Produkthandbok. McAfee Endpoint Security 10.5

Transkript

1 Produkthandbok McAfee Endpoint Security 10.5

2 COPYRIGHT 2016 Intel Corporation VARUMÄRKEN Intel och Intel-logotypen är registrerade varumärken som tillhör Intel Corporation i USA och/eller andra länder. McAfee, McAfee-logotypen, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource och VirusScan är registrerade varumärken eller varumärken som tillhör McAfee, Inc. eller dess dotterbolag i USA och andra länder. Övriga namn och varumärken kan tillhöra andra. LICENSINFORMATION Licensavtal MEDDELANDE TILL ALLA ANVÄNDARE: LÄS NOGA TILLHÖRANDE JURIDISKA AVTAL FÖR DEN LICENS DU HAR KÖPT. I AVTALET ANGES ALLMÄNNA VILLKOR FÖR ANVÄNDNINGEN AV DEN LICENSIERADE PROGRAMVARAN. OM DU INTE VET VILKEN TYP AV LICENS DU HAR KAN DU SE DET PÅ FAKTURA/KVITTO ELLER DE LICENS-/INKÖPSHANDLINGAR SOM MEDFÖLJER FÖRPACKNINGEN ELLER SOM DU ERHÖLL SEPARAT VID KÖPET (BROSCHYR, FIL PÅ CD-SKIVAN MED PRODUKTEN ELLER FIL PÅ DEN WEBBPLATS DÄR DU HÄMTADE PROGRAMPAKETET). OM DU INTE ACCEPTERAR ALLA VILLKOR I AVTALET SKA DU INTE INSTALLERA PROGRAMVARAN. SKICKA I SÅ FALL TILLBAKA PRODUKTEN TILL MCAFEE ELLER TILL STÄLLET DÄR DU KÖPTE PRODUKTEN FÖR ATT FÅ PENGARNA TILLBAKA. 2 McAfee Endpoint Security 10.5 Produkthandbok

3 Innehåll McAfee Endpoint Security 7 1 Introduktion 9 Endpoint Security-moduler Så här skyddar Endpoint Security din dator Så här uppdateras skyddet Kommunicera med Endpoint Security Starta Endpoint Security-aktiviteter från McAfee-ikonen i systemfältet Om aviseringsmeddelanden Använda Endpoint Security-klient Använda Endpoint Security-klient 19 Öppna Endpoint Security-klient Hjälp Svara på frågor Svara på en avkänningsfråga vid hot Svara på en genomsökningsfråga Få information om ditt skydd Hanteringstyp Uppdatera innehåll och programvara manuellt Vad som uppdateras Visa Händelselogg Namn och platser för Endpoint Security-loggfiler Hantera Endpoint Security Logga in som administratör Låsa upp klientgränssnittet Inaktivera och aktivera funktioner Ändra innehållsversionen för AMCore Använd Extra.DAT-filer Konfigurera gemensamma inställningar Konfigurera uppdateringsbeteende Endpoint Security-klient gränssnittsreferens Delade Sidan Händelselogg Delade Alternativ Sidan Gemensamma Aktiviteter Använda Hotdetektering 55 Genomsök datorn efter skadlig programvara Typer av genomsökning Kör en Fullständig genomsökning eller en Snabbgenomsökning Genomsöka en fil eller mapp Hantera hotavkänningar Hantera objekt som satts i karantän Avkänningsnamn Göra en ny genomsökning av objekt i karantän McAfee Endpoint Security 10.5 Produkthandbok 3

4 Innehåll Hantera Hotdetektering Konfigurera undantag Skydda systemets åtkomstpunkter Blockerar utnyttjande av buffertspill Känner av eventuellt oönskade program Konfigurera gemensamma inställningar för genomsökning Så här fungerar McAfee GTI Konfigurera Genomsökning vid åtkomst inställningar Konfigurera Genomsökning på begäran inställningar Konfigurera, schemalägga och köra genomsökningar Endpoint Security-klient gränssnittsreferens Hotdetektering Sidan Karantän Hotdetektering Åtkomstskydd Sidan Hotdetektering Utnyttjandeskydd Hotdetektering Genomsökning vid åtkomst Hotdetektering Genomsökning på begäran Genomsök platser McAfee GTI Åtgärder Lägg till undantag eller Redigera undantag Hotdetektering Alternativ Klientaktiviteten Återställ AMCore-innehåll Använda Brandvägg 129 Så här fungerar Brandvägg Aktivera och inaktivera Brandvägg från McAfee-systemfältsikonen Aktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen Om tidsbegränsade grupper Hantera Brandvägg Ändra Brandvägg-alternativ Konfigurera Brandvägg regler och grupper Endpoint Security-klient gränssnittsreferens Brandvägg Brandvägg Alternativ Brandvägg Regler Använda Webbkontroll 157 Om funktioner i Webbkontroll Så här blockerar eller varnar Webbkontroll om webbplatser eller hämtningar Knappen Webbkontroll identifierar hot vid surfning Säkerhetsikoner identifierar hot vid sökning Webbplatsrapporter innehåller detaljer Så här fastställs säkerhetsklassificeringar Få åtkomst till funktionerna i Webbkontroll Aktivera plugin-programmet Webbkontroll i webbläsaren Visa information om en webbplast medan du surfar Visa webbplatsrapport under genomsökning Hantera Webbkontroll Konfigurera alternativ för Webbkontroll Ange klassificeringsåtgärder och blockera webbplatsåtkomst utifrån webbplatskategorier 167 Endpoint Security-klient gränssnittsreferens Webbkontroll Webbkontroll Alternativ Sidan Webbkontroll Innehållsåtgärder Använda Adaptivt skydd mot hot 175 Om Adaptivt skydd mot hot Fördelar med Adaptivt skydd mot hot McAfee Endpoint Security 10.5 Produkthandbok

5 Innehåll Adaptivt skydd mot hot komponenter Så här fungerar Adaptivt skydd mot hot Så här fastställs ett rykte Svara på en filryktesbegäran Hantera Adaptivt skydd mot hot Komma igång Innesluta program dynamiskt Konfigurera alternativ för Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens Adaptivt skydd mot hot Sidan Adaptivt skydd mot hot Dynamisk programinneslutning Sidan Adaptivt skydd mot hot Alternativ Index 199 McAfee Endpoint Security 10.5 Produkthandbok 5

6 Innehåll 6 McAfee Endpoint Security 10.5 Produkthandbok

7 McAfee Endpoint Security McAfee Endpoint Security är en omfattande lösning för säkerhetshantering som körs på nätverksdatorer för att identifiera och stoppa hot automatiskt. Hjälpen förklarar hur du använder de grundläggande säkerhetsfunktionerna och felsöker problem. För att det ska gå att använda Endpoint Security Hjälp med Internet Explorer, måste Säkerhetsinställningar Skript Active Scripting vara aktiverat i webbläsaren. Komma igång Endpoint Security-moduler på sidan 9 Så här skyddar Endpoint Security din dator på sidan 10 Kommunicera med Endpoint Security på sidan 12 Vanliga aktiviteter Öppna Endpoint Security-klient på sidan 19 Uppdatera innehåll och programvara manuellt på sidan 22 Genomsök datorn efter skadlig programvara på sidan 55 Låsa upp klientgränssnittet på sidan 26 Mer information Mer information om den här produkten finns i: McAfee Endpoint Security Installationshandbok Migreringsguide för McAfee Endpoint Security Versionsinformation för McAfee Endpoint Security Endpoint Security-brandvägg Hjälp Endpoint Security-webbkontroll Hjälp Endpoint Securitys adaptiva skydd mot hot Hjälp Endpoint Security-hotdetektering Hjälp McAfee support McAfee Endpoint Security 10.5 Produkthandbok 7

8 McAfee Endpoint Security 8 McAfee Endpoint Security 10.5 Produkthandbok

9 1 Introduktion Endpoint Security är en omfattande lösning för säkerhetshantering som körs på nätverksdatorer för att identifiera och stoppa hot automatiskt. Hjälpen förklarar hur du använder de grundläggande säkerhetsfunktionerna och felsöker problem. Om din dator hanteras kan en administratör att installera och konfigurera Endpoint Security men en av dessa hanteringsservrar: McAfee epolicy Orchestrator (McAfee epo ) McAfee epolicy Orchestrator Cloud (McAfee epo Cloud) Den senaste informationen om hantering av licenser och berättigande i Endpoint Security finns i KB Adaptivt skydd mot hot stöds inte i system som hanteras av McAfee epo Cloud. Om din dator är självhanterad, kallas också ej hanterad, kan du eller din administratör konfigurera programvaran med Endpoint Security-klient. Innehåll Endpoint Security-moduler Så här skyddar Endpoint Security din dator Kommunicera med Endpoint Security Endpoint Security-moduler Administratören konfigurerar och installerar en eller fleraendpoint Security-moduler på klientdatorer. Hotdetektering Söker efter virus, spionprogram, oönskade program och andra hot genom att genomsöka objekt automatiskt varje gång du använder dem, eller på begäran. Brandvägg Övervakar kommunikation mellan datorn och resurser i nätverket eller på Internet. Stoppar misstänkt kommunikation. Webbkontroll Visar säkerhetsklassificeringar och rapporter för webbsidor under online-navigering och sökning. Med Webbkontroll kan webbplatsadministratören blockera åtkomst till webbplatser baserat på säkerhetsklassificering eller innehåll. Adaptivt skydd mot hot Analyserar innehåll från ditt företag och beslutar vad som ska göras baserat på filrykte, regler och rykteströsklar. Adaptivt skydd mot hot är en tillvalsmodul i Endpoint Security. Om du vill ha fler hotinformationskällor och funktioner distribuerar du Threat Intelligence Exchange-servern. Kontakta återförsäljaren eller en säljare för mer information. Adaptivt skydd mot hot stöds inte i system som hanteras av McAfee epo Cloud. McAfee Endpoint Security 10.5 Produkthandbok 9

10 1 Introduktion Så här skyddar Endpoint Security din dator Dessutom har modulen Delade inställningar för vanliga funktioner, såsom säkerhet för gränssnitt och loggning. Den här modulen installeras automatiskt om någon annan modul installeras. Så här skyddar Endpoint Security din dator Vanligtvis konfigureras Endpoint Security av en administratör som även installerar programvaran i klientdatorerna, övervakar säkerhetsstatus och konfigurerar säkerhetsregler som kallas för principer. Som klientdatoranvändare kommunicerar du med Endpoint Security via klientprogramvaran som är installerad på datorn. Principerna som bestäms av administratören avgör hur funktionerna fungerar på din dator och huruvida du kan ändra inställningarna. Om Endpoint Security är självhanterat går det att ange hur modulerna och funktionerna fungerar. Visa Om-sidan för att fastställa hanteringstypen. Klientprogramvaran på datorn ansluter regelbundet till en webbplats på Internet för att komponenterna ska kunna uppdateras. Samtidigt skickas data om avkänningar på datorn till hanteringsservern. Informationen används för att skapa rapporter åt administratören om avkänningar och säkerhetsproblem på din dator. Vanligtvis körs klientprogramvaran i bakgrunden utan att du behöver vidta några åtgärder alls. Ibland kan du dock behöva ingripa. Du kan exempelvis vilja söka efter programuppdateringar eller skadlig programvara manuellt. Beroende på de principer som bestämts av administratören kan du också anpassa säkerhetsinställningarna. Om du är administratör kan du hantera och konfigurera klientprogramvaran centralt med hjälp av McAfee epo eller McAfee epo Cloud. Den senaste informationen om hantering av licenser och berättigande i Endpoint Security finns i KB Se även Få information om ditt skydd på sidan 21 Så här uppdateras skyddet Regelbundna uppdateringar av Endpoint Security säkerställer att din dator alltid är skyddad från de senaste hoten. Vid uppdateringar ansluts klientprogramvaran på datorn till en lokal server eller en fjärrserver vid McAfee epo eller direkt till en webbplats på Internet. Endpoint Security söker efter följande: Uppdateringar av innehållsfiler som används för att identifiera hot. Innehållsfiler innehåller definitioner av hot, t.ex. virus och spionprogram, och dessa definitioner uppdateras när nya hot upptäcks. Uppgraderingar för programkomponenter, till exempel korrigeringar och snabbkorrigeringar. För att underlätta terminologin refererar Hjälpen till uppdateringar både för uppdateringar och uppgraderingar. Uppdateringar sker vanligen automatiskt i bakgrunden. Du kan också behöva söka efter uppdateringar manuellt. Beroende på inställningarna, går det att uppdatera ditt skydd manuellt frånendpoint Security-klient genom att klicka på. Se även Uppdatera innehåll och programvara manuellt på sidan McAfee Endpoint Security 10.5 Produkthandbok

11 Introduktion Så här skyddar Endpoint Security din dator 1 Så här fungerar innehållsfiler När genomsökningsmotorn söker efter hot i filer jämförs innehållet i de genomsökta filerna med information om kända hot som är lagrade i AMCore-innehållsfilerna. Utnyttjandeskydd använder egna innehållsfiler för att skydda mot utnyttjande. McAfee Labs hittar och lägger till information om kända hot (signaturer) till innehållsfilerna. Förutom signaturer innehåller innehållsfilerna information om rensning och åtgärder för skador som kan orsakas av den identifierade skadliga programvaran. Nya hot visas och McAfee Labs släpper uppdaterade innehållsfiler regelbundet. Om en hotsignatur inte finns i de installerade innehållsfilerna kan genomsökningsmotorn inte identifiera detta hot och datorn har inget skydd mot angrepp. Endpoint Security lagrar den aktuella inlästa innehållsfilen och de två tidigare versionerna i Program Files\Common Files\McAfee\Engine\content folder. Det går att återställa till en tidigare version vid behov. Om ny skadlig programvara upptäcks och en extra avkänning krävs utanför det vanliga schemat för innehållsuppdatering, publicerar McAfee Labs en Extra.DAT-fil. AMCore-innehållspaket McAfee Labs släpper AMCore-innehållspaket varje dag kl (GMT/UTC). Om ett nytt hot motiverar det, kan de dagliga AMCore-innehållsfilerna släppas tidigare och ibland kan versioner fördröjas. Om du vill ta emot varningar om fördröjningar eller viktiga aviseringar, kan du prenumerera på SNS-tjänsten (Support Notification Service). Se KB AMCore-innehållspaketet innehåller följande komponenter: AMCore Motor och innehåll Innehåller uppdateringar av genomsökningsmotorn Hotdetektering och signaturer som baseras på resultatet av ständig hotforskning. Adaptivt skydd mot hot Genomsökning och regler Innehåller regler för att dynamiskt beräkna ryktet för filer och processer på slutpunkterna. McAfee släpper nya innehållsfiler till Adaptivt skydd mot hot varannan månad. Adaptivt skydd mot hot är en tillvalsmodul i Endpoint Security. Om du vill ha fler hotinformationskällor och funktioner distribuerar du Threat Intelligence Exchange-servern. Kontakta återförsäljaren eller en säljare för mer information. Real Protect Motor och innehåll Innehåller uppdateringar av genomsökningsmotorn Real Protect och signaturer som baseras på resultatet av ständig hotforskning. Real Protect är en komponent i tillvalsmodulen Adaptivt skydd mot hot. Innehållspaket för Utnyttjandeskydd Innehållspaketet för Utnyttjandeskydd omfattar: Signaturer för minnesskydd Allmänt skydd mot buffertspill, validering av anropare, allmän detektering av behörighetseskalering och riktad API-övervakning. Programskyddslista - Processer som skyddas av Utnyttjandeskydd. Innehållet i Utnyttjandeskydd liknar innehållsfilerna i McAfee Host IPS. Se KB McAfee Endpoint Security 10.5 Produkthandbok 11

12 1 Introduktion Kommunicera med Endpoint Security McAfee släpper nya innehållsfiler för Utnyttjandeskydd en gång i månaden. Kommunicera med Endpoint Security Endpoint Security innehåller visuella komponenter för kommunikation med Endpoint Security-klient. McAfee-ikonen i Windows-systemfältet Här kan du starta Endpoint Security-klient och visa säkerhetsstatusen. Aviseringsmeddelanden Varnar dig om intrångsavkänningar i sökningar och brandvägg samt filer med okänt rykte, och uppmanar dig att vidta åtgärder. Sidan Genomsökning vid åtkomst visar listan över identifierade hot när genomsökning vid åtkomst känner av ett hot. Endpoint Security-klient Visar aktuell skyddsstatus och ger åtkomst till funktioner. Administratören konfigurerar och tilldelar principer för att ange vilka komponenter som visas. Se även Starta Endpoint Security-aktiviteter från McAfee-ikonen i systemfältet på sidan 12 Om aviseringsmeddelanden på sidan 14 Hantera hotavkänningar på sidan 59 Använda Endpoint Security-klient på sidan 14 Starta Endpoint Security-aktiviteter från McAfee-ikonen i systemfältet Via McAfee-ikonen i systemfältet i Windows kommer du åt Endpoint Security-klient och vissa grundläggande aktiviteter. Med konfigurationsinställningarna avgör du om McAfee-ikonen ska visas. Högerklicka på McAfee-ikonen i systemfältet för att: Kontrollera säkerhetsstatus. Öppna Endpoint Security-klient. Uppdatera skydd och programvara manuellt. Välj Visa säkerhetsstatus för att visa sidan McAfee säkerhetsstatus. Välj McAfee Endpoint Security. Välj Uppdatera säkerhet. 12 McAfee Endpoint Security 10.5 Produkthandbok

13 Introduktion Kommunicera med Endpoint Security 1 Inaktivera eller återaktivera Brandvägg. Välj Inaktivera Endpoint Security-brandvägg på menyn Snabbinställningar. När Brandvägg är inaktiverad är alternativet Aktivera Endpoint Security-brandvägg. Aktivera, inaktivera eller visa Brandvägg brandväggsgrupper. Välj ett alternativ på menyn Snabbinställningar: Aktivera tidsbegränsade brandväggsgrupper Tillåter Internetanslutning för tidsbegränsade grupper under en angiven tidsperiod innan reglerna som begränsar åtkomst tillämpas. När tidsbegränsade grupper aktiveras är alternativet Inaktivera tidsbegränsade brandväggsgrupper. Varje gång du väljer det här alternativet återställs tiden för grupperna. Beroende på inställningarna kan du även uppmanas att informera administratören om anledningen till att tidsbegränsade grupper har aktiverats. Visa tidsbegränsade brandväggsgrupper Visar namnen på de tidsbegränsade grupperna och den återstående tiden som varje grupp är aktiv. Tillgängligheten för dessa alternativ varierar beroende på hur inställningarna har konfigurerats. Hur ikonen visar statusen för Endpoint Security Ikonens utseende ändras för att visa statusen för Endpoint Security. Håll pekaren över ikonen för att visa ett meddelande som beskriver statusen. Ikon Visar... Endpoint Security skyddar ditt system och hittade inga problem. Endpoint Security registrerar ett problem med säkerheten, till exempel en inaktiverad modul eller teknik. Brandvägg är inaktiverad. Hotdetektering utnyttjandeskydd, genomsökning vid åtkomst eller ScriptScan är inaktiverade. Endpoint Security rapporterar problem på olika vis beroende på hanteringstyp. Självhanterad: En eller flera tekniker är inaktiverade. En eller flera tekniker svarar inte. Hanterad: En eller flera tekniker har inaktiverats, men inte som ett resultat av principaktivering från hanteringsservern eller Endpoint Security-klient. En eller flera tekniker svarar inte. När ett problem registreras visar sidan McAfee säkerhetsstatus vilken modul eller teknik som inaktiverats. Se även Vad som uppdateras på sidan 23 McAfee Endpoint Security 10.5 Produkthandbok 13

14 1 Introduktion Kommunicera med Endpoint Security Om aviseringsmeddelanden Endpoint Security använder två typer av meddelanden som aviserar problem med ditt skydd eller som kräver åtgärder från din sida. Vissa meddelanden visas eventuellt inte beroende på hur inställningarna är konfigurerade. McTray.exe-processen måste köras för att Endpoint Security ska kunna visa aviseringar. Endpoint Security skickar två typer av aviseringar: Varningar visas i popup-fönster från McAfeeMcAfee-ikonen under fem sekunder och försvinner sedan. Varningar aviserar dig om avkända hot, som intrångsförsök ibrandvägg eller när en genomsökning på begäran har pausats eller återupptagits. De kräver ingen åtgärd från din sida. Frågor öppnar en sida längst ned på skärmen som visas tills du har valt ett alternativ. Exempel: En schemalagd genomsökning på begäran ska just starta. Då kanendpoint Security begära att du ska senarelägga genomsökningen. När genomsökning vid åtkomst känner av ett hot, kan Endpoint Security begära att du vidtar en åtgärd. Om Adaptivt skydd mot hot upptäcker en fil med okänt rykte kan det hända att Endpoint Security frågar om du vill tillåta eller blockera filen. I Windows 8 och 10 används popup-meddelanden som aviserar både varningar och uppmaningar. Klicka på popup-meddelandet för att se aviseringen i skrivbordsläget. Se även Svara på en avkänningsfråga vid hot på sidan 20 Svara på en genomsökningsfråga på sidan 21 Svara på en filryktesbegäran på sidan 181 Använda Endpoint Security-klient Med hjälp av Endpoint Security-klient kan du kontrollera skyddsstatus och få åtkomst till funktioner i datorn. Alternativ i Åtgärd-menyn ger åtkomst till funktioner. Inställningar Läs in Extra.DAT Återställ AMCore-innehåll Hjälp Konfigurerar funktionsinställningar. Det här menyalternativet finns tillgängligt om något av följande är sant: Inställningen i Klientgränssnittsläget är Fullständig åtkomst. Du är inloggad som administratör. Gör det möjligt att installera den hämtade filen Extra.DAT. Återställer AMCore-innehåll till en tidigare version. Det här menyalternativet finns tillgängligt om en tidigare version av AMCore-innehåll finns i systemet och om något av följande är sant: Inställningen i Klientgränssnittsläget är Fullständig åtkomst. Du är inloggad som administratör. Visar Hjälp. 14 McAfee Endpoint Security 10.5 Produkthandbok

15 Introduktion Kommunicera med Endpoint Security 1 Supportlänkar Logga in som administratör Om Avsluta Visar en sida med länkar till sidor som kan vara till hjälp, till exempel McAfee ServicePortal och Kunskapscenter. Loggar in som platsadministratör. (Detta kräver autentiseringsuppgifter för administratör.) Detta menyalternativ är tillgängligt om Klientgränssnittsläget inte är inställt på Fullständig åtkomst. Om du redan är inloggad som administratör är det här menyalternativet Logga ut som administratör. Visar information om Endpoint Security. Avslutar Endpoint Security-klient. Knapparna överst till höger på sidan ger snabb åtkomst till vanliga aktiviteter. Sök efter skadlig programvara med en fullständig genomsökning eller snabbgenomsökning av systemet. Den här knappen är endast tillgänglig om modulen Hotdetektering är installerad. Uppdaterar innehållsfiler och andra programvarukomponenter på din dator. Den här knappen visas eventuellt inte beroende på hur inställningarna är konfigurerade. Knapparna till vänster på sidan ger information om ditt skydd. Status Händelselogg Quarantine (Karantän) Återgår till huvudsidan för Status. Visar loggfilen för alla skydds- och hothändelser på den här datorn. Öppnar Quarantine Manager. Den här knappen är endast tillgänglig om modulen Hotdetektering är installerad. I Hotsammanfattning får du information om hot som upptäckts av Endpoint Security i ditt system under de senaste 30 dagarna. Se även Ladda en Extra.DAT-fil på sidan 29 Logga in som administratör på sidan 26 Genomsök datorn efter skadlig programvara på sidan 55 Uppdatera innehåll och programvara manuellt på sidan 22 Visa Händelselogg på sidan 23 Hantera objekt som satts i karantän på sidan 60 Hantera Endpoint Security på sidan 26 Om Hotsammanfattning på sidan 15 Om Hotsammanfattning Endpoint Security-klient-statussidan innehåller en sammanfattning i realtid av alla hot som upptäckts i ditt system under de senaste 30 dagarna. Allt eftersom nya hot identifierats kommer statussidan att uppdatera data dynamist i området för Hotsammanfattning i panelen längst ned. McAfee Endpoint Security 10.5 Produkthandbok 15

16 1 Introduktion Kommunicera med Endpoint Security Hotsammanfattningen innehåller: Datumet för det senaste eliminerade hotet De två viktigaste hoten som kan medföra smitta, efter kategori: Webb Externa enheter eller media Nätverk Lokalt system Fildelning E-post Snabbmeddelande Okänt Antal hot per hotande smittkälla Hot från webbplatser eller hämtningar. Hot från externa enheter, t.ex USB, 1394 Firewire, esata, band, CD, DVD eller disk. Hot från nätverk (förutom fildelning via nätverk). Hot från den lokala bootfilens systemenhet (oftast C:) eller övriga enheter som inte klassificeras som Externa enheter eller media. Hot från fildelning via nätverk. Hot från e-postmeddelanden. Hot från snabbmeddelanden. Hot där smittkällan för attacken inte kan identifieras (på grund av feltillstånd eller övriga felfall). Om Endpoint Security-klient inte kan nå Händelsehanteraren, visar Endpoint Security-klient ett kommunikationsfelmeddelande. Om detta är fallet, starta om ditt systemet för att visa en Hotsammanfattning. Hur inställningar påverkar din klientåtkomst Inställningar för Klientgränssnittsläge som tilldelats din dator avgör vilka moduler och funktioner som du kan få åtkomst till. Ändra Klientgränssnittsläge under Delade-inställningarna. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. I Klientgränssnittsläget är klientalternativen följande: 16 McAfee Endpoint Security 10.5 Produkthandbok

17 Introduktion Kommunicera med Endpoint Security 1 Fullständig åtkomst Aktiverar åtkomst till alla funktioner, inklusive: Aktivera och inaktivera enskilda moduler och funktioner. Åtkomst till sidan Inställningar för att visa eller ändra alla inställningar för Endpoint Security-klient. (Standard) Standardåtkomst Visar skyddsstatus och tillåter åtkomst till de flesta funktioner: Uppdaterar innehållsfiler och andra programvarukomponenter på din dator (om detta har aktiverats av administratören). Gör en noggrann kontroll av alla delar av systemet, vilket är en rekommendation om du misstänker att datorn är infekterad. Gör en snabb kontroll (2 minuter) av de delar av systemet som är mest känsliga för infektioner. Åtkomst till Händelseloggen. Hantera objekt i Karantän. Från gränssnittsläget för Standardåtkomst kan du logga in som administratör för att få åtkomst till alla funktioner, inklusive alla inställningar. Lås klientgränssnitt Det krävs ett lösenord för att få åtkomst till klienten. När du har låst upp klientgränssnittet får du åtkomst till alla funktioner. Kontakta administratören om du inte får åtkomst till Endpoint Security-klient eller specifika aktiviteter och funktioner som du behöver för att utföra ditt jobb. Se även Kontrollera åtkomst till klientgränssnittet på sidan 31 Hur installerade moduler påverkar klienten Vissa klientaspekter är eventuellt inte tillgängliga, beroende på vilka moduler som är installerade på din dator. De här funktionerna är endast tillgängliga omhotdetektering är installerat: Knappen Karantän-knapp McAfee Endpoint Security 10.5 Produkthandbok 17

18 1 Introduktion Kommunicera med Endpoint Security Vilka funktioner som är installerade i systemet fastställer vilka funktioner som visas: I Händelselogg i listrutan för Filtrera efter modul. På sidan Inställningar. Delade Hotdetektering Brandvägg Webbkontroll Adaptivt skydd mot hot Visas om en modul är installerad. Visas enbart om Hotdetektering är installerat. Visas enbart om Brandvägg är installerat. Visas enbart om Webbkontroll är installerat. Visas enbart om Adaptivt skydd mot hot och Hotdetektering är installerade. Adaptivt skydd mot hot stöds inte i system som hanteras av McAfee epo Cloud. Vissa av funktionerna finns eventuellt inte tillgängliga, beroende på vilket Klientgränssnittsläge som används och hur administratören har konfigurerat din åtkomst. Se även Hur inställningar påverkar din klientåtkomst på sidan McAfee Endpoint Security 10.5 Produkthandbok

19 2 Använda 2 Endpoint Security-klient Använd klienten i läget Standardåtkomst för att utföra de flesta funktioner, inklusive systemgenomsökningar och hantera objekt i karantän. Innehåll Öppna Endpoint Security-klient Hjälp Svara på frågor Få information om ditt skydd Uppdatera innehåll och programvara manuellt Visa Händelselogg Hantera Endpoint Security Endpoint Security-klient gränssnittsreferens Delade Öppna Endpoint Security-klient Öppna Endpoint Security-klient för att visa status för skyddsfunktionerna som är installerade på datorn. Om gränssnittsläget är angett till Lås klientgränssnitt måste du ange administratörslösenordet för att öppna Endpoint Security-klient. Åtgärd 1 Använd någon av dessa metoder för att visa Endpoint Security-klient: Högerklicka på ikonen i systemfältet och välj sedan McAfee Endpoint Security. Välj Starta Alla program McAfee McAfee Endpoint Security. I Windows 8 och 10: starta appen McAfee Endpoint Security. 1 Tryck på Windows-tangenten. 2 AngeMcAfee Endpoint Security i sökrutan och dubbelklicka eller tryck sedan på appen McAfee Endpoint Security. 2 Om det efterfrågas anger du administratörslösenordet på sidan Logga in som administratör och sedan klickar du på Logga in. Endpoint Security-klient öppnas i gränssnittsläget som konfigurerats av administratören. Se även Låsa upp klientgränssnittet på sidan 26 McAfee Endpoint Security 10.5 Produkthandbok 19

20 2 Använda Endpoint Security-klient Hjälp Hjälp Det finns två metoder för att få hjälp när man använder klienten, menyalternativet Hjälp och?-ikonen. För att det ska gå att använda Endpoint Security Hjälp med Internet Explorer, måste Säkerhetsinställningar Skript Active Scripting vara aktiverat i webbläsaren. Åtgärd 1 Öppna Endpoint Security-klient. 2 Beroende på vilken sida du är på: Sidorna Status, Händelselogg och Karantän: från menyn Åtgärd, välj Hjälp. Sidorna Inställningar, Uppdatering, Genomsök system, Återställ AMCore-innehåll och Ladda Extra.DAT: klicka på? i gränssnittet. Svara på frågor Beroende på hur inställningarna är konfigurerade kan Endpoint Security begära en åtgärd från dig när ett hot upptäcks eller när en genomsökning på begäran just ska starta. Åtgärder Svara på en avkänningsfråga vid hot på sidan 20 När ett hot upptäcks under en genomsökning är det möjligt att Endpoint Security begär en åtgärd från dig för att kunna fortsätta, beroende på hur inställningarna har konfigurerats. Svara på en genomsökningsfråga på sidan 21 En schemalagd genomsökning på begäran ska just starta. Då kan Endpoint Security begära en åtgärd från dig för att fortsätta. Begäran visas endast om genomsökningen har konfigurerats så att du kan senarelägga, pausa, återuppta eller avbryta genomsökningen. Svara på en avkänningsfråga vid hot När ett hot upptäcks under en genomsökning är det möjligt att Endpoint Security begär en åtgärd från dig för att kunna fortsätta, beroende på hur inställningarna har konfigurerats. I Windows 8 och 10 används popup-meddelanden som aviserar både varningar och uppmaningar. Klicka på popup-meddelandet för att se aviseringen i skrivbordsläget. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. På sidan Genomsökning vid åtkomst väljer du alternativ för att hantera hotavkänningar. Det går att öppna sidan för genomsökning för att hantera avkänningar när som helst. Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. Se även Hantera hotavkänningar på sidan McAfee Endpoint Security 10.5 Produkthandbok

21 Använda Endpoint Security-klient Få information om ditt skydd 2 Svara på en genomsökningsfråga En schemalagd genomsökning på begäran ska just starta. Då kan Endpoint Security begära en åtgärd från dig för att fortsätta. Begäran visas endast om genomsökningen har konfigurerats så att du kan senarelägga, pausa, återuppta eller avbryta genomsökningen. Om du inte väljer ett alternativ startar genomsökningen automatiskt. Endast för hanterade system: om genomsökningen har konfigurerats att endast köras när datorn är i viloläge visar Endpoint Security en dialogruta när genomsökningen har pausats. Det går också att återuppta pausade genomsökningar eller återställa dem att endast köras i viloläge om detta har konfigurerats. I Windows 8 och 10 används popup-meddelanden som aviserar både varningar och uppmaningar. Klicka på popup-meddelandet för att se aviseringen i skrivbordsläget. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. Välj ett av följande alternativ när frågan visas. De alternativ som visas beror på hur genomsökningen har konfigurerats. Genomsök nu Visa genomsökningen Pausa genomsökningen Återuppta genomsökningen Avbryt genomsökningen Senarelägg genomsökningen Startar genomsökningen omedelbart. Visa avkänningar under en genomsökning som pågår. Pausar genomsökningen. Pausa genomsökningen kan eventuellt återställa genomsökningen till att endast köras i viloläge beroende på hur genomsökningen har konfigurerats. Klicka på Återuppta genomsökningen för att återuppta genomsökningen från där den pausades. Återupptar genomsökningen efter uppehållet. Avbryter genomsökningen. Senarelägger genomsökningen enligt angivet antal timmar. Alternativet för schemalagd genomsökning avgör hur många gånger som du kan senarelägga en genomsökning under en timme. Eventuellt kan du senarelägga genomsökningen mer än en gång. Stäng Stänger sidan för genomsökning. Om ett hot upptäcks under en genomsökning är det möjligt att Endpoint Security begär en åtgärd från dig för att kunna fortsätta, beroende på hur inställningarna har konfigurerats. Få information om ditt skydd Det går att få information om ditt Endpoint Security-skydd, inklusive hanteringstyp, skyddsmoduler, funktioner, status, versionsnummer och licensiering. Åtgärd 1 Öppna Endpoint Security-klient. 2 Öppna åtgärdsmenyn och välj Om. McAfee Endpoint Security 10.5 Produkthandbok 21

22 2 Använda Endpoint Security-klient Uppdatera innehåll och programvara manuellt 3 Klicka på modulens eller funktionens namn till vänster för att gå vidare till information om detta objekt. 4 Klicka på knappen Stäng i webbläsaren för att stänga sidan Om. Se även Hanteringstyp på sidan 22 Öppna Endpoint Security-klient på sidan 19 Hanteringstyp Hanteringstyp visar hur Endpoint Security hanteras. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. Hanteringstyp McAfee epolicy Orchestrator McAfee epolicy Orchestrator Cloud Självhanterat Beskrivning En administratör hanterar Endpoint Security med hjälp av McAfee epo (lokalt). En administratör hanterar Endpoint Security med hjälp av McAfee epo Cloud. Den senaste informationen om hantering av licenser och berättigande i Endpoint Security finns i KB Endpoint Security hanteras lokalt med hjälp av Endpoint Security-klient. Det här läget kallas också ej hanterad eller fristående. Uppdatera innehåll och programvara manuellt Du kan manuellt söka efter och hämta uppdateringar för innehållsfiler och programkomponenter i Endpoint Security-klient. Manuella uppdateringar kallas för uppdateringar på begäran. Manuella uppdateringar kan även köras via McAfee-ikonen i systemfältet. Endpoint Security saknar stöd för manuell hämtning och kopiering av uppdaterade innehållsfiler till klientsystemet. Kontakta McAfee support Åtgärd 1 Öppna Endpoint Security-klient. 2 Klicka på Uppdatera nu. Om knappen inte visas i klienten kan du aktivera den i inställningarna. Endpoint Security-klient söker efter uppdateringar. Sidan Uppdatera visar information om den senaste uppdateringen: Aldrig, I dag, eller det datum och den tid då den senaste uppdateringen gjordes. 22 McAfee Endpoint Security 10.5 Produkthandbok

23 Använda Endpoint Security-klient Visa Händelselogg 2 För att avbryta uppdateringen klickar du på Avbryt. Om uppdateringen slutförs utan fel visas sidan Uppdateringen är klar och den senaste uppdateringen som I dag. Om uppdateringen inte lyckades, visas ett fel i området Meddelanden. Visa PackageManager_Activity.log eller PackageManager_Debug.log för mer information. 3 Klicka på Stäng för att stänga sidan Uppdatera. Se även Starta Endpoint Security-aktiviteter från McAfee-ikonen i systemfältet på sidan 12 Så här uppdateras skyddet på sidan 10 Namn och platser för Endpoint Security-loggfiler på sidan 24 Vad som uppdateras på sidan 23 Konfigurera standardbeteende för uppdateringar på sidan 35 Öppna Endpoint Security-klient på sidan 19 Vad som uppdateras Endpoint Security uppdaterar säkerhetsinnehåll och programvara (snabbkorrigeringar och korrigeringar) på olika sätt, beroende på uppdateringsmetod och inställningar. Synlighet och beteende för knappen Uppdatera nu kan konfigureras. Uppdateringsmetod Alternativet Uppdatera säkerhet i ikonen i systemfältet för McAfee Knappen Uppdatera nu i Endpoint Security-klient Uppdateringar Innehåll och programvara. Innehåll eller programvara, eller båda, beroende på inställningarna. Se även Uppdatera innehåll och programvara manuellt på sidan 22 Visa Händelselogg I aktivitets- och felsökningsloggarna sparas information om händelser som inträffar i ditt system som skyddas av McAfee. Du kan visa händelseloggen i Endpoint Security-klient. Åtgärd Om du behöver hjälp går du till menyn Åtgärd och väljer Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Händelselogg till vänster på sidan. Sidan visar alla händelser som Endpoint Security har loggat i systemet under de senaste 30 dagarna. Om Endpoint Security-klient inte kan nå Händelsehanteraren, visas ett kommunikationsfelmeddelande. Om detta händer startar du om systemet för att visa Händelseloggen. 3 Markera en händelse i den övre rutan för att visa informationen i den nedre rutan. Ändra den relativa storleken på rutorna genom att klicka och dra sash-widgeten mellan rutorna. McAfee Endpoint Security 10.5 Produkthandbok 23

24 2 Använda Endpoint Security-klient Visa Händelselogg 4 Sortera, sök, filtrera eller läs in händelser på nytt på sidan Händelselogg. De alternativ som visas beror på hur genomsökningen har konfigurerats. För att... Sortera händelser efter datum, funktioner, vidtagna åtgärder eller allvarlighetsgrad. Sök i händelseloggen. Filtrera händelser efter allvarlighetsgrad eller modul. Uppdatera visningen i händelseloggen med nya händelser. Öppna mappen som innehåller loggfilerna. Steg Klicka på kolumnrubriken i tabellen. Ange söktexten i fältet Sök och tryck på Enter eller klicka på Sök. Sökningen är skiftlägesokänslig och söker efter söktexten i alla fält i händelseloggen. Händelselistan visar alla element med matchande text. Avbryt sökningen och visa alla händelser genom att klicka på x i fältet Sök. Markera ett alternativ i filterlistrutan. Ta bort filtret och visa alla händelser genom att välja Visa alla händelser från listrutan. Klicka på. Klicka på Visa loggmapp. 5 Bläddra i Händelseloggen. För att... Steg Visa föregående sida över händelser. Klicka på Föregående sida. Visa nästa sida över händelser. Visar en särskild sida i loggen. Klicka på Nästa sida. Ange ett sidnummer och tryck på Enter eller klicka på Gå till. Händelseloggen visar 20 poster per sida som standard. Visa fler poster per sida genom att välja ett alternativ i listrutan Poster per sida. Se även Namn och platser för Endpoint Security-loggfiler på sidan 24 Öppna Endpoint Security-klient på sidan 19 Namn och platser för Endpoint Security-loggfiler Aktivitets-, fel- och felsökningsloggfiler registrerar händelser som uppstår i system när Endpoint Security är aktiverat. Konfigurera loggning i inställningarna för Delade. Filer från aktivitetsloggar visas alltid på det språk som angetts som standardsystemspråk. Alla aktivitets- och felsökningsloggfiler lagras här: %ProgramData%\McAfee\Endpoint Security\Logs Varje modul, funktion eller teknik placerar aktivitets- eller felsökningsloggar i en separat fil. Alla moduler placerar felloggar i en fil, EndpointSecurityPlatform_Errors.log. När du aktiverar felsökningsloggning för en modul så aktiveras även felsökningsloggning för funktionerna i modulen Delade, till exempel Egenskydd. 24 McAfee Endpoint Security 10.5 Produkthandbok

25 Använda Endpoint Security-klient Visa Händelselogg 2 Tabell 2-1 Loggfiler Modul Funktion eller teknik Filnamn Delade EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log Egenskydd SelfProtection_Activity.log SelfProtection_Debug.log Uppdateringar PackageManager_Activity.log PackageManager_Debug.log Fel EndpointSecurityPlatform_Errors.log Innehåller felloggar för alla moduler. Hotdetektering Brandvägg Webbkontroll Adaptivt skydd mot hot Endpoint Security-klient Aktivering av felsökningsloggning för valfri teknik för Hotdetektering, aktiverar även felsökningsloggning för Endpoint Security-klient. Åtkomstskydd Utnyttjandeskydd Genomsökning vid åtkomst Genomsökning på begäran Snabbgenomsökning Fullständig genomsökning Snabbgenomsökning Dynamisk programinneslutning MFEConsole_Debug.log ThreatPrevention_Activity.log ThreatPrevention_Debug.log AccessProtection_Activity.log AccessProtection_Debug.log ExploitPrevention_Activity.log ExploitPrevention_Debug.log OnAccessScan_Activity.log OnAccessScan_Debug.log OnDemandScan_Activity.log OnDemandScan_Debug.log Firewall_Activity.log Firewall_Debug.log FirewallEventMonitor.log Loggar blockerade och tillåtna trafikhändelser, om detta har konfigurerats. WebControl_Activity.log WebControl_Debug.log AdaptiveThreatProtection_Activity.log AdaptiveThreatProtection_Debug.log DynamicApplicationContainment_Activity.log DynamicApplicationContainment_Debug.log Loggfilerna för installationen lagras som standard här: %TEMP%\McAfeeLogs, vilket är Windows-användarens Temp-mapp. McAfee Endpoint Security 10.5 Produkthandbok 25

26 2 Använda Endpoint Security-klient Hantera Endpoint Security Hantera Endpoint Security Som administratör kan du hantera Endpoint Security via Endpoint Security-klient, vilket innefattar att inaktivera och aktivera funktioner, hantera innehållsfiler, ange hur klientgränssnittet fungerar, schemalägga aktiviteter och konfigurera vanliga inställningar. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. Se även Logga in som administratör på sidan 26 Låsa upp klientgränssnittet på sidan 26 Inaktivera och aktivera funktioner på sidan 27 Ändra innehållsversionen för AMCore på sidan 27 Använd Extra.DAT-filer på sidan 28 Konfigurera gemensamma inställningar på sidan 29 Logga in som administratör Logga in som administratör i Endpoint Security-klient om du vill aktivera och inaktivera funktioner och konfigurera inställningarna. Innan du börjar Gränssnittläget för Endpoint Security-klient måste vara inställt som Standardåtkomst. Åtgärd Om du behöver hjälp går du till menyn Åtgärd och väljer Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Logga in som administratör. 3 I fältet Lösenord anger du administratörslösenordet och sedan klickar du på Logga in. Nu går det att komma åt alla funktioner i Endpoint Security-klient. Logga ut genom att välja Åtgärd Logga ut som administratör. Klienten går tillbaka till gränssnittsläget Standardåtkomst. Låsa upp klientgränssnittet Om gränssnittet för Endpoint Security-klient är låst, kan du låsa upp det med administratörslösenordet för att få åtkomst till alla inställningar. Innan du börjar Gränssnittsläget för Endpoint Security-klient måste vara inställt som Lås klientgränssnitt. 26 McAfee Endpoint Security 10.5 Produkthandbok

27 Använda Endpoint Security-klient Hantera Endpoint Security 2 Åtgärd 1 Öppna Endpoint Security-klient. 2 På sidan Logga in som administratör ange administratörslösenordet i fältet Lösenord och klicka sedan på Logga in. Endpoint Security-klient öppnas och du kan få åtkomst till alla funktioner i klienten. 3 Logga ut genom att öppna Åtgärdmenyn, välj Logga ut som administratör. Inaktivera och aktivera funktioner Som administratör kan du aktivera och inaktivera Endpoint Security-funktioner via Endpoint Security-klient. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Sidan Status visar aktiverad status för modulen, vilket inte nödvändigtvis återspeglar funktionernas faktiska status. Det går att se status för varje funktion på sidan Inställningar. Om exempelvis inställningen Aktivera ScriptScan inte har tillämpats, kan statusen vara (Status: Inaktiverad). Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på modulens namn, (t.ex. Hotdetektering eller Brandvägg) på huvudsidan för Status. Eller i menyn Åtgärd väljer du Inställningar, klicka sedan på modulens namn på sidan Inställningar. 3 Markera eller avmarkera alternativet Aktivera modul ellerfunktion. Vid aktivering av en valfri funktion i Hotdetektering aktiveras modulen Hotdetektering. Se även Logga in som administratör på sidan 26 Ändra innehållsversionen för AMCore Använd Endpoint Security-klient för att ändra versionen för AMCore-innehåll på klientsystemet. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Endpoint Security lagrar den aktuella inlästa innehållsfilen och de två tidigare versionerna i Program Files\Common Files\McAfee\Engine\content folder. Det går att återställa till en tidigare version vid behov. Innehållsuppdateringar i Utnyttjandeskydd kan inte återkallas. McAfee Endpoint Security 10.5 Produkthandbok 27

