Anti-Spyware Enterprise Module

Transkript

1 Anti-Spyware Enterprise Module version 8.0 Handbok Vad är Anti-Spyware Enterprise Module? McAfee Anti-Spyware Enterprise Module är ett tillägg till VirusScan Enterprise 8.0i som utökar programmets kapacitet att identifiera och vidta åtgärder mot spionprogram och cookie-filer. Var hittar jag modulen? Anti-Spyware Enterprise Module 8.0 finns på produktens CD. Om du har ett giltigt licensnummer kan du även hämta modulen från McAfees webbplats: Vad betyder termerna?! Spionprogramdefinitioner Detta är utmärkande kännetecken för spionprogram som kan klassas som oönskade (ungefär som virusdefinitioner). Spionprogramdefinitionerna ingår i filen med virusdefinitioner (DAT-filen). VirusScan Enterprise använder dem för att identifiera program på datorn som kan vara oönskade spionprogram.! Cookie-definitioner Detta är cookie-filer för Internet Explorer 4.0 eller senare som kan vara oönskade. Cookie-definitionerna ingår i filen med virusdefinitioner (DAT-filen). VirusScan Enterprise använder dem för att identifiera filer i mappen för cookie-filer som kan vara oönskade. Innehåll! Vad är Anti-Spyware Enterprise Module? ! Var hittar jag modulen? ! Vad betyder termerna? ! Hur fungerar modulen? ! Innan du börjar ! Installera modulen ! Kontrollera installationen ! Konfigurera modulen från VirusScan Enterprise ! Konfigurera modulen via epolicy Orchestrator ! Starta en genomsökning och granska resultatet ! Skicka ett prov till AVERT ! Ta bort modulen ! Mer information Ikoner Obs! Varning! Tips! Hur fungerar modulen? Modulen installeras som ett tillägg till VirusScan Enterprise 8.0i. Den installerade och konfigurerade modulen söker efter och vidtar åtgärder mot oönskade spionprogram och cookie-filer vid åtkomstgenomsökning eller genomsökning på begäran. Du kan också lägga till undantag för filer, registervärden och cookie-filer som ska ignoreras vid genomsökningen. Vid genomsökningen använder sökmotorn de definitioner av spionprogram och cookie-filer som har lagts till i DAT-filen med virusdefinitioner. Nya spionprogram och cookie-definitioner läggs till i DAT-filen allt eftersom de upptäcks. Därför rekommenderar vi att du regelbundet uppdaterar DAT-filen så att du alltid har de senaste definitionerna. Modulen kan användas direkt i VirusScan Enterprise eller hanteras via epolicy Orchestrator.! Åtkomstgenomsökning Skyddet mot spionprogram ges i första hand av åtkomstgenomsökningen, som identifierar potentiellt oönskade program när de används. Cookie-filer identifieras inte vid åtkomstgenomsökning. Identifieringar Om den valda åtgärden är Reparera filer automatiskt vidtas den åtgärd som anges i DAT-filen. Det kan t.ex. vara att avsluta processer eller att ta bort insmugna.dll-filer, andra filer och/eller registernycklar. I många fall kommer användaren bara att märka att filer har tagits bort eftersom spionprogrammens delar i övrigt är osynliga. Om alternativet Radera filer automatiskt är valt som åtgärd tas den identifierade filen bort. Undantag Om modulen varnar för en fil som du vill godkänna kan du ange att den ska ignoreras i fortsättningen.! Genomsökning på begäran Vid genomsökningar på begäran kan du utöver den vanliga sökningen i filer ange att Windows-registret och cookie-mappen ska genomsökas efter spionprogram respektive cookie-filer som kan vara oönskade. Nya alternativ har lagts till under genomsökning på begäran för register- och cookie-genomsökning. Registergenomsökning Vid en registergenomsökning identifieras registerposter för program som kan vara oönskade spionprogram och som inte har åtgärdats tidigare. Identifieringar Om den valda åtgärden är Reparera filer vidtas den åtgärd som anges i DAT-filen. Det kan t.ex. vara att reparera eller ta bort registernycklar eller registervärden. Om alternativet Radera filer är valt som åtgärd tas den identifierade registernyckeln eller registervärdet bort. Alla andra åtgärder behandlas som Fortsätt sökningen. Undantag Om modulen varnar för att en post i registret kan höra till ett spionprogram, och du vill godkänna den, kan du ange att den ska ignoreras i fortsättningen. Cookie-genomsökning Vid en cookie-genomsökning identifieras cookie-filer som kan vara oönskade i cookie-mappen. Identifieringar Om något av alternativen Ta bort filer eller Flytta filer till en mapp är valt som åtgärd tas hela cookie-filen bort eller flyttas. Reparera filer fungerar som Ta bort filer. Undantag Om modulen varnar för en cookie-fil som du vill godkänna kan du ange att den ska ignoreras i fortsättningen. 1

