McAfee Endpoint Security Produkthandbok för Delade. (McAfee epolicy Orchestrator)

Transkript

1 McAfee Endpoint Security Produkthandbok för Delade (McAfee epolicy Orchestrator)

2 COPYRIGHT Copyright 2018 McAfee LLC TILLSKRIVANDE AV VARUMÄRKEN McAfee och McAfee-logotypen, McAfee Active Protection, epolicy Orchestrator, McAfee epo, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan är varumärken som tillhör McAfee LLC eller dess dotterbolag i USA eller andra länder. Andra varunamn och varumärken kan tillhöra andra ägare. LICENSINFORMATION Licensavtal MEDDELANDE TILL SAMTLIGA ANVÄNDARE: LÄS NOGGRANT DET GÄLLANDE JURIDISKA AVTALET FÖR DEN LICENS DU HAR KÖPT, VILKET BESKRIVER DE ALLMÄNNA REGLERNA OCH VILLKOREN SOM GÄLLER FÖR ANVÄNDNING AV DEN LICENSIERADE PROGRAMVARAN. OM DU INTE VET VILKEN LICENSTYP DU HAR FÅTT SKA DU KONTAKTA SÄLJAVDELNINGEN ELLER ANNAN RELATERAD UTFÄRDARE AV LICENSER, ELLER SE DE ORDERDOKUMENT SOM MEDFÖLJDE I PROGRAMVARANS FÖRPACKNING ELLER SOM DU HAR MOTTAGIT SEPARAT SOM EN DEL AV KÖPET (I FORM AV EN BROSCHYR, EN FIL PÅ EN PRODUKT-CD-SKIVA ELLER EN FIL TILLGÄNGLIG PÅ WEBBPLATSEN FRÅN VILKEN DU LADDADE NER PROGRAMPAKETET). OM DU INTE GODKÄNNER VILLKOREN SOM BESKRIVS I AVTALET SKA DU INTE INSTALLERA PROGRAMVARAN. FÖRUTSATT ATT DU ÄR BERÄTTIGAD DETTA KAN DU ÅTERLÄMNA PRODUKTEN TILL MCAFEE ELLER INKÖPSSTÄLLET FÖR FULLSTÄNDIG ÅTERBETALNING. 2 McAfee Endpoint Security Produkthandbok för Delade

3 Innehåll 1 Konfigurera allmänna funktioner 5 Skydda tjänster och filer Konfigurera loggning av klientaktiviteter Kontrollera åtkomst till klientgränssnittet Effekter vid inställning av ett administratörslösenord Konfigurera tillfällig åtkomst till klientgränssnittet Exempel på arbetsflöde för att använda ett tillfälligt lösenord Undanta processer från AAC Förhindra att AAC blockerar betrodda program Konfigurera inställningar för proxyserver Uppdatera innehållsfiler med McAfee epo Konfigurera standardbeteende för uppdateringar Skydda McAfee-processer från DLL:er från tredje part Så här fungerar VTP-tjänsten (Validation and Trust Protection) Så här fungerar AAC Valideringsfel Överväganden för att lita på certifikat från tredje part Överföra ett certifikat från tredje part Tillåt certifikatautentisering Ta bort certifikat från certifikatarkivet Hantera allmänna funktioner 19 Ha ett uppdaterat skydd Använda lagringsplatslistor för uppdateringsplatser Skicka hotexempel för analys Så här fungerar speglingar Övervaka ditt skydd med McAfee epo 23 Delade instrumentpaneler och övervakare Delade-frågor Resultattyper och egenskaper för Delade Använda Endpoint Security-klienten 29 Så här fungerar Endpoint Security-klient Öppna Endpoint Security-klient Få information om ditt skydd Hotkontroll Uppdatera innehåll och programvara manuellt Logga in som administratör Låsa upp klientgränssnittet Hantera allmänna funktioner i ett klientsystem 33 Inaktivera och aktivera funktioner Skydda tjänster och filer i ett klientsystem Konfigurera loggning av klientaktiviteter på ett klientsystem McAfee Endpoint Security Produkthandbok för Delade 3

4 Innehåll Styra åtkomst till klientgränssnittet i ett klientsystem Begränsa och tillåta åtkomst till funktioner Konfigurera proxyserverinställningarna på ett klientsystem Konfigurera automatiska uppdateringar för klienten Konfigurera var klienten hämtar uppdateringar Konfigurera standardbeteendet för uppdateringar från klienten Konfigurera, schemalägg och kör uppdateringsaktiviteter från klienten Så här fungerar speglingar Konfigurera, schemalägg och kör speglade aktiviteter Tillåt certifikatautentisering i ett klientsystem Övervaka skyddet i ett klientsystem 41 Se den senaste aktiviteten i händelseloggen Namn och platser för loggfiler McAfee Endpoint Security Produkthandbok för Delade

5 1 Konfigurera 1 allmänna funktioner Innehåll Skydda tjänster och filer Konfigurera loggning av klientaktiviteter Kontrollera åtkomst till klientgränssnittet Undanta processer från AAC Konfigurera inställningar för proxyserver Uppdatera innehållsfiler med McAfee epo Konfigurera standardbeteende för uppdateringar Skydda McAfee-processer från DLL:er från tredje part Överföra ett certifikat från tredje part Tillåt certifikatautentisering Ta bort certifikat från certifikatarkivet Skydda tjänster och filer En av de första åtgärderna för skadlig programvara under ett angrepp är att inaktivera systemets säkerhetsprogramvara. Konfigurera Egenskydd i inställningarna för Delade för att förhindra att tjänster och filer stoppas eller ändras. Om egenskyddet inaktiveras är ditt system sårbart för attacker. 1 Välj Meny Princip Principkatalog och välj sedan Endpoint Security-delade iproduktlistan. 2 Öppna listan Kategori och välj Alternativ. 3 Klicka på namnet för en redigeringsbar princip. 4 I Egenskydd kontrollerar du att Egenskydd är aktiverat. 5 Ange åtgärd för var och en av följande resurser: Filer och mappar Förhindrar att användare ändrar McAfee-databasen, binärfiler, filer för säker sökning och konfigurationsfiler. Registret Förhindrar att användare ändrar McAfee-registrets registreringsdatafil, COM-komponenter och avinstallationer med hjälp av registervärdet. Processer Förhindrar att McAfee-processer stoppas. 6 Klicka på Spara. McAfee Endpoint Security Produkthandbok för Delade 5

6 1 Konfigurera allmänna funktioner Konfigurera loggning av klientaktiviteter Konfigurera loggning av klientaktiviteter Konfigurera loggning i inställningarna för Delade. 1 Välj Meny Princip Principkatalog och välj sedan Endpoint Security-delade iproduktlistan. 2 Öppna listan Kategori och välj Alternativ. 3 Klicka på namnet för en redigeringsbar princip. 4 Klicka på Visa avancerat. 5 Konfigurera inställningarna i Klientloggning på sidan. 6 Klicka på Spara. Kontrollera åtkomst till klientgränssnittet Kontrollera åtkomsten till Endpoint Security-klient genom att ange ett lösenord i inställningarna för Delade. Klientgränssnittsläge är inställt på Fullständig åtkomst som standard, vilket tillåter användare att ändra sina säkerhetsinställningar, vilket kan innebära att systemet är oskyddat mot attacker från skadlig programvara. 1 Välj Meny Princip Principkatalog och välj sedan Endpoint Security-delade iproduktlistan. 2 Öppna listan Kategori och välj Alternativ. 3 Klicka på namnet för en redigeringsbar princip. 4 Konfigurera inställningarna i Klientgränssnittsläge på sidan. Metodtips: För att öka säkerheten ändrar du Klientgränssnittsläge till Standard eller Lås klientgränssnitt. Båda de här alternativen kräver ett administratörslösenord för åtkomst till Endpoint Security-klient inställningar. Om administratörslösenordet ändras går det tidsbaserade lösenordet inte att använda. Om du ändrar administratörslösenordet måste du spara principen och därefter skapa ett nytt tidsbaserat lösenord. 5 Klicka på Spara. er Konfigurera tillfällig åtkomst till klientgränssnittet på sidan 7 Du kan ge tillfällig administratörsåtkomst till klientgränssnittet genom att generera ett tidsbaserat lösenord. Aktivera det tidsbaserade lösenordet för en begränsad uppsättning system för att felsöka problem. Effekter vid inställning av ett administratörslösenord Ett administratörslösenord måste anges när du ställer in gränssnittsläget på Standardåtkomst eller Lås klientgränssnitt. Administratören kan också generera ett tidsbaserat lösenord som användare kan ange vid tillfällig åtkomst till Endpoint Security-klient. När du ställer in gränssnittsläget på Standardåtkomst eller Lås klientgränssnitt påverkas följande användare: 6 McAfee Endpoint Security Produkthandbok för Delade

