Elenco URL approvati: Gli URL contenuti in questo elenco nonvengono bloccati.

6. Fare clic sulla scheda Operazione e selezionare un'operazione per il MessagingSecurity Agent quando viene attivato il criterio della reputazione Web (per ledescrizioni, vedere Destinazioni di scansione e azioni per i Messaging Security Agent a pagina7-18):



• Mettere in quarantena i messaggi nella cartella di spam utente



Advanced)

6-53

• Contrassegna e recapita

7. Selezionare Esegui operazioni sugli URL non valutati da Trend Micro pertrattare come sospetti gli URL non classificati. La stessa operazione specificata alpunto precedente verrà eseguita sui messaggi e-mail contenenti URL nonclassificati.

8. Selezionare Notifica ai destinatari per impostare il Messaging Security Agent inmodo che avvisi i destinatari interessati in caso di azione della Reputazione Web afronte di uno specifico messaggio e-mail.

Per diversi motivi, è possibile evitare di notificare ai destinatari di messaggi e-mail ilblocco di un messaggio contenente un URL pericoloso. Selezionare Nonnotificare a destinatari esterni per inviare le notifiche solo ai destinatari dimessaggi interni. Definire indirizzi interni da Operazioni > Impostazioni dinotifica > Definizione posta interna.

9. Selezionare Notifica ai mittenti per impostare il Messaging Security Agent inmodo che avvisi i mittenti interessati in caso di Reputazione Web a fronte di unospecifico messaggio di e-mail.

Per diversi motivi, è possibile evitare di notificare ai mittenti di e-mail il blocco diun messaggio contenente un URL pericoloso. Selezionare Non notificare aimittenti esterni per inviare le notifiche solo ai mittenti di messaggi interni.Definire indirizzi interni da Operazioni > Impostazioni di notifica >Definizione posta interna.


Quarantena per i Messaging Security AgentQuando il Messaging Security Agent rileva una minaccia, spam, allegati con limitazionie/o contenuti con limitazioni in messaggi e-mail, l'agent è in grado di spostare ilmessaggio in una cartella di quarantena. Questo processo rappresenta un'alternativaall'eliminazione del messaggio o dell'allegato e impedisce agli utenti di aprire il messaggioinfetto e di diffondere la minaccia.

La cartella di quarantena predefinita nel Message Security Agent è:


6-54

<Cartella di installazione Messaging Security Agent>\storage\quarantine

Per aumentare la sicurezza, i file in quarantena vengono crittografati. Per aprire un filecrittografato, utilizzare lo strumento Restore Encrypted Virus (VSEncode.exe).Vedere Ripristino dei file crittografati a pagina 14-9.

Gli amministratori hanno la possibilità di consultare il database di quarantena perraccogliere informazioni sui messaggi messi in quarantena.

Utilizzare la cartella di Quarantena per:

• Ovviare alla probabilità di eliminazione permanente di messaggi importanti, qualoravenissero erroneamente individuati da filtri aggressivi

• Rivedere i messaggi che avviano i filtri di contenuto per determinare la gravitàdell'infrazione dei criteri

• Conservare le prove del possibile abuso da parte di un dipendente del sistema dimessaggistica aziendale

NotaNon confondere la cartella di quarantena con la cartella di spam utente finale. La cartella diquarantena è una cartella basata su file. Tutte le volte che un Messaging Security Agentmette in quarantena un messaggio e-mail, lo invia alla cartella di quarantena. La cartella dispam utente finale si trova nell'archivio informazioni della casella di posta di ciascun utente.La cartella di spam utente finale riceve soltanto i messaggi e-mail risultanti da un'operazionedi quarantena anti-spam a una cartella di spam dell'utente e non quelli provenienti daoperazioni di quarantena conseguenti a filtro dei contenuti, criteri antivirus/anti-spyware ocriteri di blocco degli allegati.

Consultazione delle directory di quarantena

Procedura





Advanced)

6-55


4. Fare clic su Quarantena > Query.



• Intervallo data/ora

• Motivi della quarantena

• Tutti i motivi

• Tipi specificati: Selezionare Scansione antivirus, Anti-spam, Filtro deicontenuti, Blocco allegati e/o Parti non analizzabili dei messaggi.

• Stato del reinvio

• Mai reinviato

• Reinviato almeno una volta

• Entrambe le precedenti

• Criteri avanzati

• Mittente: Messaggi provenienti da mittenti specifici. Se necessario,utilizzare i caratteri jolly.

• Destinatario: Messaggi da destinatari specifici. Se necessario, utilizzare icaratteri jolly.

• Oggetto: Messaggi con oggetti specifici. Se necessario, utilizzare icaratteri jolly.

• Ordina per: Configurare la condizione di ordinamento della pagina deirisultati.

• Schermo: Numero di risultati per pagina.

6. Fare clic su Cerca. Vedere Visualizzazione dei risultati della query e azioni correttive apagina 6-56.


6-56

Visualizzazione dei risultati della query e azioni correttiveLa schermata dei risultati Query quarantena visualizza le seguenti informazioni suimessaggi:

• Ora della scansione

• Mittente

• Destinatario

• Oggetto

• Motivo: Il motivo per cui il messaggio e-mail è stato messo in quarantena.

• Nome file: Il nome del file allegato al messaggio e-mail che è stato bloccato.

• Percorso di quarantena: Il percorso della cartella di quarantena del messaggio e-mail. Gli amministratori sono in grado di decodificare il file con VSEncoder.exe(vedere Ripristino dei file crittografati a pagina 14-9) e di rinominarlo conl'estensione .eml per poterlo visualizzare.

AVVERTENZA!Visualizzare file infetti può diffondere l'infezione.

• Stato del reinvio

Procedura

1. Se si ritiene che il messaggio non sia sicuro, eliminare il messaggio.

AVVERTENZA!La cartella di quarantena contiene i messaggi e-mail che presentano un rischio elevatodi infezione. È importante prestare molta attenzione quando si maneggiano imessaggi e-mail della cartella di quarantena, per evitare di infettare accidentalmente ilclient.

2. Se si ritiene che un messaggio sia sicuro, selezionarlo e fare clic sull'icona di reinvio( ).


Advanced)

6-57

Nota

Se un messaggio messo in quarantena inviato originariamente utilizzando MicrosoftOutlook viene nuovamente inviato, il destinatario potrebbe ricevere diverse copiedello stesso messaggio. Questo accade perché il motore di scansione antivirussuddivide ogni messaggio analizzato in varie sezioni.

3. Qualora non sia possibile reinviare il messaggio, è possibile che l'accountdell'amministratore di sistema sul server Microsoft Exchange non esista.

a. Utilizzando l'editor del Registro di sistema di Windows, aprire la seguentevoce di registro sul server:

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail forExchange\CurrentVersion

b. Modificare la voce come segue:

AVVERTENZA!

Modificare in modo errato il registro può danneggiare gravemente il sistema.Prima di apportare modifiche al registro, eseguire il backup dei dati di maggioreimportanza presenti sul computer.

• ResendMailbox {Administrator Mailbox}

Esempio: [email protected]

• ResendMailboxDomain {Administrator’s Domain}

Esempio: example.com

• ResendMailSender {Administrator’s Email Account}

Esempio: admin

c. Chiudere l'editor del Registro di sistema.


6-58

Gestione delle directory di quarantena

Utilizzare questa funzione per eliminare manualmente o automaticamente i messaggimessi in quarantena. Questa funzione consente di eliminare tutti i messaggi, i messaggiche sono stati reinviati e i messaggi che non sono stati reinviati.

Procedura





4. Fare clic su Quarantena > Manutenzione.



• Attiva manutenzione automatica: Disponibile solo per la manutenzioneautomatica.

• File da eliminare

• Tutti i file in quarantena

• I file in quarantena che non sono mai stati reinviati

• I file in quarantena che sono stati reinviati almeno una volta

• Azione: Il numero di giorni per cui si desidera conservare i messaggi. Adesempio, se la data è 21 novembre e nel campo Elimina i file selezionati piùvecchi di è stato immesso il valore 10, il Messaging Security Agent eliminatutti i file con data precedente all'11 novembre durante l'eliminazioneautomatica.



Advanced)

6-59

Configurazione delle directory di quarantenaConsente di configurare le directory di quarantena nel server Microsoft Exchange. Ladirectory di quarantena verrà esclusa dalla scansione.

NotaLe directory di quarantena sono basate su file e non risiedono nell'Archivio informazioni.

Messaging Security Agent mette in quarantena i messaggi e-mail in base alle operazioniconfigurate. Le seguenti directory sono le directory di quarantena:

• Antivirus: Mette in quarantena i messaggi e-mail che contengono virus/minacceinformatiche, spyware/grayware, worm, cavalli di Troia e altre minacce dannose.

• Anti-spam: Mette in quarantena messaggi e-mail di spam e di phishing.

• Blocco allegati: Mette in quarantena i messaggi e-mail contenenti allegati conlimitazioni.

• Filtro dei contenuti: Mette in quarantena i messaggi e-mail contenenti contenuticon limitazioni.

Per impostazione predefinita, tutte le directory hanno gli stessi percorsi (<cartelladi installazione di Messaging Security Agent>\storage\quarantine). È possibile modificare i percorsi per ogni singola directory o per tutte.

Procedura





4. Fare clic su Quarantena > Directory.


5. Definire il percorso per le seguenti directory di quarantena:


6-60

• Antivirus

• Anti-spam

• Filtro dei contenuti

• Blocco allegati


Impostazioni di notifica per i MessagingSecurity Agent

WFBS invia notifiche sotto forma di messaggi e-mail per diversi avvisi.

È possibile configurare le notifiche in modo che siano applicabili solo ai messaggi e-mailinterni utilizzando le definizioni posta interna personalizzata. Queste definizionirisultano utili se l'azienda dispone di almeno due domini e si desidera che i messaggi e-mail provenienti dai due domini siano considerati come posta interna. Ad esempio:esempio.com e esempio.net.

I destinatari riportati nell'elenco Definizioni posta interna riceveranno i messaggi dinotifica quando si seleziona la casella di controllo Non notificare a destinatari esterniin Impostazioni di notifica per Antivirus, Filtro dei contenuti e Blocco allegati.Attenzione a non confondere l'elenco Definizione posta interna con l'elenco Mittentiapprovati.

Per evitare che tutti i messaggi e-mail provenienti da indirizzi con domini esterni sianoetichettati come spam, aggiungere gli indirizzi e-mail esterni agli elenchi Mittentiapprovati per Anti-spam.

Informazioni sulle definizioni della posta interna personalizzate

Il Messaging Security Agent suddivide il traffico e-mail in due grandi categorie: internoed esterno. L'agent interroga il server Microsoft Exchange per ottenere informazionisulla definizione degli indirizzi interni ed esterni. Tutti gli indirizzi interni condividonoun dominio comune e tutti quelli esterni non appartengono a questo dominio.

Ad esempio, se l'indirizzo interno del dominio è "@trend_1.com", il Messaging SecurityAgent classifica indirizzi come "abc@trend_1.com" e "xyz@trend_1.com" come


Advanced)

6-61

indirizzi interni. L'agent classifica tutti gli altri indirizzi (ad esempio "abc@trend_2.com"e "[email protected]") come indirizzi esterni.

È possibile definire un solo dominio come indirizzo interno per Messaging SecurityAgent. Se si utilizza Microsoft Exchange System Manager per modificare l'indirizzoprimario su un server, Messaging Security Agent non riconosce il nuovo indirizzo comeindirizzo interno perché Messaging Security Agent non può rilevare il cambiamento delcriterio del destinatario.

Esempio: l'utente dispone di due indirizzi di dominio per la propria azienda,@esempio_1.com e @esempio_2.com. @esempio_1.com viene impostato comeindirizzo primario. Messaging Security Agent considera interni i messaggi e-mail conl'indirizzo primario (ossia, abc@esempio_1.com o xyz@esempio_1.com sono interni).In seguito, si utilizza Microsoft Exchange System Manager per modificare l'indirizzoprimario in @esempio_2.com. Questo significa che Microsoft Exchange a questo puntoriconosce come indirizzi interni gli indirizzi quali abc@esempio_2.com exyz@esempio_2.com.

Configurazione delle impostazioni di notifica per iMessaging Security Agent

Procedura





4. Fare clic su Operazioni > Impostazioni di notifica.



• Indirizzo e-mail: l'indirizzo per conto del quale WFBS invia i messaggi dinotifica.

• Definizione posta interna


6-62

• Predefinita: WFBS considera i messaggi e-mail provenienti dallo stessodominio come posta interna.

• Personalizzata: Specificare singoli indirizzi e-mail o domini da trattarecome messaggi interni.


Configurazione di Manutenzione spamLa schermata Manutenzione spam consente di configurare le impostazioni di EndUser Quarantine (EUQ) o quarantena lato server.

Procedura





4. Fare clic su Operazioni > Manutenzione spam.


5. Fare clic su Attiva strumento End User Quarantine.

Quando si attiva lo strumento EUQ, viene creata una cartella di quarantena sul latoserver per ogni casella di posta del client e la cartella Posta indesiderataviene aggiunta alla struttura ad albero delle cartelle Outlook. Dopo l'attivazionedello strumento EUQ e la creazione delle cartelle Posta indesiderata, EUQ filtra imessaggi di spam inserendoli automaticamente nella cartella Posta indesideratadell'utente. Per i dettagli, consultare Gestione della End User Quarantine a pagina 6-63.

SuggerimentoSe si seleziona questa opzione, Trend Micro consiglia di disattivare la barra deglistrumenti Trend Micro Anti-Spam degli agent per migliorare le prestazioni dei client.


Advanced)

6-63

Deselezionare l'opzione Attiva strumento End User Quarantine per disattivarelo strumento di quarantena dell'utente finale per tutte le caselle di posta del serverMicrosoft Exchange. Quando si disattiva lo strumento EUQ, le cartelle Postaindesiderata non vengono rimosse, ma i messaggi individuati come spam nonvengono spostati automaticamente in queste cartelle.

6. Fare clic su Crea cartella di spam ed elimina i messaggi di spam per generare(immediatamente) cartelle di Posta indesiderata per i client di posta appena creati eper quelli che hanno eliminato la propria cartella Posta indesiderata. Per gli altriclient di posta esistenti, verranno eliminati i messaggi di spam precedenti al numerodi giorni specificato nel campo Impostazioni della cartella spam del client.

7. In Elimina i messaggi di spamming più vecchi di {numero} giorni,modificare il numero di giorni per cui Messaging Security Agent conserva imessaggi di spam. Il valore predefinito è 14 giorni e il limite massimo 30 giorni.

8. Per disattivare lo strumento End User Quarantine per gli utenti selezionati:

a. In Elenco eccezioni dello strumento End User Quarantine immetterel'indirizzo e-mail dell'utente finale per il quale si intende disattivare laquarantena.

b. Fare clic su Aggiungi.

L'indirizzo e-mail dell'utente finale verrà aggiunto all'elenco degli indirizzi percui lo strumento EUQ è disattivato.

Per rimuovere un utente finale dall'elenco e ripristinare il servizio EUQ,selezionare l'indirizzo e-mail dell'utente finale dall'elenco e fare clic suElimina.


Gestione della End User QuarantineDurante l'installazione, il Messaging Security Agent aggiunge una cartella, Postaindesiderata, alla casella di posta lato server di ciascun utente finale. Quando ricevemessaggi indesiderati, il sistema li mette in quarantena nella cartella in base alle regole delfiltro anti-spam definite da Messaging Security Agent. Gli utenti finali hanno la


6-64

possibilità di visualizzare questa cartella per aprire, leggere o eliminare i messaggi e-mailsospetti. Vedere Configurazione di Manutenzione spam a pagina 6-62.

In alternativa, gli amministratori possono creare la cartella "Posta indesiderata" suMicrosoft Exchange. Quando l'amministratore crea un account di casella di posta,l'entità della casella di posta non viene creata immediatamente nel server MicrosoftExchange, ma verrà creata nei seguenti casi:

• Un utente finale accede alla casella di posta per la prima volta

• Il primo messaggio e-mail arriva nella casella di posta

Prima che la Quarantena utente finale possa creare una cartella Posta indesiderata, ènecessario che l'amministratore crei l'entità della casella di posta.

Cartella posta indesiderata lato client

Gli utenti finali possono aprire i messaggi e-mail messi in quarantena nella cartella dellospam. Quando si apre uno di questi messaggi, nel messaggio e-mail vengono visualizzatidue pulsanti: Mittente approvato e Visualizza elenco mittenti approvati.

• Quando un utente finale apre un messaggio e-mail contenuto nella cartella Postaindesiderata e fa clic su Mittente approvato, l'indirizzo del mittente del messaggioin questione viene aggiunto all'elenco dei Mittenti approvati dell'utente finale.

• Selezionando Visualizza elenco mittenti approvati, si apre un'altra schermatache consente agli utenti finali di visualizzare e modificare il proprio elenco dimittenti approvati per parametri quali indirizzo e-mail o dominio.

Mittenti approvati

Quando l'utente finale riceve un messaggio e-mail nella cartella Posta indesiderata e faclic su Approva mittente, il Messaging Security Agent sposta il messaggio nella casellalocale Posta in arrivo dell'utente finale e aggiunge l'indirizzo del mittente all'elencopersonale Mittenti approvati dell'utente finale. Messaging Security Agent inseriscel'evento nel registro.

Quando il server Microsoft Exchange riceve messaggi dagli indirizzi inseriti nell'elencoMittenti approvati dell'utente finale, li smista nella casella della posta in arrivo dell'utentefinale, a prescindere dall'intestazione o dal contenuto del messaggio.


Advanced)

6-65

NotaMessaging Security Agent fornisce inoltre agli amministratori un elenco dei mittentiapprovati e bloccati. Prima di prendere in considerazione l'elenco degli utenti finali,Messaging Security Agent applica quello dell'amministratore.

Funzione di manutenzione di End User Quarantine

La funzione di manutenzione di Messaging Security Agent esegue le seguenti operazioniprogrammate ogni 24 ore all'orario predefinito (2:30):

• Eliminazione automatica dei messaggi di spam scaduti

• Creazione di una nuova cartella di spam dopo l'eliminazione

• Creazione delle cartelle di spam per account e-mail appena creati

• Gestione delle regole dei messaggi e-mail

La funzione di manutenzione è parte integrante di Messaging Security Agent e nonrichiede alcuna configurazione.

Assistenza Trend Micro/Programma di debugIl programma di assistenza/debug può risultare utile per eseguire il debug o per fornireinformazioni sullo stato dei processi di Messaging Security Agent. Se si riscontranodifficoltà impreviste, è possibile utilizzare il programma di debug per creare dei report dainviare all'assistenza tecnica di Trend Micro per ulteriori analisi.

Ciascun Messaging Security Agent inserisce messaggi nel programma, quindi registral'azione nei file di registro al momento dell'esecuzione. È possibile inoltrare i registri allostaff tecnico di Trend Micro per facilitare le operazioni di debug del flusso effettivo delprogramma nell'ambiente in uso.

È inoltre possibile utilizzare il programma di debug per generare registri nei seguentimoduli:

• Servizio principale Messaging Security Agent

• Server di configurazione remota di Messaging Security Agent


6-66

• System Watcher di Messaging Security Agent

• Virus Scan API (VSAPI)

• SMTP (Simple Mail Transport Protocol)

• CGI (Common Gateway Interface)

Per impostazione predefinita, MSA conserva i registri nella seguente directorypredefinita:

<Cartella di installazione di Messaging Security Agent>\Debug

Visualizzare il risultato con un qualsiasi editor di testo.

Generazione di rapporti del programma di debug disistema

Generare rapporti del programma di debug per aiutare l'assistenza Trend Micro arisolvere i problemi.

Procedura





4. Fare clic su Operazioni > Assistenza tecnica/Programma di debug.


5. Selezionare i moduli da monitorare:

• Servizio principale di Messaging Security Agent

• Server di configurazione remota di Messaging Security Agent

• System Watcher di Messaging Security Agent


Advanced)

6-67

• Virus Scan API (VSAPI)

• SMTP (Simple Mail Transport Protocol)

• CGI (Common Gateway Interface)


Il programma di debug inizia a raccogliere i dati circa i moduli selezionati.

Monitoraggio in tempo realeMonitoraggio in tempo reale visualizza informazioni in tempo reale sul server MicrosoftExchange selezionato e sul relativo Messaging Security Agent. Vengono visualizzateinformazioni sui messaggi analizzati e sulle statistiche di protezione, compreso il numerodi virus e di messaggi spam rilevati, di allegati bloccati e di violazioni dei contenuti.Verifica anche se l'agent sta funzionando correttamente.

Uso del Monitoraggio in tempo reale

Procedura

1. Per accedere al Monitoraggio in tempo reale dalla console Web:

a. Accedere a Impostazioni di sicurezza.

b. Selezionare un agent.

c. Fare clic su Configura.


d. Fare clic sul collegamento Monitoraggio in tempo reale nella partesuperiore destra dello schermo.

2. Per accedere al Monitoraggio in tempo reale dal menu Start di Windows, fare clicsu Programmi > Trend Micro Messaging Security Agent > Monitoraggio intempo reale.


6-68

3. Fare clic su Reimposta per azzerare le statistiche della protezione.

4. Fare clic su Cancella contenuto per cancellare le informazioni obsolete suimessaggi sottoposti a scansione.

Aggiunta di una declinazione di responsabilitàai messaggi e-mail in uscita

È possibile aggiungere un messaggio di declinazione di responsabilità solo ai messaggi e-mail in uscita.

Procedura

1. Creare un file di testo e aggiungere il testo della declinazione di responsabilità aquesto file.

2. Modificare le seguenti chiavi nel registro:

• Prima chiave:

Percorso: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMailfor Exchange\CurrentVersion

Chiave: EnableDisclaimer

Tipo: REG_DWORD

Valore dati: 0 - disattiva, 1 - attiva

• Seconda chiave:


Chiave: DisclaimerSource

Tipo: REG_SZ

Valore: Il percorso completo del file contenente la declinazione diresponsabilità.


Advanced)

6-69

Ad esempio, C:\Data\Disclaimer.txt

NotaPer impostazione predefinita, WFBS rileva se un messaggio di posta in uscitaviene inviato a un dominio interno o esterno e aggiunge una declinazione diresponsabilità a ogni messaggio inviato a domini esterni. L'utente può sostituirel'impostazione predefinita e aggiungere una declinazione di responsabilità a ognimessaggio in uscita, fatta eccezione per i domini inclusi nelle seguenti chiavi diregistro:

• Terza chiave:


Chiave: InternalDomains

Tipo: REG_SZ

Valore: Digitare i nomi dei domini da escludere. Separare le voci con un puntoe virgola (;).

Ad esempio: dominio1.org;dominio2.org

NotaI nomi dei domini inseriti qui sono i nomi DNS dei server Exchange.

7-1

Capitolo 7

Gestione delle scansioniIn questo capitolo viene descritto come eseguire scansioni sui Security Agent e suiMessaging Security Agent (solo Advanced) per proteggere rete e client dalle minacce.


7-2

Informazioni sulle scansioniNel corso di una scansione, il motore di scansione di Trend Micro funziona in modointegrato con il file di pattern per completare il primo livello di rilevamento utilizzandoun processo detto "pattern matching". Poiché ogni minaccia contiene una firma univocao una stringa di caratteri riconoscibili che lo distinguono da qualsiasi altro codice,porzioni rivelatrici inerti di questo codice vengono rilevate nel file di pattern. Il motoreconfronta alcune parti di ogni file analizzato con pattern del file di pattern, alla ricerca diqualche corrispondenza.

Quando il motore di scansione individua un file contenente una minaccia, esegueoperazioni quali la disinfezione, la quarantena, l’eliminazione o la sostituzione con testo/file (solo Advanced). È possibile personalizzare tali operazioni al momentodell'impostazione delle operazioni di scansione.

Worry-Free Business Security offre tre tipi di scansione. Ciascuna scansione si prefiggeuno scopo e un utilizzo diverso, ma tutte sono configurate approssimativamente allostesso modo.

• Scansione in tempo reale. Per maggiori dettagli, consultare Scansione in tempo reale apagina 7-2.

• Scansione manuale. Per maggiori dettagli, consultare Scansione manuale a pagina7-3.

• Scansione pianificata. Per maggiori dettagli, consultare Scansione pianificata a pagina7-7.

I Security Agent utilizzano uno dei due metodi di scansione per le scansioni:

• Smart Scan

• Scansione tradizionale

Per maggiori dettagli, consultare Metodi di scansione a pagina 5-3.

Scansione in tempo realeLa scansione in tempo reale è una scansione continua e costante.

Gestione delle scansioni

7-3

Ogniqualvolta un file viene aperto, scaricato, copiato o modificato, la scansione intempo reale del Security Agent analizza il file per rilevare eventuali minacce. Perulteriori dettagli sulla configurazione della Scansione in tempo reale, vedere Configurazionedella scansione in tempo reale per i Security Agent a pagina 5-7.

In caso di messaggi e-mail, la scansione in tempo reale nel Messaging Security Agent(solo Advanced) protegge tutti i possibili punti di ingresso di virus, effettuando lascansione in tempo reale di tutti i messaggi in entrata, messaggi SMTP, documentipubblicati su cartelle pubbliche e file replicati da altri server Microsoft Exchange. Perulteriori dettagli sulla configurazione della Scansione in tempo reale, vedere Configurazionedella scansione in tempo reale per Messaging Security Agent a pagina 6-6.

Scansione manualeLa scansione manuale è una scansione su richiesta.

La Scansione manuale sui Security Agent elimina le minacce dai file e sradica leinfezioni obsolete, se presenti, per ridurre al minimo ulteriori infezione.

La Scansione manuale sui Messaging Security Agents (solo Advanced) esegue lascansione di tutti i file nell'archivio informazioni del server Microsoft Exchange.

Il tempo impiegato per la scansione dipende dalle risorse hardware del client e dalnumero di file sui quali eseguire la scansione. Una Scansione manuale in corso èinterrompibile dall'amministratore del Security Server se la scansione è stata eseguita daremoto da una console Web, o in alternativa dall'utente se la scansione è stata eseguitadirettamente sul client.

SuggerimentoTrend Micro consiglia di eseguire le scansioni manuali tutte le volte che si verificaun'infezione virale.


7-4

Esecuzione di scansioni manualiQuesta procedura descrive in che modo gli amministratori del Security Server eseguonoscansioni manuali su Security Agent e Messaging Security Agent (solo Advanced)dalla console Web.

NotaSelezionando con il pulsante destro del mouse l'icona del Security Agent nella barra delleapplicazioni di Windows e poi scegliendo Esegui scansione, la scansione manuale èeseguibile anche direttamente dai client. La scansione manuale direttamente dai serverMicrosoft Exchange è impossibile.

Procedura

1. Raggiungere Scansioni > Scansione manuale.

2. (Opzionale) Personalizzare le impostazioni di scansione prima di eseguire laScansione manuale.


7-5

ISTRUZIONI E NOTE IMPOSTAZIONI DI SCANSIONE CONSIGLIATE

Per personalizzare le impostazioni discansione del Security Agent, fare clicsu un gruppo desktop o server.

Vedere Destinazioni di scansione eazioni per i Security Agent a pagina7-10.

NotaLe impostazioni di scansione per iSecurity Agent sono utilizzateanche quando gli utenti eseguonola Scansione manualedirettamente dai client. Tuttavia, segli utenti detengono i privilegi perconfigurare le proprie impostazionidi scansione, durante la scansionevengono utilizzate le impostazionidi scansione impostate dall'utente.

Destinazione

• Tutti i file analizzabili: Include tutti ifile analizzabili. I file nonanalizzabili sono i file protetti dapassword, i file codificati o i file cheeccedono le limitazioni discansione definite dall'utente.

• Esamina file compressi fino a 1livelli di compressione: Sottoponea scansione i file compressi checontengono 1 livello dicompressione. L'impostazionepredefinita è "disattivato" per ilgruppo di server predefinito e"attivato" per il gruppo di desktoppredefinito.

Esclusioni

• Non effettua la scansione delledirectory in cui sono installati iprodotti Trend Micro

Impostazioni avanzate

• Modifica elenco Approvatispyware/grayware (solo per anti-spyware)


7-6


Per personalizzare le impostazioni discansione del Messaging SecurityAgent, espandere un agent e fare clicsu:

• Antivirus: Selezionare affinchél'agent esegua una scansione cheindividui virus e altri malware.Vedere Destinazioni di scansione eazioni per i Messaging SecurityAgent a pagina 7-18.

• Filtro dei contenuti: Selezionareaffinché l'agent esegua la scansionedei messaggi e-mail alla ricerca dicontenuti non autorizzati. VedereGestione delle regole del filtro deicontenuti a pagina 6-16.

• Blocco allegati: Selezionareaffinché l'agent esegua la scansionedei messaggi e-mail alla ricerca diviolazioni delle regole relative agliallegati. Vedere Configurazione delblocco degli allegati a pagina 6-47.

• L'agent esegue la scansione di tuttii file analizzabili. Nella scansionevengono inclusi anche i corpi deimessaggi e-mail.

• Quando l'agent rileva un filecontenente un virus o malware, lodisinfetta. Se la disinfezione non èpossibile, il file viene sostituito condel testo o un altro file.

• Quando l'agent rileva un file conun Trojan o worm, sostituisce laminaccia informatica con testo oun altro file.

• Quando rileva un file con unPacker, l'agent sostituisce il Packercon testo o un altro file.

• L'agent non disinfetta i file infetticompressi. In questo modo, ladurata della scansione in temporeale viene ridotta.

3. Selezionare i gruppi o i Messaging Security Agent sui quali eseguire la scansione.

4. Fare clic su Esegui scansione.

Il Security Server invia una notifica agli agent per l'esecuzione della Scansionemanuale. La schermata Risultati di notifica scansione che compare mostra ilnumero di agent che hanno ricevuto la notifica e quelli che non l'hanno ricevuta.

5. Per interrompere le scansioni in corso, fare clic su Interrompi scansione.

Il Security Server invia un'altra notifica agli agent per l'interruzione della Scansionemanuale. La schermata Risultati di notifica interruzione scansione che comparemostra il numero di agent che hanno ricevuto la notifica e quelli che non l'hannoricevuta. I Security Agent potrebbero non ricevere la notifica se si disconnettonodurante la scansione o in caso di interruzioni della connessione di rete.


7-7

Scansione pianificataUna scansione pianificata è simile a una scansione manuale, ma effettua le scansioni ditutti i file e dei messaggi e-mail (solo Advanced) in momenti prestabiliti e con frequenzepredeterminate. Utilizzare le scansioni pianificate per automatizzare le scansioni diroutine dei client e per migliorare l'efficienza della gestione delle minacce.

Suggerimento

Eseguire le scansioni pianificate lontano dagli orari lavorativi, per minimizzare potenzialiinterruzioni per utenti e rete.

Configurazione delle scansioni pianificate

Trend Micro consiglia di non pianificare una scansione contemporaneamente a unaggiornamento pianificato. In situazioni del genere, la scansione pianificata può subireinterruzioni premature. Analogamente, se si avvia una scansione manuale quando è inesecuzione una scansione pianificata, la scansione pianificata viene interrotta, anche secontinuerà a rispettare la pianificazione per le volte successive.

Procedura

1. Raggiungere Scansioni > Scansione pianificata.

2. Fare clic sulla scheda Pianificazione.

a. Configurare la frequenza di scansione (giornaliera, settimanale o mensile) el'ora di inizio. Ogni gruppo o Messaging Security Agent può avere la propriapianificazione.

