Produkthandbok. McAfee Endpoint Security 10.2

Transkript

1 Produkthandbok McAfee Endpoint Security 10.2

2 COPYRIGHT 2016 Intel Corporation VARUMÄRKEN Intel och Intel-logotypen är registrerade varumärken som tillhör Intel Corporation i USA och/eller andra länder. McAfee, McAfee-logotypen, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource och VirusScan är registrerade varumärken eller varumärken som tillhör McAfee, Inc. eller dess dotterbolag i USA och andra länder. Övriga namn och varumärken kan tillhöra andra. LICENSINFORMATION Licensavtal MEDDELANDE TILL ALLA ANVÄNDARE: LÄS NOGA TILLHÖRANDE JURIDISKA AVTAL FÖR DEN LICENS DU HAR KÖPT. I AVTALET ANGES ALLMÄNNA VILLKOR FÖR ANVÄNDNINGEN AV DEN LICENSIERADE PROGRAMVARAN. OM DU INTE VET VILKEN TYP AV LICENS DU HAR KAN DU SE DET PÅ FAKTURA/KVITTO ELLER DE LICENS-/INKÖPSHANDLINGAR SOM MEDFÖLJER FÖRPACKNINGEN ELLER SOM DU ERHÖLL SEPARAT VID KÖPET (BROSCHYR, FIL PÅ CD-SKIVAN MED PRODUKTEN ELLER FIL PÅ DEN WEBBPLATS DÄR DU HÄMTADE PROGRAMPAKETET). OM DU INTE ACCEPTERAR ALLA VILLKOR I AVTALET SKA DU INTE INSTALLERA PROGRAMVARAN. SKICKA I SÅ FALL TILLBAKA PRODUKTEN TILL MCAFEE ELLER TILL STÄLLET DÄR DU KÖPTE PRODUKTEN FÖR ATT FÅ PENGARNA TILLBAKA. 2 McAfee Endpoint Security 10.2 Produkthandbok

3 Innehåll McAfee Endpoint Security 7 1 Introduktion 9 Endpoint Security-moduler Så här skyddar Endpoint Security din dator Så här uppdateras skyddet Kommunicera med Endpoint Security Starta Endpoint Security-aktiviteter från McAfee-ikonen i systemfältet Om aviseringsmeddelanden Använda Endpoint Security-klient Använda Endpoint Security-klient 19 Öppna Endpoint Security-klient Hjälp Svara på frågor Svara på en avkänningsfråga vid hot Svara på en genomsökningsfråga Svara på en filryktesbegäran Få information om ditt skydd Hanteringstyp Uppdatera skydd och programvara manuellt Detta uppdateras Visa Händelselogg Namn och plats för Endpoint Security-loggfiler Hantera Endpoint Security Logga in som administratör Låsa upp klientgränssnittet Inaktivera och aktivera funktioner Ändra innehållsversionen för AMCore Använd Extra.DAT-filer Konfigurera gemensamma inställningar Konfigurera uppdateringsbeteende Klientgränssnittsreferens Delade Händelseloggsida Delade Alternativ Gemensamma Aktiviteter Använda Hotdetektering 57 Genomsök datorn efter skadlig programvara Typer av genomsökning Kör en Fullständig genomsökning eller en Snabbgenomsökning Genomsöka en fil eller mapp Hantera hotavkänningar Hantera objekt som satts i karantän Avkänningsnamn McAfee Endpoint Security 10.2 Produkthandbok 3

4 Innehåll Göra en ny genomsökning av objekt i karantän Hantera Hotdetektering Konfigurera undantag Skydda systemets åtkomstpunkter Blockerar utnyttjande av buffertspill Känner av eventuellt oönskade program Konfigurera gemensamma inställningar för genomsökning Hur McAfee GTI fungerar Konfigurera Genomsökning vid åtkomst inställningar Konfigurera Genomsökning på begäran inställningar Konfigurera, schemalägga och köra genomsökningar Klientgränssnittsreferens Hotdetektering Sidan Karantän Hotdetektering Åtkomstskydd Hotdetektering Utnyttjandeskydd Hotdetektering Åtkomstskydd Hotdetektering Genomsökning på begäran Genomsök platser McAfee GTI Åtgärder Lägg till undantag eller Redigera undantag Hotdetektering Alternativ Klientaktiviteten Roll Back AMCore Content (Återställ AMCore-innehåll) Använda Brandvägg 123 Så här fungerar Brandvägg Aktivera och inaktivera Brandvägg från McAfee-systemfältsikonen Aktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen Om tidsbegränsade grupper Hantera Brandvägg Ändra Brandvägg-alternativ Konfigurera Brandvägg regler och grupper Klientgränssnittsreferens Brandvägg Brandvägg Alternativ Brandvägg Regler Använda Webbkontroll 151 Om Webbkontroll-funktioner Så här blockerar eller varnar Webbkontroll om webbplatser eller hämtningar Knappen Webbkontroll identifierar hot vid surfning Säkerhetsikoner identifierar hot vid sökning Webbplatsrapporter innehåller detaljer Så här fastställs säkerhetsklassificeringar Få åtkomst till funktionerna i Webbkontroll Aktivera plugin-programmet Webbkontroll i webbläsaren Visa information om en webbplast medan du surfar Visa webbplatsrapport under genomsökning Hantera Webbkontroll Konfigurera alternativ för Webbkontroll Ange klassificeringsåtgärder och blockera webbplatsåtkomst utifrån webbplatskategorier 161 Klientgränssnittsreferens Webbkontroll Webbkontroll Alternativ Webbkontroll Innehållsåtgärder Använda Hotinformation 167 Så här fungerar Hotinformation McAfee Endpoint Security 10.2 Produkthandbok

5 Innehåll Hantera Hotinformation Om Hotinformation Innesluter program dynamiskt Konfigurera alternativ för Hotinformation Klientgränssnittsreferens Hotinformation Hotinformation Dynamisk programinneslutning Hotinformation Alternativ Index 189 McAfee Endpoint Security 10.2 Produkthandbok 5

6 Innehåll 6 McAfee Endpoint Security 10.2 Produkthandbok

7 McAfee Endpoint Security McAfee Endpoint Security är en omfattande lösning för säkerhetshantering som körs på nätverksdatorer för att identifiera och stoppa hot automatiskt. Hjälpen förklarar hur du använder de grundläggande säkerhetsfunktionerna och felsöker problem. Komma igång Endpoint Security-moduler på sidan 9 Så här skyddar Endpoint Security din dator på sidan 10 Kommunicera med Endpoint Security på sidan 11 Vanliga aktiviteter Öppna Endpoint Security-klient på sidan 19 Uppdatera skydd och programvara manuellt på sidan 23 Genomsök datorn efter skadlig programvara på sidan 57 Låsa upp klientgränssnittet på sidan 27 Mer information Mer information om den här produkten finns i: McAfee Endpoint Security Installationshandbok Migreringsguide för McAfee Endpoint Security Versionsinformation för McAfee Endpoint Security Endpoint Security-brandvägg Hjälp Endpoint Security-webbkontroll Hjälp Endpoint Security-hotinformation Hjälp Endpoint Security-hotdetektering Hjälp McAfee support McAfee Endpoint Security 10.2 Produkthandbok 7

8 McAfee Endpoint Security 8 McAfee Endpoint Security 10.2 Produkthandbok

9 1 Introduktion Endpoint Security är en omfattande lösning för säkerhetshantering som körs på nätverksdatorer för att identifiera och stoppa hot automatiskt. Hjälpen förklarar hur du använder de grundläggande säkerhetsfunktionerna och felsöker problem. Om din dator hanteras kan en administratör att installera och konfigurera Endpoint Security men en av dessa hanteringsservrar: McAfee epolicy Orchestrator (McAfee epo ) McAfee epolicy Orchestrator Cloud (McAfee epo Cloud) Den senaste informationen om hantering av licenser och berättigande i Endpoint Security finns i KB Hotinformation stöds inte i McAfee epo Cloud-hanterade system. Om din dator är självhanterad, kan du eller din administratör konfigurera programvaran med Endpoint Security-klient. Innehåll Endpoint Security-moduler Så här skyddar Endpoint Security din dator Kommunicera med Endpoint Security Endpoint Security-moduler Administratören konfigurerar och installerar en eller fleraendpoint Security-moduler på klientdatorer. Hotdetektering Söker efter virus, spionprogram, oönskade program och andra hot genom att genomsöka objekt automatiskt varje gång du använder dem, eller på begäran. Brandvägg Övervakar kommunikation mellan datorn och resurser i nätverket eller på Internet. Stoppar misstänkt kommunikation. Webbkontroll Visar säkerhetsklassificeringar och rapporter för webbsidor under online-navigering och sökning. Med Webbkontroll kan webbplatsadministratören blockera åtkomst till webbplatser baserat på säkerhetsklassificering eller innehåll. Hotinformation Tillhandahåller kontextmedvetet och anpassningsbart skydd för din nätverksmiljö. Endpoint Security-hotinformation är en tillvalsmodul i Endpoint Security. Om du vill ha fler hotinformationskällor och -funktioner distribuerar du Threat Intelligence Exchange-server. Kontakta återförsäljaren eller en säljare för mer information. Hotinformation stöds inte i McAfee epo Cloud-hanterade system. McAfee Endpoint Security 10.2 Produkthandbok 9

10 1 Introduktion Så här skyddar Endpoint Security din dator Dessutom har modulen Delade inställningar för vanliga funktioner, såsom säkerhet för gränssnitt och loggning. Den här modulen installeras automatiskt om någon annan modul installeras. Så här skyddar Endpoint Security din dator Vanligtvis konfigureras Endpoint Security av en administratör som även installerar programvaran i klientdatorerna, övervakar säkerhetsstatus och konfigurerar säkerhetsregler som kallas för principer. Som klientdatoranvändare kommunicerar du med Endpoint Security via klientprogramvaran som är installerad på datorn. Principerna som bestäms av administratören avgör hur funktionerna fungerar på din dator och huruvida du kan ändra inställningarna. Om Endpoint Security är självhanterat går det att ange hur modulerna och funktionerna fungerar. Visa Om-sidan för att fastställa hanteringstypen. Klientprogramvaran på datorn ansluter regelbundet till en webbplats på Internet för att komponenterna ska kunna uppdateras. Samtidigt skickas data om avkänningar på datorn till hanteringsservern. Informationen används för att skapa rapporter åt administratören om avkänningar och säkerhetsproblem på din dator. Vanligtvis körs klientprogramvaran i bakgrunden utan att du behöver vidta några åtgärder alls. Ibland kan du dock behöva ingripa. Du kan exempelvis vilja söka efter programuppdateringar eller skadlig programvara manuellt. Beroende på de principer som bestämts av administratören kan du också anpassa säkerhetsinställningarna. Om du är administratör kan du hantera och konfigurera klientprogramvaran centralt med hjälp av McAfee epo eller McAfee epo Cloud. Den senaste informationen om hantering av licenser och berättigande i Endpoint Security finns i KB Se även Få information om ditt skydd på sidan 22 Så här uppdateras skyddet Regelbundna uppdateringar av Endpoint Security säkerställer att din dator alltid är skyddad från de senaste hoten. Vid uppdateringar ansluts klientprogramvaran på datorn till en lokal server eller en fjärrserver vid McAfee epo eller direkt till en webbplats på Internet. Endpoint Security söker efter följande: Uppdateringar av innehållsfiler som används för att identifiera hot. Innehållsfiler innehåller definitioner av hot, t.ex. virus och spionprogram, och dessa definitioner uppdateras när nya hot upptäcks. Uppgraderingar för programkomponenter, till exempel korrigeringar och snabbkorrigeringar. För att underlätta terminologin refererar Hjälpen till uppdateringar både för uppdateringar och uppgraderingar. Uppdateringar sker vanligen automatiskt i bakgrunden. Du kan också behöva söka efter uppdateringar manuellt. Beroende på inställningarna, går det att uppdatera ditt skydd manuellt frånendpoint Security-klient genom att klicka på. Se även Uppdatera skydd och programvara manuellt på sidan McAfee Endpoint Security 10.2 Produkthandbok

11 Introduktion Kommunicera med Endpoint Security 1 Hur innehållsfiler fungerar När genomsökningsmotorn söker efter hot i filer jämförs innehållet i de genomsökta filerna med information om kända hot som är lagrad i AMCore-innehållsfilerna. Utnyttjandeskydd använder egna innehållsfiler för att skydda mot utnyttjande. AMCore-innehåll McAfee Labs hittar och lägger till information om kända hot (signaturer) till innehållsfilerna. Förutom signaturer innehåller innehållsfilerna information om rensning och åtgärder för skador som kan orsakas av det identifierade viruset. Om en virussignatur inte finns i de installerade innehållsfilerna kan genomsökningsmotorn inte identifiera detta virus och datorn har inget skydd mot angrepp. Nya hot dyker upp hela tiden. McAfee Labs publicerar motoruppdateringar och nya innehållsfiler som innehåller resultaten av pågående sökningar efter hot kl (GMT) varje dag. (GMT/UTC). Om ett nytt hot motiverar det kan dagliga AMCore-innehållsfiler släppas tidigare och under vissa omständigheter kan versioner fördröjas. Om du vill ta emot varningsmeddelanden eller viktiga aviseringar kan du prenumerera på SNS-tjänsten (Support Notification Service). Se KnowledgeBase-artikeln KB Endpoint Security lagrar den aktuella innehållsfilen och de två tidigare versionerna i Programfiler \Delade filer\mcafee\motor\innehållsmapp. Det går att återställa till en tidigare version vid behov. Om ny skadlig programvara upptäcks och extra avkänning krävs utanför det vanliga schemat för innehållsuppdatering, publicerar McAfee Labs en Extra.DAT-fil. Mer information om att installera Extra.DAT-filer finns i Hotdetektering Hjälp. Utnyttjandeskyddets innehåll Utnyttjandeskyddets innehåll omfattar: Signaturer för minnesskydd Allmänt skydd mot buffertspill, validering av anropare, allmän detektering av behörighetseskalering och riktad API-övervakning. Programskyddslista - Processer som skyddas av utnyttjandeskydd. McAfee publicerar nya innehållsfiler för utnyttjandeskydd en gång i månaden. Hotinformation-innehåll Hotinformation-innehåll innehåller regler för att dynamiskt beräkna ryktet för filer och processer på slutpunkterna. McAfee släpper nya innehållsfiler till Hotinformation varannan månad. Endpoint Security-hotinformation är en tillvalsmodul i Endpoint Security. Om du vill ha fler hotinformationskällor och -funktioner distribuerar du Threat Intelligence Exchange-server. Kontakta återförsäljaren eller en säljare för mer information. Kommunicera med Endpoint Security Endpoint Security innehåller visuella komponenter för kommunikation med Endpoint Security-klient. McAfee-ikonen i Windows-systemfältet Här kan du starta Endpoint Security-klient och visa säkerhetsstatusen. Aviseringsmeddelanden Varnar dig om intrångsavkänningar i sökningar och brandvägg samt filer med okänt rykte, och uppmanar dig att vidta åtgärder. McAfee Endpoint Security 10.2 Produkthandbok 11

12 1 Introduktion Kommunicera med Endpoint Security Sidan Genomsökning vid åtkomst visar listan över identifierade hot när genomsökning vid åtkomst känner av ett hot. Endpoint Security-klient Visar aktuell skyddsstatus och ger åtkomst till funktioner. Administratören konfigurerar och tilldelar principer för att ange vilka komponenter som visas. Se även Starta Endpoint Security-aktiviteter från McAfee-ikonen i systemfältet på sidan 12 Om aviseringsmeddelanden på sidan 13 Hantera hotavkänningar på sidan 61 Använda Endpoint Security-klient på sidan 14 Starta Endpoint Security-aktiviteter från McAfee-ikonen i systemfältet Via McAfee-ikonen i systemfältet i Windows kommer du åt Endpoint Security-klient och vissa grundläggande aktiviteter. Med konfigurationsinställningarna avgör du om McAfee-ikonen ska visas. Högerklicka på McAfee-ikonen i systemfältet för att: Kontrollera säkerhetsstatus. Öppna Endpoint Security-klient. Uppdatera skydd och programvara manuellt. Inaktivera eller återaktivera Brandvägg. Aktivera, inaktivera eller visa Brandvägg brandväggsgrupper. Välj Visa säkerhetsstatus för att visa sidan McAfee säkerhetsstatus. Välj McAfee Endpoint Security. Välj Uppdatera säkerhet. Välj Inaktivera Endpoint Security-brandvägg på menyn Snabbinställningar. När Brandvägg är inaktiverad är alternativet Aktivera Endpoint Security-brandvägg. Välj ett alternativ på menyn Snabbinställningar: Aktivera tidsbegränsade brandväggsgrupper Tillåter Internetanslutning för tidsbegränsade grupper under en angiven tidsperiod innan reglerna som begränsar åtkomst tillämpas. När tidsbegränsade grupper aktiveras är alternativet Inaktivera tidsbegränsade brandväggsgrupper. Varje gång du väljer det här alternativet återställs tiden för grupperna. Beroende på inställningarna kan du även uppmanas att informera administratören om anledningen till att tidsbegränsade grupper har aktiverats. Visa tidsbegränsade brandväggsgrupper Visar namnet på de tidsbegränsade grupperna och den återstående tiden som varje grupp är aktiv. Tillgängligheten för dessa alternativ varierar beroende på hur inställningarna har konfigurerats. Hur ikonen visar statusen för Endpoint Security Ikonens utseende ändras för att visa statusen för Endpoint Security. Håll pekaren över ikonen för att visa ett meddelande som beskriver statusen. 12 McAfee Endpoint Security 10.2 Produkthandbok

13 Introduktion Kommunicera med Endpoint Security 1 Ikon Visar... Endpoint Security skyddar ditt system och hittade inga problem. Endpoint Security registrerar ett problem med säkerheten, till exempel en inaktiverad modul eller teknik. Brandvägg är inaktiverad. Hotdetektering utnyttjandeskydd, genomsökning vid åtkomst eller ScriptScan är inaktiverade. Endpoint Security rapporterar problem på olika vis beroende på hanteringstyp. Självhanterad: En eller flera tekniker är inaktiverade. En eller flera tekniker svarar inte. Hanterad: En eller flera tekniker har inaktiverats, men inte som ett resultat av principaktivering från hanteringsservern eller Endpoint Security-klient. En eller flera tekniker svarar inte. När ett problem registreras visar sidan McAfee säkerhetsstatus vilken modul eller teknik som inaktiverats. Se även Detta uppdateras på sidan 24 Om aviseringsmeddelanden Endpoint Security använder två typer av meddelanden som aviserar problem med ditt skydd eller som kräver åtgärder från din sida. Vissa meddelanden visas eventuellt inte beroende på hur inställningarna är konfigurerade. McTray.exe-processen måste köras för att Endpoint Security ska kunna visa aviseringar. Endpoint Security skickar två typer av aviseringar: Varningar visas i popup-fönster från McAfeeMcAfee-ikonen under fem sekunder och försvinner sedan. Varningar aviserar dig om avkända hot, som intrångsförsök ibrandvägg eller när en genomsökning på begäran har pausats eller återupptagits. De kräver ingen åtgärd från din sida. Frågor öppnar en sida längst ned på skärmen som visas tills du har valt ett alternativ. Exempel: En schemalagd genomsökning på begäran ska just starta. Då kanendpoint Security begära att du ska senarelägga genomsökningen. När genomsökning vid åtkomst känner av ett hot, kan Endpoint Security begära att du vidtar en åtgärd. Om Hotinformation upptäcker en fil med okänt rykte kan det hända att Endpoint Security frågar om du vill tillåta eller blockera filen. I Windows 8 och 10 används popup-meddelanden som aviserar både varningar och frågor. Klicka på popup-meddelandet för att visa aviseringen i skrivbordsläge. McAfee Endpoint Security 10.2 Produkthandbok 13

14 1 Introduktion Kommunicera med Endpoint Security Se även Svara på en avkänningsfråga vid hot på sidan 20 Svara på en genomsökningsfråga på sidan 21 Svara på en filryktesbegäran på sidan 21 Använda Endpoint Security-klient Med hjälp av Endpoint Security-klient kan du kontrollera skyddsstatus och få åtkomst till funktioner i datorn. Alternativ i Åtgärd-menyn ger åtkomst till funktioner. Inställningar Läs in Extra.DAT Återställ AMCore-innehåll Hjälp Supportlänkar Logga in som administratör Om Avsluta Konfigurerar funktionsinställningar. Det här menyalternativet finns tillgängligt om något av följande är sant: Inställningen i Klientgränssnittsläget är Fullständig åtkomst. Du är inloggad som administratör. Gör det möjligt att installera den hämtade filen Extra.DAT. Återställer AMCore-innehåll till en tidigare version. Det här menyalternativet finns tillgängligt om en tidigare version av AMCore-innehåll finns i systemet och om något av följande är sant: Inställningen i Klientgränssnittsläget är Fullständig åtkomst. Du är inloggad som administratör. Visar Hjälp. Visar en sida med länkar till sidor som kan vara till hjälp, till exempel McAfee ServicePortal och Kunskapscenter. Loggar in som platsadministratör. (Detta kräver autentiseringsuppgifter för administratör.) Detta menyalternativ är tillgängligt om Klientgränssnittsläget inte är inställt på Fullständig åtkomst. Om du redan är inloggad som administratör är det här menyalternativet Logga ut som administratör. Visar information om Endpoint Security. Avslutar Endpoint Security-klient. Knapparna överst till höger på sidan ger snabb åtkomst till vanliga aktiviteter. Sök efter skadlig programvara med en fullständig genomsökning eller snabbgenomsökning av systemet. Den här knappen är endast tillgänglig om modulen Hotdetektering är installerad. Uppdaterar innehållsfiler och andra programvarukomponenter på din dator. Den här knappen visas eventuellt inte beroende på hur inställningarna är konfigurerade. 14 McAfee Endpoint Security 10.2 Produkthandbok

15 Introduktion Kommunicera med Endpoint Security 1 Knapparna till vänster på sidan ger information om ditt skydd. Status Händelselogg Quarantine (Karantän) Återgår till huvudsidan för Status. Visar loggfilen för alla skydds- och hothändelser på den här datorn. Öppnar Quarantine Manager. Den här knappen är endast tillgänglig om modulen Hotdetektering är installerad. I Hotsammanfattning får du information om hot som upptäckts av Endpoint Security i ditt system under de senaste 30 dagarna. Se även Ladda en Extra.DAT-fil på sidan 30 Logga in som administratör på sidan 27 Genomsök datorn efter skadlig programvara på sidan 57 Uppdatera skydd och programvara manuellt på sidan 23 Visa Händelselogg på sidan 24 Hantera objekt som satts i karantän på sidan 62 Hantera Endpoint Security på sidan 27 Om Hotsammanfattning på sidan 15 Om Hotsammanfattning Endpoint Security-klient-statussidan innehåller en sammanfattning i realtid av alla hot som upptäckts i ditt system under de senaste 30 dagarna. Allt eftersom nya hot identifierats kommer statussidan att uppdatera data dynamist i området för Hotsammanfattning i panelen längst ned. Hotsammanfattningen innehåller: Datumet för det senaste eliminerade hotet De två viktigaste hoten som kan medföra smitta, efter kategori: Webb Externa enheter eller media Nätverk Lokalt system Fildelning E-post Snabbmeddelande Okänt Antal hot per hotande smittkälla Hot från webbplatser eller hämtningar. Hot från externa enheter, t.ex USB, 1394 Firewire, esata, band, CD, DVD eller disk. Hot från nätverk (förutom fildelning via nätverk). Hot från den lokala bootfilens systemenhet (oftast C:) eller övriga enheter som inte klassificeras som Externa enheter eller media. Hot från fildelning via nätverk. Hot från e-postmeddelanden. Hot från snabbmeddelanden. Hot där smittkällan för attacken inte kan identifieras (på grund av feltillstånd eller övriga felfall). Om Endpoint Security-klient inte kan nå Händelsehanteraren, visar Endpoint Security-klient ett kommunikationsfelmeddelande. Om detta är fallet, starta om ditt systemet för att visa en Hotsammanfattning. McAfee Endpoint Security 10.2 Produkthandbok 15

16 1 Introduktion Kommunicera med Endpoint Security Hur inställningar påverkar din klientåtkomst Inställningar för Klientgränssnittsläge som tilldelats din dator avgör vilka moduler och funktioner som du kan få åtkomst till. Ändra Klientgränssnittsläge under Delade-inställningarna. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. I Klientgränssnittsläget är klientalternativen följande: Fullständig åtkomst Aktiverar åtkomst till alla funktioner, inklusive: Aktivera och inaktivera enskilda moduler och funktioner. Åtkomst till sidan Inställningar för att visa eller ändra alla inställningar för Endpoint Security-klient. (Standard) Standardåtkomst Visar skyddsstatus och tillåter åtkomst till de flesta funktioner: Uppdaterar innehållsfiler och andra programvarukomponenter på din dator (om detta har aktiverats av administratören). Gör en noggrann kontroll av alla delar av systemet, vilket är en rekommendation om du misstänker att datorn är infekterad. Gör en snabb kontroll (2 minuter) av de delar av systemet som är mest känsliga för infektioner. Åtkomst till Händelseloggen. Hantera objekt i Karantän. Från gränssnittsläget för Standardåtkomst kan du logga in som administratör för att få åtkomst till alla funktioner, inklusive alla inställningar. Lås klientgränssnitt Det krävs ett lösenord för att få åtkomst till klienten. När du har låst upp klientgränssnittet får du åtkomst till alla funktioner. Kontakta administratören om du inte får åtkomst till Endpoint Security-klient eller specifika aktiviteter och funktioner som du behöver för att utföra ditt jobb. Se även Styra åtkomst till klientgränssnittet på sidan 33 Hur installerade moduler påverkar klienten Vissa klientaspekter är eventuellt inte tillgängliga, beroende på vilka moduler som är installerade på din dator. De här funktionerna är endast tillgängliga omhotdetektering är installerat: Knappen Karantän-knapp 16 McAfee Endpoint Security 10.2 Produkthandbok

17 Introduktion Kommunicera med Endpoint Security 1 Vilka funktioner som är installerade i systemet fastställer vilka funktioner som visas: I Händelselogg i listrutan för Filtrera efter modul. På sidan Inställningar. Delade Hotdetektering Brandvägg Webbkontroll Hotinformation Visas om en modul är installerad. Visas enbart om Hotdetektering är installerat. Visas enbart om Brandvägg är installerat. Visas enbart om Webbkontroll är installerat. Visas enbart om Hotinformation och Hotdetektering är installerade. Hotinformation stöds inte i McAfee epo Cloud-hanterade system. Vissa av funktionerna finns eventuellt inte tillgängliga, beroende på vilket Klientgränssnittsläge som används och hur administratören har konfigurerat din åtkomst. Se även Hur inställningar påverkar din klientåtkomst på sidan 16 McAfee Endpoint Security 10.2 Produkthandbok 17

18 1 Introduktion Kommunicera med Endpoint Security 18 McAfee Endpoint Security 10.2 Produkthandbok

19 2 Använda 2 Endpoint Security-klient Använd klienten i läget Standardåtkomst för att utföra de flesta funktioner, inklusive systemgenomsökningar och hantera objekt i karantän. Innehåll Öppna Endpoint Security-klient Hjälp Svara på frågor Få information om ditt skydd Uppdatera skydd och programvara manuellt Visa Händelselogg Hantera Endpoint Security Klientgränssnittsreferens Delade Öppna Endpoint Security-klient Öppna Endpoint Security-klient för att visa status för skyddsfunktionerna som är installerade på datorn. Om gränssnittsläget är angett till Lås klientgränssnitt måste du ange administratörslösenordet för att öppna Endpoint Security-klient. Åtgärd 1 Använd någon av dessa metoder för att visa Endpoint Security-klient: Högerklicka på ikonen i systemfältet och välj sedan McAfee Endpoint Security. Välj Starta Alla program McAfee McAfee Endpoint Security. I Windows 8 och 10: starta appen McAfee Endpoint Security. 1 Tryck på Windows-tangenten. 2 AngeMcAfee Endpoint Security i sökrutan och dubbelklicka eller tryck sedan på appen McAfee Endpoint Security. 2 Om det efterfrågas anger du administratörslösenordet på sidan Logga in som administratör och sedan klickar du på Logga in. Endpoint Security-klient öppnas i gränssnittsläget som konfigurerats av administratören. Se även Låsa upp klientgränssnittet på sidan 27 McAfee Endpoint Security 10.2 Produkthandbok 19

20 2 Använda Endpoint Security-klient Hjälp Hjälp Det finns två metoder för att få hjälp när man använder klienten, menyalternativet Hjälp och?-ikonen. För att det ska gå att använda Endpoint Security-hjälpen med Internet Explorer måste Active Scripting aktiveras i webbläsaren. Åtgärd 1 Öppna Endpoint Security-klient. 2 Beroende på vilken sida du är på: Sidorna Status, Händelselogg och Karantän: från menyn Åtgärd, välj Hjälp. Sidorna Inställningar, Uppdatering, Genomsök system, Återställ AMCore-innehåll och Ladda Extra.DAT: klicka på? i gränssnittet. Svara på frågor Beroende på hur inställningarna är konfigurerade kan Endpoint Security begära en åtgärd från dig när en genomsökning på begäran just ska starta. Åtgärder Svara på en avkänningsfråga vid hot på sidan 20 När ett hot upptäcks under en genomsökning är det möjligt att Endpoint Security begär en åtgärd från dig för att kunna fortsätta, beroende på hur inställningarna har konfigurerats. Svara på en genomsökningsfråga på sidan 21 En schemalagd genomsökning på begäran ska just starta. Då kan Endpoint Security begära en åtgärd från dig för att fortsätta. Begäran visas endast om genomsökningen har konfigurerats så att du kan senarelägga, pausa, återuppta eller avbryta genomsökningen. Svara på en filryktesbegäran på sidan 21 Om en fil med ett specifikt rykte försöker köras i ditt system kan Endpoint Security begära en åtgärd från dig för att fortsätta. Begäran visas endast om detta har konfigurerats i Hotinformation. Svara på en avkänningsfråga vid hot När ett hot upptäcks under en genomsökning är det möjligt att Endpoint Security begär en åtgärd från dig för att kunna fortsätta, beroende på hur inställningarna har konfigurerats. I Windows 8 och 10 används popup-meddelanden som aviserar både varningar och frågor. Klicka på popup-meddelandet för att visa aviseringen i skrivbordsläge. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. På sidan Genomsökning vid åtkomst väljer du alternativ för att hantera hotavkänningar. Det går att öppna sidan för genomsökning för att hantera avkänningar när som helst. Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. Se även Hantera hotavkänningar på sidan McAfee Endpoint Security 10.2 Produkthandbok

21 Använda Endpoint Security-klient Svara på frågor 2 Svara på en genomsökningsfråga En schemalagd genomsökning på begäran ska just starta. Då kan Endpoint Security begära en åtgärd från dig för att fortsätta. Begäran visas endast om genomsökningen har konfigurerats så att du kan senarelägga, pausa, återuppta eller avbryta genomsökningen. Om du inte väljer ett alternativ startar genomsökningen automatiskt. Endast för hanterade system: om genomsökningen har konfigurerats att endast köras när datorn är i viloläge visar Endpoint Security en dialogruta när genomsökningen har pausats. Det går också att återuppta pausade genomsökningar eller återställa dem att endast köras i viloläge om detta har konfigurerats. I Windows 8 och 10 används popup-meddelanden som aviserar både varningar och frågor. Klicka på popup-meddelandet för att visa aviseringen i skrivbordsläge. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. Välj ett av följande alternativ när frågan visas. De alternativ som visas beror på hur genomsökningen har konfigurerats. Genomsök nu Visa genomsökningen Pausa genomsökningen Återuppta genomsökningen Avbryt genomsökningen Senarelägg genomsökningen Startar genomsökningen omedelbart. Visa avkänningar under en genomsökning som pågår. Pausar genomsökningen. Pausa genomsökningen kan eventuellt återställa genomsökningen till att endast köras i viloläge beroende på hur genomsökningen har konfigurerats. Klicka på Återuppta genomsökningen för att återuppta genomsökningen från där den pausades. Återupptar genomsökningen efter uppehållet. Avbryter genomsökningen. Senarelägger genomsökningen enligt angivet antal timmar. Alternativet för schemalagd genomsökning avgör hur många gånger som du kan senarelägga en genomsökning under en timme. Eventuellt kan du senarelägga genomsökningen mer än en gång. Stäng Stänger sidan för genomsökning. Om ett hot upptäcks under en genomsökning är det möjligt att Endpoint Security begär en åtgärd från dig för att kunna fortsätta, beroende på hur inställningarna har konfigurerats. Svara på en filryktesbegäran Om en fil med ett specifikt rykte försöker köras i ditt system kan Endpoint Security begära en åtgärd från dig för att fortsätta. Begäran visas endast om detta har konfigurerats i Hotinformation. Hotinformation stöds inte i McAfee epo Cloud-hanterade system. Administratören konfigurerar rykteströskeln och begäran visas. Om rykteströskeln till exempel visas som Okänd så frågar Endpoint Security om alla filer med ett okänt rykte eller lägre. McAfee Endpoint Security 10.2 Produkthandbok 21

22 2 Använda Endpoint Security-klient Få information om ditt skydd Om inget alternativ markeras vidtar Hotinformation den standardåtgärd som har konfigurerats av administratören. Vilken begäran som visas, tidgräns och vilken åtgärd som vidtas varierar beroende på hur Hotinformation är konfigurerat. I Windows 8 och 10 används popup-meddelanden som aviserar både varningar och frågor. Klicka på popup-meddelandet för att visa aviseringen i skrivbordsläge. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 I samband med detta kan du skriva ett meddelande som skickas till administratören (valfritt). Du kan till exempel ge en beskrivning av filen eller en förklaring till varför du tillåtit eller blockerat filen i systemet. 2 Klicka på Tillåt eller Blockera. Tillåt Blockera Tillåter filen. Blockerar filen i systemet. Om du inte vill att Hotinformation ska fråga efter den här filen igen väljer du Kom ihåg detta beslut. Hotinformation agerar utifrån ditt beslut eller standardåtgärd och stänger frågefönstret. Få information om ditt skydd Det går att få information om ditt Endpoint Security-skydd, inklusive hanteringstyp, skyddsmoduler, funktioner, status, versionsnummer och licensiering. Åtgärd 1 Öppna Endpoint Security-klient. 2 Öppna åtgärdsmenyn och välj Om. 3 Klicka på modulens eller funktionens namn till vänster för att gå vidare till information om detta objekt. 4 Klicka på knappen Stäng i webbläsaren för att stänga sidan Om. Se även Hanteringstyp på sidan 22 Öppna Endpoint Security-klient på sidan 19 Hanteringstyp Hanteringstyp visar hur Endpoint Security hanteras. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. 22 McAfee Endpoint Security 10.2 Produkthandbok

23 Använda Endpoint Security-klient Uppdatera skydd och programvara manuellt 2 Hanteringstyp McAfee epolicy Orchestrator McAfee epolicy Orchestrator Cloud Självhanterat Beskrivning En administratör hanterar Endpoint Security med hjälp av McAfee epo (lokalt). En administratör hanterar Endpoint Security med hjälp av McAfee epo Cloud. Den senaste informationen om hantering av licenser och berättigande i Endpoint Security finns i KB Endpoint Security hanteras lokalt med hjälp av Endpoint Security-klient. Det här läget kallas också ej hanterad eller fristående. Uppdatera skydd och programvara manuellt Beroende på vilka inställningar som har konfigurerats går det att manuellt söka efter och hämta uppdateringar för innehållsfiler och programkomponenter i Endpoint Security-klient. Manuella uppdateringar kallas för uppdateringar på begäran. Manuella uppdateringar kan även köras via McAfee-ikonen i systemfältet. Endpoint Security saknar stöd för manuell hämtning och kopiering av uppdaterade innehållsfiler till klientsystemet. Kontakta McAfee support om du behöver hjälp med uppdatering av en specifik innehållsversion. Åtgärd 1 Öppna Endpoint Security-klient. 2 Klicka på. Om knappen inte visas i klienten kan du aktivera den i inställningarna. Endpoint Security-klient söker efter uppdateringar. För att avbryta uppdateringen, klicka på Avbryt. Om systemet är uppdaterat visar sidan meddelandet Inga tillgängliga uppdateringar, samt datum och tid för den senaste uppdateringen. Om uppdateringen slutförs visar sidan aktuell tid och datum för den senaste uppdateringen. Eventuella meddelanden eller fel visas i området för Meddelanden. Visa PackageManager_Activity.log eller PackageManager_Debug.log beträffande mer information. 3 Klicka på Stäng för att stänga sidan Uppdatera. Se även Starta Endpoint Security-aktiviteter från McAfee-ikonen i systemfältet på sidan 12 Så här uppdateras skyddet på sidan 10 Namn och plats för Endpoint Security-loggfiler. på sidan 25 Detta uppdateras på sidan 24 Konfigurera standardbeteende för uppdateringar på sidan 37 Öppna Endpoint Security-klient på sidan 19 McAfee Endpoint Security 10.2 Produkthandbok 23

24 2 Använda Endpoint Security-klient Visa Händelselogg Detta uppdateras Endpoint Security uppdaterar säkerhetsinnehåll, programvara (snabbkorrigeringar och korrigeringar) och principinställningar olika, beroende på hanteringstyp. Det går bra att konfigurera synlighet och beteende för knappen. Hanteringstyp Uppdateringsmetod Uppdateringar McAfee epo Alternativet Uppdatera säkerhet i ikonmenyn för McAfee-systemfältet Knappen Security-klient i Endpoint McAfee epo Cloud Alternativet Uppdatera säkerhet i ikonmenyn för McAfee-systemfältet Självhanterade Knappen Security-klient i Endpoint Alternativet Uppdatera säkerhet i ikonmenyn för McAfee-systemfältet Knappen Security-klient i Endpoint Se även Uppdatera skydd och programvara manuellt på sidan 23 Endast för innehåll och programvara, inte principinställningar. Innehåll, programvara och principinställningar (om konfigurerade). Innehåll, programvara och principinställningar. Innehåll, programvara och principinställningar (om konfigurerade). Endast för innehåll och programvara. Innehåll, programvara och principinställningar (om konfigurerade). Visa Händelselogg I aktivitets- och felsökningsloggarna sparas information om händelser som inträffar i ditt system som skyddas av McAfee. Du kan visa händelseloggen i Endpoint Security-klient. Åtgärd Om du behöver hjälp, gå till menyn Åtgärd och välj Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Händelselogg till vänster på sidan. Sidan visar alla händelser som Endpoint Security har loggat i systemet under de senaste 30 dagarna. Om Endpoint Security-klient inte kan nå händelsehanteraren, visas ett kommunikationsfelmeddelande. Om detta är fallet, starta om systemet för att visa händelseloggen. 3 Markera en händelse i den övre rutan för att visa informationen i den nedre rutan. Ändra den relativa storleken på rutorna genom att klicka och dra sash-widgeten mellan rutorna. 24 McAfee Endpoint Security 10.2 Produkthandbok

25 Använda Endpoint Security-klient Visa Händelselogg 2 4 Sortera, sök, filtrera eller läs in händelser på nytt på sidan Händelselogg. De alternativ som visas beror på hur genomsökningen har konfigurerats. För att... Sortera händelser efter datum, funktioner, vidtagna åtgärder eller allvarlighetsgrad. Sök i händelseloggen. Steg Klicka på kolumnrubriken i tabellen. Ange söktexten i fältet Sök och tryck på Enter eller klicka på Sök. Sökningen är skiftlägesokänslig och söker efter söktexten i alla fält i händelseloggen. Händelselistan visar alla element med matchande text. Avbryt sökningen och visa alla händelser genom att klicka på x i fältet Sök. Filtrera händelser efter allvarlighetsgrad eller modul. Uppdatera visningen i händelseloggen med nya händelser. Öppna mappen som innehåller loggfilerna. Markera ett alternativ i filterlistrutan. Ta bort filtret och visa alla händelser genom att välja Visa alla händelser från listrutan. Klicka på. Klicka på Visa loggmapp. 5 Bläddra i händelseloggen. För att... Steg Visa föregående sida över händelser. Klicka på Föregående sida. Visa nästa sida över händelser. Visar en särskild sida i loggen. Klicka på Nästa sida. Ange ett sidnummer och tryck på Enter eller klicka på Gå till. Händelseloggen visar 20 händelser per sida som standard. Visa fler händelser per sida genom att välja ett alternativ i listrutan för Händelser per sida. Se även Namn och plats för Endpoint Security-loggfiler. på sidan 25 Öppna Endpoint Security-klient på sidan 19 Namn och plats för Endpoint Security-loggfiler. Aktivitets-, fel- och felsökningsloggfiler registrerar händelser som uppstår i system när Endpoint Security är aktiverad. Konfigurera loggning i Delade-inställningarna. Filer från aktivitetsloggar visas alltid på det språk som angetts som standardsystemspråk. Alla aktivitets- och felsökningsloggfiler sparas, som standard, på någon av följande platser (beroende på operativsystem): Operativsystem Microsoft Windows 10 Standardplats %ProgramData%\McAfee\Endpoint Security\Logs Microsoft Windows 8 och 8.1 Microsoft Windows 7 Microsoft Vista C:\Documents and Settings\All Users\Application Data\McAfee \Endpoint Security\Logs McAfee Endpoint Security 10.2 Produkthandbok 25