2 Innan du börjar Här får du veta vad du ska tänka på före installationen. 1 Kontrollera att din dator uppfyller följande krav:! En server eller arbetsstation som uppfyller systemkraven i installationshandboken för VirusScan Enterprise 8.0i.! En server eller arbetsstation med en installerad licensierad version av VirusScan Enterprise 8.0i. Varning! 2 Läs igenom filen README.TXT med den senaste produktinformationen:! Särskilda krav! Kända problem! Sent tillkomna tillägg eller ändringar 3 Hämta installationsfilerna: a Den här versionen av Anti-Spyware Enterprise Module 8.0 fungerar inte tillsammans med äldre versioner av VirusScan Enterprise..ZIP-filen för Anti-Spyware Enterprise Module 8.0 finns på produktens CD-skiva eller på McAfees webbplats: login.asp b Packa upp.zip-filen och lägg filerna i en tillfällig mapp på hårddisken. Platsen bestäms av installationssättet. Filerna läggs där:! VirusScan Enterprise 8.0i redan finns installerat. ELLER DÄR! epolicy Orchestrator eller senare finns installerat. ELLER DÄR! McAfee Installation Designer kan komma åt filerna. Produktens.ZIP-fil innehåller följande:! PACKING.LST! VS800DET.MCS! VSE800.NAP! PKGCATALOG.Z! VSE80MAS.EXE! VSEMAS80.NAP! README.TXT (en fil per språk) Installera modulen Här beskrivs olika tillvägagångssätt för att installera modulen Installera modulen med någon av nedanstående metoder:! Fristående! Kommandoraden! epolicy Orchestrator! McAfee Installation Designer Du bör läsa igenom beskrivningarna av de olika installationsmetoderna innan du väljer en. Du kan få olika resultat beroende på vilken metod du använder. Med metoden för fristående installation ändras t.ex. inställningarna för VirusScan Enterprise. Ändringarna i inställningarna görs automatiskt, så att modulen ska fungera på bästa sätt. Om du vill installera modulen utan att ändra inställningarna för VirusScan Enterprise måste du använda någon av de andra metoderna. 2

3 Installera modulen (forts.) Fristående Lägg till modulen till VirusScan Enterprise med hjälp av den körbara installationsfilen. Kommandoraden Via kommandoraden kan du anpassa installationen efter dina önskemål. Varning! När modulen installeras som fristående ändras vissa inställningar för VirusScan Enterprise 8.0i automatiskt, så att modulen ska fungera på bästa sätt. Mer information finns under Ändringar i konfigurationen nedan. Om du vill installera modulen utan att ändra inställningarna för VirusScan Enterprise använder du någon av de andra tre metoderna nedan. Varning! När modulen installeras via kommandotolken ändras vissa inställningar för VirusScan Enterprise 8.0i automatiskt, så att modulen ska fungera på bästa sätt. Mer information finns under Fristående Ändringar i konfigurationen. Om du vill installera modulen utan att ändra inställningarna för VirusScan Enterprise använder du kommandoradsalternativet /NC, se nedan. 1 Gå till den tillfälliga mappen och dubbelklicka på VSE80MAS.EXE. 1 Öppna kommandotolken i Windows genom att välja Kör i Start-menyn. 2 Bläddra till mappen där du tillfälligt packade upp filerna. På kommandoraden skriver du sedan kommandot för att installera modulen. Använd följande syntax: VSE80MAS EGENSKAP=VÄRDE[,VÄRDE] [/ALTERNATIV] Exempel: VSE80MAS [[/LOGFILE filnamn][/silent][/reboot] [/PROMPT][/E [mapp]] 2 Klicka på Nästa om du vill fortsätta med installationen. Klicka på Slutför när installationen är klar. Ändringar i konfigurationen När modulen installeras med den här metoden görs följande ändringar i inställningarna för VirusScan Enterprise 8.0i, så att modulen ska fungera på bästa sätt.! Åtkomstgenomsökning Identifiera oönskade program aktiveras på fliken Oönskade program i dialogrutan Egenskaper för åtkomstgenomsökning, om det inte var aktiverat sedan tidigare.! Genomsökningar på begäran:! Identifiera oönskade program aktiveras på fliken Oönskade program i dialogrutan Egenskaper för åtkomstgenomsökning, om det inte var aktiverat sedan tidigare.! Genomsökning på begäran har fått två nya alternativ i VirusScan Enterprise: Windows-registret (med Anti-Spyware-modulen) Cookie-filer (med Anti-Spyware-modulen)! De två nya alternativen, Windows-registret (med Anti-Spyware-modulen) och Cookie-filer (med Anti-Spywaremodulen), läggs till i alla nya och befintliga genomsökningar på begäran.! Princip för oönskade program Kategoriurvalet på fliken Identifiering i Princip för oönskade program påverkas på följande sätt:! Om inga kategorier var markerade sedan tidigare väljs alla kategorier automatiskt.! Om några eller samtliga kategorier var valda sedan tidigare görs ingen ändring. Eller om du inte vill ändra inställningarna: VSE80MAS [[/LOGFILE filnamn][/silent][/reboot] [/PROMPT][/NC][/E [mapp]] /LOGFILE En statuslogg sparas i den angivna filen. /SILENT Installationsprogrammet körs utan användarinteraktion. /REBOOT Datorn startas om, om så behövs. /PROMPT En dialogruta med en fråga visas före omstart. /NC Inga ändringar görs i de befintliga inställningarna. /E Komprimerade filer packas upp. mapp En mapp som redan finns på hårddisken. 3