Nota

Per le scansioni pianificate mensili, se si selezionano 31, 30 o 29 giorni e unmese ha meno di questo numero di giorni, la scansione non viene eseguita perquel mese.

b. (Opzionale) Selezionare Arresta il client dopo la scansione pianificata.


7-8

c. Fare clic su Salva.

3. (Opzionale) Fare clic sulla scheda Impostazioni per personalizzare le impostazionidella Scansione pianificata.


Per personalizzare le impostazioni discansione del Security Agent, fare clicsu un gruppo desktop o server. VedereDestinazioni di scansione e azioni per iSecurity Agent a pagina 7-10.

NotaSe gli utenti hanno i privilegi perconfigurare impostazioni discansione personalizzate, durantela scansione vengono utilizzate leimpostazioni di scansioneimpostate dall'utente.

Destinazione

• Tutti i file analizzabili: Include tutti ifile analizzabili. I file nonanalizzabili sono i file protetti dapassword, i file codificati o i file cheeccedono le limitazioni discansione definite dall'utente.

• Esamina file compressi fino a 2livelli di compressione: Sottoponea scansione i file compressi checontengono 1 livello dicompressione.

Esclusioni

• Non effettua la scansione delledirectory in cui sono installati iprodotti Trend Micro.

Impostazioni avanzate

• Esamina settore boot (solo perantivirus)

• Modifica elenco Approvatispyware/grayware (solo per anti-spyware)


7-9


Per personalizzare le impostazioni discansione del Messaging SecurityAgent, espandere un agent e fare clicsu:

• Antivirus: Selezionare affinchél'agent esegua una scansione cheindividui virus e altri malware.Vedere Destinazioni di scansione eazioni per i Messaging SecurityAgent a pagina 7-18.

• Filtro dei contenuti: Selezionareaffinché l'agent esegua la scansionedei messaggi e-mail alla ricerca dicontenuti non autorizzati. VedereGestione delle regole del filtro deicontenuti a pagina 6-16.

• Blocco allegati: Selezionareaffinché l'agent esegua la scansionedei messaggi e-mail alla ricerca diviolazioni delle regole relative agliallegati. Vedere Configurazione delblocco degli allegati a pagina 6-47.

• L'agent esegue una scansionetutte le domeniche alle 5:00.

• È possibile personalizzare lapianificazione da eseguire suiclient durante le ore non di punta.L'agent esegue la scansione di tuttii file analizzabili. Nella scansionevengono inclusi anche i corpi deimessaggi e-mail.

• Quando l'agent rileva un filecontenente un virus o malware, lodisinfetta. Se la disinfezione non èpossibile, il file viene sostituito condel testo o un altro file.

• Quando l'agent rileva un file conun Trojan o worm, sostituisce laminaccia informatica con testo oun altro file.

• Quando l'agent rileva un file conun Packer, lo sostituisce con testoo un altro file.

• L'agent non disinfetta i file infetticompressi.

4. Selezionare i gruppi o il Messaging Security Agent che applicherà le impostazionidella Scansione pianificata.

NotaPer disattivare la Scansione pianificata, deselezionare la casella di controllo per ilgruppo o il Messaging Security Agent.



7-10

Destinazioni di scansione e azioni per iSecurity Agent

Configurare le seguenti impostazioni per ogni tipo di scansione (scansione manuale,scansione pianificata e scansione in tempo reale):

Scheda Destinazione

• Obiettivi scansione

• Esclusioni scansione

• Impostazioni avanzate

• Elenco Approvati spyware/grayware

Scheda Azione

• Azioni scansione/ActiveAction


Obiettivi scansione

Selezionare gli obiettivi di scansione:

• Tutti i file analizzabili: Include tutti i file analizzabili. I file non analizzabili sono ifile protetti da password, i file codificati o i file che eccedono le limitazioni discansione definite dall'utente.

Nota

Questa opzione garantisce la massima protezione possibile. Tuttavia, la scansione ditutti i file richiede molto tempo e numerose risorse e in determinate situazioni puòrisultare eccessiva. Per questo motivo, può essere opportuno limitare la quantità difile che l'agent deve includere nella scansione.

• IntelliScan: Sottopone a scansione i file in base al tipo di file effettivo. VedereIntelliScan a pagina D-2.


7-11

• Esegue la scansione dei file con le seguenti estensioni: Specificaremanualmente i file da sottoporre a scansione in base alle rispettive estensioni.Separare più voci con la virgola (,).

Esclusioni scansione

È possibile configurare le impostazioni riportate di seguito:

• Attivare o disattivare le esclusioni

• Escludere le directory del prodotto Trend Micro dalle scansioni

• Escludere altre directory dalle scansioni

vengono escluse anche tutte le sottodirectory contenute nel percorso di directoryspecificato.

• Escludere i nomi di file o i nomi di file con percorso completo dalle scansioni

I caratteri jolly come "*" non possono essere utilizzati nelle estensioni.

Nota

(solo Advanced) Se sui client è in esecuzione il server Microsoft Exchange, Trend Microconsiglia di escludere dalla scansione tutte le cartelle del server. Per escludere dallascansione le cartelle del server Microsoft Exchange su base globale, scegliere Preferenze >Impostazioni globali > Desktop/Server {scheda} > Impostazioni generali discansione, quindi selezionare Escludi le cartelle del server Microsoft Exchange incaso di installazione su server Microsoft Exchange.

Impostazioni avanzate (obiettivi di scansione)

TIPO DI SCANSIONE OPZIONE

Scansione in temporeale, scansionemanuale

Scansione unità collegate e cartelle condivise nella rete:Selezionare questa opzione per analizzare le directoryposizionate fisicamente su altri computer, ma mappate sulcomputer locale.

Scansione in temporeale

Scansione file compressi: Fino a __ livelli di compressione (fino a6 livelli)


7-12



Scansione disco floppy allo spegnimento del sistema


Attiva IntelliTrap: IntelliTrap rileva il codice dannoso, come adesempio i bot contenuti nei file compressi. Vedere IntelliTrap apagina D-2.

Scansione in temporeale, scansionemanuale escansionepianificata

Esegui scansione dei file compressi fino a ___ livelli: Un filecompresso dispone di un livello per ciascuna compressione. Seun file infetto è stato compresso su più livelli, è necessarioanalizzarlo in ciascuno dei livelli per rilevare l'infezione. Lascansione di più livelli, tuttavia, richiede più tempo e risorse.


Attivazione condizione/scansione:

• Lettura: Analizza i file di cui si legge il contenuto; i filevengono letti all'apertura, esecuzione, copia o spostamento.

• Scrittura: Analizza i file su cui si effettuano operazioni discrittura; la scrittura comprende le operazioni di modifica,salvataggio, download o copia da un'altra posizione.

• Lettura o scrittura

Scansione manuale,Scansionepianificata

Utilizzo CPU/Velocità di scansione: il Security Agent è in grado disospendere l'attività al termine della scansione di un file prima dipassare al successivo.

Selezionare le opzioni desiderate tra le seguenti:

• Alto: Nessuna sospensione tra le scansioni

• Medio: Effettua una pausa tra una scansione file e quellasuccessiva se il consumo di risorse della CPU è superiore al50%; in caso contrario non effettua la pausa

• Basso: Effettua una pausa tra una scansione file e quellasuccessiva se il consumo di risorse della CPU è superiore al20%; in caso contrario non effettua la pausa

Scansione in temporeale, scansionemanuale escansionepianificata

Modifica elenco Approvati spyware/grayware.


7-13


Scansione manuale,Scansionepianificata

Esegui Advance Cleanup: il Security Agent interrompe le attivitàdi software di protezione fasulli, detti anche FakeAV. L'agentutilizza anche regole di disinfezione avanzate per rilevare einterrompere in modo proattivo le applicazioni che manifestano uncomportamento da falso antivirus.

NotaPur fornendo una protezione proattiva, la disinfezioneavanzata determina anche un altro numero di falsi allarmi.

Elenco Approvati spyware/grayware

Alcune applicazioni vengono classificate da Trend Micro come spyware/grayware nonperché possono essere dannose per il sistema nel quale vengono installate, ma perchépotrebbero esporre il client o la rete ad attacchi da parte di minacce informatiche ohacker.

Worry-Free Business Security comprende un elenco di applicazioni potenzialmenterischiose e, per impostazione predefinita, impedisce a queste applicazioni di venireeseguite sui client.

Se i client devono eseguire delle applicazioni che Trend Micro ha classificato comespyware/grayware, sarà necessario aggiungere il nome delle applicazioni nell'elencoapprovati spyware/grayware.

Operazioni di scansione

Di seguito sono riportate le operazioni dei Security Agent contro virus/minacceinformatiche:

TABELLA 7-1. Azioni di scansione di virus/minacce informatiche

AZIONE DESCRIZIONE

Elimina Elimina il file infetto.


7-14

AZIONE DESCRIZIONE

Quarantena Rinomina e sposta il file infetto in una directory di quarantenatemporanea sul client.

I Security Agent che inviano i file in quarantena alla directory diquarantena designata, che si trova per impostazione predefinita sulSecurity Server.

Il Security Agent codifica i file in quarantena inviati a questa directory.

Se occorre ripristinare i file in quarantena, utilizzare lo strumentoVSEncrypt. Per ottenere informazioni sull'utilizzo di questo strumento,vedere Ripristino dei file crittografati a pagina 14-9.

Disinfetta Prima di consentire l'accesso completo al file, disinfetta il file infetto.

Se non è possibile disinfettare il file, il Security Agent esegue unaseconda operazione tra le seguenti: Metti in quarantena, Elimina,Rinomina e Ignora.

Questa operazione può essere eseguita su tutti i tipi di minacceinformatiche ad eccezione di virus/minacce informatiche probabili.

NotaAlcuni file non sono disinfettabili. Per i dettagli, consultare File nondisinfettabili a pagina D-28.

Rinomina Modifica l'estensione dei file infetti in "vir". Gli utenti non possono aprireil file rinominato immediatamente ma solo se lo associano a unadeterminata applicazione.

All'apertura del file infetto rinominato, il virus o la minaccia informatica inesso contenuti potrebbero entrare in azione.

Ignora Eseguita solo durante la scansione manuale o la scansione pianificata. IlSecurity Agent non può utilizzare questa azione di scansione durante laScansione in tempo reale perché la mancata esecuzione diun'operazione quando si rileva un tentativo di aprire o eseguire un fileinfetto consente l'esecuzione del virus/malware. Tutte le altre azioni discansione possono essere utilizzate.


7-15

AZIONE DESCRIZIONE

Impediscil'accesso

Eseguita solo durante la Scansione in tempo reale. Quando il SecurityAgent rileva un tentativo di aprire o eseguire un file infetto, bloccaimmediatamente l'operazione.

Gli utenti possono eliminare manualmente il file infetto.

L'azione di scansione eseguita dal Security Agent dipende dal tipo di scansione che harilevato lo spyware/grayware. Sebbene sia possibile configurare azioni specifiche perciascun tipo di virus/minaccia informatica, è possibile configurare solo un'azione validaper tutti i tipi di spyware/grayware. Ad esempio, quando il Security Agent rileva qualsiasitipo di spyware/grayware durante una scansione manuale (tipo di scansione), esegue ladisinfezione (operazione) delle relative risorse di sistema.

Di seguito sono riportate le operazioni del Security Agent contro spyware/grayware:

TABELLA 7-2. Azioni di scansione spyware/grayware

AZIONE DESCRIZIONE

Disinfetta Interrompe i processi o elimina registri, file, cookie e collegamenti.

Ignora Non esegue alcuna operazione sui componenti spyware/grayware rilevati,ma registra il rilevamento di spyware/grayware. Questa azione può essereeseguita solo durante una Scansione manuale e Scansione pianificata.Durante Scansione in tempo reale, l'azione è "Impedisci l'accesso".

Il Security Agent non esegue azioni se lo spyware/grayware rilevato non èincluso nell'elenco approvati.

Impediscil'accesso

Nega all'utente l'accesso (per copia e apertura) ai componenti grayware espyware rilevati. Questa azione può essere eseguita solo duranteScansione in tempo reale. Durante Scansione manuale e Scansionepianificata, l'azione è "Ignora".

ActiveAction

Virus/Minacce informatiche di tipo diverso richiedono operazioni di scansione diverse.La personalizzazione delle azioni di scansione richiede una conoscenza dei virus/minacce informatiche e può essere un compito alquanto noioso. Worry-Free BusinessSecurity utilizza ActiveAction per contrastare questi problemi.


7-16

ActiveAction è un insieme di azioni di scansione preconfigurate per virus/minacceinformatiche. Se non si dispone di una conoscenza approfondita delle operazioni discansione o se non si è sicuri di quali operazioni di scansione siano adatte a determinatitipi di virus/minacce informatiche, Trend Micro consiglia di affidarsi ad ActiveAction.

L'uso di ActiveAction offre i vantaggi illustrati di seguito.

• ActiveAction adotta le operazioni di scansione consigliate da Trend Micro. Non ènecessario dedicare tempo alla configurazione delle operazioni.

• Gli sviluppatori di virus modificano costantemente il modo in cui virus/minacceinformatiche attaccano i computer. Le impostazioni di ActiveAction vengonoaggiornate per fornire protezione dalle minacce più recenti e dalle modalità diattacco di virus/minacce informatiche più recenti.

La seguente tabella illustra in che modo ActiveAction gestisce i diversi tipi di virus eminacce informatiche:

TABELLA 7-3. Operazioni di scansione consigliate da Trend Micro contro virus eminacce informatiche

TIPO DI VIRUS/MINACCIA

INFORMATICA

SCANSIONE IN TEMPO REALESCANSIONE MANUALE/SCANSIONE

PIANIFICATA

PRIMAOPERAZIONE

SECONDAOPERAZIONE

PRIMAOPERAZIONE

SECONDAOPERAZIONE

Programma Joke Quarantena Elimina Quarantena Elimina

Programmacavallo di Troia/Worm

Quarantena Elimina Quarantena Elimina

Packer Quarantena N/D Quarantena N/D

Probabile virus/minacciainformatica

Impediscil'accesso oazioneconfiguratadall'utente

N/D Ignora oazioneconfiguratadall'utente

N/D

Virus Disinfetta Quarantena Disinfetta Quarantena


7-17


INFORMATICA


PIANIFICATA

PRIMAOPERAZIONE

SECONDAOPERAZIONE

PRIMAOPERAZIONE

SECONDAOPERAZIONE

Virus di prova Impediscil'accesso

N/D N/D N/D

Altro malware Disinfetta Quarantena Disinfetta Quarantena

Note e promemoria:

• Per i probabili virus/malware, l'azione predefinita è "Impedisci l'accesso" durante laScansione in tempo reale e "Ignora" durante la Scansione manuale e la Scansionepianificata. Se non si desidera impostare queste azioni come preferite, è possibilemodificarle in Quarantena, Elimina o Rinomina.

• Alcuni file non sono disinfettabili. Per i dettagli, consultare File non disinfettabili apagina D-28.

• ActiveAction non è disponibile per la scansione spyware/grayware.

Impostazioni avanzate (operazioni di scansione)


Scansione in temporeale, Scansionepianificata

Visualizza un messaggio di avviso sul desktop o serverquando viene rilevato un virus/spyware

Scansione in temporeale, Scansionepianificata

Visualizza un messaggio di avviso sul desktop o serverquando viene rilevato un potenziale virus/spyware

Scansione manuale,scansione in temporeale, scansionepianificata

Esegui risanamento quando viene rilevato un potenzialevirus/malware: Disponibile solo se si sceglie ActiveAction e se èstata personalizzata l'azione per potenziali virus/malware.


7-18

Destinazioni di scansione e azioni per iMessaging Security Agent

Configurare le seguenti impostazioni per ogni tipo di scansione (scansione manuale,scansione pianificata e scansione in tempo reale):

Scheda Destinazione

• Obiettivi scansione

• Impostazioni Scansione minacce ulteriori

• Esclusioni scansione

Scheda Azione

• Azioni scansione/ActiveAction

• Notifiche


Obiettivi scansione

Selezionare gli obiettivi di scansione:

• Tutti i file allegati: Vengono esclusi solo i file codificati o protetti da password.

NotaQuesta opzione garantisce la massima protezione possibile. Tuttavia, la scansione ditutti i file richiede molto tempo e numerose risorse e in determinate situazioni puòrisultare eccessiva. Per questo motivo, può essere opportuno limitare la quantità difile che l'agent deve includere nella scansione.

• IntelliScan: Sottopone a scansione i file in base al tipo di file effettivo. VedereIntelliScan a pagina D-2.

• Specifici tipi di file: WFBS sottopone a scansione i tipi di file selezionati e con leestensioni specificate. In caso di più voci, separarle con un punto e virgola (;).

Selezionare le altre opzioni:


7-19

• Attiva IntelliTrap: IntelliTrap rileva il codice dannoso, come ad esempio i botcontenuti nei file compressi. Vedere IntelliTrap a pagina D-2.

• Scansione corpo del messaggio: Effettua la scansione del corpo di un messaggioe-mail che potrebbe contenere delle minacce incorporate.

Impostazioni Scansione minacce ulteriori

Selezionare altre minacce che l'agent dovrebbe analizzare. Per ulteriori informazioni suqueste minacce, vedere Descrizione delle minacce a pagina 1-8.

Selezionare opzioni aggiuntive:

• Esegui il backup del file infetto prima di disinfettare: WFBS esegue il backupdella minaccia prima di disinfettare. Il file copiato mediante backup viene codificatoe memorizzato nella seguente directory sul client:

<Cartella di installazione Messaging Security Agent>\storage\backup

È possibile modificare la directory nella sezione Opzioni avanzate, sottosezioneImpostazione di backup.

Per decodificare il file, consultare Ripristino dei file crittografati a pagina 14-9.

• Non disinfettare i file compressi infetti al fine di ottimizzare le prestazioni.

Esclusioni scansione

Nella scheda Destinazione, raggiungere la sezione Esclusioni e selezionare tra iseguenti criteri quelli che l'agent utilizzerà per l'esclusione dei messaggi e-mail durante lescansioni:

• Le dimensioni del corpo del messaggio superano: Messaging Security Agentesegue la scansione dei messaggi e-mail solo se la dimensione del corpo delmessaggio è inferiore o equivalente al valore specificato.

• Le dimensioni dell'allegato superano: Messaging Security Agent esegue lascansione dei messaggi e-mail solo se la dimensione del file allegato è inferiore oequivalente al valore specificato.


7-20

SuggerimentoTrend Micro consiglia di impostare un limite di 30 MB.

• Il conteggio di file decompressi supera: Se la quantità di file decompressicontenuti in un file compresso supera questo valore, Messaging Security Agentesegue la scansione dei file solo fino al limite impostato da questa opzione.

• Le dimensioni del file decompresso superano: Messaging Security Agentesegue la scansione solo dei file compressi con una dimensione inferiore ocorrispondente a quella indicata dopo la decompressione.

• Il numero di livelli di compressione supera: Il Messaging Security Agent eseguela scansione solo dei file compressi con un numero di livelli specificati inferiore ocorrispondente a quello indicato. Ad esempio, se si imposta il limite su 5 livelli dicompressione, Messaging Security Agent esegue la scansione dei primi 5 livelli deifile compressi, ma non dei file compressi con 6 o più livelli.

• Le dimensioni del file decompresso sono "n" volte quelle del filecompresso: Messaging Security Agent esegue la scansione dei file compressi solose il rapporto tra la dimensione dei file decompressi e quella dei file compressi èinferiore al valore specificato. Questa funzione impedisce a Messaging SecurityAgent di analizzare un file compresso che potrebbe causare un attacco DoS (Denialof Service). Questo tipo di attacco si verifica quando le risorse di un server di postasono sovraccariche a causa di operazioni inutili. Se si impedisce a MessagingSecurity Agent di analizzare i file che decompressi assumono dimensioni notevoli,questo problema non dovrebbe verificarsi.

Esempio: nella tabella sottostante, il valore inserito come valore "n" è 100.

DIMENSIONE FILE

(NON COMPRESSO)

DIMENSIONE FILE

(NON COMPRESSO)RISULTATO

500 KB 10 KB (rapporto 50:1) Scansione eseguita

1000 KB 10 KB (rapporto 100:1) Scansione eseguita

1001 KB 10 KB (il rapporto supera100:1)

Scansione non eseguita *

2000 KB 10 KB (rapporto 200:1) Scansione non eseguita *


7-21

* Messaging Security Agent esegue sui file esclusi l'operazione indicata dall'utente.

Operazioni di scansione

Gli amministratori possono configurare Messaging Security Agent in modo che eseguale operazioni in base al tipo di minaccia rappresentata da virus/minacce informatiche,cavalli di Troia e worm. Se si utilizzano le operazioni personalizzate, impostare un'azioneper ciascun tipo di minaccia.

TABELLA 7-4. Azioni personalizzate di Messaging Security Agent

AZIONE DESCRIZIONE

Disinfetta Rimuove il codice dannoso dal corpo e dagli allegati dei messaggi.Il rimanente testo del messaggio e-mail e qualsiasi altro file noninfetto e i file disinfettati vengono consegnati ai relativi destinatari.Trend Micro consiglia di utilizzare l'azione di scansione predefinitaDisinfetta per virus/minacce informatiche.

In alcune circostanze, Messaging Security Agent non è in grado didisinfettare un file.

Durante una scansione manuale o pianificata, il MessagingSecurity Agent aggiorna l'archivio informazioni e sostituisce il filecon quello disinfettato.

Sostituisci contesto/file

Elimina il contenuto infetto/filtrato e lo sostituisce con testo o file. Ilmessaggio e-mail viene consegnato al destinatario, ma il testosostitutivo comunica che il contenuto originale era infetto ed èstato sostituito.

Per il Filtro dei contenuti e la Prevenzione della perdita di dati, èpossibile sostituire esclusivamente il testo nei campi del corpo oallegati (e non in Da, A, Cc o Oggetto).

Metti in quarantenaintero messaggio

(Solo Scansione in tempo reale) Sposta nella cartella dellaquarantena solo il contenuto infetto e il destinatario riceve ilmessaggio privo di tale contenuto.

Per Filtro dei contenuti, Prevenzione della perdita di dati e Bloccoallegati, sposta l'intero messaggio nella directory di quarantena.

Parte delmessaggio inquarantena

(Solo Scansione in tempo reale) Sposta nella cartella diquarantena solo il contenuto infetto o filtrato e il destinatario riceveil messaggio privo di tale contenuto.


7-22

AZIONE DESCRIZIONE

Elimina interomessaggio

(Solo Scansione in tempo reale) Elimina l'intero messaggio e-mail.Il destinatario originale non riceverà il messaggio.

Ignora Registra l'infezione da virus o i file dannosi nei registri dei virus manon esegue alcuna azione. I file esclusi, codificati o protetti dapassword vengono consegnati al destinatario senza che siaeffettuato l'aggiornamento dei registri.

Per il Filtro dei contenuti, consegna il messaggio così com'è.

Archivia Sposta il messaggio nella directory di archiviazione e consegna ilmessaggio al destinatario originale.

Inserisci inquarantena ilmessaggio nellacartella di spamlato server

Invia il messaggio al Security Server per la quarantena.

Inserisci inquarantena ilmessaggio nellacartella di spamutente

Invia il messaggio alla cartella di spam dell'utente per laquarantena. La cartella si trova lato server nell'Archivioinformazioni.

Contrassegna erecapita

Aggiunge un contrassegno alle informazioni dell'intestazione delmessaggio e-mail che lo identifica come spam, quindi lo spedisceal destinatario originale.

Oltre a queste operazioni, è anche possibile configurare:

• Attiva operazione per comportamento di invio di posta di massa: SelezionareDisinfetta, Sostituisci con testo/file, Elimina intero messaggio, Ignora o Parte delmessaggio in quarantena per le minacce con comportamento di invio di posta dimassa.

• In caso di disinfezione non riuscita, esegui la seguente operazione:Impostare l'operazione secondaria per i tentativi di disinfezione non riusciti.Selezionare Sostituisci con testo/file, Elimina intero messaggio, Ignora o Metti inquarantena la parte infetta del messaggio.


7-23

ActiveAction

La seguente tabella illustra in che modo ActiveAction gestisce i diversi tipi di virus eminacce informatiche:

TABELLA 7-5. Operazioni di scansione consigliate da Trend Micro contro virus eminacce informatiche


INFORMATICA


PIANIFICATA

PRIMAOPERAZIONE

SECONDAOPERAZIONE

PRIMAOPERAZIONE

SECONDAOPERAZIONE

Virus Disinfetta Elimina interomessaggio

Disinfetta Sostituisci contesto/file

Programmacavallo di Troia/Worm

Sostituisci contesto/file

N/D Sostituisci contesto/file

N/D

Packer Parte delmessaggio inquarantena

N/D Parte delmessaggio inquarantena

N/D

Altro codicedannoso

Disinfetta Elimina interomessaggio

Disinfetta Sostituisci contesto/file

Ulteriori minacce Parte delmessaggio inquarantena


N/D

Comportamento diinvio di posta dimassa

Elimina interomessaggio


N/D

Notifiche operazioni di scansione

Selezionare Notifica ai destinatari per impostare il Messaging Security Agent in modoche avvisi i destinatari interessati e che intervengano in caso di specifici messaggi di e-mail. Per diversi motivi, è possibile evitare di notificare ai destinatari di e-mail il bloccodi un messaggio contenente informazioni sensibili. Selezionare Non notificare adestinatari esterni per inviare le notifiche solo ai destinatari di messaggi interni.


7-24

Definire indirizzi interni da Operazioni > Impostazioni di notifica > Definizioneposta interna.

Inoltre, è possibile anche disattivare l’invio di notifiche ai destinatari esterni dei mittentidi spoofing.


7-25

Impostazioni avanzate (operazioni di scansione)

IMPOSTAZIONI DETTAGLI

Macro I virus da macro sono specifici per applicazione e infettano le utilitàmacro che accompagnano le applicazioni. La Scansione avanzatadelle macro utilizza tecniche di scansione euristica perl'individuazione di virus delle macro, oppure elimina tutti i codicimacro rilevati. La scansione euristica è un metodo valutativo dirilevamento dei virus che utilizza il riconoscimento dei pattern etecnologie basate sulle regole per ricercare codice delle macrodannoso. Questo metodo risulta particolarmente efficace per ilrilevamento di virus e minacce ancora non scoperti per i quali nonesistono impronte virali note.

Il Messaging Security Agent interviene contro codici macro dannosi aseconda dell'operazione configurata.

• Livello euristico

• Il livello 1 utilizza i criteri più specifici, ma rileva un numeroinferiore di codici macro.

• Il livello 4 permette di rilevare il numero più elevato possibiledi codici macro, ma utilizza i criteri meno specifici e potrebbepertanto identificare erroneamente del codice macrodannoso all'interno di codice macro sicuro.

SuggerimentoTrend Micro consiglia il livello di scansione euristico 2.Questo livello offre infatti un tasso di rilevamento elevatoper l'individuazione dei virus da macro sconosciuti, rapiditànella scansione e utilizza soltanto le regole necessarie percontrollare le stringhe di virus da macro. Il livello 2 è inoltrecaratterizzato da un tasso ridotto di rilevamenti di codicedannoso all'interno di codice macro sicuro.

• Elimina tutte le macro rilevate dalla scansione avanzatadelle macro: Elimina tutti i codici di macro rilevati nei fileanalizzati


7-26

IMPOSTAZIONI DETTAGLI

Parti nonanalizzabili deimessaggi

Impostare l'azione e la condizione di notifica per i file codificati e/oprotetti da password. Per l'azione, selezionare Sostituisci con testo/file, Metti in quarantena intero messaggio, Elimina intero messaggio,Ignora o Parte del messaggio in quarantena.

Parti escluse deimessaggi

Impostare l'azione e la condizione di notifica per le parti dei messaggiche sono state escluse. Per l'azione, selezionare Sostituisci contesto/file, Metti in quarantena intero messaggio, Elimina interomessaggio, Ignora o Parte del messaggio in quarantena.

Impostazione dibackup

Percorso dove salvare il backup dei file infetti prima che l'agent lidisinfetti.

Impostazioni disostituzione

Configurare il testo e il file del testo sostitutivo. Se l'azione consistenel sostituire con testo/file, WFBS sostituisce la minaccia conquesta stringa di testo e questo file.

8-1

Capitolo 8

Gestione degli aggiornamentiIn questo capitolo vengono descritti i componenti di Worry-Free Business Security e leprocedure di aggiornamento.


8-2

Panoramica sugli aggiornamentiTutti gli aggiornamenti ai componenti hanno origine dal server Trend MicroActiveUpdate. Quando sono disponibili aggiornamenti, il Security Server scarica icomponenti aggiornati e li distribuisce ai Security Agenti e ai Messaging Security Agent(solo Advanced).

Se un Security Server gestisce un numero elevato di Security Agent, l'aggiornamentopotrebbe utilizzare una grande quantità risorse del computer server e influire quindi sullastabilità e sulle prestazioni del server. Per ovviare a questo problema, Worry-FreeBusiness Security dispone della funzione Update Agent che consente ad alcuni SecurityAgent di condividere l'attività di distribuzione degli aggiornamenti agli altri SecurityAgent.

La tabella seguente contiene la descrizione delle diverse opzioni di aggiornamento delSecurity Server e degli agent e i consigli su quando utilizzarle:

TABELLA 8-1. Opzioni di aggiornamento

SEQUENZA DIAGGIORNAMENTO

DESCRIZIONE RACCOMANDAZIONE

1. Server ActiveUpdateo origineaggiornamentipersonalizzata

2. Security Server

3. Agent

Trend Micro Security Server riceve icomponenti aggiornati dal serverActiveUpdate (o da un'origine diaggiornamento personalizzata) e liimplementa direttamente sugliagent (Security Agent e MessagingSecurity Agent).

Utilizzare questometodo se non cisono sezioni adampiezza di bandaridotta tra il SecurityServer e gli agent.

Gestione degli aggiornamenti

8-3

SEQUENZA DIAGGIORNAMENTO

DESCRIZIONE RACCOMANDAZIONE

1. Server ActiveUpdateo origineaggiornamentipersonalizzata

2. Security Server

3. Update Agent,Messaging SecurityAgent, Security Agentsenza Update Agent

4. Tutti gli altri SecurityAgent

Trend Micro Security Server riceve icomponenti aggiornati dal serverActiveUpdate (o da un'origine diaggiornamenti personalizzata) e lidistribuisce direttamente su:

• Update Agent

• Messaging Security Agent

• Security Agent senza UpdateAgent

Gli Update Agent quindiimplementano i componenti suirispettivi Security Agent. Se taliSecurity Agent non sono in grado dieseguire l'aggiornamento, vengonoaggiornati direttamente dal SecurityServer.

Se ci sono sezioni adampiezza di bandaridotta tra il SecurityServer e i SecurityAgent, utilizzarequesto metodo perbilanciare il caricodel traffico nella rete.

1. Server ActiveUpdate

2. Security Agent

I Security Agent non in grado dieseguire l'aggiornamento danessuna origine si aggiornanodirettamente dal serverActiveUpdate.

NotaI Messaging Security Agentsnon vengono mai aggiornatidirettamente dal serverActiveUpdate. Se nessunaorigine è disponibile, ilMessaging Security Agentesce dal processo diaggiornamento.

Questo meccanismoè fornito solo comeultima risorsa.