7 Konfigurera allmänna funktioner Kontrollera åtkomst till klientgränssnittet 1 Alla användare Icke-administratörer (användare utan administratörsrättigheter) Administratörer (användare med administratörsbehörighet) I läget Lås klientgränssnitt måste användarna ange administratörslösenordet eller ett tillfälligt lösenord för att få åtkomst till Endpoint Security-klient. När det har angetts har användaren åtkomst till hela gränssnittet, inklusive konfigurationsinställningarna på sidan Inställningar. I läget Standardåtkomst kan icke-administratörer: Få information om vilka McAfee-produkter som är installerade, inklusive version och status. Söka efter uppdateringar (om denna funktion är aktiverad). Se händelseloggen. Få hjälp och åtkomst till Vanliga frågor och svar samt supportsidorna. I läget Standardåtkomst kan icke-administratörer inte se eller ändra konfigurationsinställningarna på sidan Inställningar. I läget Standardåtkomst måste administratörer ange administratörslösenordet eller ett tillfälligt lösenord. När det har angetts har administratören åtkomst till hela gränssnittet, inklusive konfigurationsinställningarna på sidan Inställningar. Konfigurera tillfällig åtkomst till klientgränssnittet Du kan ge tillfällig administratörsåtkomst till klientgränssnittet genom att generera ett tidsbaserat lösenord. Aktivera det tidsbaserade lösenordet för en begränsad uppsättning system för att felsöka problem. Innan du börjar Ange Klientgränssnittsläge till Standard eller Lås klientgränssnitt. Metodtips:Under en säkerhetsincident inaktiverar du det tidsbaserade lösenordet. När en säkerhetsincident har inträffat ändrar du administratörslösenordet och återskapar det tidsbaserade lösenordet. Om administratörslösenordet ändras går det tidsbaserade lösenordet inte att använda. Om du ändrar administratörslösenordet måste du spara principen och därefter skapa ett nytt tidsbaserat lösenord. Om du aktiverar ett tidsbaserat lösenord efter fel i anslutningen, kommer Endpoint Security-klienten inte godkänna lösenordet. 1 Välj Meny Princip Principkatalog och välj sedan Endpoint Security-delade iproduktlistan. 2 Öppna listan Kategori och välj Alternativ. 3 Klicka på namnet för en redigeringsbar princip. 4 Klicka på Visa avancerat. 5 I avsnittet Tidsbaserat administratörslösenord väljer du Aktivera tidsbaserat lösenord i klientgränssnittet och ange förfallodatum samt tid. Den maximala förfallotiden är 14 dagar. Förfallotiden är relativ mot McAfee epo-servern. Om du exempelvis anger förfallotiden till kl PST, upphör lösenordet att gälla kl på klientsystem i EST-tidszonen. 6 Klicka på Generera nytt lösenord. Två lösenord genereras, ett för Endpoint Security 10.5 och ett för Endpoint Security 10.6 och senare. McAfee Endpoint Security Produkthandbok för Delade 7

8 1 Konfigurera allmänna funktioner Undanta processer från AAC 7 Skriv ner det automatiskt genererade lösenordet och ge det till de användare som ska ha tillfällig åtkomst. 8 Klicka på Spara. Exempel på arbetsflöde för att använda ett tillfälligt lösenord I stora organisationer använder IT-personalen slutpunkter vid felsökningar utan att ha Fullständig åtkomst av säkerhetsskäl. I stället körs gränssnittet i läget Standardåtkomst. I det här exemplet anger administratören ett tillfälligt tidsbaserat lösenord för att IT-personalen ska kunna felsöka ett anslutningsproblem. Administratören anger tillfälligt ett lösenord som beviljar Fullständig åtkomst för att man ska kunna visa och ändra inställningarna. Detta specifika exempel beskriver ett nätverksanslutningsproblem, men att använda tidsbaserade lösenord är även användbart vid felsökning av andra konfigurationsproblem. 1 Ett nytt program installeras i System A i Tokyo, men det kan inte ansluta till Internet. 2 För att felsöka ärendet kontaktar Steve (IT-tekniker) Marie (administratör i San Francisco). 3 Från McAfee epo skapar Marie ett tidsbaserat lösenord som hon skickar till Steve. 4 Steve använder det tidsbaserade lösenordet för att inaktivera brandväggen och ser att en specifik port måste vara öppen för att programmet ska fungera korrekt. 5 Marie skapar en speciell princip med det angivna portnumret och tilldelar det till System A för att lösa anslutningsproblemet. Det tidsbaserade lösenordet upphör att gälla och den begränsade lokala åtkomsten återgår till det normala. Undanta processer från AAC Skyddsfunktionerna i Endpoint Security, t.ex. Egenskydd och Åtkomstskydd, och övriga skyddsregler i McAfee-produkter, tillämpas av en teknik som kallas Arbitrary Access Control (AAC). AAC-reglerna skyddar objekt, 8 McAfee Endpoint Security Produkthandbok för Delade

9 Konfigurera allmänna funktioner Undanta processer från AAC 1 som exempelvis filer, processer och registerdata, från åtkomst av skadlig programvara och program som inte är betrodda. Vid felsökning kan du tillfälligt undanta processer från alla AAC-regler genom att konfigurera ett globalt undantag med en principinställning. Använd endast globala undantag vid specifik felsökning och i supportsyfte. Om du exempelvis konfigurerar granskning i dina Windows-system där specifika körbara Windows-filer måste ha läs- och skrivåtkomst till målkatalogerna, kan du tillfälligt undanta dessa körbara filer från AAC-reglerna. Metodtips: Information om felsökning av blockerade program från tredje part finns i KB Överväganden när globala undantag anges Du måste ange minst en identifierare: Processens MD5-hash eller Undertecknarcertifikatets MD5-hash. Om du anger fler än en identifierare, tillämpas alla identifierare. Om du anger fler än en identifierare och de inte matchar varandra (om till exempel filnamnet och MD5-hashen inte gäller samma fil), är undantaget ogiltigt. Undantag är skiftlägesokänsliga. Jokertecken är inte tillåtna. Förhindra att AAC blockerar betrodda program Om ett betrott program blockeras, kan du undanta processen från AAC genom att skapa ett tillfälligt globalt undantag i inställningarna för Delade. För att undvika säkerhetsrisker, bör du ta bort ett globalt undantag direkt efter användning. Om du inte tar bort ett globalt undantag så lämnar det ditt system sårbart för attacker med skadlig programvara. 1 Välj Meny Princip Principkatalog och välj sedan Endpoint Security-delade iproduktlistan. 2 Öppna listan Kategori och välj Alternativ. 3 Klicka på namnet för en redigeringsbar princip. 4 Klicka på Visa avancerat. 5 I avsnittet Undantag klickar du på Lägg till. 6 Ange minst en identifierare. Du kan ange en lokal sökväg eller en UNC-sökväg. Du kan också inkludera miljövariabler. Processens MD5-hash 1 Öppna en kommandotolk. 2 Skriv certutil.exe -hashfile "fullständig processökväg" MD5. Exempelvis: certutil.exe -hashfile "c:\windows\system32\icacls.exe" MD5 3 Kopiera MD5-hashen och klistra in den i fältet Processens MD5-hash. Här är ett exempel på en MD5-hash för en process: 24084debc1369b35e57f8efe0500a83d Du kan behöva ta bort mellanslag som infogats av certutil.exe. McAfee Endpoint Security Produkthandbok för Delade 9