26 2 Använda Endpoint Security-klient Visa Händelselogg Varje modul, funktion eller teknik placerar aktivitets- eller felsökningsloggar i en separat fil. Alla moduler placerar felsökningsloggar i en enda EndpointSecurityPlatform_Errors.log. När du aktiverar felsökningsloggning för en modul så aktiveras även felsökningsloggning för funktionerna i modulen Delade, till exempel egenskydd. Tabell 2-1 Loggfiler Moduler Funktioner eller teknik Filnamn Delade Egenskydd Uppdateringar Fel Hotdetektering Aktivering av felsökningsloggning för valfri teknik för Hotdetektering aktiverar även felsökningsloggning för Endpoint Security-klient. EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log SelfProtection_Activity.log SelfProtection_Debug.log PackageManager_Activity.log PackageManager_Debug.log EndpointSecurityPlatform_Errors.log ThreatPrevention_Activity.log ThreatPrevention_Debug.log Brandvägg Webbkontroll Hotinformation Åtkomstskydd Skydd mot utnyttjande Genomsökning vid åtkomst Genomsökning på begäran Snabbgenomsökning Fullständig genomsökning Snabbgenomsökning Endpoint Security-klient Dynamisk programinneslutning AccessProtection_Activity.log AccessProtection_Debug.log ExploitPrevention_Activity.log ExploitPrevention_Debug.log OnAccessScan_Activity.log OnAccessScan_Debug.log OnDemandScan_Activity.log OnDemandScan_Debug.log MFEConsole_Debug.log Firewall_Activity.log Firewall_Debug.log FirewallEventMonitor.log Loggar för blockerade och tillåtna trafikhändelser, om detta har konfigurerats. WebControl_Activity.log WebControl_Debug.log ThreatIntelligence_Activity.log ThreatIntelligence_Debug.log DynamicApplicationContainment_Activity.log DynamicApplicationContainment_Debug.log 26 McAfee Endpoint Security 10.2 Produkthandbok

27 Använda Endpoint Security-klient Hantera Endpoint Security 2 Loggfilerna för installation lagras som standard på följande platser: Självhanterade Hanterade %TEMP%\McAfeeLogs (Windows-användarens Temp-mapp) TEMP\McAfeeLogs (Windows-systemets mapp för temporära filer) Hantera Endpoint Security Som administratör kan du hantera Endpoint Security via Endpoint Security-klient, vilket innefattar att inaktivera och aktivera funktioner, hantera innehållsfiler, ange hur klientgränssnittet fungerar, schemalägga aktiviteter och konfigurera vanliga inställningar. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. Se även Logga in som administratör på sidan 27 Låsa upp klientgränssnittet på sidan 27 Inaktivera och aktivera funktioner på sidan 28 Ändra innehållsversionen för AMCore på sidan 28 Använd Extra.DAT-filer på sidan 29 Konfigurera gemensamma inställningar på sidan 31 Logga in som administratör Logga in som administratör i Endpoint Security-klient om du vill aktivera och inaktivera funktioner och konfigurera inställningarna. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara inställt somstandardåtkomst. Åtgärd Om du behöver hjälp, gå till menyn Åtgärd och välj Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Logga in som administratör. 3 I fältet Lösenord anger du administratörslösenordet och sedan klickar du på Logga in. Nu går det att komma åt alla funktioner i Endpoint Security-klient. Logga ut genom att välja Åtgärd Logga ut som administratör. Klienten går tillbaka till gränssnittsläget Standardåtkomst. Låsa upp klientgränssnittet Om gränssnittet för Endpoint Security-klient är låst, kan du låsa upp det med administratörslösenordet för att få åtkomst till alla inställningar. Innan du börjar Gränssnittsläget för Endpoint Security-klient måste vara inställt somlås klientgränssnitt. McAfee Endpoint Security 10.2 Produkthandbok 27

28 2 Använda Endpoint Security-klient Hantera Endpoint Security Åtgärd 1 Öppna Endpoint Security-klient. 2 På sidan Logga in som administratör ange administratörslösenordet i fältet Lösenord och klicka sedan på Logga in. Endpoint Security-klient öppnas och du kan få åtkomst till alla funktioner i klienten. 3 Logga ut genom att öppna Åtgärdmenyn, välj Logga ut som administratör. Inaktivera och aktivera funktioner Som administratör kan du aktivera och inaktivera Endpoint Security-funktioner via Endpoint Security-klient. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Status-sidan visar aktiverad status för modulen, vilket inte nödvändigtvis återspeglar funktionernas faktiska status. Det går att se status för varje funktion på sidan för Inställningar. Exempel: Om inställningen Aktivera ScriptScan inte har tillämpats, kan statusen vara (Status: Inaktiverad). Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på modulens namn, (t.ex. Hotdetektering eller Brandvägg) på huvudsidan för Status. Eller i menyn Åtgärd väljer du Inställningar, klicka sedan på modulens namn på sidan Inställningar. 3 Markera eller avmarkera alternativet Aktivera modul ellerfunktion. Vid aktivering av en valfri funktion i Hotdetektering aktiveras modulen Hotdetektering. Se även Logga in som administratör på sidan 27 Ändra innehållsversionen för AMCore Använd Endpoint Security-klient för att ändra versionen för AMCore-innehåll på ditt system. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Endpoint Security lagrar den aktuella innehållsfilen och de två tidigare versionerna i Programfiler \Delade filer\mcafee\motor\innehållsmapp. Det går att återställa till en tidigare version vid behov. 28 McAfee Endpoint Security 10.2 Produkthandbok

29 Använda Endpoint Security-klient Hantera Endpoint Security 2 Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Från menyn Åtgärd, välj Återställ AMCore-innehåll. 3 Välj versionen som ska laddas från listrutan. 4 Klicka på Tillämpa. Avkänningar i den laddade innehållsfilen för AMCore börjar gälla meddetsamma. Se även Hur innehållsfiler fungerar på sidan 11 Logga in som administratör på sidan 27 Använd Extra.DAT-filer Det går att installera en Extra.DAT-filer för att skydda ditt system mot ett större angrepp från skadlig programvara tills nästa schemalagda uppdatering av AMCore-innehåll blir tillgänglig. Åtgärder Hämta Extra.DAT-filer på sidan 30 Klicka på länken för hämtning från McAfee Labs för att hämta en Extra.DAT-fil. Ladda en Extra.DAT-fil på sidan 30 Installera en hämtad Extra.DAT-fil med hjälp av Endpoint Security-klient. Se även Om Extra.DAT-filer på sidan 29 Om Extra.DAT-filer Om ny skadlig programvara upptäcks och extra avkänning krävs, publicerar McAfee Labs en ExtraDAT-fil. Extra.DAT-filer innehåller information som Hotdetektering använder för att hantera nya skadliga programvaror. Det går att hämta Extra.DAT-filer för särskilda hot från McAfee Labs Extra.DAT sida för begäran. Hotdetektering stöder endast användning av en Extra.DAT-fil. Varje Extra.DAT-fil har ett inbyggt utgångsdatum. När Extra.DAT-filen har laddats, jämförs utgångsdatumet mot byggdatumet i AMCore-innehållet som är installerat på systemet. Om byggdatumet för AMCore-innehållet är senare än Extra.DAT-filens utgångsdatum har Extra.DAT-filen gått ut och laddas inte längre eller används inte av motorn. Under nästa uppdatering tas Extra.DAT-filen bort från systemet. Om nästa uppdatering av AMCore-innehållet omfattar en Extra.DAT-signatur tas Extra.DAT bort. Endpoint Security lagrar Extra.DAT-filer i mappen c:\program Files\Common Files\McAfee\Engine \content\avengine\extradat. McAfee Endpoint Security 10.2 Produkthandbok 29

30 2 Använda Endpoint Security-klient Hantera Endpoint Security Hämta Extra.DAT-filer Klicka på länken för hämtning från McAfee Labs för att hämta en Extra.DAT-fil. Åtgärd 1 Klicka på länken för hämtning, ange plats för att spara Extra.DAT-filen och klicka därefter på Spara. 2 Vid behov, packa upp EXTRA.ZIP-filen. 3 Ladda Extra.DAT-filen med Endpoint Security-klient. Ladda en Extra.DAT-fil Installera en hämtad Extra.DAT-fil med hjälp av Endpoint Security-klient. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Från menyn Åtgärd, välj Ladda Extra.DAT. 3 Klicka på Bläddra, navigera till platsen där du sparade den hämtade Extra.DAT-filen och klicka därefter på Öppna. 4 Klicka på Tillämpa. Nya avkänningar i Extra.DAT börjar gälla meddetsamma. Se även Logga in som administratör på sidan McAfee Endpoint Security 10.2 Produkthandbok

31 Använda Endpoint Security-klient Hantera Endpoint Security 2 Konfigurera gemensamma inställningar Konfigurera inställningar som gäller alla moduler och funktioner för Endpoint Security i Delade-modulen. Dessa inställningar omfattar säkerheten i Endpoint Security-klient-gränssnitt och språkinställningar, loggning, proxyserverinställningar för McAfee GTI och uppdateringskonfiguration. Åtgärder Skydda Endpoint Security-resurser på sidan 31 En av de första saker som skadlig programvara försöker göra under ett angrepp är att inaktivera systemets säkerhetsprogramvara. Konfigurera egenskydd för Endpoint Security i inställningarna för Delade för att förhindra Endpoint Security-tjänster och filer från att stoppas eller ändras. Konfigurerar inställningar för loggning på sidan 32 Konfigurerar Endpoint Security-loggning i Delade inställningar. Tillåt certifikatautentisering på sidan 32 Med ett certifikat kan en leverantör köra kod i McAfee-processer. Styra åtkomst till klientgränssnittet på sidan 33 Styr åtkomsten till Endpoint Security-klient genom att ställa in ett lösenord i Deladeinställningar. Konfigurera proxyserverinställningar för McAfee GTI på sidan 34 Ange proxyserveralternativ för att hämta klassificering för McAfee GTI i Delade inställningar. Skydda Endpoint Security-resurser En av de första saker som skadlig programvara försöker göra under ett angrepp är att inaktivera systemets säkerhetsprogramvara. Konfigurera egenskydd för Endpoint Security i inställningarna för Delade för att förhindra Endpoint Security-tjänster och filer från att stoppas eller ändras. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Om du inaktiverar Endpoint Security Egenskydd har datorn inget skydd mot angrepp. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 Från egenskydd, kontrollera att egenskydd är aktiverat. McAfee Endpoint Security 10.2 Produkthandbok 31

32 2 Använda Endpoint Security-klient Hantera Endpoint Security 5 Ange åtgärd för alla Endpoint Security-resurser enligt nedan: Filer och mappar Stoppar användare från att ändra McAfee-databasen, binärfiler, säkra sökfiler och konfigurationsfiler. Registret Stoppar användare från att ändra McAfee-registrets registreringsdatafil, COM-komponenter och avinstallationer med hjälp av registervärde. Processer Hindrar stopp av McAfee-processer. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Logga in som administratör på sidan 27 Konfigurerar inställningar för loggning Konfigurerar Endpoint Security-loggning i Delade inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 Konfigurera inställningarna i Klientloggning på sidan. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Namn och plats för Endpoint Security-loggfiler. på sidan 25 Logga in som administratör på sidan 27 Tillåt certifikatautentisering Med ett certifikat kan en leverantör köra kod i McAfee-processer. När processen upptäckts anges Leverantör, Ämne och Hash i certifikattabellen för den tillhörande offentliga nyckeln. Den här inställningen kan orsaka kompatibilitetsproblem och minskad säkerhet. Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. Åtgärd 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 32 McAfee Endpoint Security 10.2 Produkthandbok

33 Använda Endpoint Security-klient Hantera Endpoint Security 2 4 I avsnittet Certifikat väljer du Tillåt. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Information om certifikatet visas i tabellen. Styra åtkomst till klientgränssnittet Styr åtkomsten till Endpoint Security-klient genom att ställa in ett lösenord i Delade- inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Klientgränssnittsläge är inställt på Fullständig åtkomst som standard, vilket tillåter användare att ändra sina säkerhetsinställningar, vilket kan innebära att systemet är oskyddat mot attacker från skadlig programvara. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Konfigurera inställningarna i Klientgränssnittsläge på sidan. Metodtips: För att öka säkerheten ändrar du Klientgränssnittsläge till Standard eller Lås klientgränssnitt. Båda de här alternativen kräver ett lösenord för åtkomst till Endpoint Security-klient inställningar. 4 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Effekter vid inställning av ett administratörslösenord på sidan 33 Logga in som administratör på sidan 27 Effekter vid inställning av ett administratörslösenord Ett administratörslösenord måste anges när du ställer in gränssnittsläge i Standardåtkomst. Inställningen av ett administratörslösenord på Endpoint Security-klient påverkar följande användare: McAfee Endpoint Security 10.2 Produkthandbok 33

34 2 Använda Endpoint Security-klient Hantera Endpoint Security Icke-administratörer (användare utan administratörsrättigheter) Icke-administratörer kan: Visa vissa konfigurationsparametrar. Kör genomsökningar. Sök efter uppdateringar (om denna funktion är aktiverad). Visa Karantän. Visa Händelselogg. Få åtkomst till sidan Inställningar och visa eller ändra Brandvägg-regler (om denna funktion är aktiverad). Icke-administratörer kan inte: Ändra i konfigurationsparametrar. Visa, skapa, ändra eller ta bort inställningar. Det enda undantaget är att Brandvägg-regler kan visas och ändras (om denna funktion är aktiverad). Administratörer (användare med administratörsbehörighet) Administratörer måste ange lösenordet för att kunna öppna skyddade områden och ändra inställningar. Konfigurera proxyserverinställningar för McAfee GTI Ange proxyserveralternativ för att hämta klassificering för McAfee GTI i Delade inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 Konfigurera Proxyserver för McAfee GTI, inställningar på sidan. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Hur McAfee GTI fungerar på sidan 34 Logga in som administratör på sidan 27 Hur McAfee GTI fungerar Om du aktiverar McAfee GTI för genomsökning vid åtkomst eller på begäran, använder genomsökningsprocessen heuristiska metoder för att leta efter misstänkta filer. McAfee GTI-servern lagrar webbplatsklassificeringar och rapporter för Webbkontroll. Om Webbkontroll konfigureras för 34 McAfee Endpoint Security 10.2 Produkthandbok

35 Använda Endpoint Security-klient Hantera Endpoint Security 2 genomsökning av hämtade filer, används filryktet som tillhandahålls av McAfee GTI för sökning efter misstänkta filer. Genomsökningen skickar fingeravtryck av prov, eller hash-värden, till en central databasserver som drivs av McAfee Labs för att fastställa om det rör sig om skadlig programvara. När hash-värden skickas kan avkänning bli tillgänglig snabbare, före nästa uppdatering av innehållsfil när McAfee Labs publicerar uppdateringen. Du kan konfigurera känslighetsnivån som McAfee GTI använder för att fastställa om ett identifierat prov innehåller skadlig programvara. Ju högre känslighetsnivån är desto högre är avkänningen av skadlig programvara. Fler avkänningar kan däremot resultera i fler resultat som är falskt positiva. Känslighetsnivån för McAfee GTI i Hotdetektering är som standard inställd på Medium. Konfigurera känslighetsnivån för varje genomsökning i inställningarna för Hotdetektering. För Webbkontroll är McAfee GTI-känslighetsnivån som standard inställd på Mycket hög. Konfigurera känslighetsnivån for genomsökning av filhämtningar i Alternativ i Webbkontroll. Du kan konfigurera Endpoint Security så att en proxyserver används för att hämta ryktesinformation från Endpoint Security i inställningarna för Delade. Konfigurera uppdateringsbeteende Ange beteende för uppdateringar som initieras iendpoint Security-klient i Delade-inställningarna. Åtgärder Konfigurera källplatserna för uppdateringar på sidan 35 Du kan konfigurera de platser från vilka Endpoint Security-klient får uppdaterade säkerhetsfiler i Delade inställningar. Konfigurera standardbeteende för uppdateringar på sidan 37 Du kan ange standardfunktionen för uppdateringar som initieras från Endpoint Security-klient i Delade inställningar. Konfigurera, schemalägga och uppdatera aktiviteter på sidan 38 Du kan konfigurera anpassade uppdateringsaktiviteter eller ändra aktivitetsschemat Standarduppdatering för klient i Endpoint Security-klient via Deladeinställningar. Konfigurera, schemalägga och köra speglingar på sidan 40 Det går att ändra eller schemalägga speglingarna i Endpoint Security-klient via Delade Delade. Konfigurera källplatserna för uppdateringar Du kan konfigurera de platser från vilka Endpoint Security-klient får uppdaterade säkerhetsfiler i Delade inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. McAfee Endpoint Security 10.2 Produkthandbok 35

36 2 Använda Endpoint Security-klient Hantera Endpoint Security 3 Klicka på Visa avancerat. 4 I Delade klickar du på Alternativ. 5 Konfigurera inställningarna för Källplatser för uppdateringar på den här sidan. Du kan aktivera och inaktivera standardkällplatsen för säkerhetskopiering McAfeeHttp och hanteringsservern (i hanterade system) men du kan inte ändra eller ta bort dem på andra sätt. Ordningen för platserna fastställer den ordning som Endpoint Security använder för att söka efter uppdateringsplatsen. För att... Lägga till en plats i listan. Följ dessa steg 1 Klicka på Lägg till. 2 Ange inställningarna för platsen och klicka sedan på OK. Platsen visas i början av listan. Ändra en befintlig plats. 1 Dubbelklicka på källplatsens namn. 2 Ändra inställningarna och klicka sedan på OK. Ta bort en källplats. Importera platser från en fil i källplatslistan. Markera källplatsen och klicka på Ta bort. 1 Klicka på Importera. 2 Markera filen som ska importeras och klicka på OK. Platslistfilen ersätter den befintliga källplatslistan. Exportera källplatslistan till en SiteList.xml-fil. Ändra på ordningen av källplatser i listan. 1 Klicka på Exportera alla. 2 Välj var källplatslistan ska sparas och klicka sedan på OK. För att flytta element: 1 Välj element som ska flyttas. Handtaget visas till vänster om element som kan flyttas. 2 Dra-och-släpp elementen till den nya platsen. En blå linje visas mellan elementen där du kan släppa ned elementen som du flyttar. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Detta finns i lagringsplatslistan på sidan 36 Hur Standarduppdatering för klient fungerar på sidan 38 Logga in som administratör på sidan 27 Konfigurera, schemalägga och uppdatera aktiviteter på sidan 38 Detta finns i lagringsplatslistan Lagringsplatslistan anger information om lagringsplatser som McAfee Agent använder för att uppdatera McAfee-produkter som Engine och DAT-filer. Lagringsplatslista innehåller: Lagringsplatsinformation och plats Lagringsplatsordning 36 McAfee Endpoint Security 10.2 Produkthandbok

37 Använda Endpoint Security-klient Hantera Endpoint Security 2 Proxyserverinställningar (vid behov) Krypterade uppgifter som behövs för att få tillgång till respektive lagringsplats McAfee Agent-klientaktiviteten Produktuppdatering ansluter till den första aktiverade lagringsplatsen (uppdateringsplats) i lagringsplatslistan. Om lagringsplatsen inte är tillgänglig kontaktar aktiviteten nästa plats tills anslutning etableras eller tills den når slutet av listan. Om ditt nätverk använder en proxyserver kan du ange vilka proxyinställningar som ska användas, adressen till proxyservern samt om autentisering ska användas. Proxyinformationen lagras i lagringsplatslistan. De proxyinställningar som du konfigurerar gäller för alla lagringsplatser i listan. Sökvägen till lagringsplatslistan beror på vilket operativsystem du har: Operativsystem Plats för lagringsplatslista Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml Microsoft Windows 7 Tidigare versioner C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\SiteList.xml Konfigurera standardbeteende för uppdateringar Du kan ange standardfunktionen för uppdateringar som initieras från Endpoint Security-klient i Delade inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Använd de här inställningarna för att: Visa eller dölja knappen i klienten. Ange vad som ska uppdateras när användaren klickar på knappen eller när standarduppdatering för klient körs. Aktiviteten Standarduppdatering för klient körs som standard varje dag kl och upprepas var fjärde timme till kl Aktiviteten Standarduppdatering för klient uppdaterar allt innehåll och programvaran i självhanterade system. Den här aktiviteten uppdaterar endast innehållet i hanterade system. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 Konfigurera inställningarna för Standarduppdatering för klient på sidan. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. McAfee Endpoint Security 10.2 Produkthandbok 37

38 2 Använda Endpoint Security-klient Hantera Endpoint Security Se även Logga in som administratör på sidan 27 Konfigurera källplatserna för uppdateringar på sidan 35 Konfigurera, schemalägga och uppdatera aktiviteter på sidan 38 Hur Standarduppdatering för klient fungerar Aktiviteten Standarduppdatering för klient hämtar det senaste skyddet för Endpoint Security-klient. Endpoint Security-aktiviteten Standarduppdatering för klient körs som standard varje dag kl och upprepas var fjärde timme till kl Aktiviteten Standarduppdatering för klient: 1 Ansluter till källplatsen i listan som aktiverades först. Om den här platsen inte är tillgänglig kontaktar aktiviteten nästa plats tills anslutning etableras eller tills den når slutet av listan. 2 Hämtar en krypterad CATALOG.Z-fil från webbplatsen. Filen innehåller information som krävs för att utföra uppdateringen, inklusive tillgängliga filer och uppdateringar. 3 Kontrollerar programvaruversioner i filen mot versioner på datorn och hämtar nya tillgängliga uppdateringar för programvaran. Om aktiviteten Standarduppdatering för klient avbryts under en uppdatering: Uppdateringar från... HTTP, UNC, eller en lokal plats FTP-plats (hämtning av en fil) Vid avbrott... Återupptar uppdateringen där den avslutades nästa gång som uppdateringsaktiviteten startas. Återupptas inte om den avbryts. FTP-plats (hämtning av flera filer) Återupptas före filen som höll på att hämtas vid avbrottet. Se även Konfigurera källplatserna för uppdateringar på sidan 35 Konfigurera, schemalägga och uppdatera aktiviteter på sidan 38 Detta finns i lagringsplatslistan på sidan 36 Konfigurera, schemalägga och uppdatera aktiviteter Du kan konfigurera anpassade uppdateringsaktiviteter eller ändra aktivitetsschemat Standarduppdatering för klient i Endpoint Security-klient via Deladeinställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Använd dessa inställningar via klienten för att konfigurera när aktiviteten Standarduppdatering för klient ska köras. Du kan också konfigurera standardbeteende för klientuppdateringar som initierats från Endpoint Security-klient. 38 McAfee Endpoint Security 10.2 Produkthandbok

39 Använda Endpoint Security-klient Hantera Endpoint Security 2 Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 I Delade klickar du påaktiviteter. 5 Konfigurera inställningarna för uppdateringsaktiviteten på sidan. För att... Skapa en anpassad uppdateringsaktivitet. Följ dessa steg 1 Klicka på Lägg till. 2 Ange namnet och välj sedanvälj aktivitetstyp i listrutan och markera Uppdatering. 3 Konfigurera inställningarna och klicka sedan på OK för att spara aktiviteten. Ändra en uppdateringsaktivitet. Ta bort en anpassad uppdateringsaktivitet. Skapa en kopia av uppdateringsaktiviteten. Ändra schemat för en aktivitet för Standarduppdatering för klient. Köra en uppdateringsaktivitet. Dubbelklicka på aktiviteten, gör ändringarna och klicka sedan på OK för att spara. Markera aktiviteten och klicka på Ta bort. 1 Markera aktiviteten och klicka på Duplicera. 2 Ange namnet, konfigurera inställningarna och klicka sedan på OK för att spara aktiviteten. 1 Dubbelklicka påstandarduppdatering för klient. 2 Klicka på fliken Schemalägg, ändra schemat och klicka sedan på OK för att spara aktiviteten. Du kan också konfigurera standardbeteende för klientuppdateringar som initierats från Endpoint Security-klient. Markera aktiviteten och klicka på Kör nu. Om aktiviteten redan körs (eller är pausad eller uppskjuten) ändras knappen till Visa. Om du vill köra en aktivitet innan ändringarna tillämpas blir du ombedd av Endpoint Security-klient att spara ändringarna. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Hur Standarduppdatering för klient fungerar på sidan 38 Konfigurera källplatserna för uppdateringar på sidan 35 Konfigurera standardbeteende för uppdateringar på sidan 37 McAfee Endpoint Security 10.2 Produkthandbok 39

40 2 Använda Endpoint Security-klient Hantera Endpoint Security Konfigurera, schemalägga och köra speglingar Det går att ändra eller schemalägga speglingarna i Endpoint Security-klient via Delade Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 I Delade klickar du påaktiviteter. 5 Konfigurera inställningarna för speglingen på sidan. För att... Skapa en spegling. Följ dessa steg 1 Klicka på Lägg till. 2 Ange namnet och välj sedanvälj aktivitetstyp i listrutan och markera Spegla. 3 Konfigurera inställningarna och klicka sedan på OK. Ändra en spegling. Ta bort en spegling. Skapa en kopia av speglingen. Schemalägg en spegling. Kör en spegling. Dubbelklicka på speglingen, gör ändringarna och klicka sedan på OK. Markera aktiviteten och klicka på Ta bort. 1 Markera aktiviteten och klicka på Duplicera. 2 Ange namnet, konfigurera inställningarna och klicka sedan på OK. 1 Dubbelklicka på aktiviteten. 2 Klicka på fliken Schemalägg, ändra schemat och klicka sedan på OK för att spara aktiviteten. Markera aktiviteten och klicka på Kör nu. Om aktiviteten redan körs (eller är pausad eller uppskjuten) ändras knappen till Visa. Om du vill köra en aktivitet innan ändringarna tillämpas blir du ombedd av Endpoint Security-klient att spara ändringarna. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Så här fungerar speglingar Med en spegling kan du hämta uppdateringsfiler från den första tillgängliga lagringsplatsen för hämtning i lagringsplatslistan till en speglingsplats i nätverket. Det vanligaste sättet att använda aktiviteten är för att spegla innehållet på en av McAfee-hämtningsplatserna på en lokal server. 40 McAfee Endpoint Security 10.2 Produkthandbok

41 Använda Endpoint Security-klient Klientgränssnittsreferens Delade 2 När du har replikerat den McAfee-plats som innehåller uppdateringsfilerna, kan datorerna i ditt nätverk hämta filer från speglingsplatsen. På så sätt kan du uppdatera alla datorer i nätverket, oavsett om det finns Internetåtkomst eller inte. Det är effektivt att använda en replikerad plats eftersom systemen kommunicerar med en server som antagligen finns på närmare håll än en McAfee-Internetplats, och därmed reduceras också åtkomst- och hämtningstiden. Endpoint Security används en katalog för att uppdatera programmet. Därför måste hela katalogstrukturen replikeras när en plats speglas. Klientgränssnittsreferens Delade Gränssnittet hjälpavsnitt ger sammanhangsberoende hjälp för sidor i klientgränssnittet. Innehåll Händelseloggsida Delade Alternativ Gemensamma Aktiviteter Händelseloggsida Visar aktivitet och felsökningshändelser i Händelseloggen. Tabell 2-2 Alternativ Alternativ Antal händelser Visa loggmapp Visa alla händelser Filtrera efter allvarlighetsgrad Filtrera efter modul Definition Visar antal händelser som Endpoint Security har loggats i systemet under de senaste 30 dagarna. Uppdaterar visningen av händelseloggen med nya händelsedata. Öppna mappen som innehåller loggfilerna i Windows Explorer. Tar bort filter. Filtrerar händelser efter allvarlighetsgrad: Varning Visar endast händelser med allvarlighetsgrad nivå 1. Allvarligt och över Visar endast händelser med allvarlighetsgrad nivå 1 och 2. Varning och över Visar endast händelser med allvarlighetsgrad nivå 1, 2 och 3. Meddelande och över Visar endast händelser med allvarlighetsgrad nivå 1, 2, 3 och 4. Filtrerar händelser efter modul: Delade Hotdetektering Brandvägg Webbkontroll Hotinformation Visar endast Delade-händelser. Visar endast Hotdetektering-händelser. Visar endast Brandvägg-händelser. Visar endast Webbkontroll-händelser. Visar endast Hotinformation-händelser. Vilka funktioner som visas i listrutan beror på vilka funktioner som var installerade i systemet när du öppnade händelseloggen. Sök Söker i händelseloggen beträffande en sträng. McAfee Endpoint Security 10.2 Produkthandbok 41

42 2 Använda Endpoint Security-klient Klientgränssnittsreferens Delade Tabell 2-2 Alternativ (fortsättning) Alternativ Poster per sida Föregående sida Nästa sida Sida x av x Definition Väljer antal händelser som ska visas på sidan. (20 poster per sida som standard) Visar föregående sida av händelseloggen. Visar nästa sida av händelseloggen. Väljer en sida i händelseloggen att navigera till. Ange ett sidnummer i fältet för sida och tryck på Enter eller klicka på Gå till för att navigera till sidan. Kolumnrubrik Sorterar händelselistan efter... Datum Datum då händelsen inträffade. Funktion Funktionen som loggade händelsen. Vidtagen åtgärd Åtgärd som Endpoint Security utförde till följd av denna händelse, om någon. Åtgärden har konfigurerats i inställningarna. Tillåten Åtkomst nekad Borttagen Fortsätt Rensad Flyttad Blockerad Skulle blockera Tillät åtkomst till filer. Förhindrade åtkomst till filer. Tog bort fil automatiskt. Tog bort hotet från filen automatiskt. Flyttade filen till mappen Karantän. Blockerade åtkomst till filen. En regel för åtkomstskydd skulle ha blockerat åtkomst till filen om regeln tillämpades. Allvarlighetsgrad Allvarlighetsgrad för händelsen. Allvarliga 1 Större 2 Mindre 3 Varning 4 Information 5 Se även Visa Händelselogg på sidan McAfee Endpoint Security 10.2 Produkthandbok

43 Använda Endpoint Security-klient Klientgränssnittsreferens Delade 2 Delade Alternativ Konfigurera inställningar för Endpoint Security-klient-gränssnitt, egenskydd, aktivitets- och felsökningsloggning samt proxyserver. Tabell 2-3 Alternativ Avsnitt Alternativ Definition Klientgränssnittsläge Fullständig åtkomst Tillåter åtkomst till alla funktioner. (Standard) Standardåtkomst Visar skyddsstatus och tillåter åtkomst till de flesta funktioner, som körning av uppdateringar och genomsökningar. LägetStandardåtkomst kräver ett lösenord för att kunna visa och ändra inställningarna på sidan Inställningar i Endpoint Security-klient. Avinstallation Lås klientgränssnitt Ange administratörens lösenord Kräv lösenord för att avinstallera klienten Ett lösenord krävs för åtkomst till Endpoint Security-klient. För Standardåtkomst och Lås klientgränssnitt anges administratörens lösenord för åtkomst till alla funktioner i Endpoint Security-klient-gränssnittet. Lösenord Anger lösenordet. Bekräfta lösenord Bekräftar lösenordet. Kräver ett lösenord för att avinstallera Endpoint Security-klient och specificerar lösenordet. Standardlösenordet är mcafee. (Inaktiverad som standard) Lösenord Anger lösenordet. Bekräfta lösenord Bekräftar lösenordet. Tabell 2-4 Avancerade alternativ Avsnitt Alternativ Definition Språk för klientgränssnitt Automatiskt Språk Väljer automatiskt språk för Endpoint Security-klient-gränssnittet utifrån språket i klientsystemet. Anger språk för texten i Endpoint Security-klient gränssnitt. I hanterade system åsidosätts principändringar från hanteringsservern av språkändringar som görs från Endpoint Security-klient. Språkändringen tillämpas när du har startat om Endpoint Security-klient. Språket för klienten påverkar inte loggfilerna. Loggfiler visas alltid på det språk som angetts som standard systemspråk. Egenskydd Aktivera egenskydd Skyddar Endpoint Security-systemresurser mot skadliga aktiviteter. McAfee Endpoint Security 10.2 Produkthandbok 43

44 2 Använda Endpoint Security-klient Klientgränssnittsreferens Delade Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Åtgärd Ange vilken åtgärd som ska utföras när skadliga aktiviteter inträffar: Blockera och rapportera Blockerar aktiviteten och rapporterar till McAfee epo. (Standard) Blockera endast Blockerar aktiviteten men rapporterar inte till McAfee epo. Rapportera endast Rapporterar till McAfee epo men blockerar inte aktiviteten. Filer och mappar Registret Processer Undanta dessa processer Förhindrar att filer och mappar i McAfee-systemet ändras eller tas bort. Förhindrar att registernycklar och värden i McAfee-systemet ändras eller tas bort. Förhindrar avbrott i McAfee-processer. Tillåter åtkomst för specificerade processer. Jokertecken stöds. Lägg till Lägger till en process i undantagslistan. Klicka på Lägg till och ange sedan fullständigt namn på resursen, till exempel avtask.exe. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Markera resursen och klicka sedan på Ta bort. Certifikat Anger certifikatalternativ. Tillåt Tillåter leverantören att köra koden med McAfee-processer. Den här inställningen kan orsaka kompatibilitetsproblem och minskad säkerhet. Leverantör Ämne Hash-värde Anger delat namn (Common Name, CN) på den som undertecknade och utfärdare certifikatet. Anger SDN-namn (Signer Distinguished Name) som definierar entiteten som är kopplad till certifikatet. Den här information kan finnas: CN delat namn (Common Name) OU Organisationsenhet O Organisation L Plats ST Region C Landskod Anger hash för den tillhörande offentliga nyckeln. 44 McAfee Endpoint Security 10.2 Produkthandbok

45 Använda Endpoint Security-klient Klientgränssnittsreferens Delade 2 Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Klientloggning Plats för loggfiler Anger platser för loggfiler. Standardplatsen är: <SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs Ange eller klicka på Bläddra för att navigera till en plats. Aktivitetsloggning Aktivera aktivitetsloggning Aktiverar inloggning för all Endpoint Security-aktivitet. Begränsa storleken (MB) för alla aktivitetsloggfiler Begränsar maximal storlek (mellan 1 MB and 999 MB) för alla aktivitetsloggfiler. Standardvärdet är 10 MB. Om informationen i loggfilen överskrider filstorleken skrivs 25 % av de äldsta posterna i loggfilen över med ny data. Inaktivera det här alternativet för att tillåta obegränsad storlek för alla loggfiler. Felsökningsloggning När du aktiverar felsökningsloggning för en modul så aktiveras även felsökningsloggning för funktionerna i modulen Delade, till exempel egenskydd. Metodtips: Aktivera felsökningsloggning under åtminstone det första dygnet vid test- och pilotfaser. Om inga fel uppstår under den här tiden inaktiverar du felsökningsloggningen för att undvika försämrade prestanda i klientsystemen. Aktivera för Hotdetektering Aktivera för brandvägg Aktivera för webbkontroll Aktivera för hotinformation Begränsa storleken (MB) för alla felsökningsloggfiler Aktiverar en utförlig loggning av Hotdetektering och enskilda tekniker: Aktivera för åtkomstskydd Loggar till AccessProtection_Debug.log. Aktivera för utnyttjandeskydd Loggar till ExploitPrevention_Debug.log. Aktivera för genomsökning vid åtkomst Loggar till OnAccessScan_Debug.log. Aktivera för genomsökning på begäran Loggar till OnDemandScan_Debug.log. Aktivering av felsökningsloggning för valfri teknik för Hotdetektering aktiverar även felsökningsloggning för Endpoint Security-klient. Aktiverar utförlig loggning av Brandvägg. Aktiverar utförlig loggning av Webbkontroll. Aktiverar utförlig loggning av Hotinformation-aktivitet. Begränsar varje felsökningsloggfils maximala storlek (mellan 1 MB and 999 MB). Standardvärdet är 50 MB. Om informationen i loggfilen överskrider filstorleken skrivs 25 % av de äldsta posterna i loggfilen över med ny data. Inaktivera det här alternativet för att tillåta obegränsad storlek för alla loggfiler. McAfee Endpoint Security 10.2 Produkthandbok 45

46 2 Använda Endpoint Security-klient Klientgränssnittsreferens Delade Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Händelseloggning Skicka händelser till McAfee epo Skickar alla händelser som loggas i Händelseloggen i Endpoint Security-klient till McAfee epo. Detta alternativ är endast tillgängligt i system som hanteras av McAfee epo. Proxyserver för McAfee GTI Logga händelser i Windows programlogg Allvarlighetsgrad Händelser för hotdetektering att logga Händelser för brandvägg som ska loggas Webbkontrollhändelser som ska loggas Hotinformationshändelser som ska loggas Ingen proxyserver Använd systemproxyinställningar Skickar alla händelser som loggas ievent Log i Endpoint Security-klienttill Windows programlogg. Windows programlogg är tillgänglig via Windows Loggboken Windows-loggar Program. Anger allvarlighetsgraden för händelser som ska loggas i Händelseloggen i Endpoint Security-klient: Inga Skickar inga varningar Endast avisering Skickar endast varningsnivå 1. Allvarlig och avisering Skickar varningsnivå 1 och 2. Varning, allvarlig och avisering Skickar varningsnivå 1 3. Allt utom information Skickar varningsnivå 1 4. Alla Skickar varningsnivå Varning 2 Allvarliga 3 Varning 4 Meddelande 5 Information Anger allvarlighetsgraden för händelser i varje Hotdetektering som ska loggas: Åtkomstskydd Loggas i AccessProtection_Activity.log. Aktivering av händelseloggning av åtkomstskydd aktiverar även händelseloggning av egenskydd. Utnyttjandeskydd Loggas i ExploitPrevention_Activity.log. Genomsökning vid åtkomst Logs to OnAccessScan_Activity.log. Genomsökning på begäran Loggas i OnAccessScan_Activity.log. Anger allvarlighetsgrad för Brandvägg som ska loggas. Anger allvarlighetsgrad för Webbkontroll som ska loggas. Anger allvarlighetsgrad för Hotinformation-händelser som ska loggas. Anger att de hanterade systemen ska hämta sin McAfee GTI-ryktesinformation direkt från Internet och inte via en proxyserver. (Standard) Anger att proxyinställningar från klientsystemet ska användas och (valfritt) att HTTP-proxyautentisering ska aktiveras. 46 McAfee Endpoint Security 10.2 Produkthandbok

47 Använda Endpoint Security-klient Klientgränssnittsreferens Delade 2 Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Konfigurera proxyserver Anpassar proxyinställningar. Adress Specificerar IP-adressen eller HTTP-proxyserverns fullständiga domännamn. Port Begränsar åtkomst via angiven port. Undanta dessa adresser Använd inte HTTP-proxyservern för webbplatser eller IP-adresser som börjar med de angivna posterna. Klicka på Lägg till, ange sedan adressnamnet som ska undantas. Aktivera HTTP-proxyautentisering Anger att HTTP-proxyservern kräver autentisering. (Detta alternativ är endast tillgängligt när du väljer en HTTP-proxyserver.) Ange autentiseringsuppgifter för HTTP-proxy: Användarnamn Specificerar användarkontot med behörighet till HTTP-proxyservern. Lösenord Anger lösenordet för Användarnamn. Bekräfta lösenord Bekräftar angivet lösenord. Standarduppdatering för klient Aktivera knappen Uppdatera nu i klienten Visar eller döljer knappen på huvudsidan för Endpoint Security-klient. Klicka på den här knappen för att manuellt kontrollera och hämta uppdateringar för innehållsfiler och andra programvarukomponenter på klientsystemet. Att uppdatera Anger vad som ska uppdateras när man klickar på -knappen. Säkerhetsinnehåll, snabbkorrigeringar och korrigeringar Uppdaterar allt säkerhetsinnehåll (inklusive motor, AMCore och innehåll för utnyttjandeskydd), samt snabbkorrigeringar och korrigeringar till de senaste versionerna. Säkerhetsinnehåll Uppdaterar endast säkerhetsinnehåll. (Standard) Snabbkorrigeringar och korrigeringar Uppdaterar endast snabbkorrigeringar och korrigeringar. Källplatser för uppdateringar Konfigurerar webbplatser som uppdateringar för innehållsfiler och programvarukomponenter ska hämtas från. Du kan aktivera och inaktivera standardkällplatsen för säkerhetskopiering McAfeeHttp och hanteringsservern (i hanterade system) men du kan inte ändra eller ta bort dem på andra sätt. Visar elementen som kan flyttas i listan. Välj element och dra och släpp sedan elementet till den nya placeringen. En blå linje visas mellan elementen där du kan släppa ned elementen som du flyttar. Lägg till Lägger till en webbplats i listan över källplatser. McAfee Endpoint Security 10.2 Produkthandbok 47

48 2 Använda Endpoint Security-klient Klientgränssnittsreferens Delade Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Dubbelklicka på ett objekt Ta bort Importera Ändra det valda objektet. Tar bort den markerade webbplatsen från listan över källplatser. Importerar platser från en fil i källplatslistan. Markera filen som ska importeras och klicka på OK. Platslistfilen ersätter den befintliga källplatslistan. Proxyserver för källplatser Exportera alla Ingen proxyserver Använd systemproxyinställningar Konfigurera proxyserver Aktivera HTTP/ FTP-proxyautentisering Exporterar källplatslistan till SiteList.xml-filen. Välj var källplatslistan ska sparas och klicka sedan på OK. Anger att de hanterade systemen hämtar sin McAfee GTI-ryktesinformation direkt från Internet och inte via en proxyserver. (Standard) Anger att proxyinställningar från klientsystemet ska användas och eventuellt att HTTP- eller FTP-proxyautentisering ska aktiveras. Anpassar proxyinställningar. HTTP/FTP-adress Anger DNS, IPv4 eller IPv6-adresser för HTTP- eller FTP-proxyservern. Port Begränsar åtkomst via angiven port. Undanta dessa adresser Anger adresserna för Endpoint Security-klient-system där proxyservern inte ska användas för att hämta McAfee GTI-klassificeringar. Klicka på Lägg till, ange sedan adressnamnet som ska undantas. Anger att HTTP- eller FTP-proxyservern kräver autentisering. (Detta alternativ är endast tillgängligt när du har valt en HTTP- eller FTP-proxyserver.) Ange autentiseringsuppgifter för proxy: Användarnamn Anger användarkontot med behörighet till proxyservern. Lösenord Anger lösenordet för angivet Användarnamn. Bekräfta lösenord Bekräftar angivet lösenord. Se även Skydda Endpoint Security-resurser på sidan 31 Konfigurerar inställningar för loggning på sidan 32 Styra åtkomst till klientgränssnittet på sidan 33 Konfigurera proxyserverinställningar för McAfee GTI på sidan 34 Konfigurera standardbeteende för uppdateringar på sidan 37 Konfigurera källplatserna för uppdateringar på sidan 35 Lägg till webbplats eller Redigera webbplats på sidan McAfee Endpoint Security 10.2 Produkthandbok