8-4

Componenti aggiornabiliWorry-Free Business Security utilizza alcuni componenti per tenere i client protetticontro le minacce più recenti. Mantenere tali componenti aggiornati eseguendoaggiornamenti manuali o pianificati.

Visualizzare lo stato dei componenti Difesa dalle infezioni, Antivirus, Anti-spyware eVirus di rete dalla schermata Stato in tempo reale. Se Worry-Free Business Securityprotegge i server Microsoft Exchange (solo Advanced), è possibile inoltre visualizzare lostato dei componenti anti-spam. WFBS può inviare agli amministratori delle notifichequando è necessario l'aggiornamento dei componenti.

Nelle tabelle che seguono solo riportati i componenti che il Security Server scarica dalserver ActiveUpdate:

Componenti di messaggistica (solo Advanced)

COMPONENTE DISTRIBUITO A DESCRIZIONE

Motore di scansionedi MessagingSecurity Agent

Messaging SecurityAgent

Il pattern anti-spam individua lo spam piùrecente nei messaggi e-mail e negliallegati.

Motore di scansioneanti-spam diMessaging SecurityAgent a 32 e a 64bit


Il motore anti-spam rileva lo spam piùrecente nei messaggi e-mail e negliallegati.

Motore di scansionedi MessagingSecurity Agent a 32e a 64 bit


Il motore di scansione rileva wormInternet, invii di posta di massa, Cavalli diTroia, siti di phishing, spyware,vulnerabilità di rete e virus nei messaggi e-mail e negli allegati.

Motore di filtro URLdi MessagingSecurity Agent a 32e a 64 bit


Il motore fi filtro URL consente lacomunicazione tra WFBS e il servizioFiltro URL di Trend Micro. Il servizio FiltroURL è un sistema che valuta gli URL etrasmette a WFBS le informazioni sullavalutazione.


8-5

Antivirus e Smart Scan


Motore di scansionevirus a 32 e a 64 bit

Security Agent Tutti i prodotti Trend Micro si basano su unmotore di scansione, sviluppato in originein risposta ai primi virus per computerbasati su file. Il motore di scansioneattuale è eccezionalmente sofisticato ed èin grado di rilevare tipi di diversi di virus eminacce informatiche. Il motore discansione rileva inoltre virus controllatisviluppati e utilizzati a fini di ricerca.

Piuttosto che eseguire la scansione di ognisingolo byte di ciascun file, il motore e ilfile di pattern interagiscono per identificarequanto segue:

• Caratteri riconoscibili del codice delvirus

• Esatta posizione del virus all'interno diun file


8-6


Pattern per SmartScan

Non distribuito aiSecurity Agent.Questo patternrimane nel SecurityServer ed èutilizzato per larisposta a query discansione ricevutedai Security Agent.

Nella modalità Smart Scan i SecurityAgent utilizzano due pattern leggeri cheoperano insieme per fornire lo stessolivello di protezione dei pattern contro leminacce informatiche e anti-spywareconvenzionali.

Il pattern per Smart Scan contiene lamaggior parte delle definizioni dei pattern.Smart Scan Agent Pattern contiene tuttele altre definizioni dei pattern nondisponibili nel pattern di Smart Scan.

Il Security Agent esamina il client tramiteSmart Scan Agent Pattern per escludereminacce alla sicurezza. Un Security Agentnon in grado di determinare il rischio delfile durante la scansione, verifica il rischioinviando una query di scansione al serverdi scansione, un servizio in hosting sulSecurity Server. Il server di scansioneverifica il rischio tramite il pattern perSmart Scan. Il Security Agent memorizzanella cache il risultato della query discansione fornito dal server di scansioneper migliorare le prestazioni dellascansione.

Smart Scan AgentPattern

Security Agent cheutilizzano SmartScan

Pattern antivirus Security Agent cheutilizzano lascansioneconvenzionale

Il Pattern antivirus contiene informazioniche consentono ai Security Agent diidentificare i virus, le minacce informatichee le minacce di tipo misto più recenti.Trend Micro crea e rilascia nuove versionidel pattern antivirus diverse volte asettimana e ogni volta che vengonoscoperti virus e minacce informaticheparticolarmente dannosi.


8-7


Pattern IntelliTrap Security Agent Il pattern IntelliTrap rileva i file compressiin tempo reale impacchettati come fileeseguibili.

Per i dettagli, consultare IntelliTrap apagina D-2.

Pattern eccezioniIntelliTrap

Security Agent Il Pattern eccezioni IntelliTrap contiene unelenco dei file compressi "approvati".

Motore DamageCleanup a 32 e a 64bit

Security Agent Il motore Damage esamina e rimuoveCavalli di Troia e relativi e processi.

Modello DamageCleanup

Security Agent Il Modello Damage Cleanup vieneutilizzato dal Motore Damage Cleanup perindividuare i file dei Cavalli di Troia e irelativi processi e consentire al motore dieliminarli.

Anti-spyware


Motore di scansionedello spyware/grayware v.6 a 32 ea 64 bit

Security Agent Il motore di scansione anti-spywareesegue l'analisi e l'azione di scansioneappropriata su spyware/grayware.

Pattern spyware/grayware v.6

Security Agent Il pattern spyware identifica spyware egrayware nei file, nei programmi, neimoduli di memoria, nel registro diWindows e nei collegamenti URL.Pattern spyware/

graywareSecurity Agent


8-8

Virus di rete


Pattern firewall Security Agent Come il pattern antivirus, il pattern perfirewall aiuta gli agent a identificare ledefinizioni dei virus (pattern univoci di bit ebyte che segnalano la presenza di un virusdi rete).

Monitoraggio del comportamento e Controllo dispositivo


Pattern dirilevamentomonitoraggiocomportamento a 32e a 64 bit

Security Agent Questo pattern contiene le regole per larilevazione di un comportamento sospettodelle minacce.

Driver principalimonitoraggio delcomportamento a 32e a 64 bit

Security Agent Questo driver in modalità kernel controllagli eventi di sistema e li inoltra al Servizioprincipale monitoraggio delcomportamento per implementare i criteri.

Servizio principalemonitoraggio delcomportamento a 32e a 64 bit

Security Agent Questo servizio in modalità utente ha leseguenti funzioni:

• Fornisce il rilevamento rootkit

• Regola l'accesso a dispositivi esterni

• Protegge file, chiavi di registro eservizi

Pattern diconfigurazionemonitoraggio delcomportamento

Security Agent Driver monitoraggio del comportamentoutilizza questo pattern per individuare glieventi di sistema normali ed escluderlidall'implementazione dei criteri.


8-9


Pattern firma digitale Security Agent Questo pattern contiene un elenco di firmedigitali valide utilizzate da Servizioprincipale monitoraggio delcomportamento per determinare se unprogramma responsabile di un evento disistema è sicuro.

Patternimplementazione deicriteri

Security Agent Il Servizio principale monitoraggio delcomportamento verifica gli eventi delsistema rispetto ai criteri in questo pattern.

Difesa dalle infezioni


Pattern divalutazione dellavulnerabilità a 32 ea 64 bit

Security Agent Un file che include il database di tutte levulnerabilità. Il pattern di valutazione dellavulnerabilità fornisce le istruzioni utili almotore di scansione per la ricerca dellevulnerabilità note.

Hotfix, patch e service packDopo il rilascio ufficiale di un prodotto, Trend Micro spesso sviluppa hot fix, patch eservice pack come quelli riportati di seguito per risolvere problemi, migliorare leprestazioni del prodotto oppure aggiungere nuove funzioni:

• Hotfix a pagina D-2

• Patch a pagina D-10

• Patch di protezione a pagina D-26

• Service Pack a pagina D-26

Quando questi elementi vengono resi disponibili, l'utente viene informato dalrivenditore o dal fornitore dell'assistenza. Per informazioni sulla pubblicazione di hotfix,patch e service pack, consultare il sito Web di Trend Micro:

http://www.trendmicro.com/download/emea/?lng=it

http://www.trendmicro.com/download/emea/?lng=it


8-10

Tutte le pubblicazioni includono un file readme che contiene informazioni suinstallazione, implementazione e configurazione. Prima di eseguire l'installazione, leggereattentamente il file readme.

Aggiornamenti del Security ServerAggiornamenti automatici

Il Security Server esegue automaticamente i seguenti aggiornamenti:

• Immediatamente dopo l'installazione del Security Server, si aggiorna dal serverActiveUpdate di Trend Micro.

• A ogni avvio del Security Server, aggiorna i componenti e i criteri di difesa dalleinfezioni.

• Per impostazione predefinita, gli aggiornamenti pianificati avvengono ogni ora (lafrequenza di aggiornamento è modificabile nella console Web).

Aggiornamenti manuali

È possibile eseguire gli aggiornamenti manuali dalla console Web, se un aggiornamento èurgente.

Suggerimenti e promemoria per l'aggiornamento del server

• Dopo un aggiornamento, il Security Server distribuisce automaticamente icomponenti aggiornati agli agent. Per dettagli sui componenti distribuiti agli agent,vedere Componenti aggiornabili a pagina 8-4.

• Un Security Server IPv6 puro non può svolgere le seguenti operazioni:

• Ottenere aggiornamenti direttamente dal server ActiveUpdate di Trend Microo da un'origine di aggiornamento personalizzata IPv4.

• Distribuire aggiornamenti direttamente ad agent IPv4 puri.

Analogamente, un Security Server IPv4 puro non può ottenere aggiornamentidirettamente da un'origine di aggiornamento personalizzata IPv6 pura e distribuireaggiornamenti ad agent IPv6 puri.


8-11

In queste situazioni, è necessario un server proxy dual-stack in grado di convertiregli indirizzi IP, come ad esempio DeleGate, per consentire al Security Server diottenere e distribuire gli aggiornamenti.

• Se per connettersi a Internet si utilizza un server proxy, utilizzare le impostazionidel proxy corrette in Preferenze > Impostazioni > Proxy per scaricarecorrettamente gli aggiornamenti.

Duplicazione dei componenti

Trend Micro rilascia i file di pattern a cadenza regolare, in modo da mantenereaggiornata la protezione del client. Poiché gli aggiornamenti dei file di pattern sonodisponibili regolarmente, il Security Server utilizza un meccanismo chiamatoduplicazione dei componenti per un download più rapido dei file di pattern.

Quando la versione più recente di un file di pattern completo è disponibile per ildownload dal server ActiveUpdate di Trend Micro, sono disponibili anche patternincrementali. I pattern incrementali sono versioni ridotte del file di pattern completo checolmano la differenza tra l'ultima versione del file di pattern e le versioni precedenti. Adesempio, se la versione più recente è la 175, il pattern incrementale v_173.175 contienefirme presenti nella versione 175 e non presenti nella versione 173 (la versione 173 è laversione precedente del pattern completo in quanto i numeri di pattern aumentano aintervalli di 2). Il pattern incrementale v_171.175 contiene i dati presenti nella versione175 e non presenti nella versione 171.

Per ridurre il traffico di rete generato quando si scarica il pattern più recente, il SecurityServer esegue la duplicazione dei componenti, un metodo di aggiornamento deicomponenti in cui il server scarica solo i pattern incrementali. Per sfruttare laduplicazione dei componenti, verificare che il Security Server venga aggiornatoregolarmente. Diversamente, il server verrà forzato a scaricare il file di pattern completo.

La duplicazione dei componenti si applica ai seguenti componenti:

• Pattern antivirus

• Smart Scan Agent Pattern

• Modello Damage Cleanup

• Pattern eccezioni IntelliTrap


8-12

• Pattern spyware

Configurazione dell'origine di aggiornamento del SecurityServer


Per impostazione predefinita, il Security Server preleva gli aggiornamenti dal serverActiveUpdate Trend Micro. Specificare un'origine di aggiornamento personalizzata se ilSecurity Server non è in grado di raggiungere il server ActiveUpdate direttamente.

• Se l'origine è il Trend Micro ActiveUpdate Server, accertarsi che il serverdisponga di connessione a Internet e, se in caso di server proxy, provare se laconnessione a Internet è disponibile utilizzando le impostazioni del proxy. Per idettagli, consultare Configurazione delle impostazioni del proxy Internet a pagina 11-3.

• Se l'origine è un'origine di aggiornamento personalizzata (Percorso intranetcontenente una copia del file corrente o Altra fonte di aggiornamento),configurare l'ambiente e le risorse di aggiornamento opportune per questa originedi aggiornamento. Accertarsi, inoltre, che la connessione tra il Security Server el'origine aggiornamenti funzioni. Per ottenere supporto per la configurazione diun'origine di aggiornamento, contattare l'assistenza tecnica.

• Un Security Server IPv6 puro non può aggiornarsi direttamente dal serverActiveUpdate di Trend Micro o da qualsiasi origine di aggiornamentopersonalizzata IPv4 pura. Analogamente, un Security Server IPv4 puro non è ingrado di eseguire l'aggiornamento direttamente da origini personalizzate IPv6 pure.Per consentire a un Security Server di connettersi alle origini aggiornamenti, ènecessario un server proxy dual-stack in grado di convertire gli indirizzi IP, comead esempio DeleGate.

Procedura

1. Accedere ad Aggiornamenti > Origine.

2. Nella scheda Server, selezionare un'origine di aggiornamento.

• Trend Micro ActiveUpdate Server


8-13

• Percorso intranet contenente una copia del file corrente: Digitare ilpercorso nel formato Universal Naming Convention (UNC) per l'origine,come ad esempio \\Web\ActiveUpdate. Inoltre, specificare le credenzialidi accesso (nome utente e password) utilizzate dal Security Server perconnettersi a questa origine.

• Origine aggiornamenti alternativa: Immettere l'URL per questa origine.Accertarsi che la directory virtuale HTTP destinazione (condivisione Web) siadisponibile per il Security Server.


Aggiornamento manuale del Security Server

Aggiornare manualmente i componenti nel Security Server dopo aver installato oaggiornato il server e quando si verifica un'infezione.

Procedura

1. Avviare l'aggiornamento manuale in due modi:

• Accedere ad Aggiornamenti > Manuale.

• Raggiungere Stato in tempo reale, poi Stato del sistema > Aggiornamentodei componenti e fare clic su Aggiorna ora.

2. Selezionare i componenti da aggiornare.

Per ulteriori informazioni sui componenti, vedere Componenti aggiornabili a pagina 8-4.

3. Fare clic su Aggiorna.

Compare una nuova schermata che mostra lo stato dell'aggiornamento. Sel'aggiornamento termina correttamente, il Security Server distribuisceautomaticamente i componenti aggiornati agli agent.


8-14

Configurazione della pianificazione aggiornamenti per ilSecurity Server

Configurare Configurare il Security Server affinché controlli con regolarità l'origine diaggiornamento e scarichi automaticamente gli aggiornamenti disponibili.L'aggiornamento pianificato rappresenta un modo semplice ed efficace per assicurare ilcontinuo aggiornamento della protezione contro le minacce.

In presenza di virus/minacce informatiche, Trend Micro risponde velocemente allerichieste di aggiornamento dei file di pattern antivirus (la frequenza può essere superiorea quella settimanale). Vengono aggiornati regolarmente anche il motore di scansione ealtri componenti. Trend Micro consiglia di aggiornare i componenti ogni giorno (o conmaggiore frequenza, in caso di virus/minacce informatiche conclamati) per essere certiche l'agent si serva dei componenti più aggiornati.

Importante

Evitare di pianificare una scansione e un aggiornamento nello stesso momento. Insituazioni del genere, la scansione pianificata può subire interruzioni impreviste.

Procedura

1. Accedere ad Aggiornamenti > Pianificato.

2. Selezionare i componenti da aggiornare.

Per ulteriori informazioni sui componenti, vedere Componenti aggiornabili a pagina 8-4.

3. Fare clic sulla scheda Pianificazione, quindi specificare la pianificazionedell'aggiornamento.

• Gli aggiornamenti della scansione tradizionale includono tutti icomponenti, salvo Smart Scan Pattern e Smart Scan Agent Pattern. Sceglieretra aggiornamenti giornalieri, settimanali e mensili, quindi specificare un valoreper Aggiorna per un periodo di, ovvero l'orario durante il quale il SecurityServer esegue l'aggiornamento. Gli aggiornamenti del Security Serverpotranno verificarsi in qualsiasi momento all'interno di tale intervallotemporale.


8-15

Nota

Per gli aggiornamenti pianificate mensili (sconsigliate), se si selezionano 31, 30 o29 giorni e un mese ha meno di questo numero di giorni, l'aggiornamento nonviene eseguito per quel mese.

• Gli aggiornamenti smart scan includono solo i componenti Smart ScanPattern e Smart Scan Agent Pattern. Se nessuno degli agent utilizza smartscan, ignorare questo punto.


Rollback dei componenti

Il termine rollback indica il ripristino della versione precedente di Pattern dei virus,Smart Scan Agent Pattern e del Motore di scansione virus. Se questi componenti nonfunzionano correttamente, ripristinare le versioni precedenti. Il Security Server conservala versione attuale e quella precedente del Motore di scansione virus e le ultime treversioni del Pattern dei virus e di Smart Scan Agent Pattern.

Nota

Il rollback è consentito solo per i componenti riportati sopra.

Worry-Free Business Security utilizza diversi motori di scansione per gli agenti conpiattaforme a 32 e 64 bit. Questi motori di scansione devono essere ripristinatiseparatamente. La procedura di ripristino per tutti i tipi di motore di scansione èidentica.

Procedura

1. Accedere a Aggiornamenti > Rollback.

2. Fare clic su Sincronizza per un componente specifico per indicare agli agenti disincronizzare le versioni del componente alla versione presente sul server.


8-16

3. Fare clic su Rollback per un componente specifico per eseguire il rollback di quelcomponente su Security Server e sugli agenti.

Aggiornamenti di Security Agent e MessagingSecurity Agent

Aggiornamenti automatici

Security Agent e Messaging Security Agent (solo Advanced) eseguono automaticamentei seguenti aggiornamenti:

• Immediatamente dopo l'installazione, gli agent si aggiornano dal Security Server.

• Ogni volta che il Security Server completa un aggiornamento, effettuaautomaticamente il push degli aggiornamenti sugli agent.

• Ogni volta che un Update Agent completa un aggiornamento, effettuaautomaticamente il push degli aggiornamenti sui rispettivi Security Agent.

• Per impostazione predefinita, gli aggiornamenti pianificati vengono eseguiti:

• Ogni 8 ore sui Security Agent in ufficio

• Ogni 2 ore sui Security Agent fuori ufficio

• Per impostazione predefinita, il Messaging Security Agent esegue unaggiornamento pianificato ogni 24 ore alle ore 12:00.

Aggiornamenti manuali

Se un aggiornamento è urgente, eseguire un aggiornamento manuale dalla console Web.Accedere a Stato in tempo reale, Stato del sistema > Aggiornamento deicomponenti e fare clic su Implementa subito.

Suggerimenti e promemoria per l'aggiornamento di un agent

• I Security Agent si aggiornano dal Security Server, Update Agent oppure dal serverActiveUpdate di Trend Micro.

I Messaging Security Agent si aggiornano solo dal Security Server.


8-17

Per informazioni dettagliate sul processo di aggiornamento, fare riferimento aPanoramica sugli aggiornamenti a pagina 8-2.

• Un agent IPv6 puro non è in grado di ottenere aggiornamenti direttamente da unSecurity Server/Update Agent e da un server ActiveUpdate di Trend Micro IPv4puri.

Similmente, un agent IPv4 puro non può ottenere aggiornamenti direttamente daun Security Server/Update Agent IPv6 puro.

In queste situazioni, è necessario un server proxy dual-stack in grado di convertiregli indirizzi IP, come ad esempio DeleGate, per consentire all'agent di ottenere gliaggiornamenti.

• Per dettagli sui componenti aggiornati dall'agent, vedere Componenti aggiornabili apagina 8-4.

• Oltre ai componenti, gli agent ricevono file di configurazione aggiornati durantel'aggiornamento dal Security Server. Gli agent necessitano dei file di configurazioneper applicare nuove impostazioni. Ogni volta che si modificano le impostazioni diun agent attraverso la console Web, vengono modificati anche i file diconfigurazione.

Update AgentGli Update Agent sono Security Agent in grado di ricevere i componenti aggiornati dalSecurity Server o dal server ActiveUpdate e di implementarli in altri Security Agent.

Se si individuano sezioni della rete tra i client e Trend Micro Security Server come "abassa ampiezza di banda" o "a traffico intenso", è possibile specificare che i SecurityAgent fungano da Update Agent. Gli Update Agent riducono il consumo di ampiezza dibanda facendo in modo che non sia più necessario per tutti i Security Agent accedere alSecurity Server per gli aggiornamenti dei componenti. Ad esempio, se la rete èsegmentata per sede e il collegamento di rete tra i segmenti è caratterizzato da unfrequente carico di traffico elevato, Trend Micro consiglia di fare in modo che almenoun Security Agent di ciascun segmento agisca da Update Agent.

Il processo di aggiornamento dell'Update Agent può essere descritto nel modo seguente:


8-18

1. Il Security Server notifica agli Update Agent che sono disponibili nuoviaggiornamenti.

2. Gli Update Agent scaricano i componenti aggiornati dal Security Server.

3. Il Security Server invia una notifica ai Security Agent per segnalare che icomponenti aggiornati sono disponibili.


8-19

4. Ciascun Security Agent carica una copia della Update Agent Order Table perdeterminare l'origine dell'aggiornamento appropriata. L'ordine degli Update Agentnella Update Agent Order Table viene determinato inizialmente dall'ordine in cuisono stati aggiunti come Origini di aggiornamento alternative sulla console Web.Ciascun Security Agent esamina una voce della tabella alla volta, cominciando dallaprima, fino a quando identifica propria origine di aggiornamento.

5. I Security Agent scaricano quindi i componenti aggiornati dal rispettivo UpdateAgent. Se, per qualche motivo, l'Update Agent assegnato non è disponibile, ilSecurity Agent tenta di scaricare i componenti aggiornati dal Security Server.


8-20

Configurazione degli Update Agent

Procedura

1. Accedere a Aggiornamenti > Origine.

2. Fare clic sulla scheda Update Agent.

3. Effettuare le operazioni riportate di seguito:


8-21

OPERAZIONE PASSAGGI

Assegnazione diSecurity Agentcome UpdateAgent

a. Nella sezione Assegna Update Agent, fare clic suAggiungi.


b. Dalla casella a discesa, selezionare uno o più agenti chefungano da Update Agent.

c. Fare clic su Salva.

La schermata si chiude.

d. Ritornati alla sezione Assegna Update Agent, selezionareUpdate Agent eseguono sempre l'aggiornamento soloda Security Server se si desidera che gli Update Agenteseguano sempre il download dei componenti aggiornatidal Security Server anziché da un altro Update Agent.


8-22

OPERAZIONE PASSAGGI

Configurazionedell'aggiornamento dei SecurityAgent da partedegli UpdateAgent

a. Nella sezione Origini di aggiornamento alternative,selezionare Attiva origini di aggiornamento alternativeper Security Agent e Update Agent.

NotaLa disattivazione di questa opzione comportal'aggiornamento dei Security Agent da parte degliUpdate Agent, riportando l'origine di aggiornamentoal Security Server.



c. Digitare gli indirizzi IP dei Security Agent che sarannoaggiornati da un Update Agent.

• Immettere un intervallo di indirizzi IPv4.

Per specificare un singolo Security Agent, immetterel'indirizzo IP del Security Agent nei campi da e a.

• Immettere una lunghezza o un prefisso IP per IPv6.

d. Selezionare un Update Agent nell'elenco a discesa.

Se l'elenco a discesa non è disponibile, non è statoconfigurato alcun Update Agent.

e. Fare clic su Salva.

La schermata si chiude.

f. Definire più intervalli IP, secondo le esigenze. Se sono statidefiniti svariati intervalli IP, è possibile impostare la prioritàdell'intervallo IP tramite l'opzione Riordina. Quando ilSecurity Server notifica ai Security Agent la disponibilità dinuovi aggiornamenti, questi esaminano l'elenco degliintervalli IP per individuare l'origine di aggiornamentocorretta. Il Security Agent esamina la prima vocedell'elenco e prosegue fino a quando non individua l'originedi aggiornamento appropriata.


8-23

OPERAZIONE PASSAGGI

Configurazionedell'aggiornamento dei SecurityAgent da partedegli UpdateAgent

Suggerimentodefinire svariati Update Agent per lo stesso intervallo IPcome misura contro il failover. Ciò significa che se iSecurity Agent non sono in grado di eseguirel'aggiornamento dall'Update Agent, provano con altriUpdate Agent. A tale scopo, creare almeno due (2) vocicon lo stesso intervallo IP e assegnare a ciascuna unUpdate Agent diverso.

Rimozione diUpdate Agent

Per rimuovere gli Update Agent e annullare l'assegnazione ditutti i Security Agent assegnati, accedere alla sezione AssegnaUpdate Agent, selezionare la casella di controllocorrispondente al Nome computer dell'Update Agent e fare clicsu Rimuovi.

Questa azione non comporta la rimozione dell'intervallo diindirizzi IP del Security Agent nella sezione Origini diaggiornamento alternative ma fa sì che i Security Agent"orfani" riportino l'origine dell'aggiornamento al Security Server.Se si dispone di un altro Update Agent, è possibile assegnarloai Security Agenti orfani.

Annullamentodell'assegnazione dei SecurityAgent agliUpdate Agent

Se non si desidera che i Security Agent appartenenti a unintervallo di indirizzi IP siano aggiornati da un Update Agent,accedere alla sezione Origini di aggiornamento alternative,selezionare la casella di controllo corrispondente all'intervallo diindirizzi IP dei Security Agent e fare clic su Rimuovi.


9-1

Capitolo 9

Gestione delle notificheIn questo capitolo viene descritto l'utilizzo delle varie opzioni di notifica.


9-2

NotificheGli amministratori possono ricevere delle notifiche quando si verificano eventi anomaliin rete. Worry-Free Business Security può inviare notifiche per e-mail, SNMP o ilregistro di eventi di Windows.

Per impostazione predefinita, tutti gli eventi elencati nella schermata Notifiche sonoselezionati e attivano l'invio da parte del Security Server di notifiche all'amministratoredel sistema.

Eventi di minacce

• Difesa dalle infezioni: Un avviso è stato annunciato da TrendLabs o sono staterilevate vulnerabilità molto gravi.

• Antivirus: I virus o i malware rilevati su client o server Microsoft Exchange (soloAdvanced) superano un certo numero, le azioni intraprese contro i virus o leminacce risultano inefficaci, la scansione in tempo reale è disattivata sui client o iserver Microsoft Exchange.

• Anti-spyware: Spyware/grayware rilevato su client, compresi quelli che hannoimposto il riavvio del client infetto per rimuovere completamente la minacciaspyware/grayware. È possibile configurare la soglia di notifica relativa a spyware/grayware, ovvero il numero di incidenti spyware/grayware rilevati nel periodo ditempo specificato (un'ora per impostazione predefinita).

• Anti-spam (solo Advanced): Le occorrenze di spam superano una certapercentuale del totale dei messaggi e-mail.

• Reputazione Web: Il numero delle violazioni URL supera il numero configuratonell'arco di un certo periodo.

• Filtraggio degli URL: Il numero delle violazioni URL supera il numeroconfigurato nell'arco di un certo periodo.

• Monitoraggio del comportamento: Il numero delle violazioni dei criteri supera ilnumero configurato nell'arco di un certo periodo.

• Controllo del dispositivo: Il numero di violazioni di Controllo dispositivo hasuperato un determinato numero.

• Virus di rete: I virus di rete rilevati superano un certo numero.

Gestione delle notifiche

9-3

Eventi di sistema

• Smart Scan: I client configurati per Smart Scan non possono collegarsi al serverSmart Scan oppure il server non è disponibile.

• Aggiornamento componenti: L'ultimo aggiornamento dei componenti hasuperato un certo numero di giorni o i componenti aggiornati non sono statidistribuiti agli Agent in maniera sufficientemente rapida.

• Eventi di sistema insoliti: Lo spazio su disco restante su un client con sistemaoperativo Windows Server è inferiore al valore configurato e sta raggiungendolivelli pericolosamente bassi.

Eventi della licenza

• Licenza: La licenza del prodotto sta per scadere, l'uso del numero di postazioni èsuperiore al 100% oppure l'uso del numero di postazioni è superiore al 120%.

Configurazione degli eventi per le notificheLa configurazione delle notifiche prevede due passaggi. la selezione degli eventi per iquali si desidera generare le notifiche e la configurazione dei metodi di consegna.

Worry-Free Business Security offre tre metodi di consegna:

• Notifiche e-mail

• Notifiche SNMP

• Registro eventi di Windows

Procedura

1. Accedere a Preferenze > Notifiche.

2. Dalla scheda Eventi, Aggiornare i seguenti campi secondo le esigenze:

• E-mail: Selezionare la casella di controllo per ricevere le notifiche perquell'evento.

• Soglia avviso: Configurare la soglia e/o il periodo di tempo per l'evento.


9-4

• Nome dell'evento: Fare clic sul nome di un evento per modificare icontenuti della notifica per tale evento. Si possono aggiungere variabili tokenai contenuti. Per i dettagli, consultare Variabili token a pagina 9-4.

3. Fare clic sulla scheda Impostazioni e aggiornare i seguenti campi secondo leesigenze:

• Notifica e-mail: Impostare gli indirizzi e-mail del mittente e dei destinatari.Per i destinatari, separare gli indirizzi e-mail con il punto e virgola (;).

• Destinatario della notifica SNMP: SNMP è il protocollo utilizzato daglihost di rete per scambiare le informazioni utilizzate nella gestione delle reti.Per visualizzare i dati del trap SNMP, utilizzare un browser ManagementInformation Base.

• Attiva notifiche SNMP

• Indirizzo IP: Indirizzo IP del trap SNMP.

• Community: Stringa della community SNMP.

• Registrazione: Inviare le notifiche mediante il registro eventi di Windows

• Scrivi nel registro eventi di Windows


Variabili token

Utilizzare le variabili token per personalizzare la riga dell'oggetto e il corpo delmessaggio delle notifiche degli eventi.

Per evitare che messaggi e-mail provenienti da indirizzi con domini esterni sianoetichettati come spam, aggiungere gli indirizzi e-mail esterni agli elenchi Mittentiapprovati per Anti-spam.

I seguenti token rappresentano gli eventi di minacce rilevati sui desktop/server e suiserver Microsoft Exchange.

Gestione delle notifiche

9-5

VARIABILE DESCRIZIONE

{$CSM_SERVERNAME}

Nome del Security Server che gestisce gli agent

%CV Numero di incidenti

%CU Unità di tempo (minuti, ore)

%CT Numero di %CU

%CP Percentuale di messaggi spam sul totale dei messaggi e-mail

Esempio di notifica:

Trend Micro detected %CV virus incidents on your computer(s) in%CT %CU. Virus incidents that are too numerous or too frequentmight indicate a pending outbreak situation.

Refer to the Live Status screen on the Security Server forfurther instructions.

10-1

Capitolo 10

Utilizzo di Difesa dalle infezioniQuesto capitolo illustra la strategia di difesa dalle infezioni di Worry-Free BusinessSecurity, come configurare lo strumento Difesa dalle infezioni e come utilizzarlo perproteggere le reti e i client.


10-2

Strategia di difesa dalle infezioniLa Difesa dalle infezioni è un componente chiave della soluzione Worry-Free BusinessSecurity in grado di proteggere le aziende durante un'infezione di portata internazionale.

