Norman Virus Control voor werkstations. Versie Uitgebreide handleiding

Norman Virus Control voor werkstations Versie 5.81

Uitgebreide handleiding

ii NVC voor werkstations - Uitgebreide handleiding

Beperkte garantie Norman garandeert dat de bijgevoegde diskette/cd-rom en documentatie geen productiefouten bevatten. Wanneer u een fout binnen 30 dagen na aanschaf meldt, zal Norman de defecte diskette/cd-rom en/of documentatie kosteloos vervangen. Bij het indienen van een claim moet een aankoopbewijs worden bijgevoegd. Deze garantie is beperkt tot de vervanging van het product. Norman is niet aansprakelijk voor andere vormen van verlies of schade die zijn ontstaan door het gebruik van de software of documentatie of door fouten of gebreken hierin, inclusief maar niet beperkt tot inkomstenderving. Met betrekking tot defecten of gebreken aan de diskette/cd-rom of documentatie, of deze licentieovereenkomst, heeft deze garantie voorrang op alle andere garanties, expliciet of impliciet, inclusief maar niet beperkt tot de impliciete garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In het bijzonder, en zonder de beperkingen die door de licentieovereenkomst worden opgelegd met betrekking tot bijzondere aanwendingen of doeleinden, zal Norman in geen geval aansprakelijk zijn voor winstderving of andere commerciële schade inclusief maar niet beperkt tot incidentele schaden of gevolgschaden. Deze garantie verloopt 30 dagen na de aanschafdatum. De informatie in dit document en de functionaliteit van de software kunnen zonder kennisgeving worden gewijzigd. De software mag worden gebruikt in overeenstemming met de bepalingen van de licentieovereenkomst. De koper mag voor back-updoeleinden één reservekopie van de software maken. Zonder de expliciete schriftelijke toestemming van Norman mag geen enkel deel van deze documentatie worden gereproduceerd of worden verzonden in welke vorm of op welke wijze dan ook, elektronisch of mechanisch, waaronder het maken van fotokopieën en het gebruik van opname- of gegevensopslag- en opzoeksystemen, voor welk doel dan ook, met uitzondering van persoonlijk gebruik door de koper. Het Norman-logo is een gedeponeerd handelsmerk van Norman ASA. Namen van producten die in deze documentatie worden genoemd, zijn handelsmerken of gedeponeerde handelsmerken van hun respectievelijke eigenaren. Deze worden alleen genoemd voor identificatiedoeleinden. NVC-documentatie en -software zijn Copyright © 1990-2005 Norman ASA. Alle rechten voorbehouden.

Herzien op 9 juni 2005.

Copyright © 1990-2005 Norman

iii

Norman-vestigingen Norman Data Defense Systems AS Blangstedgårdsvej 1, DK-Odense SØ, Denemarken Telefoon: +45 6311 0508 Fax: +45 6313 3901 E-mail: [email protected] Website: http://www.norman.no/dk Norman Ibas OY Läkkisepäntie 11, 00620 Helsinki, Finland. Telefoon: +358 9 2727 210 Fax: +358 92727 2121 E-mail: [email protected] Website: http://www.norman-ibas.fi Norman Data Defense Systems GmbH Gladbecker Str. 3, D-40472 Düsseldorf, Duitsland. Telefoon: +49 211 586 99-0 Fax: +49 211 586 99-150 E-mail: [email protected] Web: http://www.norman.de Norman/SHARK BV Postbus 159, 2130 AD, Hoofddorp, Nederland. Telefoon: +31 23 789 02 22 Fax: +31 23 561 3165 E-mail: [email protected] Website: http://www.norman.nl Norman ASA Postadres: Postboks 43, N-1324, Lysaker, Noorwegen. Bezoekadres: Strandveien 37, Lysaker, N-1324 Noorwegen. Telefoon: +47 67 10 97 00 Fax: +47 67 58 99 40 E-mail: [email protected] Website: http://www.norman.no/no Norman Data Defense Systems AB S.t Persgatan 19, SE-601 86 Norrköping, Zweden Telefoon: +46 11 23 03 30 Fax: +4611 230 349 E-mail: [email protected] Website: http://www.norman.com/se Norman Data Defense Systems AG Postfach CH-4015, Basel, Zwitserland. Telefoon: +41 61 487 25 00 Fax: +41 8 87 52 52 E-mail: [email protected] Website: http://www.norman.ch Norman Data Defense Systems (UK) Ltd Unit 15, Linford Forum, Rockingham Drive, Linford Wood, Milton Keynes, MK14 6LYPO, Verenigd Koninkrijk. Telefoon: +44 08 707 44 80 44 Fax: +44 08717 176999 E-mail: [email protected] Website: http://www.normanuk.com Norman Data Defense Systems Inc. 9302 Lee Highway, Suite 950A, Fairfax, VA 22031, VS Telefoon: +1 703 267 6109 Fax: +1 703 934 6367 E-mail: [email protected] Website: http://www.norman.com

Training en technische ondersteuning Voor training of technische ondersteuning kunt u contact opnemen met uw plaatselijke leverancier of Norman ASA.


iv NVC voor werkstations - Uitgebreide handleiding

Conventies Alinea’s die duidelijk zijn bedoeld voor gebruikers binnen een netwerk of voor de systeembeheerder (en dus niet of nauwelijks belangrijk zijn voor individuele gebruikers), worden aangeduid door een netwerkpictogram in de linkermarge.

Deze handleiding is bedoeld voor gebruikers van Windows en OS/2. Wanneer platformspecifieke verschillen van invloed zijn op NVC, geeft dit pictogram in de marge specifieke informatie voor OS/2.

Systeemvereisten Deze versie ondersteunt installatie van NVC v5 op computers met Windows 95/98/Me, Windows NT/2000/XP/ 2003, Linux, OS/2 Warp 4, OS/2 Warp Server, Workspace Ondemand en eComStation. Voor Windows 95 moet WinSock2 zijn geïnstalleerd. Internet Explorer 5.5 wordt aanbevolen. Voor Windows NT is versie 4 met SP4 (of hoger) en Internet Explorer 4.0 (of hoger) vereist. Voor OS/2 wordt Warp 4 fp 15 (of hoger) en Java 1.1.8 aangeraden. Voor Linux is glibc 2.2 vereist. In het algemeen is het aan te raden het meest recente Service Pack en/of de meest recente beveiligingsupdates voor uw besturingssysteem te gebruiken.


v

Voor wie is deze handleiding bedoeld? In deze handleiding worden alle functies van NVC besproken. Deze handleiding is dus bedoeld voor alle NVC-gebruikers (zowel individuele gebruikers als systeembeheerders) die behoefte hebben aan gedetailleerde informatie over het product. Naast deze handleiding worden in de Handleiding voor systeembeheerders vooral onderwerpen behandeld die met name van belang zijn voor personen die verantwoordelijk zijn voor netwerkinstallaties. De Gebruikershandleiding bevat een beknopte introductie tot de basisfuncties van NVC. De installatie wordt niet besproken in deze handleiding. Raadpleeg voor installatie in netwerken en op afzonderlijke computers respectievelijk de Handleiding voor systeembeheerders en de Gebruikershandleiding.