49 Använda Endpoint Security-klient Klientgränssnittsreferens Delade 2 Lägg till webbplats eller Redigera webbplats Lägger till eller redigerar platser i listan över källplatser. Tabell 2-5 Alternativdefinitioner Alternativ Namn Aktivera Hämta filer från HTTP-lagringsplats Definition Visar namnet för källplatsen som innehåller uppdateringsfilen. Aktiverar eller inaktiverar användning av källplatsen för hämtning av uppdateringsfiler. Anger var filer ska hämtas från. Hämtar filer från angiven HTTP-lagringsplats. HTTP erbjuder uppdatering oberoende av nätverkssäkerhet, men stöder högre nivåer av samtidiga anslutningar än FTP. URL Använd autentisering DNS-namn - Visar att URL:en är ett domännamn. IPv4 - Visar att URL:en är en IPv4-adress. IPv6 - Visar att URL:en är en IPv6-adress. - Anger adressen för HTTP-servern och mappen där uppdateringsfilerna finns. Port - Anger portnummer för HTTP-servern. Väljer att använda autentisering och anger autentiseringsuppgifterna för åtkomst till mappen med uppdateringsfilerna. Användarnamn Anger användarkontot med läsbehörighet till mappen med uppdateringsfilerna. Lösenord Anger lösenordet för angivet Användarnamn. Bekräfta lösenord Bekräftar angivet lösenord. McAfee Endpoint Security 10.2 Produkthandbok 49

50 2 Använda Endpoint Security-klient Klientgränssnittsreferens Delade Tabell 2-5 Alternativdefinitioner (fortsättning) Alternativ FTP-lagringsplats Definition Hämtar filer från angiven FTP-lagringsplats. En FTP-plats erbjuder flexibilitet vid uppdatering utan att behöva rätta sig efter nätverksäkerhetsbehörighet. Eftersom FTP har varit mindre utsatt för attacker med oönskad kod än HTTP, erbjuder det eventuellt bättre tolerans. URL Använd anonym inloggning DNS-namn - Visar att URL:en är ett domännamn. IPv4 - Visar att URL:en är en IPv4-adress. IPv6 - Visar att URL:en är en IPv6-adress. ftp:// - Anger adressen för FTP-servern och mappen där uppdateringsfilerna finns. Port - Anger portnummer för FTP-servern. Väljer att använda anonym FTP för åtkomst till mappen med uppdateringsfilerna. Avmarkera det här alternativet för att ange autentiseringsuppgifter för åtkomst. Användarnamn Anger användarkontot med läsbehörighet till mappen med uppdateringsfilerna. Lösenord Anger lösenordet för angivet Användarnamn. Bekräfta lösenord Bekräftar angivet lösenord. UNC-sökväg eller Lokal sökväg Hämtar filer från angiven UNC eller lokal sökväg/plats. En UNC-plats är snabbast och enklast att konfigurera. UNC-uppdateringar mellan domäner kräver säkerhetsbehörighet för varje domän, vilket medför att konfigurering av uppdatering är mer krävande. Sökväg Använd inloggat konto UNC-sökväg Anger sökvägen med UNC-notation (\\servernamn \sökväg\). Lokal sökväg Anger sökvägen för en mapp på en lokal eller nätverksenhet. Åtkomst till uppdateringsfilerna med hjälp av inloggat konto. Detta konto måste ha läsbehörighet till mapparna som innehåller uppdateringsfilerna. Avmarkera det här alternativet för att ange autentiseringsuppgifter för åtkomst. Domän Anger domänen för det angivna användarkontot. Användarnamn Anger användarkontot med läsbehörighet till mappen med uppdateringsfilerna. Lösenord Anger lösenordet för angivet Användarnamn. Bekräfta lösenord Bekräftar angivet lösenord. Gemensamma Aktiviteter Konfigurera och schemalägg Endpoint Security-klient-aktiviteter. I hanterade system kan du inte starta, stoppa eller ta bort administratörsaktiviteter. 50 McAfee Endpoint Security 10.2 Produkthandbok

51 Använda Endpoint Security-klient Klientgränssnittsreferens Delade 2 Tabell 2-6 Alternativ Avsnitt Alternativ Aktiviteter Dubbelklicka på ett objekt Lägg till Delete (Ta bort) Definition Visar aktuella, definierade och schemalagda aktiviteter. Namn Namn på schemalagd aktivitet. Funktion Modul eller funktion som aktiviteten är kopplad till. Schema När aktiviteten är schemalagd att köras och om den är inaktiverad. I hanterade system kan exempelvis aktivitetsschemat för Standarduppdatering för klient vara inaktiverat av administratören. Status Status för den senaste gången aktiviteten kördes: (ingen status) Kör aldrig Kör Aktuell körning eller återupptagen Uppehåll Pausad av användaren (såsom en genomsökning) Uppskjuten Uppskjuten av användaren (såsom en genomsökning) Avslutad Avslutad utan fel Avslutad (fel) Avslutad med fel Misslyckades Slutföring misslyckades Senaste körning Datum och tidpunkt för den senaste körningen av aktiviteten. Ursprung Ursprung för aktiviteten: McAfee Från McAfee. Administratör (Endast hanterade system) Definierad av administratören. Användare Definierad iendpoint Security-klient. En del aktiviteter kan inte ändras eller tas bort, beroende på ursprunget. Exempel: Aktiviteten Standarduppdatering för klient kan endast ändras i självhanterade system. Administratörsaktiviteter som definieras av administratören i hanterade system kan inte ändras eller tas bort i Endpoint Security-klient. Ändra det valda objektet. Skapar en genomsökning, uppdatering eller spegling. Tar bort den valda aktiviteten. McAfee Endpoint Security 10.2 Produkthandbok 51

52 2 Använda Endpoint Security-klient Klientgränssnittsreferens Delade Tabell 2-6 Alternativ (fortsättning) Avsnitt Alternativ Duplicera Kör nu Definition Skapar en kopia av den valda aktiviteten. Kör den markerade aktiviteten. Om aktiviteten redan körs (eller är pausad eller uppskjuten) ändras knappen till Visa. Snabbgenomsökning Öppnar dialogrutan Snabbgenomsökning och startar genomsökningen. Fullständig genomsökning Öppnar dialogrutan Fullständig genomsökning och startar genomsökningen. Anpassad genomsökning Öppnar dialogrutan Anpassad genomsökning och startar genomsökningen. Standarduppdatering för klient Öppnar dialogrutan Uppdatering och startar uppdateringen. Uppdatering Öppnar dialogrutan Anpassad uppdatering och startar uppdateringen. Spegla Öppnar dialogrutan Spegla och startar lagringsplatsreplikeringen. Om du vill köra en aktivitet innan ändringarna tillämpas blir du ombedd av Endpoint Security-klient att spara ändringarna. Se även Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 58 Uppdatera skydd och programvara manuellt på sidan 23 Konfigurera, schemalägga och köra speglingar på sidan 40 Lägg till aktivitet på sidan 52 Lägg till aktivitet Lägger till anpassade genomsökningar, speglingar eller uppdateringsaktiviteter. Alternativ Namn Välj aktivitetstyp Definition Anger namnet på aktiviteten. Anger aktivitetstypen: Anpassad genomsökning Konfigurerar och schemalägger anpassade genomsökningar, som daliga genomsökningar av minnet. Spegla Replikerar det uppdaterade innehållet och motorfiler från den första tillgängliga lagringsplatsen till en speglingsplats i nätverket. Uppdatera Konfigurerar och schemalägger uppdateringar av innehållsfiler, genomsökningsmotor eller produkt. Se även Lägg till genomsökningsaktivitet eller Redigera genomsökningsaktivitet på sidan 53 Lägg till spegling eller Redigera spegling på sidan 54 Lägg till uppdateringsaktivitet eller Redigera uppdateringsaktivitet på sidan McAfee Endpoint Security 10.2 Produkthandbok

53 Använda Endpoint Security-klient Klientgränssnittsreferens Delade 2 Lägg till genomsökningsaktivitet eller Redigera genomsökningsaktivitet Schemalägg aktiviteten Fullständig genomsökning ellersnabbgenomsökning eller konfigurera och schemalägg anpassade genomsökningsaktiviteter som körs i klientsystemet. Tabell 2-7 Alternativ Flik Inställningar Schema Alternativ Definition Namn Alternativ Konfigurerar inställningarna för genomsökningsaktiviteter. Anger namnet på aktiviteten. Konfigurerar inställningarna för Genomsökning vid åtkomst. Det går endast att konfigurera inställningar för Fullständig genomsöknings- och Snabbgenomsökningsaktiviteter i självhanterade system. Schemalägger aktiviteten att köras vid en angiven tidpunkt. Se även Konfigurera, schemalägga och köra genomsökningar på sidan 90 Konfigurera Genomsökning på begäran inställningar på sidan 86 Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 58 Hotdetektering Genomsökning på begäran på sidan 111 Schema på sidan 54 Lägg till uppdateringsaktivitet eller Redigera uppdateringsaktivitet Schemalägger aktiviteten Standarduppdatering för klient eller konfigurerar och schemalägger anpassade uppdateringsaktiviteter som körs i klientsystemet. Tabell 2-8 Alternativ Flik Inställningar Schema Alternativ Definition Namn Att uppdatera Konfigurerar inställningar i uppdateringsaktiviteten. Anger namnet på aktiviteten. Anger vad som ska uppdateras: Säkerhetsinnehåll, snabbkorrigeringar och korrigeringar Säkerhetsinnehåll Snabbkorrigeringar och korrigeringar Det går endast att konfigurera dessa inställningar i självhanterade system. Schemalägger aktiviteten att köras vid en angiven tidpunkt. Aktiviteten Standarduppdatering för klient körs varje dag vid midnatt och upprepas var fjärde timme tills 23:59 som standard. Se även Delade Alternativ på sidan 43 Konfigurera standardbeteende för uppdateringar på sidan 37 Konfigurera, schemalägga och uppdatera aktiviteter på sidan 38 Schema på sidan 54 McAfee Endpoint Security 10.2 Produkthandbok 53

54 2 Använda Endpoint Security-klient Klientgränssnittsreferens Delade Lägg till spegling eller Redigera spegling Konfigurera och schemalägg speglingar. Tabell 2-9 Alternativ Flik Alternativ Definition Inställningar Namn Anger namnet på aktiviteten. Schema Se även Speglingsplats Ange i vilken mapp lagringsplatsreplikeringen ska sparas. Konfigurera, schemalägga och köra speglingar på sidan 40 Schema på sidan 54 Schema Schemalägger aktiviteten att köras vid en angiven tidpunkt. Schemalägg genomsökningar, uppdateringar och speglingar. Tabell 2-10 Alternativ Kategori Alternativ Definition Schema Aktivera schema Schemalägger aktiviteten att köras vid en angiven tidpunkt. (aktiverad som standard) Detta alternativ måste vara markerat innan du kan schemalägga aktiviteten. Schematyp Frekvens Kör på Kör i Kör bara den här aktiviteten en gång om dagen Fördröj aktiviteten med Anger intervallen för att köra aktiviteten. Dagligen Körs varje dag vid en specifik tidpunkt, återkommande mellan två tidpunkter på dagen eller enligt en kombination av båda. Veckovis Kör aktiviteten varje vecka på: Specifika veckodagar, alla veckodagarna, på helger, eller en kombination av dagar Specifik tidpunkt de valda dagarna eller återkommande mellan två tidpunkter de valda dagarna Månatligen Kör aktiviteten varje månad antingen på: En angiven dag i månaden Angivna dagar i veckan - första, andra, tredje, fjärde eller den sista Vid ett tillfälle Startar aktiviteten den dag och tidpunkt som du anger. Vid systemstart Kör aktiviteten när systemet startas. Vid inloggning Startar aktiviteten nästa gång användaren loggar in i systemet. Kör omedelbart Startar aktiviteten omedelbart. Anger frekvensen för aktiviteterna Dagligen och Veckovis. Anger specifika veckodagar för aktiviteterna Veckovis och Månatligen. Anger månader för året i aktiviteterna Månatligen. Kör aktiviteten en gång om dagen i aktiviteternavid systemstart och Vid inloggning. Anger hur många minuters fördröjning det är innan aktiviteterna Vid systemstart och Vid inloggning körs. 54 McAfee Endpoint Security 10.2 Produkthandbok

55 Använda Endpoint Security-klient Klientgränssnittsreferens Delade 2 Tabell 2-10 Alternativ (fortsättning) Kategori Alternativ Startdatum Slutdatum Starttid Definition Anger startdatum för aktiviteterna Dagligen, Veckovis, Månatligen och En gång. Anger slutdatum för aktiviteterna Dagligen, Veckovis och Månatligen. Anger tiden när aktiviteten ska starta. Kör en gång vid den tidpunkten Kör aktiviteten en gång vid angiven starttid. Kör vid tidpunkten och upprepa fram till: Kör aktiviteten vid angiven starttid. Då körs aktiviteten varje gång på angivna timmar/minuter enligt Starta aktivitet var till den angivna sluttiden. Kör vid tidpunkten och upprepa sedan i Kör aktiviteten vid angiven starttid. Då körs aktiviteten varje gång på angivna timmar/minuter enligt Starta aktivitet var tills den har körts i angiven tid. Alternativ Konto Kör aktiviteten enligt UTC-tid (Coordinated Universal Time) Avbryt aktiviteten om den körs längre än Styr starttiden slumpmässigt för aktiviteten efter Kör saknad aktivitet Användarnamn Lösenord Bekräfta lösenord Domän Anger om aktivitetsschemat körs enligt det hanterade systemets lokala tid eller enligt UTC-tid (Coordinated Universal Time). Avbryter aktiviteten efter angivet antal timmar och minuter. Om aktiviteten avbryts innan den har slutförts, återupptas aktiviteten där den avslutades nästa gång som den startas. Anger att denna aktivitet körs slumpmässigt inom det tidsintervall som anges. Annars startar aktiviteten vid den schemalagda tidpunkten oavsett om andra klientaktiviteter schemalagts att köras vid samma tid. Kör aktiviteten efter det antal minuter som angetts i Fördröj start med vid omstart av det hanterade systemet. Anger de autentiseringsuppgifter som används för att köra aktiviteten. Om inga autentiseringsuppgifter har angivits körs aktiviteten som det lokala systemadministratörskontot. Anger användarkonto. Anger lösenordet för det angivna användarkontot. Bekräftar lösenordet för det angivna användarkontot. Anger domänen för det angivna användarkontot. Se även Lägg till genomsökningsaktivitet eller Redigera genomsökningsaktivitet på sidan 53 Lägg till uppdateringsaktivitet eller Redigera uppdateringsaktivitet på sidan 53 Lägg till spegling eller Redigera spegling på sidan 54 McAfee Endpoint Security 10.2 Produkthandbok 55

56 2 Använda Endpoint Security-klient Klientgränssnittsreferens Delade 56 McAfee Endpoint Security 10.2 Produkthandbok

57 3 Använda 3 Hotdetektering Hotdetektering söker efter virus, spionprogram, oönskade program och andra hot genom att genomsöka objekt på din dator. Innehåll Genomsök datorn efter skadlig programvara Hantera hotavkänningar Hantera objekt som satts i karantän Hantera Hotdetektering Klientgränssnittsreferens Hotdetektering Genomsök datorn efter skadlig programvara Genomsök datorn efter skadlig programvara genom att välja alternativ i Endpoint Security-klient eller Windows Explorer. Åtgärder Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 58 Använd Endpoint Security-klient för att göra en manuell Fullständig genomsökning eller Snabbgenomsökning på din dator. Genomsöka en fil eller mapp på sidan 60 Utför en omedelbar genomsökning av en enskild fil eller mapp som du misstänker är infekterad genom att högerklicka i Windows Explorer. Se även Typer av genomsökning på sidan 57 Typer av genomsökning Endpoint Security har två typer av genomsökningar: genomsökningar vid åtkomst och genomsökningar på begäran. Genomsökning vid åtkomst Administratören konfigurerar genomsökningar vid åtkomst som ska köras på hanterade datorer. För självhanterade datorer, konfigurera genomsökning vid åtkomst på sidan Inställningar. När du öppnar filer, mappar eller program stoppas åtgärden av genomsökningen vid åtkomst som söker igenom objektet baserat på de kriterier som definierats i inställningarna. Genomsökning på begäran McAfee Endpoint Security 10.2 Produkthandbok 57

58 3 Använda Hotdetektering Genomsök datorn efter skadlig programvara Manuell Administratören (eller användare i självhanterade system) konfigurerar de fördefinierade eller anpassade genomsökningar på begäran som kan köras i hanterade system. Kör en fördefinierad genomsökning på begäran när som helst via Endpoint Security-klient genom att klicka på genomsökningstyp: och välja en Snabbgenomsökning gör en snabb kontroll av de delar av systemet som är mest känsliga för infektioner. Fullständig genomsökning gör en noggrann kontroll av alla delar av systemet. (Rekommenderas om du misstänker att datorn är infekterad.) Sök igenom en enskild fil eller mapp när som helst via Windows Explorer genom att högerklicka på filen eller mappen och markera Sök efter hot i snabbmenyn. Konfigurera och köra en anpassad genomsökning på begäran som administratör via Endpoint Security-klient: 1 Välj Inställningar Delade Aktiviteter. 2 Markera aktiviteten som ska köras. 3 Klicka påkör nu. Schemalagd Administratören (eller användaren, för självhanterade system) konfigurerar och schemalägger genomsökningar på begäran som ska köras på datorer. När en genomsökning på begäran ska starta, visar Endpoint Security en genomsökningsfråga längst ned på skärmen. Du kan starta genomsökningen meddetsamma eller senarelägga den, om detta har konfigurerats. Konfigurera och schemalägg fördefinierade genomsökningar på begäran, Snabbgenomsökning och Fullständig genomsökning: 1 Inställningar Genomsökning på begäran fliken Fullständig genomsökning eller flikensnabbgenomsökning Konfigurerar genomsökningar på begäran. 2 Inställningar Common Aktiviteter - scheman, genomsökningar på begäran. Se även Konfigurera, schemalägga och köra genomsökningar på sidan 90 Svara på en genomsökningsfråga på sidan 21 Kör en Fullständig genomsökning eller en Snabbgenomsökning Använd Endpoint Security-klient för att göra en manuell Fullständig genomsökning eller Snabbgenomsökning på din dator. Innan du börjar Modulen Hotdetektering måste installeras. Funktionen hos Fullständig genomsökning och Snabbgenomsökning beror på hur inställningarna har konfigurerats. Med administratörsbehörighet går det att ändra och schemalägga dessa genomsökningar i inställningarna för Genomsökning på begäran. 58 McAfee Endpoint Security 10.2 Produkthandbok

59 Använda Hotdetektering Genomsök datorn efter skadlig programvara 3 Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på. 3 På sidan Genomsök system klickar du på Sök nu för att välja den genomsökning som ska köras. Fullständig genomsökning Snabbgenomsökning Gör en noggrann kontroll av alla delar av systemet, vilket är en rekommendation om du misstänker att datorn är infekterad. Gör en snabb kontroll av de delar av systemet som är mest känsliga för infektioner. Om en genomsökning redan pågår, ändras knappen Sök nu till Visa genomsökning. Eventuellt ser du även knappen Visa avkänningar i genomsökning vid åtkomst beroende på hur inställningarna har konfigurerats och om ett hot har identifierats. Klicka på den här knappen för att öppna sidan Genomsökning vid åtkomst för att hantera avkänningar när som helst. Endpoint Security-klient visar status för genomsökningen på en ny sida. Metodtips: Datum då innehåll för AMCore skapades visar när innehållet uppdaterades senast. Om innehållet är mer än två dagar ska du uppdatera skyddet innan genomsökningen körs. 4 Klicka på knapparna högst upp på statussidan för att kontrollera genomsökningen. Pausa genomsökningen Återuppta genomsökningen Avbryt genomsökningen Gör ett uppehåll i genomsökningen innan den är slutförd. Återupptar genomsökningen efter uppehållet. Avbryter en genomsökning som körs. 5 När genomsökningen är slutförd visas antalet genomsökta filer, tiden som har gått och eventuella avkänningar på sidan. Avkänningsnamn Typ Fil Vidtagen åtgärd Här visas namnet på den upptäckta skadliga programvaran. Visar typ av hot. Identifierar den infekterade filen. Beskriver den senaste säkerhetsåtgärden som vidtagits för den infekterade filen: Åtkomst nekad Rensad Borttagen Inget Avkänningslistan för genomsökning på begäran rensas när nästa genomsökning på begäran startar. 6 Välj en avkänning i tabellen, klicka därefter på Rensa eller Ta bort för att rensa eller ta bort den infekterade filen. Dessa åtgärder är eventuellt inte tillgängliga, beroende på inställningarna för typ av hot och genomsökningen. 7 Klicka på Stäng för att stänga sidan. McAfee Endpoint Security 10.2 Produkthandbok 59

60 3 Använda Hotdetektering Genomsök datorn efter skadlig programvara Se även Typer av genomsökning på sidan 57 Avkänningsnamn på sidan 63 Uppdatera skydd och programvara manuellt på sidan 23 Hantera hotavkänningar på sidan 61 Konfigurera Genomsökning på begäran inställningar på sidan 86 Konfigurera, schemalägga och köra genomsökningar på sidan 90 Genomsöka en fil eller mapp Utför en omedelbar genomsökning av en enskild fil eller mapp som du misstänker är infekterad genom att högerklicka i Windows Explorer. Innan du börjar Modulen Hotdetektering måste installeras. Funktionen hos Snabbgenomsökningen beror på hur inställningarna har konfigurerats. Med administratörsbehörighet går det att ändra dessa genomsökningar i inställningarna för Genomsökning på begäran. Åtgärd 1 Högerklicka på filen eller mappen i Windows Explorer och markera Sök efter hot i snabbmenyn. Endpoint Security-klient visar status för genomsökningen på sidan Sök efter hot. 2 Klicka på knapparna högst upp på sidan för att kontrollera genomsökningen. Pausa genomsökningen Återuppta genomsökningen Avbryt genomsökningen Gör ett uppehåll i genomsökningen innan den är slutförd. Återupptar genomsökningen efter uppehållet. Avbryter en genomsökning som körs. 3 När genomsökningen är slutförd visas antalet genomsökta filer, tiden som har gått och eventuella avkänningar på sidan. Avkänningsnamn Typ Fil Vidtagen åtgärd Här visas namnet på den upptäckta skadliga programvaran. Visar typ av hot. Identifierar den infekterade filen. Beskriver den senaste säkerhetsåtgärden som vidtagits för den infekterade filen: Åtkomst nekad Rensad Borttagen Inget Avkänningslistan för genomsökning på begäran rensas när nästa genomsökning på begäran startar. 4 Välj en avkänning i tabellen, klicka därefter på Rensa eller Ta bort för att rensa eller ta bort den infekterade filen. Dessa åtgärder är eventuellt inte tillgängliga, beroende på inställningarna för typ av hot och genomsökningen. 5 Klicka på Stäng för att stänga sidan. 60 McAfee Endpoint Security 10.2 Produkthandbok

61 Använda Hotdetektering Hantera hotavkänningar 3 Se även Typer av genomsökning på sidan 57 Avkänningsnamn på sidan 63 Konfigurera Genomsökning på begäran inställningar på sidan 86 Hantera hotavkänningar Det går att hantera hotavkänningar från Endpoint Security-klient beroende på hur inställningarna har konfigurerats. Innan du börjar Modulen Hotdetektering måste installeras. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Genomsök nu för att öppna sidan för Genomsök system. 3 Från Genomsökning vid åtkomst, klicka på Visa avkänningar. Det här alternativet är inte tillgängligt om listan inte innehåller några avkänningar eller om alternativet användarmeddelanden är inaktiverat. Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. 4 Från sidan Genomsökning vid åtkomst, välj ett av dessa alternativ. Rensa Försöker rensa objektet (fil, registerpost) och lägger den i karantän. Endpoint Security använder information från innehållsfilerna för att rensa filer. Om innehållsfilen inte har någon information för att rensa filer eller om filen har skadats så mycket att den inte går att reparera, nekas åtkomst till filen av genomsökningen. I det här fallet rekommenderar McAfee att du tar bort filen från karantänen och återställer den från en virusfri säkerhetskopia. Ta bort Ta bort post Stäng Ta bort objektet som innehåller hot. Tar bort posten från avkänningslistan. Stänger sidan för genomsökning. Om en åtgärd inte kan användas för hotet är motsvarande menyalternativ inaktiverat. Exempel: Alternativet Rensa är inte tillgängligt om filen redan har tagits bort. Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. McAfee Endpoint Security 10.2 Produkthandbok 61

62 3 Använda Hotdetektering Hantera objekt som satts i karantän Hantera objekt som satts i karantän Endpoint Security sparar objekt som har identifierats som hot i karantän. Du kan vidta åtgärder för objekt i karantän. Innan du börjar Modulen Hotdetektering måste installeras. Du kan exempelvis återställa ett objekt när du har laddat ned en senare version av innehållsfilen som innehåller information som rensar bort hotet. Objekt i karantän kan vara olika typer av genomsökta objekt, såsom filer, register eller något som Endpoint Security genomsöker efter skadlig programvara. Åtgärd Om du behöver hjälp, gå till menyn Åtgärd och välj Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Karantän till vänster på sidan. Sidan visar objekt i karantän. Om Endpoint Security-klient inte kan nå karantänhanteraren, visas ett kommunikationsfelmeddelande. Om detta är fallet, starta om ditt system för att visa sidan för Karantän. 62 McAfee Endpoint Security 10.2 Produkthandbok

63 Använda Hotdetektering Hantera objekt som satts i karantän 3 3 Markera ett objekt i den övre rutan för att visa informationen i den nedre rutan. För att... Ändra den relativa storleken på rutorna. Sortera objekten i tabellen efter hotnamn eller typ. Gör så här Klicka och dra sash-widgeten mellan rutorna. Klicka på kolumnrubriken i tabellen. 4 Utför åtgärderna på de markerade objekten på sidan för Karantän. För att... Ta bort objekt från karantänen. Följ dessa steg Välj objekt, klicka på Ta bort, klicka därefter på Ta bort igen för att bekräfta. Det går inte att återställa borttagna objekt. Återställa objekt från karantänen. Välj objekt, klicka på Återställ, klicka därefter på Återställ igen för att bekräfta. Endpoint Security återställer objekten till ursprungsplatsen och tar bort dem från karantänen. Om ett objekt fortfarande är ett giltigt hot flyttar Endpoint Security tillbaka det till karantänen nästa gång som objektet öppnas. Sök igenom objekt igen. Visa ett objekt i händelseloggen. Få mer information om ett hot. Markera objekt och klicka på Genomsök igen. Du kan exempelvis söka igenom ett objekt igen när du har uppdaterat skyddet. Om objektet inte längre är ett hot kan du återställa objektet till ursprungsplatsen och ta bort det från karantänen. Markera ett objekt och klicka sedan på länken Visa i händelselogg i informationsfönstret. Sidan Händelselogg öppnas med händelsen för det aktuella objektet markerad. Markera ett objekt och klicka sedan på länken Mer information om det här hotet i informationsfönstret. Ett nytt webbläsarfönster öppnas för McAfee Labs-webbplatsen med mer information om hotet som orsakade att objektet sattes i karantän. Se även Avkänningsnamn på sidan 63 Göra en ny genomsökning av objekt i karantän på sidan 65 Öppna Endpoint Security-klient på sidan 19 Uppdatera skydd och programvara manuellt på sidan 23 Avkänningsnamn Karantänen rapporterar hot efter avkänningsnamn. Avkänningsnamn Reklamprogram Uppringningsprogram Beskrivning Genererar annonsintäkter genom att visa reklam som är riktat mot användaren. Reklamprogram ger intäkter från leverantören eller leverantörens partner. Vissa typer av reklamprogram kan samla in eller överföra personlig information. Omdirigerar internetanslutningar till en part annan än användarens standardinternetleverantör. Uppringningsprogram är utvecklade att lägga till anslutningsavgifter avsedda för en innehållsleverantör, leverantör eller annan tredje part. McAfee Endpoint Security 10.2 Produkthandbok 63

64 3 Använda Hotdetektering Hantera objekt som satts i karantän Avkänningsnamn Skämt Registreringsprogram för tangenttryckningar Lösenordsknäckare Eventuellt oönskade program Verktyg för fjärradministration Spionprogram Smygprogram Trojanska hästar Virus Beskrivning Gör anspråk på att skada en dator men har ingen skadlig nyttolast eller funktion. Skämt påverkar inte säkerheten eller sekretessen, men kan skrämma eller irritera användaren. Snappar upp data medan användaren matar in den i det avsedda mottagarprogrammet. Trojanska hästar och registreringsprogram för tangenttryckningar från eventuellt oönskade program kan fungera exakt likadant. McAfee känner av båda typerna och förhindrar sekretessintrång. Gör det möjligt för användaren eller administratören att återställa förlorade eller bortglömda lösenord för konton eller datafiler. Om en angripare använder detta kan de få tillgång till konfidentiell information och utgör ett hot mot säkerheten eller sekretessen. Innehåller ofta legitim programvara (icke-skadlig programvara) som kan ändra tillståndet för säkerheten eller sekretessen i systemet. Den här programvaran kan hämtas tillsammans med ett program som användaren vill installera. Den kan innehålla spionprogram, reklamprogram, registreringsprogram för tangenttryckningar, lösenordsknäckare, hackarverktyg och uppringningsprogram. Ger en administratör fjärrkontroll av ett system. Dessa verktyg utgör ett betydelsefullt säkerhetshot i händerna på en angripare. Överför personlig information till en tredje part utan användarens vetskap eller medgivande. Spionprogram utnyttjar infekterade datorer i kommersiellt syfte genom att: Leverera icke begärd reklam i popup-fönster Stjäla personlig information, inklusive finansiell information, till exempel kreditkortnummer Övervaka webbläsaraktiviteter i marknadsföringssyfte Routning av HTTP-begäranden till reklamsidor Se även Eventuellt oönskade program. En typ av virus som försöker undvika avkänning från antivirusprogram. De kallas även interrupt interceptor på engelska. Många smygprogramvirus genskjuter begäran om diskåtkomst. När ett antivirusprogram försöker att läsa filer eller startsektorer för att hitta virus kan viruset visa en ren" avbild av det begärda objektet. Andra virus döljer den verkliga storleken på en infekterad fil och visar filens storlek innan den blev infekterad. Skadlig programvara som låtsas att de är ofarliga program. En trojansk häst replikerar sig inte men kan skada eller äventyra säkerheten på din dator. Vanligtvis infekteras en dator: När en användare öppnar en bilaga, som innehåller en trojan, i en e-post. När en användare hämtar en trojan från en webbplats. Peer to peer-nätverk. Eftersom de inte replikerar sig betraktas inte trojanska hästar som virus. Klänger sig fast vid diskar eller andra filer och replikerar sig hela tiden, vanligtvis utan användarens vetskap eller medgivande. Vissa virus klänger sig fast vid filer och när den infekterade filen körs, körs även viruset. Andra virus finns i datorns minne och infekterar filer när datorn öppnar, ändrar eller skapar en fil. Vissa virus uppvisar symptom, medan andra virus skadar filer och datorsystem. 64 McAfee Endpoint Security 10.2 Produkthandbok

65 Använda Hotdetektering Hantera Hotdetektering 3 Göra en ny genomsökning av objekt i karantän Endpoint Security använder genomsökningsinställningar som har utformats för att ge maximalt skydd vid nya genomsökningar av objekt i karantän. Metodtips: Genomsök alltid objekt i karantän innan du återställer dem. Du kan exempelvis söka igenom ett objekt igen när du har uppdaterat skyddet. Om objektet inte längre är ett hot kan du återställa objektet till ursprungsplatsen och ta bort det från karantänen. Genomsökningsförhållandena kan ha ändrats från upptäckten av hotet till den ny genomsökningen, vilket kan påverka avkänningen av objekten i karantän. Endpoint Security gör följande vid nya genomsökningar av objekt i karantän: Söker igenom MIME-kodade filer. Söker igenom komprimerade arkivfiler. Framtvingar en McAfee GTI-sökning av objekten. Ställer in McAfee GTI-känslighetsnivån till Väldigt hög. Den nya genomsökningen av karantänen kan trots dessa genomsökningsinställningar misslyckas att upptäcka hot. Om objektets metadata (sökväg eller registerplats) ändras är det till exempel möjligt att falskt positiva resultat visas trots att objektet fortfarande är infekterat. Hantera Hotdetektering Som administratör kan du ange inställningar för Hotdetektering för att motverka intrång från hot och konfigurera genomsökningar. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. Konfigurera undantag Med Hotdetektering kan du finjustera skyddet genom att ange objekt som ska undantas. Det kan hända att du, till exempel, behöver undanta vissa filtyper för att förhindra en genomsökning från att låsa en fil som används av en databas eller server. En låst fil kan orsaka fel i databasen eller servern eller göra att de genererar fel. Undantag i undantagslistor utesluter varandra ömsesidigt. Varje undantag utvärderas skilt från de andra i listan. Om du vill undanta en mapp i Windows-system, lägger du till ett omvänt snedstreck (\) i sökvägen. McAfee Endpoint Security 10.2 Produkthandbok 65

66 3 Använda Hotdetektering Hantera Hotdetektering För den här funktionen... Åtkomstskydd Skydd mot utnyttjande Alla genomsökningar Genomsökning vid åtkomst Standard Hög risk Låg risk Ange objekt som ska undantas Processer (för alla regler eller en särskild regel) Var konfigurationen ska göras åtkomstskyddsinställningar Undanta objekt genom att Namn på processfil eller sökväg, MD5-hash eller undertecknare Processer utnyttjandeskyddsinställningar Namn på processfil eller sökväg, MD5-hash eller undertecknare Namn på anroparmodul eller sökväg, MD5-hash eller undertecknare API Avkänningsnamn Alternativinställningar Avkänningsnamn (skiftlägeskänsligt) Eventuellt oönskade program Filer, filtyper och mappar ScriptScan URL:er inställningar för genomsökning vid åtkomst Namn Filnamn eller mapp, filtyp eller filens ålder URL-namn Använda jokertecken? Allt utom MD5-hash Allt utom MD5-hash Ja Ja Ja Nej Genomsökning på begäran Snabbgenomsökning Filer, mappar och enheter inställningar för genomsökning på begäran Filnamn eller mapp, filtyp eller filens ålder Ja Fullständig genomsökning Snabbgenomsökning Anpassad genomsökning på begäran Filer, mappar och enheter Delade aktiviteter lägg till aktivitet anpassad genomsökning Filnamn eller mapp, filtyp eller filens ålder Ja Se även Jokertecken i undantag på sidan McAfee Endpoint Security 10.2 Produkthandbok

67 Använda Hotdetektering Hantera Hotdetektering 3 Jokertecken i undantag Det går att använda jokertecken istället för andra tecken i undantag för filer, mappar, avkänningsnamn och eventuellt oönskade program. Tabell 3-1 Giltiga jokertecken Jokertecken Namn Representerar? Frågetecken Enkelt tecken. Det här jokertecknet gäller endast om antalet tecken matchar längden i namnet för filen eller mappen. Exempel: Undantaget W?? matchar WWW, men inte WW eller WWWW. * Asterisk Flera tecken, förutom snedstreck (\). *\ i början av filsökvägen är ogiltigt. Använd **\ i stället. Exempel: **\ABC\*. ** Dubbel asterisk Noll eller fler tecken, inklusive omvänt snedstreck (\). Det här jokertecknet matchar noll eller fler tecken. Exempel: C:\ABC \**\XYZ matchar C:\ABC\DEF\XYZ och C:\ABC\XYZ. Jokertecken kan visas framför ett omvänt snedstreck (\) i en sökväg. Exempel, C:\ABC\*\XYZ matchar C:\ABC\DEF\XYZ. Undantag på rotnivå Absolut sökväg krävs för undantag på rotnivå i Hotdetektering. Detta innebär att inledande jokertecken som \ eller?:\ inte kan användas för att matcha enhetsnamn på rotnivå. Det här beteendet skiljer sig från VirusScan Enterprise. Se KnowledgeBase-artikeln KB85746 och migreringsguiden för McAfee Endpoint Security. I Hotdetektering kan du använda inledande jokertecken som **\ i undantag på rotnivå för att matcha enheter och undermappar. **\test matchar till exempel följande: C:\test D:\test C:\temp\test D:\foo\test Skydda systemets åtkomstpunkter Det första steget för skydd mot skadlig programvara är att skydda klientsystemets åtkomstpunkter från intrång från hot. Åtkomstskyddet förhindrar oönskade ändringar på hanterade datorer genom att begränsa åtkomst till särskilda filer, resurser, registernycklar, registervärden och processer. Åtkomstskyddet använder både McAfee-definierade regler och användardefinierade regler (även kallade anpassade regler) för att rapportera eller blockera åtkomst till objekt. Åtkomstskyddet jämför en begärd åtgärd med listan över regler och agerar enligt regeln. Åtkomstskyddet måste vara aktiverat för att identifiera åtkomstförsök till filer, resurser, registernycklar, registervärden och processer. Åtkomstskyddet är aktiverat som standard. McAfee Endpoint Security 10.2 Produkthandbok 67

68 3 Använda Hotdetektering Hantera Hotdetektering Hur hot får åtkomst Hot får åtkomst till ditt system via olika åtkomstpunkter. Åtkomstpunkt Makron Körbara filer Skript IRC(Internet Relay Chat)-meddelanden Hjälpfiler för webbläsare och program E-post Kombinationer av alla dessa åtkomstpunkter Beskrivning Som en del av ordbehandlingsprogram och kalkylprogram. Program som verkar ofarliga kan innehålla virus med förväntade program. Vissa vanliga filnamnstillägg är.exe,.com,.vbs,.bat,.hlp och.dll. Associerade till webbsidor och e-post, skript som till exempel ActiveX och JavaScript, kan innehålla virus om de får tillåtelse att köras. Filer som skickas med dessa meddelanden kan mycket lätt innehålla skadlig programvara som del av meddelandet. Till exempel, automatiska processer för systemstart kan innehålla mask- och trojanhot. Hämtning av dessa Hjälpfiler gör systemet tillgängligt för inbäddade virus och körbara filer. Skämt, spel och bilder som är del av e-postmeddelanden med bilaga. Sinnrika programmerare som skapar skadlig programvara kombinerar alla dessa metoder och kanske till och med bäddar in en skadlig programvara inom en annan skadlig programvara för att försöka få åtkomst till en dator som hanteras. Hur Åtkomstskydd stoppar hot Åtkomstskyddet stoppar potentiella hot genom att hantera åtgärder utifrån McAfee-definierade och användardefinierade skyddsregler. Hotdetektering följer den här enkla processen för att ge Åtkomstskydd. När ett hot inträffar När en användare agerar eller en process körs: 1 Åtkomstskydd undersöker åtgärden enligt definierade regler. 2 Om åtgärden bryter mot en regel hanterar Åtkomstskydd åtgärden med hjälp av informationen i de konfigurerade reglerna. 3 Åtkomstskydd uppdaterar loggfilen och skapar samt skickar en händelse till hanteringsservern, i tillämpliga fall. Exempel på åtkomsthot 1 En användare hämtar ett seriöst program (inte skadlig programvara), MyProgram.exe, från Internet. 2 Användaren startar MyProgram.exe och programmet verkar starta som förväntat. 3 MyProgram.exe startar en underordnad process som heter AnnoyMe.exe. 4 AnnoyMe.exe försöker att ändra operativsystemet så att AnnoyMe.exe alltid laddas vid systemstart. 5 Åtkomstskydd bearbetar begäran och matchar åtgärden mot en befintlig regel för blockering och rapport. 6 Åtkomstskydd stoppar AnnoyMe.exe från att göra ändringar i operativsystemet och loggar uppgifterna för försöket. Åtkomstskydd skapar och skickar även en varning till hanteringsservern. 68 McAfee Endpoint Security 10.2 Produkthandbok

69 Använda Hotdetektering Hantera Hotdetektering 3 Om regler för åtkomstskydd Använd de McAfee-definierade och användardefinierade reglerna för åtkomstskydd för att skydda åtkomstpunkter i systemet. McAfee-definierade regler tillämpas alltid före användardefinierade regler. Regeltyp McAfee-definierade regler Användardefinierade regler Beskrivning Dessa regler förhindrar ändringar i vanligt förekommande filer och inställningar. Du kan aktivera, inaktivera och ändra konfigurationen av dessa McAfee-definierade regler, men du kan inte ta bort dem. Dessa regler kompletterar skyddet som tillhandahålls av de McAfee-definierade reglerna. Om tabellen Körbara filer är tom innebär det att regeln gäller samtliga körbara filer. Om tabellen Användarnamn är tom innebär det att regeln gäller samtliga användare. Du kan lägga till, ta bort, aktivera, inaktivera och ändra konfigurationen av dessa regler. Undantag På regelnivå tillämpas den angivna regeln för exkluderingar och inkluderingar. På principnivå tillämpas undantag för alla regler. Undantag är valfria. Se även Uteslut processer från åtkomstskydd på sidan 75 Konfigurera McAfee-definierade regler för åtkomstskydd McAfee-definierade regler förhindrar att användare ändrar vanligt förekommande filer och inställningar. Du kan: Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Ändra inställningarna för blockering och rapportering för dessa regler. Lägg till undantagna och inkluderade körbara filer i dessa regler. Du kan inte: Ta bort de här reglerna. Ändra filerna och inställningarna som skyddas av reglerna. Lägga till underregler eller användarnamn i dessa regler. McAfee Endpoint Security 10.2 Produkthandbok 69