WFBS avvia Difesa dalle infezioni in risposta alle istruzioni fornite dai criteri di difesadalle infezioni. I criteri di difesa dalle infezioni di Trend Micro vengono elaborati epubblicati da Trend Micro per garantire una protezione ottimale ai client e alla retequando si verificano infezioni. Trend Micro pubblica i criteri di Prevenzione dalleinfezioni quando rileva la presenza su Internet di incidenti di frequenza e severitàrilevanti relativi a virus/minacce informatiche.

Security Server scarica i criteri di Prevenzione dalle infezioni dal server ActiveUpdate diTrend Micro ogni 30 minuti o quando viene avviato.

Nel corso della difesa dalle infezioni, Security Server applica i criteri di Difesa dalleinfezioni ed esegue le azioni necessarie per proteggere i client e la rete. È quindi possibileche le normali funzioni della rete vengano interrotte da misure particolari, come ilblocco delle porte e l'inaccessibilità delle directory. Personalizzando le impostazioni diDifesa dalle infezioni per i client e la rete, è possibile evitare conseguenze imprevistedovute all'applicazione dei criteri di Prevenzione dalle infezioni.

Come parte della strategia di difesa dalle infezioni, è possibile che Trend Micro inviiallarmi e altre informazioni in risposta a condizioni di minaccia. Ad esempio:

Allarmi rossi

Diverse unità aziendali hanno riscontrato una rapida diffusione di virus/malware. Inrisposta a queste minacce, Trend Micro attiva un processo di soluzione Allarme rosso di45 minuti che consiste nell'emissione di soluzioni di prevenzione e pattern di scansione enell'invio di notifiche rilevanti e strumenti di correzione, oltre a informazioni sullavulnerabilità e sulle minacce.

Allarmi gialli

Sono state inviate segnalazioni di infezione da più unità aziendali e le chiamateall'assistenza confermano la diffusione di alcune istanze. I server per implementazionericevono automaticamente un OPR (Official Pattern Release) e lo rendono disponibileper il download.

Utilizzo di Difesa dalle infezioni

10-3

Nel caso di diffusione di virus/malware tramite e-mail (solo Advanced), vengonodistribuiti automaticamente criteri di Prevenzione dalle infezioni per bloccare gli allegatidei messaggi e-mail sui server dotati di questa funzionalità.

Ciclo di vita delle infezioni

La strategia di difesa dalle infezioni si basa sull'idea che le infezioni presentano un ciclodi vita.

Il ciclo di vita di un'infezione si divide in tre fasi: prevenzione delle minacce,protezione dalle minacce e disinfezione delle minacce. Trend Micro risponde aogni fase adottando una strategia denominata Difesa dalle infezioni.

TABELLA 10-1. Risposta di difesa dalle infezioni alle fasi del ciclo di vita delle infezioni

FASE DELL'INFEZIONE FASE DI DIFESA DALLE INFEZIONI

Durante la prima fase di un ciclo diinfezione, gli esperti antivirus di TrendMicro mettono sotto osservazione unaminaccia informatica che sta attivamentecircolando su Internet. In questa fase nonè disponibile alcuna soluzione notacontro la minaccia.

Prevenzione delle minacce

La difesa dalle infezioni impedisce allaminaccia di attaccare i computer e la reteeseguendo le operazioni indicate nei criteriper infezioni scaricati dai server diaggiornamento di Trend Micro. Tali azionicomprendono l'invio di avvisi, il blocco delleporte e la negazione dell'accesso a cartelle efile.

Nella seconda fase dell'infezione, icomputer che sono stati colpiti dallaminaccia informatica trasmettono laminaccia ad altri computer. La minacciacomincia rapidamente a diffondersiattraverso le reti locali, causandointerruzioni dell'attività e danneggiando icomputer.

Protezione dalle minacce

La difesa dalle infezioni protegge i computera rischio indicando loro di scaricare icomponenti e le patch più recenti.

Nella terza e ultima fase di un'infezione,la minaccia perde progressivamente diintensità, facendo registrare sempremeno incidenti.

Disinfezione delle minacce

La difesa dalle infezioni ripara i dannieseguendo Cleanup Services. Le altrescansioni forniscono informazioni utilizzabilidagli amministratori per prevenire minaccefuture.


10-4

Operazioni di difesa dalle infezioni

La strategia di difesa dalle infezioni gestisce le infezioni in qualsiasi fase del ciclo di vita.In base ai criteri di Prevenzione dalle infezioni, la funzionalità di WFBS per la rispostaautomatica alle minacce adotta misure preventive come quelle descritte di seguito:

• Blocco delle cartelle condivise per impedire a virus/minacce informatiche diinfettare i file contenuti

• Blocco dei file con alcune estensioni sul server Microsoft Exchange (soloAdvanced)

• Aggiunta di regole per il filtro dei contenuti a Messaging Security Agent (soloAdvanced)

• Blocco delle porte per impedire a virus/minacce informatiche di utilizzare le portevulnerabili e di diffondere l'infezione sulla rete e sui client

NotaLa difesa dalle infezioni non blocca in alcun caso la porta utilizzata da Security Serverper comunicare con i client.

• Divieto di accesso in scrittura a file e cartelle per impedire a virus/minacceinformatiche di modificare i file

• Valutazione dei client della rete per identificare le vulnerabilità che ne determinanol'esposizione alle infezioni

• Implementazione del file di pattern antivirus più recente e del motore DamageCleanup

• Esecuzione della disinfezione su tutti i client colpiti dalle infezioni

• Scansione dei client e della rete e operazioni di intervento contro le minaccerilevate (se le funzionalità corrispondenti sono abilitate)

Valutazione delle vulnerabilitàValutazione delle vulnerabilità fornisce agli amministratori di sistema o altro personaleaddetto alla sicurezza della rete la possibilità di valutare i rischi per la sicurezza sulle reti.


10-5

Le informazioni raccolte durante la valutazione delle vulnerabilità rappresentano unavalida guida per la risoluzione dei problemi legati alle vulnerabilità note e alla protezionedelle reti.

Utilizzare la valutazione delle vulnerabilità per le seguenti operazioni.

• Eseguire la scansione dei computer della rete alla ricerca di vulnerabilità.

• Identificare le vulnerabilità in base a convenzioni di denominazione standard. Perulteriori informazioni sulle vulnerabilità e sul modo di porvi rimedio, fare clic sulnome della vulnerabilità.

• Visualizzare le vulnerabilità in base a computer e indirizzo IP. I risultati includonoil livello di rischio che le vulnerabilità rappresentano per il computer e l'intera rete.

• Segnalare le vulnerabilità associate a ciascun computer e descrivere i rischi per lasicurezza che tali computer rappresentano per l'intera rete.

• Configurare operazioni di scansione di tutti i computer collegati a una rete. Lescansioni sono in grado di individuare le singole vulnerabilità o un elenco di tutte levulnerabilità note.

• Eseguire operazioni manuali di valutazione o impostare l'esecuzione in base a unapianificazione.

• Richiedere il blocco dei computer che presentano un livello di rischio inaccettabileper la sicurezza della rete.

• Creare rapporti che identifichino le vulnerabilità in base ai singoli computer e chedescrivano i rischi per la sicurezza rappresentati da tali computer sull'intera rete. Irapporti identificano le vulnerabilità secondo convenzioni di denominazionestandard in modo che gli amministratori possano eseguire ulteriori ricerche perrisolverle e proteggere la rete.

• Visualizzare le cronologie di valutazione e confrontare i rapporti per comprenderemeglio le vulnerabilità e i fattori di rischio in evoluzione ai quali è esposta la rete.


10-6

Criteri di difesa dalle infezioniI criteri di prevenzione delle infezioni di Trend Micro sono un insieme di impostazionidi configurazione della sicurezza predefinite consigliate da Trend Micro, applicate inrisposta a un'infezione sulla rete.

I criteri di difesa dalle infezioni vengono scaricati da Trend Micro nel Security Server.

Quando Trend Micro Security Server rileva un'infezione, determina il grado di infezionee implementa immediatamente le misure di sicurezza più appropriate secondo quantoindicato nei criteri di prevenzione delle infezioni virali.

In base ai criteri, Risposta automatica alla minaccia esegue le seguenti misure preventiveper proteggere la rete in caso di infezione:

• Blocco delle cartelle condivise per impedire a virus/malware di infettare i file inesse contenuti

• Blocco delle porte per impedire a virus/minacce informatiche di utilizzare le portevulnerabili e infettare i file sulla rete e i client

• Divieto di accesso in scrittura a file e cartelle per impedire a virus/minacceinformatiche di modificare i file

Stato attuale della difesa dalle infezioniRaggiungere Difesa dalle infezioni > Stato corrente per visualizzare e tenere tracciadello stato di minacce virus/malware a livello mondiale.

Durante una minaccia di infezione, Worry-Free Business Security utilizza la strategia didifesa dalle infezioni per proteggere i computer e le reti. Nel corso di ciascuna fase,l'applicazione aggiorna le informazioni all'interno della pagina Stato attuale.

Prevenzione

La fase di prevenzione delle minacce della schermata Stato corrente fornisceinformazioni sulle minacce recenti, sui client con avvisi attivati e sui client che risultanovulnerabili alla minacce segnalate.


10-7

• Informazioni sulle minacce: La sezione Informazioni sulle minacce visualizzainformazioni su virus/malware attualmente su Internet e che possonocompromettere la rete e i client. In base alle informazioni sulle minacce, i criteri didifesa dalle infezioni intervengono per proteggere la rete e i client mentre TrendMicro sviluppa una soluzione (consultare Criteri di difesa dalle infezioni a pagina 10-6).Per visualizzare ulteriori informazioni su una minaccia sul sito Web di TrendMicro, scegliere Guida > Informazioni sulla sicurezza.

Questa sezione contiene le informazioni seguenti:

• Livello di rischio: Il livello di rischio rappresentato dalla minaccia per i cliente le reti in base al numero e alla severità degli incidenti dovuti a virus eminacce informatiche.

• Dettagli risposta automatica: Fare clic per visualizzare le azioni specificheutilizzate dalla Difesa dalle infezioni per proteggere i client dalla minacciaattuale. Fare clic su Disattiva per arrestare la Risposta automatica lato server esui moduli Agent.

• Stato di avviso per i computer online: Lo Stato di avviso per i computer onlinevisualizza il totale del numero di client che presentano o meno l'avviso automaticoattivato. Fare clic sul collegamento al numero sotto le colonne Attivato e Nonattivato per visualizzare più informazioni su determinati computer client.

Nota

Le sezioni riportate di seguito sono visibili solo dopo che si è verificata un'infezione.

Computer vulnerabili

La sezione Computer vulnerabili visualizza un elenco di client con vulnerabilità che lirendono soggetti alla minaccia visualizzata nella sezione Informazioni sulle minacce.

Protezione dalle minacce

La fase di protezione contro le minacce della schermata Stato attuale fornisceinformazioni sullo stato di download della soluzione dei componenti di aggiornamentodi Trend Micro e sullo stato di implementazione della soluzione su tutti i moduli Agent.


10-8

• Stato di download della soluzione: Mostra un elenco di componenti che devonoessere aggiornati in risposta alla minaccia elencata nella sezione Informazioni sulleminacce.

• Stato implementazione soluzione: Visualizza il numero di moduli Agent chepresentano componenti aggiornati e non aggiornati. Fornisce inoltre collegamentiper visualizzare i client con componenti aggiornati o non aggiornati.

Disinfezione delle minacce

Nella fase Disinfezione delle minacce della schermata Stato corrente è visualizzato lostato della scansione che viene eseguita dopo l'implementazione dei componentiaggiornati. Nella sezione Disinfezione delle minacce viene inoltre visualizzato lo statodei client dopo la scansione e viene indicato se gli aggiornamenti hanno consentito didisinfettare o rimuovere i residui delle minacce.

Per far sì che venga eseguita una scansione automatica dopo l'implementazione deinuovi componenti, è necessario configurare la relativa opzione in Difesa dalleinfezioni > schermata Impostazioni.

• Stato di scansione dei computer per: Fare clic sui collegamenti per visualizzarel'elenco dei client che hanno ricevuto o non hanno ancora ricevuto una notifica discansione delle minacce. I client non accesi o scollegati dalla rete non sono in gradodi ricevere le notifiche.

• Stato di disinfezione dei computer per: In questo riquadro vengono visualizzati irisultati della scansione di disinfezione. Fare clic su Esporta per esportare questeinformazioni.

Dettagli della difesa dalle infezioni automaticaAccedere a Difesa dalle infezioni > Stato corrente > Prevenzione per visualizzare idettagli sulla difesa dalle infezioni automatica.

Quando si verifica un'infezione, Security Server attiva la Difesa dalle infezioni. La difesaautomatica dalle infezioni evita che i computer e la rete vengano danneggiatidall'infezione in corso nel periodo di tempo critico in cui TrendLabs sta elaborando lasoluzione per combattere l'infezione.

Durante la difesa automatica dall'infezione, la risposta automatica esegue le operazionielencate di seguito:


10-9

• Blocco delle cartelle condivise per impedire ai virus di infettare i file in essecontenuti

• Blocco delle porte per impedire ai virus di utilizzare le porte vulnerabili e infettare ifile sulla rete e i client.

NotaLa difesa dalle infezioni non blocca in alcun caso la porta utilizzata da Security Serverper comunicare con i client.

• Divieto di accesso in scrittura a file e cartelle per impedire ai virus di modificare ifile

• Attivazione del blocco delle porte per bloccare allegati sospetti

• Attivazione del filtro dei contenuti e creazione di una regola "Soddisfa tutte" o"Soddisfa qualsiasi" per filtrare i contenuti pericolosi.

Minaccia potenzialeLa schermata Minacce potenziali (Difesa dalle infezioni > Minaccia potenziale)visualizza informazioni relative ai rischi per la sicurezza dei computer e della rete.Security Server raccoglie le informazioni sulle minacce eseguendo Valutazionevulnerabilità e Damage Cleanup Services per disinfettare le minacce.

A differenza della schermata Minaccia corrente, che visualizza soltanto informazionirelative a una minaccia attuale, la schermata Minaccia potenziale visualizza informazionisu tutte le minacce non risolte a cui sono esposti i client e la rete.

Computer vulnerabili

Un computer vulnerabile presenta punti deboli nel proprio sistema operativo o nelleapplicazioni. Molte minacce sfruttano queste vulnerabilità per causare danni o acquisireun controllo non autorizzato. Di conseguenza, le vulnerabilità rappresentano un rischionon solo per i singoli computer in cui si trovano, ma anche per gli altri computer dellarete.

Nella sezione Computer vulnerabili sono elencati tutti i client della rete caratterizzati davulnerabilità scoperte a partire dall'ultima valutazione delle vulnerabilità. La data e ora


10-10

dell'Ultimo aggiornamento sono visualizzate nell'angolo superiore destro dellaschermata.

Nella schermata Minaccia potenziale i client sono ordinati in base al livello di rischio cheessi costituiscono per la rete. Il livello di rischio viene calcolato da Trend Micro erappresenta il numero relativo e la severità delle vulnerabilità di ogni client.

Quando si fa clic su Ricerca vulnerabilità ora, Worry-Free Business Security esegueuna ricerca delle vulnerabilità. La Valutazione delle vulnerabilità esegue il controllo dellevulnerabilità su tutti i client della rete e visualizza i risultati nella schermata Minacciapotenziale. Le Valutazioni delle vulnerabilità possono fornire le seguenti informazioniriguardanti i client della rete:

Identificare le vulnerabilità in base a convenzioni di denominazione standard. Perulteriori informazioni sulla vulnerabilità e sul modo di porvi rimedio, fare clic sul nomedella vulnerabilità.

Visualizzare le vulnerabilità in base a client e indirizzo IP. I risultati includono il livello dirischio che le vulnerabilità rappresentano per il client e l'intera rete.

Segnalare le vulnerabilità. Segnalare le vulnerabilità associate a ciascun client e descriverei rischi per la sicurezza che tali client rappresentano per la rete complessiva.

Computer da disinfettare

I servizi Damage Cleanup Services vengono eseguiti in background ogni volta che imoduli Agent eseguono scansioni antivirus. Non è necessario impostare scansioniDamage Cleanup Services pianificate. Per i dettagli, consultare Damage Cleanup Services apagina 10-11.

File di pattern di valutazione delle vulnerabilità

Worry-Free Business Security implementa il file di pattern di valutazione dellevulnerabilità dopo l'aggiornamento dei componenti. Il file di pattern di valutazione dellevulnerabilità viene utilizzato nella schermata Difesa dalle infezioni > Minacciapotenziale quando viene utilizzato lo strumento Ricerca vulnerabilità ora o quandoviene attivata la Valutazione delle vulnerabilità pianificata oppure ogniqualvolta vienescaricato un nuovo file di pattern delle vulnerabilità. Appena dopo aver scaricato ilnuovo file, WFBS avvia la scansione dei client per individuare le vulnerabilità.


10-11

Damage Cleanup ServicesI Security Agent utilizzano Damage Cleanup Services per proteggere i client dai cavalli diTroia (o Trojan). Per affrontare adeguatamente le minacce e i fastidi provocati da questotipo di programmi e da altri malware, Damage Cleanup Services svolge le seguentioperazioni:

• Rilevazione e rimozione di cavalli di Troia attivi e altre minacce informatiche

• Interruzione dei processi creati dai cavalli di Troia e da altre applicazioni dannose

• Riparazione dei file di sistema modificati dai cavalli di Troia e da altre applicazionipericolose

• Eliminazione di file e applicazioni rilasciati dai cavalli di Troia e da altro softwaredannoso

Per l'esecuzione di queste operazioni, Damage Cleanup Services sfrutta i seguenticomponenti:

• Damage Cleanup Engine: Il motore Damage Cleanup Services utilizzato perrilevare e rimuovere Trojan e relativi processi, worm e spyware.

• Pattern risanamento virus: Utilizzato dal motore Damage Cleanup. Questomodello consente di identificare cavalli di Troia, worm e spyware e i processi daessi innescati, affinché il motore Damage Cleanup possa eliminarli.

Esecuzione di Damage Cleanup Services

Damage Cleanup Services funziona automaticamente. Non è necessario configurarlo.Gli utenti non si rendono neanche conto che il sistema è in funzione perché vieneeseguito in background (se gli agent sono in esecuzione). Tuttavia, Security Server può avolte richiedere all'utente di riavviare il computer per completare la disinfezione.

Damage Cleanup Services viene eseguito sui client nelle seguenti circostanze:

• Gli amministratori avviano la disinfezione dalla console Web (Difesa dalleinfezioni > Minaccia potenziale > Esegui risanamento)

Dopo aver selezionato Esegui risanamento, viene visualizzata temporaneamentela schermata Avanzamento notifica risanamento che mostra lo stato della notifica.La schermata viene poi sostituita dalla schermata Risultati di notifica risanamento.


10-12

Nella schermata Risultati di notifica disinfezione viene indicato se il Security Serverha inviato correttamente notifiche a un agent. Eventuali notifiche non completatepossono verificarsi se un agent è disconnesso o in presenza di interruzioni dellarete.

• Gli utenti eseguono una scansione manuale

• Gli utenti eseguono una disinfezione manuale dopo una scansione

• Dopo l'implementazione di hotfix o patch.

• All'avvio di Security Server.

Configurazione delle impostazioni di difesadalle infezioni


Trend Micro ha progettato le impostazioni predefinite di difesa dalle infezioni in modotale da garantire la protezione ottimale sia per i client che per le reti. Prima dipersonalizzare le impostazioni di difesa dalle infezioni, esaminare con attenzione leimpostazioni e modificarle solo quando si è certi delle possibili conseguenze.

Per garantire la massima protezione, vengono fornite le seguenti impostazioni:

TABELLA 10-2. Impostazioni di difesa dalle infezioni consigliate

IMPOSTAZIONE VALORE CONSIGLIATO

Attiva la difesa automatica dalle infezioni per gliallarmi rossi emessi da Trend Micro

Attivata

Disattiva gli allarmi rossi dopo 2 giorni

Disattiva gli allarmi rossi dopo l'implementazionedei componenti richiesti

Attivata

Scansioni desktop/server automatiche Attivata

Scansioni di Microsoft Exchange automatiche(solo Advanced)

Attivata


10-13

IMPOSTAZIONE VALORE CONSIGLIATO

Attiva la difesa automatica dalle infezioni per gliallarmi gialli emessi da Trend Micro

Disattivata

Disattiva gli allarmi gialli dopo N/D

Disattiva gli allarmi gialli dopo l'implementazionedel pattern/motore richiesto

N/D

Disattiva gli allarmi gialli dopo l'implementazionedel pattern/motore richiesto

N/D

Scansioni desktop/server automatiche Attivata

Scansioni di Microsoft Exchange automatiche(solo Advanced)

Attivata

Eccezioni Le porte dei seguenti servizi nonvengono bloccate nel corso dellarisposta automatica della difesadalle infezioni:

• DNS

• NetBios

• HTTPS (server Web sicuro)

• HTTP (server Web)

• Telnet

• SMTP (Simple mail protocol)

• FTP (File transfer protocol)

• Posta Internet (POP3)

Impostazioni di download dei criteri pianificati • Frequenza: ogni 30 minuti

• Origine: Trend MicroActiveUpdate Server

Procedura

1. Accedere a Difesa dalle infezioni > Impostazioni > Difesa dalle infezioni.


10-14

2. Aggiornare le seguenti opzioni, in base alle necessità:

• Attiva la difesa automatica dall'infezione per gli allarmi rossi emessi daTrend Micro: I criteri di difesa dalle infezioni sono validi finché non siseleziona Difesa dall'infezione > Stato attuale > Disattiva o fino a chenon viene soddisfatta una delle impostazioni di disattivazione. Quando ServerSecurity scarica un nuovo criterio di Prevenzione delle infezioni, il criterioprecedente viene interrotto.

• Disattiva gli allarmi rossi dopo x giorni: Definisce la durata della difesadalle infezioni.

• Esegui scansione virus automatica dopo l'implementazione dei componentirichiesti per:

• Desktop/Server

• Server Exchange (solo Advanced)

• Impostazioni allarmi gialli: Configurare le opzioni degli allarmi gialli.Vedere Allarmi gialli a pagina 10-2.

• Eccezioni: Le porte che non vengono bloccate nel corso della rispostaautomatica della difesa dalle infezioni. Vedere Eccezioni della difesa dalle infezionia pagina 10-15.

Nota

Quando si aggiunge una nuova eccezione, assicurarsi che l'opzione Attivaquesta eccezione sia selezionata.

• Impostazioni di download dei criteri pianificati: Le impostazioni perscaricare periodicamente i componenti aggiornati.

• Frequenza

• Origine: l'origine degli aggiornamenti.

• Trend Micro ActiveUpdate Server (impostazione predefinita)

• Percorso intranet contenente una copia del file corrente


10-15

• Altra origine aggiornamenti: Qualsiasi altra origine diaggiornamenti sul Web.


Eccezioni della difesa dalle infezioniDurante l'esecuzione di Difesa delle infezioni, è possibile che Security Server blocchi leporte per evitare che le minacce informatiche penetrino nei computer della rete.Tuttavia, è possibile che l'utente desideri tenere alcune porte costantemente aperte pergarantire la comunicazione tra Security Server e altri computer e applicazioni. Questeporte possono essere aggiunte all'elenco di esclusione in modo che non vengano maibloccate durante la difesa dalle infezioni.

AVVERTENZA!Trend Micro ha progettato la difesa dalle infezioni per bloccare le porte più comunementeusate dagli hacker e dai software dannosi. L'aggiunta di eccezioni al blocco delle porte puòrendere i computer e le reti vulnerabili a eventuali attacchi.

Procedura

1. Accedere a Difesa dalle infezioni > Impostazioni > Difesa dalle infezioni >Eccezione.

2. Eseguire le operazioni riportate di seguito.


10-16

OPERAZIONE PASSAGGI

Aggiungereun'eccezione

a. Fare clic sull'icona più (+) per espandere la sezioneEccezioni.



c. Aggiornare le seguenti opzioni, in base alle necessità:

• Attiva questa eccezione

• Descrizione

• Protocollo

• Transmission Control Protocol (TCP)

• User Datagram Protocol (UDP)

• Internet Control Message Protocol (ICMP)

• Porte: Inserire un intervallo di porte o delle portesingole per l'eccezione. In caso di più voci, separarlecon un punto e virgola (;).

d. Fare clic su Aggiungi.


10-17

OPERAZIONE PASSAGGI

Modificareun'eccezione

a. Nella schermata Modifica eccezioni, selezionare Attivaquesta eccezione.

b. Immettere una descrizione dell'eccezione nel campoDescrizione.

c. Dal menu a discesa Protocollo, selezionare il metodo dicomunicazione da escludere. Sono disponibili le opzionidescritte di seguito:

• Transmission Control Protocol (TCP)

• User Datagram Protocol (UDP)

• Internet Control Message Protocol (ICMP)

d. Immettere le porte da escludere.

• Per immettere un intervallo di porte, selezionareIntervallo porta e immettere il primo numerodell'intervallo seguito dall'ultimo.

• Per escludere porte specifiche, selezionare Portespecificate e immettere i numeri delle porte inquestione.

e. Fare clic su Salva.

Rimuovereun'eccezione Suggerimento

Disattivare l'eccezione invece di rimuoverla.

a. Fare clic sull'icona più (+) per espandere la sezioneEccezioni.

b. Selezionare l'eccezione e fare clic su Rimuovi.

c. Fare clic su OK per confermare.

Rimozione delleporte dall'elencoeccezioni

a. Selezionare una porta da rimuovere e fare clic sull'iconaRimuovi.

b. Fare clic su OK nella finestra di conferma.



10-18

Configurazione delle impostazioni della valutazione dellevulnerabilità

Le impostazioni della valutazione delle vulnerabilità determinano la frequenza el'obiettivo delle scansioni di prevenzione delle vulnerabilità.

Procedura

1. Accedere a Difesa dalle infezioni > Impostazioni.

2. Nella scheda Valutazione delle vulnerabilità, aggiornare le seguenti opzioni inbase alle esigenze.

• Attiva prevenzione delle vulnerabilità pianificata

• Frequenza: Selezionare Frequenza giornaliera, Frequenza settimanale,Frequenza mensile. Se si seleziona Frequenza settimanale o mensile,impostare il giorno della settimana o del mese in cui eseguire lascansione.

• Ora di inizio

• Destinazione

• Tutti i gruppi: Analizza tutti i client presenti nella struttura di gestionedei gruppi della schermata Computer.

• Gruppi specificati: Limita la scansione per la valutazione dellevulnerabilità solo ai gruppi selezionati.


11-1

Capitolo 11

Gestione delle impostazioni globaliIn questo capitolo vengono trattate le impostazioni globali per le impostazioni di agent esistema del Security Server.


11-2

Impostazioni globaliLa console Web consente di configurare le impostazioni globali per Security Server eSecurity Agent.

Proxy

Se la rete utilizza un server proxy per la connessione a Internet, specificare leimpostazioni del server proxy per i seguenti servizi:

• Aggiornamenti dei componenti e notifiche sulla licenza

• Reputazione Web, Monitoraggio del comportamento e Smart Scan

Per i dettagli, consultare Configurazione delle impostazioni del proxy Internet a pagina 11-3.

SMTP

Le impostazioni del server SMTP si applicano a tutte le notifiche e i rapporti generati daWorry-Free Business Security.

Per i dettagli, consultare Configurazione delle impostazioni del server SMTP a pagina 11-4.

Desktop/Server

Le opzioni Desktop/Server riguardano le impostazioni globali Worry-Free BusinessSecurity.

Per i dettagli, consultare Configurazioni delle impostazioni di desktop/server a pagina 11-5.

Sistema

La sezione Sistema della schermata Impostazioni globali contiene opzioni checonsentono di rimuovere automaticamente gli agent inattivi, di controllare leconnessioni degli agent e di gestire la cartella di quarantena.

Per i dettagli, consultare Configurazione delle impostazioni di sistema a pagina 11-12.

Gestione delle impostazioni globali

11-3

Configurazione delle impostazioni del proxyInternet

Se Security Server e agent utilizzano un server proxy per la connessione a Internet,specificare le impostazioni del server proxy per utilizzare i seguenti servizi e funzioniTrend Micro:

• Security Server: Aggiornamenti dei componenti e manutenzione della licenza

• Security Agent: Reputazione Web, Filtraggio degli URL, Monitoraggio delcomportamento, Smart Feedback e Smart Scan

• Messaging Security Agent (solo Advanced): Reputazione Web e anti-spam

Procedura

1. Accedere a Preferenze > Impostazioni globali.

2. Dalla scheda Proxy, aggiornare quanto segue secondo le esigenze:

• Proxy Security Server

Nota

I Messaging Security Agent utilizzano solo le impostazioni proxy del SecurityServer.

• Usa un server proxy per gli aggiornamenti e le notifiche sulla licenza

• Utilizza protocollo proxy SOCKS 4/5

• Indirizzo: indirizzo IPv4/IPv6 o nome host

• Porta

• Autenticazione del server proxy

• Nome utente

• Password


11-4

• Proxy Security Agent

• Utilizzare le credenziali specificate per il proxy di aggiornamento

Nota

I Security Agent utilizzano il server proxy e la porta di Internet Explorerper connettersi a Internet. Selezionare questa opzione solo se InternetExplorer dei client e il Security Server condividono le stesse credenziali diautenticazione.

• Nome utente

• Password


Configurazione delle impostazioni del serverSMTP

Le impostazioni del server SMTP si applicano a tutte le notifiche e a tutti i rapportigenerati da Worry-Free Business Security.

Procedura


2. Fare clic sulla scheda SMTP e aggiornare i seguenti campi secondo le esigenze:

• Server SMTP: Indirizzo IPv4 o il nome del server SMTP.

• Porta

• Attiva autenticazione server SMTP

• Nome utente

• Password


11-5

3. Per verificare che le impostazioni sono corrette, fare clic su Inviare messaggio e-mail di prova. Se l'invio non riesce, modificare le impostazioni o controllare lostato del server SMTP.


Configurazioni delle impostazioni di desktop/server

Le opzioni Desktop/Server riguardano le impostazioni globali Worry-Free BusinessSecurity. Le impostazioni dei gruppi individuali hanno la precedenza su questeimpostazioni. Se non è stata configurata un'opzione particolare per un gruppo, vengonoutilizzate le opzioni desktop/server. Ad esempio, se non è stato approvato alcun URLper un gruppo particolare, potranno essere applicati al gruppo tutti gli URL approvatipresenti in questa schermata.

Procedura


2. Fare clic sulla scheda Desktop/Server e aggiornare i seguenti campi secondo leesigenze:


11-6

IMPOSTAZIONI DESCRIZIONE

LocationAwareness

Location Awareness consente agli amministratori dicontrollare le impostazioni di sicurezza in base a come il clientsi collega alla rete.

Location Awareness controlla le impostazioni di connessioneIn ufficio/Fuori ufficio.

Il Security Agent identifica automaticamente il percorso delclient in base alle informazioni sul gateway configurate nellaconsole Web, quindi controlla i siti Web a cui hanno accessogli utenti. Le restrizioni variano a seconda dell'ubicazionedell'utente:

• Attivare Location Awareness: Queste impostazioniinfluiscono sulle impostazioni della connessione In ufficio/Fuori ufficio di Firewall e Web Reputation e sullafrequenza degli aggiornamenti pianificati.

• Informazioni sul gateway: I client e le connessionipresenti in questo elenco utilizzano le impostazioni diConnessione interna durante la connessione in remotoalla rete (mediante VPN) e con l'opzione LocationAwareness attivata.