28 2 Använda Endpoint Security-klient Hantera Endpoint Security Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Från menyn Åtgärd väljer du Återställ AMCore-innehåll. 3 Välj versionen som ska läsas in från listrutan. 4 Klicka på Tillämpa. Avkänningar i den inlästa innehållsfilen för AMCore börjar gälla omedelbart. Se även Så här fungerar innehållsfiler på sidan 11 Logga in som administratör på sidan 26 Använd Extra.DAT-filer Det går att installera en Extra.DAT-filer för att skydda ditt system mot ett större angrepp från skadlig programvara tills nästa schemalagda uppdatering av AMCore-innehåll blir tillgänglig. Åtgärder Hämta Extra.DAT-filer på sidan 29 Klicka på länken för hämtning från McAfee Labs för att hämta en Extra.DAT-fil. Ladda en Extra.DAT-fil på sidan 29 Installera en hämtad Extra.DAT-fil med hjälp av Endpoint Security-klient. Se även Om Extra.DAT-filer på sidan 28 Om Extra.DAT-filer Om ny skadlig programvara upptäcks och extra avkänning krävs, publicerar McAfee Labs en ExtraDAT-fil. Extra.DAT-filer innehåller information som Hotdetektering använder för att hantera nya skadliga programvaror. Det går att hämta Extra.DAT-filer för särskilda hot från McAfee Labs Extra.DAT sida för begäran. Hotdetektering stöder endast användning av en Extra.DAT-fil. Varje Extra.DAT-fil har ett inbyggt utgångsdatum. När Extra.DAT-filen har laddats, jämförs utgångsdatumet mot byggdatumet i AMCore-innehållet som är installerat på systemet. Om byggdatumet för AMCore-innehållet är senare än Extra.DAT-filens utgångsdatum har Extra.DAT-filen gått ut och laddas inte längre eller används inte av motorn. Under nästa uppdatering tas Extra.DAT-filen bort från systemet. Om nästa uppdatering av AMCore-innehållet omfattar en Extra.DAT-signatur tas Extra.DAT bort. Endpoint Security lagrar Extra.DAT-filer i mappen c:\program Files\Common Files\McAfee\Engine \content\avengine\extradat. 28 McAfee Endpoint Security 10.5 Produkthandbok

29 Använda Endpoint Security-klient Hantera Endpoint Security 2 Hämta Extra.DAT-filer Klicka på länken för hämtning från McAfee Labs för att hämta en Extra.DAT-fil. Åtgärd 1 Klicka på länken för hämtning, ange plats för att spara Extra.DAT-filen och klicka därefter på Spara. 2 Vid behov, packa upp EXTRA.ZIP-filen. 3 Ladda Extra.DAT-filen med Endpoint Security-klient. Ladda en Extra.DAT-fil Installera en hämtad Extra.DAT-fil med hjälp av Endpoint Security-klient. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Från menyn Åtgärd, välj Ladda Extra.DAT. 3 Klicka på Bläddra, navigera till platsen där du sparade den hämtade Extra.DAT-filen och klicka därefter på Öppna. 4 Klicka på Tillämpa. Nya avkänningar i Extra.DAT börjar gälla meddetsamma. Se även Logga in som administratör på sidan 26 Konfigurera gemensamma inställningar Konfigurera inställningar som gäller alla moduler och funktioner för Endpoint Security i Delade-modulen. Dessa inställningar omfattar säkerheten i Endpoint Security-klient-gränssnitt och språkinställningar, loggning, proxyserverinställningar för McAfee GTI och uppdateringskonfiguration. Åtgärder Skydda Endpoint Security-resurser på sidan 30 En av de första saker som skadlig programvara försöker göra under ett angrepp är att inaktivera systemets säkerhetsprogramvara. Konfigurera Egenskydd i inställningarna för Delade för att förhindra att Endpoint Security-tjänster och filer stoppas eller ändras. Konfigurerar inställningar för loggning på sidan 30 Konfigurerar Endpoint Security-loggning i Delade inställningar. Tillåt certifikatautentisering på sidan 31 Med ett certifikat kan en leverantör köra kod i McAfee-processer. Kontrollera åtkomst till klientgränssnittet på sidan 31 Kontrollera åtkomsten till Endpoint Security-klient genom att ange ett lösenord i inställningarna för Delade. Konfigurera proxyserverinställningar för McAfee GTI på sidan 32 Ange proxyserveralternativ för att hämta McAfee GTI-ryktet i inställningarna Delade. McAfee Endpoint Security 10.5 Produkthandbok 29

30 2 Använda Endpoint Security-klient Hantera Endpoint Security Skydda Endpoint Security-resurser En av de första saker som skadlig programvara försöker göra under ett angrepp är att inaktivera systemets säkerhetsprogramvara. Konfigurera Egenskydd i inställningarna för Delade för att förhindra att Endpoint Security-tjänster och filer stoppas eller ändras. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Om du inaktiverar Egenskydd i Endpoint Security har datorn inget skydd mot angrepp. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 Från egenskydd, kontrollera att egenskydd är aktiverat. 5 Ange åtgärd för alla nedanstående Endpoint Security-resurser: Filer och mappar Förhindrar att användare kan ändra McAfee-databasen, binärfiler, säkra sökningsfiler och konfigurationsfiler. Registret Förhindrar att användare kan ändra McAfee-registrets registreringsdatafil, COM-komponenter och avinstallationer med hjälp av registervärdet. Processer Hindrar stopp av McAfee-processer. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 Konfigurerar inställningar för loggning Konfigurerar Endpoint Security-loggning i Delade inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 30 McAfee Endpoint Security 10.5 Produkthandbok

31 Använda Endpoint Security-klient Hantera Endpoint Security 2 4 Konfigurera inställningarna i Klientloggning på sidan. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Namn och platser för Endpoint Security-loggfiler på sidan 24 Logga in som administratör på sidan 26 Tillåt certifikatautentisering Med ett certifikat kan en leverantör köra kod i McAfee-processer. När processen upptäckts anges Leverantör, Ämne och Hash i certifikattabellen för den tillhörande offentliga nyckeln. Den här inställningen kan orsaka kompatibilitetsproblem och minskad säkerhet. Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. Åtgärd 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 I avsnittet Certifikat väljer du Tillåt. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Information om certifikatet visas i tabellen. Kontrollera åtkomst till klientgränssnittet Kontrollera åtkomsten till Endpoint Security-klient genom att ange ett lösenord i inställningarna för Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Klientgränssnittsläge är inställt på Fullständig åtkomst som standard, vilket tillåter användare att ändra sina säkerhetsinställningar, vilket kan innebära att systemet är oskyddat mot attacker från skadlig programvara. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. McAfee Endpoint Security 10.5 Produkthandbok 31

32 2 Använda Endpoint Security-klient Hantera Endpoint Security 3 Konfigurera inställningarna i Klientgränssnittsläge på sidan. Metodtips: För att öka säkerheten ändrar du Klientgränssnittsläge till Standard eller Lås klientgränssnitt. Båda de här alternativen kräver ett administratörslösenord för åtkomst till Endpoint Security-klient inställningar. Metodtips: Ändra administratörslösenorden ofta. 4 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Effekter vid inställning av ett administratörslösenord på sidan 32 Logga in som administratör på sidan 26 Effekter vid inställning av ett administratörslösenord Ett administratörslösenord måste anges när du ställer in gränssnittsläget på Standardåtkomst eller Lås klientgränssnitt. Administratören kan också generera ett tidsbaserat lösenord som användare kan använda för att få tillfällig åtkomst till Endpoint Security-klient. När du ställer in gränssnittsläget på Standardåtkomst eller Lås klientgränssnitt påverkas följande användare: Alla användare Icke-administratörer (användare utan administratörsrättigheter) I läget Lås klientgränssnitt måste användarna ange administratörslösenordet eller ett tillfälligt lösenord för att få åtkomst till Endpoint Security-klient. När det har angetts har användaren åtkomst till hela gränssnittet, inklusive konfigurationsinställningarna på sidan Inställningar. I läget Standardåtkomst kan icke-administratörer: Få information om vilka Endpoint Security-moduler som är installerade, inklusive version och status. Kör genomsökningar. Sök efter uppdateringar (om denna funktion är aktiverad). Visa och hantera objekt i Karantän. Visa Händelselogg. Få hjälp och åtkomst till Vanliga frågor och svar samt supportsidor. I läget Standardåtkomst kan icke-administratörerna inte: Visa eller ändra konfigurationsinställningar på sidan Inställningar. Återställa AMCore-innehåll. Läsa in Extra.DAT-filer. Administratörer (användare med administratörsbehörighet) I läget Standardåtkomst måste administratörer ange administratörslösenordet eller ett tillfälligt lösenord. När det har angetts har administratören åtkomst till hela gränssnittet, inklusive konfigurationsinställningarna på sidan Inställningar. Konfigurera proxyserverinställningar för McAfee GTI Ange proxyserveralternativ för att hämta McAfee GTI-ryktet i inställningarna Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. 32 McAfee Endpoint Security 10.5 Produkthandbok

33 Använda Endpoint Security-klient Hantera Endpoint Security 2 Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 Konfigurera inställningarna Proxyserver för McAfee GTI på sidan. Metodtips: Undanta McAfee GTI-adresser från proxyservern. Mer information finns i KB79640 och KB Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 Konfigurera uppdateringsbeteende Ange beteende för uppdateringar som initieras iendpoint Security-klient i Delade-inställningarna. Åtgärder Konfigurera källplatserna för uppdateringar på sidan 33 Du kan konfigurera de platser från vilka Endpoint Security-klient får uppdaterade säkerhetsfiler i Delade inställningar. Konfigurera standardbeteende för uppdateringar på sidan 35 Du kan ange standardfunktionen för uppdateringar som initieras från Endpoint Security-klient i Delade inställningar. Konfigurera, schemalägga och uppdatera aktiviteter på sidan 36 Du kan konfigurera anpassade uppdateringsaktiviteter eller ändra aktivitetsschemat Standarduppdatering för klient i Endpoint Security-klient via Deladeinställningar. Konfigurera, schemalägga och köra speglingar på sidan 38 Det går att ändra eller schemalägga speglingarna i Endpoint Security-klient via Delade Delade. Konfigurera källplatserna för uppdateringar Du kan konfigurera de platser från vilka Endpoint Security-klient får uppdaterade säkerhetsfiler i Delade inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. McAfee Endpoint Security 10.5 Produkthandbok 33

34 2 Använda Endpoint Security-klient Hantera Endpoint Security 3 Klicka på Visa avancerat. 4 I Delade klickar du på Alternativ. 5 Konfigurera inställningarna för Källplatser för uppdateringar på den här sidan. Du kan aktivera och inaktivera standardkällplatsen för säkerhetskopiering (McAfeeHttp och hanteringsservern (i hanterade system), men du kan inte ändra eller ta bort dem på andra sätt. Ordningen för platserna fastställer den ordning som Endpoint Security använder för att söka efter uppdateringsplatsen. För att... Lägga till en plats i listan. Följ dessa steg 1 Klicka på Lägg till. 2 Ange inställningarna för platsen och klicka sedan på OK. Platsen visas i början av listan. Ändra en befintlig plats. 1 Dubbelklicka på källplatsens namn. 2 Ändra inställningarna och klicka sedan på OK. Ta bort en källplats. Importera platser från en fil i källplatslistan. Markera källplatsen och klicka på Ta bort. 1 Klicka på Importera. 2 Markera filen som ska importeras och klicka på OK. Platslistfilen ersätter den befintliga källplatslistan. Exportera källplatslistan till en SiteList.xml-fil. Ändra på ordningen av källplatser i listan. 1 Klicka på Exportera alla. 2 Välj var källplatslistan ska sparas och klicka sedan på OK. För att flytta element: 1 Välj element som ska flyttas. Handtaget visas till vänster om element som kan flyttas. 2 Dra-och-släpp elementen till den nya platsen. En blå linje visas mellan elementen där du kan släppa ned elementen som du flyttar. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Detta finns i lagringsplatslistan på sidan 34 Hur Standarduppdatering för klient fungerar på sidan 36 Logga in som administratör på sidan 26 Konfigurera, schemalägga och uppdatera aktiviteter på sidan 36 Detta finns i lagringsplatslistan Lagringsplatslistan anger information om lagringsplatser som McAfee Agent använder för att uppdatera McAfee-produkter som Engine och DAT-filer. Lagringsplatslista innehåller: Lagringsplatsinformation och plats Lagringsplatsordning 34 McAfee Endpoint Security 10.5 Produkthandbok

35 Använda Endpoint Security-klient Hantera Endpoint Security 2 Proxyserverinställningar (vid behov) Krypterade uppgifter som behövs för att få tillgång till respektive lagringsplats McAfee Agent-klientaktiviteten Produktuppdatering ansluter till den första aktiverade lagringsplatsen (uppdateringsplats) i lagringsplatslistan. Om lagringsplatsen inte är tillgänglig kontaktar aktiviteten nästa plats tills anslutning etableras eller tills den når slutet av listan. Om ditt nätverk använder en proxyserver kan du ange vilka proxyinställningar som ska användas, adressen till proxyservern samt om autentisering ska användas. Proxyinformationen lagras i lagringsplatslistan. De proxyinställningar som du konfigurerar gäller för alla lagringsplatser i listan. Sökvägen till lagringsplatslistan beror på vilket operativsystem du har: Operativsystem Plats för lagringsplatslista Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml Microsoft Windows 7 Tidigare versioner C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\SiteList.xml Konfigurera standardbeteende för uppdateringar Du kan ange standardfunktionen för uppdateringar som initieras från Endpoint Security-klient i Delade inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Använd de här inställningarna för att: Visa eller dölja knappen i klienten. Ange vad som ska uppdateras när användaren klickar på knappen eller när standarduppdatering för klient körs. Aktiviteten Standarduppdatering för klient körs som standard varje dag kl och upprepas var fjärde timme till kl Aktiviteten Standarduppdatering för klient uppdaterar allt innehåll och programvaran i självhanterade system. Den här aktiviteten uppdaterar endast innehållet i hanterade system. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 Konfigurera inställningarna för Standarduppdatering för klient på sidan. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. McAfee Endpoint Security 10.5 Produkthandbok 35

36 2 Använda Endpoint Security-klient Hantera Endpoint Security Se även Logga in som administratör på sidan 26 Konfigurera källplatserna för uppdateringar på sidan 33 Konfigurera, schemalägga och uppdatera aktiviteter på sidan 36 Hur Standarduppdatering för klient fungerar Aktiviteten Standarduppdatering för klient hämtar det senaste skyddet för Endpoint Security-klient. Endpoint Security-aktiviteten Standarduppdatering för klient körs som standard varje dag kl och upprepas var fjärde timme till kl Aktiviteten Standarduppdatering för klient: 1 Ansluter till källplatsen i listan som aktiverades först. Om den här platsen inte är tillgänglig kontaktar aktiviteten nästa plats tills anslutning etableras eller tills den når slutet av listan. 2 Hämtar en krypterad CATALOG.Z-fil från webbplatsen. Filen innehåller information som krävs för att utföra uppdateringen, inklusive tillgängliga filer och uppdateringar. 3 Kontrollerar programvaruversioner i filen mot versioner på datorn och hämtar nya tillgängliga uppdateringar för programvaran. Om aktiviteten Standarduppdatering för klient avbryts under en uppdatering: Uppdateringar från... HTTP, UNC, eller en lokal plats FTP-plats (hämtning av en fil) Vid avbrott... Återupptar uppdateringen där den avslutades nästa gång som uppdateringsaktiviteten startas. Återupptas inte om den avbryts. FTP-plats (hämtning av flera filer) Återupptas före filen som höll på att hämtas vid avbrottet. Se även Konfigurera källplatserna för uppdateringar på sidan 33 Konfigurera, schemalägga och uppdatera aktiviteter på sidan 36 Detta finns i lagringsplatslistan på sidan 34 Konfigurera, schemalägga och uppdatera aktiviteter Du kan konfigurera anpassade uppdateringsaktiviteter eller ändra aktivitetsschemat Standarduppdatering för klient i Endpoint Security-klient via Deladeinställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Använd dessa inställningar via klienten för att konfigurera när aktiviteten Standarduppdatering för klient ska köras. Du kan också konfigurera standardbeteende för klientuppdateringar som initierats från Endpoint Security-klient. 36 McAfee Endpoint Security 10.5 Produkthandbok

37 Använda Endpoint Security-klient Hantera Endpoint Security 2 Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 I Delade klickar du påaktiviteter. 5 Konfigurera inställningarna för uppdateringsaktiviteten på sidan. För att... Skapa en anpassad uppdateringsaktivitet. Följ dessa steg 1 Klicka på Lägg till. 2 Ange namnet och välj sedanvälj aktivitetstyp i listrutan och markera Uppdatering. 3 Konfigurera inställningarna och klicka sedan på OK för att spara aktiviteten. Ändra en uppdateringsaktivitet. Ta bort en anpassad uppdateringsaktivitet. Skapa en kopia av uppdateringsaktiviteten. Ändra schemat för en aktivitet för Standarduppdatering för klient. Köra en uppdateringsaktivitet. Dubbelklicka på aktiviteten, gör ändringarna och klicka sedan på OK för att spara. Markera aktiviteten och klicka på Ta bort. 1 Markera aktiviteten och klicka på Duplicera. 2 Ange namnet, konfigurera inställningarna och klicka sedan på OK för att spara aktiviteten. 1 Dubbelklicka påstandarduppdatering för klient. 2 Klicka på fliken Schemalägg, ändra schemat och klicka sedan på OK för att spara aktiviteten. Du kan också konfigurera standardbeteende för klientuppdateringar som initierats från Endpoint Security-klient. Markera aktiviteten och klicka sedan på Kör nu. Om aktiviteten redan körs (eller är pausad eller uppskjuten) ändras knappen till Visa. Om du vill köra en aktivitet innan ändringarna tillämpas blir du ombedd av Endpoint Security-klient att spara inställningarna. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Hur Standarduppdatering för klient fungerar på sidan 36 Konfigurera källplatserna för uppdateringar på sidan 33 Konfigurera standardbeteende för uppdateringar på sidan 35 McAfee Endpoint Security 10.5 Produkthandbok 37

38 2 Använda Endpoint Security-klient Hantera Endpoint Security Konfigurera, schemalägga och köra speglingar Det går att ändra eller schemalägga speglingarna i Endpoint Security-klient via Delade Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 I Delade klickar du påaktiviteter. 5 Konfigurera inställningarna för speglingen på sidan. För att... Skapa en spegling. Följ dessa steg 1 Klicka på Lägg till. 2 Ange namnet och välj sedanvälj aktivitetstyp i listrutan och markera Spegla. 3 Konfigurera inställningarna och klicka sedan på OK. Ändra en spegling. Ta bort en spegling. Skapa en kopia av speglingen. Schemalägg en spegling. Kör en spegling. Dubbelklicka på speglingen, gör ändringarna och klicka sedan på OK. Markera aktiviteten och klicka på Ta bort. 1 Markera aktiviteten och klicka på Duplicera. 2 Ange namnet, konfigurera inställningarna och klicka sedan på OK. 1 Dubbelklicka på aktiviteten. 2 Klicka på fliken Schemalägg, ändra schemat och klicka sedan på OK för att spara aktiviteten. Markera aktiviteten och klicka sedan på Kör nu. Om aktiviteten redan körs (eller är pausad eller uppskjuten) ändras knappen till Visa. Om du vill köra en aktivitet innan ändringarna tillämpas blir du ombedd av Endpoint Security-klient att spara inställningarna. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Så här fungerar speglingar Med en spegling kan du hämta uppdateringsfiler från den första tillgängliga lagringsplatsen för hämtning i lagringsplatslistan till en speglingsplats i nätverket. Det vanligaste sättet att använda aktiviteten är för att spegla innehållet på en av McAfee-hämtningsplatserna på en lokal server. 38 McAfee Endpoint Security 10.5 Produkthandbok

39 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade 2 När du har replikerat den McAfee-plats som innehåller uppdateringsfilerna, kan datorerna i ditt nätverk hämta filer från speglingsplatsen. På så sätt kan du uppdatera alla datorer i nätverket, oavsett om det finns Internetåtkomst eller inte. Det är effektivt att använda en replikerad plats eftersom systemen kommunicerar med en server som antagligen finns på närmare håll än en McAfee-Internetplats, och därmed reduceras också åtkomst- och hämtningstiden. Endpoint Security används en katalog för att uppdatera programmet. Därför måste hela katalogstrukturen replikeras när en plats speglas. Endpoint Security-klient gränssnittsreferens Delade Ger sammanhangsberoende hjälp för sidor i Endpoint Security-klient gränssnitt. Innehåll Sidan Händelselogg Delade Alternativ Sidan Gemensamma Aktiviteter Sidan Händelselogg Visar aktivitets- och felsökningshändelser i Händelseloggen. Tabell 2-2 Alternativ Alternativ Antal händelser Visa loggmapp Visa alla händelser Filtrera efter allvarlighetsgrad Filtrera efter modul Definition Visar antal händelser som Endpoint Security har loggat i systemet under de senaste 30 dagarna. Uppdaterar visningen av händelseloggen med nya händelsedata. Öppna mappen som innehåller loggfilerna i Windows Explorer. Tar bort filter. Filtrerar händelser efter allvarlighetsgrad: Varning Visar endast händelser med allvarlighetsgrad nivå 1. Allvarligt och över Visar endast händelser med allvarlighetsgrad nivå 1 och 2. Varning och över Visar endast händelser med allvarlighetsgrad nivå 1, 2 och 3. Meddelande och över Visar endast händelser med allvarlighetsgrad nivå 1, 2, 3 och 4. Filtrerar händelser efter modul: Delade Hotdetektering Brandvägg Webbkontroll Adaptivt skydd mot hot Visar endast Delade-händelser. Visar endast Hotdetektering-händelser. Visar endast Brandvägg-händelser. Visar endast händelser i Webbkontroll. Visar endast händelser i Adaptivt skydd mot hot. Vilka funktioner som visas i listrutan beror på vilka funktioner som var installerade i systemet när du öppnade händelseloggen. Sök Söker i händelseloggen efter en sträng. McAfee Endpoint Security 10.5 Produkthandbok 39

40 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade Tabell 2-2 Alternativ (fortsättning) Alternativ Poster per sida Föregående sida Nästa sida Sidan x av x Definition Väljer antal poster som ska visas på sidan. (20 poster per sida som standard) Visar föregående sida av händelseloggen. Visar nästa sida av händelseloggen. Väljer en sida i händelseloggen att navigera till. Ange ett sidnummer i fältet Sida och tryck på Enter eller klicka på Gå till för att navigera till sidan. Kolumnrubrik Sorterar händelselistan efter... Datum Datum då händelsen inträffade. Funktion Funktionen som loggade händelsen. Vidtagen åtgärd Åtgärd som Endpoint Security utförde till följd av denna händelse, om någon. Åtgärden har konfigurerats i inställningarna. Åtkomst nekad Tillåten Blockerad Rensad Innesluten Fortsätt genomsökning Borttagen Flyttad Skulle blockera Skulle rensa Innesluts eventuellt Förhindrade åtkomst till filen. Tillät åtkomst till filen. Blockerade åtkomst till filen. Tog bort hotet från filen automatiskt. Körde filen i en behållare baserat på dess rykte. Identifierade ett hot och fortsatte med genomsökningen av nästa fil utan att vidta någon åtgärd, som t.ex. Rensa eller Ta bort, på aktuell fil. Tog bort filen automatiskt. Flyttade filen till Karantän. En regel skulle ha blockerat åtkomst till filen om regeln tillämpades. Observationsläget är aktiverat. En regel skulle ha rensat filen om regeln tillämpades. Observationsläget är aktiverat. En regel skulle ha inneslutit filen om regeln tillämpades. Observationsläget är aktiverat. Allvarlighetsgrad Allvarlighetsgrad för händelsen. Kritisk 1 Större 2 Mindre 3 Varning 4 Information 5 Se även Visa Händelselogg på sidan McAfee Endpoint Security 10.5 Produkthandbok

41 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade 2 Delade Alternativ Sidan Konfigurera inställningar för Endpoint Security-klient gränssnitt, egenskydd, aktivitets- och felsökningsloggning samt proxyserver. Tabell 2-3 Alternativ Avsnitt Alternativ Definition Klientgränssnittsläge Fullständig åtkomst Tillåter åtkomst till alla funktioner. (Standard) Standardåtkomst Visar skyddsstatus och tillåter åtkomst till de flesta funktioner, som t.ex. uppdateringar och genomsökningar. Läget Standardåtkomst kräver ett lösenord för att kunna visa och ändra inställningarna på sidan Inställningar i Endpoint Security-klient. Lås klientgränssnitt Ange administratörens lösenord Ett lösenord krävs för åtkomst till Endpoint Security-klient. För Standardåtkomst och Lås klientgränssnitt anges administratörens lösenord för att få åtkomst till alla funktioner i Endpoint Security-klient gränssnitt. Lösenord Anger lösenordet. Bekräfta lösenord Bekräftar lösenordet. Metodtips: Ändra administratörslösenorden ofta. Avinstallation Kräv lösenord för att avinstallera klienten Kräver ett lösenord för att avinstallera Endpoint Security-klient och anger lösenordet. Standardlösenordet är mcafee. (Inaktiverad som standard) Lösenord Anger lösenordet. Bekräfta lösenord Bekräftar lösenordet. Tabell 2-4 Avancerade alternativ Avsnitt Alternativ Definition Språk för klientgränssnitt Automatiskt Språk Väljer automatiskt språk för Endpoint Security-klient gränssnitt utifrån språket i klientsystemet. Anger språk för texten i Endpoint Security-klient gränssnitt. I hanterade system kringgås principändringar från hanteringsservern av språkändringar som görs från Endpoint Security-klient. Språkändringen tillämpas när du har startat om Endpoint Security-klient. Språket för klienten påverkar inte loggfilerna. Loggfiler visas alltid på det språk som angetts som standardsystemspråk. Egenskydd Aktivera egenskydd Skyddar Endpoint Security-systemets resurser mot skadliga aktiviteter. McAfee Endpoint Security 10.5 Produkthandbok 41

42 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Åtgärd Ange vilken åtgärd som ska vidtas när skadliga aktiviteter inträffar: Blockera och rapportera Blockerar aktiviteten och rapporterar till McAfee epo. (Standard) Blockera endast Blockerar aktiviteten men rapporterar inte till McAfee epo. Rapportera endast Rapporterar till McAfee epo men blockerar inte aktiviteten. Filer och mappar Registret Processer Undanta dessa processer Förhindrar att filer och mappar i McAfee-systemet ändras eller tas bort. Förhindrar att registernycklar och värden i McAfee ändras eller tas bort. Förhindrar avbrott i McAfee-processer. Tillåter åtkomst för de angivna processerna. Jokertecken stöds. Lägg till Lägger till en process i undantagslistan. Klicka på Lägg till och ange sedan fullständigt namn på resursen, till exempel avtask.exe. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Markera resursen och klicka sedan på Ta bort. Certifikat Anger certifikatalternativ. Tillåt Tillåter leverantören att köra kod i McAfee-processer. Den här inställningen kan orsaka kompatibilitetsproblem och minskad säkerhet. Leverantör Sökande Hash-värde Anger eget namn (CN) på den som undertecknade och utfärdade certifikatet. Anger undertecknarens unika namn (SDN) som definierar den enhet som är associerad med certifikatet. Följande information kan finnas: CN Eget namn OU Organisationsenhet O Organisation L Plats ST Region C Landskod Anger hash-värdet för den associerade offentliga nyckeln. 42 McAfee Endpoint Security 10.5 Produkthandbok

43 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade 2 Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Klientloggning Plats för loggfiler Anger loggfilernas plats. Standardplatsen är: <SYSTEMENHET>:\ProgramData\McAfee\Endpoint\Logs Ange eller klicka på Bläddra för att navigera till en plats. Aktivitetsloggning Aktivera aktivitetsloggning Aktiverar loggning av all Endpoint Security-aktivitet. Felsökningsloggning Begränsa storleken (MB) för alla aktivitetsloggfiler Begränsar maximal storlek (mellan 1 MB and 999 MB) för varje aktivitetsloggfil. Standardvärdet är 10 MB. Om informationen i loggfilen överskrider filstorleken, skrivs 25 % av de äldsta posterna i loggfilen över med ny data. Inaktivera det här alternativet om loggfilerna ska kunna bli hur stora som helst. När du aktiverar felsökningsloggning för en modul så aktiveras även felsökningsloggning för funktionerna i modulen Delade, till exempel Egenskydd. Metodtips: Aktivera felsökningsloggning under åtminstone det första dygnet vid test- och pilotfaser. Om inga fel uppstår under den här tiden inaktiverar du felsökningsloggningen för att undvika försämrade prestanda i klientsystemen. Aktivera för Hotdetektering Aktivera för Brandvägg Aktivera för Webbkontroll Aktivera för Adaptivt skydd mot hot Begränsa storleken (MB) för alla felsökningsloggfiler Aktiverar en utförlig aktivitetsloggning av Hotdetektering och enskilda tekniker: Aktivera för Åtkomstskydd Loggar till AccessProtection_Debug.log. Aktivera för Utnyttjandeskydd Loggar till ExploitPrevention_Debug.log. Aktivera för Genomsökning vid åtkomst Loggar till OnAccessScan_Debug.log. Aktivera för Genomsökning på begäran Loggar till OnDemandScan_Debug.log. Aktivering av felsökningsloggning för valfri teknik för Hotdetektering, aktiverar även felsökningsloggning för Endpoint Security-klient. Aktiverar utförlig aktivitetsloggning för Brandvägg. Aktiverar utförlig aktivitetsloggning för Webbkontroll. Aktiverar utförlig aktivitetsloggning för Adaptivt skydd mot hot. Begränsar varje felsökningsloggfil till angiven maximal storlek (mellan 1 MB och 999 MB). Standardvärdet är 50 MB. Om informationen i loggfilen överskrider filstorleken, skrivs 25 % av de äldsta posterna i loggfilen över med ny data. Inaktivera det här alternativet om loggfilerna ska kunna bli hur stora som helst. McAfee Endpoint Security 10.5 Produkthandbok 43

44 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Händelseloggning Skicka händelser till McAfee epo Skickar alla händelser som loggas i Händelseloggen i Endpoint Security-klient till McAfee epo. Detta alternativ är endast tillgängligt i system som hanteras av McAfee epo. Proxyserver för McAfee GTI Logga händelser i Windows programlogg Allvarlighetsgrad Hotdetekteringshändelser som ska loggas Brandväggshändelser som ska loggas Webbkontrollhändelser som ska loggas Händelser i Adaptivt skydd mot hot som ska loggas Ingen proxyserver Använd systemproxyinställningar Skickar alla händelser som loggas i Händelseloggen i Endpoint Security-klient till Windows programlogg. Windows programlogg är tillgänglig från Windows Loggboken Windows-loggar Program. Anger allvarlighetsgraden för händelser som loggas i Händelseloggen i Endpoint Security-klient: Inget Skickar inte några varningar Endast avisering Skickar endast varningsnivå 1. Allvarlig och avisering Skickar varningsnivå 1 och 2. Varning, allvarlig och avisering Skickar varningsnivå 1 3. Allt utom information Skickar varningsnivå 1 4. Alla Skickar varningsnivå Varning 2 Allvarliga 3 Varning 4 Meddelande 5 Information Anger allvarlighetsgraden för händelser i varje funktion i Hotdetektering som ska loggas: Åtkomstskydd Loggas till AccessProtection_Activity.log. Aktivering av händelseloggning för Åtkomstskydd, aktiverar även händelseloggning av Egenskydd. Utnyttjandeskydd Loggas till ExploitPrevention_Activity.log. Genomsökning vid åtkomst Loggas i OnAccessScan_Activity.log. Genomsökning på begäran Loggas i OnDemandScan_Activity.log. Anger allvarlighetsgrad för händelser i Brandvägg som ska loggas. Anger allvarlighetsgrad för händelser i Webbkontroll som ska loggas. Anger allvarlighetsgraden för händelser i Adaptivt skydd mot hot som ska loggas. Anger att de hanterade systemen ska hämta sin McAfee GTI-ryktesinformation direkt från Internet och inte via en proxyserver. (Standard) Anger att proxyinställningar från klientsystemet ska användas och (valfritt) att HTTP-proxyautentisering ska aktiveras. 44 McAfee Endpoint Security 10.5 Produkthandbok

45 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade 2 Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Konfigurera proxyserver Anpassar proxyinställningar. Adress Anger IP-adressen eller HTTP-proxyserverns fullständiga domännamn. Port Begränsar åtkomst via angiven port. Undanta dessa adresser Använd inte HTTP-proxyservern för webbplatser eller IP-adresser som börjar med de angivna posterna. Klicka på Lägg till och ange sedan det adressnamn som ska undantas. Metodtips: Undanta McAfee GTI-adresser från proxyservern. Mer information finns i KB79640 och KB Standarduppdatering för klient Källplatser för uppdateringar Aktivera HTTP-proxyautentisering Aktivera knappen Uppdatera nu i klienten Att uppdatera Anger att HTTP-proxyservern kräver autentisering. (Detta alternativ är endast tillgängligt när du väljer en HTTP-proxyserver.) Ange autentiseringsuppgifter för HTTP-proxy: Användarnamn Anger användarkontot med behörighet till HTTP-proxyservern. Lösenord Anger lösenordet för Användarnamn. Bekräfta lösenord Bekräftar angivet lösenord. Visar eller döljer knappen Uppdatera nu på huvudsidan för Endpoint Security-klient. Klicka på den här knappen för att manuellt leta efter och hämta uppdateringar till innehållsfiler och andra programvarukomponenter i klientsystemet. Anger vad som uppdateras när man klickar på knappen Uppdatera nu. Säkerhetsinnehåll, snabbkorrigeringar och korrigeringar Uppdaterar allt säkerhetsinnehåll (inklusive motor, AMCore och innehåll för Utnyttjandeskydd), samt snabbkorrigeringar och korrigeringar till de senaste versionerna. Säkerhetsinnehåll Uppdaterar endast säkerhetsinnehåll. (Standard) Snabbkorrigeringar och korrigeringar Uppdaterar endast snabbkorrigeringar och korrigeringar. Konfigurerar de webbplatser som uppdateringar till innehållsfiler och programvarukomponenter hämtas från. Du kan aktivera och inaktivera standardkällplatsen för säkerhetskopiering (McAfeeHttp och hanteringsservern (i hanterade system), men du kan inte ändra eller ta bort dem på andra sätt. Visar element som kan flyttas i listan. Markera elementen och dra och släpp dem på den nya platsen. En blå linje visas mellan elementen där du kan släppa ned elementen som du flyttar. McAfee Endpoint Security 10.5 Produkthandbok 45

46 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade Tabell 2-4 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Lägg till Dubbelklicka på ett objekt Ta bort Importera Lägger till en plats i listan över källplatser. Ändra det valda objektet. Tar bort den markerade platsen från listan med källplatser. Importerar platser från en fil i källplatslistan. Markera filen som ska importeras och klicka sedan på OK. Filen i platslistan ersätter den befintliga källplatslistan. Proxyserver för källplatser Exportera alla Ingen proxyserver Använd systemproxyinställningar Konfigurera proxyserver Aktivera HTTP/ FTP-proxyautentisering Exporterar källplatslistan till filen SiteList.xml. Välj var källplatslistan ska sparas och klicka sedan på OK. Anger att de hanterade systemen hämtar sin McAfee GTI-ryktesinformation direkt från Internet och inte via en proxyserver. (Standard) Anger att proxyinställningar från klientsystemet ska användas och eventuellt att HTTP- eller FTP-proxyautentisering ska aktiveras. Anpassar proxyinställningar. HTTP/FTP-adress Anger DNS, IPv4 eller IPv6-adresser för HTTP- eller FTP-proxyservern. Port Begränsar åtkomst via angiven port. Undanta dessa adresser Anger adresserna för Endpoint Security-klient system där proxyservern inte ska användas för att hämta McAfee GTI-klassificeringar. Klicka på Lägg till, ange sedan adressnamnet som ska undantas. Anger att HTTP- eller FTP-proxyservern kräver autentisering. (Detta alternativ är endast tillgängligt när du har valt en HTTP- eller FTP-proxyserver.) Ange autentiseringsuppgifter för proxy: Användarnamn Anger användarkontot med behörighet till proxyservern. Lösenord Anger lösenordet för angivet Användarnamn. Bekräfta lösenord Bekräftar angivet lösenord. Se även Skydda Endpoint Security-resurser på sidan 30 Konfigurerar inställningar för loggning på sidan 30 Kontrollera åtkomst till klientgränssnittet på sidan 31 Konfigurera proxyserverinställningar för McAfee GTI på sidan 32 Konfigurera standardbeteende för uppdateringar på sidan 35 Konfigurera källplatserna för uppdateringar på sidan 33 Lägg till webbplats eller Redigera webbplats på sidan McAfee Endpoint Security 10.5 Produkthandbok

47 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade 2 Lägg till webbplats eller Redigera webbplats Lägger till eller redigerar platser i listan över källplatser. Tabell 2-5 Alternativdefinitioner Alternativ Namn Aktivera Hämta filer från HTTP-lagringsplats Definition Visar namnet för källplatsen som innehåller uppdateringsfilen. Aktiverar eller inaktiverar användning av källplatsen för hämtning av uppdateringsfiler. Anger var filer ska hämtas från. Hämtar filer från angiven HTTP-lagringsplats. HTTP erbjuder uppdatering oberoende av nätverkssäkerhet, men stöder högre nivåer av samtidiga anslutningar än FTP. URL Använd autentisering DNS-namn - Visar att URL:en är ett domännamn. IPv4 - Visar att URL:en är en IPv4-adress. IPv6 - Visar att URL:en är en IPv6-adress. - Anger adressen för HTTP-servern och mappen där uppdateringsfilerna finns. Port - Anger portnummer för HTTP-servern. Väljer att använda autentisering och anger autentiseringsuppgifterna för åtkomst till mappen med uppdateringsfilerna. Användarnamn Anger användarkontot med läsbehörighet till mappen med uppdateringsfilerna. Lösenord Anger lösenordet för angivet Användarnamn. Bekräfta lösenord Bekräftar angivet lösenord. McAfee Endpoint Security 10.5 Produkthandbok 47

48 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade Tabell 2-5 Alternativdefinitioner (fortsättning) Alternativ FTP-lagringsplats Definition Hämtar filer från angiven FTP-lagringsplats. En FTP-plats erbjuder flexibilitet vid uppdatering utan att behöva rätta sig efter nätverksäkerhetsbehörighet. Eftersom FTP har varit mindre utsatt för attacker med oönskad kod än HTTP, erbjuder det eventuellt bättre tolerans. URL Använd anonym inloggning DNS-namn - Visar att URL:en är ett domännamn. IPv4 - Visar att URL:en är en IPv4-adress. IPv6 - Visar att URL:en är en IPv6-adress. ftp:// - Anger adressen för FTP-servern och mappen där uppdateringsfilerna finns. Port - Anger portnummer för FTP-servern. Väljer att använda anonym FTP för åtkomst till mappen med uppdateringsfilerna. Avmarkera det här alternativet för att ange autentiseringsuppgifter för åtkomst. Användarnamn Anger användarkontot med läsbehörighet till mappen med uppdateringsfilerna. Lösenord Anger lösenordet för angivet Användarnamn. Bekräfta lösenord Bekräftar angivet lösenord. UNC-sökväg eller Lokal sökväg Hämtar filer från angiven UNC eller lokal sökväg/plats. En UNC-plats är snabbast och enklast att konfigurera. UNC-uppdateringar mellan domäner kräver säkerhetsbehörighet för varje domän, vilket medför att konfigurering av uppdatering är mer krävande. Sökväg Använd inloggat konto UNC-sökväg Anger sökvägen med UNC-notation (\\servernamn \sökväg\). Lokal sökväg Anger sökvägen för en mapp på en lokal eller nätverksenhet. Åtkomst till uppdateringsfilerna med hjälp av inloggat konto. Detta konto måste ha läsbehörighet till mapparna som innehåller uppdateringsfilerna. Avmarkera det här alternativet för att ange autentiseringsuppgifter för åtkomst. Domän Anger domänen för det angivna användarkontot. Användarnamn Anger användarkontot med läsbehörighet till mappen med uppdateringsfilerna. Lösenord Anger lösenordet för angivet Användarnamn. Bekräfta lösenord Bekräftar angivet lösenord. Gemensamma Aktiviteter Konfigurera och schemalägg Endpoint Security-klient-aktiviteter. I hanterade system kan du inte starta, stoppa eller ta bort administratörsaktiviteter. 48 McAfee Endpoint Security 10.5 Produkthandbok

49 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade 2 Tabell 2-6 Alternativ Avsnitt Alternativ Aktiviteter Dubbelklicka på ett objekt Lägg till Delete (Ta bort) Definition Visar aktuella, definierade och schemalagda aktiviteter. Namn Namn på schemalagd aktivitet. Funktion Modul eller funktion som aktiviteten är kopplad till. Schema När aktiviteten är schemalagd att köras och om den är inaktiverad. I hanterade system kan exempelvis aktivitetsschemat för Standarduppdatering för klient vara inaktiverat av administratören. Status Status för den senaste gången aktiviteten kördes: (ingen status) Kör aldrig Kör Aktuell körning eller återupptagen Uppehåll Pausad av användaren (såsom en genomsökning) Uppskjuten Uppskjuten av användaren (såsom en genomsökning) Avslutad Avslutad utan fel Avslutad (fel) Avslutad med fel Misslyckades Slutföring misslyckades Senaste körning Datum och tidpunkt för den senaste körningen av aktiviteten. Ursprung Ursprung för aktiviteten: McAfee Från McAfee. Administratör (Endast hanterade system) Definierad av administratören. Användare Definierad iendpoint Security-klient. En del aktiviteter kan inte ändras eller tas bort, beroende på ursprunget. Exempel: Aktiviteten Standarduppdatering för klient kan endast ändras i självhanterade system. Administratörsaktiviteter som definieras av administratören i hanterade system kan inte ändras eller tas bort i Endpoint Security-klient. Ändra det valda objektet. Skapar en genomsökning, uppdatering eller spegling. Tar bort den valda aktiviteten. McAfee Endpoint Security 10.5 Produkthandbok 49

50 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade Tabell 2-6 Alternativ (fortsättning) Avsnitt Alternativ Duplicera Kör nu Definition Skapar en kopia av den valda aktiviteten. Kör den markerade aktiviteten. Om aktiviteten redan körs (eller är pausad eller uppskjuten) ändras knappen till Visa. Snabbgenomsökning Öppnar dialogrutan Snabbgenomsökning och startar genomsökningen. Fullständig genomsökning Öppnar dialogrutan Fullständig genomsökning och startar genomsökningen. Anpassad genomsökning Öppnar dialogrutan Anpassad genomsökning och startar genomsökningen. Standarduppdatering för klient Öppnar dialogrutan Uppdatering och startar uppdateringen. Uppdatering Öppnar dialogrutan Anpassad uppdatering och startar uppdateringen. Spegla Öppnar dialogrutan Spegla och startar lagringsplatsreplikeringen. Om du vill köra en aktivitet innan ändringarna tillämpas blir du ombedd av Endpoint Security-klient att spara inställningarna. Se även Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 56 Uppdatera innehåll och programvara manuellt på sidan 22 Konfigurera, schemalägga och köra speglingar på sidan 38 Lägg till aktivitet på sidan 50 Lägg till aktivitet Lägger till anpassade genomsökningar, speglingar eller uppdateringsaktiviteter. Alternativ Namn Välj aktivitetstyp Definition Anger namnet på aktiviteten. Anger aktivitetstypen: Anpassad genomsökning Konfigurerar och schemalägger anpassade genomsökningar, som daliga genomsökningar av minnet. Spegla Replikerar det uppdaterade innehållet och motorfiler från den första tillgängliga lagringsplatsen till en speglingsplats i nätverket. Uppdatera Konfigurerar och schemalägger uppdateringar av innehållsfiler, genomsökningsmotor eller produkt. Se även Lägg till genomsökningsaktivitet eller Redigera genomsökningsaktivitet på sidan 51 Lägg till spegling eller Redigera spegling på sidan 52 Lägg till uppdateringsaktivitet eller Redigera uppdateringsaktivitet på sidan McAfee Endpoint Security 10.5 Produkthandbok

51 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade 2 Lägg till genomsökningsaktivitet eller Redigera genomsökningsaktivitet Schemalägg aktiviteten Fullständig genomsökning ellersnabbgenomsökning eller konfigurera och schemalägg anpassade genomsökningsaktiviteter som körs i klientsystemet. Tabell 2-7 Alternativ Flik Inställningar Schema Alternativ Definition Namn Alternativ Konfigurerar inställningarna för genomsökningsaktiviteter. Anger namnet på aktiviteten. Konfigurerar inställningarna för Genomsökning vid åtkomst. Det går endast att konfigurera inställningar för Fullständig genomsökning och Snabbgenomsökning i självhanterade system. Aktiverar och schemalägger aktiviteten till att köras vid en angiven tidpunkt. Se även Konfigurera, schemalägga och köra genomsökningar på sidan 93 Konfigurera Genomsökning på begäran inställningar på sidan 89 Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 56 Hotdetektering Genomsökning på begäran på sidan 117 Schema på sidan 52 Lägg till uppdateringsaktivitet eller Redigera uppdateringsaktivitet Schemalägger aktiviteten Standarduppdatering för klient eller konfigurerar och schemalägger anpassade uppdateringsaktiviteter som körs i klientsystemet. Tabell 2-8 Alternativ Flik Inställningar Schema Alternativ Definition Namn Att uppdatera Konfigurerar inställningar i uppdateringsaktiviteten. Anger namnet på aktiviteten. Anger vad som ska uppdateras: Säkerhetsinnehåll, snabbkorrigeringar och korrigeringar Säkerhetsinnehåll Snabbkorrigeringar och korrigeringar Det går endast att konfigurera dessa inställningar i självhanterade system. Aktiverar och schemalägger aktiviteten till att köras vid en angiven tidpunkt. Aktiviteten Standarduppdatering för klient körs varje dag vid midnatt och upprepas var fjärde timme tills 23:59 som standard. Se även Delade Alternativ Sidan på sidan 41 Konfigurera standardbeteende för uppdateringar på sidan 35 Konfigurera, schemalägga och uppdatera aktiviteter på sidan 36 Schema på sidan 52 McAfee Endpoint Security 10.5 Produkthandbok 51