70 3 Använda Hotdetektering Hantera Hotdetektering Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Åtkomstskydd. 5 Ändra regeln: a I avsnittet Regler väljer du Blockera, Rapportera eller båda för regeln. Blockera eller rapportera alla genom att välja Blockera eller Rapportera i den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. b c d Redigera en McAfee-definierad regel genom att dubbelklicka på den. Konfigurera inställningarna på sidanredigera McAfee-definierad regel. I avsnittet Körbara filer klickar du pålägg till. Konfigurera inställningarna och klicka sedan två gånger påspara för att spara regeln. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även McAfee-definierade regler för åtkomstskydd på sidan 70 Logga in som administratör på sidan 27 Uteslut processer från åtkomstskydd på sidan 75 McAfee-definierade regler för åtkomstskydd Använd McAfee-definierade regler för åtkomstskydd för att skydda datorn från oönskade ändringar. McAfee-definierad regel Ändrar registerinformation om filnamnstillägg Beskrivning Skyddar registernycklarna under HKEY_CLASSES_ROOT där filnamnstilläggen är registrerade. Den här regeln hindrar försök från skadlig programvara att ändra filtilläggsregistreringarna för att tillåta tysta åtgärder från skadlig programvara. Metodtips: Inaktivera den här regeln när du installerar giltiga program som ändrar registreringar av filnamnstillägg i registret. Den här regeln är ett mer begränsande alternativ till Kapa EXE-filer och andra körbara filnamnstillägg. Ändra principer för användarrättigheter Skyddar registervärden som innehåller säkerhetsinformation för Windows. Den här regeln hindrar maskar från att ändra konton med administratörsrättigheter. 70 McAfee Endpoint Security 10.2 Produkthandbok

71 Använda Hotdetektering Hantera Hotdetektering 3 McAfee-definierad regel Skapa nya körbara filer i mappen Programfiler Beskrivning Förhindrar att nya körbara filer skapas i mappen Programfiler. Den här regeln förhindrar att reklamprogram och spionprogram skapar EXE- och DLL-filer och installerar nya körbara filer i mappen Programfiler. Metodtips: Installera programmen innan du aktiverar den här regeln, eller placera de blockerade processerna i undantagslistan. Skapa nya körbara filer i mappen Windows Förhindrar att filer skapas i samtliga processer, inte bara via nätverket. Den här regeln förhindrar att.exe- och.dll-filer skapas i Windows-mappen. Metodtips: Lägg till de processer som måste placera filer i Windows-mappen i undantagslistan. Inaktivera registereditorn och aktivitetshanteraren Skyddar Windows-registerposter och förhindrar inaktivering av registereditorn och aktivitetshanteraren. Vid ett utbrott måste du inaktivera den här regeln för att kunna ändra registret, eller öppna aktivitetshanteraren för att stoppa aktiva processer. Kör skript med Windows script host (CScript.exe eller Wscript.exe) från valfri temporär mapp Kapar.EXE-filer och andra körbara filnamnstillägg Installerar webbläsartillägg eller Shell-tillägg Hindrar Windows skriptvärd från att köra VBScript- och JavaScript-skript från en mapp med temp i mappnamnet. Den här regeln skyddar mot många trojaner och tvivelaktiga mekanismer för webbinstallation som används av program för reklamoch spionprogram. Den här regeln kan blockera installation eller körning av legitima skript och program från tredje part. Skyddar.EXE,.BAT och andra körbara registernycklar i HKEY_CLASSES_ROOT. Den här regeln hindrar skadlig programvara från att ändra registernycklar för att köra viruset när en annan körbar fil körs. Den här regeln är ett mindre begränsade alternativ till Ändra registerinformation om filnamnstillägg. Hindrar reklamprogram, spionprogram och trojaner som installeras som webbläsartillägg från att installeras på värddatorn. Den här regeln förhindrar att reklamprogram och spionprogram installeras i systemen. Metodtips: Tillåt att legitima anpassade eller tredje partsprogram installerar dessa tillägg genom att lägga till dem i undantagslistan. Efter installationen kan du aktivera regeln på nytt eftersom den inte förhindrar körning av installerade webbläsartillägg. Installera nya CLSID-, APPID- och TYPELIB-objekt Förhindrar att nya COM-servrar installeras eller registreras. Den här regeln är ett skydd mot reklam- och spionprogram som installerar sig själva som ett COM-tillägg i Internet Explorer eller Microsoft Office-program. Metodtips: Tillåt legitima program som registrerar COM-tillägg, till exempel vanliga program som Adobe Flash, genom att lägga till dem i undantagslistan. McAfee Endpoint Security 10.2 Produkthandbok 71

72 3 Använda Hotdetektering Hantera Hotdetektering McAfee-definierad regel Internet Explorer startar filer från mappen Hämtade programfiler Beskrivning Förhindrar att programvara installeras via webbläsaren. Den här regeln är specifik för Microsoft Internet Explorer. Eftersom den här regeln kan blockera installation av legitim programvara ska programmet antingen installeras före regelaktiveringen, eller så ska installationsprocessen undantas. Regeln är inställd på Rapportera som standard. Den här regeln förhindrar att reklamprogram och spionprogram installerar och kör körbara filer från den här mappen. Ändrar kärnprocesser för Windows Ändrar inställningar för Internet Explorer Ändra nätverksinställningarna Förhindrar att filer med de vanligaste förfalskade namnen skapas eller körs. Den här regeln förhindrar körning av virus eller trojaner med samma namn som en Windows-process. Den här regeln undantar autentiska Windows-filer. Blockerar processer från att ändra inställningar i Internet Explorer. Den här regeln förhindrar att startsidestrojaner, reklamprogram och spionprogram ändrar webbläsarinställningar, till exempel genom att ändra startsidan eller installera favoriter. Förhindrar att processer som inte finns i undantagslistan utför ändringar i systemets nätverksinställningar. Den här regeln skyddar mot LSP:er (Layered Service Providers) som överför data, som ditt webbläsarbeteende, genom att spela in nätverkstrafik och sedan skicka den till tredjepartswebbplatser. Metodtips: Om processerna ska kunna ändra nätverksinställningar måste de läggas till i undantagslistan, eller som måste regeln inaktiveras under ändringen. Registrera program som ska köras automatiskt Blockerar reklamprogram, spionprogram, trojaner och virus från att registrera sig själva och läsas in varje gång som systemet startas om. Regeln förhindrar att de processer som inte är med i undantagslistan läser in processer som körs varje gång som systemet startas om. Metodtips: Lägg till legitima program i undantagslistan eller installera dem innan du aktiverar regeln. Fjärråtkomst till lokala filer eller mappar Skapa filer som körs automatiskt på distans Förhindrar fjärrdatorers läs- och skrivbehörighet till datorn. Den här regeln förhindrar spridning av en delningsspridd mask. I en typisk miljö är den här regeln lämplig för arbetsstationer, men inte servrar, och då endast när datorn är utsatt för en direkt attack. Om datorn hanteras genom att filer skickas till den, förhindrar regeln installation av uppdateringar eller korrigeringar. Den här regeln påverkar inte hanteringsfunktionerna i McAfee epo. Hindrar andra datorer från att ansluta till och skapa eller ändra filer som körs automatiskt (autorun.inf). Filer som körs automatiskt används för att starta programfiler, speciellt installationsfiler från CD-skivor, automatiskt. Den här regeln förhindrar start av spionprogram och reklamprogram som sprids via CD-skivor. Den här regeln markeras för att Blockera och Rapportera som standard. 72 McAfee Endpoint Security 10.2 Produkthandbok

73 Använda Hotdetektering Hantera Hotdetektering 3 McAfee-definierad regel Skapar eller ändrar filer och mappar på distans Beskrivning Blockerar skrivåtkomst till alla resurser. Den här regeln är användbar vid utbrott genom att begränsa skrivbehörigheten och begränsa att infektionen sprids. Regeln blockerar skadlig programvara som annars avsevärt kan begränsa åtkomsten till datorn eller nätverket. I en typisk miljö är den här regeln lämplig för arbetsstationer, men inte servrar, och då endast när datorn är utsatt för en direkt attack. Om datorn hanteras genom att filer skickas till den, förhindrar regeln installation av uppdateringar eller korrigeringar. Den här regeln påverkar inte hanteringsfunktionerna i McAfee epo. Fjärrskapa eller -ändra PE- (Portable Executable), INI- och PIF-filtyper samt platser för kärnsystem Köra filer från valfri temporär mapp Kör filer från den tillfälliga mappen via delade program Hindrar andra datorer från att ansluta till och ändra körbara filer, till exempel filer i Windows-mappen. Den här regeln påverkar bara filtyper som vanligtvis infekteras av virus. Den här regeln är ett skydd mot maskar och virus som sprids snabbt och rör sig genom ett nätverk genom öppna eller administrativa delningar. Den här regeln är ett mindre säkert alternativ till Göra alla delningar skrivskyddade. Blockerar körbara filer från att köras eller startas från en mapp med temp i mappnamnet. Den här regeln är ett skydd mot skadlig programvara som sparas och körs från användarens eller systemets temporära mapp. Sådan skadlig programvara kan innehålla körbara bilagor i e-post och hämtade program. Trots att den här regeln ger det säkraste skyddet, kan den blockera installationen av legitima program. Blockerar installation av programvara från webbläsaren eller e-postklienten. Den här regeln förhindrar att e-postbilagor och körbara filer körs på webbsidor. Metodtips: Om du vill installera ett program som använder mappen Temp lägger du till processen i undantagslistan. Se även Konfigurera McAfee-definierade regler för åtkomstskydd på sidan 69 Konfigurera användardefinierade regler för åtkomstskydd Användardefinierade regler kompletterar skyddet som tillhandahålls av de McAfee-definierade reglerna. Du kan lägga till, ta bort, aktivera, inaktivera och ändra konfigurationen av dessa regler. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Metodtips: Information om hur du skapar regler för åtkomstskydd som skyddar mot ransomware finns i PD McAfee Endpoint Security 10.2 Produkthandbok 73

74 3 Använda Hotdetektering Hantera Hotdetektering Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Åtkomstskydd. 5 Skapa regeln. I avsnittet Regler klickar du på Lägg till. Konfigurera inställningarna på sidan Lägg till regel. a b c I avsnittet Körbara filer klickar du pålägg till. Konfigurera egenskaperna för den körbara filen och klicka sedan påspara. Om tabellen Körbara filer är tom innebär det att regeln gäller samtliga körbara filer. I avsnittet Användarnamn klickar du pålägg till. Konfigurera egenskaperna för användarnamnet. Om tabellen Användarnamn är tom innebär det att regeln gäller samtliga användare. I avsnittet Underregler klickar du på Lägg till och konfigurerar sedan underregelns egenskaper. Metodtips: För att undvika försämrade prestanda ska du inte markera åtgärden Läs. I avsnittet Mål klickar du pålägg till. Konfigurera målinformationen och klicka sedan två gånger på Spara. 6 I avsnittet Regler väljer du Blockera, Rapportera eller båda för regeln. Blockera eller rapportera alla genom att välja Blockera eller Rapportera i den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Uteslut processer från åtkomstskydd på sidan 75 Så här utvärderas målen i åtkomstskyddets underregler Varje mål läggs till med direktivet Inkludera eller Undanta. 74 McAfee Endpoint Security 10.2 Produkthandbok

75 Använda Hotdetektering Hantera Hotdetektering 3 Vid utvärdering av systemet mot en underregel utvärderas underregeln som sant om: Minst en Inkludera utvärderas som sann. och Alla Undantag utvärderas som falska. Undanta går före Inkludera. Här följer några exempel: Om en underregel både inkluderar och undantar en fil, utlöses inte underregeln för den filen. Om underregeln inkluderar alla filer men undantar filen C:\marketing\jjohns, aktiveras underregeln om filen inte är C:\marketing\jjohns. Om en underregel inkluderar filen C:\marketing\* men undantar C:\marketing\jjohns, utlöses underregeln för C:\marketing\vilkensomhelst, men inte för C:\marketing\jjohns. Uteslut processer från åtkomstskydd Om ett betrott program är blockerat kan processen undantas med ett princip- eller regelbaserat undantag. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Åtkomstskydd. McAfee Endpoint Security 10.2 Produkthandbok 75

76 3 Använda Hotdetektering Hantera Hotdetektering 5 Kontrollera att åtkomstskyddet är aktiverat. Åtkomstskyddet är aktiverat som standard. 6 Gör något av följande: För att... Skapa ett principbaserat undantag. Gör så här... 1 I avsnittet Undantag klickar du på Lägg till för att lägga till processer som ska undantas från alla regler. 2 Konfigurera egenskaperna för den körbara filen på sidan Lägg till körbar fil. 3 Klicka på Spara och sedan på Tillämpa för att spara inställningarna. Skapa ett regelbaserat undantag. 1 Redigera en befintlig regel eller lägg till en ny. 2 På sidan Lägg till regel eller Redigera regel klickar du på Lägg till för att lägga till en körbar fil som ska undantas. 3 Konfigurera egenskaperna för den körbara filen på sidan Lägg till körbar fil. 4 Klicka på Spara för att spara undantagen. Blockerar utnyttjande av buffertspill Utnyttjandeskydd stoppar utnyttjande av buffertspill från att köra godtycklig kod. Den här funktionen övervakar användarläget API-anrop och känner igen när de anropas som ett resultat av buffertspill. När en avkänning inträffar registreras informationen i aktivitetsloggen, som visas i klientsystemet och skickas till hanteringsservern, om detta har konfigurerats. Hotdetektering använder innehållsfilen för utnyttjandeskydd för att skydda program, till exempel Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word och MSN Messenger. Host Intrusion Prevention 8.0 kan installeras i samma system som Endpoint Security Om McAfee Host IPS är aktiverat så inaktiveras utnyttjandeskyddet, även om det är aktiverat i principinställningarna. Hur utnyttjande av buffertspill inträffar Angripare använder utnyttjande av buffertspill för att köra körbar kod genom att låta data spilla över minnet med fast storlek som är reserverat för indatavärde. Den här koden tillåter angriparen att ta över måldatorn eller kompromissa dess data. Över 25 % av attacker från skadlig programvara är buffertspillattacker som försöker skriva över angränsande minne i stackramen. Det finns två typer av utnyttjande av buffertspill: Stackbaserade attacker använder stackminnesobjekt för att lagra användarindata (mest förekommande). Heapbaserade attacker översvämmar minnesutrymmet som reserverats för ett program (sällan förekommande). Stackminnesobjektet med fast storlek är tomt och väntar på användarindata. När programmet tar emot indata från användaren lagras data högst upp på stacken och tilldelas en avsändarminnesadress. När stacken bearbetas skickas användarens indata till avsändaradressen som är angiven i programmet. 76 McAfee Endpoint Security 10.2 Produkthandbok

77 Använda Hotdetektering Hantera Hotdetektering 3 Följande process beskriver en stackbaserad buffertspillattack: 1 Dataspill i stacken. När programmet skrivs reserveras en viss mängd minnesutrymme för data. Data spiller över stacken om data som skrivs till stacken överskrider det reserverade utrymmet inom minnesstacken. Den här situationen är endast ett problem i kombination med skadlig indata. 2 Utnyttjande av dataspill. Programmet väntar på indata från användaren. Om angriparen anger ett körbart kommando som överskrider stackminnesstorleken, sparas kommandot utanför det reserverade utrymmet. 3 Kör den skadliga programvaran. Kommandot körs inte automatiskt när det överskrider stackminnesutrymmet. Först börjar programmet att krascha på grund av buffertspill. Om angriparen angett en avsändarminnesadress som hänvisar det skadliga kommandot, försöker programmet återställas genom att använda avsändaradressen. Om avsändaradressen är giltig, körs det skadliga kommandot. 4 Utnyttjande av behörighet. Den skadliga programvaran körs nu med samma behörigheter som programmet som har äventyrats. Eftersom program vanligtvis körs i kernelläge eller med behörigheter från ett tjänstkonto kan angriparen nu få fullständig kontroll över operativsystemet. Konfigurera Utnyttjandeskydd -inställningar För att stoppa program från att köra godtycklig kod på din dator, konfigurera Utnyttjandeskyddinställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Utnyttjandeskydd. 5 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Se även Logga in som administratör på sidan 27 Undanta processer i utnyttjandeskyddet Om en överträdelse av utnyttjandeskyddet sker finns det en associerad process och möjligen en anroparmodul eller API. Om du misstänker att överträdelsen är en falsk positiv identifiering kan du lägga till ett undantag med namnet på processen, anroparmodulen eller API:n. McAfee Endpoint Security 10.2 Produkthandbok 77

78 3 Använda Hotdetektering Hantera Hotdetektering I ett undantag är processen, modulen och API:n sammankopplade med ett logiskt AND. Om du vill förhindra att den överträdelsen sker igen, måste både processen, modulen och API:t som är kopplade till överträdelsen matcha. Varje undantag är oberoende. Flera undantag kopplas samman av ett logiskt OR. På så sätt undviks överträdelser vid matchande undantag. Känner av eventuellt oönskade program Ange filer och program som ska identifieras i din miljö för att skydda den hanterade datorn från eventuellt oönskade program. Aktivera därefter avkänning. Eventuellt oönskade program är programvara som är irriterande eller som kan ändra säkerhetstillståndet eller sekretessen i systemet. Eventuellt oönskade program kan vara inbäddade i program som användare hämtar med avsikt. Oönskade program kan innehålla spionprogram, reklamprogram och uppringningsprogram. 1 Ange oönskade program som genomsökning vid åtkomst och genomsökning på begäran ska känna av i Alternativ inställningar. 2 Aktivera avkänning av oönskade program och ange åtgärder som ska vidtas vid avkänning i dessa inställningar: Genomsökning vid åtkomst inställningar Genomsökning på begäran inställningar Se även Ange eventuella oönskade program som ska kännas av på sidan 78 Aktivera och konfigurera avkänning och svar för eventuellt oönskade program på sidan 79 Konfigurera Genomsökning vid åtkomst inställningar på sidan 81 Konfigurera Genomsökning på begäran inställningar på sidan 86 Ange eventuella oönskade program som ska kännas av Ange ytterligare program som genomsökning vid åtkomst och genomsökning på begäran ska betrakta oönskade program i Alternativ inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Genomsökningarna identifierar de program som du anger samt program enligt AMCore-innehållsfiler. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 78 McAfee Endpoint Security 10.2 Produkthandbok

79 Använda Hotdetektering Hantera Hotdetektering 3 5 Från avkänning av eventuellt oönskade program: Klicka på Lägg till för att ange namnet och en beskrivning, om så önskas, på en fil eller program som ska betraktas som ett eventuellt oönskat program. Beskrivningen visas som ett avkänningsnamn när en avkänning görs. Dubbelklicka på namnet eller beskrivningen på ett befintligt eventuellt oönskat program för att göra en ändring. Välj ett befintligt eventuellt oönskat program och klicka sedan på Ta bort för att ta bort det från listan. Se även Logga in som administratör på sidan 27 Aktivera och konfigurera avkänning och svar för eventuellt oönskade program Aktivera genomsökning vid åtkomst och på begäran att identifiera eventuellt oönskade program samt ange svar när ett sådant program identifieras. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Konfigurera Genomsökning vid åtkomst inställningar. a Öppna Endpoint Security-klient. b Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. c d e f Klicka på Visa avancerat. Klicka på Genomsökning vid åtkomst. Under Processinställningar, för varje typ av Genomsökning vid åtkomst, välj Identifiera oönskade program. Under Åtgärder, konfigurera svar till oönskade program. 2 Konfigurera Genomsökning på begäran inställningar. a Öppna Endpoint Security-klient. b Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. c d Klicka på Visa avancerat. Klicka på Genomsökning på begäran. McAfee Endpoint Security 10.2 Produkthandbok 79

80 3 Använda Hotdetektering Hantera Hotdetektering e För varje typ av genomsökning (Fullständig genomsökning, Snabbgenomsökning och Genomsökning via högerklick): Välj Identifiera oönskade program. Under Åtgärder, konfigurera svar till oönskade program. Se även Konfigurera Genomsökning vid åtkomst inställningar på sidan 81 Konfigurera Genomsökning på begäran inställningar på sidan 86 Logga in som administratör på sidan 27 Konfigurera gemensamma inställningar för genomsökning Ange inställningar som gäller både genomsökning vid åtkomst och genomsökning på begäran genom att konfigurera Hotdetektering-alternativens. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Dessa inställningar gäller alla genomsökningar: Plats för karantän och antal dagar som karantänobjekten ska behållas innan de tas bort automatiskt Avkänningsnamn som ska undantas genomsökningar Eventuella oönskade program som ska kännas av, till exempel spionprogram och reklamprogram McAfee GTI-baserad telemetrifeedback Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 5 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Se även Logga in som administratör på sidan 27 Konfigurera Genomsökning vid åtkomst inställningar på sidan 81 Konfigurera Genomsökning på begäran inställningar på sidan 86 Hur McAfee GTI fungerar Om du aktiverar McAfee GTI för genomsökning vid åtkomst eller på begäran, använder genomsökningsprocessen heuristiska metoder för att leta efter misstänkta filer. McAfee GTI-servern lagrar webbplatsklassificeringar och rapporter för Webbkontroll. Om Webbkontroll konfigureras för 80 McAfee Endpoint Security 10.2 Produkthandbok

81 Använda Hotdetektering Hantera Hotdetektering 3 genomsökning av hämtade filer, används filryktet som tillhandahålls av McAfee GTI för sökning efter misstänkta filer. Genomsökningen skickar fingeravtryck av prov, eller hash-värden, till en central databasserver som drivs av McAfee Labs för att fastställa om det rör sig om skadlig programvara. När hash-värden skickas kan avkänning bli tillgänglig snabbare, före nästa uppdatering av innehållsfil när McAfee Labs publicerar uppdateringen. Du kan konfigurera känslighetsnivån som McAfee GTI använder för att fastställa om ett identifierat prov innehåller skadlig programvara. Ju högre känslighetsnivån är desto högre är avkänningen av skadlig programvara. Fler avkänningar kan däremot resultera i fler resultat som är falskt positiva. Känslighetsnivån för McAfee GTI i Hotdetektering är som standard inställd på Medium. Konfigurera känslighetsnivån för varje genomsökning i inställningarna för Hotdetektering. För Webbkontroll är McAfee GTI-känslighetsnivån som standard inställd på Mycket hög. Konfigurera känslighetsnivån for genomsökning av filhämtningar i Alternativ i Webbkontroll. Du kan konfigurera Endpoint Security så att en proxyserver används för att hämta ryktesinformation från Endpoint Security i inställningarna för Delade. Konfigurera Genomsökning vid åtkomst inställningar Med dessa inställningar kan du aktivera och konfigurera genomsökningar vid åtkomst. Du kan till exempel välja vilka meddelanden som ska skickas när ett hot upptäcks samt basera olika inställningar utifrån processtyp. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Information om flera konfigurationsalternativ för genomsökning finns i Hjälp för Hotdetektering Alternativ. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Genomsökning vid åtkomst. 5 Markera Aktivera genomsökning vid åtkomst för att aktivera genomsökningar vid åtkomst och ändra inställningar. 6 Ange om standardinställningar ska användas för samtliga processer eller om andra inställningar ska användas för hög- och lågriskprocesser. Standardinställningar Konfigurera inställningar för genomsökningar i fliken Standard. Olika inställningar utifrån processtyp Markera flikarna Standard, Högrisk eller Lågrisk och konfigurerar inställningar för genomsökningar per processtyp. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. McAfee Endpoint Security 10.2 Produkthandbok 81

82 3 Använda Hotdetektering Hantera Hotdetektering Se även Logga in som administratör på sidan 27 Konfigurera gemensamma inställningar för genomsökning på sidan 80 Hur genomsökning vid åtkomst fungerar Genomsökning vid åtkomst är integrerad med systemet på de lägsta nivåerna (Filsystemfilterdrivrutin) och utför genomsökning på filer när de först når systemet. I genomsökning vid åtkomst visas aviseringar i tjänstegränssnittet när avkänningar inträffar. När ett försök görs att öppna eller stänga en fil stoppar genomsökningen processen, därefter: 1 Fastställer genomsökningen om en genomsökning måste utföras på objektet enligt följande kriterier: Filnamnstillägget matchar konfigurationen. Filen har inte cachelagrats, blivit undantagen eller genomsökts tidigare. Om du konfigurerar McAfee GTI, använder genomsökningen heuristisk genomsökning för att kontrollera beträffande misstänkta filer. 2 Om filen uppfyller kriterier för genomsökning, jämför genomsökningen filen med signaturerna i den aktuella AMCore-innehållsfilen. Om filen är ren cachelagras resultatet och skrivning eller läsning tillåts. Om filen innehåller ett hot nekas aktiviteten och genomsökningen vidtar den åtgärd som konfigurerats. Exempel, om åtgärden är att rensa filen utför genomsökningen följande: 1 Använder information från den aktuella AMCore-innehållsfilen för att rensa filen. 2 Registrerar resultatet i aktivitetsloggen. 3 Meddelar användaren att den identifierade ett hot i filen och vilken åtgärd som ska vidtas (rensa eller ta bort filen). Windows 8 och 10 Om ett hot upptäcks i sökvägen under genomsökningen av en installerad Windows Store-app markeras appen som manipulerad. Windows lägger till en flagga som visar på manipulation i panelen på appen. Om du försöker köra appen visas ett felmeddelande från Windows och du omdirigeras till Windows Store för att installera om appen. 82 McAfee Endpoint Security 10.2 Produkthandbok

83 Använda Hotdetektering Hantera Hotdetektering 3 3 Om filen inte uppfyller kriterierna för genomsökning, cachelagrar genomsökningen filen och tillåter aktiviteten. Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. Hotdetektering tömmer det globala genomsökningsminnet och utför genomsökning av alla filer igen när: Konfigureringen för Genomsökning vid åtkomst ändras. En Extra.DAT-fil läggs till. Utför genomsökning vid skrivning till disk, läsning från disk eller låt McAfee avgöra Ange när genomsökning vid åtkomst ska genomsöka filerna: vid skrivning till disk, vid läsning från disk, eller låt McAfee avgöra när genomsökningen ska utföras. Vid skrivning av filer till disk utför genomsökning vid åtkomst genomsökning av dessa filer: Inkommande filer som skrivs till den lokala hårddisken. Filer (nya, ändrade eller filer som kopieras eller flyttas från en enhet till en annan) som skapas på den lokala hårddisken eller på en mappad nätverksenhet (om denna har aktiverats). Vid läsning av filer från disk utför genomsökningen genomsökning av dessa filer: Utgående filer som läses från den lokala hårddisken eller från en mappad nätverksenhet (om denna har aktiverats). Filer som försöker att köra en process på den lokala hårddisken. Filer som öppnas på den lokala hårddisken. McAfee Endpoint Security 10.2 Produkthandbok 83

84 3 Använda Hotdetektering Hantera Hotdetektering Om du låter McAfee avgöra om en fil bör sökas igenom används inbyggd logik i genomsökningen vid åtkomst för att optimera den. Inbyggd logik förstärker säkerhet och förbättrar prestanda genom att undvika onödiga genomsökningar. McAfee analyserar och bedömer till exempel att vissa program är tillförlitliga. Om McAfee intygar att dessa program inte har manipulerats är det möjligt att en begränsad eller optimerad genomsökning sker. Metodtips: Aktivera detta alternativ för bästa skydd och prestanda. Om ScriptScan Genomsökning av skript i Hotdetektering fungerar som en proxykomponent för den interna Windows Script-värden, genskjuter och genomsöker skript innan de körs. Om skriptet är rensat skickar skriptgenomsökningen över skriptet till den interna Windows Script Host. Om skriptet innehåller ett eventuellt hot, förhindrar skriptgenomsökningen att skriptet körs. Undantag för ScriptScan Prestanda på webbplatser med många skript och i webbaserade program kan försämras när ScriptScan är aktiverat. Vi rekommenderar att du istället för att inaktivera ScriptScan anger webbadresserna för de betrodda webbplatserna som kan undantas. Till exempel intranätssidor eller webbprogram som du vet är säkra. 84 McAfee Endpoint Security 10.2 Produkthandbok

85 Använda Hotdetektering Hantera Hotdetektering 3 När du skapar URL-undantag: Använd inte jokertecken. Inkludera inga portnummer. Vi rekommenderar att du bara använder fullständiga domännamn (FQDN) och NetBIOS-namn. I system med Windows Server 2008 går det inte att undanta webbadresser från ScriptScan i Internet Explorer, såvida du inte aktiverar webbläsartillägg från tredjepart och startar om systemet. Se KnowledgeBase-artikeln KB ScriptScan och Internet Explorer En uppmaning att aktivera ett eller flera McAfee-tillägg visas första gången som du öppnar Internet Explorer efter att Hotdetektering har installerats. Om du vill att ScriptScan ska genomsöka skripten: Måste inställningenaktivera ScriptScan markeras. Måste tillägget vara aktiverat i webbläsaren. Om ScriptScan är inaktiverat när Internet Explorer startas och sedan aktiveras, kan det inte identifiera skadliga skript i denna instans av Internet Explorer. Internet Explorer måste startas om när ScriptScan har aktiverats så att skadliga skript kan identifieras. Så här fastställer du sökinställningar för processer Följ den här rutinen för att fastställa om det finns behov att konfigurera olika inställningar utifrån typ av process. McAfee Endpoint Security 10.2 Produkthandbok 85

86 3 Använda Hotdetektering Hantera Hotdetektering Konfigurera Genomsökning på begäran inställningar Dessa inställningar konfigurerar beteendet av tre fördefinierade genomsökningar på begäran: Fullständig genomsökning, Snabbgenomsökning och Genomsökning via högerklick. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Information om flera konfigurationsalternativ för genomsökning finns i Hjälp för Hotdetektering Alternativ. 86 McAfee Endpoint Security 10.2 Produkthandbok

87 Använda Hotdetektering Hantera Hotdetektering 3 Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerade. 4 Klicka på Genomsökning på begäran. 5 Klicka på en flik för att konfigurera inställningar för den angivna genomsökningen. Fullständig genomsökning Snabbgenomsökning Snabbgenomsökning 6 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Se även Logga in som administratör på sidan 27 Konfigurera gemensamma inställningar för genomsökning på sidan 80 Konfigurera, schemalägga och köra genomsökningar på sidan 90 Hur genomsökning på begäran fungerar Genomsökning på begäran söker igenom filer, mappar, minnen och registret efter skadlig programvara som kan ha infekterat datorn. Du avgör när och hur ofta genomsökningar på begäran utförs. Du kan utföra manuell genomsökning av system, antingen schemalagd eller vid systemstart. 1 Genomsökning på begäran använder följande kriterier för att avgöra om en genomsökning ska utföras på ett objekt: Filnamnstillägget matchar konfigurationen. Filen har inte cachelagrats, blivit undantagen eller genomsökts tidigare (om genomsökningen använder genomsökningsminne). Om du konfigurerar McAfee GTI, använder genomsökningen heuristisk genomsökning för att kontrollera beträffande misstänkta filer. 2 Om filen uppfyller kriterier för genomsökning, jämför genomsökningen informationen i objektet med kända signaturer för skadlig kod i den aktuella AMCore-innehållsfilen. Om filen är ren cachelagras resultatet och genomsökningen kontrollerar nästa objekt. Om filen innehåller ett hot vidtar genomsökningen den åtgärd som konfigurerats. Exempel, om åtgärden är att rensa filen utför genomsökningen följande: 1 Använder information från den aktuella AMCore-innehållsfilen för att rensa filen. 2 Registrerar resultatet i aktivitetsloggen. 3 Meddelar användaren att den identifierade ett hot i filen, namnet på objektet och vilken åtgärd som vidtagits. McAfee Endpoint Security 10.2 Produkthandbok 87

88 3 Använda Hotdetektering Hantera Hotdetektering Windows 8 och 10 Om ett hot upptäcks i sökvägen under genomsökningen av en installerad Windows Store-app markeras appen som manipulerad. Windows lägger till en flagga som visar på manipulation i panelen på appen. Om du försöker köra appen visas ett felmeddelande från Windows och du omdirigeras till Windows Store för att installera om appen. 3 Om objektet inte uppfyller kriterierna för genomsökning kontrolleras inte objektet. Istället fortsätter genomsökningen tills genomsökning av alla data har slutförts. Avkänningslistan för genomsökning på begäran rensas när nästa genomsökning på begäran startar. Hotdetektering tömmer det globala genomsökningsminnet och utför genomsökning av alla filer igen när en Extra.DAT laddas. Begränsa hur genomsökningar påverkar användare Minimera effekten som genomsökningar på begäran har på ett system genom att ange alternativet prestanda när du konfigurerar den här typen av genomsökning. Utför endast en genomsökning när systemet är inaktivt Det enklaste sättet att se till att genomsökningen inte påverkar användare är att endast köra genomsökning på begäran när datorn är i viloläge. Om du väljer det här alternativet pausar Hotdetektering genomsökningen när den känner av diskeller användaraktivitet, t.ex. om tangentbordet eller musen används. Hotdetektering återupptar genomsökningen när användaren inte har använt systemet på tre minuter. Du kan antingen: Låta användare återuppta genomsökningar som har pausats på grund av användaraktivitet. Låta genomsökningen fortsätta när systemet är i viloläge. 88 McAfee Endpoint Security 10.2 Produkthandbok

89 Använda Hotdetektering Hantera Hotdetektering 3 Inaktivera detta alternativ i serversystem och system som användare endast kommer åt med hjälp av fjärranslutning. Hotdetektering är beroende av McTray för att fastställa om systemet är i viloläge. McTray startar inte på system som endast kan kommas åt med hjälp av fjärrskrivbordsanslutning och genomsökning på begäran körs aldrig. Användare kan undvika det här problemet genom att starta McTray manuellt (från C:\Programfiler\McAfee\Agent\mctray.exe, som standard) när de loggar in med hjälp av fjärrskrivbordsanslutning. Välj Utför endast en genomsökning när systemet är inaktivt i avsnittet Prestanda på fliken GenomsökningsaktivitetInställningar. Pausar genomsökningar automatiskt Det går att förbättra prestandan genom att pausa genomsökningar på begäran när systemet drivs av batteriet. Det går också att pausa genomsökningen när ett program, till exempel när en webbläsare, mediespelare eller mediepresentation körs i fullskärmsläge. Genomsökningen återupptas meddetsamma när systemet ansluts till nätström eller inte är i fullskärmsläge längre. Välj dessa alternativ i avsnittet Prestanda på fliken GenomsökningsaktivitetInställningar: Gör ingen genomsökning när datorn går på batteridrift Gör ingen genomsökning när datorn är i presentationsläge (tillgänglig när Genomsök när som helst är valt) Låter användare senarelägga genomsökningar Om du väljer Genomsök när som helst kan du låta användare senarelägga en schemalagd genomsökning i en timmes intervaller, upp till 24 timmar, eller för alltid. Varje senareläggning som en användare gör kan vara en timme. Exempel, om alternativet Max antal timmar användare kan senarelägga är inställt på 2, kan användare senarelägga en genomsökning två gånger (två timmar). När max antal timmar har gått fortsätter genomsökningen. Om du tillåter obegränsat antal senareläggningar genom att ställa in alternativet på noll kan användaren fortsätta att senarelägga genomsökningen för alltid. Välj alternativet Användaren kan senarelägga genomsökningen i avsnittet Prestanda på fliken GenomsökningsaktivitetInställningar: Begränsa genomsökningsaktivitet genom att använda inkrementella genomsökningar Använd inkrementella genomsökningar eller återupptagna genomsökningar för att begränsa när genomsökning på begäran inträffar men fortfarande utföra genomsökningar på hela systemet i flera sessioner. Använd inkrementella genomsökningar genom att lägga till en tidsbegränsning i den schemalagda genomsökningen. Genomsökningen stoppas när tidsbegränsningen uppnås. Nästa gång som den här aktiviteten startar, återupptas genomsökningen från den punkt i filen och i mappstrukturen där den tidigare genomsökningen slutade. Välj alternativet Avbryt aktiviteten om den körs längre än i avsnittet Alternativ på fliken Schema för genomsökningsaktivitet. Konfigurera systemanvändning Systemanvändning anger mängden processortid som genomsökningen får under genomsökningen. För system med användaraktivitet, ställ in systemanvändningen på Låg. Välj Systemanvändning i avsnittet Prestanda på fliken Inställningar för genomsökningsaktivitet. Se även Konfigurera Genomsökning på begäran inställningar på sidan 86 Konfigurera, schemalägga och köra genomsökningar på sidan 90 McAfee Endpoint Security 10.2 Produkthandbok 89

90 3 Använda Hotdetektering Hantera Hotdetektering Hur systemanvändning fungerar Genomsökning på begäran använder inställningen Windows Ange prioritet för genomsökning och prioritering av trådar. Systemanvändningens inställning (begränsning) låter operativsystemet ange mängd processortid under genomsökningen på begäran. Om man ställer in systemanvändningen för genomsökning på Låg ger det ökad prestanda för andra program som körs. Den låga inställningen är användbar för system med användaraktivitet. Om man däremot ställer in systemanvändningen på Normal blir genomsökningen klar snabbare. Den normala inställningen är användbar för system som har större volymer och låg användaraktivitet. Varje aktivitet körs separat, oberoende av begränsningarna för andra aktiviteter. Tabell 3-2 Standardprocessinställningar Hotdetektering processinställning Låg Under normal Normal (Standard) Detta alternativ... Ökar prestandan för andra program som körs. Välj detta alternativ för system som har låg användaraktivitet. Ställer in systemanvändningen för genomsökningen enligt McAfee epo standardinställning. Möjliggör en snabbare genomsökning. Välj detta alternativ för system som har större volymer och låg användaraktivitet. Windows Ange prioritet, inställning Låg Under normal Normal Hur genomsökning av Fjärrlagring fungerar Det går att konfigurera genomsökning på begäran att genomsöka innehållet i filer som hanteras av Fjärrlagring. Fjärrlagring övervakar ledigt utrymme i det lokala systemet. Vid behov, migrerar Fjärrlagring automatiskt innehållet (data) från lämpliga filer från klientsystemet till en lagringsenhet, till exempel ett bandbibliotek. När en användare öppnar en fil vars data har migrerats, återkallar Fjärrlagring automatiskt denna data från lagringsenheten. Välj alternativet Filer som har migrerats till lagringsplats för att konfigurera genomsökning på begäran och genomsöka filer som hanteras av Fjärrlagring. Om en fil som innehåller flyttat material upptäcks återställs filen till det lokala systemet före genomsökningen. För mer information, se Vad är Fjärrlagring. Konfigurera, schemalägga och köra genomsökningar Det går att schemalägga standardaktiviteterna Fullständig genomsökning och Snabbgenomsökning, eller att skapa anpassade genomsökningsaktiviteter viaendpoint Security-klient i inställningarna för Delade Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. 90 McAfee Endpoint Security 10.2 Produkthandbok

91 Använda Hotdetektering Hantera Hotdetektering 3 Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 I Delade klickar du påaktiviteter. 5 Konfigurera inställningarna för genomsökningsaktiviteter på sidan. För att... Skapa en anpassad genomsökningsaktivitet. Följ dessa steg 1 Klicka på Lägg till. 2 Ange namnet, välj Anpassad genomsökning i listrutan och klicka sedan på Nästa. 3 Konfigurera inställningarna i och schemaläggningen av genomsökningsaktiviteten och klicka sedan påok för att spara aktiviteten. Ändra en genomsökningsaktivitet. Ta bort en anpassad genomsökningsaktivitet. Skapa en kopia av genomsökningsaktiviteten. Ändra schemat för enfullständig genomsökning eller en snabbgenomsökning. Dubbelklicka på aktiviteten, gör ändringarna och klicka sedan på OK för att spara. Markera aktiviteten och klicka på Ta bort. 1 Markera aktiviteten och klicka på Duplicera. 2 Ange namnet, konfigurera inställningarna och klicka sedan på OK för att spara aktiviteten. 1 Dubbelklicka på Fullständig genomsökning eller Snabbgenomsökning. 2 Klicka på fliken Schemalägg, ändra schemat och klicka sedan på OK för att spara aktiviteten. Det går endast att konfigurera inställningar för Fullständig genomsöknings- och Snabbgenomsökningsaktiviteter i självhanterade system. Den fullständiga genomsökningen är som standard schemalagd att köras varje onsdag vid midnatt. Snabbgenomsökningen är som standard schemalagd att köras varje dag kl Schemaläggningen är aktiverad. Köra en genomsökningsaktivitet. Markera aktiviteten och klicka på Kör nu. Om aktiviteten redan körs (eller är pausad eller uppskjuten) ändras knappen till Visa. Om du vill köra en aktivitet innan ändringarna tillämpas blir du ombedd av Endpoint Security-klient att spara ändringarna. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Logga in som administratör på sidan 27 Konfigurera Genomsökning på begäran inställningar på sidan 86 Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 58 McAfee Endpoint Security 10.2 Produkthandbok 91