• Indirizzo IP gateway

• Indirizzo MAC: l'aggiunta dell'indirizzo MAC miglioranotevolmente la sicurezza consentendo solo aldispositivo configurato di connettersi.

Per eliminare una voce, fare clic sull'icona del cestinocorrispondente.

Avviso assistenzatecnica

L'Avviso assistenza tecnica invia una notifica al SecurityAgent per informare l'utente su chi contattare per ricevereassistenza. Aggiornare le informazioni riportate di seguito, inbase alle necessità:

• Etichetta

• Indirizzo e-mail assistenza tecnica

• Ulteriori informazioni: viene visualizzato quando l'utentepassa il mouse sopra l'etichetta


11-7


Impostazionigenerali discansione

• Disattiva servizio Smart Scan: Imposta tutti i SecurityAgent nella modalità di scansione tradizionale. Il servizioSmart Scan non sarà disponibile finché non vienenuovamente attivato da qui. Per cambiare metodo discansione di uno o più gruppi Security Agent, andare suImpostazioni di sicurezza > {Gruppo} > Configura >Metodo di scansione.

NotaPer le linee guida sul cambio dei metodi discansione per i Security Agent, vedereConfigurazione dei metodi di scansione a pagina5-5.

• Escludi la cartella del database Security Server:Impedisce agli Agent installati su Security Server disottoporre a scansione il proprio database solo durante lascansione in tempo reale.

Per impostazione predefinita, WFBS non esegue lascansione del proprio database. Trend Micro consiglia dinon modificare tale impostazione per evitare che ildatabase venga danneggiato nel corso della scansione.

• Escludi le cartelle del server Microsoft Exchange incaso di installazione su server Microsoft Exchange:Impedisce agli Agent installati sul server MicrosoftExchange di sottoporre a scansione le cartelle MicrosoftExchange.

• Escludi cartelle Microsoft Domain Controller:Impedisce agli agent installati sul Domain Controller disottoporre a scansione le cartelle Domain Controller.Queste cartelle memorizzano le informazioni dell'utente, inomi utente, le password e le informazioni importanti.

• Escludi sezioni Shadow Copy: Shadow Copy o VolumeSnapshot Service effettuano copie manuali oautomatiche di backup o istantanee di un file o unacartella su un volume specifico.


11-8


Impostazioni discansione antivirus

• Configura le impostazioni di scansione per filecompressi di grandi dimensioni: Specificare ledimensioni massime del file estratto e il numero di file nelfile compresso che il modulo Agent dovrebbe sottoporrea scansione.

• Disinfetta i file compressi: Gli agent cercano didisinfettare i file infetti all'interno di un file compresso.

• Scansione fino a { } livelli OLE: Gli agent sottopongonoa scansione il numero specificato di livelli Object Linkingand Embedding (OLE). La funzione OLE consente agliutenti di creare oggetti mediante un'applicazione e dicollegarli o incorporarli in un'altra applicazione. Adesempio, un file .xls incorporato in un file .doc.

• Aggiungi scansione manuale al menu deicollegamenti di Windows nei client: Aggiunge unaScansione con Security Agent al menu contestuale.Con questa opzione, gli utenti possono fare clic su un fileo una cartella (sul desktop o in Esplora risorse diWindows) ed eseguire la scansione manuale di file ocartelle.

Impostazioni discansionespyware/grayware

Aggiungi cookie nel registro spyware: Aggiunge ognicookie dello spyware individuato nel registro spyware.

Impostazionifirewall

Selezionare la casella di controllo Disabilita firewall edisinstalla driver per disinstallare il firewall del client WFBSe rimuovere i driver ad esso associati.

NotaSe si disattiva il firewall, le impostazioni correlate nonsaranno disponibili fino alla riattivazione del firewall.


11-9


Web Reputation eFiltro URL

• Elenco di eccezioni processi: Processi esclusi dalleverifiche Reputazione Web e Filtraggio degli URL.Immettere i processi critici ritenuti internamenteattendibili.

SuggerimentoQuando si aggiorna l'elenco di eccezioni deiprocessi e il server implementa l'elenco aggiornatosugli agent, tutte le connessioni HTTP attive sulclient (tramite la porta 80, 81 o 8080) sarannodisconnesse per pochi secondi. Si consiglia diaggiornare l'elenco di eccezioni processi non inorari lavorativi.

• Invia Reputazione Web e Log filtraggio URL al serverdi sicurezza

Filtro contenuti IM Gli amministratori possono limitare l'utilizzo di determinateparole o frasi nelle applicazioni di messaggistica istantanea. Imessaggi contenenti parole o frasi limitate non verrannoinviati e ne verrà inviata notifica all'amministratore.

Gli Agent possono limitare le parole utilizzabili nelle seguentiapplicazioni di messaggistica istantanea: ICQ®, MSN™Messenger, Windows Messenger Live™, Yahoo!™Messenger

• Parole vietate: Utilizzare questo campo per aggiungereparole o frasi vietate. È possibili limitare a un massimo di31 parole o frasi. La lunghezza massima di ogni parola ofrase è di 35 caratteri (17 per i caratteri cinesi). Digitareuna o più voci separate da punto e virgola (;), quindi fareclic su Aggiungi.

• Elenco di parole/frasi vietate: Le parole e le frasiriportate in questo elenco non possono essere utilizzatenelle conversazioni di messaggistica istantanea. Pereliminare una voce, fare clic sull'icona del cestinocorrispondente.


11-10


Impostazioni avvisi Mostra l'icona di avviso sulla barra delle applicazioni diWindows se il file di pattern dei virus non è aggiornato da{ } giorni: visualizza un'icona di avviso sui client quando il filedi pattern non è aggiornato da un determinato numero digiorni.

ImpostazioniWatchdog

L'opzione Watchdog garantisce che il Security Agent forniscauna protezione costante ai client. Quando attivato, il servizioWatchdog controlla la disponibilità dell'Agent ogni x minuti. Sel'Agent non è disponibile, Watchdog tenta di riavviarlo.

• Attiva il servizio Watchdog di Security Agent: Pergarantire che il Security Agent protegga i computer client,Trend Micro consiglia di attivare il servizio Watchdog. Seil Security Agent si chiude inaspettatamente (eventoprobabile in caso di attacco al client da parte di unhacker), il servizio Watchdog riavvia il Security Agent.

• Controlla stato client ogni { } minuti: Determina lafrequenza con cui il servizio Watchdog controlla lo statodel client.

• Se non è possibile avviare il client, ritentare { } volte:Stabilisce la frequenza con cui il servizio Watchdog devetentare di riavviare il Security Agent.

Passworddisinstallazione diSecurity Agent

• Consenti all'utente client di disinstallare SecurityAgent senza password.

• Richiedi la password per consentire all'utente clientdi disinstallare Security Agent.


11-11


Password dichiusura e uscitadel programmaSecurity Agent

• Consenti agli utenti dei client di chiudere e sbloccareSecurity Agent nei computer in uso senza password.

• Richiedi agli utenti client di immettere una passwordper chiudere e sbloccare Security Agent.

NotaLo sblocco del Security Agent permette all'utente disostituire tutte le impostazioni configurate inImpostazioni > {gruppo} > Configura > Privilegiclient.

Indirizzo IPpreferito

Questa opzione è disponibile solo sui Security Server dual-stack ed è applicata solo da agent dual-stack.

Quando vengono installati o aggiornati, gli agent effettuano laregistrazione al Security Server con un indirizzo IP.

Scegliere una delle opzioni elencate di seguito.

• Prima IPv4, poi IPv6: Gli agent utilizzano prima il proprioindirizzo IPv4. Se l'agent non è in grado di effettuare laregistrazione con l'indirizzo IPv4, usa l'indirizzo IPv6. Sela registrazione non riesce con entrambi gli indirizzi IP,l'agent riprova con la priorità stabilita per gli indirizzi IPper questa selezione.

• Prima IPv6, poi IPv4: Gli agent utilizzano prima il proprioindirizzo IPv6. Se l'agent non è in grado di effettuare laregistrazione con l'indirizzo IPv6, usa l'indirizzo IPv4. Sela registrazione non riesce con entrambi gli indirizzi IP,l'agent riprova con la priorità stabilita per gli indirizzi IPper questa selezione.



11-12

Configurazione delle impostazioni di sistemaLa sezione Sistema della schermata Impostazioni globali contiene opzioni checonsentono di rimuovere automaticamente gli agent inattivi, di controllare leconnessioni degli agent e di gestire la cartella della quarantena.

Procedura


2. Fare clic sulla scheda Sistema e aggiornare i seguenti campi secondo le esigenze:


11-13


Rimozione diSecurity Agentinattivi

Quando si utilizza il programma di disinstallazione di SecurityAgent su un client per rimuovere gli Agent dal client, ilprogramma invia automaticamente una notifica al SecurityServer. Quando il Security Server riceve questa notifica,l'icona del client viene rimossa dalla struttura dei gruppi diprotezione per segnalare che il client non esiste più

Se invece il Security Agent viene rimosso con altri metodi, adesempio riformattando il disco rigido del computer oppureeliminando manualmente i file del client, il Security Server nonrileva la rimozione del Security Agent, che viene quindivisualizzato come inattivo. Se un utente rimuove o disattival'agent per un periodo di tempo prolungato, anche in questocaso il Security Server visualizza il Security Agent comeinattivo.

Per visualizzare soltanto i client attivi nella struttura dei gruppidi protezione, è possibile configurare il Security Server inmodo da rimuovere automaticamente i Security Agent inattividalla struttura dei gruppi di protezione.

• Attiva la rimozione automatica dei Security Agentinattivi: Consente la rimozione automatica dei client chenon si sono collegati al Security Server per undeterminato numero di giorni.

• Rimuovi automaticamente un Security Agent se restainattivo per {} giorni: Indica il numero di giorni per ilquale un client può essere inattivo prima di essererimosso dalla console Web.


11-14


Verifica dellaconnessionedell'Agent

WFBS riporta per mezzo di icone lo stato della connessionedel client nella struttura dei gruppi di protezione. Tuttavia,alcune condizioni potrebbero impedire alla struttura dei gruppidi protezione di visualizzare correttamente lo stato dellaconnessione dell'agent. Se, ad esempio, il cavo della rete diun agent viene involontariamente scollegato, il client non saràin grado di notificare al Security Server di esseremomentaneamente offline. Nella struttura di gestione deigruppi il client verrà pertanto visualizzato ancora come inlinea.

Dalla console Web è possibile controllare manualmente o inmodo programmato la connessione tra agent e server.

NotaLa verifica della connessione non consente la selezionedi gruppi o agent specifici. Essa controlla laconnessione di tutti gli agent registrati con il SecurityServer.

• Attiva la verifica pianificata: Attiva la verifica pianificatadella connessione tra agent e server.

• Ogni ora

• Ogni giorno

• Ogni settimana, ogni

• Ora di inizio: l'orario in cui dovrebbe iniziare laverifica.

• Verifica ora: Prova immediatamente la connettività.


11-15


Manutenzionedella quarantena

Per impostazione predefinita, i Security Agent inviano i fileinfetti in quarantena alla directory seguente nel SecurityServer:

<cartella di installazione del Security Server>\PCCSRV\Virus

Se è necessario modificare la directory (ad esempio, se lospazio su disco non è sufficiente), digitare un percorsoassoluto, ad esempio D:\File in quarantena, nel campoDirectory di quarantena. In tal caso, accertarsi di applicarele stesse variazioni in Impostazioni di sicurezza > {Gruppo}> Configura > Quarantena, in caso contrario gli agentcontinueranno a inviare i file a <cartella diinstallazione del Security Server>\PCCSRV\Virus.

Configurare inoltre le seguenti impostazioni di manutenzione:

• Capacità cartella di quarantena: Dimensioni dellacartella di quarantena in MB.

• Dimensioni massime di un singolo file: Dimensionimassime di un solo file memorizzato nella cartella diquarantena in MB.

• Elimina tutti i file in quarantena: Elimina tutti i filepresenti nella cartella della quarantena. Se la cartella èpiena e viene caricato un nuovo file, questo file non vienememorizzato.

Se non si desidera che gli agent inviino i file in quarantena sulSecurity Server, configurare la nuova directory inImpostazioni di sicurezza > Configura > Quarantena eignorare tutte le impostazioni di manutenzione. Per istruzioni,consultare Directory di quarantena a pagina 5-30.


11-16


Installazione diSecurity Agent

Directory di installazione di Security Agent: Durantel'installazione, viene richiesto di digitare la directory diinstallazione del Security Agent, che rappresenta il luogo incui il programma di installazione installa ciascun SecurityAgent.

Se necessario, modificare la directory digitando un percorsoassoluto. Solo gli agent futuri saranno installati in questadirectory, quelli esistenti rimarranno in quella attuale.

Utilizzare una delle variabili seguenti per impostare il percorsodi installazione:

• $BOOTDISK: Lettera dell'unità del disco di avvio

• $WINDIR: Cartella di installazione di Windows

• $ProgramFiles: Cartella dei programmi


12-1

Capitolo 12

Utilizzo dei registri e dei rapportiIn questo capitolo viene descritto come utilizzare i registri e i rapporti per monitorare ilsistema e analizzare la protezione.


12-2

RegistriWorry-Free Business Security mantiene aggiornati registri su incidenti, eventi eaggiornamenti relativi ai virus/malware e spyware/grayware. Tali registri consentono divalutare le politiche di protezione della propria organizzazione, di identificare i clientcaratterizzati da un più elevato rischio di infezione e di verificare che gli aggiornamentisiano stati implementati correttamente.

NotaPer visualizzare i file di registro in formato CSV è possibile utilizzare applicazioni per fogliodi calcolo quali Microsoft Excel.

WFBS conserva i registri nelle seguenti categorie:

• Registri eventi della console Web

• Registri Desktop/Server

• Registri server Microsoft Exchange (solo Advanced)

TABELLA 12-1. Tipo di registro e contenuto

TIPO (ENTITÀ CHE HAGENERATO LA VOCE NEL

REGISTRO)CONTENUTO (TIPO DI REGISTRO DA CUI OTTENERE CONTENUTO)

Eventi console di gestione • Scansione manuale (avviata dalla console Web)

• Aggiornamento (aggiornamenti del Security Server)

• Eventi di difesa contro le infezioni

• Eventi console

Utilizzo dei registri e dei rapporti

12-3



Desktop/Server • Registri virus

• Scansione manuale

• Scansione in tempo reale

• Scansione pianificata

• Disinfezione

• Registri spyware/grayware

• Scansione manuale

• Scansione in tempo reale

• Scansione pianificata

• Registri di reputazione Web

• Registri di filtro URL

• Registri di monitoraggio del comportamento

• Registri aggiornamenti

• Registri dei virus di rete

• Registri di difesa dalle infezioni

• Registri eventi

• Registri di controllo dei dispositivi

• Registri di implementazione hotfix


12-4



Server Exchange (soloAdvanced)

• Registri virus

• Registri blocco allegati

• Registri Filtro dei contenuti / Prevenzione della perditadi dati

• Registri aggiornamenti

• Registri di backup

• Registri di archivio

• Registri di difesa dalle infezioni

• Registri eventi scansione

• Registri parti non analizzabili dei messaggi

• Registri di reputazione Web

Utilizzo delle query del registroÈ possibile eseguire query di registro per raccogliere informazioni dal database diregistro. La schermata Query del registro consente di impostare ed eseguire le query. Èpossibile esportare i risultati in un file CSV o stamparli.

Un Messaging Security Agent (solo Advanced) invia i registri al Security Server ognicinque minuti (indipendentemente da quando è stato generato il registro).

Procedura

1. Accedere a Rapporti > Query del registro.


• Intervallo di tempo

• Intervallo preconfigurato

• Intervallo specificato: Per limitare la query a determinate date.


12-5

• Tipo: per visualizzare il contenuto di ogni tipo di registro, consultare Registri apagina 12-2.

• Eventi console di gestione

• Desktop/Server

• Server Exchange (solo Advanced)

• Contenuto: Le opzioni a disposizione dipendono dal Tipo di registro.

3. Fare clic su Visualizza registri.

4. Per salvare il registro come file CSV (comma-separated value), fare clic su Esporta.Per visualizzare i file CSV è possibile utilizzare un'applicazione per foglio dicalcolo.

RapportiÈ possibile creare manualmente rapporti singoli o impostare il Security Server in modoche generi rapporti pianificati.

I rapporti possono essere stampati o inviati via e-mail a un amministratore o ad altrepersone.

I dati disponibili in un rapporto dipendono dalla quantità di registri disponibili sulSecurity Server al momento della generazione del rapporto. La quantità di registri cambiaquando vengono aggiunti nuovi registri e quelli esistenti vengono eliminati. In Rapporti> Manutenzione, è possibile eliminare i registri o impostare un'eliminazione pianificatadei registri.

Uso dei rapporti singoli

Procedura

1. Accedere a Rapporti > Rapporti singoli.



12-6

OPERAZIONE PASSAGGI

Generazione diun rapporto



b. Configurare gli elementi riportati di seguito:

• Nome rapporto

• Intervallo di tempo: Limita il rapporto a determinatedate.

• Contenuto: Per selezionare tutte le minacce,selezionare la casella di controllo Seleziona tutto. Perselezionare le singole minacce, fare clic sulla caselladi controllo corrispondente. Fare clic sull'icona delsegno (+) per espandere la sezione.

• Invia rapporto a

• Destinatari: Immettere gli indirizzi e-mail deidestinatari separandoli con punti e virgola (;).

• Formato: Scegliere PDF o un collegamento a unrapporto HTML. Se si sceglie PDF, il PDF vieneallegato all'e-mail.


Visualizzare ilrapporto

Nella colonna Nome rapporto, fare clic sui collegamenti alrapporto. Il primo collegamento apre un rapporto PDF, mentre ilsecondo apre un rapporto HTML.

I dati disponibili in un rapporto dipendono dalla quantità diregistri disponibili sul Security Server al momento dellagenerazione del rapporto. La quantità di registri cambia quandovengono aggiunti nuovi registri e quelli esistenti vengonoeliminati. In Rapporti > Manutenzione, è possibile eliminare iregistri o impostare un'eliminazione pianificata dei registri.

Per maggiori dettagli sui contenuti del rapporto, vedereInterpretazione dei rapporti a pagina 12-12.


12-7

OPERAZIONE PASSAGGI

Eliminazione dirapporti

a. Selezionare la riga contenente i collegamenti al rapporto.

b. Fare clic su Elimina.

NotaPer eliminare automaticamente i rapporti, accedere aRapporti > Manutenzione > scheda Rapporti eimpostare i rapporti singoli che WFBS deve conservare. Ilnumero predefinito di rapporti singoli è 10. Quando talenumero viene superato, il Security Server elimina irapporti in eccesso a partire da quello meno recente.

Uso dei rapporti pianificati

Procedura

1. Accedere a Rapporti > Rapporti pianificati.

2. Effettuare le operazioni riportate di seguito:


12-8

OPERAZIONE PASSAGGI

Creazione di unnuovo modello dirapporto pianificato



b. Configurare gli elementi riportati di seguito:

• Nome modello di rapporto

• Pianificazione: Giornaliero, settimanale o mensile el'ora in cui generare il rapporto

Per i rapporti mensili, se si selezionano 31, 30 o 29giorni e un mese ha meno di questo numero digiorni, WFBS non genera il rapporto per quel mese.

• Contenuto: Per selezionare tutte le minacce, fareclic sulla casella di controllo Seleziona tutto. Perselezionare le singole minacce, fare clic sulla caselladi controllo corrispondente. Fare clic sull'icona delsegno più (+) per espandere la selezione.

• Invia rapporto a

• Destinatari: Immettere gli indirizzi e-mail deidestinatari separandoli con punti e virgola (;).

• Formato: Scegliere PDF o un collegamento aun rapporto HTML. Se si sceglie PDF, il PDFviene allegato al messaggio e-mail.



12-9

OPERAZIONE PASSAGGI

Visualizzazione dirapporti pianificati

a. Sulla riga contenente il modello dal quale vengonogenerati i rapporti pianificati, fare clic su Cronologiarapporti.


b. Nella colonna Visualizza, fare clic sui collegamenti a unrapporto. Il primo collegamento apre un rapporto PDF,mentre il secondo apre un rapporto HTML.

I dati disponibili in un rapporto dipendono dalla quantità diregistri disponibili sul Security Server al momento dellagenerazione del rapporto. La quantità di registri cambiaquando vengono aggiunti nuovi registri e quelli esistentivengono eliminati. In Rapporti > Manutenzione, è possibileeliminare manualmente i registri o impostare un'eliminazionepianificata dei registri.

Per maggiori dettagli sui contenuti del rapporto, vedereInterpretazione dei rapporti a pagina 12-12.

Operazioni di manutenzione del modello

Modifica delleimpostazioni delmodello

Fare clic sul modello, quindi modificare le impostazioni nellanuova schermata visualizzata.

I rapporti generati dopo aver salvato le modifiche utilizzerannole nuove impostazioni.

Attivazione/Disattivazione diun modello


Per interrompere temporaneamente la generazione di rapportipianificati, disattivare un modello e riattivarlo quando sononuovamente richiesti.


12-10

OPERAZIONE PASSAGGI

Eliminazione di unmodello

Selezionare il modello e fare clic su Elimina.

L'eliminazione di un modello non elimina i rapporti pianificatigenerati dal modello, ma i collegamenti ai rapporti nonsaranno più disponibili nella console Web. È possibileaccedere ai rapporti direttamente dal computer del SecurityServer. I rapporti vengono eliminati solo se si eliminanomanualmente dal computer o se il Security Server li eliminaautomaticamente secondo l'impostazione di eliminazioneautomatica rapporti pianificata in Rapporti > Manutenzione >scheda Rapporti.

Per eliminare automaticamente i modelli, accedere aRapporti > Manutenzione > scheda Rapporti e impostare ilnumero massimo di modelli che WFBS può conservare. Ilvalore predefinito è 10 modelli. Quando tale numero vienesuperato, il Security Server elimina i modelli in eccesso apartire da quello meno recente.

Operazioni di manutenzione dei rapporti


12-11

OPERAZIONE PASSAGGI

Invio di uncollegamento airapporti pianificati

Inviare un collegamento ai rapporti pianificati (in formato PDF)via e-mail. Per accedere al file PDF, i destinatari devonosemplicemente selezionare il collegamento nel messaggio e-mail. Verificare che i destinatari possano connettersi alcomputer del Security Server oppure il file non verràvisualizzato.

NotaNel messaggio e-mail viene fornito solo uncollegamento al file PDF. Il file PDF effettivo non èallegato.



b. Selezionare i rapporti, quindi fare clic su Invia.

Si apre il client e-mail predefinito, con un nuovomessaggio e-mail contenente un collegamento alrapporto.


12-12

OPERAZIONE PASSAGGI

Eliminazione dirapporti pianificati



b. Selezionare i rapporti e fare clic su Elimina.

NotaPer eliminare automaticamente i rapporti, accedere aRapporti > Manutenzione > scheda Rapporti eimpostare il numero massimo di rapporti pianificati inogni modello che WFBS può conservare. Il valorepredefinito per i rapporti pianificati è 10. Quando talenumero viene superato, il Security Server elimina irapporti in eccesso a partire da quello meno recente.

Interpretazione dei rapportiI rapporti Worry-Free Business Security contengono le seguenti informazioni. Leinformazioni visualizzate possono variare in base alle opzioni selezionate.


12-13

TABELLA 12-2. Contenuti di un rapporto

VOCE RAPPORTO DESCRIZIONE

Antivirus Riepilogo sui virus desktop/server

I rapporti sui virus mostrano informazioni dettagliate sui numeri esui tipi di virus/minacce informatiche rilevati dal motore discansione e sulle azioni intraprese per eliminarli. Il rapportoelenca anche i nomi dei virus e delle minacce informaticheprincipali. Fare clic sui nomi dei virus o delle minacce informaticheper aprire una nuova pagina del browser Web e visitarel'Enciclopedia dei virus di Trend Micro, contenente ulterioriinformazioni su tali virus e minacce.

Primi 5 desktop/server con rilevamenti di virus

Mostra i primi cinque computer desktop o server su cui sono statirilevati dei virus e delle minacce informatiche. Il rilevamento diincidenti virali e di minacce informatiche frequenti sullo stessoclient potrebbe indicare che tale client rappresenta un elevatorischio per la sicurezza e che potrebbe essere necessarioeffettuare ulteriori indagini.

Cronologia delladifesa dalle infezioni

Cronologia della difesa dalle infezioni

Visualizza le infezioni recenti, la loro severità e identifica il virus/laminaccia informatica che causa l'infezione e la relativa modalità ditrasmissione (mediante e-mail o file).


12-14


Anti-spyware Riepilogo spyware/grayware per PC desktop/server

Il rapporto su spyware/grayware riporta informazioni dettagliatesulle minacce spyware/grayware individuate su client, compreso ilnumero di rilevamenti e di azioni intraprese da WFBS percontrastarle. Il rapporto contiene anche un grafico a torta chemostra la percentuale di ogni azione anti-spyware messa in atto.

Primi 5 desktop/server con rilevamenti di spyware/grayware

Il rapporto riporta anche le prime cinque minacce spyware/grayware individuate e i cinque desktop/server con il numero piùelevato di spyware/grayware. Per ulteriori informazioni sulleminacce spyware/grayware individuate, fare clic sui nomi dispyware/grayware presenti. Viene visualizzata una nuova paginadel browser Web contenente le informazioni relative allo spyware/grayware fornite dal sito Web di Trend Micro.

Riepilogo Anti-spam(solo Advanced)

Riepilogo spam

I riepiloghi anti-spam mostrano informazioni riguardanti il numerodi casi di spam e di phishing rilevati rispetto al totale dei messaggisottoposti a scansione. Essi elencano inoltre i falsi allarmi rilevati.

Reputazione Web Primi 10 computer che violano i criteri di Web Reputation

Categoria URL Primi 5 criteri delle categorie URL violati

Elenca le categorie di siti Web a cui si accede con maggiorefrequenza che hanno violato i criteri.

Primi 10 computer che violano i criteri delle categorie URL


Primi 5 programmi che violano i criteri di monitoraggio delcomportamento

Primi 10 computer che violano i criteri di Monitoraggio delcomportamento

Controllo dispositivo Primi 10 computer che violano i criteri di Controllodispositivo


12-15


Riepilogo filtro deicontenuti (soloAdvanced)

Riepilogo filtro dei contenuti

I rapporti del filtro dei contenuti mostrano informazioni sul numerototale di messaggi filtrati da Messaging Security Agent.

Prime 10 regole di filtro dei contenuti violate

Elenco delle prime dieci regole violate del filtro dei contenuti.Utilizzare queste informazioni per affinare le regole dei filtri.

Virus di rete Primi 10 virus di rete rilevati

Mostra i dieci virus di rete rilevati con maggiore frequenza daldriver di firewall comune.

Fare clic sui nomi dei virus per aprire una nuova pagina delbrowser Web e visitare l'Enciclopedia dei virus di Trend Micro,contenente ulteriori informazioni su tali virus.

Primi 10 computer attaccati

Elenca i computer della rete per i quali è stato rilevato il piùelevato numero di incidenti virali.

Operazioni di manutenzione per rapporti eregistri

Procedura

1. Accedere a Rapporti > Manutenzione.



12-16

OPERAZIONE PASSAGGI

Impostare il numeromassimo di rapportie modelli

È possibile limitare il numero di rapporti singoli, rapportipianificati (per ogni modello) e modelli disponibili sulSecurity Server. Quando tale numero viene superato, ilSecurity Server elimina i rapporti/modelli in eccesso apartire da quello meno recente.

a. Fare clic sulla scheda Rapporti.

b. Immettere il numero massimo di rapporti singoli,rapporti pianificati e modelli di rapporto da conservare.

Configurarel'eliminazioneautomatica deiregistri

a. Fare clic sulla scheda Eliminazione automatica deiregistri.

b. Selezionare i tipi di registro e specificare la duratamassima dei registri. I registri con durata superiore aquesto valore saranno eliminati.

Eliminamanualmente iregistri

a. Fare clic sulla scheda Eliminazione manuale deiregistri.

b. Per ogni tipo di registro, immettere la durata massima. Iregistri con durata superiore a questo valore sarannoeliminati. Per eliminare tutti i registri, inserire 0.

c. Fare clic su Elimina.


13-1

Capitolo 13

Effettuare operazioni diamministrazione

In questo capitolo viene descritta la modalità di esecuzione di ulteriori operazioniamministrative, come la visualizzazione della licenza del prodotto, l'uso di Plug-inManager e la disinstallazione del Security Server.


13-2

Modifica della password della console WebTrend Micro consiglia di utilizzare password sicure per la console Web. Una passwordsicura ha una lunghezza di almeno otto caratteri, una o più lettere maiuscole (A-Z), unao più lettere minuscole (a-z), uno o più numeri (0-9) e uno o più caratteri speciali o segnidi punteggiatura (!@#$%^&,.:;?); non corrisponde mai al nome utente né lo contiene alsuo interno. Non fa uso del nome di battesimo o del cognome, della data di nascita o dialtri elementi facilmente riconducibili all’utente.

Procedura

1. Accedere a Preferenze > Password.


• Vecchia password

• Nuova password

• Conferma password: Digitare nuovamente la nuova password perconfermarla.


Operazioni relative a Plug-in ManagerPlug-in Manager visualizza i programmi sia per Security Server, sia per i Security Agent,nella console Web non appena diventano disponibili. A questo punto è possibileinstallare e gestire i programmi dalla console Web e distribuire i programmi plug-in deiclient agli agent. Scaricare e installare Plug-in Manager da Preferenze > Plug-In. Altermine dell'installazione, è possibile verificare la presenza di programmi plug-indisponibili. Per ulteriori informazioni, consultare la documentazione per Plug-inManager e i programmi di plug-in.

Effettuare operazioni di amministrazione

13-3

Gestione della licenza di prodottoDalla schermata della licenza del prodotto, è possibile rinnovare, aggiornare ovisualizzare i dettagli della licenza del prodotto.

La schermata Licenza del prodotto visualizza i dettagli sulla licenza. In base alle opzioniselezionate durante l'installazione, si dispone di una versione con licenza completa o diuna versione di prova. In entrambi i casi la licenza dà diritto a un Contratto dimanutenzione. Alla scadenza del Contratto di manutenzione, i client della retedisporranno di una protezione molto limitata. La schermata Licenza del prodottopermette di conoscere in anticipo la data di scadenza della licenza in modo da poterlarinnovare prima di tale data.

Nota

Le licenze per i vari componenti dei prodotti Trend Micro possono variare a seconda dellaregione. Dopo l'installazione, verrà visualizzato un riepilogo dei componenti che la chiavedi registrazione/codice di attivazione consente di utilizzare. Controllare con il propriorivenditore o fornitore per verificare le licenze dei componenti.

Rinnovo della licenza

È possibile rinnovare o aggiornare una versione completa di WFBS acquistando unrinnovo di manutenzione. La versione con licenza completa richiede un codice diattivazione.

Il rinnovo della licenza avviene in due modi:

• Sulla console Web, accedere alla schermata Stato in tempo reale e seguire leistruzioni sullo schermo. Queste istruzioni compaiono 60 giorni prima e 30 giornidopo la scadenza della licenza.

• Contattare il responsabile vendite o rivenditore aziendale di Trend Micro.

I rivenditori possono lasciare le informazioni di contatto su un file sul SecurityServer. Verificare il file all'indirizzo:

{Cartella di installazione di Security Server}\PCCSRV\Private\contact_info.ini


13-4

Nota

La {cartella di installazione del Security Server} normalmente èC:\Program Files\Trend Micro\Security Server.