Vereisten Voor een optimaal gebruik van alle functies in NVC moet u een goede kennis hebben van de verschillende modules van NVC en hoe deze met elkaar samenwerken. Dit wordt beschreven in deze handleiding. Wanneer u NVC in een netwerk uitvoert, moet u over een grondige kennis beschikken van de besturingssystemen op servers en werkstations, en van de netwerkinstallatie binnen uw organisatie.

Technische ondersteuning Norman biedt technische ondersteuning en adviezen voor NVC en over veiligheidskwesties in het algemeen. Technische ondersteuning omvat ook de kwaliteitsbewaking van uw antivirusinstallatie, inclusief hulp bij het aan uw behoeften aanpassen van NVC. Houd rekening met het feit dat het aantal beschikbare diensten per land kan verschillen.


vi NVC voor werkstations - Uitgebreide handleiding


Inhoud

vii

Inhoud Conventies................................................................................................ iv Systeemvereisten...................................................................................... iv Voor wie is deze handleiding bedoeld? .................................................... v Technische ondersteuning......................................................................... v Over NVC ...................................................................................................11 Wat is NVC? ........................................................................................... 11 Algemene informatie over NVC 5.......................................................... 11 NVC-programma's en -modules ......................................................................................................13 Overzicht van NVC ............................................................................14 Snelkoppeling naar NVC-modules en scannen ..................................14 Configuratie-editor.................................................................................. 17 Producten installeren en updaten ............................................................19 Installeren ...........................................................................................19 NVC bijwerken ..............................................................................20 LAN/WAN .........................................................................................21 Internet ...............................................................................................26 Proxy-server ..................................................................................29 Norman Program Manager ......................................................................32 Onderdelen.............................................................................................. 33 Installeren ...........................................................................................33 Berichten en logboeken ......................................................................33 Afhandeling van berichten...................................................................... 33 Berichtenlogboek ...............................................................................35 Copyright © 1990-2005 Norman

viii NVC voor werkstations - Uitgebreide handleiding

Berichtenconsole ................................................................................37 Gebeurtenissenlogboek ......................................................................38 Door gebruiker gedefinieerd bericht ..................................................38 Routing van berichten ............................................................................. 40 Berichten ............................................................................................40 Routing ...............................................................................................41 E-mail, SMS, SNMP............................................................................... 42 E-mailberichten, SMS-berichten en SNMP-traps ..............................42 E-mailberichten configureren .............................................................44 SMS-berichten configureren ..............................................................46 SNMP configureren ............................................................................48 Norman Virus Control ..............................................................................50 Onderdelen .............................................................................................. 50 Installeren ...........................................................................................50 Starten .................................................................................................52 Algemene instellingen............................................................................. 53 Uitsluitingslijst ...................................................................................53 On-demand scanner................................................................................. 55 Scannen ..............................................................................................55 Logbestand .........................................................................................59 Archiefbestanden ................................................................................61 Geïnfecteerde bestanden binnen archieven ...................................61 Rechtsklik-scanner .........................................................................62 Diagnostische melding ..................................................................62 On-access scanner ................................................................................... 63 On-access scannen onder Windows NT/2000/XP/2003 ....................63 On-access scannen onder Windows 95/98/Me ...................................64 Scannen ..............................................................................................65 Opschonen ..........................................................................................71 On-access scannen in netwerken............................................................. 72 Norman Internet Protection..................................................................... 73 Definities ............................................................................................74 Nieuwslezer ...................................................................................74 Winsock .........................................................................................74 Protocol ..........................................................................................75 Poort ...............................................................................................75 Copyright © 1990-2005 Norman

Inhoud

ix

Hoe het werkt ................................................................................77 NIP inschakelen .............................................................................78 Virusscan .......................................................................................79 Vervangen inhoud in e-mailberichten ...........................................79 NIP configureren ...........................................................................80 Scannen ..............................................................................................80 Bijlageblokkering ...............................................................................82 Geavanceerd .......................................................................................86 Norman Quarantaine ................................................................................88 Quarantaine ............................................................................................. 88 NVC op Windows Terminal Server .........................................................90 Taak-editor .................................................................................................92 Algemeen ...........................................................................................93 Doelen ................................................................................................93 Doelen selecteren ...........................................................................94 Algemene scanopties .....................................................................95 Opties .................................................................................................96 tijdschema ..........................................................................................97 De planner............................................................................................... 98 Utilities ........................................................................................................99 Taakbestanden......................................................................................... 99 Quarantaine ........................................................................................... 101 Berichten ............................................................................................... 102 Berichten, tabblad ............................................................................102 Het tabblad Berichtenbestanden .......................................................104 NVC bijwerken ........................................................................................105 Norman Internet-update ........................................................................ 105 Internet-update starten .................................................................105 Internet-update en internetverbinding................................................... 106 Hoe werkt Internet-update? ..............................................................107 Copyright © 1990-2005 Norman

x NVC voor werkstations - Uitgebreide handleiding

LAN/WAN .......................................................................................108 Diverse gegevens over NVC ....................................................................109 Norman Program Manager (NPM) ....................................................... 109 De Commando-regel scanner................................................................ 110 De Commando-regel scanner starten ...............................................110 Geïnfecteerde bestanden opschonen ..................................................... 111 Taakbestanden uitvoeren vanaf de commando-regel .......................112 Opties voor de Commando-regel scanner ........................................112 Verschillende parameters combineren .............................................115 Foutniveaus voor commando-regel scanner ................................116 Bijlage A - SandBox .................................................................................118 Achtergrond ......................................................................................118 Wat is SandBox? ..............................................................................118 SandBox-technologie .......................................................................119 Wat merkt de gebruiker van de SandBox-technologie? ...................119 Wat moet ik doen als SandBox een nieuw virus vindt? ...................120 FAQ ...........................................................................................................122 Index ..........................................................................................................127


Over NVC

11

Over NVC Wat is NVC? NVC (Norman Virus Control) is een antivirusprogramma dat uw pc controleert op kwaadaardige software, ook wel malware genoemd. Malware zijn virussen, wormen en andere vormen van vernietigende code. NVC kan bekende en onbekende virussen opsporen en verwijderen van vaste schijven, diskettes, emailbijlagen, enzovoort. NVC controleert de bestanden die worden gebruikt en verwijdert mogelijke virussen automatisch. Als NVC een geïnfecteerd bestand niet kan opschonen, wordt een waarschuwing weergegeven en krijgt u instructies voor volgende stappen. U kunt (en u wordt aangeraden dit te doen) handmatige scans uitvoeren van geselecteerde gebieden op uw computer en Taakeditor en Taakplanner gebruiken om te definiëren wat er wanneer moet worden gescand. Opmerking:NVC wordt geleverd met vooraf bepaalde instellingen die voldoende worden geacht om u te beschermen tegen virusaanvallen. De meeste modules kunnen worden geconfigureerd zodat u NVC aan uw persoonlijke behoeften kunt aanpassen.