52 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade Lägg till spegling eller Redigera spegling Konfigurera och schemalägg speglingar. Tabell 2-9 Alternativ Flik Alternativ Definition Inställningar Namn Anger namnet på aktiviteten. Schema Se även Speglingsplats Ange i vilken mapp lagringsplatsreplikeringen ska sparas. Aktiverar och schemalägger aktiviteten till att köras vid en angiven tidpunkt. Konfigurera, schemalägga och köra speglingar på sidan 38 Schema på sidan 52 Schema Schemalägg genomsökningar, uppdateringar och speglingar. Tabell 2-10 Alternativ Kategori Alternativ Definition Schema Aktivera schema Schemalägger aktiviteten att köras vid en angiven tidpunkt. (aktiverad som standard) Detta alternativ måste vara markerat innan du kan schemalägga aktiviteten. Schematyp Frekvens Kör på Kör i Kör bara den här aktiviteten en gång om dagen Fördröj aktiviteten med Anger intervallen för att köra aktiviteten. Dagligen Körs varje dag vid en specifik tidpunkt, återkommande mellan två tidpunkter på dagen eller enligt en kombination av båda. Veckovis Kör aktiviteten varje vecka på: Specifika veckodagar, alla veckodagarna, på helger, eller en kombination av dagar Specifik tidpunkt de valda dagarna eller återkommande mellan två tidpunkter de valda dagarna Månatligen Kör aktiviteten varje månad antingen på: En angiven dag i månaden Angivna dagar i veckan - första, andra, tredje, fjärde eller den sista Vid ett tillfälle Startar aktiviteten den dag och tidpunkt som du anger. Vid systemstart Kör aktiviteten när systemet startas. Vid inloggning Startar aktiviteten nästa gång användaren loggar in i systemet. Kör omedelbart Startar aktiviteten omedelbart. Anger frekvensen för aktiviteterna Dagligen och Veckovis. Anger specifika veckodagar för aktiviteterna Veckovis och Månatligen. Anger månader för året i aktiviteterna Månatligen. Kör aktiviteten en gång om dagen i aktiviteternavid systemstart och Vid inloggning. Anger hur många minuters fördröjning det är innan aktiviteterna Vid systemstart och Vid inloggning körs. 52 McAfee Endpoint Security 10.5 Produkthandbok

53 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade 2 Tabell 2-10 Alternativ (fortsättning) Kategori Alternativ Startdatum Slutdatum Starttid Definition Anger startdatum för aktiviteterna Dagligen, Veckovis, Månatligen och En gång. Anger slutdatum för aktiviteterna Dagligen, Veckovis och Månatligen. Anger tiden när aktiviteten ska starta. Kör en gång vid den tidpunkten Kör aktiviteten en gång vid angiven starttid. Kör vid tidpunkten och upprepa fram till: Kör aktiviteten vid angiven starttid. Då körs aktiviteten varje gång på angivna timmar/minuter enligt Starta aktivitet var till den angivna sluttiden. Kör vid tidpunkten och upprepa sedan i Kör aktiviteten vid angiven starttid. Då körs aktiviteten varje gång på angivna timmar/minuter enligt Starta aktivitet var tills den har körts i angiven tid. Alternativ Konto Kör aktiviteten enligt UTC-tid (Coordinated Universal Time) Avbryt aktiviteten om den körs längre än Styr starttiden slumpmässigt för aktiviteten efter Kör saknad aktivitet Användarnamn Lösenord Bekräfta lösenord Domän Anger om aktivitetsschemat körs enligt det hanterade systemets lokala tid eller enligt UTC-tid (Coordinated Universal Time). Avbryter aktiviteten efter angivet antal timmar och minuter. Om aktiviteten avbryts innan den har slutförts, återupptas aktiviteten där den avslutades nästa gång som den startas. Anger att denna aktivitet körs slumpmässigt inom det tidsintervall som anges. Annars startar aktiviteten vid den schemalagda tidpunkten oavsett om andra klientaktiviteter schemalagts att köras vid samma tid. Kör aktiviteten efter det antal minuter som angetts i Fördröj start med vid omstart av det hanterade systemet. Anger de autentiseringsuppgifter som används för att köra aktiviteten. Om inga autentiseringsuppgifter har angivits körs aktiviteten som det lokala systemadministratörskontot. Anger användarkonto. Anger lösenordet för det angivna användarkontot. Bekräftar lösenordet för det angivna användarkontot. Anger domänen för det angivna användarkontot. Se även Lägg till genomsökningsaktivitet eller Redigera genomsökningsaktivitet på sidan 51 Lägg till uppdateringsaktivitet eller Redigera uppdateringsaktivitet på sidan 51 Lägg till spegling eller Redigera spegling på sidan 52 McAfee Endpoint Security 10.5 Produkthandbok 53

54 2 Använda Endpoint Security-klient Endpoint Security-klient gränssnittsreferens Delade 54 McAfee Endpoint Security 10.5 Produkthandbok

55 3 Använda 3 Hotdetektering Hotdetektering söker efter virus, spionprogram, oönskade program och andra hot genom att genomsöka objekt på din dator. Innehåll Genomsök datorn efter skadlig programvara Hantera hotavkänningar Hantera objekt som satts i karantän Hantera Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Genomsök datorn efter skadlig programvara Genomsök datorn efter skadlig programvara genom att välja alternativ i Endpoint Security-klient eller Windows Explorer. Åtgärder Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 56 Använd Endpoint Security-klient för att göra en manuell Fullständig genomsökning eller Snabbgenomsökning på din dator. Genomsöka en fil eller mapp på sidan 58 Utför en omedelbar genomsökning av en enskild fil eller mapp som du misstänker är infekterad genom att högerklicka i Windows Explorer. Se även Typer av genomsökning på sidan 55 Typer av genomsökning Endpoint Security har två typer av genomsökningar: genomsökningar vid åtkomst och genomsökningar på begäran. Genomsökning vid åtkomst Administratören konfigurerar genomsökningar vid åtkomst som ska köras på hanterade datorer. För självhanterade datorer, konfigurera genomsökning vid åtkomst på sidan Inställningar. När du öppnar filer, mappar eller program stoppas åtgärden av genomsökningen vid åtkomst som söker igenom objektet baserat på de kriterier som definierats i inställningarna. Genomsökning på begäran McAfee Endpoint Security 10.5 Produkthandbok 55

56 3 Använda Hotdetektering Genomsök datorn efter skadlig programvara Manuell Administratören (eller användare i självhanterade system) konfigurerar de fördefinierade eller anpassade genomsökningar på begäran som kan köras i hanterade system. Kör en fördefinierad genomsökning på begäran när som helst via Endpoint Security-klient genom att klicka på genomsökningstyp: och välja en Snabbgenomsökning gör en snabb kontroll av de delar av systemet som är mest känsliga för infektioner. Fullständig genomsökning gör en noggrann kontroll av alla delar av systemet. (Rekommenderas om du misstänker att datorn är infekterad.) Sök igenom en enskild fil eller mapp när som helst via Windows Explorer genom att högerklicka på filen eller mappen och markera Sök efter hot i snabbmenyn. Konfigurera och köra en anpassad genomsökning på begäran som administratör via Endpoint Security-klient: 1 Välj Inställningar Delade Aktiviteter. 2 Markera aktiviteten som ska köras. 3 Klicka påkör nu. Schemalagd Administratören (eller användaren, för självhanterade system) konfigurerar och schemalägger genomsökningar på begäran som ska köras på datorer. När en genomsökning på begäran ska starta, visar Endpoint Security en genomsökningsfråga längst ned på skärmen. Du kan starta genomsökningen meddetsamma eller senarelägga den, om detta har konfigurerats. Konfigurera och schemalägg fördefinierade genomsökningar på begäran, Snabbgenomsökning och Fullständig genomsökning: 1 Inställningar Genomsökning på begäran fliken Fullständig genomsökning eller flikensnabbgenomsökning Konfigurerar genomsökningar på begäran. 2 Inställningar Common Aktiviteter - scheman, genomsökningar på begäran. Se även Konfigurera, schemalägga och köra genomsökningar på sidan 93 Svara på en genomsökningsfråga på sidan 21 Kör en Fullständig genomsökning eller en Snabbgenomsökning Använd Endpoint Security-klient för att göra en manuell Fullständig genomsökning eller Snabbgenomsökning på din dator. Innan du börjar Modulen Hotdetektering måste vara installerad. Funktionen hos Fullständig genomsökning och Snabbgenomsökning beror på hur inställningarna har konfigurerats. Med administratörsbehörighet går det att ändra och schemalägga dessa genomsökningar i inställningarna för Genomsökning på begäran. 56 McAfee Endpoint Security 10.5 Produkthandbok

57 Använda Hotdetektering Genomsök datorn efter skadlig programvara 3 Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på. 3 På sidan Genomsök system klickar du på Sök nu för att välja den genomsökning som ska köras. Fullständig genomsökning Snabbgenomsökning Gör en noggrann kontroll av alla delar av systemet, vilket är en rekommendation om du misstänker att datorn är infekterad. Gör en snabb kontroll av de delar av systemet som är mest känsliga för infektioner. Om en genomsökning redan pågår, ändras knappen Sök nu till Visa genomsökning. Eventuellt ser du även knappen Visa avkänningar i genomsökning vid åtkomst beroende på hur inställningarna har konfigurerats och om ett hot har identifierats. Klicka på den här knappen för att öppna sidan Genomsökning vid åtkomst för att hantera avkänningar när som helst. Endpoint Security-klient visar status för genomsökningen på en ny sida. Metodtips: Datum då innehåll för AMCore skapades visar när innehållet uppdaterades senast. Om innehållet är mer än två dagar ska du uppdatera skyddet innan genomsökningen körs. 4 Klicka på knapparna högst upp på statussidan för att kontrollera genomsökningen. Pausa genomsökningen Återuppta genomsökningen Avbryt genomsökningen Gör ett uppehåll i genomsökningen innan den är slutförd. Återupptar genomsökningen efter uppehållet. Avbryter en genomsökning som körs. 5 När genomsökningen är slutförd visas antalet genomsökta filer, hur lång tid det tog och eventuella avkänningar på sidan. Avkänningsnamn Typ Fil Vidtagen åtgärd Här visas namnet på den upptäckta skadliga programvaran. Visar typ av hot. Identifierar den infekterade filen. Beskriver den senaste säkerhetsåtgärden som vidtagits för den infekterade filen: Åtkomst nekad Rensad Borttagen Inget Avkänningslistan för genomsökning på begäran rensas när nästa genomsökning på begäran startar. 6 Välj en avkänning i tabellen och klicka på Rensa eller Ta bort för att rensa eller ta bort den infekterade filen. Dessa åtgärder är eventuellt inte tillgängliga, beroende på inställningarna för typ av hot och genomsökningen. 7 Klicka på Stäng för att stänga sidan. McAfee Endpoint Security 10.5 Produkthandbok 57

58 3 Använda Hotdetektering Genomsök datorn efter skadlig programvara Se även Typer av genomsökning på sidan 55 Avkänningsnamn på sidan 61 Uppdatera innehåll och programvara manuellt på sidan 22 Hantera hotavkänningar på sidan 59 Konfigurera Genomsökning på begäran inställningar på sidan 89 Konfigurera, schemalägga och köra genomsökningar på sidan 93 Genomsöka en fil eller mapp Utför en omedelbar genomsökning av en enskild fil eller mapp som du misstänker är infekterad genom att högerklicka i Windows Explorer. Innan du börjar Modulen Hotdetektering måste vara installerad. Funktionen hos Snabbgenomsökningen beror på hur inställningarna har konfigurerats. Med administratörsbehörighet går det att ändra dessa genomsökningar i inställningarna för Genomsökning på begäran. Åtgärd 1 Högerklicka på filen eller mappen i Windows Explorer och markera Sök efter hot i snabbmenyn. Endpoint Security-klient visar status för genomsökningen på sidan Sök efter hot. 2 Klicka på knapparna högst upp på sidan för att kontrollera genomsökningen. Pausa genomsökningen Återuppta genomsökningen Avbryt genomsökningen Gör ett uppehåll i genomsökningen innan den är slutförd. Återupptar genomsökningen efter uppehållet. Avbryter en genomsökning som körs. 3 När genomsökningen är slutförd visas antalet genomsökta filer, hur lång tid det tog och eventuella avkänningar på sidan. Avkänningsnamn Typ Fil Vidtagen åtgärd Här visas namnet på den upptäckta skadliga programvaran. Visar typ av hot. Identifierar den infekterade filen. Beskriver den senaste säkerhetsåtgärden som vidtagits för den infekterade filen: Åtkomst nekad Rensad Borttagen Inget Avkänningslistan för genomsökning på begäran rensas när nästa genomsökning på begäran startar. 4 Välj en avkänning i tabellen och klicka på Rensa eller Ta bort för att rensa eller ta bort den infekterade filen. Dessa åtgärder är eventuellt inte tillgängliga, beroende på inställningarna för typ av hot och genomsökningen. 5 Klicka på Stäng för att stänga sidan. 58 McAfee Endpoint Security 10.5 Produkthandbok

59 Använda Hotdetektering Hantera hotavkänningar 3 Se även Typer av genomsökning på sidan 55 Avkänningsnamn på sidan 61 Konfigurera Genomsökning på begäran inställningar på sidan 89 Hantera hotavkänningar Det går att hantera hotavkänningar från Endpoint Security-klient beroende på hur inställningarna har konfigurerats. Innan du börjar Modulen Hotdetektering måste vara installerad. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Genomsök nu för att öppna sidan för Genomsök system. 3 Från Genomsökning vid åtkomst, klicka på Visa avkänningar. Det här alternativet är inte tillgängligt om listan inte innehåller några avkänningar eller om alternativet användarmeddelanden är inaktiverat. Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. 4 Från sidan Genomsökning vid åtkomst, välj ett av dessa alternativ. Rensa Försöker rensa objektet (fil, registerpost) och lägger den i karantän. Endpoint Security använder information från innehållsfilerna för att rensa filer. Om innehållsfilen inte har någon information för att rensa filer eller om filen har skadats så mycket att den inte går att reparera, nekas åtkomst till filen av genomsökningen. I det här fallet rekommenderar McAfee att du tar bort filen från karantänen och återställer den från en virusfri säkerhetskopia. Ta bort Ta bort post Stäng Ta bort objektet som innehåller hot. Tar bort posten från avkänningslistan. Stänger sidan för genomsökning. Om en åtgärd inte kan användas för hotet är motsvarande menyalternativ inaktiverat. Exempel: Alternativet Rensa är inte tillgängligt om filen redan har tagits bort. Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. McAfee Endpoint Security 10.5 Produkthandbok 59

60 3 Använda Hotdetektering Hantera objekt som satts i karantän Hantera objekt som satts i karantän Endpoint Security sparar objekt som har identifierats som hot i karantän. Du kan vidta åtgärder för objekt i karantän. Innan du börjar Modulen Hotdetektering måste vara installerad. Du kan exempelvis återställa ett objekt när du har laddat ned en senare version av innehållsfilen som innehåller information som rensar bort hotet. Objekt i karantän kan vara olika typer av genomsökta objekt, såsom filer, register eller något som Endpoint Security genomsöker efter skadlig programvara. Åtgärd Om du behöver hjälp går du till menyn Åtgärd och väljer Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Karantän till vänster på sidan. Sidan visar objekt i karantän. Om Endpoint Security-klient inte kan nå karantänhanteraren, visas ett kommunikationsfelmeddelande. Om detta är fallet, starta om ditt system för att visa sidan för Karantän. 60 McAfee Endpoint Security 10.5 Produkthandbok

61 Använda Hotdetektering Hantera objekt som satts i karantän 3 3 Markera ett objekt i den övre rutan för att visa informationen i den nedre rutan. För att... Ändra den relativa storleken på rutorna. Sortera objekten i tabellen efter hotnamn eller typ. Gör så här Klicka och dra sash-widgeten mellan rutorna. Klicka på kolumnrubriken i tabellen. 4 Utför åtgärderna på de markerade objekten på sidan för Karantän. För att... Ta bort objekt från karantänen. Följ dessa steg Välj objekt, klicka på Ta bort, klicka därefter på Ta bort igen för att bekräfta. Det går inte att återställa borttagna objekt. Återställa objekt från karantänen. Välj objekt, klicka på Återställ, klicka därefter på Återställ igen för att bekräfta. Endpoint Security återställer objekten till ursprungsplatsen och tar bort dem från karantänen. Om ett objekt fortfarande är ett giltigt hot flyttar Endpoint Security tillbaka det till karantänen nästa gång som objektet öppnas. Sök igenom objekt igen. Visa ett objekt i händelseloggen. Få mer information om ett hot. Markera objekt och klicka på Genomsök igen. Du kan exempelvis söka igenom ett objekt igen när du har uppdaterat skyddet. Om objektet inte längre är ett hot kan du återställa objektet till ursprungsplatsen och ta bort det från karantänen. Markera ett objekt och klicka sedan på länken Visa i händelselogg i informationsfönstret. Sidan Händelselogg öppnas med händelsen för det aktuella objektet markerad. Markera ett objekt och klicka sedan på länken Mer information om det här hotet i informationsfönstret. Ett nytt webbläsarfönster öppnas för McAfee Labs-webbplatsen med mer information om hotet som orsakade att objektet sattes i karantän. Se även Avkänningsnamn på sidan 61 Göra en ny genomsökning av objekt i karantän på sidan 63 Öppna Endpoint Security-klient på sidan 19 Uppdatera innehåll och programvara manuellt på sidan 22 Avkänningsnamn Karantänen rapporterar hot efter avkänningsnamn. Avkänningsnamn Reklamprogram Uppringningsprogram Beskrivning Genererar annonsintäkter genom att visa reklam som är riktat mot användaren. Reklamprogram ger intäkter från leverantören eller leverantörens partner. Vissa typer av reklamprogram kan samla in eller överföra personlig information. Omdirigerar internetanslutningar till en part annan än användarens standardinternetleverantör. Uppringningsprogram är utvecklade att lägga till anslutningsavgifter avsedda för en innehållsleverantör, leverantör eller annan tredje part. McAfee Endpoint Security 10.5 Produkthandbok 61

62 3 Använda Hotdetektering Hantera objekt som satts i karantän Avkänningsnamn Skämt Registreringsprogram för tangenttryckningar Lösenordsknäckare Eventuellt oönskade program Verktyg för fjärradministration Spionprogram Smygprogram Trojanska hästar Virus Beskrivning Gör anspråk på att skada en dator men har ingen skadlig nyttolast eller funktion. Skämt påverkar inte säkerheten eller sekretessen, men kan skrämma eller irritera användaren. Snappar upp data medan användaren matar in den i det avsedda mottagarprogrammet. Trojanska hästar och registreringsprogram för tangenttryckningar från eventuellt oönskade program kan fungera exakt likadant. McAfee känner av båda typerna och förhindrar sekretessintrång. Gör det möjligt för användaren eller administratören att återställa förlorade eller bortglömda lösenord för konton eller datafiler. Om en angripare använder detta kan de få tillgång till konfidentiell information och utgör ett hot mot säkerheten eller sekretessen. Innehåller ofta legitim programvara (icke-skadlig programvara) som kan ändra tillståndet för säkerheten eller sekretessen i systemet. Den här programvaran kan hämtas tillsammans med ett program som användaren vill installera. Den kan innehålla spionprogram, reklamprogram, registreringsprogram för tangenttryckningar, lösenordsknäckare, hackarverktyg och uppringningsprogram. Ger en administratör fjärrkontroll av ett system. Dessa verktyg utgör ett betydelsefullt säkerhetshot i händerna på en angripare. Överför personlig information till en tredje part utan användarens vetskap eller medgivande. Spionprogram utnyttjar infekterade datorer i kommersiellt syfte genom att: Leverera icke begärd reklam i popup-fönster Stjäla personlig information, inklusive finansiell information, till exempel kreditkortnummer Övervaka webbläsaraktiviteter i marknadsföringssyfte Routning av HTTP-begäranden till reklamsidor Se även Eventuellt oönskade program. En typ av virus som försöker undvika avkänning från antivirusprogram. De kallas även interrupt interceptor på engelska. Många smygprogramvirus genskjuter begäran om diskåtkomst. När ett antivirusprogram försöker att läsa filer eller startsektorer för att hitta virus kan viruset visa en ren" avbild av det begärda objektet. Andra virus döljer den verkliga storleken på en infekterad fil och visar filens storlek innan den blev infekterad. Skadlig programvara som låtsas att de är ofarliga program. En trojansk häst replikerar sig inte men kan skada eller äventyra säkerheten på din dator. Vanligtvis infekteras en dator: När en användare öppnar en bilaga, som innehåller en trojan, i en e-post. När en användare hämtar en trojan från en webbplats. Peer to peer-nätverk. Eftersom de inte replikerar sig betraktas inte trojanska hästar som virus. Klänger sig fast vid diskar eller andra filer och replikerar sig hela tiden, vanligtvis utan användarens vetskap eller medgivande. Vissa virus klänger sig fast vid filer och när den infekterade filen körs, körs även viruset. Andra virus finns i datorns minne och infekterar filer när datorn öppnar, ändrar eller skapar en fil. Vissa virus uppvisar symptom, medan andra virus skadar filer och datorsystem. 62 McAfee Endpoint Security 10.5 Produkthandbok

63 Använda Hotdetektering Hantera Hotdetektering 3 Göra en ny genomsökning av objekt i karantän Endpoint Security använder genomsökningsinställningar som har utformats för att ge maximalt skydd vid nya genomsökningar av objekt i karantän. Metodtips: Genomsök alltid objekt i karantän innan du återställer dem. Du kan exempelvis söka igenom ett objekt igen när du har uppdaterat skyddet. Om objektet inte längre är ett hot kan du återställa objektet till ursprungsplatsen och ta bort det från karantänen. Genomsökningsförhållandena kan ha ändrats från upptäckten av hotet till den ny genomsökningen, vilket kan påverka avkänningen av objekten i karantän. Endpoint Security gör följande vid nya genomsökningar av objekt i karantän: Söker igenom MIME-kodade filer. Söker igenom komprimerade arkivfiler. Framtvingar en McAfee GTI-sökning av objekten. Ställer in McAfee GTI-känslighetsnivån till Väldigt hög. Den nya genomsökningen av karantänen kan trots dessa genomsökningsinställningar misslyckas att upptäcka hot. Om objektets metadata (sökväg eller registerplats) ändras är det till exempel möjligt att falskt positiva resultat visas trots att objektet fortfarande är infekterat. Hantera Hotdetektering Som administratör kan du ange inställningar för Hotdetektering för att motverka intrång från hot och konfigurera genomsökningar. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. Konfigurera undantag Med Hotdetektering kan du finjustera skyddet genom att ange objekt som ska undantas. Det kan hända att du till exempel behöver undanta vissa filtyper för att förhindra en genomsökning från att låsa en fil som används av en databas eller server. En låst fil kan orsaka fel i databasen eller servern eller göra att de genererar fel. Metodtips: För att förbättra prestandan vid genomsökning på begäran och vid åtkomst, använder du tekniken för att undvika genomsökning i stället för att lägga till fil- och mappundantag. Undantag i undantagslistor utesluter varandra ömsesidigt. Varje undantag utvärderas skilt från de andra i listan. Om du vill undanta en mapp i Windows-system, lägger du till ett omvänt snedstreck (\) i sökvägen. McAfee Endpoint Security 10.5 Produkthandbok 63

64 3 Använda Hotdetektering Hantera Hotdetektering För den här funktionen... Åtkomstskydd Ange objekt som ska undantas Processer (för alla regler eller en särskild regel) Var konfigurationen ska göras Åtkomstskydd Undanta objekt genom att Namn på processfil eller sökväg, MD5-hash eller undertecknare Utnyttjandeskydd Processer Utnyttjandeskydd Namn på processfil eller sökväg, MD5-hash eller undertecknare Alla genomsökningar Genomsökning vid åtkomst Standard Hög risk Låg risk Anroparmoduler API:er Filnamn eller sökväg, MD5-hash eller undertecknare för anroparmodul API-namn Signaturer Signatur-ID Nej Avkänningsnamn Potentiellt oönskade program Filer, filtyper och mappar URL:er för ScriptScan Hotdetektering Alternativ Genomsökning vid åtkomst Avkänningsnamn (skiftlägeskänsligt) Namn Filnamn eller mapp, filtyp eller filens ålder URL-namn Använda jokertecken? Allt utom MD5-hash Allt utom MD5-hash Ja Ja Ja Nej Genomsökning på begäran Snabbgenomsökning Filer, mappar och enheter Genomsökning på begäran Filnamn eller mapp, filtyp eller filens ålder Ja Fullständig genomsökning Snabbgenomsökning Anpassad genomsökning på begäran Filer, mappar och enheter Delade aktiviteter lägg till aktivitet anpassad genomsökning Filnamn eller mapp, filtyp eller filens ålder Ja Se även Jokertecken i undantag på sidan McAfee Endpoint Security 10.5 Produkthandbok

65 Använda Hotdetektering Hantera Hotdetektering 3 Jokertecken i undantag Det går att använda jokertecken i stället för andra tecken i undantag för filer, mappar, avkänningsnamn och potentiellt oönskade program. Tabell 3-1 Giltiga jokertecken Jokertecken Namn Representerar? Frågetecken Enkelt tecken. Det här jokertecknet gäller endast om antalet tecken matchar längden i namnet för filen eller mappen. Exempel: Undantaget W?? matchar WWW, men inte WW eller WWWW. * Asterisk Flera tecken, förutom omvänt snedstreck (\). *\ i början av filsökvägen är ogiltigt. Använd **\ i stället. Exempel: **\ABC\*. ** Dubbel asterisk Noll eller fler tecken, inklusive omvänt snedstreck (\). Det här jokertecknet matchar noll eller fler tecken. Exempel: C:\ABC \**\XYZ matchar C:\ABC\DEF\XYZ och C:\ABC\XYZ. Jokertecken kan visas framför ett omvänt snedstreck (\) i en sökväg. Exempel, C:\ABC\*\XYZ matchar C:\ABC\DEF\XYZ. Undantag på rotnivå En absolut sökväg krävs för undantag på rotnivå i Hotdetektering. Detta innebär att inledande jokertecken som \ eller?:\ inte kan användas för att matcha enhetsnamn på rotnivå. Det här beteendet skiljer sig från VirusScan Enterprise. Se McAfee Endpoint Security Migreringsguide. I Hotdetektering kan du använda inledande jokertecken som **\ i undantag på rotnivå för att matcha enheter och undermappar. **\test matchar till exempel följande: C:\test D:\test C:\temp\test D:\foo\test Skydda systemets åtkomstpunkter Det första steget för skydd mot skadlig programvara är att skydda klientsystemets åtkomstpunkter från hot. Åtkomstskyddet förhindrar oönskade ändringar på hanterade datorer genom att begränsa åtkomsten till angivna filer, resurser, registernycklar, registervärden, processer och tjänster. Åtkomstskyddet använder både McAfee-definierade regler och användardefinierade regler (även kallade anpassade regler) för att rapportera eller blockera åtkomst till objekt. Åtkomstskyddet jämför en begärd åtgärd med listan över regler och agerar enligt regeln. Åtkomstskyddet måste vara aktiverat för att identifiera åtkomstförsök till filer, resurser, registernycklar, registervärden, processer och tjänster. McAfee Endpoint Security 10.5 Produkthandbok 65

66 3 Använda Hotdetektering Hantera Hotdetektering Hur hot får åtkomst Hot får åtkomst till ditt system via olika åtkomstpunkter. Åtkomstpunkt Makron Körbara filer Skript IRC(Internet Relay Chat)-meddelanden Hjälpfiler för webbläsare och program E-post Kombinationer av alla dessa åtkomstpunkter Beskrivning Som en del av ordbehandlingsprogram och kalkylprogram. Program som verkar ofarliga kan innehålla virus med förväntade program. Vissa vanliga filnamnstillägg är.exe,.com,.vbs,.bat,.hlp och.dll. Associerade till webbsidor och e-post, skript som till exempel ActiveX och JavaScript, kan innehålla virus om de får tillåtelse att köras. Filer som skickas med dessa meddelanden kan mycket lätt innehålla skadlig programvara som del av meddelandet. Till exempel, automatiska processer för systemstart kan innehålla mask- och trojanhot. Hämtning av dessa Hjälpfiler gör systemet tillgängligt för inbäddade virus och körbara filer. Skämt, spel och bilder som är del av e-postmeddelanden med bilaga. Sinnrika programmerare som skapar skadlig programvara kombinerar alla dessa metoder och kanske till och med bäddar in en skadlig programvara inom en annan skadlig programvara för att försöka få åtkomst till en dator som hanteras. Hur Åtkomstskydd stoppar hot Åtkomstskyddet stoppar potentiella hot genom att hantera åtgärder utifrån McAfee-definierade och användardefinierade skyddsregler. Hotdetektering följer den här enkla processen för att ge Åtkomstskydd. När ett hot inträffar När en användare agerar eller en process körs: 1 Åtkomstskydd undersöker åtgärden enligt definierade regler. 2 Om åtgärden bryter mot en regel hanterar Åtkomstskydd åtgärden med hjälp av informationen i de konfigurerade reglerna. 3 Åtkomstskydd uppdaterar loggfilen och skapar samt skickar en händelse till hanteringsservern, i tillämpliga fall. Exempel på åtkomsthot 1 En användare hämtar ett seriöst program (inte skadlig programvara), MyProgram.exe, från Internet. 2 Användaren startar MyProgram.exe och programmet verkar starta som förväntat. 3 MyProgram.exe startar en underordnad process som heter AnnoyMe.exe. 4 AnnoyMe.exe försöker att ändra operativsystemet så att AnnoyMe.exe alltid laddas vid systemstart. 5 Åtkomstskydd bearbetar begäran och matchar åtgärden mot en befintlig regel för blockering och rapport. 6 Åtkomstskydd stoppar AnnoyMe.exe från att göra ändringar i operativsystemet och loggar uppgifterna för försöket. Åtkomstskydd skapar och skickar även en varning till hanteringsservern. 66 McAfee Endpoint Security 10.5 Produkthandbok

67 Använda Hotdetektering Hantera Hotdetektering 3 Om regler för åtkomstskydd Använd de McAfee-definierade och användardefinierade reglerna för åtkomstskydd för att skydda åtkomstpunkter i systemet. McAfee-definierade regler tillämpas alltid före användardefinierade regler. Regeltyp McAfee-definierade regler Användardefinierade regler Beskrivning Dessa regler förhindrar ändringar i vanligt förekommande filer och inställningar. Du kan aktivera, inaktivera och ändra konfigurationen av dessa McAfee-definierade regler, men du kan inte ta bort dem. Dessa regler kompletterar skyddet som tillhandahålls av de McAfee-definierade reglerna. Om tabellen Körbara filer är tom innebär det att regeln gäller samtliga körbara filer. Om tabellen Användarnamn är tom innebär det att regeln gäller samtliga användare. Du kan lägga till, ta bort, aktivera, inaktivera och ändra konfigurationen av dessa regler. Undantag På regelnivå tillämpas den angivna regeln för exkluderingar och inkluderingar. På principnivå tillämpas undantag för alla regler. Undantag är valfria. Se även Uteslut processer från Åtkomstskydd på sidan 73 Konfigurera McAfee-definierade regler för åtkomstskydd McAfee-definierade regler förhindrar att användare ändrar vanligt förekommande filer och inställningar. Du kan: Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Ändra inställningarna för blockering och rapportering för dessa regler. Lägg till undantagna och inkluderade körbara filer i dessa regler. Du kan inte: Ta bort de här reglerna. Ändra filerna och inställningarna som skyddas av reglerna. Lägga till underregler eller användarnamn i dessa regler. McAfee Endpoint Security 10.5 Produkthandbok 67

68 3 Använda Hotdetektering Hantera Hotdetektering Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Åtkomstskydd. 5 Ändra regeln: a I avsnittet Regler väljer du Blockera, Rapportera eller båda för regeln. Blockera eller rapportera alla genom att välja Blockera eller Rapportera i den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. b c d Redigera en McAfee-definierad regel genom att dubbelklicka på den. Konfigurera inställningarna på sidanredigera McAfee-definierad regel. I avsnittet Körbara filer klickar du pålägg till. Konfigurera inställningarna och klicka sedan två gånger påspara för att spara regeln. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även McAfee-definierade regler för åtkomstskydd på sidan 68 Logga in som administratör på sidan 26 Uteslut processer från Åtkomstskydd på sidan 73 McAfee-definierade regler för åtkomstskydd Använd McAfee-definierade regler för åtkomstskydd för att skydda datorn från oönskade ändringar. McAfee-definierad regel Webbläsare som kör filer från mappen Hämtade programfiler Ändra registerinformation om filtillägg Beskrivning Förhindrar att programvara installeras via webbläsaren. Eftersom den här regeln kan blockera installationen av legitim programvara ska programmet antingen installeras före regelaktiveringen, eller så ska installationsprocessen undantas. Regeln är inställd på Rapportera som standard. Den här regeln förhindrar att reklamprogram och spionprogram installerar och kör körbara filer från den här mappen. Skyddar registernycklarna under HKEY_CLASSES_ROOT där filnamnstilläggen är registrerade. Den här regeln hindrar försök från skadlig programvara att ändra filtilläggsregistreringarna för att tillåta tysta åtgärder från skadlig programvara. Metodtips: Inaktivera den här regeln när du installerar giltiga program som ändrar registreringar av filnamnstillägg i registret. Den här regeln är ett mer begränsande alternativ till Kapa EXE-filer och andra körbara tillägg. 68 McAfee Endpoint Security 10.5 Produkthandbok

69 Använda Hotdetektering Hantera Hotdetektering 3 McAfee-definierad regel Ändra principer för användarrättigheter Beskrivning Skyddar registervärden som innehåller säkerhetsinformation för Windows. Den här regeln hindrar maskar från att ändra konton med administratörsrättigheter. Skapa nya körbara filer i mappen Programfiler Förhindrar att nya körbara filer skapas i mappen Programfiler. Den här regeln förhindrar att reklamprogram och spionprogram skapar EXE- och DLL-filer, samt installerar nya körbara filer i mappen Programfiler. Metodtips: Installera programmen innan du aktiverar den här regeln, eller placera de blockerade processerna i undantagslistan. Skapa nya körbara filer i Windows-mappen Förhindrar att filer skapas i samtliga processer, inte bara via nätverket. Den här regeln förhindrar att.exe- och.dll-filer skapas i Windows-mappen. Metodtips: Lägg till de processer som måste placera filer i Windows-mappen i undantagslistan. Inaktivera registereditorn och aktivitetshanteraren Skyddar Windows-registerposter och förhindrar inaktivering av registereditorn och aktivitetshanteraren. Vid ett utbrott måste du inaktivera den här regeln för att kunna ändra registret, eller öppna aktivitetshanteraren för att stoppa aktiva processer. Köra skript med Windows Script Host (CScript.exe eller Wscript.exe) från delade användarmappar Kapar.EXE-filer eller andra körbara tillägg Installerar Browser Helper Objects eller Shell-tillägg Hindrar Windows skriptvärd från att köra VBScript och JavaScript från en mapp med temp i mappnamnet. Den här regeln skyddar mot många trojaner och tvivelaktiga mekanismer för webbinstallation som används av reklam- och spionprogram. Den här regeln kan blockera installation eller körning av legitima skript och program från tredje part. Skyddar.EXE,.BAT och andra körbara registernycklar i HKEY_CLASSES_ROOT. Den här regeln hindrar skadlig programvara från att ändra registernycklar och köra viruset när en annan körbar fil körs. Den här regeln är ett mindre begränsande alternativ till Ändra registerinformation om filtillägg. Hindrar reklamprogram, spionprogram och trojaner som installeras som Browser Helper Objects från att installeras på värddatorn. Den här regeln förhindrar att reklamprogram och spionprogram installeras i systemen. Metodtips: Tillåt att legitima anpassade eller tredje partsprogram installerar dessa tillägg genom att lägga till dem i undantagslistan. Efter installationen kan du aktivera regeln på nytt eftersom den inte förhindrar körning av installerade Browser Helper Objects. McAfee Endpoint Security 10.5 Produkthandbok 69

70 3 Använda Hotdetektering Hantera Hotdetektering McAfee-definierad regel Installera nya CLSID-, APPID- och TYPELIB-objekt Beskrivning Förhindrar att nya COM-servrar installeras eller registreras. Den här regeln är ett skydd mot reklam- och spionprogram som installerar sig själva som ett COM-tilläggsprogram i Internet Explorer eller Microsoft Office-program. Metodtips: Tillåt legitima program som registrerar COM-tilläggsprogram, till exempel vanliga program som Adobe Flash, genom att lägga till dem i undantagslistan. Ändra kärnprocesser för Windows Ändra inställningar för Internet Explorer Ändra nätverksinställningarna Förhindrar att filer med de vanligaste förfalskade namnen skapas eller körs. Den här regeln förhindrar körning av virus eller trojaner med samma namn som en Windows-process. Den här regeln undantar autentiska Windows-filer. Blockerar processer från att ändra inställningar i Internet Explorer. Den här regeln förhindrar att startsidestrojaner, reklamprogram och spionprogram ändrar webbläsarinställningar, till exempel genom att ändra startsidan eller installera favoriter. Förhindrar att processer som inte finns i undantagslistan utför ändringar i systemets nätverksinställningar. Den här regeln skyddar mot Layered Service Providers som överför data, som exempelvis ditt surfningsbeteende, genom att spela in nätverkstrafik och sedan skicka den till tredjepartswebbplatser. Metodtips: Om processerna ska kunna ändra nätverksinställningar måste de läggas till i undantagslistan, eller som måste regeln inaktiveras under ändringen. Registrera program som ska köras automatiskt Blockerar reklamprogram, spionprogram, trojaner och virus från att registrera sig själva och läsas in varje gång som systemet startas om. Regeln förhindrar att de processer som inte är med i undantagslistan läser in processer som körs varje gång som systemet startas om. Metodtips: Lägg till legitima program i undantagslistan eller installera dem innan du aktiverar regeln. Fjärråtkomst till lokala filer eller mappar Skapa filer som körs automatiskt på distans Förhindrar fjärrdatorers läs- och skrivåtkomst till datorn. Den här regeln förhindrar spridning av en delningsspridd mask. I en normal miljö är den här regeln lämplig för arbetsstationer, men inte servrar, och då endast när datorn är utsatt för en direkt attack. Om datorn hanteras genom att filer skickas till den, förhindrar regeln installation av uppdateringar eller korrigeringar. Den här regeln påverkar inte hanteringsfunktionerna i McAfee epo. Hindrar andra datorer från att ansluta till och skapa eller ändra filer som körs automatiskt (autorun.inf). Filer som körs automatiskt används för att starta programfiler automatiskt, speciellt installationsfiler från cd-skivor. Den här regeln förhindrar start av spionprogram och reklamprogram som sprids via cd-skivor. Den här regeln markeras för att Blockera och Rapportera som standard. 70 McAfee Endpoint Security 10.5 Produkthandbok

71 Använda Hotdetektering Hantera Hotdetektering 3 McAfee-definierad regel Skapar eller ändrar filer och mappar på distans Beskrivning Blockerar skrivbehörighet till alla resurser. Den här regeln är användbar vid utbrott genom att förhindra skrivbehörigheten och begränsa att infektionen sprids. Regeln blockerar skadlig programvara som annars avsevärt skulle begränsa användningen av datorn eller nätverket. I en normal miljö är den här regeln lämplig för arbetsstationer, men inte servrar, och då endast när datorn är utsatt för en direkt attack. Om datorn hanteras genom att filer skickas till den, förhindrar regeln installation av uppdateringar eller korrigeringar. Den här regeln påverkar inte hanteringsfunktionerna i McAfee epo. Fjärrskapa eller fjärrändra PE- (Portable Executable), INI- och PIF-filtyper samt kärnsystemplatser Köra filer från delade användarmappar Köra filer från delade användarmappar med delade program Hindrar andra datorer från att ansluta till och ändra körbara filer, till exempel filer i Windows-mappen. Den här regeln påverkar bara filtyper som vanligtvis infekteras av virus. Den här regeln är ett skydd mot maskar och virus som sprids snabbt och rör sig genom ett nätverk genom öppna eller administrativa resurser. Blockerar körbara filer från att köras eller startas från en mapp med temp i mappnamnet. Den här regeln är ett skydd mot skadlig programvara som sparas och körs från användarens eller systemets temp-mapp. Sådan skadlig programvara kan innehålla körbara bilagor i e-post och hämtade program. Trots att den här regeln ger det säkraste skyddet, kan den blockera installationen av legitima program. Blockerar installation av programvara från webbläsaren eller e-postklienten. Den här regeln förhindrar att e-postbilagor och körbara filer körs på webbsidor. Metodtips: Om du vill installera ett program som använder Temp-mappen lägger du till processen i undantagslistan. Se även Konfigurera McAfee-definierade regler för åtkomstskydd på sidan 67 Konfigurera användardefinierade regler för åtkomstskydd Användardefinierade regler kompletterar skyddet som tillhandahålls av de McAfee-definierade reglerna. Du kan lägga till, ta bort, aktivera, inaktivera och ändra konfigurationen av dessa regler. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Metodtips: Information om hur du skapar regler för åtkomstskydd som skyddar mot ransomware finns i PD McAfee Endpoint Security 10.5 Produkthandbok 71

72 3 Använda Hotdetektering Hantera Hotdetektering Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Åtkomstskydd. 5 Skapa regeln. I avsnittet Regler klickar du på Lägg till. Konfigurera inställningarna på sidan Lägg till regel. a b c I avsnittet Körbara filer klickar du pålägg till. Konfigurera egenskaperna för den körbara filen och klicka sedan påspara. Om tabellen Körbara filer är tom innebär det att regeln gäller samtliga körbara filer. I avsnittet Användarnamn klickar du pålägg till. Konfigurera egenskaperna för användarnamnet. Om tabellen Användarnamn är tom innebär det att regeln gäller samtliga användare. I avsnittet Underregler klickar du på Lägg till och konfigurerar sedan underregelns egenskaper. Metodtips: För att undvika försämrad prestanda ska du inte markera åtgärden Läsa. I avsnittet Mål klickar du pålägg till. Konfigurera målinformationen och klicka sedan två gånger på Spara. 6 I avsnittet Regler väljer du Blockera, Rapportera eller båda för regeln. Blockera eller rapportera alla genom att välja Blockera eller Rapportera i den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Uteslut processer från Åtkomstskydd på sidan 73 Så här utvärderas målen i åtkomstskyddets underregler Varje mål läggs till med direktivet Inkludera eller Undanta. 72 McAfee Endpoint Security 10.5 Produkthandbok

73 Använda Hotdetektering Hantera Hotdetektering 3 Vid utvärdering av systemet mot en underregel utvärderas underregeln som sant om: Minst en Inkludera utvärderas som sann. och Alla Undantag utvärderas som falska. Undanta går före Inkludera. Här följer några exempel: Om en underregel både inkluderar och undantar en fil, utlöses inte underregeln för den filen. Om underregeln inkluderar alla filer men undantar filen C:\marketing\jjohns, aktiveras underregeln om filen inte är C:\marketing\jjohns. Om en underregel inkluderar filen C:\marketing\* men undantar C:\marketing\jjohns, utlöses underregeln för C:\marketing\vilkensomhelst, men inte för C:\marketing\jjohns. Uteslut processer från Åtkomstskydd Om ett betrott program är blockerat kan processen undantas med ett princip- eller regelbaserat undantag. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Åtkomstskydd. 5 Kontrollera att Åtkomstskydd är aktiverat. McAfee Endpoint Security 10.5 Produkthandbok 73

74 3 Använda Hotdetektering Hantera Hotdetektering 6 Gör något av följande: För att... Undanta processer från alla regler. Gör så här... 1 I avsnittet Undantag klickar du på Lägg till för att lägga till processer som ska undantas från alla regler. 2 Konfigurera egenskaperna för den körbara filen på sidan Lägg till körbar fil. 3 Klicka på Spara och sedan på Tillämpa för att spara inställningarna. Ange vilka processer som ska inkluderas eller uteslutas i en användardefinierad regel. 1 Redigera en befintlig användardefinierad regel eller lägg till en regel. 2 På sidan Lägg till regel eller Redigera regel, i avsnittet Körbara filer, klickar du på Lägg till för att lägga till en körbar fil som ska uteslutas eller inkluderas. 3 På sidan Lägg till körbar fil konfigurerar du egenskaperna för den körbara filen, inklusive om den ska inkluderas eller undantas. 4 Klicka på Spara två gånger och sedan på Tillämpa för att spara inställningarna. Blockerar utnyttjande av buffertspill Utnyttjandeskydd stoppar utnyttjande av buffertspill från att köra godtycklig kod. Den här funktionen övervakar användarläget API-anrop och känner igen när de anropas som ett resultat av buffertspill. När en avkänning inträffar registreras informationen i aktivitetsloggen, som visas i klientsystemet och skickas till hanteringsservern, om detta har konfigurerats. Hotdetektering använder innehållsfilen för utnyttjandeskydd för att skydda program, till exempel Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word och MSN Messenger. Host Intrusion Prevention 8.0 kan installeras i samma system som Endpoint Security version Om McAfee Host IPS är aktiverat så inaktiveras Utnyttjandeskydd, även om det är aktiverat i principinställningarna. Hur utnyttjande av buffertspill inträffar Angripare använder utnyttjande av buffertspill för att köra körbar kod, genom att låta data spilla över minnesbufferten med fast storlek som är reserverat för en indataprocess. Med den här koden kan angriparen ta över måldatorn eller skada dess data. En stor procentandel attacker från skadlig programvara är buffertspillattacker som försöker skriva över angränsande minne i stackramen. Det finns två typer av utnyttjande av buffertspill: Stackbaserade attacker använder stackminnesobjekt för att lagra användarindata (mest förekommande). Heapbaserade attacker översvämmar minnesutrymmet som reserverats för ett program (sällan förekommande). Stackminnesobjektet med fast storlek är tomt och väntar på användarindata. När programmet tar emot indata från användaren lagras datan högst upp i stacken och tilldelas en returminnesadress. När stacken bearbetas skickas användarens indata till returadressen som är angiven av programmet. 74 McAfee Endpoint Security 10.5 Produkthandbok