4 Installera modulen (forts.) epolicy Orchestrator Lägg till modulpaketet och.nap-filerna i epolicy Orchestrator Repository (databas). Obs! Om modulen installeras via epolicy Orchestrator görs inga ändringar i inställningarna för VirusScan Enterprise 8.0i eller i de genomsökningar på begäran som finns sedan tidigare. I alla nya genomsökningar på begäran kommer dock register- och cookiegenomsökning att läggas till automatiskt. 1 Öppna epolicy Orchestrator-konsolen (version eller senare) och välj Repository (databas) i konsolträdet. 4 Logga in på konsolen Reporting (rapport) genom epolicy Orchestrator-autentisering. Om du redan är inloggad måste du logga ut och logga in igen. Tips Du måste logga in med epolicy Orchestrator-autentisering för att konsolen ska kunna identifiera och samla in ny information från registergenomsökningen och/eller cookiegenomsökningen samt visa informationen i rapporter. a Expandera epo Databases (epo-databaser) under Reporting (rapport) i konsolträdet och markera sedan den databas som du vill logga in på. b Välj Connect (anslut) och logga sedan in med autentiseringsuppgifterna för epolicy Orchestrator. c Klicka på Ja för att hämta de nya rapporterna. 5 Distribuera sedan modulen till klienterna. McAfee Installation Designer McAfee Installation Designer används för att skapa installationspaket. 2 Checka in PKGCATALOG.Z i databasen. a Markera Check in package (checka in paket). b Klicka på Nästa, markera Products or updates (produkter och uppdateringar) och klicka på Nästa igen. c Klicka på Bläddra, navigera till den tillfälliga mappen, markera PKGCATALOG.Z och klicka på Öppna. d Klicka på Nästa och klicka på Slutför för att checka in paketet. e Klicka på Stäng när paketet har checkats in. 3 Checka in följande filer i databasen. a b c d e VSE800.NAP Innehåller ny information, om t.ex. användargränssnitt och ändringar av principsidan, som krävs för konfigureringen av modulen. Den här filen ersätter den tidigare installerade versionen av VSE800.NAP. VSEMAS80.NAP Innehåller de nödvändiga principerna för kompatibilitetsrapporter från modulen. Välj Repository (databas) i konsolträdet och välj Check in NAP (checka in NAP-fil). Markera Add new software to be managed (lägg till ny programvara som ska hanteras) och klicka på Nästa. Navigera till den tillfälliga mappen, markera.nap-filen och klicka på Öppna för att installera den. Klicka på Ja om du vill ersätta en befintlig fil. Upprepa Steg a till Steg d för varje.nap-fil som du vill checka in. Varning! När modulen installeras med McAfee Installation Designer ändras vissa inställningar för VirusScan Enterprise 8.0i automatiskt, så att modulen ska fungera på bästa sätt. Mer information finns under Fristående Ändringar i konfigurationen på sidan 3. Om du vill installera modulen utan att ändra inställningarna för VirusScan Enterprise använder du kommandoradsalternativet /NC när du skapar installationspaketet. Se Kommandoraden på sidan 3. 1 Starta McAfee Installation Designer Markera pakettyp och de produkter som du vill inkludera i paketet. Klicka sedan på Nästa. 3 Ange källmapp, målmapp och optimeringsalternativ. Klicka på Nästa. 4 Klicka på Lägg till i Program, bläddra fram till den tillfälliga mappen och markera VSE80MAS.EXE. 5 Klicka på Slutför och Spara. 6 Distribuera installationspaketet med valfritt verktyg. 4

5 Kontrollera installationen Här får du veta hur du kontrollerar installationen av modulen i VirusScan Enterprise och epolicy Orchestrator. Från VirusScan Enterprise Från VirusScan-konsolen: 1 Kontrollera att modulens namn har lagts till efter produktnamnet. a Gå till VirusScan-konsolen och välj Om i Hjälp-menyn. b Kontrollera att det står VirusScan Enterprise + Anti-Spyware Module i dialogrutan. c Klicka på OK när du är klar. 2 Det finns två nya alternativ för genomsökning på begäran i VirusScan Enterprise 8.0i:! Windows-registret (med Anti-Spyware-modulen)! Cookie-filer (med Anti-Spyware-modulen) 3 När genomsökningen är klar kontrollerar du att det finns meddelanden om identifiering av spionprogram i loggfilerna. 4 Om du valde en installationsmetod som medför ändringar i inställningarna för VirusScan Enterprise ser du även dessa ändringar.! Åtkomstgenomsökning Identifiera oönskade program aktiveras på fliken Oönskade program i dialogrutan Egenskaper för åtkomstgenomsökning, om det inte var aktiverat sedan tidigare.! Genomsökningar på begäran:! Identifiera oönskade program aktiveras på fliken Oönskade program i dialogrutan Egenskaper för åtkomstgenomsökning, om det inte var aktiverat sedan tidigare.! De två nya alternativen, Windows-registret (med Anti-Spyware-modulen) och Cookie-filer (med Anti-Spywaremodulen), läggs till i alla nya och befintliga genomsökningar på begäran.! Princip för oönskade program Kategoriurvalet på fliken Identifiering i Princip för oönskade program påverkas på följande sätt:! Om inga kategorier var markerade sedan tidigare väljs alla kategorier automatiskt av installationsprogrammet.! Om några eller samtliga kategorier var valda sedan tidigare kvarstår detta urval. I det här fallet görs alltså ingen ändring. Från epolicy Orchestrator Från epolicy Orchestrator-konsolen: 1 Kontrollera att det finns en principsida för modulen. I konsolträdet under epolicy Orchestrator väljer du Directory (katalog) eller önskad plats, grupp eller dator. Kontrollera sedan att McAfeeAnti-Spyware Enterprise Module 8.0 visas på fliken Policies (principer). 2 Kontrollera under Managed Products (hanterade produkter) i Repository (databas) att modulen är installerad. a I konsolträdet under epolicy Orchestrator väljer du Repository Managed Products Windows (databas hanterade produkter Windows). b Expandera McAfee Anti-Spyware Enterprise Module och kontrollera att det står version De två nya alternativen, Windows-registret (med Anti-Spywaremodulen) och Cookie-filer (med Anti-Spyware-modulen), läggs automatiskt till i alla nya genomsökningar på begäran. 4 Efter genomsökningen kontrollerar du att information om identifiering av spionprogram förekommer i rapporten Top Ten Unwanted Programs (oönskade program) i Report Repository (rapportdatabasen). 5