10 1 Konfigurera allmänna funktioner Konfigurera inställningar för proxyserver Undertecknarcertifikatets MD5-hash 1 Öppna en kommandotolk med administratörsrättigheter. 2 Skriv "c:\program Files\Common Files\McAfee\SystemCore\vtpinfo.exe" / validatemodule "fullständig processökväg". Exempelvis: "c:\program Files\Common Files\McAfee\SystemCore\vtpinfo.exe" / validatemodule "c:\windows\system32\icacls.exe" 3 Kopiera MD5-hashen för undertecknarcertifikatet och klistra in den i fältet Undertecknarcertifikatets MD5-hash. Här är ett exempel på en MD5-hash för ett undertecknarcertifikat: 708ac5123ae46b4557a24225d3a8dbfc 7 Klicka på OK och sedan på Spara. Konfigurera inställningar för proxyserver Ange proxyserveralternativ i inställningarna för Delade. 1 Välj Meny Princip Principkatalog och välj sedan Endpoint Security-delade iproduktlistan. 2 Öppna listan Kategori och välj Alternativ. 3 Klicka på namnet för en redigeringsbar princip. 4 Klicka på Visa avancerat. 5 Konfigurera inställningar för proxyserver på sidan. Metodtips:Undanta McAfee GTI-adresser från proxyservern. Mer information finns i KB79640 och KB Klicka på Spara. Uppdatera innehållsfiler med McAfee epo Se till att skyddet är uppdaterat genom att hämta uppdateringar från McAfee-källplatsen när de blir tillgängliga. Använd följande process för att se till att klientsystemen alltid har de senaste innehållsfilerna: 1 Konfigurera McAfee epo till att hämta de senaste innehållsfilerna från McAfees uppdateringsplats Använd serveraktiviteten Uppdatera huvudlagringsplats. 2 Replikera lagringsplatsinnehåll till speglade platser i nätverket Använd klientaktiviteten McAfee AgentSpegla lagringsplatser. Den spridda lagringsplatsen använder den plats som anges i principen Lagringsplats. Information om hur du använder spridda lagringsplatser till att hålla din säkerhetsprogramvara uppdaterad finns i McAfee epo Hjälp. 10 McAfee Endpoint Security Produkthandbok för Delade

11 Konfigurera allmänna funktioner Konfigurera standardbeteende för uppdateringar 1 3 Schemalägg automatisk hämtning av de senaste innehållsfilerna och genomsökningsmotorerna till klientsystemen Använd klientaktiviteten McAfee AgentProduktuppdatering. I avsnittet Pakettyper väljer du AMCore-innehållspaket och Innehåll för utnyttjandeskydd. 4 Distribuera Extra.DAT-filer vid behov. Konfigurera standardbeteende för uppdateringar Du kan ange standardbeteendet för uppdateringar som initieras från Endpoint Security-klient i inställningarna för Delade. Använd de här inställningarna för att: Visa eller dölj knappen Uppdatera i klienten. Aktivera eller inaktivera schemat för aktivitetenstandarduppdatering för klient. Ange vad som ska uppdateras när användaren klickar på knappen eller när Standarduppdatering för klient körs. Aktiviteten Standarduppdatering för klient körs som standard varje dag kl och upprepas var fjärde timme till kl Välj Meny Princip Principkatalog och välj sedan Endpoint Security-delade iproduktlistan. 2 Öppna listan Kategori och välj Alternativ. 3 Klicka på namnet för en redigeringsbar princip. 4 Klicka på Visa avancerat. 5 Konfigurera inställningarna för Standarduppdatering för klient på sidan. 6 Klicka på Spara. Skydda McAfee-processer från DLL:er från tredje part Program som körs i Microsoft Windows-miljöer kan infoga kod i processer från tredje part. McAfees programvara anser att DLL:er från tredje part som infogas i McAfee-processer är ej betrodda eftersom koden kan vara skadad eller användas på ett skadligt sätt. DLL-aktivitet från tredje part som verkar ha sitt ursprung från den infogade McAfee-processen. Om aktiviteten är skadlig verkar det som de skadliga åtgärderna utförs av McAfee. McAfee använder följande tekniker för att skydda mot DLL-inmatningar: VTP-tjänst (Validation and Trust Protection) Inspekterar DLL:er och kör processer som interagerar med McAfee-koden för att kontrollera om objekten är betrodda. AAC-regler (Arbitrary Access Control) Fastställer om åtkomsten till objekt ska blockeras eller tillåtas. McAfee Endpoint Security Produkthandbok för Delade 11

12 1 Konfigurera allmänna funktioner Skydda McAfee-processer från DLL:er från tredje part Så här fungerar VTP-tjänsten (Validation and Trust Protection) VTP-tjänsten (MFEVTPS.exe) inspekterar DLL:er och kör processer som interagerar med McAfee-kod för att kontrollera om objekten är betrodda. Ett objekt är ett nätverk, en fil, ett register eller en process. Betrodd innebär att tredjepartstjänsten har åtkomst till McAfee-objekt. Exempelvis kan en betrodd tredjepartsprocess ha tillåtelse att ingå i McAfee-processer eller att läsa McAfee-registernycklar. VTP-tjänsten är beroende av följande för att fungera korrekt: Tjänsten Microsoft Cryptographic (CryptSvc) Betrodda och relaterade API:er Certifikatarkivets hälsa eller katalogfiler Så här fungerar VTP-tjänsten: 1 En valideringskontroll körs när McAfee-kod behöver kontrollera att processen är betrodd, att målobjektet är betrott, eller båda. 2 När McAfee-processer initieras, kontrollerar VTP-tjänsten att McAfee läser in betrodd kod. AAC kontrollerar att McAfee endast läser in betrodda DLL:er. Det är bara McAfee- och Microsoft-koder som är implicit betrodda. Cachelagring VTP-tjänsten cachelagrar resultaten av en valideringskontroll för att förbättra prestandan i framtida valideringskontroller. VTP-tjänsten undersöker alltid cachen först när en valideringskontroll utförs. Om en valideringskontroll returnerar ett resultat om att ett objekt inte är betrott, kommer det objektet cachelagras som ej betrott. Om ett objekt felaktigt har cachelagrats som ej betrott, går det bara att ändra detta med en cacheåterställning. Cachen återställs när ett system startas om i felsäkert läge eller om följande kommando körs: VTPInfo.exe /ResetVTPCache. Du kan också återställa cachen från DAT-filen. Förtroendefel Ett förtroendefel är en valideringskontroll i VTP-tjänsten som visar "ej betrodd" när det förväntade resultatet är "betrodd". Förtroendefel inträffar när AAC nekar åtkomst till ej betrodd kod. Processen får inte någon åtkomst till McAfee-processerna, vilket är en form av egenskydd. Här är några exempel på förtroendefel: En McAfee-process matades in av en icke-betrodd tredje part, så processens valideringskontroll misslyckades. En katalogsignerad Microsoft-fil har ogiltig signeringsinformation, vilket innebär att den inte kan verifieras eller läsas in av någon McAfee-process. En giltig DLL-fil har felaktigt cachelagrats som ej betrodd och efterföljande försök att läsa in den nekas. Samtliga exempel kan innebära att påverkade McAfee-processer misslyckas. 12 McAfee Endpoint Security Produkthandbok för Delade