75 Använda Hotdetektering Hantera Hotdetektering 3 Följande process beskriver en stackbaserad buffertspillattack: 1 Dataspill i stacken. När programmet skrivs reserveras en viss mängd minnesutrymme för data. Data spiller över stacken om data som skrivs till stacken överskrider det reserverade utrymmet inom minnesstacken. Den här situationen är endast ett problem i kombination med skadlig indata. 2 Utnyttjande av dataspill. Programmet väntar på indata från användaren. Om angriparen anger ett körbart kommando som överskrider stackstorleken, sparas kommandot utanför det reserverade utrymmet. 3 Kör den skadliga programvaran. Kommandot körs inte automatiskt när det överskrider stackbuffertutrymmet. Först börjar programmet att krascha på grund av buffertspillet. Om angriparen angett en returminnesadress som hänvisar till det skadliga kommandot, försöker programmet återställas genom att använda returadressen. Om returadressen är giltig, körs det skadliga kommandot. 4 Utnyttjande av behörigheter. Den skadliga programvaran körs nu med samma behörigheter som programmet som har skadats. Eftersom program vanligtvis körs i kernelläge eller med behörigheter från ett tjänstkonto, kan angriparen nu få fullständig kontroll över operativsystemet. Signaturer och hur de fungerar Utnyttjandeskyddssignaturer är regelsamlingar som jämför beteende med kända attacker och utför en åtgärd när en matchning upptäcks. McAfee levererar signaturer i innehållsuppdateringar för Utnyttjandeskydd. Signaturer skyddar specifika program som definieras i listan Regler för programskydd. När en attack upptäcks kan Utnyttjandeskydd stoppa beteendet som initierades av attacken. När innehållsfilen i Utnyttjandeskydd uppdateras, uppdateras även listan med signaturer om det behövs. Du kan ändra åtgärdsinställningarna för dessa signaturer, men du kan inte lägga till, ta bort eller på annat sätt ändra dessa signaturer. Om du vill skydda specifika filer, resurser, registernycklar, registervärden, processer och tjänster skapar du anpassade regler för åtkomstskydd. Åtgärder En åtgärd är det som Utnyttjandeskydd gör när en signatur utlöses. Blockera Förhindrar åtgärden. Rapportera Tillåter åtgärden och rapporterar händelsen. Om inget alternativ väljs inaktiveras signaturen Utnyttjandeskydd tillåter åtgärden och rapporterar inte händelsen. Innehållsfilen i Utnyttjandeskydd anger automatiskt åtgärden för signaturer beroende på allvarlighetsgrad. Du kan ändra åtgärd för en specifik signatur i avsnittet Signaturer i inställningarna för Utnyttjandeskydd. Eventuella ändringar som du gör i dessa signaturåtgärder finns kvar även om innehållsuppdateringar görs. Beteendebaserade regler Beteendebaserade regler blockerar attacker från dag noll och tillämpar rätt beteende i operativsystem och program. Heuristiska beteendebaserade regler definierar en profil med tillåten aktivitet. Aktiviteter som inte matchar dessa regler anses vara misstänkta och utlöser ett svar. En beteendebaserad regel McAfee Endpoint Security 10.5 Produkthandbok 75

76 3 Använda Hotdetektering Hantera Hotdetektering kan t.ex. ange att bara en webbserverprocess får åtkomst till HTML-filer. Om någon annan process försöker få åtkomst till HTML-filer, vidtar Utnyttjandeskydd angiven åtgärd. Denna typ av skydd, som kallas programskydd och inbäddning, förhindrar att program och deras data skadas samt att program används för att attackera andra program. Beteendebaserade regler blockerar också utnyttjandet av buffertspill. Detta förhindrar att kod körs från en buffertspillattack, vilket är en av de vanligaste attackmetoderna. Allvarlighetsgrader Varje signatur har en standardallvarlighetsgrad, som beskriver den potentiella faran vid en attack. Hög Signaturer som skyddar mot tydligt identifierbara säkerhetshot eller skadliga åtgärder. De flesta av dessa signaturer är specifika för välkända utnyttjanden och är för det mesta inte beteendebaserade. För att förhindra att system exponeras för utnyttjandeattacker, anger du signaturer med en allvarlighetsgrad på Hög till Blockera på varje värd. Medel Signaturer som är beteendebaserade och förhindrar att program körs utanför miljön (relevant för klienter som skyddar webbservrar och Microsoft SQL Server 2000). Metodtips: På kritiska servrar anger du signaturer med en allvarlighetsgrad på Medel till Blockera efter utförd finjustering. Låg Signaturer som är beteendebaserade och skyddar program. Skyddet innebär att program och systemresurser blir låsta så att de inte kan ändras. Om signaturer med en allvarlighetsgrad på Låg anges till Blockera ökar systemets säkerhet, men extra justering krävs. Information Visar att en ändring gjorts i systemkonfigurationen som kan utgöra en ofarlig säkerhetsrisk, eller ett försök att få åtkomst till känslig systeminformation. Händelser på den här nivån sker under normal systemaktivitet och är vanligtvis inte något bevis på en attack. Inaktiverad Visar en lista med signaturer som är inaktiverade i innehållsfilen för Utnyttjandeskydd. Det går inte att aktivera signaturer med allvarlighetsgraden Inaktiverad. Regler för programskydd och hur de fungerar Regler för programskydd definierar de körbara filer som övervakas för signaturer i Utnyttjandeskydd. Om en körbar fil saknas i listan, övervakas den inte. Signaturer för Utnyttjandeskydd består av två klasser: Signaturer för buffertspill ger minnesskydd genom att övervaka minnesutrymmet som processerna använder. API-signaturer övervakar API-anrop mellan processer som körs i användarläge och kernel. Innehållet i Utnyttjandeskydd från McAfee inkluderar en lista med program som är skyddade. Hotdetektering visar dessa program i avsnittet Regler för programskydd i inställningarna för Utnyttjandeskydd. För att skyddet ska vara aktuellt kommer uppdateringar av innehållet i Utnyttjandeskydd ersätta McAfee-definierade regler för programskydd i inställningarna för Utnyttjandeskydd med de senaste reglerna för programskydd. Du kan aktivera, inaktivera, ta bort och ändra inkluderingsstatus för McAfee-definierade regler för programskydd. Du kan dessutom skapa och duplicera dina egna regler för programskydd. Eventuella ändringar som du gör i dessa regler finns kvar även om innehållsuppdateringar görs. 76 McAfee Endpoint Security 10.5 Produkthandbok

77 Använda Hotdetektering Hantera Hotdetektering 3 Om listan innehåller regler för programskydd i konflikt, har regler med Inkluderingsstatus Uteslut företräde över Inkludera. Endpoint Security-klient visar den fullständiga listan med skyddade program, inte bara de program som för närvarande körs i klientsystemet. Detta beteende skiljer sig från McAfee Host IPS. För hanterade system skickas inte regler för programskydd som skapats i Endpoint Security-klient till McAfee epo och kan komma att skrivas över när administratören distribuerar en uppdaterad princip. Konfigurera inställningar för Utnyttjandeskydd För att förhindra att program kör godtycklig kod på klientsystemet konfigurerar du undantag i Utnyttjandeskydd, McAfee-definierade signaturer och regler för programskydd. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Du kan ange åtgärden för McAfee-definierade signaturer. Du kan aktivera, inaktivera, ta bort och ändra inkluderingsstatus för McAfee-definierade regler för programskydd. Du kan också skapa och duplicera dina egna regler för programskydd. Eventuella ändringar som du gör i dessa regler finns kvar även om innehållsuppdateringar görs. En lista med processer som skyddas av Utnyttjandeskydd finns i KB Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Utnyttjandeskydd. 5 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 Undanta processer från Utnyttjandeskydd Om ett betrott program blockeras kan du skapa ett undantag från Utnyttjandeskydd. Du kan undanta processen med processnamnet, anroparmodulen, API:n eller signatur-id:t. Du kan också skapa regler för programskydd som inkluderar eller undantar processer från skyddet. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. McAfee Endpoint Security 10.5 Produkthandbok 77

78 3 Använda Hotdetektering Hantera Hotdetektering 3 Klicka på Visa avancerat. 4 Klicka på Utnyttjandeskydd. 5 Kontrollera att Utnyttjandeskydd är aktiverat. 6 Gör något av följande: För att... Undanta processer från alla regler. Gör så här... 1 I avsnittet Undantag klickar du på Lägg till. 2 Konfigurera egenskaperna för undantaget på sidan Lägg till undantag. 3 Klicka på Spara och sedan på Tillämpa för att spara inställningarna. Ange vilka processer som ska inkluderas eller exkluderas i en användardefinierad regel för programskydd. 1 Redigera en befintlig användardefinierad regel eller lägg till en regel för programskydd. 2 På sidan Lägg till regel eller Redigera regel, i avsnittet Körbara filer, klickar du på Lägg till för att lägga till körbara filer som ska undantas eller inkluderas. 3 Konfigurera egenskaperna för den körbara filen på sidan Lägg till körbar fil. 4 Klicka på Spara två gånger och sedan på Tillämpa för att spara inställningarna. Utnyttjandeskyddsundantag och hur de fungerar Ett falskt positivt resultat inträffar när beteendet som är en normal del av användarens arbete tolkas som en attack. För att förhindra falska positiva resultat kan du skapa ett undantag för det beteendet. Med undantag kan du minska falska positiva varningar, minimera onödigt dataflöde och vara säker på att varningarna avser riktiga säkerhetshot. Under processen med att testa klienter känner en klient t.ex. igen signaturen Java Skapa misstänkta filer i Temp-mappen. Signaturen visar att Java-programmet försöker skapa en fil i Windows Temp-mapp. En händelse som utlöses av denna signatur är orsak till ett larm, eftersom ett Java-program kan användas för att hämta skadlig programvara till Windows Temp-mapp. I det här fallet är det troligt att en trojan har planterats. Men om processen normalt sett skapar filer i Temp-mappen, t.ex. genom att spara en fil med Java-programmet, kan du skapa ett undantag för att tillåta åtgärden. Om en överträdelse av Utnyttjandeskydd sker innehåller händelsen en associerad process och en möjlig anroparmodul, API eller signatur. Om du misstänker att överträdelsen är en falsk positiv identifiering kan du lägga till ett undantag som tillåter någon av identifierarna. För hanterade system skickas inte undantag för Utnyttjandeskydd som skapats i Endpoint Security-klient till McAfee epo och kan komma att skrivas över när administratören distribuerar en uppdaterad princip. Konfigurera globala undantag i principen Utnyttjandeskydd i McAfee epo. Tänk på följande när du anger undantag: Varje undantag är oberoende. Flera undantag kopplas samman av ett logiskt OR. På så sätt undviks överträdelser vid matchande undantag. Du måste ange minst en process, anroparmodul, API eller signatur. Undantag i anroparmodulen eller API:n gäller inte för DEP. För processundantag måste du ange minst en identifierare: Filnamn eller sökväg, MD5-hash eller Undertecknare. 78 McAfee Endpoint Security 10.5 Produkthandbok

79 Använda Hotdetektering Hantera Hotdetektering 3 Om du anger fler än en identifierare, tillämpas alla identifierare. Om du anger fler än en identifierare och de inte matchar varandra (om till exempel filnamnet och MD5-hashen inte gäller samma fil), är undantaget ogiltigt. Undantag är skiftlägesokänsliga. Jokertecken är tillåtna för alla utom MD5-hash. Om du inkluderar signatur-id:n i ett undantag, gäller undantaget bara processen i angivna signaturer. Om inga signatur-id:n har angivits, gäller undantaget processen i alla signaturer. Känner av eventuellt oönskade program Ange filer och program som ska identifieras i din miljö för att skydda den hanterade datorn från eventuellt oönskade program. Aktivera därefter avkänning. Eventuellt oönskade program är programvara som är irriterande eller som kan ändra säkerhetstillståndet eller sekretessen i systemet. Eventuellt oönskade program kan vara inbäddade i program som användare hämtar med avsikt. Oönskade program kan innehålla spionprogram, reklamprogram och uppringningsprogram. 1 Ange oönskade program som genomsökning vid åtkomst och genomsökning på begäran ska känna av i Alternativ inställningar. 2 Aktivera avkänning av oönskade program och ange åtgärder som ska vidtas vid avkänning i dessa inställningar: Genomsökning vid åtkomst inställningar Genomsökning på begäran inställningar Se även Ange eventuella oönskade program som ska kännas av på sidan 79 Aktivera och konfigurera avkänning och svar för eventuellt oönskade program på sidan 80 Konfigurera Genomsökning vid åtkomst inställningar på sidan 82 Konfigurera Genomsökning på begäran inställningar på sidan 89 Ange eventuella oönskade program som ska kännas av Ange ytterligare program som genomsökning vid åtkomst och genomsökning på begäran ska betrakta oönskade program i Alternativ inställningar. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Genomsökningarna identifierar de program som du anger, samt program enligt AMCore-innehållsfilerna. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. McAfee Endpoint Security 10.5 Produkthandbok 79

80 3 Använda Hotdetektering Hantera Hotdetektering 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 5 Från avkänning av eventuellt oönskade program: Klicka på Lägg till för att ange namnet och en beskrivning, om så önskas, på en fil eller program som ska betraktas som ett eventuellt oönskat program. Beskrivningen visas som ett avkänningsnamn när en avkänning görs. Dubbelklicka på namnet eller beskrivningen på ett befintligt eventuellt oönskat program för att göra en ändring. Välj ett befintligt eventuellt oönskat program och klicka sedan på Ta bort för att ta bort det från listan. Se även Logga in som administratör på sidan 26 Aktivera och konfigurera avkänning och svar för eventuellt oönskade program Aktivera genomsökning vid åtkomst och på begäran att identifiera eventuellt oönskade program samt ange svar när ett sådant program identifieras. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Konfigurera Genomsökning vid åtkomst inställningar. a Öppna Endpoint Security-klient. b Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. c d e f Klicka på Visa avancerat. Klicka på Genomsökning vid åtkomst. Under Processinställningar, för varje typ av Genomsökning vid åtkomst, välj Identifiera oönskade program. Under Åtgärder, konfigurera svar till oönskade program. 2 Konfigurera Genomsökning på begäran inställningar. a Öppna Endpoint Security-klient. b Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. c d Klicka på Visa avancerat. Klicka på Genomsökning på begäran. 80 McAfee Endpoint Security 10.5 Produkthandbok

81 Använda Hotdetektering Hantera Hotdetektering 3 e För varje typ av genomsökning (Fullständig genomsökning, Snabbgenomsökning och Genomsökning via högerklick): Välj Identifiera oönskade program. Under Åtgärder, konfigurera svar till oönskade program. Se även Konfigurera Genomsökning vid åtkomst inställningar på sidan 82 Konfigurera Genomsökning på begäran inställningar på sidan 89 Logga in som administratör på sidan 26 Konfigurera gemensamma inställningar för genomsökning Ange inställningar som gäller både genomsökning vid åtkomst och genomsökning på begäran genom att konfigurera Hotdetektering-alternativens. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Dessa inställningar gäller alla genomsökningar: Plats för karantän och antal dagar som karantänobjekten ska behållas innan de tas bort automatiskt Avkänningsnamn som ska undantas genomsökningar Eventuella oönskade program som ska kännas av, till exempel spionprogram och reklamprogram McAfee GTI-baserad telemetrifeedback Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 5 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 Konfigurera Genomsökning vid åtkomst inställningar på sidan 82 Konfigurera Genomsökning på begäran inställningar på sidan 89 McAfee Endpoint Security 10.5 Produkthandbok 81

82 3 Använda Hotdetektering Hantera Hotdetektering Så här fungerar McAfee GTI Om du aktiverar McAfee GTI för genomsökning vid åtkomst eller på begäran, använder genomsökningen heuristik för att leta efter misstänkta filer. Genomsökningen skickar fingeravtrycksprov, eller hash-värden, till en central databasserver som drivs av McAfee Labs för att fastställa om det rör sig om skadlig programvara. När hash-värden skickas kan avkänningen bli tillgänglig snabbare, före nästa uppdatering av innehållsfiler när McAfee Labs publicerar uppdateringen. Du kan konfigurera känslighetsnivån som McAfee GTI använder för att fastställa om ett identifierat prov innehåller skadlig programvara. Ju högre känslighetsnivån är, desto högre är antalet avkänningar av skadlig programvara. Fler avkänningar kan däremot resultera i fler falska positiva resultat. Känslighetsnivån för McAfee GTI är inställd på Medel som standard. Konfigurera känslighetsnivån för varje genomsökning i inställningarna för Genomsökning vid åtkomst och Genomsökning på begäran. Du kan konfigurera Endpoint Security så att en proxyserver används för att hämta ryktesinformation från McAfee GTI i inställningarna för Delade. Vanliga frågor och svar om McAfee GTI finns i KB Konfigurera Genomsökning vid åtkomst inställningar Med dessa inställningar kan du aktivera och konfigurera genomsökningar vid åtkomst. Du kan till exempel välja vilka meddelanden som ska skickas när ett hot upptäcks samt basera olika inställningar utifrån processtyp. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Information om flera konfigurationsalternativ för genomsökning finns i Hjälp för Hotdetektering Alternativ. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Genomsökning vid åtkomst. 5 Markera Aktivera genomsökning vid åtkomst för att aktivera genomsökningar vid åtkomst och ändra inställningar. 6 Ange om standardinställningar ska användas för samtliga processer eller om andra inställningar ska användas för hög- och lågriskprocesser. Standardinställningar Konfigurera inställningar för genomsökningar i fliken Standard. Olika inställningar utifrån processtyp Markera flikarna Standard, Högrisk eller Lågrisk och konfigurerar inställningar för genomsökningar per processtyp. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. 82 McAfee Endpoint Security 10.5 Produkthandbok

83 Använda Hotdetektering Hantera Hotdetektering 3 Se även Logga in som administratör på sidan 26 Konfigurera gemensamma inställningar för genomsökning på sidan 81 Välja när filer ska genomsökas med genomsökning vid åtkomst Du kan ange när genomsökning vid åtkomst ska undersöka filerna: vid skrivning till disk, vid läsning från disk, eller låta McAfee avgöra när genomsökningen ska utföras. Vid skrivning till disk ( skrivgenomsökning ) Alternativet Skrivgenomsökning förhindrar inte åtkomst till filer, vare sig före eller efter genomsökningen, så systemet kan bli sårbart för attacker. När du har valt Skrivgenomsökning undersöks filen, men bara efter att den skrivits till disk och stängts. En process kan utföra en åtgärd för att läsa, öppna eller köra filen innan genomsökningen utför en skrivgenomsökning, vilket potentiellt kan resultera i en infektion. Program kan också råka ut för SHARING_VIOLATION-fel om de får åtkomst till filen på nytt efter att ha skrivit till den, samtidigt som skrivgenomsökningen pågår. Genomsökningen vid åtkomst undersöker filer när de är: Skapade eller ändrade på den lokala hårddisken. Kopierade eller flyttade från en mappad enhet till den lokala hårddisken (om alternativet På nätverksenheter också är aktiverat). Kopierade eller flyttade från den lokala hårddisken till en mappad enhet (om alternativet På nätverksenheter också är aktiverat). Vid läsning från disk ( Läsgenomsökning ) Metodtips: Aktivera alternativet Läsgenomsökning för att få skydd mot utbrott. När du väljer Läsgenomsökning förhindrar genomsökningen åtkomst till filerna, såvida de inte bedöms vara rensade. Genomsökningen vid åtkomst undersöker filer när de är: Lästa, öppnade eller körda från den lokala hårddisken. Lästa, öppnade eller körda från mappade nätverksenheter (om alternativet På nätverksenheter också är aktiverat). Låt McAfee bedöma Metodtips: Aktivera detta alternativ för bästa skydd och prestanda. När du väljer det här alternativet använder genomsökning vid åtkomst inbyggd logik för att optimera genomsökningen. Inbyggd logik förstärker säkerheten och förbättrar prestandan genom att undvika genomsökning vilket minimerar antalet onödiga genomsökningar. McAfee analyserar och bedömer till exempel att vissa program är tillförlitliga. Om McAfee intygar att dessa program inte har manipulerats, är det möjligt att en begränsad eller optimerad genomsökning sker. McAfee Endpoint Security 10.5 Produkthandbok 83

84 3 Använda Hotdetektering Hantera Hotdetektering Hur genomsökning vid åtkomst fungerar Genomsökning vid åtkomst är integrerad med systemet på de lägsta nivåerna (filsystemets filterdrivrutin) och utför genomsökning på filer först när de når systemet. När avkänningar inträffar visar genomsökningen vid åtkomst aviseringar i tjänstgränssnittet. Om du konfigurerar McAfee GTI, använder genomsökningen heuristik för att leta efter misstänkta filer. Windows 8 och 10 Om ett hot upptäcks i sökvägen under genomsökningen av en installerad Windows Store-app, markeras appen som manipulerad. Windows lägger till en flagga som visar på manipulation i appens panel. Om du försöker köra appen visas ett felmeddelande från Windows och du omdirigeras till Windows Store för att installera om appen. Genomsökningen använder följande kriterium för att fastställa om ett objekt ska genomsökas: Filtillägget matchar konfigurationen. Filinformationen finns inte i det globala genomsökningsminnet. Filen har inte blivit undantagen eller genomsökt tidigare. Läsgenomsökning När Läsgenomsökning är valt och ett försök görs att läsa, öppna eller köra en fil: 1 Genomsökningen blockerar begäran. 2 Genomsökningen fastställer om en genomsökning måste utföras på objektet. Om filen inte behöver genomsökas upphäver genomsökningen blockeringen av filen, cachelagrar filinformationen och tillåter aktiviteten. Om filen behöver genomsökas, genomsöker genomsökningsmotorn filen och jämför den med signaturer i den aktuella inlästa AMCore-innehållsfilen. Om filen är ren upphäver genomsökningen blockeringen och cachelagrar resultatet. Om filen innehåller ett hot nekas filen åtkomst och genomsökningen vidtar den åtgärd som konfigurerats. Om åtgärden exempelvis är att rensa filen utför genomsökningen följande: 1 Använder information från den aktuella AMCore-innehållsfilen för att rensa filen. 2 Registrerar resultaten i aktivitetsloggen. 3 Meddelar användaren att den identifierade ett hot i filen och vilken åtgärd som ska vidtas (rensa eller ta bort filen). Skrivgenomsökning Genomsökningen undersöker filen, men inte förrän den har skrivits till disk och stängts. 84 McAfee Endpoint Security 10.5 Produkthandbok

85 Använda Hotdetektering Hantera Hotdetektering 3 När Skrivgenomsökning är valt och en fil har skrivits till disk: 1 Genomsökningen fastställer om en genomsökning måste utföras på objektet. a Om filen inte behöver genomsökas, cachelagrar genomsökningen filinformationen och tillåter aktiviteten. b Om filen behöver genomsökas, genomsöker genomsökningsmotorn filen och jämför den med signaturer i den aktuella inlästa AMCore-innehållsfilen. Om filen är ren cachelagrar genomsökningen resultatet. Om filen innehåller ett hot vidtar genomsökningen den åtgärd som konfigurerats. Genomsökningen nekar inte åtkomst till filen. När töms det globala genomsökningsminnet? Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. McAfee Endpoint Security 10.5 Produkthandbok 85

86 3 Använda Hotdetektering Hantera Hotdetektering Hotdetektering tömmer det globala genomsökningsminnet och utför genomsökning av alla filer igen när: Konfigureringen för Genomsökning vid åtkomst ändras. En Extra.DAT-fil läggs till. Systemet startas om i säkert läge. Om processen är signerad av ett betrott certifikat, cachelagras signeringscertifikatet och finns kvar i cachen efter omstarten. Det är mindre troligt att genomsökningen genomsöker filer med åtkomst från processer som är signerade av ett cachelagrat betrott certifikat, vilket resulterar i att genomsökningen undviks och prestandan förbättras. Metodtips: Minska användarnas påverkan under genomsökningar vid åtkomst Om du vill minimera den påverkan genomsökningar vid åtkomst kan ha på ett system, väljer du alternativ för att undvika att påverka systemprestandan och endast genomsöka när det behövs. Välj prestandaalternativ Vissa genomsökningsalternativ kan påverka systemets prestanda negativt. Av detta skäl bör du bara välja dessa alternativ om du behöver genomsöka specifika objekt. Markera eller avmarkera dessa alternativ i inställningarna för Genomsökning vid åtkomst. Genomsökningsprocesser vid start av tjänst och innehållsuppdatering Gör en ny genomsökning av alla processer som för närvarande finns i minnet varje gång: Du återaktiverar genomsökningar vid åtkomst. Innehållsfiler uppdateras. Systemet startas. Processen McShield.exe startas. Eftersom vissa program eller körbara filer startar automatiskt när du slår på datorn, kan du avmarkera alternativet för att förkorta starttiden. Genomsök betrodda installationsprogram Genomsöker MSI-filer (installerade av msiexec.exe och signerade av McAfee eller Microsoft) eller Windows Trusted Installer-tjänstfiler. Avmarkera detta alternativ för att förbättra prestandan hos stora Microsoft-installationsprogram. Genomsök bara det du behöver Genomsökning av vissa filer kan påverka systemets prestanda negativt. Av detta skäl bör du bara välja dessa alternativ om du behöver genomsöka specifika filtyper. Markera eller avmarkera dessa alternativ i avsnittet Vad som ska genomsökas i inställningarna för Genomsökning vid åtkomst. På nätverksenheter Genomsöker resurser på mappade nätverksenheter. Avmarkera detta alternativ för att förbättra prestandan. Har öppnats för säkerhetskopiering Genomsöker filer vid åtkomst från säkerhetskopieringsprogram. Den här inställningen behöver i de flesta miljöer inte väljas. Komprimerade arkivfiler Undersöker innehållet i arkivfiler (komprimerade), inklusive.jar-filer. Även om ett arkiv innehåller infekterade filer, kan filerna inte infektera systemet förrän arkivet extraheras. När arkivet är extraherat utför Genomsökning vid åtkomst en undersökning av filerna och eventuell skadlig programvara identifieras. 86 McAfee Endpoint Security 10.5 Produkthandbok

87 Använda Hotdetektering Hantera Hotdetektering 3 Om ScriptScan ScriptScan är ett Browser Helper Object som undersöker JavaScript- och VBScript-kod efter skadliga skript innan de körs. Om skriptet är rensat skickas det till JavaScript eller VBScript för hantering. Om ScriptScan upptäcker ett skadligt skript, blockerar det skriptet från att köras. ScriptScan undersöker enbart skript för Internet Explorer. Det undersöker inte skript som finns i flera system eller skript som körs med wscript.exe eller cscript.exe. En uppmaning att aktivera ett eller flera McAfee-tillägg visas första gången du öppnar Internet Explorer efter att Hotdetektering har installerats. Om du vill att ScriptScan ska genomsöka skripten: Inställningen Aktivera ScriptScan måste vara markerad. ScriptScan är inaktiverat som standard. Tillägget måste vara aktiverat i webbläsaren. Om ScriptScan är inaktiverat när Internet Explorer startas och sedan aktiveras, kan det inte identifiera skadliga skript i denna instans av Internet Explorer. Internet Explorer måste startas om när ScriptScan har aktiverats, så att skadliga skript kan identifieras. Om skriptet är rensat skickar skriptgenomsökningen skriptet till den interna Windows Script Host. Om skriptet innehåller ett potentiellt hot, förhindrar skriptgenomsökningen att skriptet körs. Metodtips: ScriptScan-undantag Prestandan på skriptintensiva webbplatser och i webbaserade program kan försämras när ScriptScan är aktiverat. Vi rekommenderar att du i stället för att inaktivera ScriptScan anger webbadresser för de betrodda webbplatser som kan undantas, till exempel intranätssidor eller webbprogram som du vet är säkra. Du kan ange understrängar eller delar av URL:er som ScriptScan-undantag. Om en undantagssträng matchar någon del av URL:en, undantas URL:en. McAfee Endpoint Security 10.5 Produkthandbok 87

88 3 Använda Hotdetektering Hantera Hotdetektering När du skapar URL-undantag: Jokertecken stöds inte. Mer fullständiga URL:er ger förbättrad prestanda. Inkludera inte några portnummer. Använd endast fullständiga domännamn (FQDN) och NetBIOS-namn. Så här fastställer du sökinställningar för processer Följ den här rutinen för att fastställa om det finns behov att konfigurera olika inställningar utifrån typ av process. 88 McAfee Endpoint Security 10.5 Produkthandbok

89 Använda Hotdetektering Hantera Hotdetektering 3 Konfigurera Genomsökning på begäran inställningar Dessa inställningar konfigurerar beteendet av tre fördefinierade genomsökningar på begäran: Fullständig genomsökning, Snabbgenomsökning och Genomsökning via högerklick. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Information om flera konfigurationsalternativ för genomsökning finns i Hjälp för Hotdetektering Alternativ. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Hotdetektering på huvudsidan Status. Eller i menyn Åtgärd väljer duinställningar. Klicka sedan på Hotdetektering på sidan Inställningar. 3 Klicka på Visa avancerade. 4 Klicka på Genomsökning på begäran. 5 Klicka på en flik för att konfigurera inställningar för den angivna genomsökningen. Fullständig genomsökning Snabbgenomsökning Snabbgenomsökning 6 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 Konfigurera gemensamma inställningar för genomsökning på sidan 81 Konfigurera, schemalägga och köra genomsökningar på sidan 93 Hur genomsökning på begäran fungerar Genomsökning på begäran söker igenom filer, mappar, minnen och registret efter skadlig programvara som kan ha infekterat datorn. Du avgör när och hur ofta genomsökningar på begäran utförs. Du kan utföra manuell genomsökning av system, antingen schemalagd eller vid systemstart. 1 Genomsökning på begäran använder följande kriterier för att avgöra om en genomsökning ska utföras på ett objekt: Filnamnstillägget matchar konfigurationen. Filen har inte cachelagrats, blivit undantagen eller genomsökts tidigare (om genomsökningen använder genomsökningsminne). Om du konfigurerar McAfee GTI, använder genomsökningen heuristisk genomsökning för att kontrollera beträffande misstänkta filer. McAfee Endpoint Security 10.5 Produkthandbok 89

90 3 Använda Hotdetektering Hantera Hotdetektering 2 Om filen uppfyller kriterier för genomsökning, jämför genomsökningen informationen i objektet med kända signaturer för skadlig kod i den aktuella AMCore-innehållsfilen. Om filen är ren cachelagras resultatet och genomsökningen kontrollerar nästa objekt. Om filen innehåller ett hot vidtar genomsökningen den åtgärd som konfigurerats. Exempel, om åtgärden är att rensa filen utför genomsökningen följande: 1 Använder information från den aktuella AMCore-innehållsfilen för att rensa filen. 2 Registrerar resultatet i aktivitetsloggen. 3 Meddelar användaren att den identifierade ett hot i filen, namnet på objektet och vilken åtgärd som vidtagits. Windows 8 och 10 Om ett hot upptäcks i sökvägen under genomsökningen av en installerad Windows Store-app, markeras appen som manipulerad. Windows lägger till en flagga som visar på manipulation i appens panel. Om du försöker köra appen visas ett felmeddelande från Windows och du omdirigeras till Windows Store för att installera om appen. 3 Om objektet inte uppfyller kriterierna för genomsökning kontrolleras inte objektet. Istället fortsätter genomsökningen tills genomsökning av alla data har slutförts. Avkänningslistan för genomsökning på begäran rensas när nästa genomsökning på begäran startar. Hotdetektering tömmer det globala genomsökningsminnet och utför genomsökning av alla filer igen när en Extra.DAT laddas. 90 McAfee Endpoint Security 10.5 Produkthandbok

91 Använda Hotdetektering Hantera Hotdetektering 3 Metodtips: Minska påverkan på användarna vid genomsökning på begäran Om du vill minimera den påverkan genomsökningar på begäran kan ha på ett system, väljer du alternativ för att undvika att påverka systemprestandan och endast genomsöka när det behövs. Utför endast genomsökningar när systemet är i viloläge Det enklaste sättet att se till att genomsökningen inte påverkar användarna är att endast köra genomsökning på begäran när datorn är i viloläge. När det här alternativet är aktiverat pausar Hotdetektering genomsökningen när den känner av diskeller användaraktivitet, t.ex. om tangentbordet eller musen används. Hotdetektering återupptar genomsökningen när användaren inte har använt systemet på tre minuter. Du kan antingen: Låta användarna återuppta genomsökningar som har pausats på grund av användaraktivitet. Låta genomsökningen enbart fortsätta när systemet är i viloläge. Inaktivera endast detta alternativ i serversystem och system som användare kommer åt med hjälp av Anslutning till fjärrskrivbord. Hotdetektering är beroende av McTray för att fastställa om systemet är i viloläge. McTray startar inte på system som endast kan kommas åt med hjälp av fjärrskrivbordsanslutning och genomsökning på begäran körs aldrig. Användarna kan undvika det här problemet genom att starta McTray manuellt (från C:\Program Files\McAfee\Agent\mctray.exe som standard) när de loggar in med hjälp av fjärrskrivbordsanslutning. Välj Utför endast en genomsökning när systemet är i viloläge i avsnittet Prestanda på fliken GenomsökningsaktivitetInställningar. Pausar genomsökningar automatiskt Det går att förbättra prestandan genom att pausa genomsökningar på begäran när systemet körs med batteridrift. Det går också att pausa genomsökningen när ett program, till exempel en webbläsare, mediespelare eller mediepresentation, körs i helskärmsläge. Genomsökningen återupptas omedelbart när systemet ansluts till nätström eller inte längre är i helskärmsläge. Gör ingen genomsökning när datorn går på batteridrift Gör ingen genomsökning när datorn är i presentationsläge (tillgänglig när Genomsök när som helst är aktiverat) Välj dessa alternativ i avsnittet Prestanda på fliken Genomsökningsaktivitet Inställningar. Låter användarna senarelägga genomsökningar Om du väljer Genomsök när som helst kan du låta användarna senarelägga en schemalagd genomsökning i entimmesintervaller, upp till 24 timmar, eller för alltid. Varje senareläggning som en användare gör kan vara en timme. Om t.ex. alternativet Maximalt antal timmar användare kan senarelägga är inställt på 2, kan användarna senarelägga genomsökningen två gånger (två timmar). När maximalt antal timmar har gått fortsätter genomsökningen. Om du tillåter obegränsat antal senareläggningar genom att ställa in alternativet på 0 kan användaren fortsätta att senarelägga genomsökningen för alltid. Välj alternativet Användaren kan senarelägga genomsökningar i avsnittet Prestanda på fliken Genomsökningsaktivitet Inställningar. Begränsa genomsökningsaktiviteten genom att använda inkrementella genomsökningar Använd inkrementella eller återställningsbara genomsökningar när du vill begränsa när genomsökning på begäran inträffar, men fortfarande kunna utföra genomsökningar på hela systemet i flera sessioner. Använd inkrementella genomsökningar genom att lägga till en tidsbegränsning i den schemalagda McAfee Endpoint Security 10.5 Produkthandbok 91

92 3 Använda Hotdetektering Hantera Hotdetektering genomsökningen. Genomsökningen stoppas när tidsbegränsningen uppnås. Nästa gång den här aktiviteten startar, återupptas genomsökningen från den punkt i filen och i mappstrukturen där den tidigare genomsökningen stoppades. Välj Stoppa aktiviteten om den körs längre än i avsnittet Alternativ på fliken Genomsökningsaktivitet Schema. Konfigurera systemanvändning Systemanvändning anger mängden processortid som genomsökningen tar emot under genomsökningen. För system med slutanvändaraktivitet anger du systemanvändningen som Låg. Välj Systemanvändning i avsnittet Prestanda på fliken Genomsökningsaktivitet Inställningar. Genomsök bara det du behöver Genomsökning av vissa filer kan påverka systemets prestanda negativt. Av detta skäl bör du bara välja dessa alternativ om du behöver genomsöka specifika filtyper. Markera eller avmarkera dessa alternativ i avsnittet Vad som ska genomsökas på fliken Genomsökningsaktivitet Inställningar. Filer som har migrerats till lagringsplats I vissa lagringslösningar för offlinedata ersätts filerna med en stub-fil. Om en stub-fil upptäcks vid genomsökningen, vilket betyder att filen har migrerats, återställs filen till det lokala systemet innan genomsökningen startar. Återställningsprocessen kan påverka systemprestandan negativt. Avmarkera detta alternativ såvida du inte har ett specifikt behov att genomsöka filer i lagringen. Komprimerade arkivfiler Även om ett arkiv innehåller infekterade filer, kan filerna inte infektera systemet förrän arkivet extraheras. När arkivet är extraherat utför Genomsökning vid åtkomst en undersökning av filerna och eventuell skadlig programvara identifieras. Metodtips: Eftersom genomsökning av komprimerade arkivfiler negativt kan påverka systemprestandan, avmarkerar du det här alternativet för att förbättra den. Se även Konfigurera Genomsökning på begäran inställningar på sidan 89 Konfigurera, schemalägga och köra genomsökningar på sidan 93 Hur systemanvändning fungerar Genomsökning på begäran använder inställningen Windows Ange prioritet för genomsökning och prioritering av trådar. Systemanvändningens inställning (begränsning) låter operativsystemet ange mängd processortid under genomsökningen på begäran. Om man ställer in systemanvändningen för genomsökning på Låg ger det ökad prestanda för andra program som körs. Den låga inställningen är användbar för system med användaraktivitet. Om man däremot ställer in systemanvändningen på Normal blir genomsökningen klar snabbare. Den normala inställningen är användbar för system som har större volymer och låg användaraktivitet. Varje aktivitet körs separat, oberoende av begränsningarna för andra aktiviteter. 92 McAfee Endpoint Security 10.5 Produkthandbok

93 Använda Hotdetektering Hantera Hotdetektering 3 Tabell 3-2 Standardprocessinställningar Hotdetektering processinställning Låg Under normal Normal (Standard) Detta alternativ... Ökar prestandan för andra program som körs. Välj detta alternativ för system som har låg användaraktivitet. Ställer in systemanvändningen för genomsökningen enligt McAfee epo standardinställning. Möjliggör en snabbare genomsökning. Välj detta alternativ för system som har större volymer och låg användaraktivitet. Windows Ange prioritet, inställning Låg Under normal Normal Hur genomsökning av Fjärrlagring fungerar Det går att konfigurera genomsökning på begäran att genomsöka innehållet i filer som hanteras av Fjärrlagring. Fjärrlagring övervakar ledigt utrymme i det lokala systemet. Vid behov, migrerar Fjärrlagring automatiskt innehållet (data) från lämpliga filer från klientsystemet till en lagringsenhet, till exempel ett bandbibliotek. När en användare öppnar en fil vars data har migrerats, återkallar Fjärrlagring automatiskt denna data från lagringsenheten. Välj alternativet Filer som har migrerats till lagringsplats för att konfigurera genomsökning på begäran och genomsöka filer som hanteras av Fjärrlagring. Om en fil som innehåller flyttat material upptäcks återställs filen till det lokala systemet före genomsökningen. För mer information, se Vad är Fjärrlagring. Konfigurera, schemalägga och köra genomsökningar Det går att schemalägga standardaktiviteterna Fullständig genomsökning och Snabbgenomsökning, eller att skapa anpassade genomsökningsaktiviteter viaendpoint Security-klient i inställningarna för Delade Delade. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Inställningar. 3 Klicka på Visa avancerat. 4 I Delade klickar du påaktiviteter. 5 Konfigurera inställningarna för genomsökningsaktiviteter på sidan. McAfee Endpoint Security 10.5 Produkthandbok 93

94 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering För att... Skapa en anpassad genomsökningsaktivitet. Följ dessa steg 1 Klicka på Lägg till. 2 Ange namnet, välj Anpassad genomsökning i listrutan och klicka sedan på Nästa. 3 Konfigurera inställningarna i och schemaläggningen av genomsökningsaktiviteten och klicka sedan påok för att spara aktiviteten. Ändra en genomsökningsaktivitet. Ta bort en anpassad genomsökningsaktivitet. Skapa en kopia av genomsökningsaktiviteten. Ändra schemat för enfullständig genomsökning eller en snabbgenomsökning. Dubbelklicka på aktiviteten, gör ändringarna och klicka sedan på OK för att spara. Markera aktiviteten och klicka på Ta bort. 1 Markera aktiviteten och klicka på Duplicera. 2 Ange namnet, konfigurera inställningarna och klicka sedan på OK för att spara aktiviteten. 1 Dubbelklicka på Fullständig genomsökning eller Snabbgenomsökning. 2 Klicka på fliken Schemalägg, ändra schemat och klicka sedan på OK för att spara aktiviteten. Det går endast att konfigurera inställningar för Fullständig genomsökning och Snabbgenomsökning i självhanterade system. Den fullständiga genomsökningen är som standard schemalagd att köras varje onsdag vid midnatt. Snabbgenomsökningen är som standard schemalagd att köras varje dag kl Schemaläggningen är aktiverad. Köra en genomsökningsaktivitet. Markera aktiviteten och klicka sedan på Kör nu. Om aktiviteten redan körs (eller är pausad eller uppskjuten) ändras knappen till Visa. Om du vill köra en aktivitet innan ändringarna tillämpas blir du ombedd av Endpoint Security-klient att spara inställningarna. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 Konfigurera Genomsökning på begäran inställningar på sidan 89 Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 56 Endpoint Security-klient gränssnittsreferens Hotdetektering Ger sammanhangsberoende hjälp för sidor i Endpoint Security-klient gränssnitt. Innehåll Sidan Karantän Hotdetektering Åtkomstskydd Sidan Hotdetektering Utnyttjandeskydd Hotdetektering Genomsökning vid åtkomst Hotdetektering Genomsökning på begäran Genomsök platser 94 McAfee Endpoint Security 10.5 Produkthandbok

95 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 McAfee GTI Åtgärder Lägg till undantag eller Redigera undantag Hotdetektering Alternativ Klientaktiviteten Återställ AMCore-innehåll Sidan Karantän Hantera objekt i karantän. Tabell 3-3 Alternativ Alternativ Definition Delete (Ta bort) Tar bort markerade objekt från karantänen. Det går inte att återställa borttagna objekt. Återställ Sök igenom igen Återställer objekt från karantänen. Endpoint Security återställer objekten till ursprungsplatsen och tar bort dem från karantänen. Om objektet fortfarande är ett giltigt hot flyttar Endpoint Security det automatiskt tillbaka till karantänen. Söker igenom markerade objekt i karantänen igen. Om objektet inte längre är ett hot återställer Endpoint Security det till ursprungsplatsen och tar bort det från karantänen. Kolumnrubrik Avkänningsnamn Typ Tid i karantän Antal objekt Innehållsversion för AMCore Omsökningsstatus Sorterar karantänlistan efter... Namnet på avkänningen. Typ av hot, exempelvis, Trojan eller reklamprogram. Den tid som objektet har varit i karantän. Antal objekt i avkänningen. Versionsnumret för AMCore-innehållet som identifierade hotet. Status för omsökningen, om objektet har genomsökts på nytt: Rensad Omsökningen kände inte av några hot. Infekterad Endpoint Security kände av ett hot under omsökningen. Se även Hantera objekt som satts i karantän på sidan 60 Avkänningsnamn på sidan 61 Göra en ny genomsökning av objekt i karantän på sidan 63 Hotdetektering Åtkomstskydd Skydda systemets åtkomstpunkter baserat på konfigurerade regler. Åtkomstskyddet jämför en begärd åtgärd med listan över konfigurerade regler och agerar enligt regeln. Metodtips: Information om hur du skapar regler för åtkomstskydd som skyddar mot ransomware finns i PD Tabell 3-4 Alternativ Avsnitt Alternativ Definition ÅTKOMSTSKYDD Aktivera åtkomstskydd Aktiverar åtkomstskyddsfunktionen. McAfee Endpoint Security 10.5 Produkthandbok 95

96 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-5 Avancerade alternativ Avsnitt Alternativ Beskrivning Undantag Tillåter åtkomst till angivna processer (även kallade körbara filer) för alla regler. Lägg till Lägger till en process i undantagslistan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Regler Konfigurerar regler för Åtkomstskydd. Du kan aktivera, inaktivera och ändra dessa McAfee-definierade regler, men du kan inte ta bort dem. Lägg till Skapar en anpassad regel och lägger till den i listan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Blockera (endast) Blockerar åtkomstförsök utan att logga dem. Rapportera (endast) Loggar utan att blockera åtkomstförsök. Blockera och Rapportera Blockerar och loggar åtkomstförsök. Metodtips: När alla effekter av en regel inte är kända väljer du Rapportera men inte Blockera, för att få en varning utan att blockera åtkomstförsök. Övervaka loggarna och rapporterna och bestäm sedan om du vill blockera åtkomsten. Blockera eller rapportera alla genom att välja Blockera eller Rapportera på den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. Se även Konfigurera McAfee-definierade regler för åtkomstskydd på sidan 67 Konfigurera användardefinierade regler för åtkomstskydd på sidan 71 Sidan Lägg till undantag eller Redigera undantag på sidan 105 Lägg till regel eller Redigera regel på sidan 96 McAfee-definierade regler för åtkomstskydd på sidan 68 Lägg till regel eller Redigera regel Lägg till eller redigera användardefinierade regler för åtkomstskydd. 96 McAfee Endpoint Security 10.5 Produkthandbok