6 Konfigurera modulen från VirusScan Enterprise Här får du veta hur du konfigurerar modulen i VirusScan Enterprise. Uppdatera definitionerna, aktivera identifiering av oönskade program, konfigurera åtkomstgenomsökning och skapa och konfigurera genomsökningar på begäran. Du kan också lägga till användardefinierad identifiering av filer som sökmotorn missar och undantag för objekt som ska ignoreras. Uppdatera definitionerna Vid genomsökningen använder Anti-Spyware Enterprise Module de definitioner av spionprogram och cookie-filer som har lagts till i filen med virusdefinitioner. När du uppdaterar filen med virusdefinitioner följer de senaste definitionerna av spionprogram och cookie-filer med. 1 Uppdatera genast när installationen är klar så att du har de senaste spionprogram- och cookie-definitionerna. I VirusScan-konsolen högerklickar du på AutoUpdate och väljer Start. 2 Uppdatera regelbundet så att filen med spionprogram- och cookie-definitioner inte blir föråldrad. Princip för oönskade program Kontrollera att alla kategorier som ska identifieras är markerade. 1 Gå till VirusScan-konsolen och öppna dialogrutan Princip för oönskade program. 2 Kontrollera kategoriurvalet på fliken Identifiering och gör eventuella ändringar. 3 Klicka på OK för att spara ändringarna och stänga dialogrutan. Åtkomstgenomsökning Aktivera identifiering av oönskade program och ange vad som ska göras när något identifieras. 1 Gå till VirusScan-konsolen och öppna dialogrutan Egenskaper för åtkomstgenomsökning. 2 Aktivera identifiering av oönskade program. a Välj Alla processer i rutan till vänster. b Markera Identifiera oönskade program på fliken Oönskade program (om alternativet inte redan är valt). Du kan också ange identifiering av oönskade program för standard-, lågrisk- och högriskprocesser för sig. 3 Kontrollera att åtgärderna på fliken Oönskade program motsvarar dina önskemål.! Om den valda åtgärden är Reparera filer automatiskt vidtas den åtgärd som anges i DAT-filen. Det kan t.ex. vara att avsluta processer eller att ta bort insmugna.dll-filer, andra filer och/ eller registernycklar. I många fall kommer användaren bara att märka att filer har tagits bort eftersom spionprogrammens delar i övrigt är osynliga.! Om alternativet Radera filer automatiskt är valt som åtgärd tas den identifierade filen bort. 4 Klicka på OK för att spara ändringarna och stänga dialogrutan. Genomsökningar på begäran Aktivera identifiering av oönskade program, ange vad som ska göras när något identifieras och skapa och konfigurera sedan register- och cookie-genomsökningar. Aktivera identifiering av oönskade program 1 Gå till VirusScan-konsolen och öppna dialogrutan Egenskaper för genomsökning på begäran. 2 Markera Identifiera oönskade program på fliken Oönskade program (om alternativet inte redan är valt). 3 Kontrollera att åtgärderna på fliken Oönskade program motsvarar dina önskemål. För registergenomsökning:! Om den valda åtgärden är Reparera filer vidtas den åtgärd som anges i DAT-filen. Det kan t.ex. vara att reparera eller ta bort registernycklar eller registervärden.! Om alternativet Radera filer är valt som åtgärd tas den identifierade registernyckeln eller registervärdet bort.! Alla andra åtgärder behandlas som Fortsätt sökningen. För cookie-genomsökning:! Om något av alternativen Ta bort filer eller Flytta filer till en mapp är valt som åtgärd tas hela cookie-filen bort eller flyttas.! Reparera filer fungerar som Ta bort filer. 4 Klicka på OK för att spara ändringarna och stänga dialogrutan. Skapa och konfigurera en registergenomsökning 1 Gå till VirusScan-konsolen och öppna dialogrutan Egenskaper för genomsökning på begäran för en genomsökning, eller skapa en ny genomsökning. Obs! Om du lät installationsprogrammet ändra inställningarna när du installerade modulen har registergenomsökning redan lagts till. Då kan du hoppa över Steg 2 och gå direkt till Steg 3. 2 Klicka på Lägg till på fliken Plats. a Välj Registret (använder McAfee AntiSpyware) i listan. b Klicka på OK för att återgå till dialogrutan Egenskaper för genomsökning på begäran. Windows-registret (med Anti-Spywaremodulen) finns i listan Objektnamn. 3 Konfigurera genomsökningen på begäran som vanligt med följande undantag:! Alternativen för Heuristik på fliken Avancerat gäller inte.! Alternativen på fliken Åtgärder gäller inte. 4 När du är klar klickar du på OK för att spara ändringarna och stänga dialogrutan. 6