13 Konfigurera allmänna funktioner Skydda McAfee-processer från DLL:er från tredje part 1 Så här fungerar AAC AAC körs från Windows-kärnan och kan blockera åtkomst till nätverks-, fil-, register- och processobjekt. Använd AAC-regler till att fastställa vad som ska blockeras och tillåtas. AAC-reglerna kan beskriva skadliga beteenden som måste blockeras eller nekas. AAC-regler kan vara: Aktiverade eller inaktiverade Inställda som Rapportera enbart Ändrade till att lägga till andra processer som ska skyddas eller som det ska skyddas mot Undantagna till att inte längre blockera en viss process från att bryta mot regeln Vissa regler visas inte i gränssnittet eftersom de är kritiska för produktens driftshälsa. AAC upptäcker att en åtgärd försöker köras och följer denna process. McAfee Endpoint Security Produkthandbok för Delade 13

14 1 Konfigurera allmänna funktioner Skydda McAfee-processer från DLL:er från tredje part Om en valideringskontroll misslyckas eller ger ett resultat som inte är betrott, kan McAfees interna skydd komma att blockera McAfee-processerna från åtkomst till objekten. Valideringsfel All kod som skrivs av McAfee och Microsoft inspekteras och valideras. Om dessa inspektioner resulterar i ett valideringsfel, kan det hända att AAC blockerar McAfee-processerna. Ett valideringsfel kan innefatta vissa förtroendefel och andra typer av oväntade fel. Scenarier vid valideringsfel När en McAfee-process läser in en DLL från tredje part, innehåller den tredjepartsfunktioner och kan köra tredjepartskod. Tredjepartskoden finns i McAfee-processen och kan orsaka att McAfee-processen utför oavsiktliga åtgärder som resulterar i ett valideringsfel. 14 McAfee Endpoint Security Produkthandbok för Delade

15 Konfigurera allmänna funktioner Överföra ett certifikat från tredje part 1 Valideringsfel kan visa sig på olika sätt, bland annat i nedanstående scenarier. En tredjepartsprocess blockeras från åtkomst till McAfee-skyddade filer eller processer. En tredjepartsprocess som läser in McAfee-DLL:er blockeras från åtkomst till andra McAfee-processer, filer eller mappar. Exempelvis blockeras Microsoft Outlook när det försöker få åtkomst till andra McAfee-processer. En McAfee-process startar inte på rätt sätt. Du kan exempelvis inte starta Endpoint Security-klient trots att installationsloggarna visar att det gick. En McAfee-process körs, men fungerar bara delvis. Exempelvis blir en McAfee-produkt inläst på rätt sätt, men den visar att andra tjänster inte körs som de ska trots att McAfee-tjänsten är igång. En McAfee-process blockeras från åtkomst till andra filer och mappar som tillhör en annan McAfee-produkt. Det går inte att validera McAfee. eller Microsoft-koden visar att något av dessa scenarier inträffade. Om du upplever något av dessa problem kan du kontakta den tekniska supporten för att få hjälp med felsökning och diskutera lösningar. Hantera certifikat från tredje part Processen MFECanary.exe, körs som en underordnad process till MFEEsp.exe och hämtar digital certifikatinformation för alla DLL:er som försöker infoga sig i MFECanary.exe-processen. Informationen skickas till McAfee epo från en agenthändelse, som bearbetas av McAfee epo-servern. Den skickas sedan till principen Endpoint Security-delade. Från principen kan du bestämma om dina klientsystem ska ha förtroende eller inte för tredjepartscertifikatet. Om det ska vara betrott måste du lägga till den digitala signaturen i certifikatarkivet. Teknisk support kan hjälpa dig att identifiera tredjepartscertifikatet, hämta certifikatfilen (.cer) och göra ett digitalt tredjepartscertifikat betrott med signerade DLL:er från tredje part som infogas i McAfee-processerna. Information om hur du öppnar en tjänstbegäran eller utför en eskalering finns i KB Kontaktinformation till Teknisk support får du på där du väljer ditt land i listrutan. Överväganden för att lita på certifikat från tredje part Att lita på ett certifikat från tredje part kan innebära ökade säkerhetsrisker. Säkerhetskonsekvenserna när man litar på certifikat från tredje part kan vara: Kod som är signerad av ett certifikat från tredje part är betrott att interagera med processer, filer och register från McAfee samt andra McAfee-skyddade objekt. Det är inte säkert att det går att genomsöka filaktivitet som genereras av processer som signerats med ett certifikat från tredje part. Produkter eller kodversioner från samma leverantör som använder samma digitala certifikat ärver automatiskt samma betrodda eller ej betrodda status. Eventuella produkter eller kodversioner från samma leverantör som använder ett annat digitalt certifikat måste vara betrodda. Metodtips: Om Endpoint Security-plattformen slutar fungera, kan orsaken vara inmatning från tredje part i McAfee-kod. Information om felsökning av det här felet finns i KB Överföra ett certifikat från tredje part Om du har förtroende för ett överfört certifikat kan certifikatets DLL infogas i en McAfee-process. Annars kan inte certifikatets DLL infogas i en McAfee-process. McAfee Endpoint Security Produkthandbok för Delade 15

16 1 Konfigurera allmänna funktioner Tillåt certifikatautentisering Certifikatet måste ha något av följande format:.cer-filer (Base 64-kodad X.509-certifikat) Certifikatinnehålltext i Base 64-kodad X Välj Meny Princip Principkatalog och välj sedan Endpoint Security-delade iproduktlistan. 2 Öppna listan Kategori och välj Alternativ. 3 Klicka på namnet på en redigeringsbar princip. 4 Klicka på Visa avancerat. 5 I avsnittet Certifikat klickar du på Överför klientcertifikat. 6 Välj en certifikatfil (.cer) eller ange certifikattexten i formatet Base 64-kodad X Klicka på Spara. Tillåt certifikatautentisering Med ett certifikat kan en leverantör köra kod i McAfee-processer. När en process upptäcks skickas en händelse till McAfee epo och certifikattabellen fylls i med leverantör, ämne och hash för den associerade offentliga nyckeln. 1 Välj Meny Princip Principkatalog och välj sedan Endpoint Security-delade iproduktlistan. 2 Öppna listan Kategori och välj Alternativ. 3 Klicka på namnet för en redigeringsbar princip. 4 Klicka på Visa avancerat. 5 I avsnittet Certifikat väljer du Tillåt. Den här inställningen kan orsaka kompatibilitetsproblem och minskad säkerhet. 6 Klicka på Spara. Information om certifikatet visas i tabellen. Ta bort certifikat från certifikatarkivet Ta bort ett betrott certifikat från certifikatarkivet när det inte längre används av andra principer. När du tar bort ett certifikat från en duplicerad princip, används det fortfarande av andra principer. Om du vill ta bort det från certifikatarkivet måste du ta bort det från alla principer där det används. 1 Välj Meny Princip Principkatalog och välj sedan Endpoint Security-delade iproduktlistan. 2 Öppna listan Kategori och välj Alternativ. 16 McAfee Endpoint Security Produkthandbok för Delade

17 Konfigurera allmänna funktioner Ta bort certifikat från certifikatarkivet 1 3 Klicka på namnet för en redigeringsbar princip. 4 Klicka på Visa avancerat. 5 I avsnittet Certifikat väljer du det certifikat du vill ta bort. Klicka sedan på Ta bort. 6 Klicka på Spara. McAfee Endpoint Security Produkthandbok för Delade 17

18 1 Konfigurera allmänna funktioner Ta bort certifikat från certifikatarkivet 18 McAfee Endpoint Security Produkthandbok för Delade