Un rappresentante Trend Micro aggiornerà le informazioni di registrazione tramiteRegistrazione prodotto Trend Micro.

Security Server interroga il server di Registrazione prodotto e riceve direttamente lanuova data di scadenza da tale server. Quando si rinnova la licenza non ènecessario immettere manualmente un nuovo codice di attivazione.

Attivazione di una nuova licenza

Il tipo di licenza determina il codice di attivazione di Worry-Free Business Security.

TABELLA 13-1. Codice di attivazione in base al tipo di licenza

TIPO DI LICENZA CODICE DI ATTIVAZIONE

Versione con licenza di WFBSStandard completa

CS-xxxx-xxxxx-xxxxx-xxxxx-xxxxx

Versione con licenza di WFBSAdvanced completa

CM-xxxx-xxxxx-xxxxx-xxxxx-xxxxx

Nota

In caso di dubbi sul codice di attivazione, consultare il sito Web Trend Micro al seguenteindirizzo:

http://esupport.trendmicro.com/support/viewxml.do?ContentID=en-116326

La schermata Licenza del prodotto consente di cambiare il tipo di licenza specificandoun nuovo codice di attivazione.

1. Accedere a Preferenze > Licenza del prodotto.

2. Fare clic su Immetti un nuovo codice.

3. Digitare il nuovo codice di attivazione nello spazio apposito.

http://esupport.trendmicro.com/support/viewxml.do?ContentID=en-116326


13-5

4. Fare clic su Attiva.

Partecipazione al programma Smart Feedback

Per ulteriori informazioni su Smart Feedback, vedere Smart Feedback a pagina 1-6.

Procedura

1. Accedere a Preferenze > Smart Protection Network.

2. Fare clic su Attiva Trend Micro Smart Feedback.

3. Per inviare informazioni su potenziali minacce alla sicurezza nei file dei computerclient, selezionare la casella di controllo Attiva il feedback per i file diprogramma sospetti.

Nota

I file inviati a Smart Feedback non contengono dati degli utenti e vengono inviati soloper eseguire le analisi delle minacce.

4. Per consentire a Trend Micro di conoscere meglio l'organizzazione, selezionare unvalore nel campo Settore.


Modifica della lingua dell'interfaccia dell'AgentPer impostazione predefinita, la lingua utilizzata per l’interfaccia dell'agent corrispondealla lingua configurata sul sistema operativo del client. Gli utenti possono modificare lalingua dall'interfaccia dell'agent.


13-6

Salvataggio e ripristino delle impostazioni delprogramma

È possibile salvare una copia del database Security Server e dei file di configurazioneimportanti in modo tale da poter ripristinare il Security Server. Potrebbe risultarenecessario qualora si verifichino dei problemi e si desideri reinstallare il Security Serveroppure per ripristinare una configurazione precedente.

Procedura

1. Arrestare Trend Micro Security Server Master Service.

2. Copiare manualmente i seguenti file e cartelle dalla cartella in un percorsoalternativo:

AVVERTENZA!

Non utilizzare strumenti o applicazioni di backup per questa operazione.

C:\Programmi\Trend Micro\Security Server\PCCSRV

• ofcscan.ini: contiene le impostazioni globali.


13-7

• ous.ini: contiene la tabella delle origini di aggiornamenti perl'implementazione di componenti antivirus.

• Cartella Private: contiene il firewall e le impostazioni delle origini diaggiornamento.

• Cartella Web\TmOPP: contiene le impostazioni della Difesa dalle infezioni.

• Pccnt\Common\OfcPfw.dat: contiene le impostazioni del firewall.

• Download\OfcPfw.dat: contiene le impostazioni di implementazione delfirewall.

• Cartella Log: contiene eventi di sistema e il registro di verifica dellaconnessione.

• Cartella Virus: la cartella in cui WFBS mette in quarantena i file infetti.

• Cartella HTTDB: contiene il database WFBS.

3. Disinstallazione di Security Server. Vedere Disinstallazione di Security Server a pagina13-8.

4. Eseguire una nuova installazione. Vedere la Guida all'installazione e all'aggiornamento diWFBS.

5. Una volta completata l'installazione principale, arrestare Trend Micro SecurityServer Master Service sul computer di destinazione.

6. Aggiornare la versione del pattern antivirus dal file di backup:

a. Prendere la versione corrente del pattern dei virus dal nuovo server.

\Trend Micro\Security Server\PCCSRV\Private\component.ini. [6101]

ComponentName=Virus pattern

Version=xxxxxx 0 0

b. Aggiornare la versione del file di pattern antivirus nel file di cui è statoeseguito il backup:

\Private\component.ini


13-8

NotaSe si modifica il percorso di installazione di Security Server, sarà necessarioaggiornare le informazioni sul percorso nei file di ofcscan.ini e \private\ofcserver.ini

7. Con i backup creati, sovrascrivere il database di WFBS e i relativi file e cartelle nelcomputer di destinazione nella cartella PCCSRV.

8. Riavviare Trend Micro Security Server Master Service.

Disinstallazione di Security ServerLa disinstallazione del Security Server comporta la rimozione anche dello Scan Server.

Worry-Free Business Security utilizza un programma di disinstallazione per rimuoverecorrettamente Trend Micro Security Server dal computer. Rimuovere il modulo Agentda tutti i client prima di rimuovere Security Server.

La disinstallazione di Trend Micro Security Server non comporta la disinstallazione deimoduli agent. Gli amministratori devono disinstallare o spostare tutti gli agent su unaltro Security Server prima di disinstallare il Trend Micro Security Server. VedereRimozione di agent a pagina 3-40.

Procedura

1. Sul computer usato per installare il server, fare clic su Start > Pannello dicontrollo > Installazione applicazioni.

2. Fare clic su Trend Micro Security Server, quindi su Modifica/Rimuovi.

Viene visualizzata una schermata di conferma.


Il programma di disinstallazione principale del server richiede la passworddell'amministratore.

4. Digitare la password dell'amministratore nella casella di testo e fare clic su OK.


13-9

Il programma di disinstallazione principale avvia la rimozione dei file dal server.Dopo la disinstallazione del Security Server viene visualizzato un messaggio diconferma.

5. Per chiudere il programma di disinstallazione, fare clic su OK.

14-1

Capitolo 14

Uso degli strumenti di gestioneQuesto capitolo descrive l’utilizzo degli strumenti amministrativi, degli strumenti client edei componenti aggiuntivi.


14-2

Tipi di strumentiWorry-Free Business Security comprende un gruppo di strumenti che aiuta a eseguirevarie operazioni, quali la configurazione dei server e la gestione dei client.

NotaNon è possibile avviare gli strumenti di amministrazione e client dalla console Web. Dallaconsole Web è possibile scaricare i componenti aggiuntivi.

Per istruzioni sulle procedure di esecuzione degli strumenti, vedere le relative sezioni diseguito.

Gli strumenti si suddividono in tre categorie:

• Strumenti amministrativi

• Impostazione script di accesso (SetupUsr.exe): Automatizzal'installazione di Security Agent. Vedere Installazione con Impostazione script diaccesso a pagina 3-13.

• Vulnerability Scanner (TMVS.exe): Individua i computer non protettipresenti sulla rete. Vedere Installazione con Vulnerability Scanner a pagina 3-22.

• Remote Manager Agent: Consente ai rivenditori di gestire WFBS tramiteuna console Web centralizzata. Vedere Installazione di Trend Micro Worry-FreeRemote Manager Agent a pagina 14-3.

• Trend Micro Disk Cleaner: Elimina i file di backup, i file di registro e i filedi pattern WFBS non necessari. Vedere Risparmio di spazio su disco a pagina14-6.

• Scan Server Database Mover: trasferisce il database dello Scan Server insicurezza su un'altra unità disco. Vedere Spostamento di database Scan Server apagina 14-9.

• Strumenti client

• Client Packager (ClnPack.exe): Crea un file autoestraente contenente ilSecurity Agent e i relativi componenti. Vedere Installazione con Client Packager apagina 3-15.

Uso degli strumenti di gestione

14-3

• Restore Encrypted Virus (VSEncode.exe): Apre i file infetti crittografatida WFBS. Vedere Ripristino dei file crittografati a pagina 14-9.

• Strumento Client Mover (IpXfer.exe): Trasferisce gli agent da un SecurityServer a un altro. Vedere Spostamento di agent a pagina 4-12.

• Rigenera ID client del Security Agent (regenid.exe): L'utility ReGenIDconsente di rigenerare l'ID client del Security Agent, a seconda se l'agent sia suun computer clonato o su una macchina virtuale. Vedere Utilizzo dello strumentoReGenID a pagina 14-14.

• Strumento per la disinstallazione di Security Agent(SA_Uninstall.exe): Rimuove automaticamente tutti i componenti delSecurity Agent dal computer client. Vedere Uso dello strumento di disinstallazionedi SA a pagina 3-44.

• Componenti aggiuntivi: Permettono agli amministratori di visualizzareinformazioni in tempo reale relative a sicurezza e sul sistema dalle console deisistemi operativi Windows supportati. Si tratta delle stesse informazioni generalivisibili nella schermata Stato in tempo reale. Vedere Gestione dei componenti aggiuntividi SBS e EBS a pagina 14-15.

Nota

Alcuni strumenti disponibili nelle versioni precedenti di WFBS non sono disponibili inquesta versione. Se tali strumenti risultano necessari, contattare l'assistenza tecnica di TrendMicro.

Installazione di Trend Micro Worry-FreeRemote Manager Agent

Worry-Free Remote Manager Agent consente ai rivenditori di gestire WFBS con Worry-Free Remote Manager (WFRM). L'agent WFRM (versione 3.0) si installa sul SecurityServer 8.0.

I partner Trend Micro certificati possono installare l'agent per Trend Micro Worry-FreeRemote Manager (WFRM). Se non si desidera installare l'Agent WFRM subito dopo


14-4

l'avvenuta installazione di Security Server, tale installazione può essere effettuatasuccessivamente.

Requisiti di installazione:

• GUID dell'Agent WFRM

Per ottenere il GUID, aprire la console WFRM e accedere a Clienti (scheda) >Tutti i clienti (nella struttura) > {cliente} > WFBS/CSM > Dettagli server/agent (riquadro destro) > Dettagli agent WFRM

• Una connessione a Internet attiva

• 50 MB di spazio libero su disco

Procedura

1. Accedere a Security Server e spostarsi nella seguente cartella di installazione:PCCSRV\Admin\Utility\RmAgent e avviare l'applicazioneWFRMAgentforWFBS.exe.

Ad esempio: C:\Programmi\Trend Micro\Security Server\PCCSRV\Admin\Utility\RmAgent\WFRMAgentforWFBS.exe

Nota

Saltare questo punto se si avvia l'installazione dalla schermata di installazione delSecurity Server.

2. Nella procedura guidata di installazione del Worry-Free Remote Manager Agent,leggere il contratto di licenza. Se si accettano i termini, fare clic su Accetto itermini del contratto di licenza, quindi su Avanti.

3. Fare clic su Sì per confermare di essere un partner certificato.

4. Selezionare Dispongo già di un account Worry-Free Remote Manager edesidero installare l'agent. Fare clic su Avanti.

5. Determinare il proprio scenario.


14-5

Scenario PassaggiNuovo cliente a. Selezionare Associa con un nuovo cliente.

b. Fare clic su Avanti. Immettere le informazioni relative alcliente.

NotaSe il cliente è già presente nella console WFRM e si utilizzal'opzione citata in precedenza per eseguire l'associazionecon un nuovo cliente, nella struttura di rete WFRMverranno visualizzati due clienti con lo stesso nome. Perevitare questo problema, è sufficiente attenersi alla modalitàdescritta di seguito.

Clienteesistente

a. Selezionare Prodotto già esistente in Remote Manager.

NotaÈ necessario che WFBS sia stato già aggiunto alla consoleWFRM. Per istruzioni, consultare la documentazioneWFRM.

b. Immettere il GUID.


7. Selezionare l'Area geografica e il Protocollo, quindi immettere le informazioni sulproxy eventualmente richieste.


Viene visualizzata la schermata Percorso di installazione.

9. Per utilizzare il percorso predefinito, fare clic su Avanti.


Se l'installazione è riuscita e le impostazioni sono corrette, WFRM Agent si registraautomaticamente al server Worry-Free Remote Manager. L'Agent risulta Onlinenella console WFRM.


14-6

Risparmio di spazio su discoÈ possibile risparmiare spazio su disco sul Security Server e i client grazie all'esecuzionedi Disk Cleaner.

Esecuzione di Disk Cleaner sul Security ServerInformazioni preliminari

Per risparmiare spazio su disco, lo strumento Disk Cleaner (TMDiskCleaner.exe)identifica ed elimina i file di backup, registro e pattern inutilizzati dalle seguentidirectory:

• {Security Agent}\AU_Data\AU_Temp\*

• {Security Agent}\Reserve

• {Security Server}\PCCSRV\TEMP\* (tranne i file nascosti)

• {Security Server}\PCCSRV\Web\Service\AU_Data\AU_Temp\*

• {Security Server}\PCCSRV\wss\*.log

• {Security Server}\PCCSRV\wss\AU_Data\AU_Temp\*

• {Security Server}\PCCSRV\Backup\*

• {Security Server}\PCCSRV\Virus\* (elimina i file inquarantena precedenti a due settimane, fatta eccezione peril file NOTVIRUS)

• {Security Server}\PCCSRV\ssaptpn.xxx (conserva solo ilpattern più recente)

• {Security Server}\PCCSRV\lpt$vpn.xxx (conserva solo gliultimi tre pattern)

• {Security Server}\PCCSRV\icrc$oth.xxx (conserva solo gliultimi tre pattern)

• {Security Server}\DBBackup\* (conserva solo le due ultimesottocartelle)


14-7

• {Messaging Security Agent}\AU_Data\AU_Temp\*

• {Messaging Security Agent}\Debug\*

• {Messaging Security Agent}\engine\vsapi\latest\pattern\*

Procedura

1. Nel Security Server, accedere alla seguente directory:

{Cartella di installazione del server}\PCCSRV\Admin\Utility\

2. Fare doppio clic su TMDiskCleaner.exe.

Viene visualizzato lo strumento Disk Cleaner di Trend Micro Worry-Free BusinessSecurity.

NotaI file non possono essere ripristinati.

3. Fare clic su Elimina file per eseguire la scansione dei i file di backup, registro epattern inutilizzati e quindi eliminarli.

Esecuzione di Disk Cleaner sul Security Server dainterfaccia della riga di comando

Procedura

1. Sul Security Server, aprire una finestra del prompt dei comandi.

2. Al prompt dei comandi, eseguire il seguente comando:

TMDiskCleaner.exe [/hide] [/log] [/allowundo]

• /hide: Consente di eseguire lo strumento come processo in background.

• /log: Salva un registro dell'operazione nel file DiskClean.log, che si trovanell'attuale cartella.


14-8

Nota

/log è disponibile solo quando si usa anche il comando /hide.

• /allowundo: Consente di spostare i file nel Cestino, senza eliminarli inmodo definitivo.

3. Per eseguire frequentemente lo strumento Disk Cleaner, configurare una nuovaattività in Operazioni pianificate di Windows. Per ulteriori informazioni, consultarela documentazione di Windows.

Risparmio di spazio su disco sui client

Procedura

• Sui desktop/server con Security Agent:

• Eliminare i file in quarantena

• Eliminare i file di registro

• Eseguire l'unità di disinfezione dischi di Windows

• Su server Microsoft Exchange con Messaging Security Agent:

• Eliminare i file in quarantena

• Eliminare i file di registro

• Eseguire l'unità di disinfezione dischi di Windows

• Eliminare i registri di archivio

• Eliminare i file di backup

• Controllare le dimensioni dei registri transazioni o del database di MicrosoftExchange


14-9

Spostamento di database Scan ServerSe sull'unità disco su cui è installato lo Scan Server lo spazio è sufficiente, utilizzare lostrumento Scan Server Database Mover per spostare il database dello Scan Server suun'altra unità disco.

Verificare che il computer del Security Server possieda più di 1 unità disco e che lanuova unità disco possieda almeno 3 GB di spazio su disco disponibili. Le unitàmappate non sono accettate. Non spostare manualmente il database o utilizzare altristrumenti.

Procedura

1. Sul computer del Security Server, aprire il percorso <cartella diinstallazione del Security Server>\PCCSRV\Admin\Utility.

2. Avviare ScanServerDBMover.exe.

3. Fare clic su Modifica.

4. Selezionare Sfoglia, quindi raggiungere la directory destinazione sull'altra unitàdisco.

5. Fare clic su OK, quindi su Completa una volta spostato il database.

Ripristino dei file crittografatiPer impedire l'apertura dei file infetti, Worry-Free Business Security decodifica il filenegli scenari riportati di seguito:

• Prima di mettere un file in quarantena

• Quando si esegue un backup di un file prima di disinfettarlo

WFBS fornisce uno strumento per decodificare e ripristinare i file in caso sia necessariorecuperare le informazioni in esso contenute. WFBS può decodificare e ripristinare i fileseguenti:


14-10

TABELLA 14-1. File soggetti a decodifica e ripristino in WFBS

FILE DESCRIZIONE

File messi inquarantena nel client

Questi file si trovano nelle seguenti directory:

• <Cartella di installazione del Security Agent>\SUSPECT\Backup

o <Cartella di installazione del Security Agent>\quarantine, a seconda di quella disponibile.

• <Cartella di installazione Messaging SecurityAgent>\storage\quarantine

Questi file vengono caricati nella directory di quarantenadesignata, tipicamente una directory sul Security Server.

File in quarantenanella directory diquarantena designata

Per impostazione predefinita, questa directory si trova sulcomputer del Security Server (<Cartella di installazionedel Security Server>\PCCSRV\Virus). Per modificare ladirectory, in Preferenze > Impostazioni globali > schedaSistema entrare nella sezione Manutenzione della quarantena.

File crittografati dibackup

Si tratta del backup dei file infetti che gli agent sono riusciti adisinfettare. Questi file si trovano nelle seguenti cartelle:

• <Cartella di installazione del Security Agent>\Backup

• <Cartella di installazione Messaging SecurityAgent>\storage\backup

Per ripristinare questi file gli utenti devono trasferirli nelladirectory di quarantena sul client.

AVVERTENZA!Il ripristino di un file infetto può causare la diffusione di virus/malware ad altri file e client.Prima di ripristinare il file, isolare il client infetto e trasferire i file importanti del client in unpercorso di backup.


14-11

Decrittografia e ripristino di file sul Security Agent

Procedura

1. Aprire il prompt dei comandi e accedere alla <Cartella di installazionedel Security Agent>.

2. Digitare quanto riportato di seguito per eseguire VSEncode.exe:

VSEncode.exe /u

Questo parametro apre una schermata contenente un elenco dei file presenti in<Cartella di installazione client >\SUSPECT\Backup.

3. Selezionare un file da ripristinare e fare clic su Ripristina. Lo strumento è in gradodi ripristinare un solo file alla volta.

4. Nella schermata visualizzata specificare la cartella nella quale deve essereripristinato il file.

5. Fare clic su OK. Il file viene ripristinato nella cartella specificata.

NotaSe l'agent esegue di nuovo la scansione del file subito dopo che è stato ripristinato, èpossibile che venga considerato infetto. Per impedire la scansione del file, aggiungerloall'elenco di esclusione della scansione. Vedere Destinazioni di scansione e azioni per iSecurity Agent a pagina 7-10.

6. Terminato il ripristino dei file, fare clic su Chiudi.


14-12

Decrittografia e ripristino di file sul Security Server,directory di quarantena personalizzata o MessagingSecurity Agent

Procedura

1. Se il file si trova nel computer del Security Server, aprire il prompt dei comandi eaccedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility\VSEncrypt.

Se il file è su un client Messaging Security Agent client o in una directory diquarantena, accedere a <Cartella di installazione del server>\PCCSRV\Admin\Utility e copiare la cartella VSEncrypt nel client o nelladirectory di quarantena personalizzata.

2. Creare un file di testo e digitare l'intero percorso dei file da codificare odecodificare.

Ad esempio, per ripristinare i file C:\Documenti\Reports, digitare C:\Documenti\Reports\*.* nel file di testo.

I file in quarantena nel computer del Security Server si trovano in <Cartella diinstallazione del server>\PCCSRV\Virus.

3. Salvare il file di testo con estensione INI o TXT. Ad esempio salvarlo con il nomePerCrittografia.ini nell'unità C:.

4. Aprire un prompt dei comandi e accedere alla directory in cui si trova la cartellaVSEncrypt.

5. Digitare quanto riportato di seguito per eseguire VSEncode.exe:

VSEncode.exe /d /i <location of the INI or TXT file>

Dove:

<location of the INI or TXT file> è il percorso del file INI o TXTcreato (ad esempio C:\ForEncryption.ini).

6. Utilizzare gli altri parametri per ottenere comandi diversi.


14-13

TABELLA 14-2. Parametri di ripristino

PARAMETRO DESCRIZIONE

Nessuno (nessunparametro)

Codifica i file

/d Decodifica i file

/debug Crea un registro di debug e lo salva nel computer. Nelclient, il registro di debug VSEncrypt.log viene creatoin <Cartella di installazione agent>.

/o Sovrascrive il file crittografato o decrittografato giàesistente

/f <filename> Codifica o decodifica un unico file.

/nr Non ripristina il nome del file originale

/v Visualizza le informazioni sullo strumento

/u Avvia l'interfaccia utente dello strumento

/r <Destinationfolder>

Cartella contenente il file ripristinato

/s <Original filename>

Il nome del file crittografato originale

Ad esempio, è possibile digitare VSEncode [/d] [/debug] per decodificare ifile nella cartella Suspect e creare un registro di debug. Quando si decodifica o sicodifica un file, WFBS crea il file decodificato o codificato nella stessa cartella.Prima di decodificare o codificare un file, accertarsi che il file non sia bloccato.

Ripristino dei messaggi e-mail Transport NeutralEncapsulation Format

Transport Neutral Encapsulation Format (TNEF) è un formato di incapsulamento deimessaggi utilizzato da Microsoft Exchange/Outlook. In genere, questo formato vienetrasformato in un allegato e-mail chiamato Winmail.dat e Outlook Express lonasconde automaticamente. Vedere http://support.microsoft.com/kb/241538/it-it.



14-14

Se il Messaging Security Agent archivia questo tipo di messaggio e-mail e l'estensione delfile viene modificata in .EML, Outlook Express visualizza solo il corpo del messaggio e-mail.

Utilizzo dello strumento ReGenIDAffinché il Security Server possa identificare i singoli agent, ogni installazione delSecurity Agent necessita di un GUID (Globally Unique Identifier, Identificatore univocoglobale). Di norma si riscontrano GUID duplicati su client o macchine virtuali clonati.

Se due o più agent riportano lo stesso GUID, avviare lo strumento ReGenID pergenerare un GUID unico per ogni client.

Procedura

1. Nel Security Server, accedere alla seguente directory: <Cartella diinstallazione del server>\PCCSRV\Admin\Utility\.

2. Copiare WFBS_80_WIN_All_ReGenID.exe in una cartella temporanea nel clientin cui è installato il Security Agent.

Esempio: C:\temp

3. Fare doppio clic su WFBS_80_WIN_All_ReGenID.exe.

Lo strumento interrompe il Security Agent e rimuove il GUID del client.

4. Riavviare il Security Agent.

Il Security Agent genera un nuovo GUID per il client.


14-15

Gestione dei componenti aggiuntivi di SBS eEBS

Worry-Free Business Security Advanced mette a disposizione componenti aggiuntivi chepermettono agli amministratori di visualizzare informazioni in tempo reale su sicurezza estato del sistema dalle console dei seguenti sistemi operativi Windows:

• Windows Small Business Server (SBS) 2008

• Windows Essential Business (EBS) Server 2008

• Windows SBS 2011 Standard/Essentials

• Windows Server 2012 Essentials

Installazione manuale dei componenti aggiuntivi di SBS eEBS

Il componente aggiuntivo di SBS o di EBS viene installato automaticamente quando siinstalla Security Server in un computer sul quale viene eseguito SBS 2008, EBS 2008,SBS 2011 Standard/Essentials o Server 2012 Essentials. Per utilizzare il componenteaggiuntivo su un altro computer dotato di questi sistemi operativi, è necessario installarlomanualmente.

Procedura

1. Nella console Web, fare clic su Preferenze > Strumenti di gestione, quindiscegliere la scheda Componenti aggiuntivi.

2. Fare clic sul collegamento Download per scaricare il programma di installazione.

3. Copiare e avviare il programma di installazione nel computer destinazione.


14-16

Uso dei componenti aggiuntivi di SBS e EBS

Procedura

1. Aprire la console di SBS e EBS.

2. Nella scheda Protezione, fare clic su Trend Micro Worry-Free BusinessSecurity per visualizzare le informazioni sullo stato.

A-1

Appendice A

Icone Security AgentQuesta appendice descrive le varie icone dei Security Agent visualizzate sui client.


A-2

Controllo dello stato dei Security AgentLa seguente immagine mostra la console del Security Agent con tutte le funzionalitàaggiornate e correttamente funzionanti:

Nella seguente tabella vengono elencate le icone e il rispettivo significato sull'interfacciautente principale della console del Security Agent:

Icone Security Agent

A-3

TABELLA A-1. Icone dell'interfaccia utente principale della console del Security Agent

ICONA STATO SPIEGAZIONE E AZIONE

Protezione attiva: la protezione èattiva e il software è aggiornato

Il software è aggiornato ecorrettamente funzionante.Nessuna operazione richiesta.

Riavvia il computer: riavviare ilcomputer per completare larimozione delle minacce allasicurezza

Security Agent ha rilevatominacce che non possono essererisolte immediatamente.

Riavviare il computer percompletare la rimozione delleminacce.

Protezione a rischio: Contattarel'amministratore

La scansione in tempo reale èstata disattivata o la protezione èa rischio per un'altra ragione.

Attivare la scansione in temporeale e se il problema non sirisolve, contattare l'assistenza.

Aggiorna ora: Non si riceve unaaggiornamento da (numero)giorni.

Il pattern antivirus è precedente a3 giorni.

Aggiornare il Security Agentimmediatamente.


A-4

ICONA STATO SPIEGAZIONE E AZIONE

Smart Scan non disponibile:Verificare la connessione Internet

Security Agent non ha eseguitol'accesso al server di scansioneda oltre 15 minuti.

Verificare di essere collegati allarete per eseguire la scansionecon gli ultimi pattern.

Riavvia il computer: Riavviare ilcomputer per completarel'installazione dell'aggiornamento

Riavviare il computer percompletare l'aggiornamento.

Aggiornamento del programma: Ilsoftware di sicurezza si staaggiornando

È in corso un aggiornamento.Non disconnettersi dalla rete finoal termine.

Visualizzazione delle icone dei Security Agentsulla barra delle applicazioni di Windows

Le seguenti icone del Security Agent vengono visualizzate sulla barra delle applicazioniWindows:

ICONA SIGNIFICATO

Lo stato è normale

(Animato) Scansione manuale o Scansione pianificata in corso.L'agent utilizza una scansione convenzionale o Smart Scan.

L'agent sta eseguendo un aggiornamento.


A-5

ICONA SIGNIFICATO

È necessario effettuare un'operazione:

• La scansione in tempo reale è disattivata

• Per rimuovere completamente la minaccia informatica, ènecessario eseguire un riavvio

• È necessario eseguire un riavvio a causa di un aggiornamentodel motore

• È necessario effettuare l'aggiornamento

NotaAprire la console principale dell'agent per visualizzarel'operazione da effettuare.

Accesso al flyover della consoleIl flyover della console di Security Agent si apre quando si sposta il puntatore del mousesulla piccola icona in basso a destra della console di Security Agent.


A-6

Nella seguente tabella vengono elencate le icone del flyover della console e ne vienedescritto significato:


A-7

TABELLA A-2. Icone del flyover della console

FUNZIONE ICONA SIGNIFICATO

Connessione Connesso al Security Server

Non connesso al Security Server, ma lascansione in tempo reale è ancora incorso. Il file di pattern potrebbe nonessere aggiornato. Fare clic con ilpulsante destro sull'icona dell'agentnella barra delle applicazioni diWindows e selezionare Aggiorna ora.

Percorso In ufficio

Fuori ufficio

Scansione in tempo reale Attivo

Disattivo


A-8

FUNZIONE ICONA SIGNIFICATO

Smart Scan Connesso al server di scansione

Connesso a Trend Micro SmartProtection Network

Impossibile connettersi allo Scan Servero alla Smart Protection Network; laprotezione risulta ridotta in quanto gliagent non sono in grado di inviare querydi scansione.

NotaVerificare che il servizioTMiCRCScanService di SmartScan sia in esecuzione e che gliagent siano connessi al SecurityServer.

La funzione Smart Scan è disattivata.Utilizzo della scansione tradizionale

• Firewall

• Reputazione Web

• Filtro URL


• Filtro contenuti IM


Attivo

Disattivo

B-1

Appendice B

Supporto dell'IPv6 in Worry-FreeBusiness Security

La lettura di questa appendice è necessaria per gli utenti che intendono implementareWorry-Free Business Security in un ambiente che supporta l'indirizzamento IPv6.Questa appendice contiene informazioni sull'entità del supporto IPv6 in Worry-FreeBusiness Security.

Trend Micro presume che il lettore conosca bene i concetti IPv6 e le attività richieste perimpostare una rete che supporta l'indirizzamento IPv6.


B-2

Supporto dell'IPv6 per Worry-Free BusinessSecurity

Il supporto IPv6 per Worry-Free Business Security è stato introdotto nella versione 8.0.Nelle versioni precedenti di Worry-Free Business Security, l'indirizzamento IPv6 non erasupportato. Il supporto IPv6 viene attivato automaticamente dopo l'installazione ol'aggiornamento di Security Server, Security Agent e Messaging Security Agent chesoddisfano i requisiti IPv6.

Requisiti IPv6 del Security ServerDi seguito sono elencati i requisiti IPv6 per il Security Server:

• Il server deve essere installato su Windows Server 2008/2012, SBS 2008/2011, 7, 8o Vista. Non è possibile installarlo su Windows XP o Server/SBS 2003, in quantotali sistemi operativi supportano solo parzialmente l'indirizzamento IPv6.

• Il server deve usare un server Web IIS. Il server Apache Web non supportal'indirizzamento IPv6.

• Se il server deve gestire agent IPv4 e IPv6, deve disporre sia dell'indirizzo IPv4 cheIPv6 e deve essere identificato tramite il nome host. Se il server viene identificatotramite il suo indirizzo IPv4, gli agent IPv6 puri non possono collegarsi al server.Lo stesso problema si verifica se client IPv4 puri si collegano a un serveridentificato tramite il suo indirizzo IPv6.

• Se il server deve gestire solo agent IPv6, il requisito minimo è un indirizzo IPv6. Ilserver può essere identificato tramite il nome host o l'indirizzo IPv6. Se il serverviene identificato tramite il nome host, è preferibile utilizzare il suo nome didominio completo (FQDN). Infatti, in un ambiente IPv6 puro, un server WINSnon può tradurre un nome host nel suo corrispondente indirizzo IPv6.

• Verificare che l'indirizzo IPv6 o IPv4 della macchina host possa essere recuperatousando, ad esempio, il comando "ping" o "nslookup".