7 Konfigurera modulen från VirusScan Enterprise (forts.) Skapa och konfigurera en cookie-genomsökning 1 Gå till VirusScan-konsolen och öppna dialogrutan Egenskaper för genomsökning på begäran för en genomsökning, eller skapa en ny genomsökning. Obs! Om du lät installationsprogrammet ändra inställningarna när du installerade modulen har cookie-genomsökning redan lagts till. Då kan du hoppa över Steg 2 och gå direkt till Steg 3. Lägga till en användardefinierad identifiering Användardefinierad identifiering gäller bara filer. Det går inte att använda användardefinierad identifiering för registernycklar eller värden, och inte heller för cookie-filer. 1 Gå till VirusScan-konsolen och öppna dialogrutan Princip för oönskade program. 2 Gå till fliken Användardefinierad identifiering och klicka på Lägg till. 2 Klicka på Lägg till på fliken Plats. a Välj Cookies (använder McAfee AntiSpyware) i listan. b Klicka på OK för att återgå till dialogrutan Egenskaper för genomsökning på begäran. Cookies (med Anti-Spyware-modulen) finns i listan Objektnamn. 3 Konfigurera genomsökningen på begäran som vanligt med följande undantag:! Alternativen för Heuristik på fliken Avancerat gäller inte.! Alternativen på fliken Åtgärder gäller inte. 4 När du är klar klickar du på OK för att spara ändringarna och stänga dialogrutan. Användardefinierade identifieringar eller undantag Lägg till användardefinierad identifiering om du vet om en fil som borde identifieras men ignoreras. Ange undantag för de objekt som du vill att genomsökningen ska ignorera. Om du t.ex. använder ett program som identifieras som spionprogram, eller vill behålla en viss cookie-fil, kan du lägga till dem i undantagslistan. 3 Skriv in det exakta identifieringsnamnet i textrutan Filnamn. 4 Skriv in den beskrivning som ska visas i textrutan Beskrivning. 5 Klicka på OK. 6 Upprepa detta för varje användardefinierad identifiering som du lägger till. 7 När du är klar klickar du på OK för att spara ändringarna och stänga dialogrutan. Lägga till ett undantag Du kan ange undantag för filer, registernycklar och registervärden samt för cookie-filer. 1 Gå till VirusScan-konsolen och öppna dialogrutan Princip för oönskade program. 2 Klicka på Undantag på fliken Identifiering och klicka på Lägg till.. Tips När du lägger till en användardefinierad identifiering eller undantag måste du ange det exaktaidentifieringsnamnet. Använd inte filnamnet, registernyckeln eller cookie-filen. För undantag gäller att du hittar det exakta identifieringsnamnet i loggfilen under identifierat som. 3 Skriv in det exakta identifieringsnamnet och klicka på OK. 4 Upprepa detta för varje undantag som du lägger till. 5 När du är klar klickar du på OK för att spara ändringarna och stänga dialogrutan. 7

8 Konfigurera modulen via epolicy Orchestrator Här får du veta hur du konfigurerar modulen i epolicy Orchestrator. Uppdatera spionprogram- och cookie-definitionerna, konfigurera åtkomstgenomsökning och skapa och konfigurera genomsökningar på begäran. Du kan också lägga till användardefinierad identifiering av filer som sökmotorn missar och undantag för objekt som ska ignoreras. Tips Anti-Spyware Enterprise Module är ett tillägg till VirusScan Enterprise. Därför konfigurerar du principerna för modulen på principsidorna för VirusScan Enterprise 8.0. Uppdatera definitionerna Vid genomsökningen använder Anti-Spyware Enterprise Module de definitioner av spionprogram och cookie-filer som har lagts till i filen med virusdefinitioner. När du uppdaterar filen med virusdefinitioner följer de senaste definitionerna av spionprogram och cookie-filer med. 1 Uppdatera genast när installationen är klar med epolicy Orchestrator Agent Update task (uppdatering) så att du har de senaste spionprogram- och cookie-definitionerna. a I konsolträdet under epolicy Orchestrator väljer du Directory (katalog) eller önskad plats, grupp eller dator. Välj sedan fliken Tasks (aktiviteter) i det övre informationsfönstret. b Uppdatera med epolicy Orchestrator Agent Update task (uppdatering). 2 Uppdatera regelbundet så att filen med spionprogram- och cookie-definitioner inte blir föråldrad. Princip för oönskade program Kontrollera att alla kategorier som ska identifieras är markerade. 1 I konsolträdet under epolicy Orchestrator väljer du Directory (katalog) eller önskad plats, grupp eller dator. Välj sedan fliken Policies (principer) i det övre informationsfönstret. 2 Expandera principerna för VirusScan Enterprise 8.0 och välj sedan Unwanted Programs Policies (principer för oönskade program). 3 Avmarkera Ärv. 4 Kontrollera kategoriurvalet på fliken Identifiering och gör eventuella ändringar. 5 Klicka på Verkställ för att spara inställningarna. 7 Kontrollera att åtgärderna på fliken Oönskade program motsvarar dina önskemål.! Om den valda åtgärden är Reparera filer automatiskt vidtas den åtgärd som anges i DAT-filen. Det kan t.ex. vara att avsluta processer eller att ta bort insmugna.dll-filer, andra filer och/ eller registernycklar. I många fall kommer användaren bara att märka att filer har tagits bort eftersom spionprogrammens delar i övrigt är osynliga.! Om alternativet Radera filer automatiskt är valt som åtgärd tas den identifierade filen bort. 8 Klicka på Verkställ för att spara inställningarna. 