97 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Tabell 3-6 Alternativ Avsnitt Alternativ Definition Alternativ Namn Anger eller indikerar namnet på den körbara filen. (obligatoriskt) Åtgärd Anger åtgärder i regeln. Endast blockera Blockerar åtkomstförsök utan att logga dem. Endast rapportera Varnar utan att blockera åtkomstförsök. Blockera och rapportera Blockerar och loggar åtkomstförsök. Metodtips: När alla effekter av en regel inte är kända väljer du Rapportera men inte Blockera, för att få en varning utan att blockera åtkomstförsök. Övervaka loggarna och rapporterna och bestäm sedan om du vill blockera åtkomsten. Blockera eller rapportera alla genom att välja Blockera eller Rapportera i den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. Körbara filer Användarnamn Underregler Anteckningar Anger körbara filer för regeln. Lägg till Skapar en körbar fil och lägger till den i listan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Växla inkluderingsstatus Ändrar den körbara filens inkluderingsstatus till Inkludera eller Undanta. Anger användarnamn som regeln gäller för (endast för användardefinierade regler). Lägg till Skapar ett användarnamn och lägger till det i listan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Växla inkluderingsstatus Ändrar den körbara filens inkluderingsstatus till Inkludera eller Undanta. Konfigurerar underregler (endast för användardefinierade regler). Lägg till Skapar en underregel och lägger till den i listan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Ger mer information om objektet. Se även Sidan Lägg till undantag eller Redigera undantag på sidan 105 Lägg till Användarnamn eller Redigera Användarnamn på sidan 98 Lägg till underregel eller Redigera underregel på sidan 98 McAfee Endpoint Security 10.5 Produkthandbok 97

98 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Lägg till Användarnamn eller Redigera Användarnamn Lägg till eller redigera användaren som regeln gäller (endast för användardefinierade regler). Tabell 3-7 Alternativ Alternativ Namn Inkluderingsstatus Definition Specificerar namnet på användaren som regeln tillämpas för. Använd detta format för att specificera användaren: Lokal användare Giltiga värden kan vara: <datornamn>\<lokalt_användarnamn>.\<lokalt_användarnamn>.\administrator (för den lokala administratören) Domänanvändare <domain name>\<domain user_name> Lokalt system Local\System specifies the NT AUTHORITY\Systemkontot på systemet. Anger inkluderingsstatus för användaren. Inkludera Aktiverar regeln om den angivna användaren kör den körbara filen som bryter mot en underregel. Undanta Regeln aktiveras inte om den angivna användaren kör den körbara filen som bryter mot en underregel. Se även Lägg till regel eller Redigera regel på sidan 96 Lägg till underregel eller Redigera underregel Lägg till eller redigera användardefinierade underregler för Åtkomstskydd. Tabell 3-8 Alternativ Alternativ Namn Typ av underregel Definition Anger namnet på underregeln. Anger typ av underregel. Om du ändrar underregeltypen försvinner tidigare, definierade poster i Mål-tabellen. Filer Skyddar en fil eller katalog. Exempel: Skapa en anpassad regel för att blockera eller rapportera försök att ta bort Excel-kalkylblad som innehåller känslig information. Registernyckel Skyddar den angivna nyckeln. Registernyckeln innehåller registervärdet. Till exempel, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run. Registervärde Skyddar det angivna värdet. Registervärden lagras i registernycklarna och kan hänvisas till separat från registernycklarna. Till exempel, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Autorun. Processer Skyddar den angivna processen. Exempel: Skapa en anpassad regel för att blockera eller rapportera försök till åtgärder på en process. Tjänster Skyddar den angivna tjänsten. Du kan t.ex. skapa en anpassad regel som förhindrar att en tjänst stoppas eller startas. 98 McAfee Endpoint Security 10.5 Produkthandbok

99 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Tabell 3-8 Alternativ (fortsättning) Alternativ Åtgärder Definition Anger vilka åtgärder som är tillåtna enligt underregeltypen. Du måste ange minst en åtgärd för att tillämpa underregeln. Metodtips: För att undvika försämrad prestanda ska du inte markera åtgärden Läsa. Filer: Ändra skrivskyddade eller dolda attribut Blockerar eller rapporterar ändringar av dessa attribut för filer i den angivna mappen. Skapa Blockerar eller rapporterar att filer skapas i den angivna mappen. Ta bort Blockerar eller rapporterar att filer raderas i den angivna mappen. Kör Blockerar eller rapporterar att filer körs i den angivna mappen. Ändra behörigheter Blockerar eller rapporterar att behörighetsinställningar ändras för filer i den angivna mappen. Läsa Blockerar eller rapporterar läsbehörighet för de angivna filerna. Byta namn Blockerar eller rapporterar åtkomst för att byta namn för angivna filer. McAfee Endpoint Security 10.5 Produkthandbok 99

100 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-8 Alternativ (fortsättning) Alternativ Definition Om målet Målfil anges är Byt namn den enda giltiga åtgärden. Skriva Blockerar eller rapporterar skrivbehörighet för de angivna filerna. Registernyckel: Skriva Blockerar eller rapporterar skrivbehörighet för den angivna nyckeln. Skapa Blockerar eller rapporterar skapande av angiven nyckel. Ta bort Blockerar eller rapporterar borttagning av angiven nyckel. Läs Blockerar eller rapporterar läsbehörighet till angiven nyckel. Räkna upp Blockerar eller rapporterar uppräkning av undernycklarna för angiven registernyckel. Ladda Blockerar eller rapporterar möjligheten att ta bort den angivna registernyckeln och dess undernycklar från registret. Ersätt Blockerar eller rapporterar ersättning av angiven registernyckel och dess undernycklar med en annan fil. Återställa Blockerar eller rapporterar möjligheten att spara registerinformation i angiven fil och kopiering av angiven nyckel. Ändra behörigheter Blockerar eller rapporterar att behörighetsinställningar ändras för den angivna registernyckeln och dess undernycklar. Registervärde: Skriva Blockerar eller rapporterar skrivbehörighet för det angivna värdet. Skapa Blockerar eller rapporterar skapande av det angivna värdet. Ta bort Blockerar eller rapporterar borttagning av det angivna värdet. Läsa Blockerar eller rapporterar läsbehörighet för det angivna värdet. Processer: Oavsett behörighet Blockerar eller rapporterar öppningen av en process oavsett behörighet. Skapa en tråd Blockerar eller rapporterar öppningen av en process med behörighet att skapa en tråd. Ändra Blockerar eller rapporterar öppningen av en process med behörighet att ändra. Avsluta Blockerar eller rapporterar öppningen av en process med behörighet att avsluta Kör Blockerar eller rapporterar körning av den angivna körbara målfilen. Du måste lägga till minst en målfil till regeln. 100 McAfee Endpoint Security 10.5 Produkthandbok

101 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Tabell 3-8 Alternativ (fortsättning) Alternativ Mål Definition För åtgärden Kör genereras en händelse när det görs ett försök att köra målprocessen. För alla andra åtgärder genereras en händelse när målet öppnas. Tjänster: Starta Blockerar eller rapporterar att tjänsten startas. Stoppa Blockerar eller rapporterar att tjänsten stoppas. Pausa Blockerar eller rapporterar att tjänsten pausas. Fortsätt Blockerar eller rapporterar att tjänsten återupptas efter en paus. Skapa Blockerar eller rapporterar att tjänsten skapas. Ta bort Blockerar eller rapporterar att tjänsten tas bort. Aktivera maskinvaruprofil Blockerar eller rapporterar att maskinvaruprofilen för tjänsten aktiveras. Inaktivera maskinvaruprofil Blockerar eller rapporterar att maskinvaruprofilen för tjänsten inaktiveras. Ändra startläge Blockerar eller rapporterar att startläget ändras (Start, System, Automatiskt, Manuellt, Inaktiverat) för tjänsten. Ändra inloggningsinformation Blockerar eller rapporterar att inloggningsinformationen för tjänsten ändrats. Lägg till Anger mål för regeln. Målen varierar beroende på valet av regeltyp. Du måste lägga till minst ett mål till underregeln. Klicka på Lägg till, välj inkluderingsstatus och ange eller markera sedan det mål som ska inkluderas eller undantas. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Se även Lägg till regel eller Redigera regel på sidan 96 Mål på sidan 102 Sidan Lägg till undantag eller Redigera undantag på sidan 105 McAfee Endpoint Security 10.5 Produkthandbok 101

102 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Mål Ange inkluderingsstatus och beskrivning av målet. Tabell 3-9 Alternativ Avsnitt Alternativ Mål Definition Bedömer om målet matchar underregeln. Visar även målets inkluderingstatus. Inkludera Visar att underregeln kan matcha det angivna målet. Undanta Betyder att underregeln inte får matcha det angivna målet. Lägg till målet med direktivet Inkludera eller Undanta. Om du har valt underregeltypen Filer... Anger filnamn, mappnamn, sökväg eller enhetstypens mål för en underregel av typen Filer. Sökväg Bläddra för att välja fil. Målfil Bläddra för att välja namn på målfil eller sökvägen för en Byta namn-åtgärd. Om målet Målfil väljs måste åtgärden Byta namn (enbart) väljas. Enhetstyp Välj enhetstypens mål i listrutan: Flyttbar Filer på en USB-enhet eller en annan flyttbar enhet ansluten till en USB-port, inklusive enheter med Windows To Go installerat. Den här enhetstypen inkluderar inte filer på en CD- eller DVD-skiva eller diskett. Vid blockering av den här enhetstypen blockeras också enheter med Windows To Go installerat. Nätverk Filer på en nätverksresurs Fast Filer på den lokala hårddisken eller en annan fast hårddisk CD/DVD Filer på en CD eller DVD Diskett Filer på en diskett Du kan använda?, * och ** som jokertecken. Metodtips för mål för underregeln Filer Om du till exempel vill skydda: En fil eller mapp med namnet c:\testap, använder du målet c:\testap eller c:\testap\ Innehållet i en mapp, använder du jokertecknet asterisk c:\testap \* Innehållet i en mapp och dess undermappar, använder du 2 asterisker c:\testap\** Det finns stöd för systemmiljövariabler. Miljövariabler anges i något av följande format: $(EnvVar) - $(SystemDrive), $(SystemRoot) %EnvVar% - %SystemRoot%, %SystemDrive% Alla systemdefinierade miljövariabler är inte åtkomliga via $ (var)-syntax, närmare bestämt sådana som innehåller eller-tecken. Undvik detta problem genom att använda %var%-syntax. Det finns inte stöd för miljövariabler för användare. 102 McAfee Endpoint Security 10.5 Produkthandbok

103 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Tabell 3-9 Alternativ (fortsättning) Avsnitt Alternativ Om du har valt underregeltypen Registernyckel Definition Definieras registernycklar med hjälp av rotnycklar. Följande rotnycklar stöds: HKLM eller HKEY_LOCAL_MACHINE HKCU eller HKEY_CURRENT_USER HKCR eller HKEY_CLASSES_ROOT HKCCS matchar HKLM/SYSTEM/CurrentControlSet och HKLM/ SYSTEM/ControlSet00X HKLMS matchar HKLM/Software i 32- och 64-bitarssystem, och HKLM/Software/Wow6432Node endast i 64-bitarssystem HKCUS matchar HKCU/Software i 32- och 64-bitarssystem, och HKCU/Software/Wow6432Node endast i 64-bitarssystem HKULM behandlas både som HKLM och HKCU HKULMS behandlas både som HKLMS och HKCUS HKALL behandlas både som HKLM och HKU Du kan använda?, * och ** som jokertecken, samt (vertikalstreck) som ett escape-tecken. Metodtips för mål för underregeln Registernyckel Om du till exempel vill skydda: En registernyckel med namnet HKLM\SOFTWARE\testap, använder du målet HKLM\SOFTWARE\testap eller HKLM\SOFTWARE\testap\ Innehållet i en registernyckel, använd du jokertecknet asterisk HKLM\SOFTWARE\testap\* Innehållet i en registernyckel och dess undernycklar, använder du 2 asterisker HKLM\SOFTWARE\testap\** Registernycklar och registervärden under en registernyckel, aktiverar du åtgärden Skriva McAfee Endpoint Security 10.5 Produkthandbok 103

104 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-9 Alternativ (fortsättning) Avsnitt Alternativ Om du har valt underregeltypen Registervärde Definition Definieras registervärden med hjälp av rotnycklar. Följande rotnycklar stöds: HKLM eller HKEY_LOCAL_MACHINE HKCU eller HKEY_CURRENT_USER HKCR eller HKEY_CLASSES_ROOT HKCCS matchar HKLM/SYSTEM/CurrentControlSet och HKLM/ SYSTEM/ControlSet00X HKLMS matchar HKLM/Software i 32- och 64-bitarssystem, och HKLM/Software/Wow6432Node endast i 64-bitarssystem HKCUS matchar HKCU/Software i 32- och 64-bitarssystem, och HKCU/Software/Wow6432Node endast i 64-bitarssystem HKULM behandlas både som HKLM och HKCU HKULMS behandlas både som HKLMS och HKCUS HKALL behandlas både som HKLM och HKU Du kan använda?, * och ** som jokertecken, samt (vertikalstreck) som ett escape-tecken. Metodtips för mål för underregeln Registervärde Om du till exempel vill skydda: Ett registervärde med namnet HKLM\SOFTWARE\testap, använder du målet HKLM\SOFTWARE\testap Registervärden under en registreringsnyckel, använder du jokertecknet asterisk HKLM\SOFTWARE\testap\* Registervärden under en registreringsnyckel och dess undernycklar, använder du 2 asterisker HKLM\SOFTWARE\testap\** 104 McAfee Endpoint Security 10.5 Produkthandbok

105 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Tabell 3-9 Alternativ (fortsättning) Avsnitt Alternativ Om du har valt underregeltypen Processer... Om du har valt underregeltypen Tjänster... Definition Anger processens filnamn eller sökväg, MD5-hash eller undertecknarens mål för en underregel av typen Processer. Du kan använda?, * och ** som jokertecken för alla utom MD5-hash. Metodtips för mål för underregeln Processer Om du till exempel vill skydda: En process med namnet c:\testap.exe, använder du filnamnet eller sökvägen c:\testap.exe som mål Alla processer i en mapp, använder du jokertecknet asterisk c: \testap\* Alla processer i en mapp och dess undermappar, använder du 2 asterisker c:\testap\** Anger tjänstnamnet eller visningsnamnet för en underregel av typen Tjänster. Registrerat namn för tjänst Innehåller namnet på tjänsten i motsvarande registernyckel under HKLM_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\. Visningsnamn för tjänst Innehåller visningsnamnet på tjänsten från registervärdet DisplayName under HKLM_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\<service_name>\. Detta är namnet som visas i tjänsthanteraren. Exempelvis är Uppdateringstjänst för Adobe Acrobat visningsnamnet för tjänstnamnet AdobeARMservice. Du kan använda? och * som jokertecken. Metodtips för tjänstens underregelsmål Om du exempelvis vill skydda alla Adobe-tjänster med visningsnamnet, använder du en asterisk som jokertecken Adobe* Se även Lägg till underregel eller Redigera underregel på sidan 98 Sidan Lägg till undantag eller Redigera undantag Lägg till eller redigera en körbar fil som ska uteslutas på principnivå, eller inkluderas eller uteslutas på regelnivå. Tänk på följande när du anger undantag och inkluderingar: Du måste ange minst en identifierare: Filnamn eller sökväg, MD5-hash eller Undertecknare. Om du anger fler än en identifierare, tillämpas alla identifierare. Om du anger fler än en identifierare och de inte matchar varandra (om till exempel filnamnet och MD5-hashen inte gäller samma fil), är undantaget eller inkluderingen ogiltig. Undantag och inkluderingar är skiftlägesokänsliga. Jokertecken är tillåtna för alla utom MD5-hash. McAfee Endpoint Security 10.5 Produkthandbok 105

106 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-10 Alternativ Alternativ Namn Inkluderingsstatus Filnamn eller sökväg MD5-hash Undertecknare Definition Anger namnet på den körbara filen. Det här fältet är obligatoriskt i minst ett ytterligare fält: Filnamn eller sökväg, MD5-hash, eller Undertecknare. Fastställer inkluderingsstatus för den körbara filen. Inkludera Aktiverar regeln om den körbara filen bryter mot en underregel. Undanta Aktiverar inte regeln om den körbara filen bryter mot en underregel. Inkluderingsstatus visas bara när en körbar fil läggs till i en regel, eller i målet för underregeln Processer. Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja den körbara filen. Filsökvägen kan innehålla jokertecken. Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). Aktivera kontroll av digital signatur Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypterings-hash. Om aktiverad, ange: Tillåt alla signaturer Tillåter filer som är signerade av alla undertecknare. Signerad av Tillåter endast filer som är signerade av den specifika processundertecknaren. Undertecknarens unika namn är obligatoriskt för den körbara filen och det måste stämma exakt överens med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee epo. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt namn för undertecknaren för en körbar fil: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Sökande. Undertecknarens unika namn visas. Firefox har till exempel följande unika namn på undertecknaren: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Kalifornien C = USA Anteckningar Ger mer information om objektet. Se även Lägg till regel eller Redigera regel på sidan McAfee Endpoint Security 10.5 Produkthandbok

107 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Sidan Hotdetektering Utnyttjandeskydd Aktivera och konfigurera Utnyttjandeskydd för att förhindra utnyttjande av buffertspill som kör skadlig kod på datorn. En lista med processer som skyddas av Utnyttjandeskydd finns i KB Host Intrusion Prevention 8.0 kan installeras i samma system som Endpoint Security version Om McAfee Host IPS är aktiverat så inaktiveras Utnyttjandeskydd, även om det är aktiverat i principinställningarna. Tabell 3-11 Alternativ Avsnitt Alternativ Definition UTNYTTJANDESKYDD Aktivera utnyttjandeskydd Aktiverar funktionen Utnyttjandeskydd. Om du inte aktiverar det här alternativet har datorn inget skydd mot angrepp från skadlig programvara. Tabell 3-12 Avancerade alternativ Avsnitt Alternativ Definition Allmän detektering av behörighetseskalering Aktivera Allmän detektering av behörighetseskalering Aktiverar stöd för Allmän detektering av behörighetseskalering (GPEP). (Inaktiverad som standard) GPEP använder GPEP-signaturer i innehållet för Utnyttjandeskydd för att ge skydd mot utnyttjande av behörighetseskalering i kernelläge och användarläge. Genom att aktivera det här alternativet höjs allvarlighetsgraden för GPEP-buffertspillets signatur 6052 till Hög, så att den blockeras eller rapporteras beroende på vilken åtgärd som angivits. Eftersom GPEP kan generera falska positiva rapporter är detta alternativ inaktiverat som standard. Windows dataexekveringsskydd Aktivera Windows dataexekveringsskydd Aktiverar integration med Windows dataexekveringsskydd (DEP). (Inaktiverad som standard) Välj det här alternativet för att: Aktivera DEP för 32-bitarsprogram i listan McAfee Application Protection om det inte redan är aktiverat. Använd det i stället för Allmänt skydd mot buffertspill (GBOP). Validering av anropare och riktad API-övervakning tillämpas fortfarande. Övervakning av DEP-avkänningar i DEP-aktiverade 32-bitarsprogram. Övervakning av DEP-avkänningar i 64-bitarsprogram i McAfees programskyddslista. Logga alla DEP-avkänningar och skicka en händelse till McAfee epo. Om det här alternativet inaktiveras, påverkas inte några processer som har DEP aktiverat på grund av Windows DEP-principen. McAfee Endpoint Security 10.5 Produkthandbok 107

108 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-12 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Undantag Anger process, anroparmodul, API eller signatur som ska undantas. Undantag i anroparmodulen eller API:n gäller inte för DEP. Lägg till Skapar ett undantag och lägger till det i listan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Signaturer Ändrar åtgärden (Blockera eller Rapportera) för McAfee-definierade signaturer för Utnyttjandeskydd. Du kan inte ändra allvarlighetsgraden eller skapa signaturer. Avmarkera Blockera och Rapportera för att inaktivera signaturen. Visa signaturer med en allvarlighetsgrad på Filtrerar listan Signaturer efter allvarlighetsgrad eller inaktiverad status: Hög Medel Låg Information Inaktiverad Det går inte att aktivera signaturer med allvarlighetsgraden Inaktiverad. Blockera (endast) Rapportera (endast) Blockerar beteenden som matchar signaturen utan loggning. Loggar beteenden som matchar signaturen utan blockering. Att enbart välja Rapportera för signatur-id 9990 tillåts inte. Regler för programskydd Blockera och Rapportera Blockerar och loggar beteenden som matchar signaturen. Konfigurerar regler för programskydd. Lägg till Skapar en regel för programskydd och lägger till den i listan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. (endast användardefinierade regler) Duplicera Skapar en kopia av det valda objektet. (endast användardefinierade regler) Se även Konfigurera inställningar för Utnyttjandeskydd på sidan 77 Lägg till undantag eller Redigera undantag på sidan McAfee Endpoint Security 10.5 Produkthandbok

109 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Lägg till undantag eller Redigera undantag Lägg till eller redigera undantag för utnyttjandeskydd. Tänk på följande när du anger undantag: Du måste ange minst en process, anroparmodul, API eller signatur. Undantag i anroparmodulen eller API:n gäller inte för DEP. För processundantag måste du ange minst en identifierare: Filnamn eller sökväg, MD5-hash eller Undertecknare. Om du anger fler än en identifierare, tillämpas alla identifierare. Om du anger fler än en identifierare och de inte matchar varandra (om till exempel filnamnet och MD5-hashen inte gäller samma fil), är undantaget ogiltigt. Undantag är skiftlägesokänsliga. Jokertecken är tillåtna för alla utom MD5-hash och signatur-id:n. Om du inkluderar signatur-id:n i ett undantag, gäller undantaget bara processen i angivna signaturer. Om inga signatur-id:n har angivits, gäller undantaget processen i alla signaturer. Tabell 3-13 Alternativ Avsnitt Alternativ Definition Process Namn Ange namnet på den process som ska undantas. Utnyttjandeskyddet undantar processen oavsett var den finns. Det här fältet är obligatoriskt med minst ett ytterligare fält: Filnamn eller sökväg, MD5-hash eller Undertecknare. Filnamn eller sökväg MD5-hash Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja den körbara filen. Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). McAfee Endpoint Security 10.5 Produkthandbok 109

110 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-13 Alternativ (fortsättning) Avsnitt Alternativ Definition Undertecknare Aktivera kontroll av digital signatur Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypterings-hash. Om aktiverad, ange: Tillåt alla signaturer Tillåter filer som är signerade av alla undertecknare. Signerad av Tillåter endast filer som är signerade av den specifika processundertecknaren. Undertecknarens unika namn är obligatoriskt för den körbara filen och det måste stämma exakt överens med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee epo. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt namn för undertecknaren för en körbar fil: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Sökande. Undertecknarens unika namn visas. Firefox har till exempel följande unika namn på undertecknaren: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Kalifornien C = USA Anroparmodul Namn Anger namnet på modulen (en DLL) som lästs in av den körbara fil som äger det anropande skrivbara minnet. Det här fältet är obligatoriskt med minst ett ytterligare fält: Filnamn eller sökväg, MD5-hash eller Undertecknare. Filnamn eller sökväg MD5-hash Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja den körbara filen. Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). 110 McAfee Endpoint Security 10.5 Produkthandbok

111 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Tabell 3-13 Alternativ (fortsättning) Avsnitt Alternativ Definition Undertecknare Aktivera kontroll av digital signatur Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypterings-hash. Om aktiverad, ange: Tillåt alla signaturer Tillåter filer som är signerade av alla undertecknare. Signerad av Tillåter endast filer som är signerade av den specifika processundertecknaren. Undertecknarens unika namn är obligatoriskt för den körbara filen och det måste stämma exakt överens med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee epo. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt namn för undertecknaren för en körbar fil: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Sökande. Undertecknarens unika namn visas. Firefox har till exempel följande unika namn på undertecknaren: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Kalifornien C = USA API Namn Anger namnet på det API (Application Programming Interface) som anropas. Signaturer Signatur-ID:n Anger (kommateckenavgränsat) signaturidentifierare för Utnyttjandeskydd. Anteckningar Ger mer information om objektet. Se även Undanta processer från Utnyttjandeskydd på sidan 77 Sidan Lägg till regel eller Redigera regel Lägg till eller redigera användardefinierade regler för programskydd. Tabell 3-14 Alternativ Avsnitt Alternativ Definition Namn Status Anger eller visar namnet på regeln. (Obligatoriskt) Aktiverar eller inaktiverar objektet. McAfee Endpoint Security 10.5 Produkthandbok 111

112 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-14 Alternativ (fortsättning) Avsnitt Alternativ Definition Inkluderingsstatus Anger inkluderingsstatus för den körbara filen. Inkludera Utlöser regeln om en körbar fil i listan Körbara filer körs. Uteslut Utlöser inte regeln om en körbar fil i listan Körbara filer körs. Körbara filer Anteckningar Anger körbara filer för regeln. Lägg till Lägger till en körbar fil i listan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Ger mer information om objektet. För McAfee-definierade regler för programskydd, innehåller fältet namnet på den körbara fil som skyddas. Lägg till körbar fil eller Redigera körbar fil Lägg till eller redigera en körbar fil i en regel för programskydd. Tänk på följande när du konfigurerar körbara filer: Du måste ange minst en identifierare: Filnamn eller sökväg, MD5-hash eller Undertecknare. Om du anger fler än en identifierare, tillämpas alla identifierare. Om du anger fler än en identifierare och de inte matchar varandra (om till exempel filnamnet och MD5-hashen inte gäller samma fil), är definitionen av den körbara filen ogiltig. Tabell 3-15 Alternativ Avsnitt Alternativ Definition Egenskaper Namn Anger processnamnet. Det här fältet är obligatoriskt med minst ett ytterligare fält: Filnamn eller sökväg, MD5-hash eller Undertecknare. Filnamn eller sökväg MD5-hash Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja den körbara filen. Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). 112 McAfee Endpoint Security 10.5 Produkthandbok

113 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Tabell 3-15 Alternativ (fortsättning) Avsnitt Alternativ Definition Undertecknare Aktivera kontroll av digital signatur Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypterings-hash. Om aktiverad, ange: Tillåt alla signaturer Tillåter filer som är signerade av alla undertecknare. Signerad av Tillåter endast filer som är signerade av den specifika processundertecknaren. Undertecknarens unika namn är obligatoriskt för den körbara filen och det måste stämma exakt överens med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee epo. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt namn för undertecknaren för en körbar fil: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Sökande. Undertecknarens unika namn visas. Firefox har till exempel följande unika namn på undertecknaren: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Kalifornien C = USA Anteckningar Ger mer information om objektet. Hotdetektering Genomsökning vid åtkomst Aktiverar och konfigurerar inställningar för genomsökning vid åtkomst. Tabell 3-16 Alternativ Avsnitt Alternativ Definition GENOMSÖKNING VID ÅTKOMST Aktivera genomsökning vid åtkomst Aktiverar funktionen Genomsökning vid åtkomst. (Aktiverad som standard) Aktivera genomsökning vid åtkomst vid systemstart Aktiverar funktionen Genomsökning vid åtkomst varje gång du startar datorn. (Aktiverad som standard) McAfee Endpoint Security 10.5 Produkthandbok 113

114 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-16 Alternativ (fortsättning) Avsnitt Alternativ Definition Anger maximalt antal sekunder för varje filgenomsökning Begränsar varje filgenomsökning till angivet antal sekunder. (Aktiverad som standard) Standardvärdet är 45 sekunder. Om en genomsökning överskrider tidsgränsen stoppas den på korrekt sätt och ett meddelande loggas. Genomsök startsektorer Undersöker diskens startsektor. (Aktiverad som standard) Metodtips: Avmarkera genomsökningen av startsektorn om en disk innehåller en särskild eller ovanlig startsektor som inte kan genomsökas. Genomsökningsprocesser vid start av tjänst och innehållsuppdatering Genomsöker alla processer som finns i minnet på nytt varje gång som du: Du återaktiverar genomsökningar vid åtkomst. Innehållsfiler uppdateras. Systemet startas. Processen McShield.exe startas. (Inaktiverad som standard) Metodtips: Eftersom vissa program eller körbara filer startar automatiskt när du slår på datorn, kan du avmarkera alternativet för att förkorta starttiden. Samtliga processer genomsöks så fort de körs i systemet när Genomsökning vid åtkomst är aktiverat. Genomsök betrodda installationsprogram Genomsöker MSI-filer (installerade av msiexec.exe och signerade av McAfee eller Microsoft) eller Windows Trusted Installer-tjänstfiler. (Inaktiverad som standard) Metodtips: Avmarkera detta alternativ för att förbättra prestandan hos stora Microsoft-installationsprogram. Utför en genomsökning vid kopiering mellan lokala mappar Genomsöker filer när användaren kopierar från en lokal mapp till en annan. Om det här alternativet är: Inaktiverad Endast objekt i målmappen som genomsöks. Aktiverad Objekt i både källmappar (läs) och målmappar (skriv) genomsöks. (Inaktiverad som standard) 114 McAfee Endpoint Security 10.5 Produkthandbok

115 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Tabell 3-16 Alternativ (fortsättning) Avsnitt Alternativ Definition McAfee GTI Utför en genomsökning vid kopiering från nätverksmappar och flyttbara enheter Genomsöker filer när användaren kopierar från en nätverks mapp eller en flyttbar USB-enhet. Om du inte väljer detta alternativ har datorn inget skydd mot angrepp av skadlig programvara. (Aktiverad som standard) Aktiverar och konfigurerar McAfee GTI-inställningar. ScriptScan Aktivera ScriptScan Förhindrar att oönskade skript körs genom att aktivera genomsökning av skript från JavaScript och VBScript i Internet Explorer. (Inaktiverad som standard) Om ScriptScan är inaktiverat när Internet Explorer startas och sedan aktiveras, kan det inte identifiera skadliga skript i denna instans av Internet Explorer. Internet Explorer måste startas om när ScriptScan har aktiverats, så att skadliga skript kan identifieras. Undanta dessa URL:er eller delar av URL:er Anger ScriptScan-undantag efter URL. Lägg till Lägger till en webbadress i undantagslistan. Ta bort Tar bort webbadresser från undantagslistan. URL:er får inte innehålla jokertecken. Men alla URL-adresser som innehåller en sträng från en undantagen URL kommer också att undantas. Om exempelvis URL-adressen msn.com undantas, undantas även följande webbadresser: Tabell 3-17 Avancerade alternativ Avsnitt Alternativ Definition Användarens meddelandetjänster för Threat Detection Visa fönstret Genomsökning vid åtkomst när ett hot upptäcks Visar sidan Genomsökning vid åtkomst med det angivna meddelandet till klientanvändare när en avkänning görs. (Aktiverad som standard) När det här alternativet är valt kan användare öppna den här sidan från sidan Genomsök nu varje gång som avkänningslistan innehåller minst ett hot. Avkänningslistan för genomsökning vid åtkomst rensas när Endpoint Security-tjänsten eller systemet startas om. Processinställningar Meddelande Använd standardinställningar för alla processer Anger meddelandet som visas för klientanvändarna när en avkänning görs. Standardmeddelandet är: McAfee Endpoint Security har upptäckt ett hot. Tillämpar samma konfigurerade inställningar till samtliga processer under en genomsökning vid åtkomst. McAfee Endpoint Security 10.5 Produkthandbok 115

116 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-17 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Konfigurera olika inställningar för processer som klassificeras som hög och låg risk Standard Konfigurerar olika inställningar för genomsökning för varje processtyp som du identifierar. Konfigurerar inställningar för processer som varken identifieras som hög eller låg risk. (Aktiverad som standard) Genomsökning Hög risk Låg risk Lägg till Ta bort När ska genomsökning ske Vid skrivning till disk Vid läsning från disk Låt McAfee bedöma Konfigurerar inställningar för processer som klassificeras som hög risk. Konfigurerar inställningar för processer som klassificeras som låg risk. Lägger till en process i listan Hög risk eller Låg risk. Tar bort en process från listan Hög risk eller Låg risk. Försöker genomsöka alla filer när de skrivs till eller ändras på datorn eller i andra datalagringsenheter. Genomsöker alla filer när de läses på datorn eller andra datalagringsenheter. Tillåter att McAfee bedömer om en fil ska genomsökas med hjälp av inbyggd logik för att optimera genomsökningen. Inbyggd logik förstärker säkerhet och förbättrar prestanda genom att undvika onödiga genomsökningar. Metodtips: Aktivera detta alternativ för bästa skydd och prestanda. Utför inte genomsökning vid läsning till eller skrivning från skiva Vad som ska genomsökas Alla filer Anger att inte endast utföra genomsökning av processer med Låg risk. Genomsöker alla filer, oavsett tillägg. Om du inte väljer detta alternativ har datorn inget skydd mot angrepp av skadlig programvara. Standard- och angivna filtyper Endast angivna filtyper Genomsökningar: Standardlista över filtillägg i den aktuella AMCore-innehållsfilen, inklusive filer utan tillägg Ytterligare filtillägg som du anger Avgränsa tilläggen med ett kommatecken. (Valfritt) Kända makrohot i listan över standardfiltillägg och specificerade filtillägg Genomsöker en eller båda: Endast filer med angivna (kommateckenavgränsade) tillägg Alla filer utan tillägg 116 McAfee Endpoint Security 10.5 Produkthandbok

117 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Tabell 3-17 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition På nätverksenheter Genomsöker resurser på mappade nätverksenheter. Metodtips: Avmarkera detta alternativ för att förbättra prestandan. Har öppnats för säkerhetskopiering Genomsöker filer vid åtkomst från säkerhetskopieringsprogram. Metodtips: Den här inställningen behöver i de flesta miljöer inte väljas. Komprimerade arkivfiler Undersöker innehållet i arkivfiler (komprimerade), inklusive.jar-filer. Metodtips: Eftersom genomsökning av komprimerade arkivfiler negativt kan påverka systemprestandan, avmarkerar du det här alternativet för att förbättra den. Komprimerade MIME-kodade filer Ytterligare genomsökningsalternativ Känn av oönskade program Känner av, avkodar och söker igenom MIME-kodade (Multipurpose Internet Mail Extensions) filer. Gör det möjligt att känna av potentiellt oönskade program i genomsökningen. Under genomsökningen används den information som du har konfigurerat i inställningarna för Hotdetektering Alternativ för att identifiera eventuellt oönskade program. Åtgärder Undantag Känn av okända programhot Känn av okända makrohot Lägg till Ta bort Använder McAfee GTI för att identifiera körbara filer som innehåller kod som påminner om skadlig programvara. Använder McAfee GTI för att identifiera okända makrovirus. Anger hur genomsökningen ska reagera när ett hot upptäcks. Anger vilka filer, mappar och enheter som ska undantas vid genomsökningar. Lägger till ett objekt i undantagslistan. Tar bort ett objekt från undantagslistan. Se även Konfigurera Genomsökning vid åtkomst inställningar på sidan 82 McAfee GTI på sidan 123 Åtgärder på sidan 124 Lägg till undantag eller Redigera undantag på sidan 126 Hotdetektering Genomsökning på begäran Konfigurera inställningarna för Genomsökning på begäran för de förkonfigurerade och anpassade genomsökningar som körs i ditt system. Mer information om konfiguration av loggning hittar du i inställningarna i modulen Delade. McAfee Endpoint Security 10.5 Produkthandbok 117

118 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Dessa inställningar anger genomsökningens beteende när du: Välj Fullständig genomsökning eller Snabbgenomsökning på sidan Genomsök nu i Endpoint Security-klient. Kör en anpassad genomsökning på begäran som administratör via Inställningar Delade Aktiviteter i Endpoint Security-klient. Högerklicka på en fil eller mapp och markera Sök efter hot i snabbmenyn. Tabell 3-18 Alternativ Avsnitt Alternativ Definition Vad som ska genomsökas Startsektorer Undersöker diskens startsektor. Metodtips: Avmarkera genomsökningen av startsektorn om en disk innehåller en särskild eller ovanlig startsektor som inte kan genomsökas. Filer som har migrerats till lagringsplats Genomsöker de filer som hanteras av Fjärrlagring. I vissa lagringslösningar för offlinedata ersätts filerna med en stub-fil. Om en stub-fil upptäcks vid genomsökningen, vilket betyder att filen har migrerats, återställs filen till det lokala systemet innan genomsökningen startar. Återställningsprocessen kan påverka systemprestandan negativt. Metodtips: Avmarkera detta alternativ såvida du inte har ett specifikt behov att genomsöka filer i lagringen. Compressed MIME-encoded files (Komprimerade MIME-kodade filer) Komprimerade arkivfiler Känner av, avkodar och söker igenom MIME-kodade (Multipurpose Internet Mail Extensions) filer. Undersöker innehållet i arkivfiler (komprimerade), inklusive.jar-filer. Metodtips: Välj endast detta alternativ vid genomsökningar som är schemalagda utanför arbetstid när systemet inte används, eftersom genomsökning av komprimerade arkivfiler kan påverka systemets prestanda negativt. Ytterligare genomsökningsalternativ Undermappar (endast högerklicksgenomsökning) Känn av oönskade program Identifiera okända programhot Identifiera okända makrohot Undersöker samtliga undermappar i den angivna mappen. Gör det möjligt att känna av potentiellt oönskade program i genomsökningen. Under genomsökningen används den information som du har konfigurerat i inställningarna för Hotdetektering Alternativ för att identifiera eventuellt oönskade program. Använder McAfee GTI för att identifiera körbara filer som innehåller kod som påminner om skadlig programvara. Använder McAfee GTI för att identifiera okända makrovirus. 118 McAfee Endpoint Security 10.5 Produkthandbok

119 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Tabell 3-18 Alternativ (fortsättning) Avsnitt Alternativ Definition Genomsökningsplatser (endast Fullständig genomsökning och Snabbgenomsökning) Specificerar de platser som ska genomsökas. Dessa alternativ gäller endast Fullständig genomsökning, Snabbgenomsökning och anpassade genomsökningar. Filtyper som ska genomsökas Alla filer Genomsöker alla filer, oavsett tillägg. McAfee rekommenderar starkt att du aktiverar Alla filer. Om du inte väljer detta alternativ har datorn inget skydd mot angrepp av skadlig programvara. Standard- och angivna filtyper Endast angivna filtyper Genomsökningar: Standardlista över filtillägg i den aktuella AMCore-innehållsfilen, inklusive filer utan tillägg Ytterligare filtillägg som du anger Avgränsa tilläggen med ett kommatecken. (Valfritt) Kända makrohot i listan över standardfiltillägg och specificerade filtillägg Genomsöker en eller båda: Endast filer med angivna (kommateckenavgränsade) tillägg Alla filer utan tillägg McAfee GTI Undantag Åtgärder Lägg till Delete (Ta bort) Aktiverar och konfigurerar McAfee GTI-inställningar. Anger vilka filer, mappar och enheter som ska undantas vid genomsökningar. Lägger till ett objekt i undantagslistan. Tar bort ett objekt från undantagslistan. Anger hur genomsökningen ska reagera när ett hot upptäcks. Prestanda Använd genomsökningsminnet Gör det möjligt att använda befintliga, rensade resultat i genomsökningen. Metodtips: Välj det här alternativet för att minska duplicerad genomsökning och förbättra prestandan. McAfee Endpoint Security 10.5 Produkthandbok 119

120 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-18 Alternativ (fortsättning) Avsnitt Alternativ Definition Systemanvändning Låter operativsystemet ange mängden processortid som tas emot under genomsökningen. Varje aktivitet körs separat, oberoende av begränsningarna för andra aktiviteter. Låg Ger ökad prestanda för andra program som körs. Metodtips: Välj detta alternativ för system som har användaraktivitet. Under normal Ställer in genomsökningens systemanvändning enligt McAfee epo-standard. Normal (standard) Möjliggör snabbare genomsökning. Metodtips: Välj detta alternativ för system som har större volymer och låg användaraktivitet. Alternativ för schemalagd genomsökning Dessa alternativ gäller endast Fullständig genomsökning, Snabbgenomsökning och anpassade genomsökningar. Utför endast en genomsökning när systemet är inaktivt Genomsök när som helst Utför endast en genomsökning när systemet är i viloläge. Hotdetektering pausar genomsökningen när systemet används via tangentbordet eller musen. Hotdetektering återupptar genomsökningen när användaren (och processorn) varit i viloläge i fem minuter. Inaktivera endast detta alternativ i serversystem och system som användare kommer åt med hjälp av Anslutning till fjärrskrivbord. Hotdetektering är beroende av McTray för att fastställa om systemet är i viloläge. McTray startar inte på system som endast kan kommas åt med hjälp av fjärrskrivbordsanslutning och genomsökning på begäran körs aldrig. Användarna kan undvika det här problemet genom att starta McTray manuellt (från C:\Program Files\McAfee\Agent\mctray.exe som standard) när de loggar in med hjälp av fjärrskrivbordsanslutning. Kör genomsökningen även om användaren är aktiv och anger genomsökningsalternativ. 120 McAfee Endpoint Security 10.5 Produkthandbok

121 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Tabell 3-18 Alternativ (fortsättning) Avsnitt Alternativ Definition Användare kan senarelägga schemalagda genomsökningar Låter användaren senarelägga genomsökningar och anger alternativ för senareläggning av genomsökning. Maximalt antal gånger användaren kan senarelägga under en timme Anger antal gånger (1 23) som genomsökningen kan senareläggas med en timme. Användarmeddelande Anger vilket meddelande som visas när genomsökningen ska starta. Standardmeddelandet är: McAfee Endpoint Security kommer strax att utföra en genomsökning av systemet. Meddelandevaraktighet (sekunder) Anger hur många sekunder som användarmeddelandet visas när genomsökningen startar. Giltigt intervall för meddelandets varaktighet är ; standardinställningen är 45 sekunder. Gör ingen genomsökning när datorn går på batteridrift Genomsök inte när datorn är i presentationsläge Senarelägger genomsökningen om datorn är i presentationsläge. Senarelägger genomsökning när datorn använder batteriet. Se även Konfigurera Genomsökning på begäran inställningar på sidan 89 Konfigurera, schemalägga och köra genomsökningar på sidan 93 Kör en Fullständig genomsökning eller en Snabbgenomsökning på sidan 56 Genomsöka en fil eller mapp på sidan 58 Genomsök platser på sidan 121 McAfee GTI på sidan 123 Åtgärder på sidan 124 Lägg till undantag eller Redigera undantag på sidan 126 Genomsök platser Anger de platser som ska genomsökas. Dessa alternativ gäller endast Fullständig genomsökning, Snabbgenomsökning och anpassade genomsökningar. McAfee Endpoint Security 10.5 Produkthandbok 121

122 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-19 Alternativ Avsnitt Alternativ Definition Genomsökningsplatser Genomsök undermappar Undersöker alla undermappar på de angivna volymerna när något av följande alternativ väljs: Arbetsmapp Mapp för användarprofil Mappen Programfiler Mappen Temp Fil eller mapp Avmarkera det här alternativet om du enbart vill genomsöka volymernas rotnivå. Specificera platser Minne för rootkits Anger de platser som ska genomsökas. Lägg till Lägger till en plats i genomsökningen. Klicka på Lägg till och markera därefter platsen från listrutan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort en plats från genomsökningen. Markera platsen och klicka på Ta bort. Söker igenom systemminnet efter installerade rootkits, dolda processer och andra beteenden som kan tyda på att det finns dold skadlig programvara. Den här genomsökningen görs före alla andra genomsökningar. Om du inte aktiverar det här alternativet har datorn inget skydd mot angrepp från skadlig programvara. Pågående processer Genomsöker minnet i alla processer som körs. Andra åtgärder förutom Rensa filer behandlas som Fortsätt genomsökning. Om du inte aktiverar det här alternativet har datorn inget skydd mot angrepp från skadlig programvara. Registrerade filer Den här datorn Alla lokala enheter Alla fasta enheter Alla flyttbara enheter Alla mappade enheter Arbetsmapp Mapp för användarprofil Windows-mapp Genomsöker filer som Windows-registret hänvisar till. Genomsökningen utför genomsökning på registret efter filnamn, och fastställer om filerna finns, skapar en lista över filer som ska genomsökas och genomsöker därefter filerna. Söker igenom alla enheter som är fysiskt anslutna till datorn eller logiskt mappade till en enhetsbeteckning på datorn. Genomsöker alla enheter och deras undermappar på datorn. Söker igenom alla enheter som är fysiskt anslutna till datorn. Genomsöker alla flyttbara enheter och andra lagringsenheter som är anslutna till datorn utom enheter med Windows To Go installerat. Söker igenom nätverksenheter som är logiskt mappade till en enhetsbeteckning på datorn. Söker igenom arbetsmappen för den användare som startar sökningen. Söker igenom profilen för den användare som startar genomsökningen, inklusive användarens mapp Mina dokument. Söker igenom innehållet i Windows-mappen. 122 McAfee Endpoint Security 10.5 Produkthandbok

123 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Tabell 3-19 Alternativ (fortsättning) Avsnitt Alternativ Definition Mappen Programfiler Temp-mappen Papperskorgen Fil eller mapp Registret Se även Hotdetektering Genomsökning på begäran på sidan 117 Söker igenom innehållet i mappen Programfiler. Söker igenom innehållet i mappen Temp. Söker igenom innehållet i papperskorgen. Genomsöker den angivna filen eller mappen. Genomsöker registernycklar och värden. McAfee GTI Aktivera och konfigurera inställningar för McAfee GTI (Global Threat Intelligence). Tabell 3-20 Alternativ Avsnitt Aktivera McAfee GTI Känslighetsnivå Alternativ Definition Aktiverar och inaktiverar heuristiska kontroller. När det här alternativet är aktiverat skickas fingeravtryck av prov eller hash-värden till McAfee Labs där skadlig programvara identifieras. När hash-värden skickas kan avkänning bli tillgänglig snabbare, före nästa uppdatering av AMCore-innehållsfil när McAfee Labs publicerar uppdateringen. När funktionen är inaktiverad skickas inga fingeravtryck eller data till McAfee Labs. Konfigurerar känslighetsnivån som används för att fastställa om ett identifierat prov innehåller skadlig programvara. Ju högre känslighetsnivån är, desto högre är antalet avkänningar av skadlig programvara. Fler avkänningar kan däremot resultera i fler falska positiva resultat. Mycket låg Låg Avkänningar och risken för falska positiva resultat är desamma som för vanliga AMCore-innehållsfiler. En avkänning blir tillgänglig för Hotdetektering när McAfee Labs publicerar den, i stället för i nästa uppdatering av AMCore-innehållsfilen. Använd den här inställningen för stationära datorer samt servrar med begränsade användarrättigheter och starka säkerhetskonfigurationer. Den här inställningen ger ett genomsnitt på frågor per dag, per dator. Den här inställningen är den lägsta rekommenderade inställningen för bärbara eller stationära datorer, samt servrar med starka säkerhetskonfigurationer. Den här inställningen ger ett genomsnitt på frågor per dag, per dator. McAfee Endpoint Security 10.5 Produkthandbok 123