Algemene informatie over NVC 5 NVC v5 maakt gebruik van twee verschillende netwerkmechanismen: •

Voor de installatie, distributie en configuratie worden bestanden op de normale manier gedeeld met behulp van stationsletters of UNC-paden.

•

Voor berichtgeving en registratie is een eigen netwerkprotocollaag ontworpen.

Het berichtgevingssysteem maakt deel uit van de standaardinstallatie van NVC op een netwerkcomputer en dit


Over NVC

12

systeem wordt actief zodra de residente agent wordt uitgevoerd. Naast een aantal andere taken is de agent verantwoordelijk voor het verkeer tussen de verschillende invoeren uitvoermodules. De beheerder hoeft het systeem alleen op een zodanige manier te configureren dat berichten met verschillende prioriteiten worden doorgegeven aan de juiste berichtuitvoermodules. De scan-engine spoort vervolgens virussen op en verwijdert deze op basis van FPU (Floating Point Unit)- en MMX (Multi Media Extensions)-instructies. Hoewel slechts een klein deel van de huidige virussen FPU- of MMX-instructies gebruikt, zal dit aantal in de toekomst toenemen. De 32-bits emulator van de scanner zorgt ervoor dat complexe, gecodeerde en polymorfe virussen kunnen worden opgespoord en geanalyseerd. Een opsomming van de belangrijkste aanpassingen in NVC v5 omvat onder meer: •

Vereenvoudigde installatie

•

Vereenvoudigd beheer

•

Gebruiksgemak

•

Onzichtbaarheid

De gebruikersinterface van NVC v5 bestaat uit vier hoofdgroepen: •

Configuratie-editor

•

Taak-editor

•

Utilities

•

Internet-update

Deze worden als afzonderlijke items in de Normanprogrammagroep weergegeven. Deze groepen bevinden zich in de map Norman op het bureaublad van OS/2. Zie ‘Configuratie-editor’ op pagina 17, ‘Taak-editor’ op pagina 92, ‘Utilities’ op pagina 99 en ‘Norman Internetupdate’ op pagina 105.


NVC-programma's en -modules

13

NVC-programma's en -modules In dit hoofdstuk leest u over de weergave van NVC (en mogelijk andere producten van Norman) in de Configuratie-editor. Aan de linkerkant van de editor wordt een lijst met producten en modules/ onderdelen weergegeven. Op de lijst staat welke producten van Norman op uw computer zijn geïnstalleerd. De bijbehorende onderdelen en modules voor elk programma zijn als mappen gerangschikt en volgen daarin dezelfde logica en hetzelfde uiterlijk als in Windows Explorer. De modules bestaan uit een of meer dialoogvensters met tabbladen waarop u de configuratieopties vindt: De eerste functie in het voorbeeld hierboven, Producten installeren en upgraden, gaat over de installatie van Normanproducten die voor deze omgeving geschikt zijn en over het onderhoud van deze producten, met name de functie Internetupdate. Wanneer u een van de opties aan de linkerkant kiest, worden de configuratieopties voor de geselecteerde module aan de rechterkant van het dialoogvenster weergegeven. Norman Program Manager bevat modules die kunnen worden gedeeld door verschillende Norman-programma's of plug-ins die direct in deze gebruikersinterface kunnen worden opgenomen. De modules in deze map worden bestuurd door Zanda (Zero Administration Network Distribution Agent). Copyright © 1990-2005 Norman


14

‘Norman Program Manager (NPM)’ op pagina 109. De productspecifieke modules vindt u onder Norman Virus Control. Selecteer Onderdelen voor een lijst met de onderdelen waaruit NVC bestaat. De onderdelen op de tabbladen in dit dialoogvenster kunt u installeren en verwijderen.

Overzicht van NVC Zoals in het vorige deel is uitgelegd, ziet de gebruikersinterface van NVC v5.8 er als volgt uit:

Snelkoppeling naar NVC-modules en scannen Bij de installatie wordt een Norman-pictogram op de systeemwerkbalk rechtsonder in het scherm geplaatst. Met dit pictogram wordt aangegeven dat NVC op deze computer is geïnstalleerd. Zie ook pagina 15. OS/2: NVC wordt weergegeven als een menu-item in het bureaubladmenu. Klik met de rechtermuisknop op het bureaublad en selecteer Norman Virus Control.



15

Als u op dit pictogram klikt, wordt een menu weergegeven. De items boven de scheidingslijn in dit menu zijn kopieën van de items die worden weergegeven in het menu Start|Programma’s|Norman Virus Control. Dit is een snelkoppeling naar de hoofdmodules van NVC en een aantal typische NVC-taken. In Windows kunt u op de rechtermuisknop klikken om dit menu weer te geven. Hiermee krijgt u snel toegang tot de NVCmodules en de scantaken. U kunt de On-access scanner starten of stoppen met een simpele muisklik. Selecteer Neem contact met ons op om de contactgegevens voor onze kantoren en de distributeurs op de website van Norman weer te geven of om de licentie te bekijken. Tot slot kunt u de status van de update voor uw Norman-product(en) bekijken, met onder andere belangrijke informatie over de virusdefinitiebestanden. Deze functie genereert tevens berichten over verouderde virusdefinitiebestanden, het verstrijken van de licentietermijn en overige informatie.