• Per installare il Security Server su un computer IPv6 puro, configurare un serverproxy dual-stack in grado di convertire tra indirizzi IPv4 e IPv6 (come DeleGate).Posizionare il server proxy tra il Security Server e la rete Internet, al fine di

Supporto dell'IPv6 in Worry-Free Business Security

B-3

consentire al server di collegarsi ai servizi gestiti da Trend Micro, ad esempio ilserver ActiveUpdate, il sito Web di registrazione online e Smart ProtectionNetwork.

Requisiti del Security AgentIl Security Server deve essere installato su:

• Windows Vista (tutte le edizioni)



• Windows SBS 2011



Non è possibile installarlo su Windows Server/SBS 2003 e Windows XP, in quanto talisistemi operativi supportano solo parzialmente l'indirizzamento IPv6.

Preferibilmente, il Security Agent dovrebbe disporre di indirizzi IPv4 e IPv6, in quantoalcune delle entità alle quale si connette supportano solo l'indirizzamento IPv4.

Requisiti del Messaging Security AgentIl Messaging Security Agent (solo Advanced) deve essere installato su un serverMicrosoft Exchange dual-stack o IPv6 puro.

Preferibilmente, il Messaging Security Agent dovrebbe disporre di indirizzi IPv4 e IPv6,in quanto alcune delle entità alle quale si connette supportano solo l'indirizzamentoIPv4.

Limitazioni del server IPv6 puroLa tabella seguente elenca le limitazioni che si applicano al Security Server dotato solo diindirizzo IPv6.


B-4

TABELLA B-1. Limitazioni del server IPv6 puro

VOCE LIMITAZIONE

Gestione di agent Un server IPv6 puro non è in grado di:

• Implementare agent sui client IPv4 puri

• Gestire i agent IPv4 puri.

Aggiornamenti egestionecentralizzata

Un server IPv6 puro non è in grado di eseguire l'aggiornamento daorigini IPv4 pure, come:


• Qualsiasi origine aggiornamenti personalizzata IPv4 pura

Registrazione delprodotti,attivazione erinnovo

Un server IPv6 puro non è in grado di connettersi al server per laregistrazione online di Trend Micro per registrare il prodotto, ottenerela licenza e attivare o rinnovare la licenza.

Connessioneproxy

Un server IPv6 puro non è in grado di stabilire la connessioneattraverso un server proxy IPv4 puro.

Soluzioni plug-in Un server IPv6 puro dispone di Plug-in Manager, ma non è in gradodi implementare le soluzioni plug-in a:

• Agent IPv4 puri o host IPv4 puri (a causa dell'assenza di unaconnessione diretta)

• Agent IPv6 puri o host IPv6 puri in quanto nessuna dellesoluzioni plug-in supporta l'IPv6.

È possibile superare molte di queste limitazioni impostando un server proxy dual-stackin grado di convertire gli indirizzi IPv4 in IPv6 e viceversa (come DeleGate).Posizionare il server proxy tra il Security Server e le entità alle quali si connette o cheserve.

Limitazioni agent IPv6 puroLa seguente tabella elenca le limitazioni degli agent (Security Agent o Messaging SecurityAgent) in possesso solo di un indirizzo IPv6.


B-5

TABELLA B-2. Limitazioni agent IPv6 puro

VOCE LIMITAZIONE

Security Serverprincipale

Gli agent IPv6 puri non possono essere gestiti da un SecurityServer IPv4 puro.

Aggiornamenti Un agent IPv6 puro non è in grado di eseguirel'aggiornamento da origini IPv4 pure, come:


• Un Security Server IPv4

• Un Update Agent IPv4 puro

• Qualsiasi origine aggiornamenti personalizzata IPv4pura

Query di scansione eSmart Feedback

Un Security Agent IPv6 puro non è in grado di inviare query aTrend Micro Smart Protection Network e non può utilizzare ilservizio Smart Feedback.

Soluzioni plug-in Gli agent IPv6 puri non sono in grado di installare le soluzioniplug-in, in quanto nessuna di queste supporta IPv6.

Connessione proxy Un agent IPv6 puro non è in grado di stabilire la connessioneattraverso un server proxy IPv4 puro.

È possibile superare molte di queste limitazioni impostando un server proxy dual-stackin grado di convertire gli indirizzi IPv4 in IPv6 e viceversa (come DeleGate).Posizionare il server proxy tra agent ed entità alle quali si connettono.

Configurazione indirizzi IPv6La console Web consente di configurare un indirizzi IPv6 o un intervallo di indirizziIPv6. Di seguito sono riportate alcune istruzioni per la configurazione.

• Worry-Free Business Security accetta presentazioni di indirizzi IPv6 standard.

Ad esempio:

2001:0db7:85a3:0000:0000:8a2e:0370:7334


B-6

2001:db7:85a3:0:0:8a2e:370:7334

2001:db7:85a3::8a2e:370:7334

::ffff:192.0.2.128

• Worry-Free Business Security accetta inoltre indirizzi IPv6 con collegamentolocale, come:

fe80::210:5aff:feaa:20a2

AVVERTENZA!Quando si specifica un indirizzo IPv6 con collegamento locale è necessario essereprudenti in quanto, anche se Worry-Free Business Security accetta l'indirizzo,potrebbe non funzionare come previsto in determinate circostanze. Ad esempio, nonè possibile aggiornare gli agent dall'origine aggiornamenti se l'origine si trova in unaltro segmento di rete ed è identificata dal corrispondente indirizzo IPv6 concollegamento locale.

• Quando l'indirizzo IPv6 è incluso in un URL, racchiuderlo tra parentesi quadre.

• Per gli intervalli di indirizzi IPv6, generalmente sono necessari un prefisso e unalunghezza di prefisso. Per le configurazioni in cui il server esegue query degliindirizzi IP, si applicano le limitazioni della lunghezza del prefisso per evitare che siverifichino problemi di prestazioni quando il server esegue query su un numeroelevato di indirizzi IP.

• Alcune impostazioni relative agli indirizzi o agli intervalli di indirizzi IPv6 vengonoimplementate sugli agent, ma questi le ignorano. Ad esempio, se l'utente configural'elenco di Update Agent e include un Update Agent identificato dal suo indirizzoIPv6, gli agent IPv4 puri ignorano questo Update Agent e si connettono agliUpdate Agent IPv4 o dual-stack, se presenti.

Schermate che visualizzano gli indirizzi IPIn questa argomento sono enumerate le posizioni della console Web in cui sonovisualizzati gli indirizzi IP.

• Struttura dei gruppi di protezione


B-7

Ogni volta che compare la Struttura dei gruppi di protezione, gli indirizzi IPv6 degliagent IPv6 compaiono sotto alla colonna Indirizzo IP. Per gli agent dual-stack, gliindirizzi IPv6 sono visualizzati se sono stati utilizzati per la registrazione al server.

NotaL'indirizzo IP utilizzato dagli agent dual-stack durante la registrazione sul server èvisibile nella sezione Indirizzo IP preferito in Preferenze > Impostazioni globali> scheda Desktop/Server.

Quando si esportano le impostazioni dell'agent in un file, gli indirizzi IPv6 sitrovano anche nel file esportato.

• Registri

Gli indirizzi IPv6 degli agent dual-stack e IPv6 puri sono visualizzati nei registri.

C-1

Appendice C

Visualizzazione della GuidaIn questa appendice viene illustrato come visualizzare la guida, individuare informazioniaggiuntive e contattare Trend Micro.


C-2

Knowledge Base di Trend MicroLa Knowledge Base presente sul sito Web di Trend Micro contiene le risposte piùaggiornate alle domande degli utenti sul prodotto. Se non si riesce a trovare una rispostanella documentazione fornita con il prodotto, è possibile utilizzare la Knowledge Baseper porre domande. Per accedere alla Knowledge Base utilizzare l'indirizzo:


Trend Micro aggiorna costantemente i contenuti della Knowledge Base e aggiungequotidianamente nuove soluzioni. Se non si riesce a trovare una risposta, è possibiledescrivere il problema in un messaggio e-mail e spedirlo direttamente all'assistenzatecnica di Trend Micro per consentire ulteriori indagini e ricevere una rispostatempestiva.

Come contattare l'assistenza tecnicaPrima di contattare l'assistenza tecnica Trend Micro, si consiglia di eseguire il softwareCase Diagnostic Tool (consultare Case Diagnostic Tool a pagina C-3).

Trend Micro fornisce a tutti gli utenti registrati assistenza tecnica, download di pattern eaggiornamenti del programma per un periodo di un anno, trascorso il quale è necessarioacquistare un rinnovo di manutenzione. Per assistenza o domande, contattare ilsupporto tecnico. Qualsiasi commento è gradito.

• Assistenza tecnica:

http://esupport.trendmicro.com/en-us/business/pages/technical-support.aspx

• Inviare un Support Case online:

http://esupport.trendmicro.com/srf/srfmain.aspx

• Se si preferisce comunicare tramite e-mail, inviare una query al seguente indirizzo:

[email protected]

• Negli Stati Uniti, è possibile anche chiamare il seguente numero verde:

(877) TRENDAV o 877-873-6328


http://esupport.trendmicro.com/en-us/business/pages/technical-support.aspx

http://esupport.trendmicro.com/srf/srfmain.aspx

Visualizzazione della Guida

C-3

• Documentazione dei prodotti Trend Micro

http://docs.trendmicro.com/it-it/smb.aspx

Case Diagnostic ToolQuando si verifica un problema, Trend Micro Case Diagnostic Tool (CDT) raccoglie leinformazioni di debugging necessarie dal prodotto del cliente. Attiva e disattivaautomaticamente lo stato di debug del prodotto e raccoglie i file necessari a secondadella categoria del problema. Queste informazioni vengono utilizzate da Trend Microper risolvere i problemi legati al prodotto.

Eseguire lo strumento su tutte le piattaforme supportate da Worry-Free BusinessSecurity. Per ottenere lo strumento e la documentazione pertinente, visitare il sito Webhttp://www.trendmicro.com/download/emea/product.asp?productid=25&lng=it.

Velocizzazione della chiamata all'assistenza tecnicaQuando si contatta l'assistenza tecnica, per velocizzare la risoluzione del problemaassicurarsi di avere a disposizione i dettagli riportati di seguito:

• Versioni di Microsoft Windows e Service Pack

• Tipo di rete

• Marca e modello del computer ed eventuale hardware aggiuntivo collegato al PC

• Quantità di memoria e di spazio libero su disco disponibili sul computer

• Descrizione dettagliata dell'ambiente di installazione

• Testo esatto di eventuali messaggi di errore visualizzati

• Passaggi che hanno causato il problema

Informazioni di contattoIn Italia è possibile contattare gli addetti di Trend Micro via telefono, fax o e-mail:

http://docs.trendmicro.com/it-it/smb.aspx

http://www.trendmicro.com/download/emea/product.asp?productid=25&lng=it


C-4

Trend Micro, Inc. 10101 North De Anza Blvd., Cupertino, CA 95014

Telefono: +1 (800) 228-5651 (vendite) casella vocale: +1 (408) 257-1500 (centralino)Fax: +1 (408) 257-2003

Sito Web: www.trendmicro.com

E-mail: [email protected]

Invio di file sospetti a Trend MicroQuando ci si ritrova in presenza di un file presumibilmente infetto, ma il motore discansione non lo rileva o non riesce a disinfettarlo, si consiglia di inviare il file sospetto aTrend Micro.

È possibile anche inviare a Trend Micro l'URL di eventuali siti Web sospettati diphishing o di altri cosiddetti "vettori di infezioni" (fonte intenzionale di minacce Internetquali spyware e virus).

• Inviare un messaggio e-mail all'indirizzo [email protected] e indicarecome oggetto "Phish or Disease Vector".

• Usare la Utility antimalware Trend Micro:


Centro informazioni sulla sicurezzaNel sito Web Trend Micro sono disponibili informazioni dettagliate sulla sicurezza:

• Elenco di virus e codice mobile dannoso attualmente "allo stato brado" o attivi

• Messaggi burla sulla presenza di virus

• Avvisi sulle minacce Internet

• Rapporto settimanale sui virus

• L'Enciclopedia delle minacce, contenente un elenco esaustivo dei nomi e deisintomi dei virus noti e del codice mobile dannoso

http://www.trendmicro.com


Visualizzazione della Guida

C-5


• Glossario

TrendLabsTrendLabsSM è il centro globale per la ricerca antivirus e l'assistenza di Trend Micro.Distribuito su tre continenti, TrendLabs è composto da oltre 250 ricercatori e tecnici chesono impegnati 24 ore su 24 per fornire a tutti i clienti Trend Micro l'assistenzanecessaria.

Si può fare affidamento sui servizi post vendita elencati di seguito.

• Aggiornamenti regolari dei virus pattern per tutti i virus e codici maligni dalaboratorio o in circolazione conosciuti.

• Assistenza di emergenza per le infezioni virali.

• Accesso via e-mail ai tecnici antivirus.

• Knowledge Base, il database online di Trend Micro per l'assistenza tecnica.

TrendLabs ha ottenuto la certificazione di qualità ISO 9002.

Riscontri sulla documentazioneTrend Micro si impegna continuamente a migliorare la propria documentazione. Perdomande, commenti o suggerimenti riguardanti questo o qualsiasi documento TrendMicro, visitare il seguente sito:




D-1

Appendice D

Nozioni e terminologia prodottiGli elementi contenuti in questa appendice forniscono ulteriori informazioni su prodottie tecnologie Trend Micro.


D-2

HotfixUna hot fix è un accorgimento o una soluzione a un problema specifico riscontrato dagliutenti. Le hot fix sono specifiche per determinati problemi e pertanto non vengonodistribuiti a tutti i clienti. Le hot fix Windows comprendono un programma diinstallazione a differenza delle hot fix non Windows che non lo comprendono (di solitoè necessario interrompere i daemon, copiare il file per sovrascriverne la contropartenell'installazione personale e riavviare i daemon).

Per impostazione predefinita, i Security Agent sono in grado di installare le hotfix.Qualora si voglia proibire ai Security Agent di installare hotfix, modificare leimpostazioni di aggiornamento nella console Web da Impostazioni > {gruppo} >Configura > Privilegi client. In Aggiorna privilegi, selezionare Disattival'aggiornamento del programma e la distribuzione di hotfix.

IntelliScanIntelliScan è un metodo di identificazione dei file da analizzare. Per i file eseguibili (adesempio .exe), il tipo di file effettivo viene determinato in base al suo contenuto. Per ifile non eseguibili (ad esempio .txt), il tipo di file effettivo viene determinato in baseall'intestazione del file.

L'utilizzo di IntelliScan offre i vantaggi illustrati di seguito:

• Ottimizzazione delle prestazioni: IntelliScan non influisce sulle applicazioni delclient perché utilizza risorse di sistema minime.

• Periodo di scansione più breve: IntelliScan utilizza l'identificazione del tipo di fileeffettivo; sottopone a scansione solo i file che sono vulnerabili alle infezioni. Iltempo di scansione risulta quindi sensibilmente ridotto rispetto alla scansione ditutti i file.

IntelliTrapIntelliTrap è la tecnologia euristica di Trend Micro utilizzata per individuare le minacceche si servono della compressione in tempo reale associata ad altre caratteristiche delle

Nozioni e terminologia prodotti

D-3

minacce informatiche, come i packer. Tra queste minacce ricordiamo virus e altreminacce informatiche, worm, cavalli di Troia, backdoor e bot. Gli sviluppatori di virusspesso cercano di aggirare il filtro di virus/minacce informatiche utilizzando diversisistemi di compressione. IntelliTrap è una tecnologia di motore di scansione in temporeale, basata su regole e sul riconoscimento di pattern, che è in grado di rilevare erimuovere virus/minacce informatiche noti contenuti nei file compressi fino a sei livellidi profondità creati con uno fra 16 tipi diffusi di compressione.

Nota

IntelliTrap utilizza lo stesso motore della scansione antivirus. Di conseguenza, le regole digestione e scansione dei file per IntelliTrap coincidono con quelle definitedall'amministratore per la scansione antivirus.

L'agent inserisce i rilevamenti di bot e altre minacce informatiche nel registro di IntelliTrap.È possibile esportare i contenuti del registro di IntelliTrap per includerli nei rapporti.

Quando esegue la verifica per rilevare bot e altre minacce informatiche, IntelliTrap utilizza iseguenti componenti:

• Motore di scansione virus

• Pattern IntelliTrap

• Pattern eccezioni IntelliTrap

Tipo di file effettivo

Quando è impostato sulla scansione del "tipo di file effettivo", il motore di scansioneesamina l'intestazione del file piuttosto che il nome per accertarsi del tipo di fileeffettivo. Ad esempio, se il motore di scansione impostato in modo da analizzare tutti ifile eseguibili rileva un file denominato "famiglia.gif", non presuppone che si tratti di unfile di immagine. Il motore di scansione apre l'intestazione del file ed esamina il tipo didati in esso contenuti per stabilire se il file è effettivamente un file di immagine o, adesempio, un eseguibile denominato in tal modo per evitare il rilevamento.

Questo tipo di scansione funziona in combinazione con IntelliScan per analizzaresoltanto i tipi di file noti come potenzialmente dannosi. Queste tecnologie possonoridurre, di addirittura due terzi, il numero di file esaminati dal motore di scansione.Questa riduzione delle scansioni può determinare una maggiore esposizione della rete alrischio di file dannosi.


D-4

Ad esempio, i file .gif rappresentano un ampio volume del traffico Web complessivo, maè improbabile che contengano virus/minacce informatiche, che eseguano l'avvio dicodice eseguibile o che mettano in atto un qualsiasi tipo di sfruttamento dellevulnerabilità, noto o potenziale. Tuttavia, non significa che siano sicuri. Almeno noncompletamente. Un hacker malintenzionato potrebbe assegnare a un file dannoso unnome file "sicuro" per evitare che esso venga rilevato dal motore di scansione eintrodurlo così nella rete. Questo file potrebbe causare danni se rinominato ed eseguito.

SuggerimentoPer il massimo livello di sicurezza, Trend Micro consiglia la scansione di tutti i file.

Sistema di rilevamento anti-intrusioneIl firewall comprende anche un sistema di prevenzione intrusioni (IDS). Se attivato, IDSfacilita l'identificazione dei pattern nei pacchetti di rete che possono indicare un attaccosul client. Il firewall consente di prevenire le seguenti intrusioni note:

• Frammento troppo grande: Attacco DoS (Denial of Service) in cui un hackerdirige un pacchetto TCP/UDP di dimensioni eccessive sul computer didestinazione. Un'operazione di questo tipo può comportare l'overflow del buffersui computer, causandone il blocco o il riavvio.

• Ping of Death: Attacco DoS (Denial of Service) in cui un hacker dirige unpacchetto ICMP/ICMPv6 di dimensioni eccessive sul computer di destinazione.Un'operazione di questo tipo può comportare l'overflow del buffer sui computer,causandone il blocco o il riavvio.

• Conflitto ARP: Tipo di attacco in cui un hacker invia una richiesta ARP (AddressResolution Protocol) a un computer utilizzando lo stesso indirizzo IP come originee come destinazione. Il computer oggetto dell'attacco, quindi, comincia a inviarecontinuamente una risposta ARP (il suo indirizzo MAC) a se stesso, conconseguente blocco del sistema.

• Flooding SYN: Attacco DoS (Denial of Service) in cui un programma invia a uncomputer dei pacchetti di sincronizzazione (SYN) TCP multipli, causando un inviocontinuo di risposte di riconoscimento (SYN/ACK) da parte del computer. Ciòpuò esaurire la memoria del computer e causare guasti del computer.


D-5

• Frammenti sovrapposti: Questo attacco DoS (Denial of Service) simile alteardrop, invia a un computer dei frammenti TCP sovrapposti. Questo causa lasovrascrittura delle informazioni di intestazione del primo frammento TCP chepotrebbe così oltrepassare un firewall. Il firewall, a questo punto, potrebbeconsentire l'accesso ai successivi frammenti contenenti il codice malignopermettendo loro di raggiungere il computer di destinazione.

• Teardrop: Questo attacco DoS (Denial of Service) simile all'attacco a frammentisovrapposti, utilizza dei frammenti IP. Un valore di offset errato all'interno delsecondo o di altri frammenti IP può causare il blocco del sistema operativo delcomputer ricevente nel momento in cui tenta di riassemblare i frammenti.

• Attacco frammento di dimensioni minime: Tipo di attacco in cui un frammentoTCP di dimensioni minime forza le informazioni di intestazione del primopacchetto TCP all'interno del frammento successivo. In questo modo potrebberoessere ignorati i frammenti successivi che potrebbero contenere dati dannosi.

• IGMP frammentato: Attacco DoS (Denial of Service) che invia pacchetti IGMPframmentati a un computer di destinazione che non riesce a elaborarlicorrettamente, Ciò può bloccare il computer o rallentarne le attività.

• Attacco LAND: Tipo di attacco che invia a un computer dei pacchetti disincronizzazione (SYN) IP contenenti lo stesso indirizzo come origine e comedestinazione; il computer invia pertanto la risposta di riconoscimento (SYN/ACK)a se stesso, Ciò può bloccare il computer o rallentarne le attività.

Parole chiaveIn WFBS, le parole chiave comprendono le voci riportate di seguito e vengono utilizzateper filtrare i messaggi:

• Parole (pistole, bombe e così via)

• Numeri (1,2,3 e così via)

• Caratteri speciali (&,#,+ e così via)

• Frasi brevi (pesce blu, telefono rosso, casa grande e così via)

• Parole o frasi collegate con operatori logici (mele .AND. arance)


D-6

• Parole o frasi che utilizzano espressioni regolari (.REG. a.*e corrisponde a "ace","ape" e "avanzate", ma non a "avv", "api" o "antivirus")

WFBS può importare un elenco di parole chiave esistente da un file di testo (.txt). Leparole chiave importate vengono visualizzate nell'elenco di parole chiave.

Operatori sulle parole chiave

Gli operatori sono comandi in grado di unire più parole. Gli operatori possono ampliareo restringere i risultati di un criterio. Racchiudere gli operatori tra punti (.). Ad esempio:

apples .AND. oranges and apples .NOT. oranges

NotaL'operatore contiene un punto immediatamente prima e dopo. È presente uno spazio tra ilpunto finale e la parola chiave.

TABELLA D-1. Uso degli operatori

OPERATORE FUNZIONAMENTO ESEMPIO

qualsiasi parolachiave

Il Messaging Security Agentcerca i contenuti checorrispondono alla parola

Immettere la parola eaggiungerla all'elenco delleparole chiave

OR Il Messaging Security Agentcerca eventuali parole chiaveseparate da OR

Ad esempio, mela OR arancia.L'agent cerca la parola mela oarancia. Se nei contenuti èpresente una di queste parole,viene rilevata unacorrispondenza.

Immettere ".OR." tra tutte leparole da includere

Ad esempio,

"mela OR arancia"


D-7


AND Il Messaging Security Agentcerca tutte le parole chiaveseparate da AND

Ad esempio, mela AND arancia.L'agent cerca sia la parola melache la parola arancia. Se neicontenuti non sono presentientrambe le parole, non vienerilevata alcuna corrispondenza.

Immettere ".AND." tra tutte leparole da includere

Ad esempio,

"mela AND arancia"

NOT Il Messaging Security Agentesclude dalla ricerca le parolechiave che seguono NOT.

Ad esempio, .NOT. succo.L'agent cerca i contenuti che noncontengono la parola succo. Se ilmessaggio contiene "spremutad'arancia", viene rilevata unacorrispondenza, ma se contiene"succo d'arancia", non ne vienerilevata alcuna.

Digitare ".NOT." prima dellaparola da escludere

Ad esempio,

".NOT. succo"

WILD Il simbolo del carattere jollysostituisce la parte mancante diuna parola. Vengono rilevatetutte le corrispondenze conqualsiasi parola contenga laparte non sostituita dal caratterejolly.

NotaIl Messaging SecurityAgent non supportal'utilizzo del carattere "?"nel comando con caratterejolly ".WILD.".

Immettere ".WILD." prima delleparti della parola da includere

Ad esempio, per individuare tuttele parole che contengono "valu",è necessario digitare".WILD.valu". Le paroleValumart, valutazione e valutariovengono consideratecorrispondenze.


D-8


REG Per specificare un'espressioneregolare, aggiungere unoperatore .REG. prima delmodello (ad esempio, .REG.a.*e).

Vedere Espressioni regolari apagina D-10.

Digitare "..REG." prima delpattern della parola da rilevare.

Ad esempio, ".REG. a.*e"corrisponde a: "ace", "ape" e"salmastre", ma non "avv", "api" o"antivirus"

Uso efficace delle parole chiave

Messaging Security Agent mette a disposizione degli utenti funzioni semplici e potentiper creare filtri estremamente specifici. Durante la creazione delle regole di filtro delcontenuto, è importante ricordare che:

• Per impostazione predefinita, Messaging Security Agent cerca corrispondenzeesatte con le parole chiave. Utilizzare le espressioni regolari per cercarecorrispondenze parziali delle parole chiave. Vedere Espressioni regolari a pagina D-10.

• Il Messaging Security Agent analizza diversamente più parole chiave sulla stessariga, più parole chiave di cui ciascuna su righe diverse e più parole chiave separateda virgola, punto, trattino o altri segni di punteggiatura. Per ulteriori informazionisull'uso delle parole chiave su più righe, vedere la tabella seguente.

• È possibile impostare Messaging Security Agent in modo che cerchi sinonimi delleparole chiave.

TABELLA D-2. Modalità di utilizzo delle parole chiave

SITUAZIONE ESEMPIO CORRISPONDENZA/MANCATA CORRISPONDENZA

Due parole inuna stessa riga

pistole bombe Corrispondenza:

"Fare clic qui per acquistare pistole, bombe e altrearmi."

Mancata corrispondenza:

"Fare clic qui per acquistare pistole e bombe."


D-9

SITUAZIONE ESEMPIO CORRISPONDENZA/MANCATA CORRISPONDENZA

Due paroleseparate da unavirgola

pistole, bombe Corrispondenza:

"Fare clic qui per acquistare pistole, bombe e altrearmi."


"Fare clic qui per acquistare pistole usate, bombenuove e altre armi."

Più parole surighe multiple

pistole

bombe

armi e munizioni

Se si seleziona Qualsiasi parola chiavespecificata

Corrispondenza:

"Pistole in vendita"

Altra corrispondenza:

"Acquista pistole, bombe e altre armi."

Se si seleziona Tutte le parole chiavespecificate

Corrispondenza:

"Acquista pistole bombe armi e munizioni"


"Acquista pistole bombe armi munizioni."

Altra mancata corrispondenza:

"Acquista pistole, bombe, armi e munizioni"

Più parolechiave sullastessa riga

pistole bombearmi munizioni

Corrispondenza:

"Acquista pistole bombe armi munizioni"


"Acquista munizioni per le tue pistole e armi enuove bombe"


D-10

PatchLa patch è un gruppo di hot fix e patch di protezione che risolve vari problemi di unprogramma. Trend Micro rende disponibili le patch regolarmente. Le patch Windowsincludono un programma di installazione al contrario delle patch non Windows che disolito dispongono di uno script di installazione.

Espressioni regolariLe espressioni regolari vengono utilizzate per effettuare la ricerca di stringhe. Consultarele seguenti tabelle per alcuni esempi di espressioni regolari. Per specificareun'espressione regolare, aggiungere un operatore ".REG." prima del modello.

In Internet, sono disponibili diversi siti Web ed esercitazioni online. Uno di questi siti èPerlDoc, all'indirizzo:

http://www.perl.com/doc/manual/html/pod/perlre.html

AVVERTENZA!

Le espressioni regolari sono un potente strumento di ricerca delle stringhe. Per questomotivo, Trend Micro consiglia agli amministratori che decidono di utilizzarle di acquisirefamiliarità e dimestichezza con la sintassi delle espressioni regolari. Le espressioni regolariscritte con una sintassi errata possono avere un impatto decisamente negativo sulleprestazioni. Trend Micro suggerisce di cominciare con espressioni regolari semplici che nonutilizzano una sintassi complessa. Quando si introducono delle nuove regole, utilizzarel'azione di archiviazione e osservare il modo in cui il Messaging Security Agent gestisce imessaggi che utilizzano la regola introdotta. Quando si è certi che la regola non haconseguenze impreviste, è il momento di modificare l'azione.

Esempi di espressione regolare

Consultare le seguenti tabelle per alcuni esempi di espressioni regolari. Per specificareun'espressione regolare, aggiungere un operatore ".REG." prima del modello.

http://www.perl.com/doc/manual/html/pod/perlre.html


D-11

TABELLA D-3. Conteggio e raggruppamento

ELEMENTO SIGNIFICATO ESEMPIO

. Il punto rappresenta qualsiasicarattere salvo quello perpassare a una nuova riga.

do. rileva don, dovere, dorato,dos, dot, ecc.

d.e rileva dove, dolore, ecc.

* L'asterisco indica nessuna ovarie occorrenze dell'elementoprecedente.

no* rileva n, no, noo, nooo,noooo, ecc.

+ Il più indica una o varieoccorrenze dell'elementoprecedente.

no+ rileva no, noo, nooo, noooo,ecc. ma non n

? Il punto interrogativo indicanessuna o una occorrenzadell'elemento precedente.

no?n rileva nn o non ma nonnoon, nooon ecc.

( ) Le parentesi permettono diconsiderare tutti i caratteri inclusial loro interno come un'unicaentità.

d(opo)+ rileva o dopoopo odopoopoopo ecc. Il carattere +viene applicato alla sottostringatra parentesi affinché la regexcerchi la d seguita da una o piùoccorrenze della stringa "opo".

[ ] Le parentesi quadre indicano uninsieme o una serie di caratteri.

d[aeiou]+ rileva da, de, di, do, du,daa, dae, dai, ecc. Il carattere +viene applicato all'insieme dicaratteri tra parentesi quadreaffinché la regex cerchi la dseguita da una o più occorrenzedei caratteri presenti [aeiou].

d[A-Z] rileva dA, dB, dC e cosìvia fino a dZ. L'insieme dicaratteri tra parentesi quadrerappresenta la serie di tutte lelettere maiuscole comprese tra Ae Z.


D-12


[ ^ ] Il carattere accento circonflessoracchiuso tra parentesi quadrenega logicamente l'insieme ol'intervallo specificati; in tal modola regex trova la corrispondenzatra qualsiasi carattere che nonsia incluso nell'insieme onell'intervallo.

d[^aeiouy] trova db, dc o dd, d9,d#--d seguiti da qualsiasicarattere singolo ad eccezione diuna vocale.

{ } I caratteri parentesi graffaspecificano un numerodeterminato di occorrenzedell'elemento precedente. Unsingolo valore all'interno delleparentesi graffe significa cheverrà individuato soltanto ilnumero di occorrenzespecificato. Una coppia di numeriseparati da una virgolarappresenta un insieme dioccorrenze valide del carattereprecedente. Una singola cifraseguita da una virgola significache non esiste alcun limitesuperiore.

da{3} trova daaa--d seguito da 3occorrenze e non più di 3 di "a".da{2,4} trova daa, daaa, daaaa edaaaa (ma non daaaaa)--dseguiti da 2, 3 o 4 occorrenze di"a". da{4,} trova daaaa, daaaaa,daaaaaa ecc.--d seguiti daalmeno 4 occorrenze di "a".

TABELLA D-4. Classi di caratteri (stenografia)


\d Qualsiasi carattere numerico; alivello di funzione, equivale a[0-9] o [[:digit:]].