124 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-20 Alternativ (fortsättning) Avsnitt Alternativ Definition Medel Använd den här inställningen när den allmänna risken för exponering av skadlig programvara är större än risken för falska positiva resultat. McAfee Labs egna heuristiska kontroller resulterar i avkänningar som med stor sannolikhet är skadlig programvara. Vissa avkänningar kan dock ge falska positiva resultat. Med den här inställningen kontrollerar McAfee Labs att populära program och systemfiler för operativsystem inte orsakar ett falskt positivt resultat. Den här inställningen är den lägsta rekommenderade inställningen för bärbara datorer, stationära datorer och servrar. Den här inställningen ger ett genomsnitt på frågor per dag, per dator. Hög Mycket hög Använd den här inställningen för system eller områden som infekteras regelbundet. Den här inställningen ger ett genomsnitt på frågor per dag, per dator. Använd den här inställningen på volymer för icke-operativsystem. Avkänningar som hittas på den här nivån antas vara skadliga, men har inte testats fullt ut för att se om de är falska positiva resultat. Använd endast den här inställningen vid genomsökning av volymer och kataloger som saknar stöd för körning av program eller operativsystem. Den här inställningen ger ett genomsnitt på frågor per dag, per dator. Se även Hotdetektering Genomsökning vid åtkomst på sidan 113 Hotdetektering Genomsökning på begäran på sidan 117 Webbkontroll Alternativ Sidan på sidan 168 Åtgärder Ange hur genomsökningen ska reagera när ett hot upptäcks. Tabell 3-21 Alternativ Avsnitt Alternativ Definition Genomsökningstyp Genomsökning vid åtkomst Genomsökning på begäran Första svar vid hotavkänning Anger den första åtgärden som genomsökningen ska vidta när ett hot upptäcks. Neka åtkomst till filer Fortsätt genomsökning Rensa filer Ta bort filer Förhindrar användare från att få åtkomst till filer med potentiella hot. Fortsätter genomsökning av filer när ett hot identifieras. Genomsökningen flyttar inte objekt till karantänen. Tar bort hotet från den identifierade filen, om det är möjligt. Tar bort filer med potentiella hot. 124 McAfee Endpoint Security 10.5 Produkthandbok

125 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Tabell 3-21 Alternativ (fortsättning) Avsnitt Alternativ Definition Genomsökningstyp Om första svar misslyckas Första svar vid oönskade program Neka åtkomst till filer Fortsätt genomsökning Ta bort filer Genomsökning vid åtkomst Genomsökning på begäran Anger åtgärden som genomsökningen ska vidta när ett hot identifieras och den första åtgärden misslyckas. Förhindrar användare från att få åtkomst till filer med potentiella hot. Fortsätter genomsökning av filer när ett hot identifieras. Genomsökningen flyttar inte objekt till karantänen. Tar bort filer med potentiella hot. Anger den första åtgärd som genomsökningen ska vidta när ett potentiellt oönskat program identifieras. Det här alternativet är bara tillgängligt om Känn av oönskade program har valts. Om första svar misslyckas Neka åtkomst till filer Tillåt åtkomst till filer Fortsätt genomsökning Rensa filer Ta bort filer Neka åtkomst till filer Tillåt åtkomst till filer Förhindrar användare från att få åtkomst till filer med potentiella hot. Tillåter att användare får åtkomst till filer med potentiella hot. Fortsätter genomsökning av filer när ett hot identifieras. Genomsökningen flyttar inte objekt till karantänen. Tar bort hotet från potentiellt oönskade program, om det är möjligt. Tar bort potentiellt oönskade programfiler. Anger åtgärden som genomsökningen ska vidta när en oönskad programavkänning identifieras och den första åtgärden misslyckas. Det här alternativet är bara tillgängligt om Känn av oönskade program har valts. Förhindrar användare från att få åtkomst till filer med potentiella hot. Tillåter att användare får åtkomst till filer med potentiella hot. McAfee Endpoint Security 10.5 Produkthandbok 125

126 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-21 Alternativ (fortsättning) Avsnitt Alternativ Definition Genomsökningstyp Fortsätt genomsökning Ta bort filer Fortsätter genomsökning av filer när ett hot identifieras. Genomsökningen flyttar inte objekt till karantänen. Tar bort potentiellt oönskade programfiler automatiskt. Se även Hotdetektering Genomsökning vid åtkomst på sidan 113 Hotdetektering Genomsökning på begäran på sidan 117 Genomsökning vid åtkomst Genomsökning på begäran Lägg till undantag eller Redigera undantag Lägg till eller redigera en undantagsdefinition. Tabell 3-22 Alternativ Avsnitt Alternativ Definition Genomsökningstyp Vad ska undantas Filnamn eller sökväg vid åtkomst på begäran Anger typen av undantag och information om undantaget. Anger filnamnet eller sökvägen till undantaget. Filsökvägen kan innehålla jokertecken. Om du vill undanta en mapp i Windows-system, lägger du till ett omvänt snedstreck (\) i sökvägen. Markera Undanta även undermappar om så krävs. När ska undantag ske Filtyp Filens ålder Vid skrivning till disk eller läsning från disk Vid läsning från disk Vid skrivning till disk Anger filtyper (filnamnstillägg) som ska undantas. Anger åtkomsttyp (Modifierad, Använd (endast för genomsökning på begäran) eller Skapad) för filer som ska undantas och Minimiålder i dagar. Anger när det markerade objektet ska undantas. Undantas från genomsökning när filer skrivs till eller läses från disk eller andra datalagringsenheter. Undantas från genomsökning när filer läses från dator eller andra datalagringsenheter. Undantas från genomsökning när filer skrivs till eller ändras på disk eller andra datalagringsenheter. 126 McAfee Endpoint Security 10.5 Produkthandbok

127 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering 3 Se även Hotdetektering Genomsökning vid åtkomst på sidan 113 Hotdetektering Genomsökning på begäran på sidan 117 Jokertecken i undantag på sidan 65 Konfigurera undantag på sidan 63 Hotdetektering Alternativ Konfigurerar inställningar som gäller för funktionen Hotdetektering inklusive karantän, eventuellt oönskade program och undantag. Det här avsnittet innehåller endast Avancerade alternativ. Tabell 3-23 Alternativ Avsnitt Alternativ Definition Quarantine Manager Karantänmapp Anger platsen för karantänmappen eller godkänner standardplatsen: c:\karantän Karantänmappen är begränsad till 190 tecken. Undantag efter avkänningsnamn Ange maximalt antal dagar som karantändata ska sparas Undanta dessa avkänningsnamn Anger antal dagar (1-999) som objekt i karantän ska behållas innan de tas bort automatiskt. Standardvärdet är 30 dagar. Anger avkänningsundantag efter avkänningsnamn. Om du exempelvis vill att genomsökning vid åtkomst och genomsökning på begäran inte ska avkänna hot i Installationskontroll anger duinstallationskontroll. Lägg till Lägger till ett avkänningsnamn i undantagslistan. Klicka på Lägg till och ange avkänningsnamnet. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort ett avkänningsnamn från undantagslistan. Markera namnet och klicka sedan på Ta bort. Avkänning av eventuellt oönskade program Undanta anpassade oönskade program Anger enstaka filer eller program som ska behandlas som eventuellt oönskade program. Genomsökningarna identifierar de program som du anger, samt program enligt AMCore-innehållsfilerna. Genomsökningen identifierar inte ett användardefinierat oönskat program på noll byte. Lägg till Definierar ett anpassat oönskat program. Klicka på Lägg till och ange namnet, tryck sedan på TABB-tangenten för att ange beskrivningen. Namn Anger filnamnet för det eventuellt oönskade programmet. Beskrivning Anger informationen som ska visas som ett avkänningsnamn när en avkänning görs. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort eventuellt oönskade program i listan. Markera programmet i tabellen och klicka sedan på Ta bort. Proaktiv dataanalys Skickar anonyma diagnostik- och användningsdata till McAfee. McAfee Endpoint Security 10.5 Produkthandbok 127

128 3 Använda Hotdetektering Endpoint Security-klient gränssnittsreferens Hotdetektering Tabell 3-23 Alternativ (fortsättning) Avsnitt Alternativ Definition McAfee GTI-feedback Säkerhetspuls Aktiverar McAfee GTI-baserad telemetrifeedback för att samla in anonymiserade data om filer och processer som körs i klientsystemet. Utför en hälsokontroll av klientsystemet före och efter uppdateringar av AMCore-innehållsfiler, samt med regelbundna intervaller, och skickar resultatet till McAfee. Resultaten krypteras och skickas till McAfee via SSL. McAfee aggregerar och analyserar sedan data från dessa rapporter för att identifiera avvikelser som kan indikera möjliga innehållsrelaterade problem. Direkt identifiering av sådana problem är viktigt för snabb inneslutning och reparation. Säkerhetspuls samlar in följande typer av data: Version av operativsystem och språk McAfee-produktversion AMCore-innehåll och motorversion Processinformation om McAfee- och Microsoft-körningar AMCore-innehållsrykte Utför en McAfee GTI-sökning av ryktet för AMCore-innehållsfilen innan klientsystemet uppdateras. Om McAfee GTI tillåter filen uppdaterar Endpoint Security AMCore-innehållet. Om McAfee GTI inte tillåter filen uppdaterar Endpoint Security inte AMCore-innehållet. Se även Konfigurera gemensamma inställningar för genomsökning på sidan 81 Klientaktiviteten Återställ AMCore-innehåll Ändrar AMCore-innehållet till en tidigare version. Innehållsuppdateringar i Utnyttjandeskydd kan inte återkallas. Alternativ Välj version att läsa in Definition Anger versionsnummer för en tidigare AMCore innehållsfil som ska läsas in. Endpoint Security behåller de två tidigare versionerna på klientsystemet. När du ändrar till en tidigare version, tar Endpoint Security bort den nuvarande versionen av AMCore-innehållet från systemet. Se även Ändra innehållsversionen för AMCore på sidan McAfee Endpoint Security 10.5 Produkthandbok

129 4 Använda Brandvägg Brandvägg fungerar som ett filter mellan datorn och nätverket eller Internet. Innehåll Så här fungerar Brandvägg Aktivera och inaktivera Brandvägg från McAfee-systemfältsikonen Aktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen Hantera Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg Så här fungerar Brandvägg Brandvägg genomsöker all inkommande och utgående trafik. Samtidigt som Brandvägggranskar inkommande och utgående trafik kontrolleras listan över regler, som är ett system av kriterier och associerade åtgärder. Om trafiken överensstämmer med alla regelkriterier agerarbrandvägg i enlighet med denna regel och blockerar eller tillåter trafik via Brandvägg. Information om identifierade hot sparas för rapporter som informerar administratören om säkerhetsproblem i datorn. Brandvägg-alternativ och regler definierar hur Brandvägg fungerar. Regelgrupperna organiserar brandväggsregler som underlättar hanteringen. Om Klientgränssnittsläge är inställt på Fullständig åtkomst eller om du har loggat in som administratör, går det att konfigurera regler och grupper med hjälp av Endpoint Security-klient. Regler och grupper som du skapar kan skrivas över när administratören distribuerar en uppdaterad princip i ett hanterat system. Se även Konfigurera Brandvägg på sidan 131 Så här fungerar brandväggsregler på sidan 135 Så här fungerar grupper för brandväggsregler på sidan 137 Aktivera och inaktivera Brandvägg från McAfeesystemfältsikonen Beroende på vilka inställningar som har konfigurerats går det att aktivera och inaktivera Brandvägg från McAfee-systemfältsikonen. Tillgängligheten för dessa alternativ varierar beroende på hur inställningarna har konfigurerats. McAfee Endpoint Security 10.5 Produkthandbok 129

130 4 Använda Brandvägg Aktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen Åtgärd Högerklicka på McAfee-systemfältsikonen och välj Inaktivera Endpoint Security-brandvägg ett alternativ i menyn Snabbinställningar. När Brandvägg är aktiverad är alternativet Inaktivera Endpoint Security-brandvägg. Beroende på inställningarna kan du även uppmanas att informera administratören om anledningen till att Brandvägg inaktiverats. Aktivera eller visa tidsbegränsade Brandvägg i McAfeesystemfältsikonen Aktivera, inaktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen. Tillgängligheten för dessa alternativ varierar beroende på hur inställningarna har konfigurerats. Åtgärd Högerklicka på McAfee-systemfältsikonen och välj ett alternativ i menyn Snabbinställningar. Aktivera tidsbegränsade brandväggsgrupper Tillåter Internetanslutning för tidsbegränsade grupper under en angiven tidsperiod innan reglerna som begränsar åtkomst tillämpas. När tidsbegränsade grupper aktiveras är alternativet Inaktivera tidsbegränsade brandväggsgrupper. Varje gång du väljer det här alternativet återställs tiden för grupperna. Beroende på inställningarna kan du även uppmanas att informera administratören om anledningen till att tidsbegränsade grupper har aktiverats. Visa tidsbegränsade brandväggsgrupper Visar namnen på de tidsbegränsade grupperna och den återstående tiden som varje grupp är aktiv. Om tidsbegränsade grupper Tidsbegränsade grupper är grupper för Brandvägg som är aktiva för en angiven tidsperiod. En tidsbegränsad grupp kan vara aktiverad för att tillåta att ett klientsystem kan ansluta till ett allmänt nätverk och skapa en VPN-anslutning. Beroende på kan grupper aktiveras antingen: efter ett angivet schema. manuellt genom att välja alternativ från McAfees systemfältsikon. Hantera Brandvägg Med administratörsbehörighet kan du konfigurera alternativ för Brandvägg och skapa regler och grupper på Endpoint Security-klient. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. 130 McAfee Endpoint Security 10.5 Produkthandbok

131 Använda Brandvägg Hantera Brandvägg 4 Ändra Brandvägg-alternativ Som administratör kan du ändra Brandvägg-alternativ från Endpoint Security-klient. Åtgärder Konfigurera Brandvägg på sidan 131 Konfigurera inställningar i alternativen för att aktivera och inaktivera brandväggsskyddet, aktivera adaptivt läge och konfigurera andra Brandvägg. Blockera DNS-trafik på sidan 132 Förfina brandväggsskyddet genom att skapa en lista över FQDN:er som ska blockeras. Brandvägg blockerar anslutningar till IP-adresser som matchar domännamnen. Definiera nätverk som ska användas i regler och grupper på sidan 133 Definiera nätverksadresser, delnät och intervaller som ska användas i regler och grupper. Ange vid behov om nätverken är betrodda. Konfigurera körbara filer på sidan 134 Definiera eller redigera listan med betrodda körbara filer som betraktas som säkra för miljön. Se även Vanliga frågor och svar McAfee GTI och Brandvägg på sidan 132 Konfigurera Brandvägg Konfigurera inställningar i alternativen för att aktivera och inaktivera brandväggsskyddet, aktivera adaptivt läge och konfigurera andra Brandvägg. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Välj Aktivera brandvägg för att aktivera brandväggen och ändra dess alternativ. Host Intrusion Prevention 8.0 kan installeras i samma system som Endpoint Security version Om McAfee Host IPS Brandvägg är installerad och aktiverad, så inaktiveras Endpoint Security-brandvägg även om den är aktiverad i principinställningarna. 4 Klicka på Visa avancerat. 5 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Se även Logga in som administratör på sidan 26 McAfee Endpoint Security 10.5 Produkthandbok 131

132 4 Använda Brandvägg Hantera Brandvägg Blockera DNS-trafik Förfina brandväggsskyddet genom att skapa en lista över FQDN:er som ska blockeras. Brandvägg blockerar anslutningar till IP-adresser som matchar domännamnen. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Under DNS-blockering, klicka på Lägg till. 4 Ange FQDN:er för domäner som ska blockeras. Klicka sedan på Spara. Det går att använda jokertecknen * och?. Till exempel, *domain.com. Eventuella dubblettposter tas bort automatiskt. 5 Klicka på Spara. 6 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Vanliga frågor och svar McAfee GTI och Brandvägg Här följer svaren på några av de vanligaste frågorna vi får. Med inställningarna för Brandvägg Alternativ kan du blockera inkommande och utgående trafik från en nätverksanslutning som har klassificerats som hög risk av McAfee GTI. I Vanliga frågor och svar beskrivs vad McAfee GTI gör och hur det påverkar brandväggen. Vad är McAfee GTI? McAfee GTI är ett globalt ryktes- och informationssystem för Internet som avgör vad som är bra och dåligt beteende på Internet. McAfee GTI använder analys i realtid av världsomfattande beteendemönster och överföringsmönster för e-post, webbaktivitet, skadlig programvara och beteende mellan olika system. Med hjälp av data från analysen utför McAfee GTI dynamisk beräkning av ryktespoäng som motsvarar risknivån för ditt nätverk när du besöker en webbsida. Resultaten finns i en databas med ryktespoäng för IP-adresser, domäner, särskilda meddelanden, URL:er och avbildningar. Vanliga frågor och svar om McAfee GTI finns i KB Hur fungerar McAfee GTI med Brandvägg? När alternativ för McAfee GTI väljs, skapas två brandväggsregler: McAfee GTI Tillåt Endpoint Security-brandväggstjänsten och McAfee GTI Hämta klassificering. Den första regeln tillåter en anslutning till McAfee GTI och den andra regeln blockerar eller tillåter trafik utifrån anslutningens rykte och angiven blockeringströskel. Vad menas med rykte? För varje IP-adress på Internet beräknar McAfee GTI ett ryktesvärde. McAfee GTI baserar värdet på sändnings- eller värdbeteende och olika miljödata som samlas in från kunder och partners beträffande tillståndet för Internets hotbild. Ryktet visas i fyra klasser baserat på vår analys: 132 McAfee Endpoint Security 10.5 Produkthandbok

133 Använda Brandvägg Hantera Brandvägg 4 Blockera inte (minimal risk) Det här är en legitim källa eller mål för innehåll/trafik. Hög risk Den här källan/målet skickar eller fungerar som värd för potentiellt skadligt innehåll/trafik som betraktas som riskfyllt av McAfee. Medelstor risk Den här källan/målet visar beteenden som betraktas som misstänkt av McAfee. Innehåll och trafik från webbplatsen måste granskas noggrant. Obekräftad Den här webbplatsen verkar vara en legitim källa eller mål för innehåll/trafik, men visar även egenskaper som tyder på att ytterligare granskning behövs. Finns det någon latens hos McAfee GTI? Hur mycket? När McAfee GTI kontaktas för att undersöka ett rykte är en viss latens oundviklig. McAfee har gjort allt för att minimera den här latensen. McAfee GTI: Kontrollerar endast rykten när alternativen väljs. Använder en intelligent cachelagringsarkitektur. I normala nätverksanvändarmönster matchar cachen de mest använda anslutningarna utan någon aktiv ryktesfråga. Om brandväggen inte kan nå McAfee GTI-servrarna, stoppas trafiken då? Om brandväggen inte kan nå någon av McAfee GTI-servrarna, tilldelar den automatiskt alla tillämpliga anslutningar med tillåtet rykte som standard. Brandväggen fortsätter sedan att analysera efterföljande regler. Definiera nätverk som ska användas i regler och grupper Definiera nätverksadresser, delnät och intervaller som ska användas i regler och grupper. Ange vid behov om nätverken är betrodda. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Klicka på Visa avancerat. McAfee Endpoint Security 10.5 Produkthandbok 133

134 4 Använda Brandvägg Hantera Brandvägg 4 Gör något av följande från Definierade nätverk: För att... Definiera ett nytt nätverk. Steg Klicka på Lägg till och ange detaljerna för det betrodda nätverket. Definiera att nätverket är betrott genom att välja Ja på listmenyn Betrodda. Om du väljer Nej definieras nätverket för användning i regler och grupper, men inkommande och utgående trafik från nätverket är inte automatiskt betrodd. Ändra en nätverksdefinition. Dubbelklicka på objektet i varje kolumn och ange den nya informationen. Ta bort ett nätverk. Markera en rad och klicka på Ta bort. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Om betrodda nätverk Betrodda nätverk är IP-adresser, IP-adressintervall och delnät som betraktas som säkra av din organisation. Om du definierar ett nätverk som betrott, skapas en dubbelriktad Tillåt-regel för det aktuella fjärrnätverket överst i regellistan i Brandvägg. När de har definierats kan du skapa brandväggsregler som gäller för dessa betrodda nätverk. Betrodda nätverk fungerar även som undantag för McAfee GTI i brandväggen. Metodtips: När man lägger till nätverk till brandväggsregler och grupper väljer du Definierade nätverk för nätverkstypen för att utnyttja funktionen. Konfigurera körbara filer Definiera eller redigera listan med betrodda körbara filer som betraktas som säkra för miljön. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Klicka på Visa avancerat. 134 McAfee Endpoint Security 10.5 Produkthandbok

135 Använda Brandvägg Hantera Brandvägg 4 4 Gör något av följande från Betrodda körbara filer: För att... Definiera en ny betrodd körbar fil. Ändra definitionen av den körbara filen. Ta bort en körbar fil. Steg Klicka på Lägg till och ange detaljerna för den betrodda körbara filen. Dubbelklicka på objektet i varje kolumn och ange den nya informationen. Markera en rad och klicka på Ta bort. 5 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Om betrodda körbara filer och program Betrodda körbara filer är körbara filer som inte har kända sårbarheter och som bedöms som säkra. Om du konfigurerar en betrodd körbar fil, skapas en dubbelriktad Tillåt-regel för den aktuella körbara filen överst i regellistan i Brandvägg. Att upprätthålla en lista med säkra körbara filer för ett system minskar eller eliminerar de flesta falska positiva. Om du till exempel kör ett säkerhetskopieringsprogram kan många falsklarm utlösas. För att undvika att utlösa falsklarm bör säkerhetskopieringsprogrammet göras till en betrodd körbar fil. En betrodd körbar fil är känslig för vanliga sårbarheter som buffertspill och otillåten användning. Därför övervakar Brandvägg fortfarande betrodda körbara filer och utlöser händelser för att förhindra utnyttjande. Brandväggskatalogen innehåller både körbara filer och program. Körbara filer i katalogen kan kopplas till ett behållarprogram. Du kan lägga till körbara filer och program från katalogen till din lista med betrodda körbara filer. När definitionen är klar kan du referera till de körbara filerna i regler och grupper. Konfigurera Brandvägg regler och grupper Med administratörsbehörighet kan du konfigurera Brandvägg regler och grupper från Endpoint Security-klient. Åtgärder Skapa och hantera Brandvägg-regler och -grupper på sidan 141 Regler och grupper som du konfigurerar från Endpoint Security-klient kan skrivas över när administratören distribuerar en uppdaterad princip i ett hanterat system. Create grupper för anslutningsisolering på sidan 143 Skapa en grupp för brandväggsregeln anslutningsisolering och etablera regler som endast gäller vid anslutning till ett nätverk med särskilda parametrar. Skapa tidsbegränsade grupper på sidan 144 Skapa Brandvägg brandväggsgrupper för att begränsa Internetåtkomsten tills ett klientsystem ansluts via VPN. Så här fungerar brandväggsregler Brandvägg-regler bestämmer hur nätverkstrafik ska hanteras. Varje regel har en villkorsuppsättning som trafik måste uppfylla och en åtgärd för att tillåta eller blockera trafik. När Brandvägg påträffar trafik som matchar en regels villkor, utför den den kopplade åtgärden. Du kan definiera regler brett (till exempel all IP-trafik) eller smalt (till exempel genom att identifiera ett specifikt program eller tjänst) och ange alternativ. Du kan gruppera regler enligt en arbetsfunktion, tjänst eller ett program för att göra dem enklare att hantera. Precis som med regler kan du definiera regelgrupper efter alternativ för nätverk, transport, program, schema och plats. McAfee Endpoint Security 10.5 Produkthandbok 135

136 4 Använda Brandvägg Hantera Brandvägg Brandvägg tillämpar regler enligt företräde: 1 Brandvägg tillämpar regeln överst på listan över brandväggsregler. Om trafiken uppfyller regelns villkor kommer Brandvägg att tillåta eller blockera den. Den försöker inte tillämpa några andra regler på listan. 2 Om trafiken inte uppfyller villkoren för den första regeln fortsätter Brandvägg till nästa regel på listan och så vidare tills den hittar en regel som matchar trafiken. 3 Brandväggen blockerar trafiken automatiskt om det inte finns någon matchande regel. Om adaptivt läge är aktiverat kommer en tillåtelseregel att skapas för trafiken. Ibland matchar den stoppade trafiken mer än en av reglerna på listan. I det här fallet innebär företräde att Brandvägg endast tillämpar den första matchande regeln på listan. Metodtips Placera de mest specifika reglerna högst upp på listan och de mer allmänna längst ned. Den här ordningen gör att Brandvägg filtrerar trafiken på rätt sätt. Du måste till exempel skapa två regler för att tillåta alla HTTP-begäranden utom de som kommer från en specifik adress (exempelvis IP-adressen ): Blockeringsregel blockera HTTP-trafik från IP-adress Den här regeln är specifik. Tillåtelseregel tillåt alla trafik som använder HTTP-tjänsten. Den här regeln är allmän. Placera Blockeringsregeln högre upp på listan över brandväggsregler än Tillåtelseregeln. När brandväggen stoppar HTTP-begäran från adressen , kommer den första regeln den hittar att vara den som blockerar trafiken genom brandväggen. 136 McAfee Endpoint Security 10.5 Produkthandbok

137 Använda Brandvägg Hantera Brandvägg 4 Om den allmänna Tillåtelseregeln är högre upp än den specifika Blockeringsregeln, matchar Brandvägg begäran mot Tillåtelseregeln innan den hittar Blockeringsregeln. Den tillåter trafiken, även om du ville blockera HTTP-begäran från en specifik adress. Så här fungerar grupper för brandväggsregler Använd Brandvägg för att organisera brandväggsregler och underlätta hanteringen av dem. Brandvägg påverkar inte hur Brandvägg hanterar reglerna i dem.brandvägg bearbetar fortfarande reglerna uppifrån och ned. Brandvägg bearbetar inställningarna för gruppen innan den bearbetar inställningarna för reglerna som finns i den. Gruppinställningarna har företräde om det uppstår en konflikt mellan inställningarna. Göra grupper platsmedvetna Brandvägg låter dig göra en grupp och dess regler platsmedvetna samt skapa anslutningsisolering. Med Plats och Nätverksalternativ för gruppen kan du göra dess nätverk adaptermedvetet. Använd nätverksadaptergrupper för att tillämpa adapterspecifika regler på datorer med flera nätverksgränssnitt. När du har aktiverat platsstatusen och gett platsen ett namn, kan parametrarna för tillåtna anslutningar inkludera följande för varje nätverksadapter: Plats: Krävs att McAfee epo kan nås Anslutningsspecifikt DNS-suffix IP-adress för standard-gateway IP-adress för DHCP-server DNS-server som tillfrågats om lösning av webbadresser IP-adress för primär WINS-server IP-adress för sekundär WINS-server Nåbarhet för domän (HTTPS) Registernyckel Nätverk: IP-adress för lokalt nätverk Anslutningstyper Om två platsmedvetna grupper tillämpas i en anslutning kommer Brandvägg att använda normalt företräde och bearbeta den första tillämpliga gruppen på regellistan. Om ingen regel matchas i den första gruppen kommer regelbearbetningen att fortsätta. När Brandvägg matchar en platsmedveten grupps parametrar till en aktiv anslutning kommer den att tillämpa reglerna i gruppen. Den behandlar reglerna som en liten regeluppsättning och använder normalt företräde. Om vissa regler inte matchar den stoppade trafiken ignoreras de av brandväggen. Om det här alternativet markeras... Aktivera platskännedom Krävs att McAfee epo kan nås Lokalt nätverk Anslutningsspecifikt DNS-suffix I så fall... Ett platsnamn är obligatoriskt. McAfee epo kan nås och FQDN för servern har lösts. Adapterns IP-adress måste matcha en av listposterna. Adapterns DNS-suffix måste matcha en av listposterna. McAfee Endpoint Security 10.5 Produkthandbok 137

138 4 Använda Brandvägg Hantera Brandvägg Om det här alternativet markeras... Standard-gateway DHCP-server DNS-server Primär WINS-server Sekundär WINS-server Nåbarhet för domän (HTTPS) I så fall... Standard-gatewayens IP-adress måste matcha minst en av listposterna. IP-adressen för adapterns DHCP-server måste matcha minst en av listposterna. IP-adressen för adapterns DNS-server måste matcha någon av listposterna. IP-adressen för adapterns primära WINS-server måste matcha minst en av listposterna. IP-adressen för adapterns sekundära WINS-server måste matcha minst en av listposterna. Den angivna domänen måste kunna nås med HTTPS. Regelgrupper och anslutningsisolering för Brandvägg Använd anslutningsisolering för grupper för att förhindra att oönskad trafik får tillgång till ett angivet nätverk. Om anslutningsisolering har aktiverats för en grupp och ett aktivt nätverkskort (NIC) matchar gruppens kriterier, kommer Brandvägg endast att bearbeta trafik som stämmer överens med: Tillåt regler ovanför gruppen på listan över brandväggsregler Gruppkriterier All övrig trafik blockeras. En grupp med anslutningsisolering aktiverad kan inte ha associerade transportalternativ eller körbara filer. 138 McAfee Endpoint Security 10.5 Produkthandbok

139 Använda Brandvägg Hantera Brandvägg 4 Föreställ dig två olika platser för att illustrera användandet av anslutningsisolering: en företagsmiljö och ett hotell. Listan över aktiva brandväggsregler innehåller regler och grupper i följande ordning: 1 Regler för grundläggande anslutning 2 VPN-anslutningsregler 3 Grupp med anslutningsregler för företagets LAN 4 Grupp med VPN-anslutningsregler McAfee Endpoint Security 10.5 Produkthandbok 139

140 4 Använda Brandvägg Hantera Brandvägg Exempel: anslutningsisolering på företagsnätverket Anslutningsreglerna bearbetas tills dess att gruppen med anslutningsregler för företagets LAN påträffas. Den här gruppen innehåller följande inställningar: Anslutningstyp = Trådbunden Anslutningsspecifikt DNS-suffix = mycompany.com Standard-gateway Anslutningsisolering = aktiverad Datorn har både LAN-nätverksadaptrar och trådlösa nätverksadaptrar. Datorn ansluter till företagets nätverk via en trådanslutning. Det trådlösa gränssnittet är fortfarande aktivt och ansluter till en aktiv punkt utanför kontoret. Datorn ansluter till båda nätverken eftersom reglerna för grundläggande åtkomst finns överst på listan över brandväggsregler. Den trådbundna LAN-anslutningen är aktiv och uppfyller kriterierna för gruppen företags-lan. Brandväggen bearbetar trafiken via LAN-nätverket, men eftersom anslutningsisolering är aktiverad blockeras all annan trafik som inte kommer via det nätverket. Exempel: anslutningsisolering på ett hotell Anslutningsreglerna bearbetas tills dess att gruppen med VPN-anslutningsregler påträffas. Den här gruppen innehåller följande inställningar: Anslutningstyp = Virtuell Anslutningsspecifikt DNS-suffix = vpn.mycompany.com IP-adress = En adress inom ett intervall som är specifikt för VPN-koncentratorn Anslutningsisolering = aktiverad Allmänna anslutningsregler tillåter konfiguration av ett tidsbegränsat konto för att få Internetåtkomst på hotellet. VPN-anslutningsreglerna tillåter anslutning till och användning av VPN-tunneln. När tunneln har upprättats skapar VPN-klienten en virtuell adapter som matchar VPN-gruppens kriterier. Den enda trafik som tillåts av brandväggen är den grundläggande trafiken i den faktiska adaptern och den som sker i VPN-tunneln. Andra hotellgäster som försöker få åtkomst till datorn över nätverket, antingen trådlöst eller trådbundet, blockeras. Fördefinierade grupper för brandväggsregler Brandvägg innehåller fler fördefinierade grupper för brandväggsregler. Brandväggsgrupp McAfees kärnnätverk Beskrivning Innehåller regler för kärnnätverket som tillhandahålls av McAfee och inkluderar regler för att tillåta McAfee-program och DNS. Dessa regler kan inte ändras eller tas bort. Du kan inaktivera gruppen i Brandvägg Alternativ, men detta kan störa klientens nätverkskommunikation. Administratör har lagts till Innehåller regler som definierats av administratören av hanteringsservern. Dessa regler kan inte ändras eller tas bort i Endpoint Security-klient. Användare har lagts till Innehåller regler som definierats iendpoint Security-klient. Beroende på vilka principinställningar som används kan dessa regler skrivas över när principen tillämpas. 140 McAfee Endpoint Security 10.5 Produkthandbok

141 Använda Brandvägg Hantera Brandvägg 4 Brandväggsgrupp Adaptiva Beskrivning Innehåller undantagsregler för klienten som skapas automatiskt när systemet är i adaptivt läge. Beroende på vilka principinställningar som används kan dessa regler skrivas över när principen tillämpas. Standard Innehåller standardregler som tillhandahålls av McAfee. Dessa regler kan inte ändras eller tas bort. Skapa och hantera Brandvägg-regler och -grupper Regler och grupper som du konfigurerar från Endpoint Security-klient kan skrivas över när administratören distribuerar en uppdaterad princip i ett hanterat system. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Grupperna och reglerna visas i prioritetsordning i tabellen Firewall-regler. Du kan inte sortera regler efter kolumn. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Hantera brandväggsregler och -grupper med dessa aktiviteter. Gör så här... Visa reglerna i en brandväggsgrupp. Följ dessa steg Klicka på. Stäng en brandväggsgrupp. Klicka på. Ändra en befintlig regel. Du kan endast ändra regler i gruppen Tillagd av användare. 1 Visa gruppen Tillagd av användare. 2 Dubbelklicka på regeln. 3 Ändra regelinställningarna. 4 Klicka på OK för att spara ändringarna. Ändra en befintlig regel i vilken grupp som helst. 1 Expandera gruppen. 2 Välj en regel för att visa dess detaljer i den nedre panelen. McAfee Endpoint Security 10.5 Produkthandbok 141

142 4 Använda Brandvägg Hantera Brandvägg Gör så här... Skapa en regel. Följ dessa steg 1 Klicka på Lägg till regel. 2 Specificera regelinställningarna. 3 Klicka på OK för att spara ändringarna. Regeln visas i slutet av gruppen Tillagd av användare. Skapa kopior av regler. Ta bort regler. Du kan endast ta bort regler från grupperna Tillagd av användare och Anpassningsbar. 1 Markera regeln eller reglerna och klicka på Duplicera. Kopierade regler visas med samma namn i slutet av gruppen Tillagd av användare. 2 Modifiera regler för att ändra namn och inställningar. 1 Expandera gruppen. 2 Markera regeln eller reglerna och klicka på Ta bort. Skapa en grupp. 1 Klicka på Lägg till grupp. 2 Specificera gruppinställningarna. 3 Klicka på OK för att spara ändringarna. Gruppen visas i gruppen Tillagd av användare. Flytta regler och grupper i och mellan grupper. Du kan endast flytta regler och grupper i gruppen Tillagd av användare. För att flytta element: 1 Välj element som ska flyttas. Handtaget flyttas. visas till vänster om element som kan 2 Dra-och-släpp elementen till den nya platsen. En blå linje visas mellan elementen där du kan släppa ned elementen som du flyttar. 4 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Jokertecken i brandväggsregler på sidan 142 Logga in som administratör på sidan 26 Create grupper för anslutningsisolering på sidan 143 Jokertecken i brandväggsregler Det går att använda jokertecken för att representera tecken för vissa värden i brandväggsregler. Jokertecken i sökväg och adressvärden Använd dessa jokertecken för sökvägar för filer, registernycklar, körbara filer och URL:er. Sökvägar för registernycklar till platser för brandväggsgrupper känner inte igen jokertecken.? Frågetecken Ett enkelt tecken. * Asterisk Flera tecken, exklusive snedstreck (/) och omvänt snedstreck (\). Använd det här tecknet för att matcha innehåll på rotnivå för en mapp utan undermappar. 142 McAfee Endpoint Security 10.5 Produkthandbok

143 Använda Brandvägg Hantera Brandvägg 4 ** Dubbel asterisk Flera tecken, inklusive snedstreck (/) och omvänt snedstreck (\). Vertikalstreck Jokertecken escape. För dubbel asterisk (**) är escape * *. Jokertecken i alla övriga värden Använd dessa jokertecken för värden som normalt inte innehåller sökvägsinformation med snedstreck.? Frågetecken Ett enkelt tecken. * Asterisk Flera tecken, inklusive snedstreck (/) och omvänt snedstreck (\). Vertikalstreck Jokertecken escape. Create grupper för anslutningsisolering Skapa en grupp för brandväggsregeln anslutningsisolering och etablera regler som endast gäller vid anslutning till ett nätverk med särskilda parametrar. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Under REGLER, klicka på Lägg till grupp. 4 Under Beskrivning, ange alternativ för gruppen. 5 Under Plats, välj Aktivera platskännedom och Aktivera anslutningsisolering. Välj därefter platsvillkor för matchning. 6 I Nätverk för Anslutningstyper väljer du anslutningstyp (Trådbunden, Trådlös eller Virtuell) och tillämpar reglerna i den här gruppen. Inställningar för Transport och Körbara filer är inte tillgängliga för grupper med anslutningsisolering. 7 Klicka på OK. 8 Skapa nya regler inom den här gruppen, eller flytta befintliga regler till gruppen från listan över brandväggsregler. 9 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Regelgrupper och anslutningsisolering för Brandvägg på sidan 138 Så här fungerar grupper för brandväggsregler på sidan 137 McAfee Endpoint Security 10.5 Produkthandbok 143

144 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg Skapa tidsbegränsade grupper Skapa Brandvägg brandväggsgrupper för att begränsa Internetåtkomsten tills ett klientsystem ansluts via VPN. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Brandvägg på huvudsidan förstatus. Alternativt går du till Åtgärd-menyn Inställningar., väljer Inställningar och klickar sedan på Brandvägg på sidan 3 Skapa en Brandvägg med standardinställningar som tillåter Internetanslutning. Tillåt t.ex. HTTP-trafik via port I avsnittet Schema väljer du hur gruppen ska aktiveras. Aktivera schema Anger en start- och sluttid för gruppen som ska aktiveras. Inaktivera schemat och aktivera gruppen via McAfees systemfältsikon Tillåter användarna att aktivera gruppen via McAfees ikon i systemfältet och håller gruppen aktiverad i det angivna antalet minuter. Om du tillåter användarna att hantera den tidsbegränsade gruppen kan du välja att kräva att de anger en motivering innan gruppen aktiveras. 5 Klicka på OK för att spara ändringarna. 6 Skapa en grupp för anslutningsisolering som matchar VPN-nätverket och tillåter nödvändig trafik. Metodtips: Om du vill tillåta all utgående trafik men endast från anslutningsisoleringsgruppen i klientsystemet, anger du inte några Brandvägg under denna grupp. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Create grupper för anslutningsisolering på sidan 143 Endpoint Security-klient gränssnittsreferens Brandvägg Ger sammanhangsberoende hjälp för sidor i Endpoint Security-klient gränssnitt. Innehåll Brandvägg Alternativ Brandvägg Regler Brandvägg Alternativ Aktiverar och inaktiverar Brandvägg, konfigurera skyddsalternativ och definiera nätverk och betrodda körbara filer. Du kan återställa inställningarna till McAfees standardinställningar och avbryta ändringarna genom att klicka på Återställ till standard. 144 McAfee Endpoint Security 10.5 Produkthandbok

145 Använda Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg 4 Mer information om konfiguration av loggning hittar du i inställningarna i modulen Delade. Host Intrusion Prevention 8.0 kan installeras i samma system som Endpoint Security version Om McAfee Host IPS Brandvägg är installerad och aktiverad, så inaktiveras Endpoint Security-brandvägg även om den är aktiverad i principinställningarna. Tabell 4-1 Alternativ Avsnitt Alternativ Definition Skyddsalternativ Aktivera brandväggen Tillåt trafik för protokoll som inte stöds Tillåt endast utgående trafik tills brandväggstjänsterna har startats Aktiverar och inaktiverar Brandvägg. Tillåter all trafik som använder protokoll som inte stöds. När den inaktiveras, blockeras all trafik som använder protokoll som inte stöds. Tillåter utgående men inte inkommande trafik tills Brandvägg startar. Om det här alternativet är inaktiverat tillåter Brandvägg all trafik innan tjänsterna har startats, vilket kan göra datorn sårbar för angrepp. Tillåt trafik via brygga Tillåter: Inkommande paket om MAC-adressens mål ligger inom VM MAC-adressintervallet som stöds och inte är en lokal MAC-adress i systemet. Utgående paket om MAC-adressens källa ligger inom MAC-adressintervallet som stöds och inte är en lokal MAC-adress i systemet. Aktivera intrångslarm för brandvägg Visar automatiskt varningar när Brandvägg upptäcker en potentiell attack. DNS-blockering Domännamn Definierar domännamn som ska blockeras. Den här inställningen lägger till en regel i den övre delen av brandväggsreglerna för att blockera anslutningar till IP-adresser som matchar domännamnen. Lägg till Lägger till ett domännamn i blockeringslistan. Använd ett kommatecken (,) eller vagnretur för att sära på flera domäner. Det går att använda jokertecknen * och?. Till exempel, *domain.com. Eventuella dubblettposter tas bort automatiskt. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det markerade domännamnet från blockeringslistan. McAfee Endpoint Security 10.5 Produkthandbok 145

146 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg Tabell 4-2 Avancerade alternativ Avsnitt Alternativ Definition Anpassningsalternativ Aktivera adaptivt läge Skapar regler automatiskt för att tillåta trafik. Metodtips: Aktivera adaptivt läge tillfälligt i några system vid justering av Brandvägg. Om detta läge aktiveras kan det genereras många klientregler som måste bearbetas av McAfee epo-servern, vilket i sin tur kan påverka prestandan negativt. Inaktivera nätverksregler för McAfee Core Inaktiverar inbyggda McAfee-nätverksregler (i regelgruppen McAfee Core-nätverk). (Inaktiverad som standard) Om det här alternativet aktiveras kan det störa klientens nätverkskommunikation. Logga all blockerad trafik Logga all tillåten trafik Loggar all blockerad trafik i händelseloggen för Brandvägg (FirewallEventMonitor.log) i Endpoint Security-klient. (aktiverad som standard) Loggar all tillåten trafik i händelseloggen för Brandvägg (FirewallEventMonitor.log) i Endpoint Security-klient. (Inaktiverad som standard) Om det här alternativet aktiveras kan det påverka prestanda negativt. McAfee GTI-nätverksrykte Behandla McAfee GTI som intrång Logga matchande trafik Blockera alla ej betrodda körbara filer Behandlar trafiken som matchar inställningen för McAfee GTI-blockeringströskeln som ett intrång. När detta alternativ aktiveras visas en varning och en händelse skickas till hanteringsservern som sedan läggs till iendpoint Security-klient loggfil. Alla IP-adresser för ett betrott nätverk undantas från McAfee GTI-sökningen. (aktiverad som standard) Behandlar trafiken som matchar inställningen för McAfee GTI-blockeringströskeln som en avkänning. När detta alternativ aktiveras skickas en händelse till hanteringsservern som sedan läggs till i Endpoint Security-klient loggfil. (aktiverad som standard) Alla IP-adresser för ett betrott nätverk undantas från McAfee GTI-sökningen. Blockerar alla körbara filer som inte är signerade eller har ett okänt McAfee GTI-rykte. 146 McAfee Endpoint Security 10.5 Produkthandbok

147 Använda Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg 4 Tabell 4-2 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Tröskel för inkommande nätverksrykte Tröskel för utgående nätverksrykte Anger McAfee GTI-klassificeringströskeln för blockering av inkommande eller utgående trafik från en nätverksanslutning. Blockera inte Den här webbplatsen är en legitim källa eller destination för innehåll/trafik. Hög risk Den här källan/destinationen skickar eller fungerar som värd för potentiellt skadligt innehåll/trafik som betraktas som riskfyllt av McAfee. Medelstor risk Den här källan/destinationen visar beteende som betraktas som misstänksamt av McAfee. Innehåll och trafik från webbplatsen måste granskas noggrant. Obekräftad Den här webbplatsen verkar vara en legitim källa eller destination för innehåll/trafik, men visar även egenskaper som tyder på att ytterligare granskning krävs. Tillståndskänslig brandvägg Definierade nätverk Använd FTP-protokollinspektion Antal sekunder (1-240) innan TCP-anslutningar uppnår tidsgränsen Antal sekunder (1-300) innan virtuella anslutningar via UDP och ICMP-eko uppnår tidsgränsen Adresstyp Betrodd Tillåter spårning av FTP-anslutningar så att de endast behöver en brandväggsregel för utgående FTP-klienttrafik och inkommande FTP-servertrafik. Om den inte markeras, behöver FTP-anslutningar en separat regel för utgående FTP-klienttrafik och inkommande FTP-servertrafik. Anger tiden, i sekunder, som en oetablerad TCP-anslutning förblir aktiv om inga fler paket som matchar anslutningen skickas eller tas emot. Det giltiga intervallet är Anger tiden, i sekunder, som en virtuell anslutning via UDP eller ICMP-eko förblir aktiv om inga fler paket som matchar anslutningen skickas eller tas emot. Det här alternativet återgår till det konfigurerade värdet varje gång ett paket som matchar den virtuella anslutningen skickas eller tas emot. Det giltiga intervallet är Definierar nätverksadresser, delnät eller intervaller som ska användas i regler och grupper. Lägg till Lägger till en nätverksadress, delnät eller intervall till listan över definierade nätverk. Klicka på Lägg till och fyll sedan i fälten i raden för att definiera nätverket. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort den markerade adressen från listan över definierade nätverk. Anger adresstypen för nätverket som ska definieras. Ja Tillåter all trafik från nätverket. Om du definierar ett nätverk som betrott, skapas en dubbelriktad Tillåt-regel för det aktuella fjärrnätverket överst i regellistan i Brandvägg. Nej Lägger till nätverket till listan över definierade nätverk för att skapa regler. McAfee Endpoint Security 10.5 Produkthandbok 147