Waarschuwingen Het Norman-pictogram biedt tevens informatie over de status van de NVC-installatie. Als het pictogram er als volgt uitziet:

geeft dit aan dat de NVC-onderdelen die momenteel actief zijn, niet overeenkomen met de onderdelen die zijn geselecteerd op het tabblad Start van Norman Virus Control|Onderdelen|Start in de Configuratie-editor. Als het ‘N’-pictogram van Norman met een knipperend rood symbool wordt weergegeven, plaatst u Copyright © 1990-2005 Norman


16

de cursor op het symbool, waarna wordt gemeld welk NVConderdeel een update nodig heeft, en worden eventuele andere foutmeldingen weergegeven. Opmerking:Tijdens het opstarten is het rode symbool zichtbaar totdat alle modules zijn gestart. Hoe ouder en langzamer de computer, hoe langer het duurt voordat alle modules zijn geladen. Het ‘normaal’-symbool zou echter na maximaal 1-2 minuten zichtbaar moeten zijn. Voor Windows XP-gebruikers die SP2 hebben geïnstalleerd: Microsoft heeft in het “Beveiligingscentrum” opties en functies opgenomen voor Firewall, automatische updates en beveiliging tegen virussen. NVC is een van de AV-leveranciers die door het besturingssysteem van Microsoft worden gedetecteerd. Als de virusdefinitiebestanden van NVC niet meer actueel zijn of als de On-access scanner niet is gestart, krijgt u ook een waarschuwing van Windows dat er iets mis is. Het symbool voor het Beveiligingscentrum van Microsoft wordt weergegeven. U kunt erop klikken en de Windows-instellingen weergeven en wijzigen. Als het volgende pictogram op de systeemwerkbalk wordt weergegeven:

geeft dit aan dat een van de volgende situaties zich heeft voorgedaan: 1.

De On-access scanner is geïnstalleerd maar is handmatig uitgeschakeld. U kunt de On-access scanner inschakelen via de snelkoppeling in het menu of via het tabblad Start van Norman Virus Control|Onderdelen|Start in de Configuratie-editor. Selecteer On-access scanner en klik op Opslaan.

2.

U hebt waarschijnlijk bij een eerdere vraag Later opnieuw opstarten geselecteerd en NVC wacht op het opnieuw opstarten.

3.

Een installatiefout die kan worden hersteld door opnieuw op te starten.



17

Verouderde virusdefinitiebestanden Een knipperende gele driehoek betekent dat de virusdefinitiebestanden verouderd zijn, dat wil zeggen, ten minste tien dagen oud. Hetzelfde gebeurt als de On-access scanner wordt uitgeschakeld.

Informatieve pictogrammen

Als het Norman-pictogram met een moer wordt weergegeven, is Norman Program Manager bezig, waarschijnlijk met een update. Het is niet aan te raden de computer uit te schakelen als NPM bezig is, dat wil zeggen, terwijl dit symbool te zien is.

Configuratie-editor Norman Virus Control (NVC) wordt met een set onderdelen geleverd die tijdens de Setup worden geïnstalleerd. Wanneer de Setup is voltooid, kunt u onderdelen die u niet nodig hebt eventueel verwijderen. NVC is een op plug-ins gebaseerde toepassing en naarmate technologie- en veiligheidsgevaren ontstaan, zullen waarschijnlijk ook nieuwe plug-ins, ofwel programma's, worden geïntroduceerd. Voor alle tabbladen geldt: In een netwerkomgeving zal onder aan ieder tabblad het veld Toegang worden weergegeven als u systeembeheerdersrechten hebt. De systeembeheerder beslist wat vanaf de werkstations zichtbaar is en/of wat kan worden geconfigureerd. De gemiddelde gebruiker zal om deze reden alle of een aantal tabbladen kunnen bekijken, maar zal niet per definitie de instellingen kunnen wijzigen.



18

U kunt de verschillende functies in NVC vanaf één centraal punt configureren: de Configuratie-editor. Selecteer Configuratie-editor in de groep of map Norman die wordt weergegeven als u met de rechtermuisknop op de groene ‘N’ in de systeemwerkbalk klikt: De lijst binnen het dialoogvenster laat zien welke onderdelen zijn geïnstalleerd. Onderdelen als Routing van berichten en E-mail, SMS, SNMP zullen niet voorkomen op een zelfstandige installatie met één gebruiker. Ieder onderdeel heeft een eigen dialoogvenster dat is voorzien van tabbladen en over een set configuratieopties beschikt. Klik op het onderdeel dat u wilt configureren en maak uw keuzes op de tabbladen van het betreffende dialoogvenster.


Producten installeren en updaten

19

Producten installeren en updaten Installeren

Norman Virus Control Voor elk product van NVC dat u installeert, moeten de volgende twee producten worden geïnstalleerd: Norman Virus Control en het product dat NVC aanstuurt, de scan-engine. Zodra er nieuwe producten voor deze interface worden uitgebracht, bijvoorbeeld Norman Firewall of NVC voor Domino, worden deze na installatie in deze lijst vermeld.



20

De scan-engine van Norman De scan-engine is de kern van elke antivirustoepassing. U kunt de gebruikersinterface zien als het inpakpapier: dit is volstrekt nutteloos als er geen scan-engine en onderdelen van Norman Program Manager in zouden zitten (zie pagina 32). Taal: Selecteer in het vervolgkeuzemenu welke taalversie van de onderdelen u wilt gebruiken. Klik op de pijl om de beschikbare talen weer te geven. Deze lijst zal worden gewijzigd wanneer nieuwe taalversies worden toegevoegd. Verificatiesleutel voor installatie/update: Het serienummer dat u bij de aanschaf van NVC hebt ontvangen en dat u tijdens de installatie hebt ingevoerd. Het nummer wordt in dit veld weergegeven en bevat licentiegegevens die u in staat stellen NVC overeenkomstig de licentieovereenkomst te gebruiken. U kunt de licentiegegevens lezen als u met de rechtermuisknop op het Norman-pictogram klikt en Licentiegegevens in de lijst kiest:

NVC bijwerken Er komen dagelijks nieuwe virussen aan het daglicht en dus biedt Norman regelmatig updates aan van de virusdefinitiebestanden en natuurlijk ook normale programma-updates. Opmerking:De virusdefinitiebestanden en andere onderdelen zijn zo sterk geïntegreerd dat u alle beschikbare onderdelen moet bijwerken. Het is niet voldoende alleen bijgewerkte definitiebestanden te installeren.



21

U kunt NVC op verschillende manieren bijwerken , via het internet, het interne netwerk of vanaf de programma-cd-rom. De updatefunctie kan worden uitgevoerd op servers en netwerken, maar ook op zelfstandige computers en u kunt kiezen uit een aantal configuratieopties.

LAN/WAN Opmerking:Voordat u wijzigingen in dit dialoogvenster aanbrengt, moet u de instructies in de Handleiding voor systeembeheerders raadplegen. Via dit dialoogvenster kan NVC binnen netwerken worden bijgewerkt en het is dan ook bedoeld voor systeembeheerders. Via dit dialoogvenster kunt u de benodigde informatie invoeren over uw netwerk en opgeven hoe vaak NVC moet controleren op bijgewerkte software, configuratie- en taakbestanden en hoe de verschillende opties moeten worden geconfigureerd.