9 Upprepa Steg 4 till Steg 8 för att konfigurera inställningarna för arbetsstationen eller servern och för standard-, lågrisk och högriskprocesser. Principer för genomsökning på begäran Skapa och konfigurera register- och cookie-genomsökningar. Skapa en registergenomsökning 1 I konsolträdet under epolicy Orchestrator högerklickar du på Directory (katalog) eller önskad plats, grupp eller dator. Välj sedan Schedule Task (schemalägg aktivitet) för att skapa en ny aktivitet. 2 Ange New Task Name (namn på ny aktivitet) för registergenomsökningen. 3 Välj VirusScan Enterprise 8.0 On-Demand Scan (genomsökning på begäran) i listan Software Task Type (program aktivitetstyp) och klicka på OK för att skapa en aktivitet. Principer för åtkomstgenomsökning Aktivera identifiering av oönskade program och ange vad som ska göras när något identifieras. 1 I konsolträdet under epolicy Orchestrator väljer du Directory (katalog) eller önskad plats, grupp eller dator. Välj sedan fliken Policies (principer). 2 Expandera principerna för VirusScan Enterprise 8.0 och välj antingen On-Access Default Processes Policies (åtkomstprinciper för standardprocesser), On-Access Low-Risk Processes Policies (åtkomstprinciper för lågriskprocesser) eller On-Access High-Risk Processes Policies (åtkomstprinciper för högriskprocesser). 3 Välj fliken Oönskade program. 4 Under Inställningar för väljer du antingen Arbetsstation (standard) eller Server i listan. 5 Avmarkera Ärv. 6 Välj Identifiera oönskade program. 8

9 Konfigurera modulen via epolicy Orchestrator (forts.) Konfigurera principer för registergenomsökning 1 Högerklicka på aktiviteten på fliken Task (aktivitet) i det övre informationsfönstret och välj Edit Task (redigera aktivitet) för att öppna dialogrutan epolicy Orchestrator Scheduler (schemaläggning). 2 Klicka på Settings (inställningar). 3 Aktivera identifiering av oönskade program. a Avmarkera Ärv på fliken Oönskade program. b Välj Identifiera oönskade program. 4 Kontrollera att åtgärderna på fliken Oönskade program motsvarar dina önskemål.! Om den valda åtgärden är Reparera angripna filer vidtas den åtgärd som anges i DAT-filen. Det kan t.ex. vara att reparera eller ta bort registernycklar eller registervärden.! Om alternativet Radera angripna filer är valt som åtgärd tas den identifierade registernyckeln eller registervärdet bort.! Alla andra åtgärder behandlas som Fortsätt sökningen. Obs! När du skapar en ny aktivitet har registergenomsökning redan lagts till. Då kan du hoppa över Steg 5 och gå direkt till Steg 6. 5 Avmarkera Ärv på fliken Plats och klicka sedan på Lägg till. a Välj Windows-registret (med Anti-Spyware-modulen) i listan. b Klicka på OK för att återgå till dialogrutan Task Settings (aktivitetsinställningar). Windows-registret (med Anti-Spywaremodulen) finns i objektlistan. 6 Konfigurera alternativen i dialogrutan Task Settings (aktivitetsinställningar) på samma sätt som för en vanlig genomsökning på begäran, men med följande undantag:! Alternativen för Heuristik på fliken Avancerat gäller inte.! Alternativen på fliken Åtgärder gäller inte. 7 Klicka på OK för att spara ändringarna och återgå till dialogrutan epolicy Orchestrator Scheduler (schemaläggning). 8 När du är klar klickar du på OK för att spara ändringarna och stänga dialogrutan. Skapa en cookie-genomsökning 1 I konsolträdet under epolicy Orchestrator högerklickar du på Directory (katalog) eller önskad plats, grupp eller dator. Välj sedan Schedule Task (schemalägg aktivitet). 2 Ange New Task Name (namn på ny aktivitet) för cookiegenomsökningen. 3 Välj VirusScan Enterprise 8.0 On-Demand Scan (genomsökning på begäran) i listan Software Task Type (program aktivitetstyp) och klicka på OK för att skapa en aktivitet. Konfigurera principer för cookie-genomsökning 1 Högerklicka på aktiviteten på fliken Task (aktivitet) i det övre informationsfönstret och välj Edit Task (redigera aktivitet) för att öppna dialogrutan med egenskaper för epolicy Orchestrator Scheduler (schemaläggning). 2 Klicka på Settings (inställningar). 3 Aktivera identifiering av oönskade program. a Avmarkera Ärv på fliken Oönskade program. b Välj Identifiera oönskade program. 4 Kontrollera att åtgärderna på fliken Oönskade program motsvarar dina önskemål.! Om något av alternativen Ta bort filer eller Flytta filer till en mapp är valt som åtgärd tas hela cookie-filen bort eller flyttas.! Reparera filer fungerar som Ta bort filer. Obs! När du skapar en ny aktivitet har cookie-genomsökning redan lagts till. Då kan du hoppa över Steg 5 och gå direkt till Steg 6. 5 Avmarkera Ärv på fliken Plats och klicka sedan på Lägg till. a Välj Cookies (med Anti-Spyware-modulen) i listan. b Klicka på OK för att återgå till dialogrutan Task Settings (aktivitetsinställningar). Cookies (med Anti-Spyware-modulen) finns i objektlistan. 6 Konfigurera alternativen i dialogrutan Task Settings (aktivitetsinställningar) på samma sätt som för en vanlig genomsökning på begäran, men med följande undantag:! Alternativen för Heuristik på fliken Avancerat gäller inte.! Alternativen på fliken Åtgärder gäller inte. 7 Klicka på OK för att spara ändringarna och återgå till dialogrutan med egenskaper för epolicy Orchestrator Scheduler (schemaläggning). 8 När du är klar klickar du på OK för att spara ändringarna och stänga dialogrutan. 9