19 2 Hantera 2 allmänna funktioner Innehåll Ha ett uppdaterat skydd Använda lagringsplatslistor för uppdateringsplatser Skicka hotexempel för analys Så här fungerar speglingar Ha ett uppdaterat skydd Du kan hämta uppdaterade säkerhetsfiler manuellt eller automatiskt. Du kanske vill göra en manuell uppdatering för att tillämpa en akut åtgärd på ett nytt hot, eller för att inkludera det senaste innehållet efter en ny installation. Automatiska uppdateringar Metoder för automatisk uppdatering är: Standardaktivitet för klientuppdatering Aktiviteten uppdaterar endast innehåll. Aktiviteten Standarduppdatering för klient körs som standard varje dag kl och upprepas var fjärde timme till kl Produktuppdateringsaktivitet för McAfee Agent Från McAfee epo kan du schemalägga när du vill att uppdateringar ska göras enligt ett intervall, exempelvis varje lördag kl. 1:00. Manuella uppdateringar Metoderna för att uppdatera manuellt är: Knappen Uppdatera Från Endpoint Security-klient kan du omedelbart hämta det senaste innehållet, de senaste programvarorna eller båda enligt inställningarna. Du kan konfigurera synligheten och beteendet för knappen Uppdatera i inställningarna för Delade. Alternativet Uppdatera säkerhet Från McAfee-ikonen i systemfältet kan du uppdatera innehåll och programvara. Kommandorad Från klientsystemet kör du ett kommando för att uppdatera AMCore-innehållet. McAfee Endpoint Security Produkthandbok för Delade 19

20 2 Hantera allmänna funktioner Använda lagringsplatslistor för uppdateringsplatser Använda lagringsplatslistor för uppdateringsplatser I lagringsplatslistan visas information om lagringsplatser (uppdateringsplatser) som McAfee Agent använder för att uppdatera McAfee-produkter, inklusive motor- och DAT-filer. Lagringsplatslistan innehåller: Lagringsplatsinformation och plats Lagringsplatsordning Proxyserverinställningar (vid behov) Krypterade uppgifter som behövs för att få tillgång till respektive lagringsplats Klientaktiviteten McAfee AgentProduktuppdatering ansluter till den första aktiverade uppdateringsplatsen i lagringsplatslistan. Om lagringsplatsen inte är tillgänglig kontaktar aktiviteten nästa plats i listan, tills anslutning etableras eller tills den når slutet av listan. Om ditt nätverk använder en proxyserver kan du ange vilka proxyinställningar som ska användas, adressen till proxyservern samt om autentisering ska användas. Proxyinformationen lagras i lagringsplatslistan. De proxyinställningar som du konfigurerar gäller för alla lagringsplatser i listan. Sökvägen till lagringsplatslistan beror på vilket operativsystem du har: Operativsystem Microsoft Windows 10 Microsoft Windows 8.1 Microsoft Windows 7 Tidigare versioner Plats för lagringsplatslista C:\ProgramData\McAfee\Common Framework\SiteList.xml C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework \SiteList.xml Skicka hotexempel för analys Om du hittar ett potentiellt hot som inte upptäcks vid genomsökningen eller som är ett falskt positivt resultat, kan du skicka ett exempel på hotet till McAfee Labs. McAfee Labs analyserar exemplet och bestämmer om det ska ingå eller undantas i nästa uppdatering av innehållsfilen. Få åtkomst tillskicka ett exempel på virus eller skadlig programvara webbplats med information om att skicka ett exempel till McAfee Labs. Så här fungerar speglingar Med en spegling kan du hämta uppdateringsfiler från den första tillgängliga lagringsplatsen för hämtning i lagringsplatslistan till en speglingsplats i nätverket. Den vanligaste användningen av aktiviteten är att spegla innehållet på McAfee-hämtningsplatsen till en lokal server. När du har replikerat den McAfee-plats som innehåller uppdateringsfilerna, kan datorerna i ditt nätverk hämta filerna från speglingsplatsen. På så sätt kan du uppdatera alla datorer i nätverket, oavsett om de har åtkomst till Internet eller inte. Det är effektivare att använda en replikerad plats eftersom systemen kommunicerar med en server som antagligen finns på närmare håll än en McAfee-Internetplats. Därmed reduceras också åtkomst- och hämtningstiden. 20 McAfee Endpoint Security Produkthandbok för Delade

21 Hantera allmänna funktioner Så här fungerar speglingar 2 Programvaran måste ha en katalog för att kunna uppdatera sig själv. Därför måste hela katalogstrukturen replikeras när en plats speglas. McAfee Endpoint Security Produkthandbok för Delade 21

22 2 Hantera allmänna funktioner Så här fungerar speglingar 22 McAfee Endpoint Security Produkthandbok för Delade

23 3 Övervaka ditt skydd med McAfee epo Innehåll Delade instrumentpaneler och övervakare Delade-frågor Resultattyper och egenskaper för Delade Delade instrumentpaneler och övervakare Modulen Endpoint Security Delade innehåller flera instrumentpaneler med övervakare från andra moduler. Tabell 3-1 Delade instrumentpaneler Instrumentpanel Övervakare Visar... Installerad av modul... Endpoint Security: Överensstämmelsestatus Endpoint Security: Principöverensstämmelse per principnamn Endpoint Security Delade: Överensstämmelsestatus för egenskydd Endpoint Security: Principöverensstämmelse per datornamn Endpoint Security-hotdetektering: Överensstämmelsestatus för åtkomstskydd Endpoint Security-hotdetektering: Överensstämmelsestatus för AMCore-innehåll Endpoint Security-hotdetektering: Överensstämmelsestatus för utnyttjandeskydd Endpoint Security-hotdetektering: Överensstämmelsestatus för genomsökning vid åtkomst Endpoint Security-brandvägg: Överensstämmelsestatus Om en teknik är aktiverad (skyddsstatus). Principer som är uppdaterade, inklusive antal system. Antal system där Egenskydd är aktiverat eller inaktiverat. System där principerna är uppdaterade, inklusive antal principer. Antal system där Åtkomstskydd är aktiverat eller inaktiverat. Antal system där AV Content Manager är aktiverat eller inaktiverat. Antal system där Utnyttjandeskydd är aktiverat eller inaktiverat. Antal system där genomsökning vid åtkomst är aktiverat eller inaktiverat. Antal system där Brandvägg är aktiverat eller inaktiverat. Delade Delade Delade Delade Hotdetektering Hotdetektering Hotdetektering Hotdetektering Brandvägg McAfee Endpoint Security Produkthandbok för Delade 23

24 3 Övervaka ditt skydd med McAfee epo Delade instrumentpaneler och övervakare Tabell 3-1 Delade instrumentpaneler (fortsättning) Instrumentpanel Övervakare Visar... Installerad av modul... Endpoint Security: Avkänningsstatus Endpoint Security: Miljöhälsa Endpoint Security-webbkontroll: Överensstämmelsestatus Endpoint Security: Hot som upptäckts under de senaste 24 timmarna Endpoint Security: Hot som upptäckts under de senaste 7 dagarna Endpoint Security: Sammanfattning av de hot som upptäckts under de senaste 24 timmarna Endpoint Security: Sammanfattning av de hot som upptäckts under de senaste 7 dagarna Endpoint Security: Teknik som för närvarande är aktiverad Antal system där Webbkontroll är aktiverat eller inaktiverat. Hot som upptäckts under de senaste 24 timmarna och 7 dagarna. Antal hothändelser under de senaste 24 timmarna, inklusive när de upptäcktes. Antal hothändelser under de senaste 7 dagarna, inklusive när de upptäcktes. Namnen på de hot som upptäckts under de senaste 24 timmarna, inklusive antal hothändelser. Namnen på de hot som upptäckts under de senaste 7 dagarna, inklusive antal hothändelser. Skyddsstatus för distribuerade Endpoint Security-moduler. Antal system som har en modul eller funktion aktiverad, inklusive antal system och procentandel. För varje teknik visar övervakaren: Systemnamn Tid för den senaste kommunikationen Webbkontroll Delade Delade Delade Delade Delade Delade Delade Endpoint Security: Installationsstatus Endpoint Security: Rapport om installationsstatus Endpoint Security-plattform: Installerade snabbkorrigeringar Endpoint Security-hotdetektering: Installerade snabbkorrigeringar Endpoint Security-brandvägg: Installerade snabbkorrigeringar Om en modul är installerad. Antal system där Endpoint Security har distribuerats, per modul och inklusive versionsinformation. Antal system där snabbkorrigeringar har installerats, per modul och inklusive versionsnummer för snabbkorrigeringen. Antal system där snabbkorrigeringar för Hotdetektering har installerats, inklusive versionsnummer för snabbkorrigeringen. Antal system där snabbkorrigeringar för Brandvägg har installerats, inklusive versionsnummer för snabbkorrigeringen. Delade Delade Delade Hotdetektering Brandvägg 24 McAfee Endpoint Security Produkthandbok för Delade