22

Tijdstip voor zoeken naar updates op het LAN/WAN Nooit (bijwerken van cd-rom of internet) Als u niet van plan bent NVC via het interne netwerk bij te werken, selecteert u deze optie en gaat u naar het volgende dialoogvenster om op te geven hoe u vanaf het internet wilt bijwerken. Gebruik deze optie ook wanneer u een versie-update van Norman ontvangt op cd-rom. Opmerking:Wanneer u de cd-rom ontvangt, zijn de virusdefinitiebestanden reeds verouderd en vervangen door nieuwere versies op de Norman-server. Dit is te wijten aan de tijd die nodig is voor de productie en verzending. Hoewel nieuwe bestanden na hun voltooiing al binnen een minuut op het web beschikbaar kunnen zijn, zijn er een of twee weken nodig om dezelfde bestanden op cd-rom voor te bereiden en te distribueren. Controleer altijd of de Norman-server nieuwe virusdefinitiebestanden en bijgewerkte software bevat nadat u een nieuwe programmaversie vanaf cd-rom hebt geïnstalleerd. Norman heeft hier een hulpmiddel voor: Internet Update. Zie pagina 105. Met standaardintervallen Updates worden uitgevoerd op tijdstippen die door Norman Program Manager (NPM) zijn vastgesteld. NPM maakt onderscheid tussen NVC-distributieservers en -clients. Raadpleeg het hoofdstuk over NPM in de Handleiding voor systeembeheerders (met name het gedeelte ‘Updateintervallen en netwerkverkeer’) voor een uitgebreide beschrijving. Met door gebruiker gedefinieerde intervallen Met deze optie kunt u update-intervallen opgeven voor software, configuratie- en taakbestanden. Klik op Instellingen om het volgende dialoogscherm weer te geven:



23

De standaardoptie voor alle updates is “Met standaardintervallen” en vervangt de optie ”Automatisch van server” in eerdere NVC 5-versies. Als u het standaardinterval selecteert, worden alle updates ongeveer 3 minuten nadat u zich hebt aangemeld vanaf de distributieserver gekopieerd. Vervolgens gebeurt dit elk uur op werkstations en elke 5 minuten op distributieservers. Dit zijn de standaardinstellingen, maar u kunt andere updateschema’s configureren. Selecteer andere update-intervallen via de vervolgkeuzelijsten in het dialoogvenster. Opmerking:Als u geen permanente verbinding hebt met het internet, wordt u aangeraden niet de standaardoptie te selecteren aangezien deze hoge inbelkosten met zich mee zal brengen. U kunt dan bijvoorbeeld beter kiezen voor ‘elk uur’. Bovendien kan middels een inbelverbinding met het internet lokaal worden ingebeld via de distributieserver. Locaties voor updates op het LAN/WAN Wanneer u de update-intervallen hebt ingevoerd, moet u aangeven waar de updates zich bevinden. U moet eerst opgeven welk netwerk u gebruikt door dit te selecteren in de lijst Netwerktype. U kunt kiezen uit: •

Windows NT/2000/XP/2003

•

Werkgroep of peer-to-peer-netwerk

•

Novell NetWare



24

Voor Windows NT/2000/XP/2003 en Werkgroep of peer-to-peernetwerk voert u in: •

Distributieservernaam

•

Sharenaam

Voor Novell NetWare voert u in: •

Distributieservernaam

•

Volumenaam en hoofddirectory

Opmerking:Voer de naam van de distributieserver in zonder backslashes of andere speciale tekens. Wanneer de drie velden in Locaties voor updates op het LAN/ WAN zijn ingevuld, gebruikt NVC de informatie om volledige bestandspaden te genereren.

Aanmeldingsgegevens Als u een Windows-netwerk heeft, kunt u Gebruikersnaam, Wachtwoord en Domeinnaam opgeven door op de knop Aanmeldingsgegevens te klikken.

Door gebruiker gedefinieerde paden Als u onderscheid wilt maken tussen configuratie- en taakbestanden, bijvoorbeeld voor verschillende afdelingen binnen de organisatie, selecteert u Door gebruiker gedefinieerde paden en klikt u vervolgens op Instellingen. Het volgende dialoogvenster wordt weergegeven:



25

In dit dialoogvenster zijn de velden al ingevuld op basis van de informatie die u hebt opgegeven voor Servernaam en Sharenaam (Volumenaam en hoofddirectory op Novell). Software bijwerken vanaf: Geeft het serverpad aan waar NVC-software-updates kunnen worden opgehaald nadat deze bijvoorbeeld vanaf het internet zijn gedownload. In dit vak worden de server en de share-/ volumenaam weergegeven die in het vorige dialoogvenster zijn ingevoerd, alsmede het standaardpad naar de locatie waar de softwarepakketten zich bevinden. Configuratiebestanden bijwerken vanaf: In dit vak worden de server en de share-/volumenaam weergegeven die in het vorige dialoogvenster zijn ingevoerd, alsmede het standaardpad naar de locatie waar de configuratiebestanden zich bevinden. Taakbestanden bijwerken vanaf: In dit vak worden de server en de share-/volumenaam weergegeven die in het vorige dialoogvenster zijn ingevoerd, alsmede het standaardpad naar de locatie waar de taakbestanden zich bevinden.

Aanvullende padelementen: Met behulp van het aanvullende veld voor het bijwerken van configuratiebestanden en taakbestanden kunt u aangepaste configuratiebestanden en taakbestanden distribueren naar specifieke entiteiten binnen de organisatie.

Als u een aanvullend padelement invoert, moet u ervoor zorgen dat u de omgevingsvariabele invoert in de notatie $(naam), zodat NPM een volledig UNC-pad kan genereren.



26

Voorbeeld:

Internet Uw selectie in dit gedeelte bepaalt de manier waarop Internet Update omgaat met updates vanaf het internet. Internet is de meest efficiënte en snelste methode om bijgewerkte virusdefinitiebestanden en upgrades voor de andere NVConderdelen te distribueren. U moet al deze updates zo snel mogelijk downloaden om volledige bescherming tegen virussen te handhaven. U moet dan ook zorgvuldig de voor u juiste optie selecteren. Het programma Internet Update (IU) handelt de NVC-updates af. Updates zijn beschikbaar als pakketten en IU beslist op basis van het besturingssysteem en de taal welke pakketten voor u van belang zijn. In een netwerk zijn echter vaak meerdere besturingssysteemplatformen en verschillende taalversies van NVC actief. In heterogene omgevingen moet u dan ook een afzonderlijk configuratiehulpmiddel voor IU uitvoeren (NIUcf) om ervoor te zorgen dat updates voor het gehele netwerk worden gedownload. NIUcf wordt beschreven in het gedeelte ‘Installeren en distribueren’ voor Windows NT en Novell NetWare in de Handleiding voor systeembeheerders.