10 Konfigurera modulen via epolicy Orchestrator (forts.) Användardefinierade identifieringar eller undantag Lägg till användardefinierad identifiering om du vet om en fil som borde identifieras men ignoreras. Ange undantag för de objekt som du vill att genomsökningen ska ignorera. Om du t.ex. använder ett program som identifieras som spionprogram, eller vill behålla en viss cookie-fil, kan du lägga till dem i undantagslistan. Varning! När du lägger till en användardefinierad identifiering eller undantag måste du ange det exaktaidentifieringsnamnet. Använd inte filnamnet, registernyckeln eller cookie-filen. För undantag gäller att du hittar det exakta identifieringsnamnet i loggfilen under identifierat som. Lägga till en användardefinierad identifiering Användardefinierad identifiering gäller bara filer. Det går inte att använda användardefinierad identifiering för registernycklar eller värden, och inte heller för cookie-filer. 1 I konsolträdet under epolicy Orchestrator väljer du Directory (katalog) eller önskad plats, grupp eller dator. Välj sedan fliken Policies (principer). 2 Expandera principerna för VirusScan Enterprise 8.0 och välj sedan Unwanted Programs Policies (principer för oönskade program). 3 Under Inställningar för väljer du antingen Arbetsstation (standard) eller Server i listan. 4 Gå till fliken Användardefinierad identifiering och avmarkera Ärv. 5 Klicka på Lägg till. 6 Upprepa detta för varje användardefinierad identifiering som du lägger till. 7 Upprepa Steg 3 till Steg 6 och konfigurera inställningarna för arbetsstationen eller servern. Lägga till ett undantag Du kan ange undantag för filer, registernycklar och registervärden samt för cookie-filer. 1 I konsolträdet under epolicy Orchestrator väljer du Directory (katalog) eller önskad plats, grupp eller dator. Välj sedan fliken Policies (principer). 2 Expandera principerna för VirusScan Enterprise 8.0 och välj sedan Unwanted Programs Policies (principer för oönskade program). 3 Under Inställningar för väljer du antingen Arbetsstation (standard) eller Server i listan. 4 Avmarkera Ärv på fliken Identifiering. 5 Klicka på Undantag och sedan på Lägg till för att öppna dialogrutan Undantag för oönskade program. a b Skriv in exakt det identifieringsnamn som ska undantas. Klicka på OK för att återgå till fliken Identifiering. Klicka sedan på Verkställ för att spara inställningarna. 6 Upprepa detta för varje undantag som du lägger till. 7 Upprepa Steg 3 till Steg 6 och konfigurera inställningarna för arbetsstationen eller servern. a b c Skriv in det exakta identifieringsnamnet i textrutan Filnamn. Skriv in den beskrivning som ska visas i textrutan Beskrivning. Klicka på OK för att återgå till fliken Användardefinierad identifiering. Klicka sedan på Verkställ för att spara inställningarna. 10

11 Starta en genomsökning och granska resultatet Här får du veta hur du kör en genomsökning och granskar resultatet, antingen i VirusScan Enterprise eller via epolicy Orchestrator. Från VirusScan Enterprise Åtkomstgenomsökning Vid åtkomstgenomsökning identifieras spionprogrammet när det används och den angivna åtgärden vidtas. Så här avläser du resultatet:! Resultatet av genomsökningen visas i dialogrutan Meddelanden för åtkomstgenomsökning.! Resultatet av aktiviteten visas i sammanfattningen och aktivitetsloggen i dialogrutan Statistik för åtkomstgenomsökning. Genomsökningar på begäran Registergenomsökningen och cookie-genomsökningen kan schemaläggas eller köras direkt. Cookie-genomsökningen körs alltid sist. Så här avläser du resultatet:! Dialogrutan Genomsökning på begäran pågår visar hur genomsökningen fortlöper.! Resultaten av aktiviteten visas i sammanfattningen och aktivitetsloggen i dialogrutan Statistik för genomsökning på begäran. Använda epolicy Orchestrator Åtkomstgenomsökning Vid åtkomstgenomsökning identifieras spionprogrammet när det används och den angivna åtgärden vidtas. Genomsökningar på begäran Registergenomsökningen och cookie-genomsökningen kan schemaläggas eller köras direkt. Cookie-genomsökningen körs alltid sist. Rapporter Resultatet av sökningar utförda av Anti-Spyware Enterprise Module återfinns under VirusScan Enterprise i epolicy Orchestrator-rapporterna. Detta är inget fel. Modulen är ett tillägg till VirusScan Enterprise, så det är VirusScan Enterprise som står för datainsamling och rapporter.! I täckningsrapporterna visas en post för Anti-Spyware Enterprise Module så att du kan se hur många datorer modulen är installerad på.! Du hittar resultatet av genomsökningarna i rapporten Top Ten Unwanted Programs (oönskade program) i Report Repository (rapportdatabasen) under Anti-Virus VirusScan 