25 Övervaka ditt skydd med McAfee epo Delade instrumentpaneler och övervakare 3 Tabell 3-1 Delade instrumentpaneler (fortsättning) Instrumentpanel Övervakare Visar... Installerad av modul... Endpoint Security: Hotbeteende Endpoint Security-webbkontroll: Installerade snabbkorrigeringar Endpoint Security: De främsta hoten under de senaste 48 timmarna Antal system där snabbkorrigeringar för Webbkontroll har installerats, inklusive versionsnummer för snabbkorrigeringen. Hotaktivitet och infektionsspridning i miljön. De 5 främsta virushoten i de antal händelser som upptäckts under de senaste 48 timmarna, inklusive totalt antal händelser och totalt antal infekterade användare och system. För varje hotincident visar övervakaren: Händelsens skapelsetid Varaktighet före avkänningen Händelsebeskrivning Typ av hot Hotmålets användarnamn Systemnamn Tekniknamn Vidtagen åtgärd Webbkontroll Delade Delade Endpoint Security: Ursprung för hothändelser Endpoint Security: Varaktighet före avkänningen på slutpunkter under de senaste 2 veckorna Endpoint Security: De 10 främsta attacksystemen under de senaste 7 dagarna Hur länge ett specifikt hot fanns i systemet innan det upptäcktes, inklusive: Antal händelser Antal infekterade användare Antal infekterade system För varje varaktighet visar övervakaren: Datum och tid Tidslängd före avkänningen Hotets namn, allvarlighetsgrad och inverkan Namn på system, användare, teknik och produkt som har infekterats De 10 främsta system som infekterar andra system (systemnamn, IP-adress och MAC-adress), samt antal hothändelser per system. Hur hoten kommer in i miljön. Delade Delade Delade McAfee Endpoint Security Produkthandbok för Delade 25

26 3 Övervaka ditt skydd med McAfee epo Delade-frågor Tabell 3-1 Delade instrumentpaneler (fortsättning) Instrumentpanel Övervakare Visar... Installerad av modul... Endpoint Security: Primära attackvektorer under de senaste 7 dagarna Primära attackvektorer, t.ex. webbeller snabbmeddelanden och inklusive: Antal händelser Vektorprocent Totalt antal infekterade användare För varje vektor visar övervakaren: Datum och tid Händelsebeskrivning och kategori Hottyp och namn Namn på infekterad användare Delade Endpoint Security: De främsta infekterade användarna under de senaste 7 dagarna Endpoint Security-hotdetektering: Program med flest utnyttjanden under de senaste 7 dagarna Endpoint Security-webbkontroll: Webbinnehållskategorier som orsakat de flesta infektionerna under de senaste 7 dagarna De 10 främsta infekterade användarna, inklusive antal och procentandel för hothändelser per användare. Program med flest utnyttjanden av buffertspill, inklusive antal avkänningar. De 10 främsta kategorierna för webbplatser som orsakat de flesta infektionerna i miljön. Delade Hotdetektering Webbkontroll Delade-frågor Det finns flera fördefinierade frågor i modulen Endpoint Security-delade. Fördefinierade frågor Endpoint Security: Teknik som för närvarande är aktiverad Endpoint Security: Varaktighet före avkänningen på slutpunkter under de senaste 2 veckorna Endpoint Security: Rapport om installationsstatus Endpoint Security-plattform: Installerade snabbkorrigeringar Endpoint Security: Principöverensstämmelse per datornamn Endpoint Security: Principöverensstämmelse per principnamn Endpoint Security: Primära attackvektorer under de senaste 7 dagarna Endpoint Security: Överensstämmelsestatus för egenskydd Endpoint Security: Sammanfattning av de hot som upptäckts under de senaste 7 dagarna 26 McAfee Endpoint Security Produkthandbok för Delade

27 Övervaka ditt skydd med McAfee epo Resultattyper och egenskaper för Delade 3 Endpoint Security: Hot som upptäckts under de senaste 24 timmarna Endpoint Security: Hot som upptäckts under de senaste 7 dagarna Endpoint Security: De 10 främsta attacksystemen under de senaste 7 dagarna Endpoint Security: De främsta infekterade användarna under de senaste 7 dagarna Endpoint Security: De främsta hoten under de senaste 48 timmarna Information om frågor och rapporter finns i McAfee epo-dokumentationen. Resultattyper och egenskaper för Delade I modulen Delade finns fördefinierade Resultattyper som du kan använda när du skapar anpassade frågor. Dessutom visas för varje Resultattyp i Delade de egenskaper som kan användas för att begränsa dataomfånget som frågan hämtar och visar. Om du vill skapa anpassade frågor går du till egenskaperna i resultattypen Endpoint Security-hothändelser. Funktionsgrupp Händelser Resultattyp Endpoint Security-hothändelser McAfee Endpoint Security Produkthandbok för Delade 27

28 3 Övervaka ditt skydd med McAfee epo Resultattyper och egenskaper för Delade 28 McAfee Endpoint Security Produkthandbok för Delade

29 4 Använda 4 Endpoint Security-klienten Innehåll Så här fungerar Endpoint Security-klient Öppna Endpoint Security-klient Få information om ditt skydd Hotkontroll Uppdatera innehåll och programvara manuellt Logga in som administratör Låsa upp klientgränssnittet Så här fungerar Endpoint Security-klient Med Endpoint Security-klient kan du kontrollera skyddsstatusen och ge åtkomst till säkerhetsfunktioner i installerad programvara, exempelvis genomsökningar, filer i karantän och Extra.DAT-filer. Endpoint Security-klient innehåller: Åtkomst till funktioner, exempelvis visning av supportlänkar, inloggning som administratör och att installera en hämtad Extra.DAT-fil. Snabbåtkomst till vanliga åtgärder, exempelvis genomsökning av systemet och uppdatering av programvaran. Information om ditt skydd, exempelvis status, händelseloggar, aktiviteter och filer i karantän. Hotsammanfattning som ger dig information om hot i ditt system under de senaste 30 dagarna. Öppna Endpoint Security-klient Öppna Endpoint Security-klient för att visa status för de skyddsfunktioner som är installerade i datorn. Om gränssnittsläget är inställt på Lås klientgränssnitt måste du ange administratörslösenordet för att kunna öppna Endpoint Security-klient. 1 Använd någon av följande metoder för att visa Endpoint Security-klient: Högerklicka på ikonen i systemfältet och välj sedan McAfee Endpoint Security. Välj Start Alla program McAfee McAfee Endpoint Security. McAfee Endpoint Security Produkthandbok för Delade 29