27

Tijdstip voor zoeken naar updates op het internet Opmerking:Als uw computer wordt beschermd door een firewall of proxy-server, moet u mogelijk de vereiste informatie invoeren in het gedeelte Proxy-server in dit dialoogvenster (pagina 29). Internet niet gebruiken - bijwerken vanaf cd-rom Als u deze optie selecteert, zult u nooit worden gevraagd naar, of worden herinnerd aan, beschikbare internetdownloads. Aangezien cd-roms normaal gesproken alleen worden verspreid wanneer een nieuwe versie van NVC wordt uitgebracht, zult u van Norman alleen ongeveer om de drie maanden cd-roms ontvangen. Deze optie wordt niet aangeraden, aangezien uw NVC-installatie na maximaal een week verouderd zal zijn.



28

Alleen on-demand (handmatig starten) Selecteer deze optie als u de voorkeur geeft aan het handmatig starten van IU via het NVC-menu om te controleren op bijgewerkte pakketten, of gebruik de Windows-functie Geplande taken (in het Configuratiescherm). Dagelijks bij inbellen (wacht op verbinding) Als u met een modem verbinding maakt met het internet, selecteert u deze optie om dagelijks te controleren of er updates aanwezig zijn op de Norman-servers. U gaat op de gebruikelijke manier naar het internet en vervolgens controleert het programma of er bijgewerkte bestanden beschikbaar zijn. Als u meerdere keren per dag verbinding maakt met het internet, controleert IU alleen de eerste keer dat u een verbinding maakt of er updates zijn. Als u één keer per week verbinding maakt met het internet, voert IU een controle uit zodra er verbinding is. Bij directe verbinding op gespecificeerde tijdstippen Selecteer deze optie als u over een permanente verbinding met het internet beschikt. Klik op Specificeren om een tijdstip op te geven:

Geef eerst aan wanneer NVC moet controleren of er updates zijn. Voer het tijdstip in en gebruik vervolgens het vervolgkeuzemenu ‘+’ om het systeem een bepaalde speelruimte te geven zodat de taak op het meest geschikte moment kan worden uitgevoerd en overbelasting wordt voorkomen. Opmerking:Als Internet Update de laatste 24 uur niet is gebruikt, wordt bij het starten van de computer automatisch op updates gecontroleerd.



29

Distributieserver bijwerken (zie tabblad LAN/WAN) Als u deze optie selecteert, kan een client updates downloaden naar een NVC-distributieserver. Hiervoor is wel vereist dat de aangemelde gebruiker schrijftoegang heeft tot de distributiedirectory (…\Norman\Distrib\Download). Distributieserver bijwerken is geen standaardoptie. Elke client die Internet-update wil uitvoeren (niu.exe), zal dan ook zijn eigen downloadpad bijwerken (...\Norman\Download) en niet de distributiedirectory (...\Norman\Distrib\Download). Dit is bijvoorbeeld handig voor laptops die vanaf de distributieserver worden bijgewerkt wanneer deze op locatie zijn en waarop Internetupdate wordt uitgevoerd wanneer deze zich elders bevinden. Als de client die IU uitvoert de optie Distributieserver bijwerken heeft ingeschakeld en de client is niet verbonden met het netwerk, zullen noch de lokale NVC-installatie noch de distributieserver worden bijgewerkt. Als IU wordt uitgevoerd vanaf de distributieserver, moet Distributieserver bijwerken niet worden geselecteerd. De optie Distributieserver bijwerken wordt meestal alleen geselecteerd voor een aantal computers dat continu op het netwerk is aangesloten. (Raadpleeg het hoofdstuk over het distribueren van verschillende configuratie- en taakbestanden naar afzonderlijke werkstations in de Handleiding voor systeembeheerders voor meer informatie.) Voor installaties waarbij Novell Netware als distributieserver fungeert, moet deze optie worden geselecteerd voor tenminste één computer (bijvoorbeeld de computer van de NVCbeheerder).

Proxy-server Voor proxy-servers kan gebruikersverificatie vereist zijn. Als u de opties voor de proxy-server in dit dialoogvenster gebruikt, moet u dezelfde informatie invoeren voor het aanmelden van de proxy-server en verificatie als in de configuratie-instellingen op de proxy.



30

De twee gangbare verificatieschema’s zijn: 1.

Basis, en

2.

Vraag/antwoord van Windows NT, ook wel NTLM genoemd.

Proxy-server Een proxy-server gebruiken Voer het Adres en de Poort van de HTTP-proxy van de firewall in. Als u gegevens voor de HTTP-proxy in uw webbrowser hebt opgegeven, moet u hier exact dezelfde instellingen invoeren. Aanmelden bij proxy-server Opmerking:Deze optie is alleen relevant als voor uw proxyserver verificatie vereist is. Klik op Aanmeldingsgegevens om dit dialoogvenster weer te geven:

De informatie die u hier invoert, moet overeenkomen met de informatie die u normaal gesproken opgeeft wanneer u zich aanmeldt bij uw proxy-server. Gebruikersnaam: Voer een geldige gebruikersnaam in. Wachtwoord: Voer het wachtwoord in.



31

Domein (voor vraag/antwoord van Windows NT) Dit veld is niet bedoeld voor proxy-servers die gebruikmaken van basisverificatie. Voer de domeinnaam in. Als dit veld leeg wordt gelaten, wordt de computernaam gebruikt.


Norman Program Manager

32

Norman Program Manager Deze map bevat drie Norman-modules die de interne communicatie tussen de verschillende onderdelen van het product afhandelt. De routing van berichten stelt systeembeheerders in staat aan te geven welk type berichten wordt doorgegeven aan andere pc’s waarop NVC wordt uitgevoerd in het netwerk. Raadpleeg het hoofdstuk ‘Berichtgeving’ in de Handleiding voor systeembeheerders voor een gedetailleerde technische beschrijving van het berichtgevingssysteem.



33

Onderdelen Installeren Extra berichtfunctionaliteit Afhankelijk van uw licentie, kunt u ook beschikken over extra modules voor berichtgeving, zoals de functionaliteit voor SMS, SNMP en e-mail. Dit is vooral nuttig in een netwerkomgeving. Deze module wordt uitgebreid beschreven op pagina 42. Release-notities Geeft via uw webbrowser handige informatie weer over de huidige en verwachte releases, inclusief koppelingen naar downloadpagina’s, enzovoort. Internet-update Gebruik dit hulpmiddel om de recentste versie van NVC automatisch te downloaden. Internet-update kan worden geconfigureerd om updates met regelmatige tussenpozen te downloaden. ‘Norman Internet-update’ op pagina 105.

Berichten en logboeken Gebruik het hulpmiddel voor berichtgeving om te bepalen over welke incidenten u een waarschuwing wilt ontvangen. De traditionele manier voor registratie is het schrijven van berichten naar een logbestand. In NVC v5 wordt deze functie uitgevoerd door een van de standaarduitvoermodules die door NPM worden geladen. Berichten die door NPM worden ontvangen, worden doorgegeven aan de logbestanduitvoermodule Berichten in de hoofdgroep Utilities (pagina 102).