148 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg Tabell 4-2 Avancerade alternativ (fortsättning) Avsnitt Alternativ Definition Betrodda körbara filer Ägare Anger de körbara filer som är säkra i alla miljöer och saknar kända sårbarheter. Dessa körbara filer tillåts utföra alla åtgärder förutom de som tyder på att de körbara filerna har skadats. Om du konfigurerar en betrodd körbar fil, skapas en dubbelriktad Tillåt-regel för den aktuella körbara filen överst i regellistan i Brandvägg. Lägg till Lägger till en betrodd körbar fil. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort den körbara filen från listan över betrodda körbara filer. Se även Konfigurera Brandvägg på sidan 131 Definiera nätverk som ska användas i regler och grupper på sidan 133 Konfigurera körbara filer på sidan 134 Lägg till körbar fil eller Redigera körbar fil på sidan 155 Brandvägg Regler Hantera brandväggsregler och -grupper. Du kan endast lägga till och ta bort regler och grupper i gruppen Tillagd av användare. Brandvägg flyttar nytillagda regler automatiskt till denna grupp. Du kan återställa standardinställningarna och avbryta ändringarna genom att klicka på Återställ till standard. Tabell 4-3 Alternativ Avsnitt Alternativ Definition Regel Grupp REGLER Lägg till regel Skapar en brandväggsregel. Lägg till grupp Dubbelklicka på ett objekt Duplicera Delete (Ta bort) Skapar en brandväggsgrupp. Ändra det valda objektet. Skapar en kopia av det valda objektet. Tar bort ett markerat brandväggsobjekt. Visar elementen som kan flyttas i listan. Välj element och dra och släpp sedan elementet till den nya placeringen. En blå linje visas mellan elementen där du kan släppa ned elementen som du flyttar. Se även Skapa och hantera Brandvägg-regler och -grupper på sidan 141 Sidan Lägg till regel eller Redigera regel, Lägg till grupp eller Redigera grupp på sidan McAfee Endpoint Security 10.5 Produkthandbok

149 Använda Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg 4 Sidan Lägg till regel eller Redigera regel, Lägg till grupp eller Redigera grupp Lägg till eller redigera brandväggsregler och -grupper. Tabell 4-4 Alternativ Avsnitt Alternativ Definition Regel Grupp Beskrivning Namn Anger det beskrivande namnet för objektet (obligatoriskt). Status Aktiverar eller inaktiverar objektet. Ange åtgärder Tillåt Tillåter trafik via brandväggen om objektet matchas. Blockera Hindrar trafik att passera via brandväggen om objektet matchas. Behandla matchning som intrång Behandlar trafik som matchar regeln som ett intrång. När detta alternativ aktiveras visas en varning och en händelse skickas till hanteringsservern som sedan läggs till iendpoint Security-klient loggfil. Metodtips: Aktivera inte det här alternativet med regeln Tillåt eftersom det resulterar i många händelser. Plats Riktning Anteckningar Aktivera platskännedom Namn Logga matchande trafik Behandlar trafik som matchar regeln som en avkänning. När detta alternativ aktiveras skickas en händelse skickas till hanteringsservern som sedan läggs till iendpoint Security-klient loggfil. Anger riktningen: Båda Övervakar både inkommande och utgående trafik. In Övervakar inkommande trafik. Utgående Övervakar utgående trafik. Anger mer information om objektet. Aktivera eller inaktivera platsinformation för gruppen. Anger namnet på platsen (obligatoriskt). McAfee Endpoint Security 10.5 Produkthandbok 149

150 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg Tabell 4-4 Alternativ (fortsättning) Avsnitt Alternativ Definition Regel Grupp Aktivera anslutningsisolering Blockerar trafik på nätverkskort som inte matchar gruppen, när det finns ett kort som matchar guppen. Inställningar för Transport och Körbara filer är inte tillgängliga för grupper med anslutningsisolering. Det här alternativet kan användas för att blockera trafik som kommer från eventuellt oönskade källor utanför företagets nätverk så att trafiken stoppas. Det går endast att blockera trafik på det här sättet om en regel före gruppen in brandväggen inte redan tillåtit den. När anslutningsisolering är aktiverad och ett aktivt nätverkskort matchar gruppen, tillåts endast trafik när ett av följande gäller: Trafik matchar en Tillåtelseregel före gruppen. Trafik som åsidosätter ett aktivt nätverkskort matchar gruppen och det finns en regel i eller under gruppen som tillåter trafiken. Om inget aktivt nätverkskort matchar gruppen ignoreras gruppen och regelmatchning fortsätter. Krävs att McAfee epo kan nås Gruppen kan endast matchas om det finns kommunikation med McAfee epo-servern och FQDN för servern har lösts. 150 McAfee Endpoint Security 10.5 Produkthandbok

151 Använda Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg 4 Tabell 4-4 Alternativ (fortsättning) Avsnitt Alternativ Definition Regel Grupp Platsvillkor Anslutningsspecifikt DNS-suffix Specificerar ett anslutningsspecifikt DNS-suffix i formatet: example.com. Standard-gateway Specificerar en enskild IP-adress för en standard-gateway i IPv4- eller IPv6-format. DHCP-server Specificerar en enskild IP-adress för en DHCP-server i IPv4- eller IPv6-format. DNS-server Specificerar en enskild IP-adress för en domännamnsserver i IPv4- eller IPv6-format. Primär WINS-server Specificerar en enskild IP-adress för en primär WINS-server i IPv4- eller IPv6-format. Sekundär WINS-server Specificerar en enskild IP-adress för en sekundär WINS-server i IPv4- eller IPv6-format. Nåbarhet för domän (HTTPS) Kräver att den angivna domänen kan nås via HTTPS. Registernyckel Anger registernyckeln och nyckelvärdet. 1 Klicka på Lägg till. 2 Ange registernyckeln med följande format i kolumnen Värde: <ROOT>\<KEY>\[VALUE_NAME] <ROOT> Måste använda det fullständiga rotnamnet, exempelvis HKEY_LOCAL_MACHINE och inte det förkortade rotnamnet HKLM. <KEY> Är nyckelnamnet under roten. [VALUE_NAME] är namnet på nyckelvärdet. Om namn på nyckelvärdet saknas antas det vara standardvärdet. Exempelformat: IPv IPv6 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 Nätverk Anger de värdalternativ som gäller för objektet. Nätverksprotokoll Alla protokoll Anger det nätverksprotokoll som gäller för objektet. Tillåter både IP- och icke-ip-protokoll. Om ett transportprotokoll eller ett program är angivet tillåts endast IP-protokoll. McAfee Endpoint Security 10.5 Produkthandbok 151

152 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg Tabell 4-4 Alternativ (fortsättning) Avsnitt Alternativ Definition Regel Grupp IP-protokoll Utesluter icke-ip-protokoll. IPv4-protokoll IPv6-protokoll Om ingen av kryssrutorna har valts är alla IP-protokoll tillämpliga. Det går att välja både IPv4 och IPv6. Icke-IP-protokoll Anslutningstyper Ange nätverk Omfattar endast icke-ip-protokoll. Välj EtherType i listan Specificerar en EtherType. Ange anpassad EtherType Specificerar de fyra tecknen i det hexadecimala EtherType-värdet för icke-ip-protokollet. Se Ethernetnummer beträffande EtherType-värden. Ange exempelvis 809B för AppleTalk, 8191 för NetBEUI eller 8037 för IPX. Anger om en eller alla anslutningstyper kan tillämpas: Trådbunden Trådlös Virtuell En virtuell anslutningstyp är en adapter som presenteras av ett program för VPN eller virtuell dator, exempelvis VMware, istället för en fysisk adapter. Anger vilka nätverk som gäller för objektet. Lägg till Skapar och lägger till ett nätverk. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort nätverket från listan. Transport Anger transportalternativ som gäller för objektet. 152 McAfee Endpoint Security 10.5 Produkthandbok

153 Använda Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg 4 Tabell 4-4 Alternativ (fortsättning) Avsnitt Alternativ Definition Regel Grupp Transportprotokoll Anger transportprotokollet som är associerat med objektet. Välj protokollet och klicka sedan på Lägg till när du vill lägga till portar. Alla protokoll Tillåter IP- och icke-ip-protokoll, samt protokoll som inte stöds. TCP och UDPVälj i listrutan: Lokal port anger lokal trafiktjänst eller port som objektet tillämpar. Fjärrport anger trafiktjänsten eller porten för en annan dator som objektet tillämpar. Lokal port och Fjärrport kan vara: En enskild tjänst. Exempelvis 23. Ett intervall. Exempel: En kommaseparerad lista med enskilda portar och intervall. Exempel: 80, 8080, 1 10, 8443 (upp till fyra objekt). Som standard tillämpas regler på samtliga tjänster och portar. ICMP I listrutan för Meddelandetyp anger du en ICMP-meddelandetyp. Se ICMP. ICMPv6 I listrutan för Meddelandetyp anger du en ICMP-meddelandetyp. Se ICMPv6. Annat Väljer i en lista med mindre vanliga protokoll. Körbara filer Schema Anger de körbara filer som tillämpar regeln. Lägg till Skapar och lägger till en körbar fil. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort en körbar fil från listan. Specificerar schemainställningar för regeln eller gruppen. McAfee Endpoint Security 10.5 Produkthandbok 153

154 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg Tabell 4-4 Alternativ (fortsättning) Avsnitt Alternativ Definition Regel Grupp Aktivera schema Aktiverar schemat för den tidsbegränsade regeln eller gruppen. När schemat är inaktiverat tillämpas inte regeln/ reglerna i gruppen. Starttid Specificerar starttiden för aktivering av schemat. Sluttid Specificerar den tid då schemat ska inaktiveras. Veckodagar Specificerar de dagar i veckan då schemat ska aktiveras. Ange start- och sluttider i 24-timmarsformat. Exempel: 13:00 = 1:00 PM. Du kan antingen schemalägga tidsbegränsade grupper i Brandvägg eller ge användaren tillåtelse att aktivera dem via systemfältsikonen i McAfee. Inaktivera schemat och aktivera gruppen via McAfees ikon i systemfältet Anger att användaren kan aktivera den tidsinställda gruppen för ett angivet antal minuter via McAfee-ikonen i systemfältet i stället för att använda schemat. Metodtips: Använd det här alternativet för att tillåta bred nätverksåtkomst, exempelvis på ett hotell, innan en VPN-anslutning kan upprättas. Det här alternativet ger fler menyalternativ under Snabbinställningar i McAfee-ikonen i systemfältet: Aktivera tidsbegränsade brandväggsgrupper Tillåter Internetanslutning för tidsbegränsade grupper under en angiven tidsperiod innan reglerna som begränsar åtkomst tillämpas. När tidsbegränsade grupper aktiveras är alternativet Inaktivera tidsbegränsade brandväggsgrupper. Varje gång du väljer det här alternativet återställs tiden för grupperna. Beroende på inställningarna kan du även uppmanas att informera administratören om anledningen till att tidsbegränsade grupper har aktiverats. Visa tidsbegränsade brandväggsgrupper Visar namnen på de tidsbegränsade grupperna och den återstående tiden som varje grupp är aktiv. Antal minuter (1-60) för att aktivera gruppen Specificerar antalet minuter (1 60) som den tidsbegränsade gruppen är aktiverad efter val av Aktivera tidsbegränsade brandväggsgrupper via McAfee-ikonen i systemfältet. Se även Skapa och hantera Brandvägg-regler och -grupper på sidan 141 Skapa tidsbegränsade grupper på sidan 144 Aktivera eller visa tidsbegränsade Brandvägg i McAfee-systemfältsikonen på sidan 130 Lägg till nätverk eller Redigera nätverk på sidan 156 Lägg till körbar fil eller Redigera körbar fil på sidan McAfee Endpoint Security 10.5 Produkthandbok

155 Använda Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg 4 Lägg till körbar fil eller Redigera körbar fil Lägger till eller redigerar en körbar fil som tillhör en regel eller grupp. Tabell 4-5 Alternativ Alternativ Namn Filnamn eller sökväg Filbeskrivning MD5-hash Undertecknare Definition Anger namnet på den körbara filen. Det här fältet är obligatoriskt med minst ett ytterligare fält:filnamn eller sökväg, Filbeskrivning, MD5-hash eller undertecknare. Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja den körbara filen. Filsökvägen kan innehålla jokertecken. Visar filens beskrivning. Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). Aktivera kontroll av digital signatur Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypterings-hash. Om aktiverad, ange: Tillåt alla signaturer Tillåter filer som är signerade av alla undertecknare. Signerad av Tillåter endast filer som är signerade av den specifika processundertecknaren. Undertecknarens unika namn är obligatoriskt för den körbara filen och det måste stämma exakt överens med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee epo. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt namn för undertecknaren för en körbar fil: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Sökande. Undertecknarens unika namn visas. Firefox har till exempel följande unika namn på undertecknaren: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Kalifornien C = USA Anteckningar Ger mer information om objektet. McAfee Endpoint Security 10.5 Produkthandbok 155

156 4 Använda Brandvägg Endpoint Security-klient gränssnittsreferens Brandvägg Lägg till nätverk eller Redigera nätverk Lägger till eller redigerar ett nätverk associerat med en regel eller grupp. Tabell 4-6 Alternativ Alternativ Definition Regel Grupp Namn Typ Anger namn på nätverksadress (obligatoriskt). Väljer antingen: Lokalt nätverk skapar och lägger till ett lokalt nätverk. Fjärrnätverk Skapar och lägger till ett fjärrnätverk. Lägg till Dubbelklicka på ett objekt Ta bort Adresstyp Adress Lägger till en nätverkstyp i listan med nätverk. Ändra det valda objektet. Tar bort det valda objektet. Anger ursprung eller mål för trafik. Välj i listrutan Adresstyp. Anger IP-adressen att lägga till nätverket. Jokertecken är giltiga. Se även Adresstyp på sidan 156 Adresstyp Specificera adresstypen för ett definierat nätverk. Tabell 4-7 Alternativ Alternativ Enskild IP-adress Definition Anger en specifik IP-adress. Exempel: IPv IPv6 2001:db8::c0fa:f340:9219:bd20:9832:0ac7* Delnät Anger delnätsadress för valfri adapter i ett nätverk. Exempel: IPv /24 IPv6 2001:db8::0/32 Lokalt delnät Intervall Anger delnätsadressen för den lokala adaptern. Anger ett intervall med IP-adresser. Ange start- och slutpunkt för intervallet. Exempel: IPv IPv6 2001:db8::0000:0000:0000: :db8::ffff:ffff:ffff:ffff Fullständigt domännamn Alla lokala IP-adresser Alla IPv4-adresser Alla IPv6-adresser Specificerar FQDN. Till exempel Anger alla lokala IP-adresser. Anger alla IPv4-adresser. Anger alla IPv6-adresser. 156 McAfee Endpoint Security 10.5 Produkthandbok

157 5 Använda 5 Webbkontroll Skyddsfunktioner i Webbkontroll visas i din webbläsare när du surfar och söker. Innehåll Om funktioner i Webbkontroll Få åtkomst till funktionerna i Webbkontroll Hantera Webbkontroll Endpoint Security-klient gränssnittsreferens Webbkontroll Om funktioner i Webbkontroll När Webbkontroll körs på alla hanterade system meddelas användare om hot när dessa söker på eller använder webbplatser. McAfee-teamet analyserar alla webbplatser och tilldelar dem en färgkodad säkerhetsklassificering baserat på testresultaten. Färgen visar webbplatsens säkerhetsnivå. Programvaran använder testresultaten för att meddela användare om de webbaserade hot som de kan träffa på. På sökresultatsidor En ikon visas bredvid varje webbplats. Färgen på ikonen visar webbplatsens säkerhetsklassificering. Användarna kan få mer information via ikonerna. I webbläsarfönstret En knapp visas i webbläsaren. Färgen på knappen visar webbplatsens säkerhetsklassificering. Användarna får mer information genom att klicka på den här knappen. Knappen kan även meddela användaren när kommunikationsproblem uppstår och ge snabb åtkomst till tester som hjälper till att identifiera vanliga problem. I säkerhetsrapporter Visar information om hur olika typer av hot som hittats, testresultat och andra data har påverkat säkerhetsklassificeringen. I hanterade system skapar administratörer principer för att: Aktivera och inaktivera Webbkontroll i systemet, samt förhindra eller tillåta inaktivering av webbläsarens plugin-program. Kontrollera åtkomst till webbplatser, sidor och hämtningar utifrån deras säkerhetsklassificering eller typ av innehåll. Till exempel blockera röda webbplatser och varna användare som försöker få åtkomst till gula webbplatser. Identifiera webbplatser som är blockerade eller tillåtna baserat på webbadresser och domäner. Förhindra att användarna avinstallerar eller ändrar filer, registernycklar, registervärden, tjänster eller processer i Webbkontroll. McAfee Endpoint Security 10.5 Produkthandbok 157

158 5 Använda Webbkontroll Om funktioner i Webbkontroll Anpassa aviseringen som visas när användare försöker komma åt en blockerad webbplats. Övervaka och reglera webbläsaraktiviteter på nätverksdatorer, samt skapa detaljerade rapporter om webbplatser. För självhanterade system kan du konfigurera inställningarna för: Aktivera och inaktivera Webbkontroll i ditt system. Kontrollera åtkomst till webbplatser, sidor och hämtningar utifrån deras säkerhetsklassificering eller typ av innehåll. Till exempel blockera röda webbplatser och varna användare som försöker få åtkomst till gula webbplatser. Webbläsare som stöds och inte stöds Webbkontroll har stöd för följande webbläsare: Microsoft Internet Explorer 11 Google Chrome aktuell version Chrome stöder inte alternativet Visa pratbubbla. Mozilla Firefox aktuell version Mozilla Firefox ESR (Extended Support Release) aktuell version och tidigare version Google och Mozilla lanserar ofta nya funktioner, vilket innebär att det inte är säkert att Webbkontroll fungerar med en ny uppdatering. En korrigering för Webbkontroll släpps så snart som möjligt för att ge stöd för ändringarna från Google eller Mozilla. Webbkontroll saknar stöd för Microsoft Edge. Senaste informationen om vilka webbläsare Webbkontroll har stöd för finns i KB I självhanterade system är alla webbläsare (med eller utan stöd) som standard tillåtna. Se även Knappen Webbkontroll identifierar hot vid surfning på sidan 159 Säkerhetsikoner identifierar hot vid sökning på sidan 160 Webbplatsrapporter innehåller detaljer på sidan 160 Så här fastställs säkerhetsklassificeringar på sidan McAfee Endpoint Security 10.5 Produkthandbok

159 Använda Webbkontroll Om funktioner i Webbkontroll 5 Så här blockerar eller varnar Webbkontroll om webbplatser eller hämtningar När en användare besöker eller får åtkomst till en resurs från en plats som har blockerats eller som du har fått varningar om, visas ett beskrivande popup-fönster i Webbkontroll. Om klassificeringsåtgärderna för en webbplats är inställda på: Varna Webbkontroll visar en varning för att informera användarna om potentiella faror med webbplatsen. Avbryt återgår till den senast besökta webbplatsen. Om det inte finns någon tidigare besökt webbplats i webbläsarfliken är alternativet Avbryt inte tillgängligt. Fortsätt tar dig till webbplatsen. Blockera Webbkontroll visar ett meddelande om att webbplatsen har blockerats och förhindrar att användarna får åtkomst till webbplatsen. OK tar dig till den senast besökta webbplatsen. Om det inte finns någon tidigare besökt webbplats i webbläsarfliken är alternativet OK inte tillgängligt. Om klassificeringsåtgärderna för hämtningar från en webbplats är inställda på: Varna Webbkontroll visar en varning för att informera användarna om potentiella faror med den hämtade filen. Blockera förhindrar hämtningen och tar dig tillbaka till webbplatsen. Fortsätt fortsätter hämtningen. Blockera Webbkontroll visar ett meddelande om att webbplatsen har blockerats och förhindrar hämtningen. OK tar dig tillbaka till webbplatsen. Knappen Webbkontroll identifierar hot vid surfning När du surfar till en webbplats visas en färgkodad knapp knappen motsvarar webbplatsens säkerhetsklassificering. i webbläsaren. Färgen på Säkerhetsklassificeringen tillämpas endast för webbadresser med HTTP- och HTTPS-protokoll. Internet Explorer och Safari (Macintosh) Firefox och Chrome Beskrivning Den här webbplatsen testas dagligen och certifieras som säker av McAfee SECURE.(Enbart Windows) Den här webbplatsen är säker. Den här webbplatsen kan ha vissa problem. Denna webbplats har allvarliga problem. Klassificering saknas för den här webbplatsen. Den här knappen visas för FIL (file://) i webbadresser för protokoll. McAfee Endpoint Security 10.5 Produkthandbok 159

160 5 Använda Webbkontroll Om funktioner i Webbkontroll Internet Explorer och Safari (Macintosh) Firefox och Chrome Beskrivning Ett kommunikationsfel har uppstått med McAfee GTI-servern som innehåller klassificeringsinformation. Webbkontroll frågade inte McAfee GTI om den här webbplatsen vilket antyder att den är intern eller finns i ett privat IP-adressintervall. Den här webbplatsen är en nätfiskewebbplats. Nätfiske är ett försök att inhämta känslig information som användarnamn, lösenord och kreditkortsuppgifter. Nätfiskewebbplatser låtsas vara tillförlitliga enheter i elektronisk kommunikation. Den här webbplatsen tillåts av en inställning. Webbkontroll inaktiverades av en inställning. Knappens placering varierar beroende på webbläsare: Internet Explorer Webbkontroll Firefox i det högra hörnet av Firefox-verktygsfältet Chrome Adressfältet Se även Visa information om en webbplast medan du surfar på sidan 163 Säkerhetsikoner identifierar hot vid sökning När /du anger sökord i en sökmotor som Google, Yahoo, MSN, Bing eller Ask visas säkerhetsikoner bredvid webbplatserna på sidan med sökresultat. Färgen på knappen motsvarar webbplatsens säkerhetsklassificering. Testerna avslöjade inga signifikanta problem. Vid tester upptäcktes några problem som du kan behöva känna till. Webbplatsen försökte exempelvis ändra testarnas standardwebbläsare, visade popup-fönster eller skickade en stor mängd e-post som inte var skräppost. Vid testerna upptäcktes några problem som du i hög grad bör ta hänsyn till innan webbplatsen besöks. Webbplatsen skickade exempelvis skräppost till testarna eller paketerade reklamprogram tillsammans med en hämtning. En inställning blockerade den här webbplatsen. Den här webbplatsen har inte klassificerats. Se även Visa webbplatsrapport under genomsökning på sidan 164 Webbplatsrapporter innehåller detaljer I webbplatsrapporterna kan du/ se vilka specifika hot som upptäckts. Webbplatsrapporter kommer från McAfee GTI klassificeringsserver och innehåller följande information. 160 McAfee Endpoint Security 10.5 Produkthandbok

161 Använda Webbkontroll Om funktioner i Webbkontroll 5 Det här objektet... Visar... Översikt Den övergripande säkerhetsklassificeringen för webbplatsen som bestämts utifrån dessa tester: Utvärdering av e-post- och hämtningspraxis för en webbplats med hjälp av en äganderättsskyddad datasamling och analystekniker. Undersökning av själva webbplatsen för att se om den använder stötande praxis som t.ex. onödiga popup-fönster eller begäran om att ändra din startsida. Analys av webbplatsens onlineanknytningar för att se om webbplatsen samverkar med andra misstänkta webbplatser. Kombination av McAfee-granskning av misstänkta webbplatser med feedback från våra Threat Intelligence-tjänster. Onlineanknytningar Tester för webbskräppost Hämtningstester Visar hur offensivt webbplatsen försöker få dig att gå till andra webbplatser som McAfee har gett röd klassificering. Misstänkta webbplatser som ofta kopplas till andra misstänkta webbplatser. Det primära syftet med matar -webbplatserna är att få dig att besöka den misstänkta webbplatsen. En webbplats kan få en röd klassificering om den exempelvis har för offensiva länkar till andra röda webbplatser. I det här fallet betraktar Webbkontroll webbplatsen som röd genom förbindelse. Övergripande klassificering av en webbplats e-postrutiner baserat på testresultaten. McAfee klassificerar webbplatser baserat både på hur mycket e-post vi får efter att vi angivit en adress på webbplatsen och på hur mycket e-posten vi får ser ut som skräppost. Om något av mättalen är högre än vad som anses vara acceptabelt ger McAfee webbplatsen en gul varning. Om båda mättalen är höga, eller om något av dem är extra hemskt, ger McAfee webbplatsen en röd varning. Övergripande klassificering för den effekt en webbplats hämtningsbara programvara har på våra testdatorer, baserat på testresultaten. McAfee ger röda flaggor till webbplatser med virussmittade hämtningar eller som lägger till ej relaterad programvara, vilket av många anses vara reklameller spionprogram. Klassificeringen tar också hänsyn till de nätverksservrar som ett hämtat program kontaktar under användningen samt eventuella ändringar av webbläsarinställningarna eller datorns registerfiler. Se även Visa webbplatsrapport under genomsökning på sidan 164 Visa information om en webbplast medan du surfar på sidan 163 Så här fastställs säkerhetsklassificeringar Ett McAfee-team utvecklar säkerhetsklassificeringar genom att testa kriterier för varje webbplats och utvärdera resultaten för att identifiera vanliga hot. Med automatiska tester skapas säkerhetsklassificeringar för en webbplats genom att: Hämta filer för att kontrollera om det ingår virus och eventuellt oönskade program tillsammans med de hämtade filerna. Ange kontaktinformation i anmälningsformulär och söka efter resulterande skräppost eller större volymer av e-postmeddelanden som inte är skräppost och som skickats av webbplatsen eller underordnade webbplatser. Söka efter onödiga popup-fönster. McAfee Endpoint Security 10.5 Produkthandbok 161

162 5 Använda Webbkontroll Få åtkomst till funktionerna i Webbkontroll Kontrollera försök från webbplatsen att utnyttja sårbarheter i webbläsaren. Kontrollera vilseledande eller bedräglig verksamhet från en webbplats. Testresultaten sammanställs i en säkerhetsrapport som även kan innehålla: Feedback från webbplatsens ägare. Den kan innehålla beskrivningar av försiktighetsåtgärder som används av webbplatsen eller svar på feedback från användare om webbplatsen. Feedback från användare av webbplatsen. Den kan innehålla rapporter om nätfiskebedrägerier eller dåliga erfarenheter vid inköp. Ytterligare analys av McAfee-experter. McAfee GTI-servern lagrar webbplatsklassificeringar och rapporter. Få åtkomst till funktionerna i Webbkontroll Få åtkomst till funktionerna i Webbkontroll via webbläsaren. Åtgärder Aktivera plugin-programmet Webbkontroll i webbläsaren på sidan 162 Beroende på inställningarna kan du behöva aktivera plugin-programmet Webbkontroll manuellt för att få meddelanden om webbaserade hot när du bläddrar och söker. Visa information om en webbplast medan du surfar på sidan 163 Använd knappen Webbkontroll i webbläsaren för att visa information om webbplatsen. Knappen fungerar lite olika beroende på vilken webbläsare du använder. Visa webbplatsrapport under genomsökning på sidan 164 Använd säkerhetsikonen på en sökresultatsida för att visa mer information om webbplatsen. Aktivera plugin-programmet Webbkontroll i webbläsaren Beroende på inställningarna kan du behöva aktivera plugin-programmet Webbkontroll manuellt för att få meddelanden om webbaserade hot när du bläddrar och söker. Innan du börjar Modulen Webbkontroll måste vara aktiverad. Plugin-program kallas för tilläggsprogram i Internet Explorer och tillägg i Firefox och Chrome. Du kan uppmanas att aktivera plugin-programmen när du öppnar Internet Explorer eller Chrome första gången. Senaste informationen finns i KnowledgeBase-artikeln KB Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. Beroende på webbläsare aktiverar du plugin-programmet. 162 McAfee Endpoint Security 10.5 Produkthandbok

163 Använda Webbkontroll Få åtkomst till funktionerna i Webbkontroll 5 Internet Explorer Chrome Klicka på Aktivera. Om det finns flera tillgängliga plugin-program klickar du påvälj tillägg och klickar sedan på Aktivera i verktygsfältet för Webbkontroll. Klicka på Aktivera tillägg. Om du inte uppmanas att aktivera plugin-programmet Webbkontroll kan du aktivera det manuellt. 1 Klicka på Inställningar Tillägg. 2 Klicka på Aktivera för att aktivera Endpoint Security-webbkontroll. 3 Starta om Firefox. Firefox 1 Från startsidan i Mozilla Firefox, Tilläggsprogram Tillägg. 2 Välj Aktivera för att aktivera Endpoint Security-webbkontroll. Om du inaktiverar verktygsfältet Webbkontroll i Internet Explorer, uppmanas du även att inaktivera plugin-programmet Webbkontroll. Om principinställningarna i hanterade system förhindrar avinstallation eller inaktivering av plugin-program, är plugin-programmet Webbkontroll fortsatt aktivt även om verktygsfältet inte längre visas. Visa information om en webbplast medan du surfar Använd knappen Webbkontroll i webbläsaren för att visa information om webbplatsen. Knappen fungerar lite olika beroende på vilken webbläsare du använder. Innan du börjar Modulen Webbkontroll måste vara aktiverad. Plugin-programmet Webbkontroll måste vara aktiverat i webbläsaren. Alternativet Dölj verktygsfältet i klientens webbläsare Alternativ-inställningarna måste inaktiveras. Om Internet Explorer är i helskärmsläge visas inte verktygsfältet Webbkontroll. Så här visar du menyn i Webbkontroll: Internet Explorer och Firefox Chrome Klicka på knappen Klicka på knappen i verktygsfältet. i adressfältet. Åtgärd 1 Visa en sammanfattning av säkerhetsklassificeringen för webbplatsen i en pratbubbla genom att placera pekaren över knappen i verktygsfältet för Webbkontroll. (endast för Internet Explorer och Firefox) 2 Visa en detaljerad webbplatsrapport med information om webbplatsens säkerhetsklassificering genom att: Klicka på knappen Webbkontroll. Välj Visa webbplatsrapport i menynwebbkontroll. Klicka på länken Läs webbplatsrapport i en pratbubbla. (endast för Internet Explorer och Firefox) McAfee Endpoint Security 10.5 Produkthandbok 163

164 5 Använda Webbkontroll Hantera Webbkontroll Se även Knappen Webbkontroll identifierar hot vid surfning på sidan 159 Webbplatsrapporter innehåller detaljer på sidan 160 Visa webbplatsrapport under genomsökning Använd säkerhetsikonen på en sökresultatsida för att visa mer information om webbplatsen. Åtgärd 1 Placera markören över säkerhetsikonen. En pratbubbla visar en sammanfattning på hög nivå av säkerhetsrapporten för webbplatsen. 2 Klicka på Läs webbplatsrapport (i pratbubblan) för att öppna en mer detaljerad säkerhetsrapport för webbplatsen i ett nytt fönster. Se även Säkerhetsikoner identifierar hot vid sökning på sidan 160 Webbplatsrapporter innehåller detaljer på sidan 160 Hantera Webbkontroll Som administratör kan du ange inställningar för Webbkontroll för att aktivera och anpassa skyddet, blockering utifrån webbkategorier samt loggning. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. Konfigurera alternativ för Webbkontroll Du kan aktivera Webbkontroll och konfigurera alternativ via Endpoint Security-klient. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Webbkontroll på huvudsidan för Status. Eller i menyn Åtgärd väljer du Inställningar. Klicka sedan på Webbkontroll på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 164 McAfee Endpoint Security 10.5 Produkthandbok

165 Använda Webbkontroll Hantera Webbkontroll 5 5 Välj Aktivera Webbkontroll för att aktivera Webbkontroll och ändra dess alternativ. För att... Gör så här... Anteckningar Dölj Webbkontroll-verktygsfältet på webbläsaren utan att inaktivera skyddet. Spåra webbläsarhändelser för användning i rapporter. Blockera eller varna för okända URL:er. Genomsök filer före hämtning. Lägg till externa webbplatser till det lokala privata nätverket. Blockera olämpliga webbplatser från att visas i sökresultaten. 6 Konfigurera andra alternativ efter behov. Välj Dölj verktygsfältet i klientens webbläsare. Konfigurera inställningarna i avsnittet Händelselogg. Från Tillämpning av åtgärd, välj åtgärden (Blockera, Tillåt eller Varna) för webbplatser som ännu inte är verifierade avmcafee GTI. I Åtgärdstillämpning väljer du Aktivera filgenomsökning för filhämtningar och välj sedan den McAfee GTI-risknivå som ska blockeras. I Åtgärdstillämpning under Ange ytterligare IP-adresser och intervall som ska tillåtas klickar du på Lägg till och anger sedan extern IP-adress eller externt intervall. Från Säker sökning, välj Aktivera Säker sökning, välj sökmotor och ange sedan om länkar till olämpliga webbplatser ska blockeras. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Hur genomsökning utförs på filhämtningar på sidan 166 Logga in som administratör på sidan 26 Konfigurera Webbkontroll-händelser som skickats från klientsystem till hanteringsservern för användning i förfrågningar och rapporter. Säker sökning filtrerar automatiskt bort skadliga webbplatser i sökresultaten utifrån deras säkerhetsklassificering. Webbkontroll använder Yahoo som standardsökmotor och stöder Säker sökning men endast i Internet Explorer. Om du ändrar standardsökmotor, starta om webbläsaren så att ändringarna börjar gälla. Nästa gång användaren öppnar Internet Explorer visas ett popup-fönster i Webbkontroll där användaren kan ändra till McAfees Säker sökning i den angivna sökmotorn. För Internet Explorer-versioner där sökmotorn är låst visas inget popup-fönster om Säker sökning. McAfee Endpoint Security 10.5 Produkthandbok 165

166 5 Använda Webbkontroll Hantera Webbkontroll Hur genomsökning utförs på filhämtningar Webbkontroll skickar en begäran om filhämtning till Hotdetektering för genomsökning före hämtning. 166 McAfee Endpoint Security 10.5 Produkthandbok

167 Använda Webbkontroll Hantera Webbkontroll 5 Så här fungerar McAfee GTI McAfee GTI-servern lagrar webbplatsklassificeringar och rapporter för Webbkontroll. Om Webbkontroll konfigureras för genomsökning av hämtade filer, används filryktet som tillhandahålls av McAfee GTI till sökning efter misstänkta filer. Genomsökningen skickar fingeravtrycksprov, eller hash-värden, till en central databasserver som drivs av McAfee Labs för att fastställa om det rör sig om skadlig programvara. När hash-värden skickas kan avkänningen bli tillgänglig snabbare, före nästa uppdatering av innehållsfiler när McAfee Labs publicerar uppdateringen. Du kan konfigurera känslighetsnivån som McAfee GTI använder för att fastställa om ett identifierat prov innehåller skadlig programvara. Ju högre känslighetsnivån är, desto högre är antalet avkänningar av skadlig programvara. Fler avkänningar kan däremot resultera i fler falska positiva resultat. Känslighetsnivån för McAfee GTI är inställd på Mycket hög som standard. Konfigurera känslighetsnivån för genomsökning av hämtade filer i principinställningarna för Webbkontroll Alternativ. Du kan konfigurera Endpoint Security så att en proxyserver används för att hämta ryktesinformation från McAfee GTI i inställningarna för Delade. Vanliga frågor och svar om McAfee GTI finns i KB Ange klassificeringsåtgärder och blockera webbplatsåtkomst utifrån webbplatskategorier Konfigurera inställningar för Innehållsåtgärder för att ange de åtgärder som ska tillämpas för webbplatser och filhämtningar utifrån säkerhetsklassificeringar. Alternativt går det att blockera eller tillåta webbplatser i varje webbplatskategori. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Webbkontroll på huvudsidan för Status. Eller i menyn Åtgärd väljer du Inställningar. Klicka sedan på Webbkontroll på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Innehållsåtgärder. 5 I Blockering av webbkategori för varje Webbkategori, aktiverar eller inaktiverar du alternativet Blockera. I Webbkontroll tillämpas även klassificeringsåtgärder för webbplatser i kategorier med upphävd blockering. 6 I avsnittet Klassificeringsåtgärder anger du vilka åtgärder som tillämpas på webbplatserna och filhämtningarna, utifrån de säkerhetsklassificeringar som definierats av McAfee. Dessa åtgärder gäller även webbplatser som inte blockeras av Blockering av webbkategori. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. McAfee Endpoint Security 10.5 Produkthandbok 167

168 5 Använda Webbkontroll Endpoint Security-klient gränssnittsreferens Webbkontroll Se även Använda webbplatskategorier för att kontrollera åtkomst på sidan 168 Använda säkerhetsklassificeringar för att kontrollera åtkomst på sidan 168 Logga in som administratör på sidan 26 Använda webbplatskategorier för att kontrollera åtkomst Med webbplatskategorier kan du kontrollera åtkomst till webbplatser utifrån kategorier som McAfee definierar. Du kan ange alternativ för att tillåta eller blockera åtkomst till webbplatser utifrån kategorin för det innehåll de har. När du aktiverar blockering av webbplatskategorier i innehållsåtgärder inställningar, blockerar eller tillåter programvaran webbplatskategorier. Dessa webbplatskategorier omfattar Spel med pengainsats, Spel och Snabbmeddelanden. McAfee definierar och upprätthåller listan över ca 105 webbplatskategorier. När en klientanvändare kommer åt en webbplats, kontrollerar programvaran webbplatskategorin för webbplatsen. Om webbplatsen tillhör en definierad kategori, blockeras eller tillåts åtkomst utifrån inställningarna i Innehållsåtgärder inställningar. För webbplatser och filhämtningar i kategorier med upphävd blockering tillämpar programvaran angivna klassificeringsåtgärder. Använda säkerhetsklassificeringar för att kontrollera åtkomst Konfigurera åtgärder baserat på säkerhetsklassificeringar för att fastställa om användarna kan få åtkomst till en webbplats, eller till resurser på en webbplats. I inställningarna för Innehållsåtgärder anger du om du vill tillåta, varna eller blockera webbplatser och filhämtningar, baserat på säkerhetsklassificeringen. Den här inställningen ger en högre precisionsnivå i skyddet för användare mot filer som kan innehålla ett hot på webbplatser med en övergripande grön klassificering. Endpoint Security-klient gränssnittsreferens Webbkontroll Ger sammanhangsberoende hjälp för sidor i Endpoint Security-klient gränssnitt. Innehåll Webbkontroll Alternativ Sidan Webbkontroll Innehållsåtgärder Webbkontroll Alternativ Sidan Konfigurera alternativ för Webbkontroll, vilket innefattar åtgärdstillämpning, säker sökning och e-postkommentarer. Mer information om konfiguration av loggning hittar du i inställningarna i modulen Delade. Tabell 5-1 Alternativ Avsnitt Alternativ Definition ALTERNATIV Aktivera Webbkontroll Inaktiverar eller aktiverar Webbkontroll. (Aktiverad som standard) Dölj verktygsfältet i klientens webbläsare Döljer verktygsfältet Webbkontroll i webbläsaren utan att funktionen inaktiveras. (Inaktiverad som standard) 168 McAfee Endpoint Security 10.5 Produkthandbok

169 Använda Webbkontroll Endpoint Security-klient gränssnittsreferens Webbkontroll 5 Tabell 5-1 Alternativ (fortsättning) Avsnitt Alternativ Definition Händelseloggning Logga webbkategorier för webbplatser med grön klassificering Loggar innehållskategorier för alla webbplatser med grön klassificering. Aktivering av den här funktionen kan påverka serverprestandan hos McAfee epo negativt. Åtgärdstillämpning Logga iframe-händelser i Webbkontroll Tillämpa åtgärden på webbplatser som ännu inte har verifierats av McAfee GTI Aktivera IFrames-stöd för HTML Blockera webbplatser som standard om det inte går att nå servern för McAfee GTI-klassificeringar Blockera nätfiskesidor för alla webbplatser Aktivera filgenomsökning för filhämtningar Loggar när skadliga webbplatser (röda) och webbplatser med varningar (gula) som visas i en HTML iframe blockeras. Anger standardåtgärden som tillämpas på webbplatser som McAfee GTI inte har klassificerat än. Tillåt (standard) Ger användarna åtkomst till webbplatsen. Varna Varnar användarna om potentiella faror med webbplatsen. Användarna måste stänga varningen innan de fortsätter. Blockera Förhindrar att användarna får åtkomst till webbplatsen och visar ett meddelande om att hämtning från webbplatsen är blockerad. Blockerar åtkomst till skadliga webbplatser (röda) och webbplatser med varningar (gula) som visas i en HTML-IFrame. (Aktiverad som standard) Blockerar åtkomst till webbplatser som standard om Webbkontroll inte kan nå McAfee GTI-servern. Blockerar alla nätfiskesidor och kringgår klassificeringsåtgärder för innehåll. (Aktiverad som standard) Genomsöker alla filer (.zip,.exe,.ecx,.cab,.msi,.rar,.scr och.com) före hämtning. (Aktiverad som standard) Det här alternativet förhindrar att användarna får åtkomst till en hämtad fil innan Webbkontroll och Hotdetektering har markerat filen som ren. Webbkontroll utför en McAfee GTI-sökning i filen. Om filen godkänns av McAfee GTI, skickar Webbkontroll den till Hotdetektering för att genomsökas. Om en hämtad fil identifieras som ett hot vidtar Endpoint Security åtgärder på filen och varnar användaren. Undantag Känslighetsnivå för McAfee GTI Ange IP-adresser eller intervall som ska undantas från klassificering i Webbkontroll eller blockering Anger vilken känslighetsnivå som ska användas i McAfee GTI när Webbkontroll genomsöker hämtade filer. Lägger till angivna IP-adresser och intervall i det lokala privata nätverket och undantar dem från klassificering eller blockering. Privata IP-adresser undantas som standard. Metodtips: Använd det här alternativet för att behandla externa webbplatser som om de ingår i det lokala nätverket. Lägg till Lägger till en IP-adress i listan med privata adresser i det lokala nätverket. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort en IP-adress från listan med privata adresser i det lokala nätverket. McAfee Endpoint Security 10.5 Produkthandbok 169

170 5 Använda Webbkontroll Endpoint Security-klient gränssnittsreferens Webbkontroll Tabell 5-1 Alternativ (fortsättning) Avsnitt Alternativ Definition Säker sökning Aktivera Säker sökning Aktiverar Säker sökning som automatiskt blockerar skadliga webbplatser i sökresultaten utifrån deras säkerhetsklassificering. Ange standardsökmotorn i webbläsare som stöds Anger vilken standardsökmotor som ska användas för webbläsare som stöds: Yahoo Google Bing Ask Blockera länkar till riskabla webbplatser i sökresultaten Förhindrar att användarna klickar på länkar till riskabla webbplatser i sökresultaten. Tabell 5-2 Avancerade alternativ Avsnitt Alternativ Definition E-postkommentarer Aktivera anteckningar i webbläsarbaserad e-post Noterar URL:er i webbläsarbaserade e-postklienter som Yahoo Mail och Gmail. Aktivera anteckningar i icke-webbläsarbaserad e-post Se även Konfigurera alternativ för Webbkontroll på sidan 164 Hur genomsökning utförs på filhämtningar på sidan 166 McAfee GTI på sidan 170 McAfee GTI Noterar URL:er i 32-bitarsverktyg för e-posthantering, till exempel Microsoft Outlook eller Outlook Express. Aktivera och konfigurera inställningar för McAfee GTI (Global Threat Intelligence). Tabell 5-4 Alternativ Avsnitt Känslighetsnivå Alternativ Definition Konfigurerar känslighetsnivån som används för att fastställa om ett identifierat prov innehåller skadlig programvara. Ju högre känslighetsnivån är, desto högre är antalet avkänningar av skadlig programvara. Fler avkänningar kan däremot resultera i fler falska positiva resultat. Mycket låg Låg Avkänningar och risken för falska positiva resultat är desamma som för vanliga AMCore-innehållsfiler. En avkänning blir tillgänglig för Hotdetektering när McAfee Labs publicerar den, i stället för i nästa uppdatering av AMCore-innehållsfilen. Använd den här inställningen för stationära datorer samt servrar med begränsade användarrättigheter och starka säkerhetskonfigurationer. Den här inställningen är den lägsta rekommenderade inställningen för bärbara eller stationära datorer, samt servrar med starka säkerhetskonfigurationer. 170 McAfee Endpoint Security 10.5 Produkthandbok

171 Använda Webbkontroll Endpoint Security-klient gränssnittsreferens Webbkontroll 5 Tabell 5-4 Alternativ (fortsättning) Avsnitt Alternativ Definition Medel Använd den här inställningen när den allmänna risken för exponering av skadlig programvara är större än risken för falska positiva resultat. McAfee Labs egna heuristiska kontroller resulterar i avkänningar som med stor sannolikhet är skadlig programvara. Vissa avkänningar kan dock ge falska positiva resultat. Med den här inställningen kontrollerar McAfee Labs att populära program och systemfiler för operativsystem inte orsakar ett falskt positivt resultat. Den här inställningen är den lägsta rekommenderade inställningen för bärbara datorer, stationära datorer och servrar. Hög Mycket hög Använd den här inställningen för system eller områden som infekteras regelbundet. Använd den här inställningen på volymer för icke-operativsystem. Avkänningar som hittas på den här nivån antas vara skadliga, men har inte testats fullt ut för att se om de är falska positiva resultat. Använd endast den här inställningen vid genomsökning av volymer och kataloger som saknar stöd för körning av program eller operativsystem. Se även Webbkontroll Alternativ Sidan på sidan 168 Webbkontroll Innehållsåtgärder Definiera åtgärder som Webbkontroll ska vidta för klassificerade webbplatser, webbinnehållskategorier. Webbkontroll tillämpar klassificeringsåtgärder för webbplatser och filhämtningar. McAfee Endpoint Security 10.5 Produkthandbok 171