8.0. Detta är en av de utökade rapporter som tillkommit i VirusScan Enterprise 8.0i.! Använd datafilterfunktionen när du konfigurerar rapporten Top Ten Unwanted Programs (oönskade program) för att göra urval av resultatet. Du kan t.ex. ställa in filtret så att bara cookie-filer visas eller så att de inte tas med i rapporten. Syntax för cookie-filter i rapporten: Data Filter = Detection Tab - Starting With (or Not Starting With) - Cookie Skicka ett prov till AVERT Om du hittar ett spionprogram eller en cookie-fil som inte identifieras med den aktuella DAT-filen kan du skicka ett prov till AVERT (Anti-Virus & Vulnerability Emergency Response Team) via WebImmune. AVERT analyserar provet och ser om något bör läggas till i DAT-filen. Om modulen identifierar något som borde ignoreras kan du också skicka ett prov till AVERT via WebImmune. De analyserar det och ser om något bör tas bort från DAT-filen. När du skickar ett prov till AVERT analyseras det och informationen används för att förbättra DAT-filen. Tips Så här skickar du ett prov till AVERT:! WebImmune Detta är det bästa sättet att skicka prover till AVERT, eftersom det ger den snabbaste hanteringen och skapar en historik över prover som du har skickat. Om du går till / och skapar ett gratis konto kan du skicka filer direkt till AVERTs automatiska granskningssystem. Om det automatiska systemet inte kan avgöra om filen är skadlig skickas frågan vidare till tekniker hos AVERT. Mer information om WebImmune finns på E-post Du kan skicka e-post direkt till AVERTs automatiska granskingssystem. Om det automatiska systemet inte kan avgöra om filen är skadlig skickas frågan vidare till tekniker hos AVERT. Om du skickar prover via e-post använder du e-postadressen virus_research@avertlabs.com, giltig världen över, eller någon av de lokala adresser som du hittar på WebImmunes webbplats.! Vanligt brev Detta är det minst lämpliga sättet. Om du skickar provet på detta sätt ökar hanteringstiden avsevärt. 11

12 Ta bort modulen Här får du veta hur du tar bort modulen med Lägg till/ta bort program i Windows eller epolicy Orchestrator. Varning! Försök inte ta bort Anti-Spyware Enterprise Module med funktionen Reparera installation i VirusScan Enterprise. Då kan vissa filer som ska bort bli kvar. Du måste använda någon av metoderna som beskrivs här. Lägg till/ta bort program i Windows 1 Öppna Kontrollpanelen i Windows med Start Inställningar Kontrollpanelen. 2 Välj Lägg till eller ta bort program. 3 Markera McAfee Anti-Spyware Enterprise Module och klicka på Ta bort. 4 Stäng Kontrollpanelen. Från epolicy Orchestrator 1 Under epolicy Orchestrator i konsolträdet kan du expandera Repository (databas). 2 Markera Managed Products (hanterade produkter) i Windows i McAfee Anti-Spyware Enterprise Module. 3 Högerklicka på mappen och välj Remove (ta bort). Mer information Vilken produktdokumentation finns tillgänglig? Produktinformationen finns i PDF-format på produktens CD-skiva samt på McAfees webbplats. Anti-Spyware Enterprise Module 8.0! Versionsinformation ReadMe. En Viktigt-fil (readme.txt) med produktinformation, kända problem och tillägg eller ändringar som har gjorts av produkten och dokumentationen sedan handböckerna trycktes.! Handbok Den här handboken. Anvisningar för installation, konfiguration och användning. VirusScan Enterprise 8.0i! Versionsinformation ReadMe. En Viktigt-fil (readme.txt) med produktinformation, lösta problem, kända problem och tillägg eller ändringar som har gjorts av produkten och dokumentationen sedan handböckerna trycktes.! Installationshandbok Systemkrav och anvisningar för installation och avinstallation med installationsverktyget och kommandoraden.! Produkthandbok Produktpresentation och produktfunktioner, detaljerade anvisningar om hur du konfigurerar programmet, information om distribution, återkommande aktiviteter och användning.! Konfigurationshandbok För användning med epolicy Orchestrator. Konfiguration, distribution och hantering av VirusScan Enterprise med epolicy Orchestrator.! Snabbreferenskort Information om hur du kommer igång direkt efter installationen. epolicy Orchestrator 3.0.1, eller 3.5! Versionsinformation ReadMe. En Viktigt-fil (readme.txt) med produktinformation, lösta problem, kända problem och tillägg eller ändringar som har gjorts av produkten och dokumentationen sedan handböckerna trycktes.! Produkthandbok Produktpresentation och produktfunktioner, detaljerade anvisningar om hur du konfigurerar programmet, information om distribution, återkommande aktiviteter och användning. McAfee Installation Designer 8.0! Versionsinformation ReadMe. En Viktigt-fil (readme.txt) med produktinformation, lösta problem, kända problem och tillägg eller ändringar som har gjorts av produkten och dokumentationen sedan handböckerna trycktes.! Produkthandbok Produktpresentation och produktfunktioner, detaljerade anvisningar om hur du konfigurerar programmet, information om distribution, återkommande aktiviteter och användning. DBN-005-SV mcafee.com Copyright 2005 McAfee, Inc. Med ensamrätt. 12