Afhandeling van berichten Bij de afhandeling van berichten worden de berichten voor een logbestand geselecteerd, worden berichten op een berichtenconsole weergegeven en wordt besloten wat er in het Copyright © 1990-2005 Norman


34

logboek van Windows NT/2000/XP/2003 wordt opgenomen. Tot slot beschikt dit dialoogvenster over een optie waarmee u zelf broadcastberichten kunt definiëren. Dit betekent dat dit dialoogvenster drie tabbladen bevat, waarop de opties in de eerste drie dialoogvensters identiek zijn. Uw selecties bepalen welke items worden weergegeven in het NVC-logbestand, op de berichtenconsole en in het gebeurtenislogboek van Windows NT/ 2000/XP/2003. IN OS/2 slaat NVC berichten op in het logboek voor systeemfouten. Het afhandelen van berichten stelt gebruikers en systeembeheerders in staat aan te geven welk type berichten worden weergegeven of lokaal worden gehouden. Berichtgeving is een effectieve manier om zowel lokaal als binnen het netwerk alle activiteiten met betrekking tot de NVC-onderdelen bij te houden. Als het Berichtenlogboek is ingeschakeld, worden lokaal gegenereerde berichten en/of berichten die van andere computers afkomstig zijn, verzonden naar het binaire logboekbestand. Als de Berichtenconsole is ingeschakeld, worden lokaal gegenereerde berichten en/of berichten die van andere computers afkomstig zijn, verzonden naar de berichtenconsole. Als het Logboek is ingeschakeld, worden lokaal gegenereerde berichten en/of berichten die van andere computers afkomstig zijn, verzonden naar het logboek van Windows NT/2000/XP/ 2003.



35

Berichtenlogboek

Berichten naar het binaire logboekbestand verzenden U moet deze optie selecteren om toegang te krijgen tot de overige opties in dit dialoogvenster. Als u dit selectievakje niet selecteert, schakelt u het berichtenlogboek uit. Opmerking:Het binaire logboekbestand is gecodeerd en kan alleen worden weergegeven via de module Utilities (het onderdeel Berichten). Zie pagina pagina 102. Er worden ook tekstlogbestanden gemaakt met dezelfde criteria als het binaire logbestand. Alle logbestanden (zowel in tekstvorm als binair) worden opgeslagen in de subdirectory ‘Msg’van de directory waar NVC is geïnstalleerd (standaard c:\norman\msg).



36

Lokaal gegenereerde berichten Uw selecties in dit deel bepalen welke incidenten die op de lokale computer optreden, worden weergegeven als items in het logbestand. Virusinfecties en andere waarschuwingssignalen Logbestanditems maken bij het vinden van een virus of andere schadelijke code. Programma- en installatiefouten Logbestanditems maken als een geïnstalleerd NVC-programma een fout meldt en als er foutberichten worden weergegeven tijdens de installatie van NVC. Waarschuwingen Logbestanditems maken voor waarschuwingen die worden weergegeven. Informatieberichten Informatief bericht maken. Voordat u deze optie selecteert, moet u dit zorgvuldig overwegen. De reden is dat een groot aantal informatieve berichten van algemene aard worden gegenereerd. Systeem- en huishoudelijke berichten Logbestanditems maken voor activiteiten op het systeem met betrekking tot het netwerk. Deze optie is altijd ingeschakeld. Berichten ontvangen van andere computers In het vorige deel hebt u geselecteerd welke incidenten die op de lokale computer optreden in het logbestand moeten worden ingevoerd. In dit deel kunt u aangeven welke berichten van incidenten op andere computers u in het logbestand wilt opslaan. U kunt uit exact dezelfde set opties kiezen als in het vorige deel. Berichten verlopen na: Selecteer hoe lang berichten in het logbestand moeten worden bewaard. U kunt kiezen om de berichten na één dag, twee dagen, één week, één maand of nooit te laten verlopen.



37

Berichtenconsole

Selecteer Berichten naar berichtenconsole verzenden om toegang te krijgen tot de configuratieopties die identiek zijn aan de opties die zijn besproken in het deel ‘Berichtenlogboek’ dat begint op pagina 35. Berichten verlopen na: Geef aan hoelang berichten op de console moeten worden bewaard. U kunt kiezen om de berichten na één of acht uur, één dag, twee dagen, één week, één maand of nooit te laten verlopen. De overige configuratieopties zijn identiek aan de opties op het vorige tabblad.



38

Gebeurtenissenlogboek Selecteer Berichten naar het logboek van Windows NT/2000 verzenden om toegang te krijgen tot de configuratieopties die identiek zijn aan de opties die zijn besproken in het deel ‘Berichtenlogboek’ dat begint op pagina 35.

Door gebruiker gedefinieerd bericht Selecteer Door de gebruiker gedefinieerd bericht inschakelen om toegang te krijgen tot het veld waarin het bericht moet worden ingevoerd

Als de On-access scanner een infectie detecteert, wordt de tekst die u in dit veld invoert op de werkstations weergegeven. Dit



39

bericht kan exacte instructies bevatten of verwijzen naar de bedrijfsstrategie voor de juiste manier van handelen als er malware is aangetroffen binnen het netwerk. Dit bericht wordt ook toegevoegd aan berichten die via het interne broadcastsysteem van NVC worden verzonden. Zorg ervoor dat de opties voor broadcast en routing zijn ingeschakeld in de module Routing van berichten (pagina 40). Raadpleeg ook de Handleiding voor systeembeheerders voor meer informatie over hoe NVC omgaat met berichten en waarschuwingssignalen.



40

Routing van berichten Opmerking:Deze module is alleen beschikbaar bij een netwerkinstallatie.

Berichten

Deze uitvoermodule voor berichten ondersteunt zowel IP- als IPX-netwerken. De module is gebaseerd op verbindingen, met TCP/IP en/of SPX. Opmerking:Raadpleeg de Handleiding voor systeembeheerders voor gedetailleerde informatie over hoe NVC omgaat met berichten en waarschuwingssignalen. Broadcasts beantwoorden en routing van berichten inschakelen voor: U moet deze optie selecteren om toegang te krijgen tot de overige opties in dit dialoogvenster. Als u dit selectievakje niet selecteert, schakelt u de routing van berichten uit. Copyright © 1990-2005 Norman


41

Broadcasten is het verzenden van hetzelfde bericht aan meerdere ontvangers tegelijk. Lokaal gegenereerde berichten Selecteer de incidenten die op de lokale computer optreden en die door de routing van berichten moeten worden doorgegeven. Virusinfecties en andere waarschuwingssignalen Bericht doorsturen als een virus of andere schadelijke code is ontdekt. Programma- en installatiefouten Bericht doorsturen als een geïnstalleerd NVC-programma een fout meldt of als tijdens de installatie van NVC foutberichten worden weergegeven. Waarschuwingen Waarschuwingen die worden weergegeven doorsturen. Informatieberichten Informatief bericht doorsturen. Voordat u deze optie selecteert, moet u dit zorgvuldig overwegen. De reden is dat een groot aantal informatieve berichten van algemene aard worden gegenereerd. Systeem- en huishoudelijke berichten Berichten doorsturen over activiteiten op het systeem met betrekking tot het netwerk. Deze optie is altijd ingeschakeld. Berichten ontvangen van andere computers In het vorige deel hebt u geselecteerd welke incidenten die op de lokale computer optreden, moeten worden verzonden. In dit deel kunt u aangeven welke berichten van incidenten op andere computers u door de routing van berichten wilt laten doorgeven. U kunt uit exact dezelfde set opties kiezen als in het vorige deel.