172 5 Använda Webbkontroll Endpoint Security-klient gränssnittsreferens Webbkontroll Tabell 5-5 Alternativ Avsnitt Alternativ Definition Klassificeringsåtgärder Klassificeringsåtgärder för webbplatser Anger åtgärder för webbplatser som är klassificerade som röda, gula eller som är oklassificerade. Webbplatser med grön klassificering och hämtningar tillåts automatiskt. Tillåt Ger användarna åtkomst till webbplatsen. (Standard för oklassificerade webbplatser) Varna Varnar användarna om potentiella faror med webbplatsen. Användarna måste klicka på Avbryt för att återgå till föregående webbsida, eller Fortsätt för att fortsätta till webbplatsen. Om det inte finns någon tidigare besökt webbplats i webbläsarfliken, är alternativet Avbryt inte tillgängligt. (Standard för gula webbplatser) Blockera Förhindrar att användarna får åtkomst till webbplatsen och visar ett meddelande om att webbplatsen är blockerad. Användarna måste klicka på OK för att gå tillbaka till föregående webbplats. Om det inte finns någon tidigare besökt webbplats i webbläsarfliken är alternativet OK inte tillgängligt. (Standard för röda webbplatser) Klassificeringsåtgärder för filhämtningar Anger åtgärder för filhämtningar som är klassificerade som röda, gula eller som är oklassificerade. Dessa klassificeringsåtgärder kan endast tillämpas när Aktivera filgenomsökning för filhämtningar har aktiverats i inställningarna i Alternativ. Tillåt Tillåter användarna att fortsätta med hämtningen. (Standard för oklassificerade webbplatser) Varna Visar en varning för att meddela användarna om potentiella risker i samband med filhämtningen. Användarna måste stänga varningen innan hämtningen avslutas eller fortsätts. (Standard för gula webbplatser) Blockera Förhindrar att filen hämtas. Ett meddelande visar att hämtningen är blockerad. (Standard för röda webbplatser) Tabell 5-6 Avancerade alternativ Avsnitt Alternativ Definition Blockering av webbkategori Aktivera blockering av webbkategori Blockera Webbkategori Aktiverar blockering av webbplatser baserat på innehållskategori. Förhindrar att användarna får åtkomst till webbplatser i den här kategorin och visar ett meddelande om att webbplatsen är blockerad. Visar webbkategorierna i en lista. 172 McAfee Endpoint Security 10.5 Produkthandbok

173 Använda Webbkontroll Endpoint Security-klient gränssnittsreferens Webbkontroll 5 Se även Ange klassificeringsåtgärder och blockera webbplatsåtkomst utifrån webbplatskategorier på sidan 167 Använda säkerhetsklassificeringar för att kontrollera åtkomst på sidan 168 Använda webbplatskategorier för att kontrollera åtkomst på sidan 168 McAfee Endpoint Security 10.5 Produkthandbok 173

174 5 Använda Webbkontroll Endpoint Security-klient gränssnittsreferens Webbkontroll 174 McAfee Endpoint Security 10.5 Produkthandbok

175 6 Använda 6 Adaptivt skydd mot hot Adaptivt skydd mot hot är en tillvalsmodul i Endpoint Security som analyserar innehåll från ditt företag och beslutar vad som ska göras baserat på filrykte, regler och rykteströsklar. Adaptivt skydd mot hot stöds inte i system som hanteras av McAfee epo Cloud. Innehåll Om Adaptivt skydd mot hot Svara på en filryktesbegäran Hantera Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens Adaptivt skydd mot hot Om Adaptivt skydd mot hot Adaptivt skydd mot hot analyserar innehåll från ditt företag och beslutar vad som ska göras baserat på filrykte, regler och rykteströsklar. Adaptivt skydd mot hot innehåller möjligheten att innesluta, blockera eller rensa filer, baserat på rykte. Adaptivt skydd mot hot integreras med Real Protect-genomsökning för att utföra automatiserade ryktesanalyser i molnet och på klientsystem. Adaptivt skydd mot hot är en tillvalsmodul i Endpoint Security. Om du vill ha fler hotinformationskällor och funktioner distribuerar du Threat Intelligence Exchange-servern. Kontakta återförsäljaren eller en säljare för mer information. Adaptivt skydd mot hot stöds inte i system som hanteras av McAfee epo Cloud. Fördelar med Adaptivt skydd mot hot Adaptivt skydd mot hot kan du fastställa vad som händer när en fil med ett skadligt eller okänt rykte hittas i din miljö. Du kan även se information om hothistorik och vilka åtgärder som har vidtagits. Adaptivt skydd mot hot har följande fördelar: Snabb avkänning av och skydd mot säkerhetshot och skadlig programvara. Möjlighet att känna till vilka system eller enheter som är skadade, samt hur hotet sprider sig i din miljö. Möjligheten att omedelbart innesluta, blockera eller rensa specifika filer och certifikat, baserat på deras hotrykten och dina riskkriterier. McAfee Endpoint Security 10.5 Produkthandbok 175

176 6 Använda Adaptivt skydd mot hot Om Adaptivt skydd mot hot Integrering med Real Protect-genomsökning för att utföra automatiserade ryktesanalyser i molnet och på klientsystem. Realtidsintegration med McAfee Advanced Threat Defense och McAfee GTI för att ge detaljerad bedömning och information om klassificering av skadlig programvara. Med denna integration kan du svara på hot och dela information i hela din miljö. Adaptivt skydd mot hot komponenter Adaptivt skydd mot hot kan innehålla tillvalskomponenterna: TIE-server och Data Exchange Layer. Adaptivt skydd mot hot är en tillvalsmodul i Endpoint Security där du kan skapa principer för att innesluta, blockera eller rensa filer och certifikat baserat på rykte. Dessutom kan Adaptivt skydd mot hot integreras med Real Protect-genomsökning för att utföra automatiserade ryktesanalyser i molnet och på klientsystem. Adaptivt skydd mot hot också integreras med: TIE-server En server som lagrar information om fil- och certifikatrykten och sedan överför informationen till andra system. TIE-servern är tillval. Mer information om servern finns i Threat Intelligence Exchange Produkthandbok. Data Exchange Layer Klienter och koordinatörer som aktiverar tvåvägskommunikation mellan modulen Adaptivt skydd mot hot på det hanterade systemet och TIE-servern. Data Exchange Layer är ett tillval, men krävs vid kommunikation med TIE-servern. Se McAfee Data Exchange Layer Produkthandbok för mer information. Dessa komponenter innehåller McAfee epo-tillägg som tillför flera nya funktioner och rapporter. 176 McAfee Endpoint Security 10.5 Produkthandbok

177 Använda Adaptivt skydd mot hot Om Adaptivt skydd mot hot 6 Om TIE och Data Exchange Layer finns, kommunicerar Adaptivt skydd mot hot och servern filryktesinformation. Data Exchange Layer-ramverket skickar omedelbart denna information till hanterade slutpunkter. Det delar även information med andra McAfee-produkter som har åtkomst till Data Exchange Layer, t.ex. McAfee Enterprise Security Manager (McAfee ESM) och McAfee Network Security Platform. Figur 6-1 Adaptivt skydd mot hot med TIE-server och Data Exchange Layer McAfee Endpoint Security 10.5 Produkthandbok 177

178 6 Använda Adaptivt skydd mot hot Om Adaptivt skydd mot hot Om TIE-servern och Data Exchange Layer inte finns, kommunicerar Adaptivt skydd mot hot med McAfee GTI för filryktesinformation. Figur 6-2 Adaptivt skydd mot hot med McAfee GTI Så här fungerar Adaptivt skydd mot hot Adaptivt skydd mot hot använder regler för att fastställa åtgärder som ska vidtas baserat på flera datapunkter, som t.ex. rykte, lokal intelligens och sammanhangsbaserad information. Du kan hantera reglerna var för sig. Adaptivt skydd mot hot fungerar olika, beroende på om det kommunicerar med TIE eller ej: Om TIE-servern är tillgänglig använder Adaptivt skydd mot hot ramverket Data Exchange Layer för att dela fil- och hotinformation direkt i hela företaget. Du kan se det specifika system där hotet först upptäcktes, vart det tog vägen sedan, samt stoppa det omedelbart. Med Adaptivt skydd mot hot med TIE-servern kan du kontrollera filryktet på lokal nivå i din miljö. Du väljer vilka filer som får köras och vilka som ska blockeras, och Data Exchange Layer delar den informationen direkt i hela din miljö. Om TIE-servern inte är tillgänglig och systemet är anslutet till Internet, använder Adaptivt skydd mot hot McAfee GTI för ryktesbeslut. Om Om TIE-servern inte är tillgänglig och systemet inte är anslutet till Internet, fastställer Adaptivt skydd mot hot filryktet med hjälp av information om det lokala systemet. 178 McAfee Endpoint Security 10.5 Produkthandbok

179 Använda Adaptivt skydd mot hot Om Adaptivt skydd mot hot 6 Scenarier för att använda Adaptivt skydd mot hot Blockera en fil omedelbart Adaptivt skydd mot hot varnar nätverksadministratören om en okänd fil i miljön. I stället för att skicka filinformationen till McAfee för analys, blockerar administratören filen omedelbart. Administratören kan sedan använda TIE-servern om den är tillgänglig för att se hur många system som har kört filen och Advanced Threat Defense kan fastställa om filen är ett hot. Tillåt att en anpassad fil körs Ett företag använder rutinmässigt en fil vars standardrykte är misstänkt eller skadligt, exempelvis en anpassad fil som skapats för företaget. Eftersom denna fil är tillåten kan administratören ändra filens rykte till betrodd och tillåta att den körs utan varningar eller uppmaningar om åtgärd, i stället för att skicka filinformationen till McAfee och få en uppdaterad DAT-fil. Tillåt att en fil körs i en behållare När ett företag använder en fil för första gången vars rykte inte är känt, kan administratören ange att den ska köras i en behållare. I det här fallet konfigurerar administratören inneslutningsreglerna i inställningarna för Dynamisk programinneslutning. Inneslutningsreglerna definierar vilka åtgärder det inneslutna programmet förhindras att utföra. Kontrollera anslutningsstatus Om du vill fastställa om Adaptivt skydd mot hot på klientsystemet ska få filrykten från TIE-servern eller McAfee GTI, kontrollerar du sidan Endpoint Security-klient Om. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 I menyn Åtgärd väljer du Om. 3 Klicka på Adaptivt skydd mot hot till vänster. Fältet Anslutningsstatus visar något av följande för Adaptivt skydd mot hot: Anslutning för Hotinformation Ansluten till TIE-servern för ryktesinformation på företagsnivå. Endast McAfee GTI-anslutning Ansluten till McAfee GTI för ryktesinformation på global nivå. Ej ansluten Inte ansluten till TIE-servern eller McAfee GTI. Adaptivt skydd mot hot fastställer filryktet med hjälp av information i det lokala systemet. Så här fastställs ett rykte Fil- och certifikatrykten fastställs när en fil försöker köras i ett hanterat system. Följande steg vidtas när ett fil- eller certifikatrykte fastställs. 1 En användare eller ett system försöker köra en fil. 2 Endpoint Security kontrollerar undantagen för att fastställa om filen ska inspekteras. 3 Endpoint Security kontrollerar filen och kan inte fastställa validiteten eller ryktet. 4 Modulen Adaptivt skydd mot hot kontrollerar filen och samlar in egenskaper av intresse om filen och det lokala systemet. McAfee Endpoint Security 10.5 Produkthandbok 179

180 6 Använda Adaptivt skydd mot hot Om Adaptivt skydd mot hot 5 Modulen söker efter filhashen i det lokala cacheminnet för rykten. Om filhashen hittas får modulen företagsförekomsten och ryktesdatan för filen från cacheminnet. Om filhashen inte hittas i det lokala cacheminnet för rykten frågar modulen TIE Server. Om hashen hittas får modulen företagsförekomst (och alla tillgängliga rykten) för den filhashen. Om filhashen inte hittas i TIE-servern eller i databasen, begär servern filhashens rykte från McAfee GTI. McAfee GTI skickar den information som finns, exempelvis okänt eller skadligt, och servern lagrar informationen. Servern skickar filen för genomsökning om båda följande är sant: Advanced Threat Defense är tillgängligt eller aktiveras som ryktesprovider, servern söker lokalt om det finns ett Advanced Threat Defense-rykte. Om inte markeras filen som kandidat för att skickas. Principen för slutpunkten är konfigurerad att skicka filen till Advanced Threat Defense. Ytterligare steg beskrivs i Om Advanced Threat Defense finns. 6 Servern returnerar filhashens företagsålder, förekomstdata och rykte till modulen utifrån de data som hittades. Om filen är ny i miljön skickar servern även en första instansflagga till modulen Adaptivt skydd mot hot. Om McAfee Web Gateway finns och skickar ryktespoäng, returneras filens rykte av TIE-servern. 7 Modulen utvärderar dessa metadata för att fastställa filens rykte: Fil- och systemegenskaper Företagsålder och förekomstdata Rykte 8 Modulen agerar utifrån den princip som är tilldelad till systemet som kör filen. 9 Modulen uppdaterar servern med ryktesinformation och huruvida filen är blockerad, tillåten eller innesluten. Den skickar även hothändelser till McAfee epo genom McAfee Agent. 10 Servern publicerar ryktesändringshändelsen för filhashen. Om Advanced Threat Defense finns Om Advanced Threat Defense finns inträffar följande process. 1 Om systemet är konfigurerat för att skicka filer till Advanced Threat Defense och filen är ny i miljön, skickar systemet filen till TIE-servern. TIE-servern skickar den sedan till Advanced Threat Defense för genomsökning. 2 Advanced Threat Defense genomsöker filen och skickar dess ryktesresultat till TIE-servern via Data Exchange Layer. Servern uppdaterar även databasen och skickar information om det uppdaterade ryktet till alla system som aktiverats med Adaptivt skydd mot hot, så att din miljö skyddas omedelbart. Adaptivt skydd mot hot eller någon annan McAfee-produkt kan initiera denna process. I båda fallen bearbetar Adaptivt skydd mot hot ryktet och sparar det i databasen. Information om hur Advanced Threat Defense är integrerat med Adaptivt skydd mot hot finns i McAfee Advanced Threat Defense Produkthandbok. Om McAfee Web Gateway finns Om McAfee Web Gateway finns händer följande. 180 McAfee Endpoint Security 10.5 Produkthandbok

181 Använda Adaptivt skydd mot hot Svara på en filryktesbegäran 6 När du hämtar filer skickar McAfee Web Gateway en rapport till TIE-servern som sparar ryktespoängen i databasen. När servern får en begäran om filrykte från modulen, returneras det rykte som togs emot från McAfee Web Gateway och andra ryktesleverantörer. Mer information om hur McAfee Web Gateway utbyter information via en TIE-server finns i kapitlet om proxyservrar i McAfee Web Gateway Produkthandbok. När töms cacheminnet? Hela cacheminnet för Adaptivt skydd mot hot töms när regelkonfigurationen ändras: Status för en eller flera regler har ändrats, till exempel från aktiverad till inaktiverad. Tilldelningen av regler har ändrats, till exempel från Balanserad till Säkerhet. En enskild fil eller ett certifikatcache töms när: Cacheminnet är över 30 dagar gammalt. Filen har ändrats på hårddisken. TIE-servern publicerar en ryktesändringshändelse. Nästa gång Adaptivt skydd mot hot får meddelande om filen räknas ryktet om. Svara på en filryktesbegäran Om en fil med ett specifikt rykte försöker köras i ditt system kan Adaptivt skydd mot hot begära en åtgärd från dig för att fortsätta. Den här uppmaningen visas bara om Adaptivt skydd mot hot är installerat och konfigurerat för uppmaningar. Administratören konfigurerar rykteströskeln och begäran visas. Om rykteströskeln till exempel visas som Okänd så frågar Endpoint Security om alla filer med ett okänt rykte eller lägre. Om inget alternativ markeras vidtar Adaptivt skydd mot hot den standardåtgärd som har konfigurerats av administratören. Vilken uppmaning som visas, timeout och vilken åtgärd som vidtas varierar beroende på hur Adaptivt skydd mot hot är konfigurerat. I Windows 8 och 10 används popup-meddelanden som aviserar både varningar och uppmaningar. Klicka på popup-meddelandet för att se aviseringen i skrivbordsläget. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 I samband med detta kan du skriva ett meddelande som skickas till administratören (valfritt). Du kan till exempel ge en beskrivning av filen eller en förklaring till varför du tillåtit eller blockerat filen i systemet. 2 Klicka på Tillåt eller Blockera. Tillåt Blockera Tillåter filen. Blockerar filen i systemet. Om du inte vill att Adaptivt skydd mot hot ska fråga efter den här filen igen, väljer du Kom ihåg detta beslut. McAfee Endpoint Security 10.5 Produkthandbok 181

182 6 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot Adaptivt skydd mot hot agerar utifrån ditt beslut eller standardåtgärd och stänger sedan fönstret. Hantera Adaptivt skydd mot hot Som administratör kan du ange inställningar för Adaptivt skydd mot hot, t.ex. välja regelgrupper, ange rykteströsklar, aktivera Real Protect och konfigurera Dynamisk programinneslutning. Ändringar av principer i McAfee epo kan skriva över ändringarna på sidan Inställningar i hanterade system. Adaptivt skydd mot hot är en tillvalsmodul i Endpoint Security. Om du vill ha fler hotinformationskällor och funktioner distribuerar du Threat Intelligence Exchange-servern. Kontakta återförsäljaren eller en säljare för mer information. Adaptivt skydd mot hot stöds inte i system som hanteras av McAfee epo Cloud. Komma igång Vad vill du göra efter att du har installerat Adaptivt skydd mot hot? Kom igång med Adaptivt skydd mot hot genom att göra följande: 1 Skapa principer i Adaptivt skydd mot hot för att avgöra vad som ska blockeras, tillåtas och inneslutas. 2 Kör sedan Adaptivt skydd mot hot i observationsläge för att skapa filförekomst och se vad Adaptivt skydd mot hot hittar i din miljö. Adaptivt skydd mot hot genererar Skulle blockera-, Skulle rensa- och Innesluts eventuellt-händelser för att visa vilka åtgärder det skulle vidta. Filförekomsten visar hur ofta en fil hittas i din miljö. 3 Övervaka och justera principerna, eller enskilda fil- eller certifikatrykten, för att styra vad som är tillåtet i din miljö. Skapa filförekomst och observera Efter installationen och distributionen börjar du skapa filförekomst och aktuell hotinformation. Du kan se vad som körs i din miljö, samt lägga till information om fil- och certifikatrykten i TIE-serverdatabasen. Denna information fyller även i de diagram och instrumentpaneler som är tillgängliga i modulen där du ser detaljerad ryktesinformation om filer och certifikat. Skapa en eller flera Adaptivt skydd mot hot-principer som du kör på ett par datorer i din miljö för att komma igång. Principerna fastställer: När en fil eller ett certifikat med ett visst rykte tillåts att köras i ett system När en fil eller ett certifikat blockeras När ett program innesluts När användaren uppmanas att vidta åtgärd När en fil har skickats till Advanced Threat Defense för ytterligare analys När filförekomst skapas kan du köra principerna i observationsläge. Fil- och certifikatrykten läggs till i databasen, händelserna Skulle blockera, Skulle rensa och Innesluts eventuellt genereras, men ingen åtgärd vidtas. Du kan se vad Adaptivt skydd mot hot blockerar, tillåter eller innesluter om principen tillämpas. 182 McAfee Endpoint Security 10.5 Produkthandbok

183 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot 6 Övervakning och ändringar Allteftersom principer körs i din miljö, läggs ryktesdata till i databasen. Med instrumentpanelerna och händelsevyerna som finns i McAfee epo kan du se filer och certifikat som är blockerade, tillåtna eller inneslutna utifrån principerna. Du kan se detaljerad information per slutpunkt, fil, regel eller certifikat, samt snabbt se antalet objekt som har identifierats och vilka åtgärder som har vidtagits. Du kan djupanalysera genom att klicka på ett objekt och ändra ryktesinställningarna för specifika filer eller certifikat, så att lämplig åtgärd kan vidtas. Om filens standardrykte till exempel är misstänkt eller okänt men du vet att det är en betrodd fil, kan du ändra filens rykte till betrodd. Programmet tillåts sedan att köras i din miljö utan att blockeras eller att användaren uppmanas att vidta någon åtgärd. Du kan ändra ryktet för interna eller egna filer som används i din miljö. Använd funktionen TIE-rykten för att söka efter ett specifikt fil- eller certifikatnamn. Du kan visa information om filen eller certifikatet, samt företagsnamn, SHA-1- och SHA-256-hashvärden, MD5, beskrivning och McAfee GTI-information. Avseende filer kan du även få direktåtkomst till VirusTotal-data från informationssidan för TIE-rykten och se ytterligare information. På sidan Instrumentpanel för rapportering visas olika typer av ryktesinformation samtidigt. Du kan visa antalet nya filer som har påträffats i din miljö den senaste veckan, filer efter rykte, filer vars rykte nyligen har ändrats, system som nyligen har kört nya filer och mycket mer. Du kan visa detaljerad information om ett objekt på instrumentpanelen genom att klicka på det. Om du har identifierat en skadlig eller misstänkt fil kan du snabbt se var den kördes och vilket system som kan vara skadat. Ändra ryktet för en fil eller ett certifikat i din miljö efter behov. Informationen uppdateras omedelbart i databasen och skickas till alla enheter som hanteras av McAfee epo. Filer och certifikat blockeras, tillåts eller innesluts utifrån sitt rykte. Om du inte är säker på vad du ska göra med en viss fil eller ett visst certifikat, kan du: Blockera den från att köras tills du har fått mer information. Till skillnad från en rensningsåtgärd i Hotdetektering som kan ta bort en fil, ligger en blockerad fil kvar på samma plats men får inte köras. Filen är intakt medan du undersöker den och beslutar vad som ska göras. Tillåt den att köras innesluten. Dynamisk programinneslutning kör program med ett specifikt rykte i en behållare och blockerar åtgärder baserat på innehållsreglerna. Programmet får köras men vissa åtgärder kan misslyckas beroende på innehållsreglerna. Importera fil- eller certifikatrykten till databasen för att tillåta eller blockera specifika filer eller certifikat utifrån andra rykteskällor. På det här sättet kan du använda de importerade inställningarna för specifika filer och certifikat utan att behöva ange dem enskilt på servern. I kolumnen Kompositrykte på sidan TIE-rykten visas det mest förekommande ryktet och dess provider. (TIE-server 2.0 och senare) I kolumnen Senast tillämpade regel på sidan TIE-rykten visas och spåras ryktesinformation, baserat på den senaste avkänningsregel som tillämpades för varje fil i slutpunkten. Du kan anpassa denna sida genom att välja Åtgärder Välj kolumner. Skicka filer för vidare analys Om filens rykte är okänt kan du skicka den till Advanced Threat Defense för ytterligare analys. Ange i TIE-serverprincipen vilka filer du skickar. McAfee Endpoint Security 10.5 Produkthandbok 183

184 6 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot Advanced Threat Defense avkänner skadlig programvara från dag noll samt kombinerar antivirussignaturer, rykte och emuleringsförsvar i realtid.du kan skicka filer automatiskt från Adaptivt skydd mot hot till Advanced Threat Defense, baserat på deras ryktesnivå och filstorlek. Filryktesinformation som skickas från Advanced Threat Defense läggs till i TIE-serverdatabasen. McAfee GTI, telemetriinformation Fil- och certifikatinformation skickas till McAfee GTI används för att förstå och förbättra ryktesinformationen. Se tabellen för detaljer om den information som tillhandahålls av McAfee GTI för filer och certifikat, endast filer eller endast certifikat. Kategori Fil- och certifikatinformation Beskrivning TIE-serverversioner och modulversioner Inställningar för åsidosättning av rykten gjorda i TIE-servern Extern ryktesinformation, exempelvis från Advanced Threat Defense Endast filer Endast certifikat Filnamn, typ, sökväg, storlek, produkt, utgivare och förekomst SHA-1-, SHA-256- och MD5-information Version av operativsystem för rapporterande dator Maximalt, minimalt och genomsnittligt rykte fastställt för filen Om rapporteringsmodulen är i observationsläge Om filen har tillåtits att köras, har blockerats, inneslutits eller rensats Produkten som kände av filen, exempelvis Advanced Threat Defense eller Hotdetektering SHA-1-information Namnet på certifikatets utfärdare och dess ämne Datumet när certifikatet trädde i kraft och dess utgångsdatum McAfee samlar inte in personligt identifierbar information, och sprider inte informationen utanför McAfee. Innesluta program dynamiskt Med dynamisk programinneslutning kan du ange att program med ett specifikt rykte ska köras i en behållare. Baserat på rykteströskeln begär Adaptivt skydd mot hot att Dynamisk programinneslutning ska köra programmet i en behållare. Inneslutna program får inte utföra vissa åtgärder, vilket anges i inneslutningsreglerna. Med denna teknik kan du utvärdera okända och potentiellt osäkra program genom att tillåta dem att köras i din miljö, samtidigt som de åtgärder de kan utföra begränsas. Användarna kan använda programmen, men de kanske inte fungerar som förväntat om Dynamisk programinneslutning blockerar vissa åtgärder. När du har fastställt att ett program är säkert, kan du konfigurera Endpoint Securitys adaptiva skydd mot hot eller TIE-servern för att tillåta den att köras normalt. Använda Dynamisk programinneslutning: 1 Aktivera Adaptivt skydd mot hot och ange en rykteströskel för när Dynamisk programinneslutning ska aktiveras i inställningarna för Alternativ. 2 Konfigurera McAfee-definierade inneslutningsregler och undantag i inställningarna för Dynamisk programinneslutning. 184 McAfee Endpoint Security 10.5 Produkthandbok

185 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot 6 Se även Tillåt att inneslutna program körs normalt på sidan 187 Konfigurera McAfee-definierade inneslutningsregler på sidan 188 Aktivera tröskeln för dynamisk programinneslutning på sidan 187 Så här fungerar Dynamisk programinneslutning Adaptivt skydd mot hot använder ett programs rykte för att fastställa om Dynamisk programinneslutning ska köra programmet med begränsningar. När en fil med det angivna ryktet körs i din miljö, kommer Dynamisk programinneslutning att blockera eller logga osäkra åtgärder baserat på inneslutningsreglerna. När program utlöser blockeringsregler för inneslutning, använder Dynamisk programinneslutning denna information till det övergripande ryktet för inneslutna program. Andra tekniker, exempelvis McAfee Active Response, kan begära inneslutning. Om flera tekniker som registrerats med Dynamisk programinneslutning begär inneslutning av ett program, är varje begäran kumulativ. Programmet förblir inneslutet tills dess att alla tekniker släpper programmet. Om en teknik som har begärt inneslutning inaktiveras eller tas bort, frisläpper Dynamisk programinneslutning dessa program. Arbetsflöde för dynamisk programinneslutning 1 Processen börjar köras. 2 Adaptivt skydd mot hot kontrollerar filryktet. Adaptivt skydd mot hot använder TIE-servern, om den är tillgänglig, för programmets rykte. Om TIE-servern inte är tillgänglig, använder Adaptivt skydd mot hot McAfee GTI för ryktesinformationen. Om ryktet inte är känt och Real Protects molnbaserade och klientbaserade genomsökningar är aktiverade, frågar Adaptivt skydd mot hot Real Protect om ryktet. 3 Om programmets rykte är detsamma som eller lägre än inneslutningens rykteströskel, meddelar Adaptivt skydd mot hot Dynamisk programinneslutning om att processen har startat och begär inneslutning. 4 Dynamisk programinneslutning innesluter processen. Du kan visa händelserna för dynamisk programinneslutning i Hothändelseloggen i McAfee epo. 5 Om det inneslutna programmet betraktas som säkert, kan du tillåta att det körs normalt (ej inneslutet). McAfee Endpoint Security 10.5 Produkthandbok 185

186 6 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot Se även Tillåt att inneslutna program körs normalt på sidan McAfee Endpoint Security 10.5 Produkthandbok

187 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot 6 Tillåt att inneslutna program körs normalt När du väl fastställer att ett inneslutet program är säkert så kan du tillåta att det körs normalt i din miljö. Lägg till programmet till den globala listan Undantag i inställningarna för Dynamisk programinneslutning. I det här fallet frigörs programmet från inneslutningen och körs normalt, oavsett hur många tekniker som har begärt inneslutning. Konfigurera Adaptivt skydd mot hot för att höja rykteströskeln och frisläppa det från inneslutning. I det här fallet frigörs programmet från inneslutningen och körs normalt, om inte någon annan teknik har begärt att programmet ska inneslutas. Om TIE-servern är tillgänglig ändrar du filens rykte till en nivå som tillåter att den körs, till exempel Känt att vara tillförlitligt. I det här fallet frigörs programmet från inneslutningen och körs normalt, om inte någon annan teknik har begärt att programmet ska inneslutas. Se McAfee Threat Intelligence Exchange Produkthandbok. Se även Undanta processer från dynamisk programinneslutning på sidan 189 Aktivera tröskeln för dynamisk programinneslutning Med tekniken dynamisk programinneslutning kan du ange att program med ett specifikt rykte ska köras i en behållare. På så sätt kan du begränsa vilka åtgärder de ska kunna utföra. Aktivera åtgärdstillämpning för dynamisk programinneslutning, och ange en rykteströskel för när program ska inneslutas. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Adaptivt skydd mot hot på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd. Klicka sedan på Adaptivt skydd mot hot på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 5 Kontrollera att Adaptivt skydd mot hot är aktiverat. 6 Välj Starta dynamisk programinneslutning när rykteströskeln når. 7 Ange rykteströskeln för när program ska inneslutas. Kan vara tillförlitligt Okänt (standard för regelgruppen Säkerhet) Kan vara skadligt (standard för regelgruppen Balanserad) McAfee Endpoint Security 10.5 Produkthandbok 187

188 6 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot Troligtvis skadligt (standard för regelgruppen Produktivitet) Känt att vara skadligt Rykteströskeln för dynamisk programinneslutning måste vara högre än trösklarna för att blockera och rensa. Om blockeringströskeln till exempel är inställd på Känt att vara skadligt måste tröskeln för dynamisk programinneslutning anges till Troligtvis skadligt eller högre. 8 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Konfigurera McAfee-definierade inneslutningsregler McAfee-definierade innehållsregler blockera eller logga åtgärder som inneslutna program kan utföra. Du kan ändra inställningarna för blockering och rapportering, men du kan inte i övrigt ändra eller ta bort dessa regler. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Information om regler för Dynamisk programinneslutning, inklusive metodtips för när en regel ska rapportera eller blockera, finns i KB Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Adaptivt skydd mot hot på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd. Klicka sedan på Adaptivt skydd mot hot på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Dynamisk programinneslutning. 5 I avsnittet Inneslutningsregler väljer du Blockera, Rapportera eller båda för regeln. Blockera eller rapportera alla genom att välja Blockera eller Rapportera på den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. 6 I avsnittet Undantag konfigurerar du körbara filer som ska undantas från dynamisk programinneslutning. Processer i listan Undantag körs normalt (ej inneslutna). 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Se även Undanta processer från dynamisk programinneslutning på sidan 189 Hantera inneslutna program När Dynamisk programinneslutning innehåller ett betrott program kan du undanta det från inneslutning från Endpoint Security-klient. När ett program undantas släpps det, tas bort från Inneslutna program och läggs till i Undantag, vilket hindrar att det innesluts i framtiden. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. 188 McAfee Endpoint Security 10.5 Produkthandbok

189 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot 6 Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Adaptivt skydd mot hot på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd. Klicka sedan på Adaptivt skydd mot hot på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Dynamisk programinneslutning. 5 I avsnittet Inneslutna program markerar du programmet och klickar på Undanta. 6 Konfigurera egenskaperna för den körbara filen på sidan Lägg till körbar fil. Klicka sedan på Spara. Programmet visas i listan Undantag. Programmet finns kvar i listan Inneslutna program tills du klickar på Tillämpa. När du går tillbaka till sidan Inställningar visas programmet enbart i listan Undantag. 7 Klicka på Tillämpa om du vill spara ändringarna eller klicka på Avbryt. Undanta processer från dynamisk programinneslutning Om ett betrott program är inneslutet undantar du det genom att skapa ett undantag för dynamisk programinneslutning. Undantag som skapats med Endpoint Security-klient tillämpas bara på klientsystemet. Dessa undantag skickas inte till McAfee epo och visas inte i avsnittet Undantag i inställningarna för Dynamisk programinneslutning. I hanterade system skapar du globala undantag i inställningarna för Dynamisk programinneslutning i McAfee epo. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Adaptivt skydd mot hot på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd. Klicka sedan på Adaptivt skydd mot hot på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Dynamisk programinneslutning. 5 I avsnittet Undantag klickar du på Lägg till för att lägga till processer som ska undantas från alla regler. 6 Konfigurera egenskaperna för den körbara filen på sidan Lägg till körbar fil. 7 Klicka på Spara och sedan på Tillämpa för att spara inställningarna. McAfee Endpoint Security 10.5 Produkthandbok 189

190 6 Använda Adaptivt skydd mot hot Hantera Adaptivt skydd mot hot Konfigurera alternativ för Adaptivt skydd mot hot Inställningarna för Adaptivt skydd mot hot bestämmer när en fil eller ett certifikat ska köras, inneslutas, rensas, blockeras eller om användare ska uppmanas att vidta åtgärder. Innan du börjar Gränssnittläget för Endpoint Security-klient är Fullständig åtkomst, eller så måste du vara inloggad som administratör. Ändringar av principer i McAfee epo skriver över ändringarna på sidan Inställningar. Åtgärd Om du vill ha mer information om produktfunktioner, användning och metodtips, kan du klicka på? eller Hjälp. 1 Öppna Endpoint Security-klient. 2 Klicka på Adaptivt skydd mot hot på huvudsidan Status. Eller välj Inställningar på menyn Åtgärd. Klicka sedan på Adaptivt skydd mot hot på sidan Inställningar. 3 Klicka på Visa avancerat. 4 Klicka på Alternativ. 5 Konfigurera inställningarna på sidan, klicka därefter på Tillämpa för att spara eller klicka på Avbryt. Blockera eller tillåta filer och certifikat Filer och certifikat får hotrykten utifrån sitt innehåll och sina egenskaper. Adaptivt skydd mot hot-principerna avgör om filer och certifikat blockeras eller tillåts på datorer i din miljö, baserat på ryktesnivåer. Det finns tre säkerhetsnivåer beroende på hur du vill balansera reglerna för vissa typer av system. Varje nivå kopplas till en viss regel som identifierar skadliga och misstänkta filer och certifikat. Produktivitet System som ofta ändras, t.ex. via installationer och avinstallationer av betrodda program samt uppdateringar. Exempel på dessa system är datorer som används i utvecklingsmiljöer. Färre regler används med principer för denna inställning. Användarna får minimalt med blockeringar och uppmaningar när nya filer identifieras. Balanserad Vanliga affärssystem där nya program och ändringar installeras mer sällan. Fler regler används med principer för denna inställning. Användarna får fler blockeringar och uppmaningar. Säkerhet IT-hanterade system med hög kontrollnivå och få ändringar. Exempel på dessa är system som har åtkomst till kritisk eller känslig information, såsom finansföretag och myndigheter. Denna inställning används även för servrar. Maximalt antal regler används med principer för denna inställning. Användarna får ännu fler blockeringar och uppmaningar. Välj Meny Serverinställningarför att se de specifika regler som är associerade med varje säkerhetsnivå. I listan Inställningskategorier väljer du Adaptivt skydd mot hot. När du avgör vilken säkerhetsnivå som ska kopplas till en princip beaktar du typen av system där principen används, och hur många blockeringar och uppmaningar du vill visa för användaren. När du har skapat en princip ska den tilldelas datorer och enheter för att bestämma hur många blockeringar och uppmaningar som ska förekomma. 190 McAfee Endpoint Security 10.5 Produkthandbok

191 Använda Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens Adaptivt skydd mot hot 6 Använda Real Protect-genomsökning Real Protect-genomsökningen inspekterar misstänkta filer och aktiviteter på en slutpunkt för att hitta skadliga mönster med hjälp av maskininlärningstekniker. Med hjälp av denna information kan genomsökningen hitta skadlig programvara från dag noll. Real Protect-tekniken stöds inte i vissa Windows-operativsystem. Se KB82761 för information. Real Protect-genomsökningen innehåller två alternativ för att utföra automatiserade analyser: I molnet Molnbaserade Real Protect samlar in och skickar filattribut och beteendebaserad information till maskininlärningssystemet i molnet för analys efter skadlig programvara. Det här alternativet kräver Internetanslutning för att kunna minska antalet falska positiva resultat med McAfee GTI-ryktet. Metodtips: Inaktivera molnbaserad Real Protect på system som inte är anslutna till Internet. I klientsystemet Klientbaserade Real Protect använder maskininlärning i klientsystemet för att bedöma om filen matchar känd skadlig programvara. Om klientsystemet är anslutet till Internet, skickar Real Protect telemetriinformation till molnet, men använder inte molnet för analys. Om klientsystemet använder TIE för rykten, krävs det inte någon Internetanslutning för att minska antalet falska positiva resultat. Metodtips: Aktivera båda Real Protect-alternativen, såvida inte supporten råder dig att avmarkera en eller båda för att minimera antalet falska positiva resultat. Ingen personligt identifierbar information (PII) skickas till molnet. Endpoint Security-klient gränssnittsreferens Adaptivt skydd mot hot Ger sammanhangsberoende hjälp för sidor i Endpoint Security-klient gränssnitt. Innehåll Sidan Adaptivt skydd mot hot Dynamisk programinneslutning Sidan Adaptivt skydd mot hot Alternativ Sidan Adaptivt skydd mot hot Dynamisk programinneslutning Skydda systemet genom att begränsa vilka åtgärder som inneslutna program kan utföra baserat på konfigurerade regler. McAfee Endpoint Security 10.5 Produkthandbok 191

192 6 Använda Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens Adaptivt skydd mot hot Tabell 6-1 Alternativ Avsnitt Inneslutningsregler Alternativ Beskrivning Konfigurerar regler för Dynamisk programinneslutning. Du kan ändra om McAfee-definierade innehållsregler ska blockera eller rapportera, men du kan inte i övrigt ändra eller ta bort dessa regler. Blockera (enbart) Blockerar, utan loggning, inneslutna program från att utföra åtgärder som anges av regeln. Rapport (endast) Loggar när program försöker utföra åtgärder i regeln, men förhindrar inte att program utför åtgärder. Blockera och rapportera Blockerar och loggar åtkomstförsök. Metodtips: När alla effekter av en regel inte är kända väljer du Rapportera men inte Blockera, för att få en varning utan att blockera åtkomstförsök. Övervaka loggarna och rapporterna och bestäm sedan om du vill blockera åtkomsten. Blockera eller rapportera alla genom att välja Blockera eller Rapportera i den första raden. Avmarkera både Blockera och Rapportera för att inaktivera regeln. Inneslutna program Visar en lista med program som för närvarande innesluts. Undanta Flyttar ett inneslutet program till listan Undantag och släpper det från inneslutning och tillåter att det körs normalt. Tabell 6-2 Avancerade alternativ Avsnitt Alternativ Beskrivning Undantag Uteslut processer från inneslutning. Lägg till Lägger till en process i undantagslistan. Dubbelklicka på ett objekt Ändra det valda objektet. Ta bort Tar bort det valda objektet. Duplicera Skapar en kopia av det valda objektet. Se även Så här fungerar Dynamisk programinneslutning på sidan 185 Sidan Lägg till undantag eller Redigera undantag på sidan 192 Konfigurera McAfee-definierade inneslutningsregler på sidan 188 Undanta processer från dynamisk programinneslutning på sidan 189 Sidan Lägg till undantag eller Redigera undantag Lägg till eller redigera en körbar fil som ska undantas från Dynamisk programinneslutning. Tänk på följande när du anger undantag: Du måste ange minst en identifierare: Filnamn eller sökväg, MD5-hash eller Undertecknare. Om du anger fler än en identifierare, tillämpas alla identifierare. Om du anger fler än en identifierare och de inte matchar varandra (om till exempel filnamnet och MD5-hashen inte gäller samma fil), är undantaget ogiltigt. 192 McAfee Endpoint Security 10.5 Produkthandbok

193 Använda Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens Adaptivt skydd mot hot 6 Undantag är skiftlägesokänsliga. Jokertecken är tillåtna för alla utom MD5-hash. Tabell 6-3 Alternativ Alternativ Namn Filnamn eller sökväg MD5-hash Undertecknare Definition Anger namnet på den körbara filen. Det här fältet är obligatoriskt med minst ett ytterligare fält: Filnamn eller sökväg, MD5-hash eller Undertecknare. Anger filnamn eller sökväg för den körbara filen som ska läggas till eller redigeras. Klicka på Bläddra om du vill välja den körbara filen. Filsökvägen kan innehålla jokertecken. Anger processens MD5-hash (32-siffrigt hexadecimalt nummer). Aktivera kontroll av digital signatur Garanterar att koden inte har ändrats eller skadats efter signeringen med en krypterings-hash. Om aktiverad, ange: Tillåt alla signaturer Tillåter filer som är signerade av alla undertecknare. Signerad av Tillåter endast filer som är signerade av den specifika processundertecknaren. Undertecknarens unika namn är obligatoriskt för den körbara filen och det måste stämma exakt överens med posterna i det intilliggande fältet, inklusive kommatecken och mellanslag. Processundertecknaren visas i rätt format i händelser i Endpoint Security-klient Händelselogg och i Hothändelseloggen i McAfee epo. Exempel: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Så här skaffar du ett unikt namn för undertecknaren för en körbar fil: 1 Högerklicka på en körbar fil och välj Egenskaper. 2 På fliken Digitala signaturer markerar du en undertecknare och klickar på Information. 3 På fliken Allmänt klickar du på Visa certifikat. 4 På fliken Information markerar du fältet Sökande. Undertecknarens unika namn visas. Firefox har till exempel följande unika namn på undertecknaren: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Kalifornien C = USA Anteckningar Ger mer information om objektet. McAfee Endpoint Security 10.5 Produkthandbok 193

194 6 Använda Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens Adaptivt skydd mot hot Sidan Adaptivt skydd mot hot Alternativ Konfigurera inställningar för modulen Adaptivt skydd mot hot. Tabell 6-4 Alternativ Avsnitt Alternativ Definition Alternativ Aktivera Adaptivt skydd mot hot Tillåt att Threat Intelligence Exchange-servern samlar in anonyma diagnostikoch användningsdata Använder McAfee GTI-rykte om Threat Intelligence Exchange-servern inte går att nå Förhindrar att användarna ändrar inställningarna (endast för Threat Intelligence Exchange 1.0-klienter) Aktiverar modulen Adaptivt skydd mot hot. (Aktiverad som standard) Anger om TIE-servern ska tillåtas att skicka anonym filinformation till McAfee. Får filryktesinformation från Global Threat Intelligence-proxyn om TIE-servern inte är tillgänglig. Förhindrar att användare i hanterade system kan ändra inställningar i Threat Intelligence Exchange 1.0. Regeltilldelning Produktivitet Tilldelar regelgruppen Produktivitet. Använd den här gruppen för system som ofta ändras, samt har regelbundna installationer och uppdateringar av betrodd programvara. Den här gruppen använder lägst antal regler. Användarna upplever minimalt med uppmaningar och blockeringar vid upptäckt av nya filer. Balanserad Säkerhet Tilldelar regelgruppen Balanserad. Använd denna grupp för vanliga företagssystem som sällan får nya program eller ändringar. Den här gruppen använder fler regler och användarna får fler uppmaningar och blockeringar än gruppen Produktivitet. Tilldelar regelgruppen Säkerhet. Använd den här gruppen för system som sällan ändras, t.ex. IT-hanterade system och servrar med hög kontrollnivå. Användarna får fler uppmaningar och blockeringar än med gruppen Balanserad. 194 McAfee Endpoint Security 10.5 Produkthandbok

195 Använda Adaptivt skydd mot hot Endpoint Security-klient gränssnittsreferens Adaptivt skydd mot hot 6 Tabell 6-4 Alternativ (fortsättning) Avsnitt Alternativ Definition Real Protect-genomsökning Aktivera klientbaserad genomsökning Aktiverar klientbaserad Real Protect-genomsökning, som använder maskininlärning i klientsystemet för att bedöma om filen matchar känd skadlig programvara. Om klientsystemet är anslutet till Internet, skickar Real Protect telemetriinformation till molnet, men använder inte molnet för analys. Om klientsystemet använder TIE för rykten, krävs det inte någon Internetanslutning för att minska antalet falska positiva resultat. Metodtips: Välj det här alternativet såvida inte supporten råder dig att avmarkera det för att minska mängden falska positiva resultat. Real Protect-tekniken stöds inte i vissa Windows-operativsystem. Se KB82761 för information. Aktivera molnbaserad genomsökning Aktiverar molnbaserad Real Protect-genomsökning, som samlar in och skickar filens attribut och beteendebaserade information till maskininlärningssystemet i molnet för analys. Det här alternativet kräver Internetanslutning för att kunna minska antalet falska positiva resultat med McAfee GTI-ryktet. Åtgärdstillämpning Aktivera observationsläget Metodtips: Inaktivera molnbaserad Real Protect på system som inte är anslutna till Internet. Real Protect-tekniken stöds inte i vissa Windows-operativsystem. Se KB82761 för information. Genererar händelser i Adaptivt skydd mot hot Skulle blockera, Skulle rensa eller Innesluts eventuellt och skickar dem till servern, men tillämpar inte några åtgärder. Aktivera observationsläge tillfälligt i några system, men endast vid justering av Adaptivt skydd mot hot. Eftersom aktivering av det här läget gör att Adaptivt skydd mot hot genererar händelser utan att tillämpa åtgärder, kan din dator bli sårbar för hot. McAfee Endpoint Security 10.5 Produkthandbok 195