92 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Klientgränssnittsreferens Hotdetektering Gränssnittet hjälpavsnitt ger sammanhangsberoende hjälp för sidor i klientgränssnittet. Innehåll Sidan Karantän Hotdetektering Åtkomstskydd Hotdetektering Utnyttjandeskydd Hotdetektering Åtkomstskydd Hotdetektering Genomsökning på begäran Genomsök platser McAfee GTI Åtgärder Lägg till undantag eller Redigera undantag Hotdetektering Alternativ Klientaktiviteten Roll Back AMCore Content (Återställ AMCore-innehåll) Sidan Karantän Hantera objekt i karantän. Tabell 3-3 Alternativ Alternativ Delete (Ta bort) Återställ Sök igenom igen Definition Tar bort markerade objekt från karantänen. Det går inte att återställa borttagna objekt. Återställer objekt från karantänen. Endpoint Security återställer objekten till ursprungsplatsen och tar bort dem från karantänen. Om objektet fortfarande är ett giltigt hot flyttar Endpoint Security det automatiskt tillbaka till karantänen. Söker igenom markerade objekt i karantänen igen. Om objektet inte längre är ett hot återställer Endpoint Security det till ursprungsplatsen och tar bort det från karantänen. Kolumnrubrik Avkänningsnamn Typ Tid i karantän Antal objekt Innehållsversion för AMCore Omsökningsstatus Sorterar karantänlistan efter... Namnet på avkänningen. Typ av hot, exempelvis, Trojan eller reklamprogram. Den tid som objektet har varit i karantän. Antal objekt i avkänningen. Versionsnumret för AMCore-innehållet som identifierade hotet. Status för omsökningen, om objektet har genomsökts på nytt: Rensad Omsökningen kände inte av några hot. Infekterad Endpoint Security kände av ett hot under omsökningen. Se även Hantera objekt som satts i karantän på sidan 62 Avkänningsnamn på sidan 63 Göra en ny genomsökning av objekt i karantän på sidan McAfee Endpoint Security 10.2 Produkthandbok

93 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Hotdetektering Åtkomstskydd Skydda systemets kopplingspunkter baserat på konfigurerade regler. Mer information om konfigurering av loggning hittar du i inställningarna i modulen Delade. Åtkomstskydd jämför en begärd åtgärd med listan över konfigurerade regler och agerar enligt regeln. Metodtips: Information om hur du skapar regler för åtkomstskydd som skyddar mot ransomware finns i PD Tabell 3-4 Alternativ Avsnitt Alternativ Definition ÅTKOMSTSKYDD Aktivera åtkomstskydd Aktiverar åtkomstskyddsfunktionen. Tabell 3-5 Avancerade alternativ Avsnitt Alternativ Beskrivning Undantag Tillåter åtkomst till angivna processer (även kallade körbara filer) för alla regler. Lägg till Lägger till en process i undantagslistan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Regler Konfigurerar åtkomstskyddsregler. Du kan aktivera, inaktivera och ändra dessa McAfee-definierade reglerna men du kan inte ta bort dem. Lägg till Skapar en anpassad regel och lägger till den i listan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Endast blockera Blockerar åtkomstförsök utan att logga dem. Endast rapportera Varnar utan att blockera åtkomstförsök. Blockera och rapportera Blockerar och loggar åtkomstförsök. Metodtips: När alla effekter av en regel inte är kända väljer du Rapportera men inte Blockera för att få en varning men inte förhindra åtkomstförsök. Övervaka loggarna och rapporterna och bestäm sedan om du vill spärra åtkomsten. Blockera eller rapportera alla genom att välja Blockera eller Rapportera i den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. Se även Konfigurera McAfee-definierade regler för åtkomstskydd på sidan 69 Konfigurera användardefinierade regler för åtkomstskydd på sidan 73 Lägg till regel eller Redigera regel på sidan 93 McAfee-definierade regler för åtkomstskydd på sidan 70 Lägg till regel eller Redigera regel Lägg till eller redigera användardefinierade regler för åtkomstskydd. McAfee Endpoint Security 10.2 Produkthandbok 93

94 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Tabell 3-6 Alternativ Avsnitt Alternativ Definition Alternativ Namn Anger eller indikerar namnet på den körbara filen. (obligatoriskt) Åtgärd Anger åtgärder i regeln. Endast blockera Blockerar åtkomstförsök utan att logga dem. Endast rapportera Varnar utan att blockera åtkomstförsök. Blockera och rapportera Blockerar och loggar åtkomstförsök. Metodtips: När alla effekter av en regel inte är kända väljer du Rapportera men inte Blockera för att få en varning men inte förhindra åtkomstförsök. Övervaka loggarna och rapporterna och bestäm sedan om du vill spärra åtkomsten. Blockera eller rapportera alla genom att välja Blockera eller Rapportera i den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. Körbara filer Användarnamn Underregler Anteckningar Anger körbara filer för regeln. Lägg till Skapar en körbar fil och lägger till den i listan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Växla inkluderingsstatus Ändrar den körbara filens inkluderingsstatus till Inkludera eller Undanta. Anger användarnamn som regeln gäller för (endast för användardefinierade regler). Lägg till Skapar ett användarnamn och lägger till det i listan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Växla inkluderingsstatus Ändrar den körbara filens inkluderingsstatus till Inkludera eller Undanta. Konfigurerar underregler (endast för användardefinierade regler). Lägg till Skapar en underregel och lägger till den i listan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Anger mer information om objektet. Se även Lägg till körbar fil eller Redigera körbar fil på sidan 102 Lägg till Användarnamn eller Redigera Användarnamn på sidan 95 Lägg till underregel eller Redigera underregel på sidan McAfee Endpoint Security 10.2 Produkthandbok

95 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Lägg till Användarnamn eller Redigera Användarnamn Lägg till eller redigera användaren som regeln gäller (endast för användardefinierade regler). Tabell 3-7 Alternativ Alternativ Namn Inkluderingsstatus Definition Specificerar namnet på användaren som regeln tillämpas för. Använd detta format för att specificera användaren: Lokal användare Giltiga värden kan vara: <datornamn>\<lokalt_användarnamn>.\<lokalt_användarnamn>.\administrator (för den lokala administratören) Domänanvändare <domain name>\<domain user_name> Lokalt system Local\System specifies the NT AUTHORITY\Systemkontot på systemet. Anger inkluderingsstatus för användaren. Inkludera Aktiverar regeln om den angivna användaren kör den körbara filen som bryter mot en underregel. Undanta Regeln aktiveras inte om den angivna användaren kör den körbara filen som bryter mot en underregel. Se även Lägg till regel eller Redigera regel på sidan 93 Lägg till underregel eller Redigera underregel Lägg till eller redigera en underregel (endast för användardefinierade regler). Tabell 3-8 Alternativ Avsnitt Alternativ Definition Beskrivning Namn Anger namnet på underregeln. Egenskaper Typ av underregel Anger typ av underregel. Om du ändrar underregeltypen försvinner tidigare, definierade poster i Mål-tabellen. Filer Skyddar en fil eller katalog. Exempel: Skapa en anpassad regel för att blockera eller rapportera försök att ta bort Excel-kalkylblad som innehåller känslig information. Registernyckel Skyddar den angivna nyckeln. Registernyckeln innehåller registervärdet. Till exempel, HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run. Registervärde Skyddar det angivna värdet. Registervärden lagras i registernycklarna och kan hänvisas till separat från registernycklarna. Till exempel, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run\Autorun. Processer Skyddar den angivna processen. Exempel: Skapa en anpassad regel för att blockera eller rapportera försök till åtgärder på en process. McAfee Endpoint Security 10.2 Produkthandbok 95

96 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Tabell 3-8 Alternativ (fortsättning) Avsnitt Alternativ Definition Åtgärder Anger vilka åtgärder som är tillåtna enligt underregeltypen. Du måste ange minst en åtgärd för att tillämpa underregeln. Filer: Metodtips: För att undvika försämrade prestanda ska du inte markera åtgärden Läs. Ändra skrivskyddade eller dolda attribut Blockerar eller rapporterar ändringar av dessa attribut för filer i den angivna mappen. Skapa Blockerar eller rapporterar att filer skapas i den angivna mappen. Ta bort Blockerar eller rapporterar att filer raderas i den angivna mappen. Kör Blockerar eller rapporterar att filer körs i den angivna mappen. Ändra behörigheter Blockerar eller rapporterar att behörighetsinställningar ändras för filer i den angivna mappen. Läsa Blockerar eller rapporterar läsbehörighet för de angivna filerna. Byta namn Blockerar eller rapporterar åtkomst för att byta namn för angivna filer. 96 McAfee Endpoint Security 10.2 Produkthandbok

97 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Tabell 3-8 Alternativ (fortsättning) Avsnitt Alternativ Definition Om målet Målfil anges är Byt namn den enda giltiga åtgärden. Skriva Blockerar eller rapporterar skrivbehörighet för de angivna filerna. Registernyckel: Skriva Blockerar eller rapporterar skrivbehörighet för den angivna nyckeln. Skapa Blockerar eller rapporterar skapande av angiven nyckel. Ta bort Blockerar eller rapporterar borttagning av angiven nyckel. Läs Blockerar eller rapporterar läsbehörighet till angiven nyckel. Räkna upp Blockerar eller rapporterar uppräkning av undernycklarna för angiven registernyckel. Ladda Blockerar eller rapporterar möjligheten att ta bort den angivna registernyckeln och dess undernycklar från registret. Ersätt Blockerar eller rapporterar ersättning av angiven registernyckel och dess undernycklar med en annan fil. Återställa Blockerar eller rapporterar möjligheten att spara registerinformation i angiven fil och kopiering av angiven nyckel. Ändra behörigheter Blockerar eller rapporterar att behörighetsinställningar ändras för den angivna registernyckeln och dess undernycklar. Registervärde: Skriva Blockerar eller rapporterar skrivbehörighet för det angivna värdet. Skapa Blockerar eller rapporterar skapande av det angivna värdet. Ta bort Blockerar eller rapporterar borttagning av det angivna värdet. Läsa Blockerar eller rapporterar läsbehörighet för det angivna värdet. Processer: Oavsett behörighet Blockerar eller rapporterar öppningen av en process oavsett behörighet. Skapa en tråd Blockerar eller rapporterar öppningen av en process med behörighet att skapa en tråd. Ändra Blockerar eller rapporterar öppningen av en process med behörighet att ändra. Avsluta Blockerar eller rapporterar öppningen av en process med behörighet att avsluta Kör Blockerar eller rapporterar körning av den angivna målfilen. Du måste lägga till minst en målfil till regeln. För åtgärden Kör genereras en händelse när det görs ett försök att köra målprocessen. För alla andra åtgärder genereras en händelse när målet öppnas. Mål Lägg till Anger mål för regeln. Målen varierar beroende på valet av regeltyp. Du måste lägga till minst ett mål till underregeln. McAfee Endpoint Security 10.2 Produkthandbok 97

98 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Tabell 3-8 Alternativ (fortsättning) Avsnitt Alternativ Definition Klicka på Lägg till, välj inkluderingsstatus och ange eller markera sedan det mål som ska inkluderas eller undantas. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Se även Lägg till regel eller Redigera regel på sidan 93 Mål på sidan 99 Lägg till körbar fil eller Redigera körbar fil på sidan McAfee Endpoint Security 10.2 Produkthandbok

99 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Mål Ange inkluderingsstatus och beskrivning av målet. Tabell 3-9 Alternativ Avsnitt Alternativ Mål Definition Bedömer om målet matchar underregeln. Visar även målets inkluderingstatus. Inkludera Visar att underregeln kan matcha det angivna målet. Undanta Betyder att underregeln inte får matcha det angivna målet. Om du har valt underregeltypen Filer... Anger filnamn, mappnamn, sökväg eller enhetstypmål för en underregel för Filer. Sökväg Bläddra för att välja fil. Målfil Bläddra för att välja namn på målfil eller sökvägen för en Byta namn-åtgärd. Om målet Målfil väljs måste åtgärden Byta namn (enbart) väljas. Enhetstyp Välj enhetstypmål i listrutan: Flyttbar Filer på en USB-enhet eller en annan flyttbar enhet ansluten till en USB-port, inklusive enheter med Windows To Go installerat. Den här enhetstypen inkluderar inte filer på en CD- eller DVD-skiva eller diskett. Vid blockering av den här enhetstypen blockeras också enheter med Windows To Go installerat. Nätverk Filer på en nätverksresurs Fast Filer på den lokala hårddisken eller en annan fast hårddisk CD/DVD Filer på en CD eller DVD Diskett Filer på en diskett Du kan använda?, * och ** som jokertecken. Metodtips för mål för underregeln Filer Om du till exempel vill skydda: En fil eller mapp med namnet c:\testap, använder du målet c:\testap eller c:\testap\ Innehållet i en mapp, använder du jokertecknet asterisk c:\testap \* Innehållet i en mapp och dess undermappar, använder du 2 asterisker c:\testap\** Det finns stöd för systemmiljövariabler. Miljövariabler anges i något av följande format: $(EnvVar) - $(SystemDrive), $(SystemRoot) %EnvVar% - %SystemRoot%, %SystemDrive% Alla systemdefinierade miljövariabler är inte åtkomliga via $ (var)-syntax, närmare bestämt sådana som innehåller eller-tecken. Undvik detta problem genom att använda %var%-syntax. Det finns inte stöd för miljövariabler för användare. McAfee Endpoint Security 10.2 Produkthandbok 99

100 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Tabell 3-9 Alternativ (fortsättning) Avsnitt Alternativ Om du har valt underregeltypen Registernyckel Definition Definieras registernycklar med hjälp av rotnycklar. Dessa rotnycklar stöds: HKLM eller HKEY_LOCAL_MACHINE HKCU eller HKEY_CURRENT_USER HKCR eller HKEY_CLASSES_ROOT HKCCS matchar HKLM/SYSTEM/CurrentControlSet och HKLM/ SYSTEM/ControlSet00X HKLMS matchar HKLM/Software i 32- och 64-bitarssystem, och HKLM/Software/Wow6432Node endast i 64-bitarssystem HKCUS matchar HKCU/Software i 32- och 64-bitarssystem, och HKCU/Software/Wow6432Node endast i 64-bitarssystem HKULM behandlas både som HKLM och HKCU HKULMS behandlas både som HKLMS och HKCUS HKALL behandlas både som HKLM och HKU Du kan använda?, * och ** som jokertecken, samt (vertikalstreck) som ett escape-tecken. Metodtips för mål för underregeln Registernyckel Om du till exempel vill skydda: En registernyckel med namnet HKLM\SOFTWARE\testap, använder du målet HKLM\SOFTWARE\testap eller HKLM\SOFTWARE\testap\ Innehållet i en registernyckel, använd du jokertecknet asterisk HKLM\SOFTWARE\testap\* Innehållet i en registernyckel och dess undernycklar, använder du 2 asterisker HKLM\SOFTWARE\testap\** Registernycklar och registervärden under en registernyckel, aktiverar du åtgärden Skriva 100 McAfee Endpoint Security 10.2 Produkthandbok

101 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Tabell 3-9 Alternativ (fortsättning) Avsnitt Alternativ Om du har valt underregeltypen Registervärde Om du har valt underregeltypen Processer... Definition Definieras registervärden med hjälp av rotnycklar. Dessa rotnycklar stöds: HKLM eller HKEY_LOCAL_MACHINE HKCU eller HKEY_CURRENT_USER HKCR eller HKEY_CLASSES_ROOT HKCCS matchar HKLM/SYSTEM/CurrentControlSet och HKLM/ SYSTEM/ControlSet00X HKLMS matchar HKLM/Software i 32- och 64-bitarssystem, och HKLM/Software/Wow6432Node endast i 64-bitarssystem HKCUS matchar HKCU/Software i 32- och 64-bitarssystem, och HKCU/Software/Wow6432Node endast i 64-bitarssystem HKULM behandlas både som HKLM och HKCU HKULMS behandlas både som HKLMS och HKCUS HKALL behandlas både som HKLM och HKU Du kan använda?, * och ** som jokertecken, samt (vertikalstreck) som ett escape-tecken. Metodtips för mål för underregeln Registervärde Om du till exempel vill skydda: Ett registervärde med namnet HKLM\SOFTWARE\testap, använder du målet HKLM\SOFTWARE\testap Registervärden under en registreringsnyckel, använder du jokertecknet asterisk HKLM\SOFTWARE\testap\* Registervärden under en registreringsnyckel och dess undernycklar, använder du 2 asterisker HKLM\SOFTWARE\testap\** Anger processens filnamn eller sökväg, MD5-hash eller undertecknare målet för en underregel av typen Processer. Du kan använda?, * och ** som jokertecken för alla utom MD5-hash. Metodtips för mål för underregeln Processer Om du till exempel vill skydda: En process med namnet c:\testap.exe, använder du filnamnet eller sökvägen c:\testap.exe som mål Alla processer i en mapp, använder du jokertecknet asterisk c: \testap\* Alla processer i en mapp och dess undermappar, använder du 2 asterisker c:\testap\** Se även Lägg till underregel eller Redigera underregel på sidan 95 McAfee Endpoint Security 10.2 Produkthandbok 101

102 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Lägg till körbar fil eller Redigera körbar fil Lägg till eller redigera en körbar fil som ska exkluderas eller inkluderas. För åtkomstskydd i Hotdetektering kan du exkludera körbara filer på principnivå, eller inkludera och exkludera på regelnivå. För dynamisk programinneslutning i Hotinformation kan du exkludera körbara filer på principnivå. Tänk på följande när du anger exkluderingar (även kallade undantag) och inkluderingar: Du måste ange minst en identifierare: Filnamn eller sökväg, MD5-hash eller Undertecknare. Om du anger fler än en identifierare, gäller alla identifierare. Om du anger fler än en identifierare och de inte matchar varandra (om till exempel filnamnet och MD5-hashen inte gäller samma fil), är exkluderingen eller inkluderingen ogiltig. Exkluderingar och inkluderingar är skiftlägeskänsliga. Jokertecken är tillåtna för alla utom MD5-hash. Tabell 3-10 Alternativ Alternativ Namn Inkluderingsstatus Filnamn eller sökväg MD5-hash Definition Anger namnet på den körbara filen. Det här fältet är obligatoriskt i minst ett ytterligare fält: Filnamn eller sökväg, MD5-hash, eller Undertecknare. Bedömer inkluderingsstatus för den körbara filen. Inkludera Aktiverar regeln om den körbara filen bryter mot en underregel. Undanta Aktiverar inte regeln om den körbara filen bryter mot en underregel. Inkluderingsstatus visas bara för åtkomstskydd i Hotdetektering när en körbar fil läggs till i en regel eller målet för underregeln Processer. Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja körbar fil. Filsökvägen kan innehålla jokertecken. Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). 102 McAfee Endpoint Security 10.2 Produkthandbok

103 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Tabell 3-10 Alternativ (fortsättning) Alternativ Undertecknare Definition Aktivera kontroll av digital signatur Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypteringshash. Om aktiverad, ange: Tillåt alla signaturer Tillåter filer signerade av alla undertecknare. Signerad av Tillåter endast filer signerade av den specifika processundertecknaren. Ett unikt undertecknarnamn är obligatoriskt för den körbara filen och det måste stämma överens exakt med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee epo. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt undertecknarnamn: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Ämne. Det unika undertecknarnamnet visas. Firefox har till exempel det här unika undertecknarnamnet: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Kalifornien C = USA Anteckningar Anger mer information om objektet. Se även Lägg till regel eller Redigera regel på sidan 93 Hotdetektering Utnyttjandeskydd Aktivera och konfigurera Utnyttjandeskydd för att förhindra att utnyttjat buffertspill kör skadlig kod på datorn. Mer information om konfigurering av loggning hittar du i inställningarna i modulen Delade. Host Intrusion Prevention 8.0 kan installeras i samma system som Endpoint Security Om McAfee Host IPS är aktiverat så inaktiveras utnyttjandeskyddet, även om det är aktiverat i principinställningarna. McAfee Endpoint Security 10.2 Produkthandbok 103

104 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Tabell 3-11 Alternativ Avsnitt Alternativ Definition UTNYTTJANDESKYDD Aktivera utnyttjandeskydd Aktiverar funktionen för utnyttjandeskydd. Om du inte aktiverar det här alternativet har datorn inget skydd mot angrepp från skadlig programvara. Tabell 3-12 Avancerade alternativ Avsnitt Alternativ Definition Skyddsnivå Standard Specificerar skyddsnivån för utnyttjandeskydd. Identifierar och blockerar endast utnyttjat buffertspill med hög allvarlighetsgrad som identifierats i innehållsfiler för utnyttjandeskydd och stoppar det identifierade hotet. Använd funktionen i läget Standard under ett kort tag. Studera loggfilen under den tiden för att fastställa om du bör ändra till Maximalt skydd. Allmän detektering av behörighetseskalering Windows dataexekveringsskydd Åtgärd Maximalt Aktivera allmän detektering av behörighetseskalering Aktiverar Windows dataexekveringsskydd Identifierar och blockerar utnyttjat buffertspill med hög och medelhög allvarlighetsgrad som identifierats i innehållsfiler för utnyttjandeskydd och stoppar det identifierade hotet. Den här inställningen kan leda till falsklarm. Aktivera stöd för allmän detektering av behörighetseskalering. (Inaktiverad som standard) GPEP använder GPEP-signaturer i innehållet i utnyttjandeskydd för att erbjuda skydd för utnyttjande av behörighetseskalering i kernelläge och användarläge. Eftersom GPEP kan generera falska positiva rapporter är detta alternativ inaktiverat som standard. Aktiverar integration med Windows Dataexekveringsskydd (DEP). (Inaktiverad som standard) Välj det här alternativet för att: Aktivera DEP för 32-bitarsprogram i McAfees programskyddslista och det inte redan är aktiverat, och använd det istället för allmänt skydd mot buffertspill (GBOP). Validering av anropare och riktad API-övervakning tillämpas fortfarande. Övervakning av DEP-avkänningar i DEP-aktiverade 32-bitarsprogram. Övervakning av DEP-avkänningar i 64-bitarsprogram i McAfees programskyddslista. Logga alla DEP-avkänningar och skicka en händelse till McAfee epo. Om det här alternativet inaktiveras, påverkas inga processer som har DEP aktiverat till följd av Windows DEP-princip. Anger åtgärderna för Blockera eller Rapportera i utnyttjandeskyddet. Om Windows dataexekveringsskydd är aktiverat är rapportinställningen inte tillgänglig. 104 McAfee Endpoint Security 10.2 Produkthandbok

105 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Tabell 3-12 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Blockera Blockera angiven process. MarkeraBlockera för att aktivera utnyttjandeskyddet eller inaktivera det genom att avmarkera. Om du vill förhindra åtkomstförsök utan att logga dem markerar du Blockera men interapportera. Rapport Aktiverar rapportering av alla försök till överträdelse av utnyttjandeskyddet. När en fil identifieras, registreras information i aktivitetsloggen. Metodtips: När alla effekter av en regel inte är kända väljer du Rapportera men inte Blockera för att få en varning men inte förhindra åtkomstförsök. Övervaka loggarna och rapporterna och bestäm sedan om du vill spärra åtkomsten. Undantag Anger process, anroparmodul eller API som ska undantas. Undantag i anroparmodulen eller API gäller inte för DEP. Lägg till Skapar ett undantag och lägger till det i listan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Se även Konfigurera Utnyttjandeskydd -inställningar på sidan 77 Lägg till undantag eller Redigera undantag på sidan 105 Lägg till undantag eller Redigera undantag Lägg till eller redigera undantag för utnyttjandeskydd. Du måste ange minst en process, anroparmodul eller API. Undantag i anroparmodulen eller API gäller inte för DEP. Tänk på följande när du anger undantag: Du måste ange minst en identifierare: Filnamn eller sökväg, MD5-hash eller Undertecknare. Om du anger fler än en identifierare, gäller alla identifierare undantaget. Om du anger fler än en identifierare och de inte matchar varandra (om till exempel filnamnet och MD5-hashen inte gäller samma fil), är undantaget ogiltigt. Undantag är skiftlägeskänsliga. Jokertecken är tillåtna för alla utom MD5-hash. McAfee Endpoint Security 10.2 Produkthandbok 105

106 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Tabell 3-13 Alternativ Avsnitt Alternativ Definition Process Namn Ange namnet på processen som ska undantas. Utnyttjandeskydd undantar processen var den än finns. Det här fältet är obligatoriskt i minst ett ytterligare fält: Filnamn eller sökväg, MD5-hash, eller Undertecknare. Filnamn eller sökväg MD5-hash Undertecknare Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja körbar fil. Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). Aktivera kontroll av digital signatur Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypteringshash. Om aktiverad, ange: Tillåt alla signaturer Tillåter filer signerade av alla undertecknare. Signerad av Tillåter endast filer signerade av den specifika processundertecknaren. Ett unikt undertecknarnamn är obligatoriskt för den körbara filen och det måste stämma överens exakt med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee epo. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt undertecknarnamn: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Ämne. Det unika undertecknarnamnet visas. Firefox har till exempel det här unika undertecknarnamnet: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Kalifornien C = USA Anroparmodul Namn Anger namnet på modulen som äger det skrivbara minnet som anropar. Det här fältet är obligatoriskt i minst ett ytterligare fält: Filnamn eller sökväg, MD5-hash, eller Undertecknare. Filnamn eller sökväg MD5-hash Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja körbar fil. Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). 106 McAfee Endpoint Security 10.2 Produkthandbok

107 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Tabell 3-13 Alternativ (fortsättning) Avsnitt Alternativ Definition Undertecknare Aktivera kontroll av digital signatur Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypteringshash. Om aktiverad, ange: Tillåt alla signaturer Tillåter filer signerade av alla undertecknare. Signerad av Tillåter endast filer signerade av den specifika processundertecknaren. Ett unikt undertecknarnamn är obligatoriskt för den körbara filen och det måste stämma överens exakt med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee epo. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt undertecknarnamn: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Ämne. Det unika undertecknarnamnet visas. Firefox har till exempel det här unika undertecknarnamnet: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Kalifornien C = USA API Namn Anger namnet på det API (Application programming interface) som anropas. Anteckningar Anger mer information om objektet. Se även Hotdetektering Utnyttjandeskydd på sidan 103 Undanta processer i utnyttjandeskyddet på sidan 77 Hotdetektering Åtkomstskydd Aktiverar och konfigurerar inställningar för genomsökning vid åtkomst. Mer information om konfigurering av loggning hittar du i inställningarna i modulen Delade. McAfee Endpoint Security 10.2 Produkthandbok 107

108 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Tabell 3-14 Alternativ Avsnitt Alternativ Definition GENOMSÖKNING VID ÅTKOMST Aktivera genomsökning vid åtkomst Aktiverar funktionen Genomsökning vid åtkomst. (aktiverad som standard) Aktivera genomsökning vid åtkomst vid systemstart Anger högsta antal sekunder för varje filgenomsökning Genomsök startsektorer Aktiverar funktionen Genomsökning vid åtkomst varje gång du startar datorn. (aktiverad som standard) Begränsar varje filgenomsökning till angivet antal sekunder. (aktiverad som standard) Standardvärdet är 45 sekunder. Om en genomsökning överskrider tidsgränsen stoppas den på korrekt sätt och ett meddelande loggas. Undersöker diskens startsektor. (aktiverad som standard) Metodtips: Inaktivera genomsökningen av startsektorn om en disk innehåller en särskild eller ovanlig startsektor som inte kan genomsökas. Genomsökningsprocesser vid start av tjänst och innehållsuppdatering Genomsöker processerna som finns i minnet på nytt var gång som du: Du återaktiverar genomsökning vid åtkomst. Innehållsfiler uppdateras. Systemet startas. Processen McShield.exe startas. Metodtips: Eftersom vissa program eller körbara filer startar automatiskt när du slår på datorn, kan du inaktivera alternativet för att förkorta starttiden. (Inaktiverad som standard) Samtliga processer genomsöks så fort de körs i systemet när Genomsökning vid åtkomst är aktiverat. Genomsök betrodda installationsprogram Genomsöker MSI-filer (installerade av msiexec.exe och signerade av McAfee eller Microsoft) eller Windows Trusted Installer-tjänstefiler. (Inaktiverad som standard) Metodtips: Inaktivera detta alternativ för att förbättra prestanda hos stora Microsoft-installationsprogram. Utför en genomsökning vid kopiering mellan lokala mappar Utför en genomsökning av filer när användaren kopierar filer från en lokal mapp till en annan. Om det här alternativet är: Inaktiverad Endast objekt i målmappen som genomsöks. Aktiverad Objekt i både källmappar (läs) och målmappar (skriv) genomsöks. (Inaktiverad som standard) 108 McAfee Endpoint Security 10.2 Produkthandbok

109 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Tabell 3-14 Alternativ (fortsättning) Avsnitt Alternativ Definition McAfee GTI Aktiverar och konfigurerar McAfee GTI-inställningar. ScriptScan Aktivera ScriptScan Förhindrar att oönskade skript körs genom att aktivera genomsökning av skript från JavaScript och VBScript. (aktiverad som standard) Om ScriptScan är inaktiverat när Internet Explorer startas och sedan aktiveras, kan det inte identifiera skadliga skript i denna instans av Internet Explorer. Internet Explorer måste startas om när ScriptScan har aktiverats så att skadliga skript kan identifieras. Undanta dessa URL:er Anger ScriptScan-undantag efter URL. Lägger till webbadresser i undantagslistan. Ta bort Tar bort webbadresser från undantagslistan. URL:er får inte innehålla jokertecken. En URL-adress som innehåller en sträng från en undantagen URL-adress kommer också att uteslutas. Om exempelvis URL-adressen msn.com undantas, undantas alla webbadresser med den strängen: I system med Windows Server 2008 går det inte att undanta webbadresser från ScriptScan i Internet Explorer, såvida du inte aktiverar webbläsartillägg från tredjepart och startar om systemet. Se KnowledgeBase-artikeln KB Tabell 3-15 Avancerade alternativ Avsnitt Alternativ Definition Meddelandetjänst för hotavkänning Visa fönstret Genomsökning vid åtkomst när ett hot upptäcks Visar sidan Genomsökning vid åtkomst med det angivna meddelandet till klientanvändare när ett hot upptäcks. (aktiverad som standard) När det här alternativet är valt kan användare öppna den här sidan från sidan Genomsök nu varje gång som avkänningslistan innehåller minst ett hot. Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. Meddelande Anger meddelandet som ska visas för klientanvändarna när ett hot identifieras. Standardmeddelandet är: McAfee Endpoint Security har upptäckt ett hot. Processinställningar Använd standardinställningar för alla processer Konfigurera olika inställningar för processer som klassificeras som hög och låg risk Tillämpar samma konfigurerade inställningar till samtliga processer under en genomsökning vid åtkomst. Konfigurerar olika inställningar för genomsökning för varje processtyp som du identifierar. McAfee Endpoint Security 10.2 Produkthandbok 109

110 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Tabell 3-15 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Standard Konfigurerar inställningar för processer som varken klassificeras som hög eller låg risk. (aktiverad som standard) Genomsökning Hög risk Låg risk Lägg till Delete (Ta bort) När ska genomsökning ske When writing to disk (Vid skrivning till disk) When reading from disk (Vid läsning från disk) Let McAfee decide (Låt McAfee bedöma) Konfigurerar inställningar för processer som klassificeras som hög risk. Konfigurerar inställningar för processer som klassificeras som låg risk. Lägger till en process i listan Hög risk eller Låg risk. Tar bort en process från listan Hög risk eller Låg risk. Försöker genomsöka alla filer när de skrivs till eller ändras på datorn eller i andra datalagringsenheter. Genomsöker alla filer när de läses på datorn eller andra datalagringsenheter. Tillåter McAfee att bedöma om en fil ska genomsökas med hjälp av inbyggd logik för att optimera genomsökningen. Inbyggd logik förstärker säkerhet och förbättrar prestanda genom att undvika onödiga genomsökningar. Metodtips: Aktivera detta alternativ för bästa skydd och prestanda. Utför inte genomsökning vid läsning till eller skrivning från skiva Vad ska genomsökas Alla filer Anger att inte endast utföra genomsökning av processer med Låg risk. Genomsöker alla filer, oavsett tillägg. Om du inte aktiverar Alla filer har datorn inget skydd mot angrepp av skadlig programvara. Standard- och angivna filtyper Endast angivna filtyper On network drives (På nätverksenheter) Genomsökningar: Standardlista över filtillägg i den aktuella AMCore-innehållsfilen, inklusive filer utan tillägg Ytterligare filtillägg som du anger Avgränsa tillägg med komma Kända makrohot i listan över standardfiltillägg och specificerade filtillägg (valfritt) Genomsöker en eller båda: Endast filer med angivna kommaseparerade tillägg Alla filer utan tillägg Söker igenom resurser på mappade nätverksenheter. Metodtips: Inaktivera detta alternativ för att förbättra prestanda. 110 McAfee Endpoint Security 10.2 Produkthandbok

111 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Tabell 3-15 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Har öppnats för säkerhetskopiering Genomsöker filer vid åtkomst från säkerhetskopieringsprogram. Metodtips: Den här inställningen behöver i de flesta miljöer inte aktiveras. Compressed archive files (Komprimerade arkivfiler) Undersöker innehållet i arkivfiler (komprimerade), inklusive jar-filer. Genomsökning av komprimerade filer kan påverka systemets prestanda negativt. Compressed MIME-encoded files (Komprimerade MIME-kodade filer) Ytterligare genomsökningsalternativ Känn av oönskade program Känner av, avkodar och söker igenom MIME-kodade (Multipurpose Internet Mail Extensions) filer. Gör det möjligt att känna av eventuellt oönskade program i genomsökningen. Under genomsökningen används den information som du har konfigurerat i inställningarna för Hotdetektering Alternativ för att identifiera eventuellt oönskade program. Åtgärder Undantag Känn av okända programhot Känn av okända makrohot Lägg till Delete (Ta bort) Använder McAfee GTI för att identifiera körbara filer som innehåller kod som påminner om skadlig programvara. Använder McAfee GTI för att identifiera okända makrovirus. Anger hur genomsökningen ska reagera när ett hot upptäcks. Anger vilka filer, mappar och enheter som inte ska kontrolleras vid genomsökningar. Lägger till objekt i undantagslistan. Tar bort objekt från undantagslistan. Se även Konfigurera Genomsökning vid åtkomst inställningar på sidan 81 McAfee GTI på sidan 117 Åtgärder på sidan 118 Lägg till undantag eller Redigera undantag på sidan 120 Hotdetektering Genomsökning på begäran Konfigurera inställningarna för Genomsökning på begäran för de förkonfigurerade och anpassade genomsökningar som körs i ditt system. Mer information om konfigurering av loggning hittar du i inställningarna i modulen Delade. McAfee Endpoint Security 10.2 Produkthandbok 111

112 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Dessa inställningar anger genomsökningens beteende när du: Välj Fullständig genomsökning eller Snabbgenomsökning på sidan Genomsök nu i Endpoint Security-klient. Kör en anpassad genomsökning på begäran som administratör via Inställningar Delade Aktiviteter i Endpoint Security-klient. Högerklicka på en fil eller mapp och markera Sök efter hot i snabbmenyn. Tabell 3-16 Alternativ Avsnitt Alternativ Definition Vad ska genomsökas Startsektorer Undersöker diskens startsektor. Metodtips: Inaktivera genomsökningen av startsektorn om en disk innehåller en särskild eller ovanlig startsektor som inte kan genomsökas. Filer som har migrerats till lagringsplats Compressed MIME-encoded files (Komprimerade MIME-kodade filer) Compressed archive files (Komprimerade arkivfiler) Genomsöker de filer som hanteras av funktionen Fjärrlagring. I vissa lagringslösningar för offlinedata ersätts filerna med ett filfragment. Om ett filfragment upptäcks, vilket betyder att filen har migrerats, återställs filen till det lokala systemet innan genomsökningen startar. Vi rekommenderar att du inaktiverar det här alternativet. Känner av, avkodar och söker igenom MIME-kodade (Multipurpose Internet Mail Extensions) filer. Undersöker innehållet i arkivfiler (komprimerade), inklusive jar-filer. Metodtips: Använd inte det här alternativet under arbetstid eftersom genomsökning av komprimerade filer kan påverka systemets prestanda negativt. Ytterligare genomsökningsalternativ Genomsökningsplatser Undermappar (endast högerklicksgenomsökning) Känn av oönskade program Känn av okända programhot Känn av okända makrohot (endast Fullständig genomsökning och Snabbgenomsökning) Undersöker samtliga undermappar i den angivna mappen. Gör det möjligt att känna av eventuellt oönskade program i genomsökningen. Under genomsökningen används den information som du har konfigurerat i inställningarna för Hotdetektering Alternativ för att identifiera eventuellt oönskade program. Använder McAfee GTI för att identifiera körbara filer som innehåller kod som påminner om skadlig programvara. Använder McAfee GTI för att identifiera okända makrovirus. Specificerar de platser som ska genomsökas. Dessa alternativ gäller endast Fullständig genomsökning, Snabbgenomsökning och anpassade genomsökningar. 112 McAfee Endpoint Security 10.2 Produkthandbok

113 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Tabell 3-16 Alternativ (fortsättning) Avsnitt Alternativ Definition Filtyper som ska genomsökas Alla filer Genomsöker alla filer, oavsett tillägg. McAfee rekommenderar starkt att du aktiverar Alla filer. Om du inte aktiverar Alla filer har datorn inget skydd mot angrepp av skadlig programvara. Standard- och angivna filtyper Endast angivna filtyper Genomsökningar: Standardlista över filtillägg i den aktuella AMCore-innehållsfilen, inklusive filer utan tillägg Ytterligare filtillägg som du anger Avgränsa tillägg med komma Kända makrohot i listan över standardfiltillägg och specificerade filtillägg (valfritt) Genomsöker en eller båda: Endast filer med angivna kommaseparerade tillägg Alla filer utan tillägg McAfee GTI Undantag Åtgärder Lägg till Delete (Ta bort) Aktiverar och konfigurerar McAfee GTI-inställningar. Anger vilka filer, mappar och enheter som inte ska kontrolleras vid genomsökningar. Lägger till objekt i undantagslistan. Tar bort objekt från undantagslistan. Anger hur genomsökningen ska reagera när ett hot upptäcks. Prestanda Använd genomsökningsminnet Gör det möjligt att använda befintliga, rensade resultat i genomsökningen. Välj det här alternativet för att reducera duplicerad genomsökning och förbättra prestanda. McAfee Endpoint Security 10.2 Produkthandbok 113

114 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Tabell 3-16 Alternativ (fortsättning) Avsnitt Alternativ Definition Systemanvändning Låter operativsystemet ange mängden processortid under genomsökningen. Varje aktivitet körs separat, oberoende av begränsningarna för andra aktiviteter. Låg Ger ökade prestanda för andra program som körs. Metodtips: Välj detta alternativ för system som har användaraktivitet. Under normal Ställer in genomsökningens systemanvändning enligt McAfee epo-standard. Normal (standard) Möjliggör snabbare genomsökning. Metodtips: Välj detta alternativ för system som har större volymer och låg användaraktivitet. Alternativ för schemalagd genomsökning Dessa alternativ gäller endast Fullständig genomsökning, Snabbgenomsökning och anpassade genomsökningar. Utför endast en genomsökning när systemet är inaktivt Genomsök när som helst Utför endast en genomsökning när systemet är i viloläge. Hotdetektering pausar genomsökningen när systemet används via tangentbordet eller musen. Hotdetektering återupptar genomsökningen när användaren (och processorn) varit i inaktiv i fem minuter. Inaktivera detta alternativ i serversystem och system som användare endast kommer åt med hjälp av fjärranslutning. Hotdetektering är beroende av McTray för att fastställa om systemet är i viloläge. McTray startar inte på system som endast kan kommas åt med hjälp av fjärrskrivbordsanslutning och genomsökning på begäran körs aldrig. Användare kan undvika det här problemet genom att starta McTray manuellt (från C:\Programfiler\McAfee\Agent\mctray.exe, som standard) när de loggar in med hjälp av fjärrskrivbordsanslutning. Kör genomsökningen även om användaren är aktiv och anger genomsökningsalternativ. 114 McAfee Endpoint Security 10.2 Produkthandbok

115 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Tabell 3-16 Alternativ (fortsättning) Avsnitt Alternativ Definition Användare kan senarelägga schemalagda genomsökningar Låter användaren senarelägga genomsökningar och anger alternativ för senareläggning av genomsökning. Maximalt antal gånger användaren kan senarelägga med en timme Anger antal gånger (1 23) som genomsökningen kan senareläggas med en timme. Användarmeddelande Anger vilket meddelande som visas när genomsökningen startar. Standardmeddelandet är: McAfee Endpoint Security kommer strax att utföra en genomsökning av systemet. Meddelandevaraktighet (sekunder) Anger hur många sekunder som användarmeddelandet visas när genomsökningen startar. Giltigt intervall för meddelandevaraktighet är ; standardinställningen är 45 sekunder. Gör ingen genomsökning när datorn går på batteridrift Genomsök inte när datorn är i presentationsläge Senarelägger genomsökningen om datorn är i presentationsläge. Senarelägger genomsökning när datorn använder batteriet. Se även Konfigurera Genomsökning på begäran inställningar på sidan 86 Konfigurera, schemalägga och köra genomsökningar på sidan 90 Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 58 Genomsöka en fil eller mapp på sidan 60 Genomsök platser på sidan 115 McAfee GTI på sidan 117 Åtgärder på sidan 118 Lägg till undantag eller Redigera undantag på sidan 120 Genomsök platser Anger de platser som ska genomsökas. Dessa alternativ gäller endast Fullständig genomsökning, Snabbgenomsökning och anpassade genomsökningar. McAfee Endpoint Security 10.2 Produkthandbok 115