\d trova 1, 12, 123 ecc. ma non1b7--uno o più caratteri numerici.

\D Qualsiasi carattere nonnumerico; a livello di funzione,equivale a [^0-9] o [^[:digit:]].

\D trova a, ab, ab&, ma non 1--uno o più caratteri esclusi 0, 1, 2,3, 4, 5, 6, 7, 8 o 9.


D-13


\w Qualsiasi lettera, vale a direqualsiasi carattere alfanumerico;a livello di funzione, equivale a[_A-Za-z0-9] o [_[:alnum:]]]

\w trova a, ab, a1, ma non !&--una o più lettere maiuscole ominuscole o cifre, ma non lapunteggiatura o altri caratterispeciali.

\W Qualsiasi carattere nonalfanumerico; a livello difunzione, equivale a [^_A-Za-z0-9] o [^_[:alnum:]].

\W trova *, &, ma non ace o a1--uno o più caratteri eccetto letteremaiuscole o minuscole e cifre.

\s Qualsiasi carattere spazio vuoto;spazio, nuova riga, tabulatore,spazio unificatore ecc.; a livello difunzione, equivale a [[:space]].

verdura\\s trova "verdura" seguitoda un carattere spazio vuoto.Quindi la frase "Sono un fan dellamusica rock" avvia la regex,mentre "Siamo fans della musicarock" no.

\S Uno spazio non vuoto; qualsiasicarattere diverso da uno spazio,da una nuova riga, da uncarattere tabulatore, da unospazio unificatore ecc.; a livello difunzione, equivale a [^[:space]].

verdura\\S trova "verdura"seguito da un carattere diversoda spazio vuoto. Quindi la frase"Siamo fans della musica rock"avvia la regex, mentre "Sono unfan della musica rock" no.

TABELLA D-5. Classi di caratteri


[:alpha:] Qualsiasi carattere alfabetico .REG. [[:alpha:]] trova abc, def,xxx, ma non 123 o @#$.

[:digit:] Qualsiasi cifra; a livello difunzione, equivale a \d

.REG. [[:digit:]] trova 1, 12, 123,ecc.

[:alnum:] Qualsiasi "lettera", vale a direqualsiasi carattere alfanumerico;a livello di funzione, equivale a\w.

.REG. [[:alnum:]] trova abc, 123,ma non ~!@.


D-14


[:space:] Qualsiasi carattere spazio vuoto;spazio, nuova riga, caratteretabulatore, spazio unificatoreecc.; a livello di funzione,equivale a \s.

.REG. (verdura)[[:space:]] trova"verdura" seguito da un caratterespazio vuoto. Quindi la frase"Sono un fan della musica rock"avvia la regex, mentre "Siamofans della musica rock" no.

[:graph:] Qualsiasi carattere esclusi glispazi, i caratteri di controllo ecaratteri simili.

.REG. [[:graph:]] trova 123, abc,xxx, ><”, ma non lo spazio o icaratteri di controllo.

[:print:] Qualsiasi carattere (simile a[:graph:]) ma comprende ilcarattere spazio.

.REG. [[:print:]] trova 123, abc,xxx, ><" e i caratteri spazio.

[:cntrl:] Qualsiasi carattere di controllo(ad es. CTRL + C, CTRL + X)

.REG. [[:cntrl:]] trova 0x03, 0x08,ma non abc, 123, !@#.

[:blank:] Caratteri spazio e tabulatore .REG. [[:blank:]] trova i caratterispazio e tabulatore, ma non 123,abc, !@#

[:punct:] Caratteri punteggiatura. .REG. [[:punct:]] trova ; : ? ! ~ @# $ % & * ' " , ecc., ma non 123,abc

[:lower:] Qualsiasi carattere alfabeticominuscolo (Nota: selezionarel'opzione 'Attiva corrispondenzamaiuscole/minuscole', altrimenti ilfunzionamento è identico a quellodi [:alnum:])

.REG. [[:lower:]] trova abc, Def,sTress, Do, ecc., ma non ABC,DEF, STRESS, DO, 123, !@#.

[:upper:] Qualsiasi carattere alfabeticomaiuscolo (Nota: selezionarel'opzione 'Attiva corrispondenzamaiuscole/minuscole', altrimenti ilfunzionamento è identico a quellodi [:alnum:])

.REG. [[:upper:]] trova ABC, DEF,STRESS, DO ecc. ma non abc,Def, Stress, Do, 123, !@#.

[:xdigit:] Cifre consentite in un numeroesadecimale (0-9a-fA-F).

.REG. [[:xdigit:]] trova 0a, 7E, 0fecc.


D-15

TABELLA D-6. Ancoraggi di pattern


^ Indica l'inizio di una stringa. ^(benché) trova qualsiasi bloccodi testo che comincia con"benché". Quindi, la frase"benché io sia un fan dellamusica" avvia la regex mentre "Iosono un fan della musicabenché" no.

$ Indica la fine di una stringa. (benché)$ trova qualsiasi bloccodi testo che finisce con "benché".Quindi, la frase "benché io sia unfan della musica" non avvia laregex mentre "Io sono un fandella musica benché" sì.

TABELLA D-7. Sequenze di escape e stringhe letterali


\ Per trovare alcuni caratteri chehanno un significato particolarenelle espressioni regolari (adesempio "+").

(1) .REG. C\\C\+\+ trova ‘C\C++’.

(2) .REG. \* trova *.

(3) .REG. \? trova ?.

\t Indica un carattere tabulatore. (pane)\\t trova qualsiasi blocco ditesto che contiene la sottostringa"pane" immediatamente seguitada un carattere tabulatore (ASCII0x09).


D-16


\n Indica il carattere della nuovariga.

Notapiattaforme diverse hannomodi diversi dirappresentare il caratteredi nuova riga. In Windows,una nuova riga èrappresentata da unacoppia di caratteri, unritorno a capo seguito daun salto di riga. In Unix eLinux, una nuova riga èsemplicemente un salto diriga, e nei Macintosh unanuova riga èsemplicemente un ritorno acapo.

(pane)\n\n trova qualsiasi bloccodi testo che contenga lasottostringa "pane"immediatamente seguita da duecaratteri di nuova riga (ASCII0x0A).

\r Indica un carattere ritorno acapo.

(pane)\r trova qualsiasi blocco ditesto che contenga lasottostringa "pane"immediatamente seguita da uncarattere ritorno a capo (ASCII0x0D).


D-17


\b Indica un carattere backspace.

OPPURE

Segnala limiti.

(pane)\b trova qualsiasi blocco ditesto che contenga lasottostringa “pane”immediatamente seguita da uncarattere backspace (ASCII0x08).

Un limite di parola (\b) è un puntotra due caratteri con \w da un latoe \W dall'altro (in qualsiasiordine), ritenendo i caratteriimmaginari all'inizio e alla finedella stringa corrispondenti a \W(nelle classi di caratteri \brappresenta il backspacepiuttosto che un limite di parola).

Ad esempio, la seguenteespressione regolare puòcorrispondere al codicefiscale: .REG. \b\d{3}-\d{2}-\d{4}\b

\xhh Indica un carattere ASCII con undeterminato codice esadecimale(dove hh rappresenta un valoreesadecimale a due cifre).

\x7E(\w){6} trova qualsiasi bloccodi testo contenente una "parola"composta esattamente da seicaratteri alfanumerici precedutida un carattere ~ (tilde). Quindi,vengono trovate le parole'~ab12cd', '~Pa3499' ma non laparola '~oops'.

Generatore di espressioni regolari

Quando si stabilisce come configurare le regole per Prevenzione della perdita di dati,considerare che il generatore dell'espressione regolare è in grado di creare soloespressioni semplici in base alle seguenti regole e limitazioni:

• Solo i caratteri alfanumerici possono essere variabili.

• Tutti gli altri caratteri, quali [-], [/] e così via possono essere solo costanti.

• Gli intervalli di variabili possono essere solo A-Z e 0-9; non è possibile stabilirealtri limiti, ad esempio A-D.


D-18

• Le espressioni regolari generate da questo strumento sono indipendenti dall'uso dimaiuscole e minuscole.

• Le espressioni regolari generate da questo strumento possono effettuare solocorrispondenze positive, non negative ("se non corrisponde").

• Le espressioni basate sul campione possono corrispondere solo al numero esatto dicaratteri e spazi riportati nel campione. Lo strumento non è in grado di generare lacorrispondenza "uno o più" di un determinato carattere o stringa.

Sintassi con espressioni complesse

Una parola chiave è composta da token, cioè le più piccole unità utilizzate perindividuare corrispondenze tra l'espressione e il contenuto. Un token può essere unoperatore, un simbolo logico o l'operando, vale a dire l'argomento o il valore su cuiagisce l'operatore.

Gli operatori includono .AND., .OR., .NOT., .NEAR., .OCCUR., .WILD., ".(." e " .)."L'operando e l'operatore devono essere separati da uno spazio. Un operando puòcontenere vari token. Vedere Parole chiave a pagina D-5.

Espressioni regolari all'opera

L'esempio seguente descrive il funzionamento del filtro di contenuti delle tesseresanitarie, uno dei filtri predefiniti:

[Formato] .REG. \b\d{3}-\d{2}-\d{4}\b

L'espressione precedente utilizza \b, un carattere backspace, seguito da \d, qualsiasicifra e da {x}, che indica il numero di cifre, e infine da -, il trattino. Questa espressionetrova il codice fiscale. La tabella seguente descrive le stringhe che trovano l'espressioneregolare esemplificativa:

TABELLA D-8. Numeri che corrispondono all'espressione regolare per i codici fiscali

.REG. \b\d{3}-\d{2}-\d{4}\b

333-22-4444 Corrisponde

333224444 Non corrisponde

333 22 4444 Non corrisponde


D-19

3333-22-4444 Non corrisponde

333-22-44444 Non corrisponde

Se si modifica l'espressione come segue,

[Formato] .REG. \b\d{3}\x20\d{2}\x20\d{4}\b

la nuova espressione trova questa sequenza:

333 22 4444

Elenco di esclusione scansioneElenco di esclusione scansione per Security Agent

Questo elenco di esclusione contiene tutti i prodotti Trend Micro che vengono esclusidalla scansione per impostazione predefinita.

TABELLA D-9. Elenco di esclusione Security Agent

NOME DEL PRODOTTO PERCORSO DI INSTALLAZIONE

InterScan eManager3.5x

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\InterScaneManager\CurrentVersion

ProgramDirectory=

ScanMail eManager(ScanMail perMicrosoft ExchangeeManager) 3.11, 5.1,5.11, 5.12

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail forMicrosoft Exchange eManager\CurrentVersion

ProgramDirectory=

ScanMail for LotusNotes (SMLN)eManager NT

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail forLotus Notes\CurrentVersion

AppDir=

DataDir=

IniDir=


D-20


InterScan WebSecurity Suite (IWSS)

HKEY_LOCAL_MACHINE\Software\TrendMicro\Interscan WebSecurity Suite

Directory programma= C:\Programmi\Trend Micro\IWSS

InterScan WebProtect HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\InterScanWebProtect\CurrentVersion

ProgramDirectory=

InterScan FTPVirusWall

HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\ InterScanFTP VirusWall\CurrentVersion

ProgramDirectory=

InterScan WebVirusWall

HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\ InterScanWeb VirusWall\CurrentVersion

ProgramDirectory=

InterScan E-MailVirusWall

HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\ InterScan E-Mail VirusWall\CurrentVersion

ProgramDirectory={Installation Drive}:\INTERS~1

InterScan NSAPIPlug-In

HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\ InterScanNSAPI Plug-In\CurrentVersion

ProgramDirectory=

InterScan E-MailVirusWall

HKEY_LOCAL_MACHINE SOFTWARE\TrendMicro\ InterScan E-Mail VirusWall \CurrentVersion

ProgramDirectory=


D-21


IM Security (IMS) HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\IM Security\CurrentVersion

HomeDir=

VSQuarantineDir=

VSBackupDir=

FBArchiveDir=

FTCFArchiveDir=


D-22


ScanMail perMicrosoft Exchange(SMEX)

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail forMicrosoft Exchange\CurrentVersion

TempDir=

DebugDir=

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail forMicrosoft Exchange\RealTimeScan\ScanOption

BackupDir=

MoveToQuarantineDir=

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail forMicrosoft Exchange\RealTimeScan\ScanOption\Advance

QuarantineFolder=

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail forMicrosoft Exchange\RealTimeScan\IMCScan\ScanOption

BackupDir=


HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail forMicrosoft Exchange\RealTimeScan\IMCScan\ScanOption\Advance

QuarantineFolder=


D-23


ScanMail perMicrosoft Exchange(SMEX)

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail forMicrosoft Exchange\ManualScan\ScanOption

BackupDir=


HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ScanMail forMicrosoft Exchange\QuarantineManager

QMDir=

Ottenere il percorso al file exclusion.txt daHKEY_LOCAL_MACHINE\\SOFTWARE\\TrendMicro\\ScanMailfor Microsoft Exchange\\CurrentVersion\\HomeDir

Passare al percorso HomeDir (ad esempio, C:\Programmi\Trend Micro\Messaging Security Agent\)

Aprire exclusion.txt

C:\Programmi\Trend Micro\Messaging Security Agent\Temp\

C:\Programmi\Trend Micro\Messaging Security Agent\storage\quarantine\

C:\Programmi\Trend Micro\Messaging Security Agent\storage\backup\

C:\Programmi\Trend Micro\Messaging Security Agent\storage\archive\

C:\Programmi\Trend Micro\Messaging Security Agent\SharedResPool

Elenco esclusione scansione per Messaging Security Agent (soloAdvanced)

Per impostazione predefinita, quando il Security Agent è installato su un serverMicrosoft Exchange (2000 o versione successiva), non esegue la scansione dei database


D-24

Microsoft Exchange, dei file di registro Microsoft Exchange, delle cartelle del servervirtuale o dell'unità M:\. L'elenco esclusione viene salvato in:

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.

ExcludeExchangeStoreFiles=C:\Programmi\Exchsrvr\mdbdata\

priv1.stm|C:\Programmi\Exchsrvr\mdbdata\

priv1.edb|C:\Programmi\Exchsrvr\mdbdata\

pub1.stm|C:\Programmi\Exchsrvr\mdbdata\pub1.edb

ExcludeExchangeStoreFolders=C:\Programmi\Exchsrvr\mdbdata\

|C:\Programmi\Exchsrvr\Mailroot\vsi 1\Queue\

|C:\Programmi\Exchsrvr\Mailroot\vsi 1\PickUp\

|C:\Programmi\Exchsrvr\Mailroot\vsi 1\BadMail\

Per altre cartelle Microsoft Exchange consigliate, aggiungerle manualmente all'elenco diesclusione dalla scansione. Vedere http://support.microsoft.com/kb/245822/.

Esclusioni SBS 2003

Per SBS 2003, aggiungere manualmente:

Esclusioni Microsoft Exchange

Database del server MicrosoftExchange

C:\Programmi\Exchsrvr\MDBDATA

File MTA di Microsoft Exchange C:\Programmi\Exchsrvr\Mtadata

File del registro rilevamentomessaggi di Microsoft Exchange

C:\Programmi\Exchsrvr\server_name.log

Mailroot SMTP di MicrosoftExchange

C:\Programmi\Exchsrvr\Mailroot

File di lavoro di Microsoft Exchange C:\Programmi\Exchsrvr\MDBDATA

http://support.microsoft.com/kb/245822/


D-25

Servizio di replica del sito C:\Programmi\Exchsrvr\srsdata

C:\Programmi\Exchsrvr\conndata

Esclusioni IIS

File di sistema IIS C:\WINDOWS\system32\inetsrv

Cartella di compressione IIS C:\WINDOWS\IIS Temporary Compressed Files

Esclusioni del controller di dominio

File del database ActiveDirectory C:\WINDOWS\NTDS

SYSVOL C:\WINDOWS\SYSVOL

File del database NTFRS C:\WINDOWS\ntfrs

Esclusioni servizi Windows SharePoint

Cartella SharePoint temporanea C:\windows\temp\FrontPageTempDir

Esclusioni cartella desktop client

Negozio Windows Update C:\WINDOWS\SoftwareDistribution\DataStore

Ulteriori esclusioni

Database di memorizzazioneremovibile (utilizzato da SBSBackup)

C:\Windows\system32\NtmsData

Messaggio non recapitatoconnettore POP3 SBS

C:\Programmi\Microsoft Windows SmallBusiness Server\Networking\POP3\FailedMail


D-26

Posta in entrata connettore POP3SBS

C:\Programmi\Microsoft Windows SmallBusiness Server\Networking\POP3\IncomingMail

Negozio Windows Update C:\WINDOWS\SoftwareDistribution\DataStore

Negozio DHCP Database C:\WINDOWS\system32\dhcp

Negozio WINS Database C:\WINDOWS\system32\wins

Patch di protezioneUna patch di protezione risolve i problemi di sicurezza e può essere implementata sututti i clienti. Le patch di protezione Windows includono un programma di installazioneal contrario delle patch non Windows che di solito dispongono di uno script diinstallazione.

Service PackUn service pack è un consolidamento di hot fix, patch e miglioramenti alle funzioni ed èsignificativo al punto da rappresentare un aggiornamento del prodotto. Sia i service packWindows che non Windows includono un programma di installazione e uno script diinstallazione.

Porta dei cavalli di TroiaLe porte per cavalli di Troia sono comunemente usate dai programmi cavalli di Troia percollegarsi a un computer. Durante un'infezione, il Security Agent blocca i seguentinumeri di porta, che possono essere usate dai programmi cavalli di Troia.


D-27

TABELLA D-10. Porte dei cavalli di Troia

NUMERO DI PORTAPROGRAMMA

CAVALLO DI TROIANUMERO DI PORTA

PROGRAMMACAVALLO DI TROIA

23432 Asylum 31338 Net Spy

31337 Back Orifice 31339 Net Spy

18006 Back Orifice 2000 139 Nuker

12349 Bionet 44444 Prosiak

6667 Bionet 8012 Ptakks

80 Codered 7597 Qaz

21 DarkFTP 4000 RA

3150 Deep Throat 666 Ripper

2140 Deep Throat 1026 RSM

10048 Delf 64666 RSM

23 EliteWrap 22222 Rux

6969 GateCrash 11000 Senna Spy

7626 Gdoor 113 Shiver

10100 Gift 1001 Silencer

21544 Girl Friend 3131 SubSari

7777 GodMsg 1243 Sub Seven

6267 GW Girl 6711 Sub Seven

25 Jesrto 6776 Sub Seven

25685 Moon Pie 27374 Sub Seven

68 Mspy 6400 Thing

1120 Net Bus 12345 Valvo line


D-28

NUMERO DI PORTAPROGRAMMA

CAVALLO DI TROIANUMERO DI PORTA

PROGRAMMACAVALLO DI TROIA

7300 Net Spy 1234 Valvo line

File non disinfettabiliIn questo argomento vengono descritti i file che Security Agent e Messaging SecurityAgent non sono in grado di disinfettare.

Non disinfettabili dal Security Agent

Il Security Agent non è in grado di disinfettare i seguenti file:

TABELLA D-11. File non disinfettabili

FILE NONDISINFETTABILE

SPIEGAZIONE E SOLUZIONE

File infettati dacavalli di Troia

I cavalli di Troia sono dei programmi che eseguono operazioninon previste o non autorizzate in genere con intenti dannosi,come visualizzare messaggi, eliminare file e formattare dischi. Icavalli di Troia non infettano i file, quindi non è necessarioeseguire la disinfezione.

Soluzione: Per rimuovere i cavalli di Troia, il Security Agentutilizza il motore di disinfezione antivirus e il modello disinfezioneantivirus.

File infettati daworm

Un worm è un programma (o gruppo di programmi) autonomo ingrado di diffondere copie funzionanti di se stesso o di suoisegmenti ad altri sistemi di computer. La propagazione avviene ingenere mediante le connessioni alla rete o gli allegati e-mail. Iworm non possono essere disinfettati dal momento che ciascunfile è un programma autonomo.

Soluzione: Trend Micro consiglia di eliminare i worm.

File infetti protetti dascrittura

Soluzione: Rimuovere la protezione in scrittura per consentire alSecurity Agent di disinfettare il file.


D-29



File protetti tramitepassword

Si tratta di file compressi protetti da password oppure file diMicrosoft Office protetti da password.

Soluzione: Rimuovere la password per consentire all'agent didisinfettare i file.

File di backup I file con l'estensione RB0~RB9 sono copie di backup dei fileinfetti. Il Security Agent esegue il backup dei file infetti perdisporre di una copia del file originale qualora venissedanneggiato nel corso della disinfezione.

Soluzione: Se il Security Agent riesce a disinfettare il file infetto,non è necessario conservare la copia di backup. Se ilfunzionamento del computer non presenta problemi, si puòeliminare il file di backup.


D-30



File infetti presentinel Cestino

Il Security Agent potrebbe non essere in grado di rimuovere i fileinfetti presenti nel Cestino poiché il sistema è in esecuzione.

Soluzione Windows XP o Windows Server 2003 con filesystem NTFS:

1. Accedere al computer con autorizzazioni di tipoamministratore.

2. Chiudere tutte le applicazioni in esecuzione per impedire cheil file venga bloccato; in tal caso infatti Windows non sarebbein grado di eliminarlo.

3. Aprire il prompt dei comandi e digitare quanto riportato diseguito per eliminare i file:cd \

cd recycled

del *.* /S

L'ultimo comando immesso elimina tutti i file presenti nelCestino.

4. Verificare che i file siano stati rimossi.

Soluzione su altri sistemi operativi (o su quelli senza NTFS):

1. Riavviare il computer in modalità MS-DOS.

2. Aprire il prompt dei comandi e digitare quanto riportato diseguito per eliminare i file:cd \

cd recycled

del *.* /S

L'ultimo comando immesso elimina tutti i file presenti nelCestino.


D-31



File infetti contenutinella cartella Tempdi Windows o nellacartella dei filetemporanei diInternet Explorer

Il Security Agent potrebbe non essere in grado di disinfettare i fileinfetti contenuti nella cartella Temp di Windows o nella cartella deifile temporanei di Internet Explorer poiché il sistema inesecuzione li sta utilizzando. I file che si desidera disinfettarepotrebbero essere dei file temporanei necessari per il correttofunzionamento di Windows.


D-32



Soluzione Windows XP o Windows Server 2003 con filesystem NTFS:

1. Accedere al computer con autorizzazioni di tipoamministratore.

2. Chiudere tutte le applicazioni in esecuzione per impedire cheil file venga bloccato; in tal caso infatti Windows non sarebbein grado di eliminarlo.

3. Se il file infetto si trova nella cartella Temp di Windows:

a. Aprire il prompt dei comandi e accedere alla cartellaTemp di Windows (in Windows XP o Windows Server2003 è per impostazione predefinita C:\Windows\Temp).

b. Per eliminare i file, digitare le seguenti stringhe:

cd temp

attrib -h

del *.* /S

L'ultimo comando immesso consente di eliminare tutti ifile presenti nella cartella Temp di Windows.

4. Se il file infetto si trova nella cartella dei file temporanei diInternet Explorer:

a. Aprire il prompt dei comandi e accedere alla cartella deifile temporanei di Internet Explorer (in Windows XP oWindows Server 2003 è per impostazione predefinita inC:\Documents and Settings\<nome utente>\Impostazioni locali\Temporary Internet Files).

b. Per eliminare i file, digitare le seguenti stringhe:

cd tempor~1

attrib -h

del *.* /S

L'ultimo comando immesso consente di eliminare tutti ifile presenti nella cartella temporanea di InternetExplorer.

c. Verificare che i file siano stati rimossi.


D-33



Soluzione su altri sistemi operativi (o su quelli senza NTFS):

1. Riavviare il computer in modalità MS-DOS.

2. Se il file infetto si trova nella cartella Temp di Windows:

a. Nel prompt dei comandi, accedere alla cartella Temp diWindows. In Windows XP o Windows Server 2003, lacartella Temp predefinita di Windows è C:\Windows\Temp.

b. Aprire il prompt dei comandi e digitare quanto riportato diseguito per eliminare i file:

cd temp

attrib -h

del *.* /S

L'ultimo comando immesso consente di eliminare tutti ifile presenti nella cartella Temp di Windows.

c. Riavviare il computer in modalità provvisoria.

3. Se il file infetto si trova nella cartella dei file temporanei diInternet Explorer:

a. Nel prompt dei comandi, accedere alla cartellatemporanea di Internet Explorer. In Windows XP oWindows Server 2003 la cartella dei file temporaneipredefinita di Internet Explorer è C:\Documents andSettings\<nome utente>\Impostazioni locali\Temporary Internet Files.

b. Digitare i seguenti comandi:

cd tempor~1

attrib –h

del *.* /S

L'ultimo comando immesso consente di eliminare tutti ifile presenti nella cartella temporanea di InternetExplorer.

c. Riavviare il computer in modalità provvisoria.


D-34



File compressiutilizzando unformato dicompressione nonsupportato.

Soluzione: Decomprimere i file.

File bloccati o filetemporaneamentein esecuzione.

Soluzione: Sbloccare i file o attendere l'esecuzione dei file.

File danneggiati Soluzione: Elimina i file.

Non disinfettabile dal Messaging Security Agent (solo Advanced)

Se Messaging Security Agent non riesce a disinfettare un file, lo etichetta come “nondisinfettabile” ed esegue l'operazione configurata dall'utente per i file non disinfettabili.L'azione predefinita è Elimina intero messaggio. Messaging Security Agent registratutti gli eventi di virus e gli interventi conseguenti all'operazione nel file di registro.

Alcuni motivi comuni per cui Messaging Security Agent non è grado di eseguirel'operazione di disinfezione sono i seguenti:

• Il file contiene un cavallo di Troia, worm o altro codice dannoso. Per impedirel'esecuzione di un eseguibile, Messaging Security Agent deve rimuoverlocompletamente.

• Messaging Security Agent non supporta tutte le forme di compressione. Il motoredi scansione disinfetta soltanto i file compressi mediante pkzip e soltanto quandol'infezione è presente al primo livello di compressione.

• Un problema inaspettato impedisce a Messaging Security Agent la disinfezione, adesempio:

• La directory temporanea che funge da archivio dei file che richiedono ladisinfezione è piena

• Il file è bloccato o attualmente in esecuzione.

• Il file è danneggiato.


D-35

• Il file è protetto da password.

IN-1

IndiceAActiveAction, 7-15assistenza tecnica, C-2attacco frammento minuscolo, D-5attacco LAND, D-5AutoPcc.exe, 3-9, 3-13, 3-14azioni di scansione

spyware/grayware, 7-15

CCase Diagnostic Tool, C-3cavallo di Troia, programma, 1-9, 8-7Centro informazioni sulla sicurezza, C-4client, installazione

Client Packager, 3-15dalla console Web, 3-19Impostazione script di accesso, 3-13Utilizzo di Vulnerability Scanner, 3-22

Client Packager, 3-9, 3-15–3-17deployment, 3-18impostazioni, 3-16

Codice dannoso ActiveX, 1-9codice dannoso Java, 1-10componenti, 8-4conflitto ARP, D-4console Web, 2-4, 2-5

informazioni, 2-4requisiti, 2-5

contatti, C-2–C-5assistenza tecnica, C-2invio di file sospetti, C-4Knowledge Base, C-2riscontri sulla documentazione, C-5Trend Micro, C-2–C-5

DDamage Cleanup Services, 3-4directory di quarantena, 5-30, 14-10disinstallazione

uso del programma di disinstallazione,3-43

documentazione, xivDriver comune firewall, 8-8Driver del monitoraggio delcomportamento, 8-8duplicazione dei componenti, 8-11

EEnciclopedia dei virus, 1-9

Ffile COM infettante, 1-10file crittografati, 14-9file EXE infettante, 1-10file sospetti, C-4firewall

vantaggi, 5-10flooding SYN, D-4frammenti sovrapposti, D-5frammento troppo grande, D-4

Hhot fix, 8-9

IIDS, D-4IGMP frammentato, D-5Impostazione script di accesso, 3-9, 3-13, 3-14Impostazioni DHCP, 3-26installazione remota, 3-9


IN-2

JJoke, programma, 1-9

KKnowledge Base, C-2

MMetodi di installazione del Security Agent,3-8metodo di scansione, 3-16Modello risanamento virus, 8-7Motore Damage Cleanup, 8-7Motore di scansione antivirus, 8-5Motore di scansione spyware, 8-7

Nnuove caratteristiche, 1-2

Ooperazioni pre-installazione, 3-11, 3-19, 3-23

Ppacker, 1-10pagina di installazione sul Web, 3-8patch, 8-9patch di sicurezza, 8-9Pattern antivirus, 8-6Pattern comune per firewall, 1-10Pattern dei virus, 8-15Pattern di configurazione monitoraggio delcomportamento, 8-8Pattern di rilevamento monitoraggiocomportamento, 8-8Pattern eccezioni IntelliTrap, 8-7Pattern firma digitale, 8-9Pattern implementazione dei criteri, 8-9pattern incrementale, 8-11Pattern IntelliTrap, 8-7

Pattern spyware, 8-7Ping of Death, D-4Plug-in Manager, 3-5probabile virus/minaccia informatica, 1-9programmi, 8-4protezione dispositivi esterni, 8-8

Rreputazione file, 1-4reputazione Web, 1-4, 3-4rilevamento rootkit, 8-8rischi per la sicurezza, 1-11

spyware/grayware, 1-11riscontri sulla documentazione, C-5

Sscansione spyware/grayware

operazioni, 7-15scansione tradizionale, 5-4script di prova EICAR, 1-10server, aggiornamento

aggiornamento pianificato, 8-14duplicazione dei componenti, 8-11manuale, 8-13

Servizio principale monitoraggio delcomportamento, 8-8Sistema di rilevamento anti-intrusione, D-4Smart Protection, 1-3, 1-4

Servizi di reputazione file, 1-4Servizi di reputazione Web, 1-4Smart Protection Network, 1-3

Smart Protection Network, 1-3smart scan, 5-4spyware/grayware, 1-11

adware, 1-11applicazioni per decifratura password,1-11

Indice

IN-3

dialer, 1-11programmi Joke, 1-11spyware, 1-11strumenti per hacker, 1-11strumento di accesso remoto, 1-11

Supporto IPv6, B-2limitazioni, B-3, B-4visualizzazione indirizzi IPv6, B-6

TTeardrop, D-5tipi di scansione, 3-4TrendLabs, C-5Trend Micro

Centro informazioni sulla sicurezza, C-4informazioni di contatto, C-3Knowledge Base, C-2TrendLabs, C-5

UUpdate Agent, 3-5

Vvirus/minacce informatiche, 1-9, 1-10

cavallo di Troia, programma, 1-9Codice dannoso ActiveX, 1-9codice dannoso Java, 1-10file COM ed EXE infettante, 1-10Joke, programma, 1-9packer, 1-10probabile virus/minaccia informatica,1-9tipi, 1-9, 1-10virus da macro, 1-10virus del settore boot, 1-10virus di prova, 1-10virus VBScript, JavaScript o HTML,1-10

worm, 1-10virus da macro, 1-10virus del settore boot, 1-10virus di prova, 1-10virus di rete, 1-10, 5-10virus HTML, 1-10virus JavaScript, 1-10virus VBScript, 1-10Vulnerability Scanner, 3-10, 3-22

Impostazioni DHCP, 3-26impostazioni ping, 3-33recupero descrizione del computer, 3-32

WWFBS

componenti, 8-4documentazione, xiv

worm, 1-10