30 4 Använda Endpoint Security-klienten Få information om ditt skydd I Windows 8 och 10 startar du appen McAfee Endpoint Security. 1 Tryck på Windows-tangenten. 2 AngeMcAfee Endpoint Security i sökrutan och dubbelklicka eller tryck sedan på appen McAfee Endpoint Security. 2 Om det efterfrågas anger du administratörslösenordet på sidan Logga in som administratör och sedan klickar du på Logga in. Endpoint Security-klient öppnas i det gränssnittsläge som administratören har konfigurerat. Se även Låsa upp klientgränssnittet på sidan 32 Få information om ditt skydd Du kan få specifik information om programvarans skydd, inklusive hanteringstyp, skyddsmoduler, funktioner, status, versionsnummer och licenser. 1 Öppna Endpoint Security-klient. 2 I menyn väljer du Om. 3 Klicka på namnet för en modul eller funktion till vänster för att gå till informationen om det objektet. 4 Klicka på webbläsarknappen Stäng för att stänga sidan Om. Hotkontroll På Endpoint Security-klientStatus-sida finns en sammanfattning i realtid av de hot som upptäckts i ditt system under de senaste 30 dagarna. När nya hot upptäcks kommer sidan Status uppdatera data dynamiskt i avsnittet Hotsammanfattning i den nedersta rutan. Endpoint Security-klient måste ha grön status för att kunna visa hotsammanfattningen. Hotsammanfattningen innehåller: Datumet för det senast eliminerade hotet De två främsta hotvektorerna, per kategori Antal hot per hotvektor Om Endpoint Security-klient inte kan nå händelsehanteraren, visas ett kommunikationsfelmeddelande. Om du vill visa hotsammanfattningen startar du om systemet. 30 McAfee Endpoint Security Produkthandbok för Delade

31 Använda Endpoint Security-klienten Uppdatera innehåll och programvara manuellt 4 Uppdatera innehåll och programvara manuellt Du kan leta manuellt och hämta uppdaterade säkerhetsfiler från Endpoint Security-klient. Manuella uppdateringar kallas för uppdateringar på begäran. 1 Öppna Endpoint Security-klient. 2 Klicka på Uppdatera. Om knappen inte syns i Endpoint Security-klient kan du aktivera den i inställningarna. Endpoint Security-klient söker efter uppdateringar. Sidan Uppdatera visar information om den senaste uppdateringen eller datum och tid för den senaste uppdateringen, om den inte utfördes i dag. För att avbryta uppdateringen klickar du på Avbryt. Om uppdateringen slutförs utan fel visas sidan Uppdateringen är klar och den senaste uppdateringen som I dag. Om uppdateringen inte lyckades, visas ett fel i området Meddelanden. Visa PackageManager_Activity.log eller PackageManager_Debug.log för mer information. 3 Klicka på Stäng för att stänga sidan Uppdatera. Se även Konfigurera standardbeteendet för uppdateringar från klienten på sidan 37 Öppna Endpoint Security-klient på sidan 29 Logga in som administratör Logga in som administratör på Endpoint Security-klient om du vill aktivera och inaktivera funktioner samt konfigurera inställningarna. Innan du börjar Gränssnittsläget för Endpoint Security-klient är Standardåtkomst. 1 Öppna Endpoint Security-klient. 2 I menyn väljer du Logga in som administratör. 3 I fältet Lösenord anger du administratörslösenordet och sedan klickar du på Logga in. Nu går det att komma åt alla funktioner i Endpoint Security-klient. Logga ut genom att välja Logga ut som administratör. Klienten återvänder till gränssnittsläget Standardåtkomst. McAfee Endpoint Security Produkthandbok för Delade 31

32 4 Använda Endpoint Security-klienten Låsa upp klientgränssnittet Låsa upp klientgränssnittet Om gränssnittet för Endpoint Security-klient är låst, kan du låsa upp det med administratörslösenordet för att få åtkomst till alla inställningar. Innan du börjar Gränssnittsläget för Endpoint Security-klient är Lås klientgränssnitt. 1 Öppna Endpoint Security-klient. 2 På sidan Logga in som administratör ange administratörslösenordet i fältet Lösenord och klicka sedan på Logga in. Endpoint Security-klient öppnas och du kan få åtkomst till alla funktioner i klienten. 3 Logga ut och stäng klienten från menyn och välj Logga ut som administratör. 32 McAfee Endpoint Security Produkthandbok för Delade

33 5 Hantera 5 allmänna funktioner i ett klientsystem Innehåll Inaktivera och aktivera funktioner Skydda tjänster och filer i ett klientsystem Konfigurera loggning av klientaktiviteter på ett klientsystem. Styra åtkomst till klientgränssnittet i ett klientsystem Konfigurera proxyserverinställningarna på ett klientsystem Konfigurera automatiska uppdateringar för klienten Tillåt certifikatautentisering i ett klientsystem Inaktivera och aktivera funktioner Som administratör kan du aktivera och inaktivera Endpoint Security-funktioner via Endpoint Security-klient. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller att du är inloggad som administratör. Sidan Status visar aktiverad status för modulen, vilket inte nödvändigtvis återspeglar funktionernas faktiska status. Det går att se status för varje funktion på sidan Inställningar. Om exempelvis inställningen Aktivera ScriptScan inte har tillämpats, kan statusen vara (Status: Inaktiverad). 1 Öppna Endpoint Security-klient. 2 Klicka på modulnamnet på huvudsidan Status. Eller i menyn väljer du Inställningar. Klicka sedan på modulens namn på sidan Inställningar. 3 Markera eller avmarkera alternativet Aktiveramodul ellerfunktion. Se även Logga in som administratör på sidan 31 McAfee Endpoint Security Produkthandbok för Delade 33

34 5 Hantera allmänna funktioner i ett klientsystem Skydda tjänster och filer i ett klientsystem Skydda tjänster och filer i ett klientsystem En av de första åtgärderna för skadlig programvara under en attack är att inaktivera systemets säkerhetsprogramvara. Konfigurera Egenskydd i inställningarna för Delade för att förhindra att tjänster och filer stoppas eller ändras. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller att du är inloggad som administratör. Om egenskyddet inaktiveras är ditt system sårbart för attacker. 1 Öppna Endpoint Security-klient. 2 I menyn väljer du Inställningar. 3 Klicka på Visa avancerat. 4 I Egenskydd kontrollerar du att Egenskydd är aktiverat. 5 Ange åtgärd för var och en av följande resurser: Filer och mappar Förhindrar att användare ändrar McAfee-databasen, binärfiler, filer för säker sökning och konfigurationsfiler. Registret Förhindrar att användarna ändrar McAfee-registrets registreringsdatafil, COM-komponenter och avinstallerar med hjälp av registervärdet. Processer Förhindrar att McAfee-processer stoppas. 6 Klicka på Tillämpa. Se även Logga in som administratör på sidan 31 Konfigurera loggning av klientaktiviteter på ett klientsystem. Konfigurera loggning i inställningarna för Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller att du är inloggad som administratör. 1 Öppna Endpoint Security-klient. 2 I menyn väljer du Inställningar. 3 Klicka på Visa avancerat. 4 Konfigurera inställningarna i Klientloggning på sidan. 5 Klicka på Tillämpa. Se även Logga in som administratör på sidan McAfee Endpoint Security Produkthandbok för Delade

35 Hantera allmänna funktioner i ett klientsystem Styra åtkomst till klientgränssnittet i ett klientsystem 5 Styra åtkomst till klientgränssnittet i ett klientsystem Kontrollera åtkomsten till Endpoint Security-klient genom att ange ett lösenord i inställningarna för Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller att du är inloggad som administratör. Klientgränssnittsläget är inställt på Fullständig åtkomst som standard, vilket innebär att användarna kan ändra sin säkerhetskonfiguration. Detta kan leda till att systemen blir oskyddade mot attacker från skadlig programvara. 1 Öppna Endpoint Security-klient. 2 I menyn väljer du Inställningar. 3 Konfigurera inställningarna i Klientgränssnittsläge på sidan. Metodtips: För att öka säkerheten ändrar du Klientgränssnittsläge till Standard eller Lås klientgränssnitt. I båda de här alternativen krävs ett administratörslösenord för att få åtkomst till Endpoint Security-klient inställningar. 4 Klicka på Tillämpa. er Begränsa och tillåta åtkomst till funktioner på sidan 35 Inställningarna för Klientgränssnittsläge som är tilldelade till din dator avgör vilka funktioner du har åtkomst till. Se även Logga in som administratör på sidan 31 Begränsa och tillåta åtkomst till funktioner Inställningarna för Klientgränssnittsläge som är tilldelade till din dator avgör vilka funktioner du har åtkomst till. Ändra Klientgränssnittsläge i inställningarna för Delade. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. Detta är alternativen för klientgränssnittsläget. McAfee Endpoint Security Produkthandbok för Delade 35