116 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Tabell 3-17 Alternativ Avsnitt Alternativ Definition Genomsökningsplatser Genomsök undermappar Undersöker alla undermappar på de angivna volymerna när någon av dessa alternativ markeras: Arbetsmapp Mapp för användarprofil Mappen Programfiler Mappen Temp Fil eller mapp Avmarkera det här alternativet om du enbart vill genomsöka volymernas rotnivå. Specificera platser Minne för rootkits Specificerar de platser som ska genomsökas. Lägg till Lägger till en plats i genomsökningen. Klicka på Lägg till och markera därefter platsen från listrutan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort en plats från genomsökningen. Markera platsen och klicka på Ta bort. Söker igenom systemminnet efter installerade rootkits, dolda processer och andra beteenden som kan tyda på att det finns dold skadlig programvara. Den här genomsökningen görs före alla andra genomsökningar. Om du inte aktiverar det här alternativet har datorn inget skydd mot angrepp från skadlig programvara. Pågående processer Genomsöker alla pågående processer i minnet. Andra åtgärder förutom Rensa filer behandlas som Fortsätt genomsökning. Om du inte aktiverar det här alternativet har datorn inget skydd mot angrepp från skadlig programvara. Registrerade filer Den här datorn Alla lokala enheter Alla fasta enheter Alla flyttbara enheter Alla mappade enheter Arbetsmapp Mapp för användarprofil Windows-mapp Genomsöker filer som Windows-registret hänvisar. Genomsökningen utför genomsökning på registret efter filnamn, och fastställer om filerna finns, skapar en lista över filer som ska genomsökas och genomsöker därefter filerna. Söker igenom alla enheter som är fysiskt anslutna till datorn eller logiskt mappade till en enhetsbeteckning på datorn. Söker igenom alla enheter och deras undermappar på datorn. Söker igenom alla enheter som är fysiskt anslutna till datorn. Genomsöker alla flyttbara enheter och andra lagringsenheter som är anslutna till datorn utom enheter med Windows To Go installerat. Söker igenom nätverksenheter som är logiskt mappade till en enhetsbeteckning på datorn. Söker igenom arbetsmappen för den användare som startar sökningen. Söker igenom profilen för den användare som startar genomsökningen, inklusive användarens mapp Mina dokument. Söker igenom innehållet i Windows-mappen. 116 McAfee Endpoint Security 10.2 Produkthandbok

117 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Tabell 3-17 Alternativ (fortsättning) Avsnitt Alternativ Definition Mappen Programfiler Mappen Temp Papperskorgen Fil eller mapp Se även Hotdetektering Genomsökning på begäran på sidan 111 Söker igenom innehållet i mappen Programfiler. Söker igenom innehållet i mappen Temp. Söker igenom innehållet i papperskorgen. Söker igenom den angivna filen eller mappen. McAfee GTI Aktivera och konfigurera inställningar för McAfee GTI (Global Threat Intelligence). Tabell 3-18 Alternativ Avsnitt Aktivera McAfee GTI Känslighetsnivå Alternativ Definition Aktiverar och inaktiverar heuristisk kontroll. När det här alternativet är aktiverat skickas fingeravtryck av prov eller hash-värden till McAfee Labs där skadlig programvara identifieras. När hash-värden skickas kan avkänning bli tillgänglig snabbare, före nästa uppdatering av AMCore-innehållsfil när McAfee Labs publicerar uppdateringen. När funktionen är inaktiverad skickas inga fingeravtryck eller data till McAfee Labs. Konfigurerar känslighetsnivån som används för att fastställa om ett identifierat prov innehåller skadlig programvara. Ju högre känslighetsnivån är desto högre är avkänningen av skadlig programvara. Fler avkänningar kan däremot resultera i fler falskt positiva resultat. Mycket låg Låg Avkänningar och risken för falska positiva resultat är densamma som för vanliga AMCore-innehållsfiler. En avkänning blir tillgänglig för Hotdetektering när McAfee Labs publicerar den istället för att vänta på nästa uppdatering av AMCore-innehållsfil. Använd den här inställningen för bordsdatorer och servrar med begränsade användarrättigheter och stark säkerhetsfunktionalitet. Den här inställningen ger ett genomsnitt på frågor per dag, per dator. Den här inställningen är den lägsta rekommenderade inställningen för bärbara datorer eller bordsdatorer och servrar med stark säkerhetsfunktionalitet. Den här inställningen ger ett genomsnitt på frågor per dag, per dator. McAfee Endpoint Security 10.2 Produkthandbok 117

118 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Tabell 3-18 Alternativ (fortsättning) Avsnitt Alternativ Definition Medel Använd den här nivån när den allmänna risken för exponering för skadlig programvara är större än risken för falskt positivt resultat. McAfee Labs egna heuristiska kontroller resulterar i avkänningar som med stor sannolikhet är skadlig programvara. Vissa avkänningar kan däremot resultera i falskt positiva resultat. Med den här inställningen kontrollerar McAfee Labs att populära program och systemfiler för operativsystem inte resulterar i ett falskt positivt resultat. Den här inställningen är den lägsta rekommenderade inställningen för bärbara datorer eller bordsdatorer och servrar. Den här inställningen ger ett genomsnitt på frågor per dag, per dator. Hög Mycket hög Använd den här inställningen för system eller områden som infekteras regelbundet. Den här inställningen ger ett genomsnitt på frågor per dag, per dator. McAfee rekommenderar att endast använda den här nivån vid genomsökning av volymer och kataloger som saknar stöd för körning av program eller operativsystem. Avkänningar som hittas på den här nivån antas vara skadliga, men har inte testats fullt ut för att se om de är falska positiva resultat. Metodtips: Använd den här inställningen för volymer för icke-operativsystem. Den här inställningen ger ett genomsnitt på frågor per dag, per dator. Se även Hotdetektering Åtkomstskydd på sidan 107 Hotdetektering Genomsökning på begäran på sidan 111 Webbkontroll Alternativ på sidan 162 Åtgärder Ange hur genomsökningen ska reagera när ett hot upptäcks. Tabell 3-19 Alternativ Avsnitt Alternativ Definition Genomsökningstyp Första svar vid hotavkänning Neka åtkomst till filer Fortsätt genomsökning Genomsökning vid åtkomst Genomsökning på begäran Anger den första åtgärden som genomsökningen ska vidta när ett hot upptäcks. Förhindrar användare från att få åtkomst till filer med potentiella hot. Fortsätter genomsökning av filer när ett hot identifieras. Genomsökningen flyttar inte objekt till karantänen. 118 McAfee Endpoint Security 10.2 Produkthandbok

119 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Tabell 3-19 Alternativ (fortsättning) Avsnitt Alternativ Definition Genomsökningstyp Om första svar misslyckas Första svar vid oönskade program Rensa filer Ta bort filer Neka åtkomst till filer Fortsätt genomsökning Ta bort filer Tar bort hotet från den identifierade filen, om det är möjligt. Tar bort filer med potentiella hot. Genomsökning vid åtkomst Genomsökning på begäran Anger åtgärden som genomsökningen ska vidta när ett hot identifieras och den första åtgärden misslyckas. Förhindrar användare från att få åtkomst till filer med potentiella hot. Fortsätter genomsökning av filer när ett hot identifieras. Genomsökningen flyttar inte objekt till karantänen. Tar bort filer med potentiella hot. Anger den första åtgärd som genomsökningen ska vidta när ett potentiellt oönskat program identifieras. Det här alternativet är bara tillgängligt om Identifiera oönskade program har valts. Om första svar misslyckas Neka åtkomst till filer Tillåt åtkomst till filer Fortsätt genomsökning Rensa filer Ta bort filer Neka åtkomst till filer Tillåt åtkomst till filer Förhindrar användare från att få åtkomst till filer med potentiella hot. Tillåter att användare får åtkomst till filer med potentiella hot. Fortsätter genomsökning av filer när ett hot identifieras. Genomsökningen flyttar inte objekt till karantänen. Tar bort hotet från potentiellt oönskade program, om det är möjligt. Tar bort potentiellt oönskade programfiler. Anger åtgärden som genomsökningen ska vidta när en oönskad programavkänning identifieras och den första åtgärden misslyckas. Det här alternativet är bara tillgängligt om Identifiera oönskade program har valts. Förhindrar användare från att få åtkomst till filer med potentiella hot. Tillåter att användare får åtkomst till filer med potentiella hot. McAfee Endpoint Security 10.2 Produkthandbok 119

120 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Tabell 3-19 Alternativ (fortsättning) Avsnitt Alternativ Definition Genomsökningstyp Fortsätt genomsökning Ta bort filer Fortsätter genomsökning av filer när ett hot identifieras. Genomsökningen flyttar inte objekt till karantänen. Tar bort potentiellt oönskade programfiler automatiskt. Se även Hotdetektering Åtkomstskydd på sidan 107 Hotdetektering Genomsökning på begäran på sidan 111 Genomsökning vid åtkomst Genomsökning på begäran Lägg till undantag eller Redigera undantag Lägg till eller redigera en undantagsdefinition. Tabell 3-20 Alternativ Avsnitt Alternativ Definition Genomsökningstyp Vad ska undantas Filnamn eller sökväg vid åtkomst på begäran Anger typen av undantag och information om undantaget. Anger filnamnet eller sökvägen till undantaget. Filsökvägen kan innehålla jokertecken. Om du vill undanta en mapp i Windows-system, lägger du till ett omvänt snedstreck (\) i sökvägen. Markera Undanta även undermappar om så krävs. När ska undantag ske Filtyp Filens ålder Vid skrivning till disk eller läsning från disk Vid läsning från disk Vid skrivning till disk Anger filtyper (filnamnstillägg) som ska undantas. Anger åtkomsttyp (Modifierad, Använd (endast för genomsökning på begäran) eller Skapad) för filer som ska undantas och Minimiålder i dagar. Anger när det markerade objektet ska undantas. Undantas från genomsökning när filer skrivs till eller läses från disk eller andra datalagringsenheter. Undantas från genomsökning när filer läses från dator eller andra datalagringsenheter. Undantas från genomsökning när filer skrivs till eller ändras på disk eller andra datalagringsenheter. 120 McAfee Endpoint Security 10.2 Produkthandbok

121 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering 3 Se även Hotdetektering Åtkomstskydd på sidan 107 Hotdetektering Genomsökning på begäran på sidan 111 Jokertecken i undantag på sidan 67 Konfigurera undantag på sidan 65 Hotdetektering Alternativ Konfigurerar inställningar som gäller för funktionen Hotdetektering inklusive karantän, eventuellt oönskade program och undantag. Det här avsnittet innehåller endast Avancerade alternativ. Tabell 3-21 Alternativ Avsnitt Alternativ Definition Quarantine Manager Karantänmapp Anger platsen för karantänmappen eller godkänner standardplatsen: c:\karantän Karantänmappen är begränsad till 190 tecken. Undantag efter avkänningsnamn Avkänning av eventuellt oönskade program Proaktiv dataanalys Ange maximalt antal dagar som karantändata ska sparas Undanta dessa avkänningsnamn Undanta anpassade oönskade program Anger antal dagar (1-999) som objekt i karantän ska behållas innan de tas bort automatiskt. Standardvärdet är 30 dagar. Anger avkänningsundantag efter avkänningsnamn. Om du exempelvis vill att genomsökning vid åtkomst och genomsökning på begäran inte ska avkänna hot i Installationskontroll anger duinstallationskontroll. Lägg till Lägger till ett avkänningsnamn i undantagslistan. Klicka på Lägg till och ange avkänningsnamnet. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort ett avkänningsnamn från undantagslistan. Markera namnet och klicka sedan på Ta bort. Anger enstaka filer eller program som ska behandlas som eventuellt oönskade program. Genomsökningarna identifierar de program som du anger samt program enligt AMCore-innehållsfiler. Genomsökningen identifierar inte ett användardefinierat oönskat program på noll byte. Lägg till Definierar ett anpassat oönskat program. Klicka på Lägg till och ange namnet, tryck sedan på TABB-tangenten för att ange beskrivningen. Namn Anger filnamnet för det eventuellt oönskade programmet. Beskrivning Anger informationen som ska visas som ett avkänningsnamn när en avkänning görs. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort eventuellt oönskade program i listan. Markera programmet i tabellen och klicka sedan på Ta bort. Skickar anonyma diagnostik- och användningsdata till McAfee. McAfee Endpoint Security 10.2 Produkthandbok 121

122 3 Använda Hotdetektering Klientgränssnittsreferens Hotdetektering Tabell 3-21 Alternativ (fortsättning) Avsnitt Alternativ Definition McAfee GTI-feedback Säkerhetspuls Aktiverar McAfee GTI-baserad telemetrifeedback för att samla in anonymiserade data om filer och processer som körs i klientsystemet. Utför en hälsokontroll av klientsystemet före och efter uppdateringar av AMCore-innehållsfiler, samt med regelbundna intervaller, och skickar resultatet till McAfee. Resultaten krypteras och skickas till McAfee via SSL. McAfee aggregerar och analyserar sedan data från dessa rapporter för att identifiera avvikelser som kan indikera möjliga innehållsrelaterade problem. Direkt identifiering av sådana problem är viktigt för snabb inneslutning och reparation. Säkerhetspuls samlar in följande typer av data: Version av operativsystem och språk McAfee-produktversion AMCore-innehåll och motorversion Processinformation om McAfee- och Microsoft-körningar AMCore-innehållsrykte Utför en McAfee GTI-sökning av ryktet för AMCore-innehållsfilen innan klientsystemet uppdateras. Om McAfee GTI tillåter filen uppdaterar Endpoint Security AMCore-innehållet. Om McAfee GTI inte tillåter filen uppdaterar Endpoint Security inte AMCore-innehållet. Se även Konfigurera gemensamma inställningar för genomsökning på sidan 80 Klientaktiviteten Roll Back AMCore Content (Återställ AMCoreinnehåll) Ändrar AMCore-innehållet till en tidigare version. Alternativ Välj version att läsa in Definition Anger versionsnummer för en tidigare AMCore innehållsfil som ska läsas in. Endpoint Security behåller de två tidigare versionerna på klientsystemet. När du ändrar till en tidigare version, tar Endpoint Security bort den nuvarande versionen av AMCore-innehåll från systemet. Se även Ändra innehållsversionen för AMCore på sidan McAfee Endpoint Security 10.2 Produkthandbok

123 4 Använda Brandvägg Brandvägg fungerar som ett filter mellan datorn och nätverket eller Internet. Innehåll Så här fungerar Brandvägg Aktivera och inaktivera Brandvägg från McAfee-systemfältsikonen Aktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen Hantera Brandvägg Klientgränssnittsreferens Brandvägg Så här fungerar Brandvägg Brandvägg genomsöker all inkommande och utgående trafik. Samtidigt som Brandvägggranskar inkommande och utgående trafik kontrolleras listan över regler, som är ett system av kriterier och associerade åtgärder. Om trafiken överensstämmer med alla regelkriterier agerarbrandvägg i enlighet med denna regel och blockerar eller tillåter trafik via Brandvägg. Information om identifierade hot sparas för rapporter som informerar administratören om säkerhetsproblem i datorn. Brandvägg-alternativ och regler definierar hur Brandvägg fungerar. Regelgrupperna organiserar brandväggsregler som underlättar hanteringen. Om Klientgränssnittsläge är inställt på Fullständig åtkomst eller om du har loggat in som administratör, går det att konfigurera regler och grupper med hjälp av Endpoint Security-klient. Regler och grupper som du skapar kan skrivas över när administratören distribuerar en uppdaterad princip i ett hanterat system. Se även Konfigurera Brandvägg på sidan 125 Så här fungerar brandväggsregler på sidan 129 Så här fungerar grupper för brandväggsregler på sidan 131 Aktivera och inaktivera Brandvägg från McAfeesystemfältsikonen Beroende på vilka inställningar som har konfigurerats går det att aktivera och inaktivera Brandvägg från McAfee-systemfältsikonen. Tillgängligheten för dessa alternativ varierar beroende på hur inställningarna har konfigurerats. McAfee Endpoint Security 10.2 Produkthandbok 123

124 4 Använda Brandvägg Aktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen Åtgärd Högerklicka på McAfee-systemfältsikonen och välj Inaktivera Endpoint Security-brandvägg ett alternativ i menyn Snabbinställningar. När Brandvägg är aktiverad är alternativet Inaktivera Endpoint Security-brandvägg. Beroende på inställningarna kan du även uppmanas att informera administratören om anledningen till att Brandvägg inaktiverats. Aktivera eller visa tidsbegränsade Brandvägg i McAfeesystemfältsikonen Aktivera, inaktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen. Tillgängligheten för dessa alternativ varierar beroende på hur inställningarna har konfigurerats. Åtgärd Högerklicka på McAfee-systemfältsikonen och välj ett alternativ i menyn Snabbinställningar. Aktivera tidsbegränsade brandväggsgrupper Tillåter Internetanslutning för tidsbegränsade grupper under en angiven tidsperiod innan reglerna som begränsar åtkomst tillämpas. När tidsbegränsade grupper aktiveras är alternativet Inaktivera tidsbegränsade brandväggsgrupper. Varje gång du väljer det här alternativet återställs tiden för grupperna. Beroende på inställningarna kan du även uppmanas att informera administratören om anledningen till att tidsbegränsade grupper har aktiverats. Visa tidsbegränsade brandväggsgrupper Visar namnet på de tidsbegränsade grupperna och den återstående tiden som varje grupp är aktiv. Om tidsbegränsade grupper Tidsbegränsade grupper är grupper för Brandvägg som är aktiva för en angiven tidsperiod. En tidsbegränsad grupp kan vara aktiverad för att tillåta att ett klientsystem kan ansluta till ett allmänt nätverk och skapa en VPN-anslutning. Beroende på kan grupper aktiveras antingen: efter ett angivet schema. manuellt genom att välja alternativ från McAfees systemfältsikon. Hantera Brandvägg Med administratörsbehörighet kan du konfigurera alternativ för Brandvägg och skapa regler och grupper på Endpoint Security-klient. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. 124 McAfee Endpoint Security 10.2 Produkthandbok

125 Använda Brandvägg Hantera Brandvägg 4 Ändra Brandvägg-alternativ Som administratör kan du ändra Brandvägg-alternativ från Endpoint Security-klient. Åtgärder Konfigurera Brandvägg på sidan 125 Konfigurera inställningar i alternativen för att aktivera och inaktivera brandväggsskyddet, aktivera adaptivt läge och konfigurera andra Brandvägg. Blockera DNS-trafik på sidan 126 Förfina brandväggsskyddet genom att skapa en lista över FQDN:er som ska blockeras. Brandvägg blockerar anslutningar till IP-adresser som matchar domännamnen. Definiera nätverk som ska användas i regler och grupper på sidan 127 Definiera nätverksadresser, delnät och intervaller som ska användas i regler och grupper. Ange vid behov om nätverken är betrodda. Konfigurera körbara filer på sidan 128 Definiera eller redigera listan med betrodda körbara filer som betraktas som säkra för miljön. Se även Vanliga frågor och svar - McAfee GTI och Brandvägg på sidan 126 Konfigurera Brandvägg Konfigurera inställningar i alternativen för att aktivera och inaktivera brandväggsskyddet, aktivera adaptivt läge och konfigurera andra Brandvägg. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Välj Aktivera brandvägg för att aktivera brandväggen och ändra dess alternativ. Host Intrusion Prevention 8.0 kan installeras i samma system som Endpoint Security Om McAfee Host IPSBrandvägg installeras och aktiveras så inaktiveras Endpoint Security-brandvägg även om den är aktiverad i principinställningarna. 4 Klicka på Visa avancerat. 5 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Se även Logga in som administratör på sidan 27 McAfee Endpoint Security 10.2 Produkthandbok 125

126 4 Använda Brandvägg Hantera Brandvägg Blockera DNS-trafik Förfina brandväggsskyddet genom att skapa en lista över FQDN:er som ska blockeras. Brandvägg blockerar anslutningar till IP-adresser som matchar domännamnen. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Under DNS-blockering, klicka på Lägg till. 4 Ange FQDN:er för domäner som ska blockeras. Klicka sedan på Spara. Det går att använda jokertecknen * och?. Till exempel, *domain.com. Eventuella dubblettposter tas bort automatiskt. 5 Klicka på Spara. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Vanliga frågor och svar - McAfee GTI och Brandvägg Här följer svaren på några av de vanligaste frågorna vi får. Med Brandvägg alternativinställningar kan du blockera inkommande och utgående trafik från en nätverksanslutning som McAfee GTI har klassificerats som hög risk. Vanliga frågor och svar förklarar vad McAfee GTI gör och hur det påverkar brandväggen. Vad är McAfee GTI? McAfee GTI är ett globalt klassificerings- och informationssystem för Internet som avgör vad som är bra och dåligt beteende på Internet. McAfee GTI använder analys i realtid av världsomfattande beteendemönster och överföringsmönster för e-post, webbaktivitet, skadlig kod och beteende mellan olika system. Med hjälp av data från analysen utför McAfee GTI dynamisk beräkning av klassificeringspoäng som motsvarar risknivån för ditt nätverk när du besöker en webbsida. Resultaten bevaras i en databas med klassificeringspoäng för IP-adresser, domäner, särskilda meddelanden, URL:er och bilder. Hur fungerar det? När alternativ för McAfee GTI väljs, skapas två brandväggsregler: McAfee GTI - tillåt Endpoint Security Firewall-tjänst och McAfee GTI - Hämta klassificering. Den första regeln tillåter en anslutning till McAfee GTI och den andra regeln blockerar eller tillåter trafik utifrån anslutningens klassificering och inställd blockeringströskel. Vad menas med "klassificering"? För varje IP-adress på Internet beräknar McAfee GTI ett klassificeringsvärde. McAfee GTI baserar värdet på överföringsbeteende eller värdbeteende och olika miljödata som samlas in från kunder och partner beträffande tillståndet för Internets hotbild. Klassificeringen visas i fyra klasser utifrån vår analys: 126 McAfee Endpoint Security 10.2 Produkthandbok

127 Använda Brandvägg Hantera Brandvägg 4 Blockera inte (minimal risk) - Det här är en legitim källa eller destination för innehåll/trafik. Overifierad - Det här verkar vara en legitim källa eller destination för innehåll/trafik. Den här webbplatsen visar också vissa egenskaper som antyder att en ytterligare undersökning krävs. Medelhög risk - Den här källan/destinationen uppvisar beteende som vi anser är misstänkt och innehållet/trafiken till eller från den måste granskas specifikt. Hög risk - Den här källan/destinationen är känd för att eller är trolig att överföra/innehålla eventuellt skadligt innehåll/trafik. Vi anser att den utgör en allvarlig risk. Finns det viss fördröjning hos McAfee GTI? Hur mycket? När McAfee GTI kontaktas för att undersöka en klassificering är en viss fördröjning oundviklig. McAfee har gjort allt för att minimera den här fördröjningen. McAfee GTI: Kontrollerar endast klassificering när alternativen väljs. Använder en intelligent cachelagringsarkitektur. I normala nätverksanvändarmönster, löser cache de anslutningar som önskas oftast utan en aktiv klassificeringsfråga. Om brandväggen inte kan nå McAfee GTI-servrar, stoppas trafiken då? Om brandväggen inte kan nå någon av McAfee GTI-servrar, tilldelar den automatiskt alla tillämpliga anslutningar med tillåten klassificering som standard. Brandväggen fortsätter sedan att analysera efterföljande regler. Definiera nätverk som ska användas i regler och grupper Definiera nätverksadresser, delnät och intervaller som ska användas i regler och grupper. Ange vid behov om nätverken är betrodda. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Klicka på Visa avancerat. McAfee Endpoint Security 10.2 Produkthandbok 127

128 4 Använda Brandvägg Hantera Brandvägg 4 Gör något av följande från Definierade nätverk: För att... Definiera ett nytt nätverk. Steg Klicka på Lägg till och ange detaljerna för det betrodda nätverket. Definiera att nätverket är betrott genom att välja Ja på listmenyn Betrodda. Om du väljer Nej definieras nätverket för användning i regler och grupper, men inkommande och utgående trafik från nätverket är inte automatiskt betrodd. Ändra en nätverksdefinition. Dubbelklicka på objektet i varje kolumn och ange den nya informationen. Ta bort ett nätverk. Markera en rad och klicka på Ta bort. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Om betrodda nätverk Betrodda nätverk är IP-adresser, IP-adressintervall och delnät som betraktas som säkra av din organisation. Om du definierar ett nätverk som betrott, skapas en dubbelriktad Tillåt-regel för det aktuella fjärrnätverket överst i regellistan i Brandvägg. När de har definierats kan du skapa brandväggsregler som gäller för dessa betrodda nätverk. Betrodda nätverk fungerar även som undantag för McAfee GTI i brandväggen. Metodtips: När man lägger till nätverk till brandväggsregler och grupper väljer du Definierade nätverk för nätverkstypen för att utnyttja funktionen. Konfigurera körbara filer Definiera eller redigera listan med betrodda körbara filer som betraktas som säkra för miljön. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Klicka på Visa avancerat. 128 McAfee Endpoint Security 10.2 Produkthandbok

129 Använda Brandvägg Hantera Brandvägg 4 4 Gör något av följande från Betrodda körbara filer: För att... Definiera en ny betrodd körbar fil. Ändra definitionen av den körbara filen. Ta bort en körbar fil. Steg Klicka på Lägg till och ange detaljerna för den betrodda körbara filen. Dubbelklicka på objektet i varje kolumn och ange den nya informationen. Markera en rad och klicka på Ta bort. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Om betrodda körbara filer och program Betrodda körbara filer är körbara filer som inte har kända sårbarheter och som bedöms som säkra. Om du konfigurerar en betrodd körbar fil, skapas en dubbelriktad Tillåt-regel för den aktuella körbara filen överst i regellistan i Brandvägg. Att upprätthålla en lista med säkra körbara filer för ett system minskar eller eliminerar de flesta falska positiva. Om du till exempel kör ett säkerhetskopieringsprogram kan många falsklarm utlösas. För att undvika att utlösa falsklarm bör säkerhetskopieringsprogrammet göras till en betrodd körbar fil. En betrodd körbar fil är känslig för vanliga sårbarheter som buffertspill och otillåten användning. Därför övervakar Brandvägg fortfarande betrodda körbara filer och utlöser händelser för att förhindra utnyttjande. Brandväggskatalogen innehåller både körbara filer och program. Körbara filer i katalogen kan kopplas till ett behållarprogram. Du kan lägga till körbara filer och program från katalogen till din lista med betrodda körbara filer. När definitionen är klar kan du referera till de körbara filerna i regler och grupper. Konfigurera Brandvägg regler och grupper Med administratörsbehörighet kan du konfigurera Brandvägg regler och grupper från Endpoint Security-klient. Åtgärder Skapa och hantera Brandvägg-regler och -grupper på sidan 135 Regler och grupper som du konfigurerar från Endpoint Security-klient kan skrivas över när administratören distribuerar en uppdaterad princip i ett hanterat system. Create grupper för anslutningsisolering på sidan 137 Skapa en grupp för brandväggsregeln anslutningsisolering och etablera regler som endast gäller vid anslutning till ett nätverk med särskilda parametrar. Skapa tidsbegränsade grupper på sidan 138 Skapa Brandvägg brandväggsgrupper för att begränsa Internetåtkomsten tills ett klientsystem ansluts via VPN. Så här fungerar brandväggsregler Brandvägg-regler bestämmer hur nätverkstrafik ska hanteras. Varje regel har en villkorsuppsättning som trafik måste uppfylla och en åtgärd för att tillåta eller blockera trafik. När Brandvägg påträffar trafik som matchar en regels villkor, utför den den kopplade åtgärden. Du kan definiera regler brett (till exempel all IP-trafik) eller smalt (till exempel genom att identifiera ett specifikt program eller tjänst) och ange alternativ. Du kan gruppera regler enligt en arbetsfunktion, tjänst eller ett program för att göra dem enklare att hantera. Precis som med regler kan du definiera regelgrupper efter alternativ för nätverk, transport, program, schema och plats. McAfee Endpoint Security 10.2 Produkthandbok 129

130 4 Använda Brandvägg Hantera Brandvägg Brandvägg tillämpar regler enligt företräde: 1 Brandvägg tillämpar regeln överst på listan över brandväggsregler. Om trafiken uppfyller regelns villkor kommer Brandvägg att tillåta eller blockera den. Den försöker inte tillämpa några andra regler på listan. 2 Om trafiken inte uppfyller villkoren för den första regeln fortsätter Brandvägg till nästa regel på listan och så vidare tills den hittar en regel som matchar trafiken. 3 Brandväggen blockerar trafiken automatiskt om det inte finns någon matchande regel. Om adaptivt läge är aktiverat kommer en tillåtelseregel att skapas för trafiken. Ibland matchar den stoppade trafiken mer än en av reglerna på listan. I det här fallet innebär företräde att Brandvägg endast tillämpar den första matchande regeln på listan. Metodtips Placera de mest specifika reglerna högst upp på listan och de mer allmänna längst ned. Den här ordningen gör att Brandvägg filtrerar trafiken på rätt sätt. Du måste till exempel skapa två regler för att tillåta alla HTTP-begäranden utom de som kommer från en specifik adress (exempelvis IP-adressen ): Blockeringsregel blockera HTTP-trafik från IP-adress Den här regeln är specifik. Tillåtelseregel tillåt alla trafik som använder HTTP-tjänsten. Den här regeln är allmän. Placera Blockeringsregeln högre upp på listan över brandväggsregler än Tillåtelseregeln. När brandväggen stoppar HTTP-begäran från adressen , kommer den första regeln den hittar att vara den som blockerar trafiken genom brandväggen. 130 McAfee Endpoint Security 10.2 Produkthandbok

131 Använda Brandvägg Hantera Brandvägg 4 Om den allmänna Tillåtelseregeln är högre upp än den specifika Blockeringsregeln, matchar Brandvägg begäran mot Tillåtelseregeln innan den hittar Blockeringsregeln. Den tillåter trafiken, även om du ville blockera HTTP-begäran från en specifik adress. Så här fungerar grupper för brandväggsregler Använd Brandvägg för att organisera brandväggsregler och underlätta hanteringen av dem. Brandvägg påverkar inte hur Brandvägg hanterar reglerna i dem.brandvägg bearbetar fortfarande reglerna uppifrån och ned. Brandvägg bearbetar inställningarna för gruppen innan den bearbetar inställningarna för reglerna som finns i den. Gruppinställningarna har företräde om det uppstår en konflikt mellan inställningarna. Göra grupper platsmedvetna Brandvägg låter dig göra en grupp och dess regler platsmedvetna samt skapa anslutningsisolering. Med Plats och Nätverksalternativ för gruppen kan du göra dess nätverk adaptermedvetet. Använd nätverksadaptergrupper för att tillämpa adapterspecifika regler på datorer med flera nätverksgränssnitt. När du har aktiverat platsstatusen och gett platsen ett namn, kan parametrarna för tillåtna anslutningar inkludera följande för varje nätverksadapter: Plats: Krävs att McAfee epo kan nås Anslutningsspecifikt DNS-suffix IP-adress för standard-gateway IP-adress för DHCP-server DNS-server som tillfrågats om lösning av webbadresser IP-adress för primär WINS-server IP-adress för sekundär WINS-server Nåbarhet för domän Registernyckel Nätverk: IP-adress för lokalt nätverk Anslutningstyper Om två platsmedvetna grupper tillämpas i en anslutning kommer Brandvägg att använda normalt företräde och bearbeta den första tillämpliga gruppen på regellistan. Om ingen regel matchas i den första gruppen kommer regelbearbetningen att fortsätta. När Brandvägg matchar en platsmedveten grupps parametrar till en aktiv anslutning kommer den att tillämpa reglerna i gruppen. Den behandlar reglerna som en liten regeluppsättning och använder normalt företräde. Om vissa regler inte matchar den stoppade trafiken ignoreras de av brandväggen. Om det här alternativet markeras... Aktivera platskännedom Krävs att McAfee epo kan nås Lokalt nätverk Anslutningsspecifikt DNS-suffix I så fall... Ett platsnamn är obligatoriskt. McAfee epo kan nås och FQDN för servern har lösts. Adapterns IP-adress måste matcha en av listposterna. Adapterns DNS-suffix måste matcha en av listposterna. McAfee Endpoint Security 10.2 Produkthandbok 131

132 4 Använda Brandvägg Hantera Brandvägg Om det här alternativet markeras... Standard-gateway DHCP-server DNS-server Primär WINS-server Sekundär WINS-server Nåbarhet för domän I så fall... Standard-gatewayens IP-adress måste matcha minst en av listposterna. IP-adressen för adapterns DHCP-server måste matcha minst en av listposterna. IP-adressen för adapterns DNS-server måste matcha någon av listposterna. IP-adressen för adapterns primära WINS-server måste matcha minst en av listposterna. IP-adressen för adapterns sekundära WINS-server måste matcha minst en av listposterna. Den angivna domänen måste kunna nås. Regelgrupper och anslutningsisolering för Brandvägg Använd anslutningsisolering för grupper för att förhindra att oönskad trafik får tillgång till ett angivet nätverk. Om anslutningsisolering har aktiverats för en grupp och ett aktivt nätverkskort (NIC) matchar gruppens kriterier, kommer Brandvägg endast att bearbeta trafik som stämmer överens med: Tillåt regler ovanför gruppen på listan över brandväggsregler Gruppkriterier All övrig trafik blockeras. En grupp med anslutningsisolering aktiverad kan inte ha associerade transportalternativ eller körbara filer. 132 McAfee Endpoint Security 10.2 Produkthandbok

133 Använda Brandvägg Hantera Brandvägg 4 Föreställ dig två olika platser för att illustrera användandet av anslutningsisolering: en företagsmiljö och ett hotell. Listan över aktiva brandväggsregler innehåller regler och grupper i följande ordning: 1 Regler för grundläggande anslutning 2 VPN-anslutningsregler 3 Grupp med anslutningsregler för företagets LAN 4 Grupp med VPN-anslutningsregler McAfee Endpoint Security 10.2 Produkthandbok 133

134 4 Använda Brandvägg Hantera Brandvägg Exempel: anslutningsisolering på företagsnätverket Anslutningsreglerna bearbetas tills dess att gruppen med anslutningsregler för företagets LAN påträffas. Den här gruppen innehåller följande inställningar: Anslutningstyp = Trådbunden Anslutningsspecifikt DNS-suffix = mycompany.com Standard-gateway Anslutningsisolering = aktiverad Datorn har både LAN-nätverksadaptrar och trådlösa nätverksadaptrar. Datorn ansluter till företagets nätverk via en trådanslutning. Det trådlösa gränssnittet är fortfarande aktivt och ansluter till en aktiv punkt utanför kontoret. Datorn ansluter till båda nätverken eftersom reglerna för grundläggande åtkomst finns överst på listan över brandväggsregler. Den trådbundna LAN-anslutningen är aktiv och uppfyller kriterierna för gruppen företags-lan. Brandväggen bearbetar trafiken via LAN-nätverket, men eftersom anslutningsisolering är aktiverad blockeras all annan trafik som inte kommer via det nätverket. Exempel: anslutningsisolering på ett hotell Anslutningsreglerna bearbetas tills dess att gruppen med VPN-anslutningsregler påträffas. Den här gruppen innehåller följande inställningar: Anslutningstyp = Virtuell Anslutningsspecifikt DNS-suffix = vpn.mycompany.com IP-adress = En adress inom ett intervall som är specifikt för VPN-koncentratorn Anslutningsisolering = aktiverad Allmänna anslutningsregler tillåter konfiguration av ett tidsbegränsat konto för att få Internetåtkomst på hotellet. VPN-anslutningsreglerna tillåter anslutning till och användning av VPN-tunneln. När tunneln har upprättats skapar VPN-klienten en virtuell adapter som matchar VPN-gruppens kriterier. Den enda trafik som tillåts av brandväggen är den grundläggande trafiken i den faktiska adaptern och den som sker i VPN-tunneln. Andra hotellgäster som försöker få åtkomst till datorn över nätverket, antingen trådlöst eller trådbundet, blockeras. Fördefinierade grupper för brandväggsregler Brandvägg innehåller fler fördefinierade grupper för brandväggsregler. Brandväggsgrupp McAfees kärnnätverk Beskrivning Innehåller regler för kärnnätverket som tillhandahålls av McAfee och inkluderar regler för att tillåta McAfee-program och DNS. Dessa regler kan inte ändras eller tas bort. Du kan inaktivera gruppen i Brandvägg Alternativ, men detta kan störa klientens nätverkskommunikation. Administratör har lagts till Innehåller regler som definierats av administratören av hanteringsservern. Dessa regler kan inte ändras eller tas bort i Endpoint Security-klient. Användare har lagts till Innehåller regler som definierats iendpoint Security-klient. Beroende på vilka principinställningar som används kan dessa regler skrivas över när principen tillämpas. 134 McAfee Endpoint Security 10.2 Produkthandbok

135 Använda Brandvägg Hantera Brandvägg 4 Brandväggsgrupp Dynamisk Adaptiva Beskrivning Innehåller regler som skapats dynamiskt av andra installerade Endpoint Security-moduler i systemet. Hotdetektering kan t.ex. skicka en händelse till modulenendpoint Security-klient för att skapa en regel som blockerar åtkomsten till ett nätverkssystem. Innehåller undantagsregler för klienten som skapas automatiskt när systemet är i adaptivt läge. Beroende på vilka principinställningar som används kan dessa regler skrivas över när principen tillämpas. Standard Innehåller standardregler som tillhandahålls av McAfee. Dessa regler kan inte ändras eller tas bort. Skapa och hantera Brandvägg-regler och -grupper Regler och grupper som du konfigurerar från Endpoint Security-klient kan skrivas över när administratören distribuerar en uppdaterad princip i ett hanterat system. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Grupperna och reglerna visas i prioritetsordning i tabellen Firewall-regler. Du kan inte sortera regler efter kolumn. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Hantera brandväggsregler och -grupper med dessa aktiviteter. Gör så här... Visa reglerna i en brandväggsgrupp. Följ dessa steg Klicka på. Stäng en brandväggsgrupp. Klicka på. Ändra en befintlig regel. Du kan endast ändra regler i gruppen Tillagd av användare. 1 Visa gruppen Tillagd av användare. 2 Dubbelklicka på regeln. 3 Ändra regelinställningarna. 4 Klicka på OK för att spara ändringarna. McAfee Endpoint Security 10.2 Produkthandbok 135

136 4 Använda Brandvägg Hantera Brandvägg Gör så här... Ändra en befintlig regel i vilken grupp som helst. Skapa en regel. Följ dessa steg 1 Expandera gruppen. 2 Välj en regel för att visa dess detaljer i den nedre panelen. 1 Klicka på Lägg till regel. 2 Specificera regelinställningarna. 3 Klicka på OK för att spara ändringarna. Regeln visas i slutet av gruppen Tillagd av användare. Skapa kopior av regler. Ta bort regler. Du kan endast ta bort regler från grupperna Tillagd av användare och Anpassningsbar. 1 Markera regeln eller reglerna och klicka på Duplicera. Kopierade regler visas med samma namn i slutet av gruppen Tillagd av användare. 2 Modifiera regler för att ändra namn och inställningar. 1 Expandera gruppen. 2 Markera regeln eller reglerna och klicka på Ta bort. Skapa en grupp. 1 Klicka på Lägg till grupp. 2 Specificera gruppinställningarna. 3 Klicka på OK för att spara ändringarna. Gruppen visas i gruppen Tillagd av användare. Flytta regler och grupper i och mellan grupper. Du kan endast flytta regler och grupper i gruppen Tillagd av användare. För att flytta element: 1 Välj element som ska flyttas. Handtaget flyttas. visas till vänster om element som kan 2 Dra-och-släpp elementen till den nya platsen. En blå linje visas mellan elementen där du kan släppa ned elementen som du flyttar. 4 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Jokertecken i brandväggsregler på sidan 136 Logga in som administratör på sidan 27 Create grupper för anslutningsisolering på sidan 137 Jokertecken i brandväggsregler Det går att använda jokertecken för att representera tecken för vissa värden i brandväggsregler. Jokertecken i sökväg och adressvärden Använd dessa jokertecken för sökvägar för filer, registernycklar, körbara filer och URL:er. Sökvägar för registernycklar till platser för brandväggsgrupper känner inte igen jokertecken. 136 McAfee Endpoint Security 10.2 Produkthandbok

137 Använda Brandvägg Hantera Brandvägg 4? Frågetecken Ett enkelt tecken. * Asterisk Flera tecken, exklusive snedstreck (/) och omvänt snedstreck (\). Använd det här tecknet för att matcha innehåll på rotnivå för en mapp utan undermappar. ** Dubbel asterisk Flera tecken, inklusive snedstreck (/) och omvänt snedstreck (\). Vertikalstreck Jokertecken escape. För dubbel asterisk (**) är escape * *. Jokertecken i alla övriga värden Använd dessa jokertecken för värden som normalt inte innehåller sökvägsinformation med snedstreck.? Frågetecken Ett enkelt tecken. * Asterisk Flera tecken, inklusive snedstreck (/) och omvänt snedstreck (\). Vertikalstreck Jokertecken escape. Create grupper för anslutningsisolering Skapa en grupp för brandväggsregeln anslutningsisolering och etablera regler som endast gäller vid anslutning till ett nätverk med särskilda parametrar. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Under REGLER, klicka på Lägg till grupp. 4 Under Beskrivning, ange alternativ för gruppen. 5 Under Plats, välj Aktivera platskännedom och Aktivera anslutningsisolering. Välj därefter platsvillkor för matchning. 6 I Nätverk för Anslutningstyper väljer du anslutningstyp (Trådbunden, Trådlös eller Virtuell) och tillämpar reglerna i den här gruppen. Inställningar för Transport och Körbara filer är inte tillgängliga för grupper för anslutningsisolering. 7 Klicka på OK. 8 Skapa nya regler inom den här gruppen, eller flytta befintliga regler till gruppen från listan över brandväggsregler. 9 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. McAfee Endpoint Security 10.2 Produkthandbok 137

138 4 Använda Brandvägg Klientgränssnittsreferens Brandvägg Se även Regelgrupper och anslutningsisolering för Brandvägg på sidan 132 Så här fungerar grupper för brandväggsregler på sidan 131 Skapa tidsbegränsade grupper Skapa Brandvägg brandväggsgrupper för att begränsa Internetåtkomsten tills ett klientsystem ansluts via VPN. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Skapa en Brandvägg med standardinställningar som tillåter Internetanslutning. Tillåt t.ex. HTTP-trafik via port I avsnittet Schema väljer du hur gruppen ska aktiveras. Aktivera schema Anger en start- och sluttid för gruppen som ska aktiveras. Inaktivera schemat och aktivera gruppen via McAfees systemfältsikon Tillåter användarna att aktivera gruppen via McAfees ikon i systemfältet och håller gruppen aktiverad i det angivna antalet minuter. Om du tillåter användarna att hantera den tidsbegränsade gruppen kan du välja att kräva att de anger en motivering innan gruppen aktiveras. 5 Klicka på OK för att spara ändringarna. 6 Skapa en grupp för anslutningsisolering som matchar VPN-nätverket och tillåter nödvändig trafik. Metodtips: Om du vill tillåta all utgående trafik men endast från anslutningsisoleringsgruppen i klientsystemet, anger du inte några Brandvägg under denna grupp. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Create grupper för anslutningsisolering på sidan 137 Klientgränssnittsreferens Brandvägg Gränssnittet hjälpavsnitt ger sammanhangsberoende hjälp för sidor i klientgränssnittet. Innehåll Brandvägg Alternativ Brandvägg Regler 138 McAfee Endpoint Security 10.2 Produkthandbok

139 Använda Brandvägg Klientgränssnittsreferens Brandvägg 4 Brandvägg Alternativ Aktiverar och inaktiverar Brandvägg, konfigurera skyddsalternativ och definiera nätverk och betrodda körbara filer. Du kan återställa inställningarna till McAfees standardinställningar och avbryta ändringarna genom att klicka på Återställ till standard. Mer information om konfigurering av loggning hittar du i inställningarna i modulen Delade. Host Intrusion Prevention 8.0 kan installeras i samma system som Endpoint Security Om McAfee Host IPSBrandvägg installeras och aktiveras så inaktiveras Endpoint Security-brandvägg även om den är aktiverad i principinställningarna. Tabell 4-1 Alternativ Avsnitt Alternativ Definition Skyddsalternativ Aktivera brandväggen Tillåt trafik för protokoll som inte stöds Tillåt endast utgående trafik tills brandväggstjänsterna har startats Aktiverar och inaktiverar Brandvägg. Tillåter all trafik som använder protokoll som inte stöds. När den inaktiveras, blockeras all trafik som använder protokoll som inte stöds. Tillåter utgående men inte inkommande trafik tills Brandvägg startar. Om det här alternativet är inaktiverat tillåter Brandvägg all trafik innan tjänsterna har startats, vilket kan göra datorn sårbar för angrepp. Tillåt trafik via brygga Aktivera skydd mot IP-spoofning Enable dynamic block rules (Aktivera dynamiska blockeringsregler) Tillåter: Inkommande paket om MAC-adressens mål ligger inom VM MAC-adressintervallet som stöds och inte är en lokal MAC-adress i systemet. Utgående paket om MAC-adressens källa ligger inom MAC-adressintervallet som stöds och inte är en lokal MAC-adress i systemet. Blockerar nätverkstrafik från värd-ip-adresser som inte är lokala eller från lokala processer som försöker förfalska deras IP-adress. Tillåter andra Endpoint Security-moduler att skapa och lägga till blockeringsregler i gruppen Dynamiska regler i Endpoint Security-klient. (Inaktiverad som standard) McAfee Endpoint Security 10.2 Produkthandbok 139

140 4 Använda Brandvägg Klientgränssnittsreferens Brandvägg Tabell 4-1 Alternativ (fortsättning) Avsnitt Alternativ Definition DNS Blocking (DNS-blockering) Aktivera intrångslarm för brandvägg Domännamn Visar automatiskt varningar när Brandvägg upptäcker en potentiell attack. Definierar domännamn som ska blockeras. Den här inställningen lägger till en regel i den övre delen av brandväggsreglerna för att blockera anslutningar till IP-adresser som matchar domännamnen. Lägg till Lägger till ett domännamn i blockeringslistan. Använd ett kommatecken (,) eller vagnretur för att sära på flera domäner. Det går att använda jokertecknen * och?. Till exempel, *domain.com. Eventuella dubblettposter tas bort automatiskt. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det markerade domännamnet från blockeringslistan. Tabell 4-2 Avancerade alternativ Avsnitt Alternativ Definition Anpassningsalternativ Aktivera adaptivt läge Skapar regler automatiskt för att tillåta trafik. Metodtips: Aktivera adaptivt läge tillfälligt i några system endast vid justering av Brandvägg. Om detta läge aktiveras kan det genereras många klientregler som måste bearbetas av McAfee epo-servern, vilket i sin tur kan påverka prestanda negativt. Inaktivera nätverksregler för McAfee Core Inaktiverar inbyggda McAfee-nätverksregler (i regelgruppen McAfee Core-nätverk). (Inaktiverad som standard) Om det här alternativet aktiveras kan det störa klientens nätverkskommunikation. Logga all blockerad trafik Logga all tillåten trafik Loggar all blockerad trafik i händelseloggen för Brandvägg (FirewallEventMonitor.log) i Endpoint Security-klient. (aktiverad som standard) Loggar all tillåten trafik i händelseloggen för Brandvägg (FirewallEventMonitor.log) i Endpoint Security-klient. (Inaktiverad som standard) Om det här alternativet aktiveras kan det påverka prestanda negativt. 140 McAfee Endpoint Security 10.2 Produkthandbok

141 Använda Brandvägg Klientgränssnittsreferens Brandvägg 4 Tabell 4-2 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition McAfee GTI-nätverksrykte Behandla McAfee GTI som intrång Logga matchande trafik Behandlar trafiken som matchar inställningen för McAfee GTI-blockeringströskeln som ett intrång. När detta alternativ aktiveras visas en varning och en händelse skickas till hanteringsservern som sedan läggs till iendpoint Security-klient loggfil. Alla IP-adresser för ett betrott nätverk undantas från McAfee GTI-sökning. (aktiverad som standard) Behandlar trafiken som matchar inställningen för McAfee GTI-blockeringströskeln som en avkänning. När detta alternativ aktiveras skickas en händelse till hanteringsservern som sedan läggs till i Endpoint Security-klient loggfil. (aktiverad som standard) Alla IP-adresser för ett betrott nätverk undantas från McAfee GTI-sökning. Tillståndskänslig brandvägg Blockera alla ej betrodda körbara filer Tröskel för inkommande nätverksrykte Tröskel för utgående nätverksrykte Använd FTP-protokollinspektion Antal sekunder (1-240) innan TCP-anslutningar uppnår tidsgränsen Antal sekunder (1-300) innan virtuella anslutningar via UDP och ICMP-eko uppnår tidsgränsen Blockerar alla körbara filer som inte är signerade eller har ett okänt McAfee GTI-rykte. Anger McAfee GTI-klassificeringströskeln för blockering av inkommande eller utgående trafik från en nätverksanslutning. Blockera inte Den här webbplatsen är en legitim källa eller destination för innehåll/trafik. Hög risk Den här källan/destinationen skickar eller fungerar som värd för potentiellt skadligt innehåll/trafik som betraktas som riskfyllt av McAfee. Medelstor risk Den här källan/destinationen visar beteende som betraktas som misstänksamt av McAfee. Innehåll och trafik från webbplatsen måste granskas noggrant. Obekräftad Den här webbplatsen verkar vara en legitim källa eller destination för innehåll/trafik, men visar även egenskaper som tyder på att ytterligare granskning krävs. Tillåter spårning av FTP-anslutningar så att de endast behöver en brandväggsregel för utgående FTP-klienttrafik och inkommande FTP-servertrafik. Om den inte markeras, behöver FTP-anslutningar en separat regel för utgående FTP-klienttrafik och inkommande FTP-servertrafik. Anger tiden, i sekunder, som en oetablerad TCP-anslutning förblir aktiv om inga fler paket som matchar anslutningen skickas eller tas emot. Det giltiga intervallet är Anger tiden, i sekunder, som en virtuell anslutning via UDP eller ICMP-eko förblir aktiv om inga fler paket som matchar anslutningen skickas eller tas emot. Det här alternativet återgår till det konfigurerade värdet varje gång ett paket som matchar den virtuella anslutningen skickas eller tas emot. Det giltiga intervallet är McAfee Endpoint Security 10.2 Produkthandbok 141

142 4 Använda Brandvägg Klientgränssnittsreferens Brandvägg Tabell 4-2 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Definierade nätverk Definierar nätverksadresser, delnät eller intervaller som ska användas i regler och grupper. Lägg till Lägger till en nätverksadress, delnät eller intervall till listan över definierade nätverk. Klicka på Lägg till och fyll sedan i fälten i raden för att definiera nätverket. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort den markerade adressen från listan över definierade nätverk. Betrodda körbara filer Adresstyp Betrodd Ägare Anger adresstypen för nätverket som ska definieras. Ja Tillåter all trafik från nätverket. Om du definierar ett nätverk som betrott, skapas en dubbelriktad Tillåt-regel för det aktuella fjärrnätverket överst i regellistan i Brandvägg. Nej Lägger till nätverket till listan över definierade nätverk för att skapa regler. Anger de körbara filer som är säkra i alla miljöer och saknar kända sårbarheter. Dessa körbara filer tillåts utföra alla åtgärder förutom de som tyder på att de körbara filerna har skadats. Om du konfigurerar en betrodd körbar fil, skapas en dubbelriktad Tillåt-regel för den aktuella körbara filen överst i regellistan i Brandvägg. Lägg till Lägger till en betrodd körbar fil. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort den körbara filen från listan över betrodda körbara filer. Se även Konfigurera Brandvägg på sidan 125 Definiera nätverk som ska användas i regler och grupper på sidan 127 Konfigurera körbara filer på sidan 128 Lägg till körbar fil eller Redigera körbar fil på sidan 149 Brandvägg Regler Hantera brandväggsregler och -grupper. Du kan endast lägga till och ta bort regler och grupper i gruppen Tillagd av användare. Brandvägg flyttar nytillagda regler automatiskt till denna grupp. Du kan återställa standardinställningarna och avbryta ändringarna genom att klicka på Återställ till standard. 142 McAfee Endpoint Security 10.2 Produkthandbok

143 Använda Brandvägg Klientgränssnittsreferens Brandvägg 4 Tabell 4-3 Alternativ Avsnitt Alternativ Definition Regel Grupp REGLER Lägg till regel Skapar en brandväggsregel. Lägg till grupp Dubbelklicka på ett objekt Duplicera Delete (Ta bort) Skapar en brandväggsgrupp. Ändra det valda objektet. Skapar en kopia av det valda objektet. Tar bort ett markerat brandväggsobjekt. Visar elementen som kan flyttas i listan. Välj element och dra och släpp sedan elementet till den nya placeringen. En blå linje visas mellan elementen där du kan släppa ned elementen som du flyttar. Se även Skapa och hantera Brandvägg-regler och -grupper på sidan 135 Sidan Lägg till regel eller Redigera regel, Lägg till grupp eller Redigera grupp på sidan 143 Sidan Lägg till regel eller Redigera regel, Lägg till grupp eller Redigera grupp Lägg till eller redigera brandväggsregler och -grupper. Tabell 4-4 Alternativ Avsnitt Alternativ Definition Regel Grupp Beskrivning Namn Anger det beskrivande namnet för objektet (obligatoriskt). Status Aktiverar eller inaktiverar objektet. Ange åtgärder Tillåt Tillåter trafik via brandväggen om objektet matchas. Blockera Hindrar trafik att passera via brandväggen om objektet matchas. Behandla matchning som intrång Behandlar trafik som matchar regeln som ett intrång. När detta alternativ aktiveras visas en varning och en händelse skickas till hanteringsservern som sedan läggs till iendpoint Security-klient loggfil. Metodtips: Aktivera inte det här alternativet med regeln Tillåt eftersom det resulterar i många händelser. Logga matchande trafik Behandlar trafik som matchar regeln som en avkänning. När detta alternativ aktiveras skickas en händelse skickas till hanteringsservern som sedan läggs till iendpoint Security-klient loggfil. McAfee Endpoint Security 10.2 Produkthandbok 143

144 4 Använda Brandvägg Klientgränssnittsreferens Brandvägg Tabell 4-4 Alternativ (fortsättning) Avsnitt Alternativ Definition Regel Grupp Riktning Anger riktningen: Båda Övervakar både inkommande och utgående trafik. In Övervakar inkommande trafik. Utgående Övervakar utgående trafik. Plats Anteckningar Aktivera platskännedom Namn Aktivera anslutningsisolering Krävs att McAfee epo kan nås Anger mer information om objektet. Aktivera eller inaktivera platsinformation för gruppen. Anger namnet på platsen (obligatoriskt). Blockerar trafik på nätverksadaptrar som inte matchar gruppen när det finns en adapter som matchar guppen. Inställningar för Transport och Körbara filer är inte tillgängliga för grupper för anslutningsisolering. Det här alternativet kan användas för att blockera trafik som kommer från eventuellt oönskade källor utanför företagets nätverk så att trafiken stoppas. Det går endast att blockera trafik på det här sättet om en regel före gruppen in brandväggen inte redan tillåtit den. När anslutningsisolering är aktiverad och ett aktivt nätverkskort matchar gruppen, tillåts endast trafik när ett av följande gäller: Trafik matchar en Tillåtelseregel före gruppen. Trafik som åsidosätter ett aktivt nätverkskort matchar gruppen och det finns en regel i eller under gruppen som tillåter trafiken. Om inget aktivt nätverkskort matchar gruppen ignoreras gruppen och regelmatchning fortsätter. Gruppen kan endast matchas om det finns kommunikation med McAfee epo-servern och FQDN för servern har lösts. 144 McAfee Endpoint Security 10.2 Produkthandbok

145 Använda Brandvägg Klientgränssnittsreferens Brandvägg 4 Tabell 4-4 Alternativ (fortsättning) Avsnitt Alternativ Definition Regel Grupp Platsvillkor Anslutningsspecifikt DNS-suffix Specificerar ett anslutningsspecifikt DNS-suffix i formatet: example.com. Standard-gateway Specificerar en enskild IP-adress för en standard-gateway i IPv4- eller IPv6-format. DHCP-server Specificerar en enskild IP-adress för en DHCP-server i IPv4- eller IPv6-format. DNS-server Specificerar en enskild IP-adress för en domännamnsserver i IPv4- eller IPv6-format. Primär WINS-server Specificerar en enskild IP-adress för en primär WINS-server i IPv4- eller IPv6-format. Sekundär WINS-server Specificerar en enskild IP-adress för en sekundär WINS-server i IPv4- eller IPv6-format. Nåbarhet för domän Kräver att den specificerade domänen kan nås. Registernyckel Anger registernyckeln och nyckelvärdet. 1 Klicka på Lägg till. 2 Ange registernyckeln med följande format i kolumnen Värde: <ROOT>\<KEY>\[VALUE_NAME] <ROOT> Måste använda det fullständiga rotnamnet, exempelvis HKEY_LOCAL_MACHINE och inte det förkortade rotnamnet HKLM. <KEY> Är nyckelnamnet under roten. [VALUE_NAME] är namnet på nyckelvärdet. Om namn på nyckelvärdet saknas antas det vara standardvärdet. Exempelformat: IPv IPv6 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 Nätverk Anger de värdalternativ som gäller för objektet. Nätverksprotokoll Alla protokoll Anger det nätverksprotokoll som gäller för objektet. Tillåter både IP- och icke-ip-protokoll. Om ett transportprotokoll eller ett program är angivet tillåts endast IP-protokoll. McAfee Endpoint Security 10.2 Produkthandbok 145

146 4 Använda Brandvägg Klientgränssnittsreferens Brandvägg Tabell 4-4 Alternativ (fortsättning) Avsnitt Alternativ Definition Regel Grupp IP-protokoll Utesluter icke-ip-protokoll. IPv4-protokoll IPv6-protokoll Om ingen av kryssrutorna har valts är alla IP-protokoll tillämpliga. Det går att välja både IPv4 och IPv6. Icke-IP-protokoll Anslutningstyper Ange nätverk Omfattar endast icke-ip-protokoll. Välj EtherType i listan Specificerar en EtherType. Ange anpassad EtherType Specificerar de fyra tecknen i det hexadecimala EtherType-värdet för icke-ip-protokollet. Se Ethernetnummer beträffande EtherType-värden. Ange exempelvis 809B för AppleTalk, 8191 för NetBEUI eller 8037 för IPX. Anger om en eller alla anslutningstyper kan tillämpas: Trådbunden Trådlös Virtuell En virtuell anslutningstyp är en adapter som presenteras av ett program för VPN eller virtuell dator, exempelvis VMware, istället för en fysisk adapter. Anger vilka nätverk som gäller för objektet. Lägg till Skapar och lägger till ett nätverk. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort nätverket från listan. Transport Anger transportalternativ som gäller för objektet. 146 McAfee Endpoint Security 10.2 Produkthandbok

147 Använda Brandvägg Klientgränssnittsreferens Brandvägg 4 Tabell 4-4 Alternativ (fortsättning) Avsnitt Alternativ Definition Regel Grupp Transportprotokoll Anger transportprotokollet kopplat till objektet. Välj protokollet och klicka sedan på Lägg till när du vill lägga till portar. Alla protokoll Tillåter IP- och icke-ip-protokoll, samt protokoll som inte stöds. TCP och UDPVälj i listrutan: Lokal port anger lokal trafiktjänst eller port som objektet tillämpar. Fjärrport anger trafiktjänsten eller porten för en annan dator som objektet tillämpar. Lokal port och Fjärrport kan vara: En enskild tjänst. Exempelvis 23. Ett intervall. Exempel: En kommaseparerad lista med enskilda portar och intervall. Exempel: 80, 8080, 1 10, 8443 (upp till fyra objekt). Som standard tillämpas regler på samtliga tjänster och portar. ICMP I listrutan för Meddelandetyp anger du en ICMP-meddelandetyp. Se ICMP. ICMPv6 I listrutan för Meddelandetyp anger du en ICMP-meddelandetyp. Se ICMPv6. Annat Väljer i en lista med mindre vanliga protokoll. Körbara filer Schema Anger de körbara filer som tillämpar regeln. Lägg till Skapar och lägger till en körbar fil. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort en körbar fil från listan. Specificerar schemainställningar för regeln eller gruppen. McAfee Endpoint Security 10.2 Produkthandbok 147

148 4 Använda Brandvägg Klientgränssnittsreferens Brandvägg Tabell 4-4 Alternativ (fortsättning) Avsnitt Alternativ Definition Regel Grupp Aktivera schema Aktivera schemat för den tidsinställda regeln eller gruppen. När schemat är inaktiverat tillämpas inte regeln/ reglerna i gruppen. Starttid Specificerar starttiden för aktivering av schemat. Sluttid Specificerar den tid då schemat ska inaktiveras. Veckodagar Specificerar de dagar i veckan då schemat ska aktiveras. Ange start- och sluttider i 24-timmarsformat. Exempel: 13:00 = 1:00 PM. Du kan antingen schemalägga tidsbegränsade Brandvägg eller ge användaren tillåtelse att aktivera dem via systemfältsikonen i McAfee. Inaktivera schemat och aktivera gruppen via McAfees systemfältsikon Anger att användaren kan aktivera den tidsinställda gruppen för ett angivet antal minuter via McAfee-ikonen i systemfältet i stället för att använda schemat. Metodtips: Använd det här alternativet för att tillåta bred nätverksåtkomst, exempelvis på ett hotell, innan en VPN-anslutning kan etableras. Det här alternativet ger fler menyalternativ under Snabbinställningar i McAfee-ikonen i systemfältet: Aktivera tidsbegränsade brandväggsgrupper Tillåter Internetanslutning för tidsbegränsade grupper under en angiven tidsperiod innan reglerna som begränsar åtkomst tillämpas. När tidsbegränsade grupper aktiveras är alternativet Inaktivera tidsbegränsade brandväggsgrupper. Varje gång du väljer det här alternativet återställs tiden för grupperna. Beroende på inställningarna kan du även uppmanas att informera administratören om anledningen till att tidsbegränsade grupper har aktiverats. Visa tidsbegränsade brandväggsgrupper Visar namnet på de tidsbegränsade grupperna och den återstående tiden som varje grupp är aktiv. Antal minuter (1-60) för att aktivera gruppen Specificerar antalet minuter (1 60) som den tidsbegränsade gruppen är aktiverad efter val av Aktivera tidsbegränsade brandväggsgrupper via McAfee-ikonen i systemfältet. Se även Skapa och hantera Brandvägg-regler och -grupper på sidan 135 Skapa tidsbegränsade grupper på sidan 138 Aktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen på sidan 124 Lägg till nätverk eller Redigera nätverk på sidan 150 Lägg till körbar fil eller Redigera körbar fil på sidan McAfee Endpoint Security 10.2 Produkthandbok

149 Använda Brandvägg Klientgränssnittsreferens Brandvägg 4 Lägg till körbar fil eller Redigera körbar fil Lägger till eller redigerar en körbar fil som tillhör en regel eller grupp. Tabell 4-5 Alternativ Alternativ Namn Filnamn eller sökväg Filbeskrivning MD5-hash Undertecknare Definition Anger namnet på den körbara filen. Det här fältet är obligatoriskt med minst ett ytterligare fält:filnamn eller sökväg, Filbeskrivning, MD5-hash eller undertecknare. Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja körbar fil. Filsökvägen kan innehålla jokertecken. Indikerar filens beskrivning. Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). Aktivera kontroll av digital signatur Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypteringshash. Om aktiverad, ange: Tillåt alla signaturer Tillåter filer signerade av alla undertecknare. Signerad av Tillåter endast filer signerade av den specifika processundertecknaren. Ett unikt undertecknarnamn är obligatoriskt för den körbara filen och det måste stämma överens exakt med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee epo. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt undertecknarnamn: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Ämne. Det unika undertecknarnamnet visas. Firefox har till exempel det här unika undertecknarnamnet: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Kalifornien C = USA Anteckningar Anger mer information om objektet. McAfee Endpoint Security 10.2 Produkthandbok 149

150 4 Använda Brandvägg Klientgränssnittsreferens Brandvägg Lägg till nätverk eller Redigera nätverk Lägger till eller redigerar ett nätverk associerat med en regel eller grupp. Tabell 4-6 Alternativ Alternativ Definition Regel Grupp Namn Typ Anger namn på nätverksadress (obligatoriskt). Väljer antingen: Lokalt nätverk skapar och lägger till ett lokalt nätverk. Fjärrnätverk Skapar och lägger till ett fjärrnätverk. Lägg till Dubbelklicka på ett objekt Ta bort Adresstyp Adress Lägger till en nätverkstyp i listan med nätverk. Ändra det valda objektet. Tar bort det valda objektet. Anger ursprung eller mål för trafik. Välj i listrutan Adresstyp. Anger IP-adressen att lägga till nätverket. Jokertecken är giltiga. Se även Adresstyp på sidan 150 Adresstyp Specificera adresstypen för ett definierat nätverk. Tabell 4-7 Alternativ Alternativ Enskild IP-adress Definition Anger en specifik IP-adress. Exempel: IPv IPv6 2001:db8::c0fa:f340:9219:bd20:9832:0ac7* Delnät Anger delnätsadress för valfri adapter i ett nätverk. Exempel: IPv /24 IPv6 2001:db8::0/32 Lokalt delnät Intervall Anger delnätsadressen för den lokala adaptern. Anger ett intervall med IP-adresser. Ange start- och slutpunkt för intervallet. Exempel: IPv IPv6 2001:db8::0000:0000:0000: :db8::ffff:ffff:ffff:ffff Fullständigt domännamn Alla lokala IP-adresser Alla IPv4-adresser Alla IPv6-adresser Specificerar FQDN. Till exempel Anger alla lokala IP-adresser. Anger alla IPv4-adresser. Anger alla IPv6-adresser. 150 McAfee Endpoint Security 10.2 Produkthandbok

151 5 Använda 5 Webbkontroll Skyddsfunktioner i Webbkontroll visas i din webbläsare när du surfar och söker. Innehåll Om Webbkontroll-funktioner Få åtkomst till funktionerna i Webbkontroll Hantera Webbkontroll Klientgränssnittsreferens Webbkontroll Om Webbkontroll-funktioner När Webbkontroll körs på alla hanterade system meddelas du om hot när du söker på eller använder webbplatser. McAfee-teamet analyserar alla webbplatser och tilldelar dem en färgkodad säkerhetsklassificering baserat på resultaten. Färgen visar webbplatsens säkerhetsnivå. Programvaran använder testresultaten för att meddela dig om de webbaserade hot som du kan träffa på. På sökresultatsidor En ikon visas bredvid varje webbplats. Färgen på ikonen visar webbplatsens säkerhetsklassificering. Du kan få mer information via ikonerna. I webbläsarfönstret En knapp visas i webbläsaren. Färgen på knappen visar webbplatsens säkerhetsklassificering. Du får mer information genom att klicka på den här knappen. Knappen kan även meddela dig när kommunikationsproblem uppstår och ge snabb åtkomst till tester som hjälper till att identifiera vanliga problem. I säkerhetsrapporter Visar information om hur olika typer av hot som hittats, testresultat och andra data har påverkat säkerhetsklassificeringen. För hanterade system använder administratörer knappen för att skapa principer för att: Aktivera och inaktivera Webbkontroll i ditt system och förhindra eller tillåt inaktivering av webbläsarens plugin-program. Kontrollera åtkomst till webbplatser, sidor och hämtningar utifrån deras säkerhetsklassificering eller typ av innehåll. Till exempel blockera röda webbplatser och varna användare som försöker att få åtkomst till gula webbplatser. Identifiera URL:er som blockerade eller tillåtna baserat på webbadresser och domäner. Förhindra dig från att avinstallera eller ändra filer, registernycklar, registervärden, tjänster eller processer i Webbkontroll. McAfee Endpoint Security 10.2 Produkthandbok 151

152 5 Använda Webbkontroll Om Webbkontroll-funktioner Anpassa aviseringen som visas när du försöker komma åt en blockerad webbplats. Övervaka och reglera webbläsaraktiviteter på nätverksdatorer och skapa detaljerade rapporter om webbplatser. För självhanterade system kan du konfigurera inställningarna för: Aktivera och inaktivera Webbkontroll i ditt system. Kontrollera åtkomst till webbplatser, sidor och hämtningar utifrån deras säkerhetsklassificering eller typ av innehåll. Till exempel blockera röda webbplatser och varna användare som försöker att få åtkomst till gula webbplatser. Programvaran stödjer webbläsarna Microsoft Internet Explorer, Mozilla Firefox och Google Chrome. I självhanterade system är alla webbläsare (med eller utan stöd) som standard tillåtna. Chrome stöder inte alternativet Visa pratbubbla. Se även Knappen Webbkontroll identifierar hot vid surfning på sidan 153 Säkerhetsikoner identifierar hot vid sökning på sidan 154 Webbplatsrapporter innehåller detaljer på sidan 154 Så här fastställs säkerhetsklassificeringar på sidan 155 Så här blockerar eller varnar Webbkontroll om webbplatser eller hämtningar Om du besöker en sida som har blockerats eller som du har fått varningar om visas ett förklarande popup-fönster i Webbkontroll. Om klassificeringsåtgärderna för en webbplats är inställda på: Varna Webbkontroll visar en varning för att informera om potentiella faror med webbplatsen. Avbryt tar dig till den senast besökta webbplatsen. Om det inte finns någon tidigare besökt webbplats i webbläsarfliken är alternativet Avbryt inte tillgängligt. Fortsätt tar dig till webbplatsen. Blockera Webbkontroll visar ett meddelande om att webbplatsen har blockerats och förhindrar åtkomst till webbplatsen. OK tar dig till den senast besökta webbplatsen. Om det inte finns någon tidigare besökt webbplats i webbläsarfliken är alternativet OK inte tillgängligt. Om klassificeringsåtgärderna för hämtningar från en webbplats är inställda på: Varna Webbkontroll visar en varning för att informera om potentiella faror med den hämtade filen. Blockera förhindrar hämtningen och tar dig tillbaka till webbplatsen. Fortsätt fortsätter hämtningen. Blockera Webbkontroll visar ett meddelande om att webbplatsen har blockerats och förhindrar hämtningen. OK tar dig tillbaka till webbplatsen. 152 McAfee Endpoint Security 10.2 Produkthandbok

153 Använda Webbkontroll Om Webbkontroll-funktioner 5 Knappen Webbkontroll identifierar hot vid surfning När du surfar till en webbplats visas en färgkodad knapp knappen motsvarar webbplatsens säkerhetsklassificering. i webbläsaren. Färgen på Säkerhetsklassificeringen tillämpas endast för webbadresser med HTTP- och HTTPS-protokoll. Internet Explorer och Safari (Macintosh) Firefox och Chrome Beskrivning Den här webbplatsen testas dagligen och certifieras som säker av McAfee SECURE.(endast Windows) Den här webbplatsen är säker. Den här webbplatsen kan ha vissa problem. Denna webbplats har allvarliga problem. Klassificering saknas för den här webbplatsen. Den här knappen visas för FIL (file://) i webbadresser för protokoll. Ett kommunikationsfel har uppstått med McAfee GTI-servern som innehåller klassificeringsinformation. Webbkontroll frågade inte McAfee GTI om den här webbplatsen vilket antyder att den är intern eller finns i ett privat IP-adressintervall. Den här webbplatsen är en nätfiskewebbplats. Nätfiske är ett försök att inhämta känslig information som användarnamn, lösenord och kreditkortsuppgifter. Nätfiskewebbplatser låtsas vara tillförlitliga enheter i elektronisk kommunikation. Den här webbplatsen tillåts av en inställning. Webbkontroll inaktiverades av en inställning. Knappens placering varierar beroende på webbläsare: Internet Explorer Webbkontroll Firefox i det högra hörnet av Firefox-verktygsfältet Chrome Adressfältet Se även Visa information om en webbplast medan du surfar på sidan 157 McAfee Endpoint Security 10.2 Produkthandbok 153

154 5 Använda Webbkontroll Om Webbkontroll-funktioner Säkerhetsikoner identifierar hot vid sökning När /du anger sökord i en sökmotor som Google, Yahoo, MSN, Bing eller Ask visas säkerhetsikoner bredvid webbplatserna på sidan med sökresultat. Färgen på knappen motsvarar webbplatsens säkerhetsklassificering. Testerna avslöjade inga signifikanta problem. Vid tester upptäcktes några problem som du kan behöva känna till. Webbplatsen försökte exempelvis ändra testarnas standardwebbläsare, visade popup-fönster eller skickade en stor mängd e-post som inte var skräppost. Vid testerna upptäcktes några problem som du i hög grad bör ta hänsyn till innan webbplatsen besöks. Webbplatsen skickade exempelvis skräppost till testarna eller paketerade reklamprogram tillsammans med en hämtning. En inställning blockerade den här webbplatsen. Den här webbplatsen har inte klassificerats. Se även Visa webbplatsrapport under genomsökning på sidan 157 Webbplatsrapporter innehåller detaljer I webbplatsrapporterna kan du/ se vilka specifika hot som upptäckts. Webbplatsrapporter kommer från McAfee GTI klassificeringsserver och innehåller följande information. Det här objektet... Visar... Översikt Den övergripande säkerhetsklassificeringen för webbplatsen som bestämts utifrån dessa tester: Utvärdering av e-post- och hämtningspraxis för en webbplats med hjälp av en äganderättsskyddad datasamling och analystekniker. Undersökning av själva webbplatsen för att se om den använder stötande praxis som t.ex. onödiga popup-fönster eller begäran om att ändra din startsida. Analys av webbplatsens onlineanknytningar för att se om webbplatsen samverkar med andra misstänkta webbplatser. Kombination av McAfee-granskning av misstänkta webbplatser med feedback från våra Threat Intelligence-tjänster. Onlineanknytningar Visar hur offensivt webbplatsen försöker få dig att gå till andra webbplatser som McAfee har gett röd klassificering. Misstänkta webbplatser som ofta kopplas till andra misstänkta webbplatser. Det primära syftet med matar -webbplatserna är att få dig att besöka den misstänkta webbplatsen. En webbplats kan få en röd klassificering om den exempelvis har för offensiva länkar till andra röda webbplatser. I det här fallet betraktar Webbkontroll webbplatsen som röd genom förbindelse. 154 McAfee Endpoint Security 10.2 Produkthandbok

155 Använda Webbkontroll Om Webbkontroll-funktioner 5 Det här objektet... Visar... Tester för webbskräppost Övergripande klassificering av en webbplats e-postrutiner baserat på testresultaten. McAfee klassificerar webbplatser baserat både på hur mycket e-post vi får efter att vi angivit en adress på webbplatsen och på hur mycket e-posten vi får ser ut som skräppost. Om något av mättalen är högre än vad som anses vara acceptabelt ger McAfee webbplatsen en gul varning. Om båda mättalen är höga, eller om något av dem är extra hemskt, ger McAfee webbplatsen en röd varning. Hämtningstester Övergripande klassificering för den effekt en webbplats hämtningsbara programvara har på våra testdatorer, baserat på testresultaten. McAfee ger röda flaggor till webbplatser med virussmittade hämtningar eller som lägger till ej relaterad programvara, vilket av många anses vara reklameller spionprogram. Klassificeringen tar också hänsyn till de nätverksservrar som ett hämtat program kontaktar under användningen samt eventuella ändringar av webbläsarinställningarna eller datorns registerfiler. Se även Visa webbplatsrapport under genomsökning på sidan 157 Visa information om en webbplast medan du surfar på sidan 157 Så här fastställs säkerhetsklassificeringar Ett McAfee-team utvecklar säkerhetsklassificeringar genom att testa kriterier för varje webbplats och utvärdera resultaten för att identifiera vanliga hot. Med automatiska tester skapas säkerhetsklassificeringar för en webbplats genom att: Hämta filer för att kontrollera om det ingår virus och eventuellt oönskade program tillsammans med de hämtade filerna. Ange kontaktinformation i anmälningsformulär och söka efter resulterande skräppost eller större volymer av e-postmeddelanden som inte är skräppost och som skickats av webbplatsen eller underordnade webbplatser. Söka efter onödiga popup-fönster. Kontrollera försök från webbplatsen att utnyttja sårbarheter i webbläsaren. Kontrollera vilseledande eller bedräglig verksamhet från en webbplats. Testresultaten sammanställs i en säkerhetsrapport som även kan innehålla: Feedback från webbplatsens ägare. Den kan innehålla beskrivningar av försiktighetsåtgärder som används av webbplatsen eller svar på feedback från användare om webbplatsen. Feedback från användare av webbplatsen. Den kan innehålla rapporter om nätfiskebedrägerier eller dåliga erfarenheter vid inköp. Ytterligare analys av McAfee-experter. McAfee GTI-servern lagrar webbplatsklassificeringar och rapporter. McAfee Endpoint Security 10.2 Produkthandbok 155

156 5 Använda Webbkontroll Få åtkomst till funktionerna i Webbkontroll Få åtkomst till funktionerna i Webbkontroll Få åtkomst till funktionerna i Webbkontroll via webbläsaren. Åtgärder Aktivera plugin-programmet Webbkontroll i webbläsaren på sidan 156 I vissa webbläsare måste du aktivera plugin-programmet Webbkontroll manuellt för att få meddelanden om webbaserade hot när du bläddrar och söker. Visa information om en webbplast medan du surfar på sidan 157 Använd knappen Webbkontroll i webbläsaren för att visa information om webbplatsen. Knappen fungerar lite olika beroende på vilken webbläsare du använder. Visa webbplatsrapport under genomsökning på sidan 157 Använd säkerhetsikonen på en sökresultatsida för att visa mer information om webbplatsen. Aktivera plugin-programmet Webbkontroll i webbläsaren I vissa webbläsare måste du aktivera plugin-programmet Webbkontroll manuellt för att få meddelanden om webbaserade hot när du bläddrar och söker. Innan du börjar Modulen Webbkontroll måste vara aktiverad. Du kommer att uppmanas att aktivera plugin-programmen när du öppnar Internet Explorer eller Chrome. Plugin-programmet Webbkontroll är som standard aktiverat i Firefox. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. Klicka på knappen för att aktivera plugin-programmet när du uppmanas till det. Internet Explorer Chrome Firefox Klicka på Aktivera. Om det finns flera tillgängliga plugin-program klickar du påvälj tillägg och klickar sedan på Aktivera i verktygsfältet för Webbkontroll. Klicka på Aktivera tillägg. Klicka på Tilläggsprogram Tillägg. Klicka på Aktivera för att aktivera tillägget Endpoint Security-webbkontroll. Starta om Firefox. Om du inaktiverar verktygsfältet i Webbkontroll i Internet Explorer uppmanas du även att inaktivera plugin-programmet Webbkontroll. Om principinställningarna i hanterade system förhindrar avinstallering eller inaktivering av plugin-programmet, är plugin-programmet Webbkontroll fortsatt aktivt även om verktygsfältet inte längre visas. 156 McAfee Endpoint Security 10.2 Produkthandbok

157 Använda Webbkontroll Få åtkomst till funktionerna i Webbkontroll 5 Visa information om en webbplast medan du surfar Använd knappen Webbkontroll i webbläsaren för att visa information om webbplatsen. Knappen fungerar lite olika beroende på vilken webbläsare du använder. Innan du börjar Modulen Webbkontroll måste vara aktiverad. Plugin-programmet Webbkontroll måste vara aktiverat i webbläsaren. Alternativet Dölj verktygsfältet i klientens webbläsare Alternativ-inställningarna måste inaktiveras. Om Internet Explorer är i helskärmsläge visas inte verktygsfältet för Webbkontroll. Så här visar du menyn i Webbkontroll: Internet Explorer och Firefox Chrome Klicka på knappen Klicka på knappen i verktygsfältet. i adressfältet. Åtgärd 1 Visa en sammanfattning av säkerhetsklassificeringen för webbplatsen i en pratbubbla genom att placera pekaren över knappen i verktygsfältet för Webbkontroll. (endast för Internet Explorer och Firefox) 2 Visa en detaljerad webbplatsrapport med information om webbplatsens säkerhetsklassificering genom att: Klicka på knappen Webbkontroll. Välj Visa webbplatsrapport i menynwebbkontroll. Klicka på länken Läs webbplatsrapport i en pratbubbla. (endast för Internet Explorer och Firefox) Se även Knappen Webbkontroll identifierar hot vid surfning på sidan 153 Webbplatsrapporter innehåller detaljer på sidan 154 Visa webbplatsrapport under genomsökning Använd säkerhetsikonen på en sökresultatsida för att visa mer information om webbplatsen. Åtgärd 1 Placera markören över säkerhetsikonen. En pratbubbla visar en sammanfattning på hög nivå av säkerhetsrapporten för webbplatsen. 2 Klicka på Läs webbplatsrapport (i pratbubblan) för att öppna en mer detaljerad säkerhetsrapport för webbplatsen i ett nytt fönster. Se även Säkerhetsikoner identifierar hot vid sökning på sidan 154 Webbplatsrapporter innehåller detaljer på sidan 154 McAfee Endpoint Security 10.2 Produkthandbok 157

158 5 Använda Webbkontroll Hantera Webbkontroll Hantera Webbkontroll Som administratör kan du ange inställningar för Webbkontroll för att aktivera och anpassa skyddet, blockering utifrån webbkategorier samt loggning. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. Konfigurera alternativ för Webbkontroll Du kan aktivera Webbkontroll och konfigurera alternativ via Endpoint Security-klient. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Webbkontroll på huvudsidan för Status. Eller i menyn Åtgärd väljer du Inställningar. Klicka sedan på Webbkontroll på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 158 McAfee Endpoint Security 10.2 Produkthandbok

159 Använda Webbkontroll Hantera Webbkontroll 5 5 Välj Aktivera Webbkontroll för att aktivera Webbkontroll och ändra dess alternativ. För att... Gör så här... Anteckningar Dölj Webbkontroll-verktygsfältet på webbläsaren utan att inaktivera skyddet. Spåra webbläsarhändelser för användning i rapporter. Blockera eller varna för okända URL:er. Genomsök filer före hämtning. Lägg till externa webbplatser till det lokala privata nätverket. Blockera olämpliga webbplatser från att visas i sökresultaten. 6 Konfigurera andra alternativ efter behov. Välj Dölj verktygsfältet i klientens webbläsare. Konfigurera inställningarna i avsnittet Händelselogg. Från Tillämpning av åtgärd, välj åtgärden (Blockera, Tillåt eller Varna) för webbplatser som ännu inte är verifierade avmcafee GTI. I Åtgärdstillämpning väljer du Aktivera filgenomsökning för filhämtningar och välj sedan den McAfee GTI-risknivå som ska blockeras. I Åtgärdstillämpning under Ange ytterligare IP-adresser och intervall som ska tillåtas klickar du på Lägg till och anger sedan extern IP-adress eller externt intervall. Från Säker sökning, välj Aktivera Säker sökning, välj sökmotor och ange sedan om länkar till olämpliga webbplatser ska blockeras. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Hur genomsökning utförs på filhämtningar på sidan 160 Logga in som administratör på sidan 27 Konfigurera Webbkontroll-händelser som skickats från klientsystem till hanteringsservern för användning i förfrågningar och rapporter. Säker sökning filtrerar automatiskt bort skadliga webbplatser i sökresultaten utifrån deras säkerhetsklassificering. Webbkontroll använder Yahoo som standardsökmotor och stöder Säker sökning men endast i Internet Explorer. Om du ändrar standardsökmotor, starta om webbläsaren så att ändringarna börjar gälla. Nästa gång användaren öppnar Internet Explorer visas ett popup-fönster i Webbkontroll där användaren kan ändra till McAfees Säker sökning i den angivna sökmotorn. För Internet Explorer-versioner där sökmotorn är låst visas inget popup-fönster om Säker sökning. McAfee Endpoint Security 10.2 Produkthandbok 159