36 5 Hantera allmänna funktioner i ett klientsystem Konfigurera proxyserverinställningarna på ett klientsystem Fullständig åtkomst Aktiverar åtkomst till alla funktioner, inklusive: Aktivera och inaktivera enskilda moduler och funktioner. Åtkomst till sidan Inställningar för att visa eller ändra alla inställningar för Endpoint Security-klient. (Standard) Standardåtkomst Visar skyddsstatus och ger åtkomst till de flesta funktioner. Uppdaterar innehållsfiler och programvarukomponenter på din dator (om detta har aktiverats av administratören). Åtkomst till Händelseloggen. Från gränssnittsläget för Standardåtkomst kan du logga in som administratör för att få åtkomst till alla funktioner, inklusive alla inställningar. Lås klientgränssnitt Det krävs ett lösenord för att få åtkomst till klienten. När du har låst upp klientgränssnittet får du åtkomst till alla funktioner. Kontakta administratören om du inte får åtkomst till Endpoint Security-klient eller specifika aktiviteter och funktioner som du behöver för att utföra ditt jobb. Konfigurera proxyserverinställningarna på ett klientsystem Ange proxyserveralternativ i inställningarna för Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller att du är inloggad som administratör. 1 Öppna Endpoint Security-klient. 2 I menyn väljer du Inställningar. 3 Klicka på Visa avancerat. 4 Konfigurera inställningar för Proxyserver på sidan. Metodtips: Undanta McAfee GTI-adresser från proxyservern. Mer information finns i KB79640 och KB Klicka på Tillämpa. Se även Logga in som administratör på sidan 31 Konfigurera automatiska uppdateringar för klienten Innehåll Konfigurera var klienten hämtar uppdateringar Konfigurera standardbeteendet för uppdateringar från klienten Konfigurera, schemalägg och kör uppdateringsaktiviteter från klienten. 36 McAfee Endpoint Security Produkthandbok för Delade

37 Hantera allmänna funktioner i ett klientsystem Konfigurera automatiska uppdateringar för klienten 5 Så här fungerar speglingar Konfigurera, schemalägg och kör speglade aktiviteter Konfigurera var klienten hämtar uppdateringar Du kan konfigurera vilka platser Endpoint Security-klient hämtar uppdaterade säkerhetsfiler från i inställningarna för Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller att du är inloggad som administratör. 1 Öppna Endpoint Security-klient. 2 I menyn väljer du Inställningar. 3 Klicka på Visa avancerat. 4 I Delade klickar du på Alternativ. 5 Konfigurera inställningarna för Källplatser för uppdateringar på den här sidan. Du kan aktivera och inaktivera källplatsen för standardsäkerhetskopiering, McAfeeHttp och hanteringsservern, men du kan inte ändra eller ta bort dem. Du kan lägga till, ändra, importera eller exportera en källplats. Ordningen för platserna fastställer den ordning som Endpoint Security använder för att söka efter uppdateringsplatsen. 6 Klicka på Tillämpa. Se även Använda lagringsplatslistor för uppdateringsplatser på sidan 20 Logga in som administratör på sidan 31 Konfigurera, schemalägg och kör uppdateringsaktiviteter från klienten. på sidan 38 Konfigurera standardbeteendet för uppdateringar från klienten Du kan ange standardbeteendet för uppdateringar som initieras från Endpoint Security-klient i inställningarna för Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller att du är inloggad som administratör. Använd de här inställningarna för att: Vissa eller dölj knappen Uppdatera i klienten. Ange vad som ska uppdateras när användaren klickar på knappen eller när standarduppdatering för klient körs. Aktiviteten Standarduppdatering för klient körs som standard varje dag kl och upprepas var fjärde timme till kl McAfee Endpoint Security Produkthandbok för Delade 37

38 5 Hantera allmänna funktioner i ett klientsystem Konfigurera automatiska uppdateringar för klienten 1 Öppna Endpoint Security-klient. 2 I menyn väljer du Inställningar. 3 Klicka på Visa avancerat. 4 Konfigurera inställningarna för Standarduppdatering för klient på sidan. 5 Klicka på Tillämpa. Se även Logga in som administratör på sidan 31 Konfigurera var klienten hämtar uppdateringar på sidan 37 Konfigurera, schemalägg och kör uppdateringsaktiviteter från klienten. på sidan 38 Konfigurera, schemalägg och kör uppdateringsaktiviteter från klienten. Du kan konfigurera anpassade uppdateringsaktiviteter eller ändra aktivitetsschemat för standardklientuppdateringen från Endpoint Security-klient i inställningarna för Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller att du är inloggad som administratör. Använd dessa inställningar via klienten för att konfigurera när aktiviteten Standarduppdatering för klient ska köras. Du kan också konfigurera standardbeteendet för klientuppdateringar som initierats från Endpoint Security-klient. 1 Öppna Endpoint Security-klient. 2 I menyn väljer du Inställningar. 3 Klicka på Visa avancerat. 4 I Delade klickar du påaktiviteter. 5 Konfigurera inställningarna för uppdateringsaktiviteten på sidan. Du kan lägga till, anpassa och köra en uppdateringsaktivitet. Du kan också skapa en kopia av en uppdateringsaktivitet och ändra schemat. 6 Klicka på Tillämpa. Se även Logga in som administratör på sidan 31 Konfigurera var klienten hämtar uppdateringar på sidan 37 Konfigurera standardbeteendet för uppdateringar från klienten på sidan 37 Så här fungerar speglingar Med en spegling kan du hämta uppdateringsfiler från den första tillgängliga lagringsplatsen för hämtning i lagringsplatslistan till en speglingsplats i nätverket. Den vanligaste användningen av aktiviteten är att spegla innehållet på McAfee-hämtningsplatsen till en lokal server. 38 McAfee Endpoint Security Produkthandbok för Delade

39 Hantera allmänna funktioner i ett klientsystem Tillåt certifikatautentisering i ett klientsystem 5 När du har replikerat den McAfee-plats som innehåller uppdateringsfilerna, kan datorerna i ditt nätverk hämta filerna från speglingsplatsen. På så sätt kan du uppdatera alla datorer i nätverket, oavsett om de har åtkomst till Internet eller inte. Det är effektivare att använda en replikerad plats eftersom systemen kommunicerar med en server som antagligen finns på närmare håll än en McAfee-Internetplats. Därmed reduceras också åtkomst- och hämtningstiden. Programvaran måste ha en katalog för att kunna uppdatera sig själv. Därför måste hela katalogstrukturen replikeras när en plats speglas. Konfigurera, schemalägg och kör speglade aktiviteter Du kan ändra eller schemalägga speglade aktiviteter från Endpoint Security-klient i inställningarna för Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller att du är inloggad som administratör. 1 Öppna Endpoint Security-klient. 2 I menyn väljer du Inställningar. 3 Klicka på Visa avancerat. 4 I Delade klickar du påaktiviteter. 5 Konfigurera inställningarna för speglingsaktiviteten på sidan. Du kan lägga till, ändra, kopiera, schemalägga och köra en speglingsaktivitet. 6 Klicka på Tillämpa. Se även Logga in som administratör på sidan 31 Tillåt certifikatautentisering i ett klientsystem Med certifikat kan en leverantör köra kod i McAfee-processer. 1 Öppna Endpoint Security-klient. 2 I menyn väljer du Inställningar. 3 Klicka på Visa avancerat. 4 I avsnittet Certifikat väljer du Tillåt. Den här inställningen kan orsaka kompatibilitetsproblem och minskad säkerhet. 5 Klicka på Tillämpa. Information om certifikatet visas i tabellen. McAfee Endpoint Security Produkthandbok för Delade 39