160 5 Använda Webbkontroll Hantera Webbkontroll Hur genomsökning utförs på filhämtningar Webbkontroll skickar en begäran om filhämtning till Hotdetektering för genomsökning före hämtning. Hur McAfee GTI fungerar Om du aktiverar McAfee GTI för genomsökning vid åtkomst eller på begäran, använder genomsökningsprocessen heuristiska metoder för att leta efter misstänkta filer. McAfee GTI-servern lagrar webbplatsklassificeringar och rapporter för Webbkontroll. Om Webbkontroll konfigureras för 160 McAfee Endpoint Security 10.2 Produkthandbok

161 Använda Webbkontroll Hantera Webbkontroll 5 genomsökning av hämtade filer, används filryktet som tillhandahålls av McAfee GTI för sökning efter misstänkta filer. Genomsökningen skickar fingeravtryck av prov, eller hash-värden, till en central databasserver som drivs av McAfee Labs för att fastställa om det rör sig om skadlig programvara. När hash-värden skickas kan avkänning bli tillgänglig snabbare, före nästa uppdatering av innehållsfil när McAfee Labs publicerar uppdateringen. Du kan konfigurera känslighetsnivån som McAfee GTI använder för att fastställa om ett identifierat prov innehåller skadlig programvara. Ju högre känslighetsnivån är desto högre är avkänningen av skadlig programvara. Fler avkänningar kan däremot resultera i fler resultat som är falskt positiva. Känslighetsnivån för McAfee GTI i Hotdetektering är som standard inställd på Medium. Konfigurera känslighetsnivån för varje genomsökning i inställningarna för Hotdetektering. För Webbkontroll är McAfee GTI-känslighetsnivån som standard inställd på Mycket hög. Konfigurera känslighetsnivån for genomsökning av filhämtningar i Alternativ i Webbkontroll. Du kan konfigurera Endpoint Security så att en proxyserver används för att hämta ryktesinformation från Endpoint Security i inställningarna för Delade. Ange klassificeringsåtgärder och blockera webbplatsåtkomst utifrån webbplatskategorier Konfigurera innehållsåtgärder inställningar för att ange de åtgärder som ska tillämpas för webbplatser och filhämtningar utifrån säkerhetsklassificeringar. Alternativt går det att blockera eller tillåta webbplatser i varje webbplatskategori. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Använd inställningarna i Tillämpningsmeddelanden och anpassa meddelandet så att det visas för webbplatser som är blockerade eller har en varning och filhämtningar samt blockerade nätfiskesidor. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Webbkontroll på huvudsidan för Status. Eller i menyn Åtgärd väljer du Inställningar. Klicka sedan på Webbkontroll på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Innehållsåtgärder. 5 I Kategorin webbplatsblockering, för varje Webbplatskategori, aktivera eller inaktivera alternativet Blockera. Webbkontroll tillämpar även klassificeringsåtgärder för webbplatser i kategorin webbplatser med upphävd blockering. McAfee Endpoint Security 10.2 Produkthandbok 161

162 5 Använda Webbkontroll Klientgränssnittsreferens Webbkontroll 6 I Klassificeringsåtgärder anger du vilka åtgärder som gäller för webbplatserna och filhämtningarna utifrån säkerhetsklassificeringar som definierats av McAfee. Dessa åtgärder gäller även webbplatser som inte blockeras av kategorin webbplatsblockering. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Använda webbplatskategorier för att kontrollera åtkomst på sidan 162 Kontrollera åtkomst med säkerhetsklassificeringar på sidan 162 Logga in som administratör på sidan 27 Använda webbplatskategorier för att kontrollera åtkomst Med webbplatskategorier kan du kontrollera åtkomst till webbplatser utifrån kategorier som McAfee definierar. Du kan ange alternativ för att tillåta eller blockera åtkomst till webbplatser utifrån kategorin för det innehåll de har. När du aktiverar blockering av webbplatskategorier i innehållsåtgärder inställningar, blockerar eller tillåter programvaran webbplatskategorier. Dessa webbplatskategorier omfattar Spel med pengainsats, Spel och Snabbmeddelanden. McAfee definierar och upprätthåller listan över ca 105 webbplatskategorier. När en klientanvändare kommer åt en webbplats, kontrollerar programvaran webbplatskategorin för webbplatsen. Om webbplatsen tillhör en definierad kategori, blockeras eller tillåts åtkomst utifrån inställningarna i Innehållsåtgärder inställningar. För webbplatser och filhämtningar i kategorier med upphävd blockering tillämpar programvaran angivna klassificeringsåtgärder. Kontrollera åtkomst med säkerhetsklassificeringar Konfigurera åtgärder utifrån säkerhetsklassificeringar för att fastställa om användare kan få åtkomst till en webbplats eller resurser på en webbplats. Ange följande för varje webbplats eller filhämtning; tillåt, varna eller blockera utifrån klassificeringen. Den här inställningen ger en högre precisionsnivå i skyddet för användare mot filer som kan innehålla ett hot på webbplatser med en övergripande grön klassificering. Klientgränssnittsreferens Webbkontroll Gränssnittet hjälpavsnitt ger sammanhangsberoende hjälp för sidor i klientgränssnittet. Innehåll Webbkontroll Alternativ Webbkontroll Innehållsåtgärder Webbkontroll Alternativ Konfigurera allmänna inställningar i Webbkontroll, inklusive aktivering, specificering av åtgärdstillämpning, säker sökning och e-postkommentarer. Mer information om konfigurering av loggning hittar du i inställningarna i modulen Delade. 162 McAfee Endpoint Security 10.2 Produkthandbok

163 Använda Webbkontroll Klientgränssnittsreferens Webbkontroll 5 Tabell 5-1 Alternativ Avsnitt Alternativ Definition ALTERNATIV Aktivera webbkontroll Inaktiverar eller aktiverar Webbkontroll. (aktiverad som standard) Händelseloggning Dölj verktygsfältet i klientens webbläsare Logga webbkategorier för webbplatser med grön klassificering Döljer verktygsfältet förwebbkontroll i webbläsaren utan att inaktivera funktionen. (Inaktiverad som standard) Logga innehållskategorier för alla webbplatser med grön klassificering. Aktivering av den här funktionen kan påverka serverprestandan hos McAfee epo negativt. Åtgärdstillämpning Logga iframe-händelser i webbkontrollen Tillämpa denna åtgärd på webbplatser som ännu inte har verifierats av McAfee GTI Aktivera IFrame-stöd för HTML Blockera webbplatser som standard om det inte går att nå servern för McAfee GTI-klassificering Blockera nätfiskesidor för alla webbplatser Aktivera filgenomsökning för filhämtningar Känslighetsnivå för McAfee GTI Loggar när skadliga webbplatser (röda) och webbplatser med varningar (gula) som visas i en HTML iframe blockeras. Anger standardåtgärd som gäller för webbplatser som McAfee GTI inte har klassificerat än. Tillåt (standard) Ger användare åtkomst till webbplatsen. Varna Varnar användare om potentiella faror med webbplatsen. Användarna måste stänga varningen innan de fortsätter. Blockera Förhindrar att användare får åtkomst till webbplatsen och visar ett meddelande om att hämtning från webbplatsen är blockerad. Blockerar åtkomst till skadliga webbplatser (röda) och webbplatser med varningar (gula) som visas i en HTML iframe. (aktiverad som standard) Blockerar åtkomst till webbplatser som standard om Webbkontroll inte kan nå McAfee GTI-servern. Blockerar alla nätfiskesidor och åsidosätter åtgärder för innehållsklassificering. (aktiverad som standard) Genomsöker alla filer (.zip,.exe,.ecx,.cab,.msi,.rar,.scr och.com) före hämtning. (aktiverad som standard) Det här alternativet förhindrar att användare kommer åt en hämtad fil innanwebbkontroll och Hotdetektering har markerat filen som rensad. Webbkontroll utför en McAfee GTI-sökning av filen. Om filen godkänns av McAfee GTI skickar Webbkontroll den till Hotdetektering för att genomsökas. Om en hämtad fil identifieras som ett hot vidtar Endpoint Security åtgärder på filen och varnar användaren. Anger vilken känslighetsnivå som ska användas i McAfee GTI när Webbkontroll genomsöker hämtade filer. McAfee Endpoint Security 10.2 Produkthandbok 163

164 5 Använda Webbkontroll Klientgränssnittsreferens Webbkontroll Tabell 5-1 Alternativ (fortsättning) Avsnitt Alternativ Definition Undantag Ange IP-adresser eller intervall som ska undantas från webbkontrollklassificering eller blockering Lägger till angivna IP-adresser och intervall i det lokala privata nätverket och undantar dem från klassificering och blockering. Privata IP-adresser undantas som standard. Metodtips: Använd det här alternativet för att behandla externa webbplatser som om de ingår i det lokala nätverket. Lägg till Lägger till en IP-adress i listan med privata adresser i det lokala nätverket. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort en IP-adress från listan med privata adresser i det lokala nätverket. Säker sökning Aktivera Säker sökning Aktiverar Säker sökning som automatiskt blockerar skadliga webbplatser i sökresultaten utifrån deras säkerhetsklassificering. Ange standardsökmotorn i webbläsare som stöds Anger vilken standardsökmotor som kan användas för webbläsare som stöds: Yahoo Google Bing Ask Blockera länkar till riskabla webbplatser i sökresultaten Förhindrar att användare klickar på länkar till riskabla webbplatser i sökresultaten. Tabell 5-2 Avancerade alternativ Avsnitt Alternativ Definition E-postkommentarer Aktivera anteckningar i webbläsarbaserad e-post Aktivera anteckningar i icke-webbläsarbaserad e-post Se även Konfigurera alternativ för Webbkontroll på sidan 158 Hur genomsökning utförs på filhämtningar på sidan 160 McAfee GTI på sidan 117 Noterar URL:er för webbläsarbaserade e-postklienter som Yahoo Mail och Gmail. Noterar URL:er för 32-bitarsverktyg för e-posthantering, till exempel Microsoft Outlook eller Outlook Express. Webbkontroll Innehållsåtgärder Definiera åtgärder som ska vidtas för klassificerade webbplatser och webbinnehållskategorier. Webbkontroll tillämpar klassificeringsåtgärder för webbplatser och filhämtningar i de oblockerade kategorierna. 164 McAfee Endpoint Security 10.2 Produkthandbok

165 Använda Webbkontroll Klientgränssnittsreferens Webbkontroll 5 Tabell 5-4 Alternativ Avsnitt Alternativ Definition Klassificeringsåtgärder Klassificeringsåtgärder för webbplatser Anger åtgärder för webbplatser som är klassificerade som röda, gula eller oklassificerade. Webbplatser med grön klassificering och filhämtningar tillåts automatiskt. Tillåt Ger användare åtkomst till webbplatsen. (Standard för oklassificerade webbplatser) Varna Varnar användare om eventuella faror med webbplatsen. Användare måste klicka på Avbryt för att återgå till föregående webbsida eller Fortsätt för att fortsätta till webbplatsen. Om det inte finns någon tidigare besökt webbplats i webbläsarfliken är alternativet Avbryt inte tillgängligt. (Standard förgula webbplatser) Blockera Förhindrar att användare får åtkomst till webbplatsen och visar ett meddelande om att webbplatsen är blockerad. Användare måste klicka på OK för att gå tillbaka till föregående webbplats. Om det inte finns någon tidigare besökt webbplats i webbläsarfliken är alternativet OK inte tillgängligt. (Standard för röda webbplatser) Klassificeringsåtgärder för filhämtningar Anger åtgärder för filhämtningar som är klassificerade som röda, gula eller oklassificerade. Dessa klassificeringsåtgärder kan endast tillämpas när Aktivera filgenomsökning för filhämtningar har aktiverats i Alternativ-inställningarna. Tillåt Tillåter användare att fortsätta med hämtningen. (Standard för oklassificerade webbplatser) Varna Visar en varning för att meddela användarna om potentiella faror i samband med filhämtningen. Användare måste stänga varningen innan hämtningen avslutas eller fortsätter. (Standard förgula webbplatser) Blockera Förhindrar att filen hämtas. Ett meddelande visar att hämtningen är blockerad. (Standard för röda webbplatser) Anpassa meddelandet med inställningarna för Tillämpningsmeddelanden. McAfee Endpoint Security 10.2 Produkthandbok 165

166 5 Använda Webbkontroll Klientgränssnittsreferens Webbkontroll Tabell 5-5 Avancerade alternativ Avsnitt Alternativ Definition Blockering av webbkategori Aktivera Blockering av webbkategori Blockera Webbkategori Aktiverar blockering av webbplatser baserat på innehållskategori. Förhindrar att användare får åtkomst till webbplatser i den här kategorin och visar ett meddelande om att webbplatsen är blockerad. Visar webbkategorierna. Se även Ange klassificeringsåtgärder och blockera webbplatsåtkomst utifrån webbplatskategorier på sidan 161 Kontrollera åtkomst med säkerhetsklassificeringar på sidan 162 Använda webbplatskategorier för att kontrollera åtkomst på sidan McAfee Endpoint Security 10.2 Produkthandbok

167 6 Använda 6 Hotinformation Hotinformation tillhandahåller kontextmedvetet och anpassningsbart skydd för din nätverksmiljö. Endpoint Security-hotinformation är en tillvalsmodul i Endpoint Security. Om du vill ha fler hotinformationskällor och -funktioner distribuerar du Threat Intelligence Exchange-server. Kontakta återförsäljaren eller en säljare för mer information. Hotinformation stöds inte i McAfee epo Cloud-hanterade system. Innehåll Så här fungerar Hotinformation Hantera Hotinformation Klientgränssnittsreferens Hotinformation Så här fungerar Hotinformation Hotinformation använder Data Exchange Layer-ramverket för omedelbar delning av fil- och hotinformation i hela nätverket. Tidigare skickade du en okänd fil eller ett okänt certifikat till McAfee för analys och uppdaterade sedan filinformationen i hela nätverket flera dagar senare. Hotinformation gör det möjligt att kontrollera filryktet på lokal nivå, i din miljö. Du väljer vilka filer som får köras och vilka som ska blockeras, och Data Exchange Layer delar den informationen direkt i hela din miljö. Scenarier för användning av Hotinformation Blockera en fil omedelbart Hotinformation varnar nätverksadministratören för en okänd fil i miljön. I stället för att skicka filinformationen till McAfee för analys, blockerar administratören filen omedelbart. Administratören kan sedan använda Hotinformation för att få reda på om filen är ett hot och hur många system som filen har körts i. Tillåt en egen fil att köras Ett företag använder rutinmässigt en fil vars standardrykte är misstänkt eller skadligt, exempelvis en egen fil som skapats för företaget. Eftersom denna fil är tillåten kan administratören ändra filens rykte till betrodd och tillåta att den körs utan varningar eller uppmaningar om åtgärd, i stället för att skicka filinformationen till McAfee och få en uppdaterad DAT-fil. Tillåt en fil att köras i en behållare När ett företag första gången använder en fil vars rykte inte är känt, kan administratören ange att den ska tillåtas att köras i en behållare. I det här fallet konfigurerar administratören innehållsreglerna i kategorin Dynamisk programinneslutning. Innehållsregler definierar vilka åtgärder det inneslutna programmet tillåts utföra. McAfee Endpoint Security 10.2 Produkthandbok 167

168 6 Använda Hotinformation Hantera Hotinformation Hantera Hotinformation Som administratör kan du ange Hotinformation-inställningar som att välja regelgrupper och bestämma rykteströsklar. Ändringar av principer i McAfee epo skriver över ändringarna på sidan Inställningar. Hotinformation stöds inte i McAfee epo Cloud-hanterade system. Om Hotinformation Hotinformation tillhandahåller ett ekosystem för säkerhet som tillåter direkt kommunikation mellan system och enheter i din miljö. Denna kommunikation möjliggörs av ramverket Data Exchange Layer. Du kan se det specifika system där hotet först upptäcktes, vart det tog vägen sedan, samt stoppa det omedelbart. Hotinformation ger dessa fördelar: Snabb avkänning av och skydd mot säkerhetshot och skadlig programvara. Möjlighet att känna till vilka system eller enheter som är komprometterade, och hur hotet sprider sig i din miljö. Möjlighet att omedelbart blockera, tillåta eller innesluta specifika filer och certifikat utifrån deras hotrykten och dina riskkriterier. Realtidsintegration med McAfee Advanced Threat Defense och McAfee GTI för att ge detaljerad bedömning och information om klassificering av skadlig programvara. Med denna integration kan du svara på hot och dela informationen i hela din miljö. Hotinformation stöds inte i McAfee epo Cloud-hanterade system. Komponenter i Hotinformation Dessa komponenter ingår i Hotinformation. En modul för Endpoint Security som tillåter att du skapar principer för blockering, tillåtelse eller inneslutning av en fil eller ett certifikat utifrån dess rykte. En server som lagrar information om fil- och certifikatrykten och sedan överför informationen till andra system. Data Exchange Layer-koordinatörer som tillåter tvåvägskommunikation mellan hanterade system i ett nätverk. Dessa komponenter installeras som McAfee epolicy Orchestrator (McAfee epo ) -tillägg och tillför flera nya funktioner och rapporter. 168 McAfee Endpoint Security 10.2 Produkthandbok

169 Använda Hotinformation Hantera Hotinformation 6 Modulen och servern kommunicerar filryktesinformation. Data Exchange Layer-ramverket överför omedelbart denna information till hanterade slutpunkter. Det delar även informationen med andra McAfee-produkter som har åtkomst till Data Exchange Layer, till exempel McAfee Enterprise Security Manager (McAfee ESM) och McAfee Network Security Platform. Hotinformation-modul I modulen Hotinformation kan du fastställa vad som ska hända när en fil med ett skadligt eller okänt rykte avkänns i din miljö. Du kan även visa hothistorik och vilka åtgärder som har vidtagits. Du kan utföra dessa aktiviteter i Hotinformation-modulen. Klienten använder regler för att bestämma åtgärder baserat på flera datapunkter, som rykte, lokal intelligens och kontextuell information. Du kan uppdatera regler var för sig. Skapa principer för att: Tillåt, blockera, rensa eller inneslut filer beroende på deras rykte. Få en uppmaning varje gång en fil eller ett certifikat med ett visst rykte försöker köras. Skicka filer automatiskt till Advanced Threat Defense för vidare utvärdering. Visa händelser på instrumentpanelerna för Hotinformation. Du kan visa tillåtna, blockerade, rensade och inneslutna händelser under de senaste 30 dagarna, eller efter händelsetyp. McAfee Endpoint Security 10.2 Produkthandbok 169

170 6 Använda Hotinformation Hantera Hotinformation Hotinformation Exchange-server Servern lagrar information om fil- och certifikatrykten och överför sedan informationen till andra system i din miljö. Mer information om servern finns i produkthandboken för Hotinformation. Kombinera TIE-servrar och databaser Om du har TIE-servrar och databaser som hanteras av olika McAfee epo-system, kan du överbrygga dem för att dela ryktesinformation. Detaljerad information om att kombinera TIE-servrar och databaser finns i McAfee Data Exchange Layer-produkthandboken samt i KnowledgeBase-artikeln KB Data Exchange Layer Data Exchange Layer inkluderar klientprogramvara och koordinatörer som tillåter dubbelriktad kommunikation mellan slutpunkterna i ett nätverk. Data Exchange Layer arbetar i bakgrunden och kommunicerar med tjänster, databaser, slutpunkter och program. Data Exchange Layer-klienten installeras på varje hanterad slutpunkt, så att hotinformation från säkerhetsprodukter som använder DXL omedelbart kan delas med alla andra tjänster och enheter. Genom att ryktesinformation delas så fort den är tillgänglig reduceras de säkerhetsantaganden som program och tjänster gör om varandra när de utbyter information. Denna delade information minskar spridningen av hot. Se McAfee Data Exchange Layer-produkthandboken för mer information om hur du installerar och använder Data Exchange Layer. Så här fastställs ett rykte Fil- och certifikatrykte fastställs när en fil försöker köras i ett hanterat system. Dessa steg vidtas när ett fil- eller certifikatrykte fastställs. 1 En användare eller systemet försöker köra en fil. 2 Endpoint Security kontrollerar filen och kan inte fastställa validiteten eller ryktet. 3 Modulen för Hotinformation kontrollerar filen och samlar in egenskaper av intresse om filen och systemet. 4 Modulen söker efter filhashen i det lokala cacheminnet för rykten. Om filhashen hittas får modulen företagsförekomst och ryktesdata för filen från cacheminnet. 5 Om filhashen inte hittas i det lokala cacheminnet för rykten frågar modulen TIE Server. Om hashen hittas får modulen företagsförekomst (och alla tillgängliga rykten) för den filhashen. 6 Om filhashen inte hittas i TIE Server eller i databasen, begär servern filens hashrykte från McAfee GTI. McAfee GTI skickar den information som finns, exempelvis "okänt eller skadligt rykte, och servern lagrar informationen. Servern skickar filen för genomsökning om något av följande är sant: Advanced Threat Defense är tillgängligt eller aktiveras som ryktesleverantör, servern söker lokalt om det finns ett Advanced Threat Defense-rykte. Om inte markeras filen som kandidat för att skicka. Principen för slutpunkten är konfigurerad att skicka filen till Advanced Threat Defense. Ytterligare steg beskrivs i Om Advanced Threat Defense finns. 170 McAfee Endpoint Security 10.2 Produkthandbok

171 Använda Hotinformation Hantera Hotinformation 6 7 Servern returnerar filhashens företagsålder, förekomstdata och rykte till modulen utifrån de data som hittades. Om filen är ny i miljön skickar servern även en första instansflagga till modulen Hotinformation. Om McAfee Web Gateway finns och sedan skickar ryktespoäng, returneras filens rykte av Hotinformation. 8 Modulen utvärderar dessa metadata för att fastställa filens rykte: Fil- och systemegenskaper Företagsålder och förekomstdata Rykte 9 Modulen agerar utifrån den princip som är kopplad till systemet som kör filen. 10 Modulen uppdaterar servern med ryktesinformation och huruvida filen är blockerad, tillåten eller innesluten. Den skickar även hothändelser till McAfee epo genom McAfee Agent. 11 Servern publicerar ryktesändringshändelsen för filhashen. Om Advanced Threat Defense finns Om Advanced Threat Defense finns inträffar följande process. 1 Om systemet är konfigurerat för att skicka filer till Advanced Threat Defense, och filen är ny i miljön, skickar systemet filen till TIE-servern. TIE-servern skickar den sedan till Advanced Threat Defense för genomsökning. 2 Advanced Threat Defense genomsöker filen och skickar dess rykte till TIE-servern via Data Exchange Layer. Servern uppdaterar även databasen och skickar information om det uppdaterade ryktet till alla Hotinformation-aktiverade system så att din miljö skyddas omedelbart. Hotinformation eller någon annan McAfee-produkt kan initiera denna process. I båda fallen bearbetar Hotinformation ryktet och sparar det i databasen. Mer information om hur Advanced Threat Defense är integrerat med Hotinformation finns i produkthandboken för McAfee Advanced Threat Defense. Om McAfee Web Gateway finns Om McAfee Web Gateway finns händer följande. När du hämtar filer skickar McAfee Web Gateway en rapport till TIE-servern som sparar ryktespoängen i databasen. När servern får en begäran om filrykte från modulen, returneras det rykte som togs emot från McAfee Web Gateway och andra ryktesleverantörer. Mer information om hur McAfee Web Gateway utbyter information via en TIE-server finns i kapitlet om proxyservrar i McAfee Web Gateway-produkthandboken. När töms cacheminnet? Hela Hotinformation-cacheminnet töms när regelkonfigurationen ändras: Status för en eller flera regler har ändrats, till exempel från aktiverad till inaktiverad. Reglerna har ändrats, till exempel från Balanserad till Säkerhet. En enskild fil eller ett certifikatcache töms när: Cacheminnet är över 30 dagar gammalt. Filen har ändrats på hårddisken. TIE-servern publicerar en ryktesändringshändelse. McAfee Endpoint Security 10.2 Produkthandbok 171

172 6 Använda Hotinformation Hantera Hotinformation Nästa gång Hotinformation får meddelande om filen räknas ryktet om. Komma igång Vad gör du när du har installerat Hotinformation? Så här gör du för att komma igång med Hotinformation: 1 Skapa Hotinformation-principer för att avgöra vad som ska blockeras, tillåtas och inneslutas. Kör sedan Hotinformation i observationsläge för att skapa filförekomst och observera vad Hotinformation känner av i din miljö. Filförekomst indikerar hur ofta en fil hittas i din miljö. 2 Övervaka och justera principerna, eller enskilda fil- eller certifikatrykten för att styra vad som är tillåtet i din miljö. Skapa filförekomst och observera Efter installationen och distributionen börjar du skapa filförekomst och aktuell hotinformation. Du kan se vad som körs i din miljö och lägga till filer och information om certifikatrykten i TIE-databasen. Denna information fyller även i diagram och instrumentpaneler som är tillgängliga i modulen där du visar detaljerad ryktesinformation om filer och certifikat. Skapa en eller flera Hotinformation som du kör på några datorer i din miljö för att komma igång. Principerna fastställer: När en fil eller ett certifikat med ett visst rykte tillåts att köras på en dator När en fil eller ett certifikat blockeras När ett program innesluts När användaren uppmanas att vidta åtgärd När en fil har skickats till Advanced Threat Defense för ytterligare analys När filförekomst skapas kan du köra principer i observationsläge. Fil- och certifikatrykten läggs till i databasen men ingen åtgärd vidtas. Du kan se vad som blockeras, tillåts eller innesluts om Hotinformation tillämpas. Övervakning och ändring Allteftersom principer körs i din miljö, läggs ryktesdata till i databasen. Med instrumentpanelerna och händelsevyerna som finns i McAfee epo kan du se filer och certifikat som är blockerade, tillåtna eller inneslutna utifrån principerna. Du kan visa detaljerad information per slutpunkt, fil, regel eller certifikat, och snabbt se antalet objekt som har identifierats och vilka åtgärder som har vidtagits. Du kan djupanalysera genom att klicka på ett objekt, och ändra ryktesinställningarna för specifika filer eller certifikat så att lämplig åtgärd kan vidtas. 172 McAfee Endpoint Security 10.2 Produkthandbok

173 Använda Hotinformation Hantera Hotinformation 6 Om filens standardrykte till exempel är misstänkt eller okänd men du vet att det är en betrodd fil, kan du ändra filens rykte till betrodd. Programmet tillåts sedan att köras i din miljö utan att blockeras eller att användaren uppmanas att vidta någon åtgärd. Du kan ändra ryktet för interna eller egna filer som används i din miljö. Använd funktionen TIE-rykten för att söka efter ett specifikt fil- eller certifikatnamn. Du kan visa information om filen eller certifikatet, samt företagsnamn, SHA-1- och SHA-256-hashvärden, MD5, beskrivning och McAfee GTI-information. Avseende filer kan du även få direktåtkomst till VirusTotal-data från informationssidan för TIE-rykten och se ytterligare information. På sidan Reporting Dashboard (Instrumentpanel för rapportering) visas olika typer av ryktesinformation samtidigt. Du kan visa antalet nya filer som har påträffats i din miljö den senaste veckan, filer efter rykte, filer vars rykte nyligen har ändrats, system som nyligen har kört nya filer och mycket mer. Du kan visa detaljerad information om ett objekt på instrumentpanelen genom att klicka på det. Om du har identifierat en skadlig eller misstänkt fil kan du snabbt se var den kördes och vilket system som kan vara komprometterat. Ändra ryktet för en fil eller ett certifikat i din miljö efter behov. Informationen uppdateras omedelbart i databasen och skickas till alla enheter i din miljö. Filer och certifikat blockeras, tillåts eller innesluts utifrån sitt rykte. Om du inte är säker på vad du ska göra med en viss fil eller ett visst certifikat, kan du: blockera den/det från att köras tills du har fått mer information. Till skillnad från en Hotdetektering-rensningsåtgärd som kan ta bort en fil, ligger en blockerad fil kvar på samma plats men får inte köras. Filen är intakt medan du undersöker den och beslutar vad som ska göras. tillåta det att köras inneslutet. Dynamisk programinneslutning kör program med ett specifikt rykte i en behållare och blockerar åtgärder baserat på innehållsreglerna. Programmet får köras men vissa åtgärder kan misslyckas beroende på innehållsreglerna. Importera fil- eller certifikatrykten till databasen för att tillåta eller blockera specifika filer eller certifikat utifrån andra rykteskällor. På det här sättet kan du använda de importerade inställningarna för specifika filer och certifikat utan att behöva ange dem enskilt på servern. Skicka filer för vidare analys Om filens rykte är okänt kan du skicka den till Advanced Threat Defense för vidare analys. Ange i TIE-principen vilka filer du skickar. Advanced Threat Defense upptäcker skadlig programvara av zero-day-typ och kombinerar antivirussignaturer, rykte och realtidsskydd för emulering. Filer kan skickas automatiskt från Hotinformation till Advanced Threat Defense utifrån sin ryktesnivå och filstorlek. Filryktesinformation som skickas från Advanced Threat Defense läggs till i TIE-serverdatabasen. McAfee GTI, telemetriinformation Fil- och certifikatinformation skickas till McAfee GTI används för att förstå och förbättra ryktesinformationen. Se tabellen för information om informationen som tillhandahålls av McAfee GTI för filer och certifikat, endast filer eller endast certifikat. McAfee Endpoint Security 10.2 Produkthandbok 173

174 6 Använda Hotinformation Hantera Hotinformation Kategori Fil- och certifikatinformation Endast filer Endast certifikat Beskrivning TIE-serverversioner och modulversioner Inställningar för åsidosättning av rykten gjorda i TIE-servern Extern ryktesinformation, exempelvis från Advanced Threat Defense Filnamn, sökväg, storlek, produkt, utgivare och förekomst SHA-1-, SHA-256- och MD5-information Version av operativsystem för rapporterande dator Maximalt, minimalt och genomsnittligt rykte fastställt för filen Om rapporteringsmodulen är i observationsläge Om filen har tillåtits att köras, har blockerats, inneslutits eller rensats Produkten som kände av filen, exempelvis Advanced Threat Defense eller Hotdetektering SHA-1-information Namnet på certifikatets utfärdare och dess ämne Datumet när certifikatet trädde i kraft och dess utgångsdatum McAfee samlar inte in personligt identifierbar information, och delar inte informationen utanför McAfee. Innesluter program dynamiskt Med dynamisk programinneslutning kan du ange att program med ett specifikt rykte ska köras i en behållare. Baserat på rykteströskeln begär Hotinformation att dynamisk programinneslutning ska innesluta programmet. Inneslutna program tillåts utföra vissa åtgärder, enligt innehållsreglerna. Med denna teknik kan du utvärdera okända och potentiellt osäkra program genom att tillåta dem att köras i din miljö, samtidigt som de åtgärder de kan utföra begränsas. Användarna kan använda programmen men de kanske inte fungerar som förväntat om dynamisk programinneslutning blockerar vissa åtgärder. När du väl fastställer att ett program är säkert kan du konfigurera Endpoint Security-hotinformation eller TIE-servern för att tillåta den att köras normalt. Använda dynamisk programinneslutning: 1 Aktivera Hotinformation och ange en rykteströskel för när dynamisk programinneslutning ska aktiveras i inställningarna för Alternativ. 2 Konfigurera McAfee-definierade innehållsregler och undantag i inställningarna för dynamisk programinneslutning. Se även Tillåt inneslutna program att köras normalt på sidan 177 Konfigurera McAfee-definierade innehållsregler på sidan 178 Aktivera tröskeln för dynamisk programinneslutning på sidan McAfee Endpoint Security 10.2 Produkthandbok

175 Använda Hotinformation Hantera Hotinformation 6 Så fungerar dynamisk programinneslutning Hotinformation använder ett programs rykte för att fastställa om dynamisk programinneslutning ska köra programmet med begränsningar. När en fil med det angivna ryktet körs i din miljö kommer dynamisk programinneslutning att blockera eller logga osäkra åtgärder baserat på innehållsreglerna. Om flera tekniker som registrerats med dynamisk programinneslutning begär inneslutning av ett program, är varje begäran kumulativ. Programmet förblir inneslutet tills dess att alla tekniker släpper programmet. Om en teknik som har begärt inneslutning inaktiveras eller tas bort frisläpper dynamisk programinneslutning dessa program. Arbetsflöde för dynamisk programinneslutning 1 Processen börjar köras. 2 Hotinformation kontrollerar filens rykte. Hotinformation använder TIE-servern, om den är tillgänglig, för programmets rykte. Om TIE-servern inte är tillgänglig använder Hotinformation McAfee GTI för ryktesinformation. 3 Om programmets rykte är detsamma som eller lägre än tröskeln för dynamisk programinneslutning i Hotinformation, meddelas Dynamisk programinneslutning av Hotinformation om att processen har startat och begär inneslutning. 4 Dynamisk programinneslutning innesluter processen. Du kan visa händelserna för dynamisk programinneslutning i Hothändelseloggen i McAfee epo. 5 Om det inneslutna programmet betraktas som säkert kan du tillåta att det körs normalt (ej inneslutna). McAfee Endpoint Security 10.2 Produkthandbok 175

176 6 Använda Hotinformation Hantera Hotinformation Se även Konfigurera McAfee-definierade innehållsregler på sidan 178 Tillåt inneslutna program att köras normalt på sidan McAfee Endpoint Security 10.2 Produkthandbok

177 Använda Hotinformation Hantera Hotinformation 6 Tillåt inneslutna program att köras normalt När du väl fastställer att ett inneslutet program är säkert så kan du tillåta att det körs normalt i din miljö. Lägg till programmet till den globala undantagslistan i inställningarna för dynamisk programinneslutning. I det här fallet släpps programmet från inneslutning och körs normalt oavsett hur många tekniker som har begärt inneslutning. Konfigurera Hotinformation för att höja rykteströskeln och släppa den från inneslutning. I det här fallet släpps programmet från inneslutning och körs normalt om inte någon annan teknik har begärt att programmet ska inneslutas. Om TIE-servern är tillgänglig ändrar du filens rykte till en nivå som tillåter att den körs, till exempel Kan vara tillförlitligt. I det här fallet släpps programmet från inneslutning och körs normalt om inte någon annan teknik har begärt att programmet ska inneslutas. Se produkthandboken för McAfee Threat Intelligence Exchange. Se även Undanta processer från dynamisk programinneslutning på sidan 180 Aktivera tröskeln för dynamisk programinneslutning Med tekniken dynamisk programinneslutning kan du ange att program med ett specifikt rykte ska köras i en behållare. På så sätt kan du begränsa vilka åtgärder de ska kunna utföra. Aktivera åtgärdstillämpning för dynamisk programinneslutning, och ange en rykteströskel för när program ska inneslutas. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotinformation på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd. Klicka sedan på Hotinformation på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 5 Kontrollera att Hotinformation är aktiverat. 6 Välj Starta dynamisk programinneslutning när rykteströskeln når. 7 Ange rykteströskel för när program ska inneslutas. Kan vara tillförlitligt (standard för regelgruppen Säkerhet) Okänt (standard för regelgruppen Balanserad) Kan vara skadligt (standard för regelgruppen Produktivitet) McAfee Endpoint Security 10.2 Produkthandbok 177

178 6 Använda Hotinformation Hantera Hotinformation Troligtvis skadligt Känt att vara skadligt Rykteströskeln för dynamisk programinneslutning måste vara högre än trösklarna för att blockera och rensa. Om blockeringströskeln till exempel är inställd på Känt att vara skadligt måste tröskeln för dynamisk programinneslutning anges till Troligtvis skadligt eller högre. 8 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Konfigurera McAfee-definierade innehållsregler McAfee-definierade innehållsregler blockera eller logga åtgärder som inneslutna program kan utföra. Du kan ändra inställningarna för blockering och rapportering men du kan inte i övrigt ändra eller ta bort dessa regler. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Välj Meny Princip Principkatalog och välj sedan Endpoint Security-hotinformation i produktlistan. 2 Öppna Endpoint Security-klient. 3 Klicka på Hotinformation på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd. Klicka sedan på Hotinformation på sidan Inställningar. 4 Klicka på Visa avancerat. 5 Klicka på Dynamisk programinneslutning. 6 I avsnittet Innehållsregler väljer du Blockera, Rapportera eller båda för regeln. Blockera eller rapportera alla genom att välja Blockera eller Rapportera i den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. 7 I avsnittet Undantag konfigurerar du körbara filer som ska undantas från dynamisk programinneslutning. Processer i listan Undantag körs normalt (ej inneslutna). 8 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Undanta processer från dynamisk programinneslutning på sidan 180 McAfee-definierade innehållsregler på sidan 178 McAfee-definierade innehållsregler McAfee-definierade innehållsregler för att styra vilka förändringar inneslutna program kan göra i systemet. Du kan ändra inställningarna för blockering och rapportering men du kan inte i övrigt ändra eller ta bort dessa regler. 178 McAfee Endpoint Security 10.2 Produkthandbok

179 Använda Hotinformation Hantera Hotinformation 6 Åtkomst till osäkra lösenords LM hash-värden Åtkomst till användarens cookieplatser Tilldelar minne i en annan process Skapar en tråd i en annan process Skapar filer på valfri nätverksplats Skapar filer på CD, diskett och flyttbara enheter Skapar filer med.bat-tillägg Skapar filer med.exe-tillägg Skapar filer med.html-,.jpg- eller.bmp-tillägg Skapar filer med.job-tillägg Skapar filer med.vbs-tillägg Skapar nya CLSID-, APPID- och TYPELIB-objekt Tar bort filer som ofta utgör mål för skadlig programvara i ransomware-klass Inaktiverar körbara filer som är kritiska för operativsystemet Kör valfri underordnad process Ändrar AppInit DLL-registerposter Ändrar programkompatibilitetsshims Ändrar kritiska Windows-filer och registerplatser Ändrar inställningar för skrivbordsbakgrund Ändrar filtilläggsförbindelser Ändrar filer med.bat-tillägg Ändrar filer med.vbs-tillägg Ändrar avbildningsfilens körningsalternativ för registerposter Ändra PE-filer (Portable Executable) Ändrar inställningar för skärmsläckare Ändrar registerplatser vid start Ändrar automatisk felsökning Ändrar bit för dolda attribut Ändrar det skrivskyddade attributets bit Ändrar plats för tjänsteregistret Ändrar princip för Windows-brandväggen Ändrar mapp för Windows-aktiviteter Ändrar användarprinciper Ändrar användarnas datamappar McAfee Endpoint Security 10.2 Produkthandbok 179

180 6 Använda Hotinformation Hantera Hotinformation Läser filer som ofta utgör mål för skadlig programvara i ransomware-klass Läser från minnet för en annan process Läser eller ändrar filer på valfri nätverksplats Skapar filer på CD, diskett och flyttbara enheter Pausar en process Avslutar en annan process Sparar i minnet för en annan process Skriver till filer som ofta utgör mål för skadlig programvara i ransomware-klass Hantera inneslutna program När dynamisk programinneslutning innehåller ett betrott program kan du undanta det från inneslutning från Endpoint Security-klient. När ett program undantas släpps det, tas bort från Inneslutna program och läggs till i Undantag, vilket hindrar att det innesluts i framtiden. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotinformation på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd. Klicka sedan på Hotinformation på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Dynamisk programinneslutning. 5 I avsnittet Inneslutna program markerar du programmet och klickar på Undanta. Programmet visas i listan Undantag. Programmet finns kvar i listan Inneslutna program tills du klickar på Tillämpa. När du går tillbaka till sidan Inställningar visas programmet enbart i listan Undantag. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Undanta processer från dynamisk programinneslutning Om ett betrott program är inneslutet undantar du det genom att skapa ett undantag för dynamisk programinneslutning. Undantag som skapats med Endpoint Security-klient tillämpas bara på klientsystemet. Dessa undantag skickas inte till McAfee epo och visas inte i avsnittet Undantag i för Dynamisk programinneslutning. I hanterade system skapar du globala undantag i för Dynamisk programinneslutning i McAfee epo. 180 McAfee Endpoint Security 10.2 Produkthandbok

181 Använda Hotinformation Hantera Hotinformation 6 Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotinformation på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd. Klicka sedan på Hotinformation på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Dynamisk programinneslutning. 5 I avsnittet Undantag klickar du på Lägg till för att lägga till processer som ska undantas från alla regler. 6 Konfigurera egenskaperna för den körbara filen på sidan Lägg till körbar fil. 7 Klicka på Spara och sedan på Tillämpa för att spara inställningarna. Konfigurera alternativ för Hotinformation Använd för att bestämma när en fil eller ett certifikat ska köras, inneslutas, rensas, blockeras eller om användare ska uppmanas att vidta åtgärder. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara Fullständig åtkomst, eller så måste du vara inloggad som administratör. Ändringar av principer i McAfee epo skriver över ändringarna på sidan Inställningar. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotinformation på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd. Klicka sedan på Hotinformation på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 5 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. McAfee Endpoint Security 10.2 Produkthandbok 181