Routing Als u routing van berichten hebt ingeschakeld, geeft u hier de ontvanger(s) van de berichten op.



42

Berichten doorsturen aan: Klik op Toevoegen en voer het IP-adres of de computernaam van de ontvanger in. Deze bewerking moet worden herhaald voor iedere ontvanger die u aan de lijst wilt toevoegen. Namen en adressen kunnen worden bewerkt of uit de lijst worden verwijderd door op de desbetreffende knoppen te klikken. Normaal gesproken moet slechts één ontvanger worden opgegeven om dubbele berichten te voorkomen. Raadpleeg de Handleiding voor systeembeheerders voor verdere informatie. Berichten doorsturen Selecteer deze optie om binnenkomende berichten naar een of meer andere leden op de lijst door te sturen. U kunt tevens aangeven wanneer binnenkomende berichten verlopen; u kunt hierbij kiezen uit 1, 8 of 24 uur, 1 of 4 weken of nooit. De standaardwaarde is 1 week.

E-mail, SMS, SNMP Met deze module kunt u e-mailberichten of SMS-berichten verzenden over geselecteerde gebeurtenissen op zelfstandige pc’s en op netwerkcomputers. Voor netwerken met SNMP kan NVC worden geconfigureerd om SNMP-traps te verzenden.

E-mailberichten, SMS-berichten en SNMPtraps U kunt de gebeurtenissen waarmee u een e-mailbericht, een SMS-bericht of een SNMP-trap activeert op precies dezelfde wijze filteren als het selecteren van relevante gebeurtenissen voor Routing van berichten en Afhandeling van berichten. U doet dit bovendien vanuit dezelfde set opties:



43

Voor de andere berichtenmodules moet u onderscheid maken tussen lokaal gegenereerde berichten en berichten die u ontvangt van andere computers. Standaardwaarden De standaardwaarden voor lokale berichten en berichten die u ontvangt van andere computers zijn: Virusinfecties en andere waarschuwingssignalen Bericht doorsturen als een virus of andere schadelijke code is ontdekt. Programma- en installatiefouten Bericht doorsturen als een geïnstalleerd NVC-programma een fout meldt en als tijdens de installatie van NVC foutberichten worden weergegeven.



44

Voor SMS-berichten is alleen de eerste optie de standaardwaarde.

E-mailberichten configureren

Deze velden moeten worden ingevuld in het deel SMTP-protocol van het dialoogvenster: SMTP-server De servernaam of het IP-adres voor de e-mailserver die het SMTP-bericht kan ontvangen. Poort De standaard-SMTP-poort is 25. Dit is de juiste waarde, tenzij u expliciet een andere poort hebt geselecteerd. E-mailgeadresseerden Voer het e-mailadres in van degenen die het e-mailbericht moeten ontvangen. Copyright © 1990-2005 Norman


45

•

Klik op Toevoegen om het e-mailadres voor een emailgeadresseerde in te voeren.

•

Selecteer een adres uit de lijst en klik op Bewerken om het bestaande adres te wijzigen.

•

Selecteer een adres uit de lijst en klik op Verwijderen om een bestaand adres te verwijderen.

Antwoord naar Voer het e-mailadres in waarnaar een e-mailgeadresseerde kan antwoorden, bijvoorbeeld de systeembeheerder. In het deel E-mailbericht kunt u aangeven: Onderwerp De titel van het e-mailbericht, bijvoorbeeld ‘Bericht van NVC’. Het verdient aanbeveling hierbij de gebeurtenis te vermelden die heeft aangezet tot het e-mailbericht als u slechts één alternatief hebt geselecteerd, bijvoorbeeld Virusinfecties en andere waarschuwingssignalen. Standaard toegevoegde tekst Voer de tekst in die u standaard wilt opnemen als voetnoottekst in het e-mailbericht.



46

SMS-berichten configureren

Vul de volgende velden in: COM-poort Geef de COM-poort voor SMS aan door te kiezen uit de lijst in het vervolgkeuzemenu. Dit is de poort die u hebt opgegeven toen u uw telefoon instelde als modem met het door de leverancier bijgeleverde stuurprogramma. Als u het poortnummer niet kent, selecteer dan Auto en laat het programma de juiste poort selecteren. Baudrate De baudrate bepaalt de parameters voor de seriële communicatie voor uw GSM-modem. Als u de baudrate voor uw modem niet weet, raadpleeg dan de technische documentatie bij uw modem. NVC ondersteunt de uitgebreide verzameling Hayes-opdrachten voor SMS (ETSI GSM 07.07). Via tests is vastgesteld dat de



47

aanbevolen modem een Falcom GSM Modem is (zie voor meer informatie: www.falcom.de.) Handshake Het meest gebruikelijk voor seriële communicatie is N81. Klik voor meer opties op het vervolgkeuzemenu. Berichtenlimiet Hiermee beperkt u het aantal berichten dat u binnen een bepaalde periode kunt verzenden. (Geen limiet), selecteer dan uit het vervolgkeuzemenu: 1/15 staat voor één bericht om de 15 minuten 1/uur staat voor één bericht om het uur, enzovoort. Houd er rekening mee dat als u bijvoorbeeld 1/15 selecteert, alle berichten na het eerste bericht binnen 15 minuten verloren gaan. Waarschuwingen heffen limiet op Als u een limiet selecteert, dus elke optie behalve ‘Geen limiet’, staat deze optie standaard aan. Hierdoor bent u er zeker van dat u geen belangrijke berichten mist (waarschuwingen) doordat het opgegeven quota al is gebruikt voor minder kritieke berichten. Als u alleen ‘Virusinfecties en andere waarschuwingssignalen’ hebt aangegeven en de opheffingsoptie is ingeschakeld, zijn de waarschuwingen niet aan een limiet gebonden. SMS-serviceprovider Voer het telefoonnummer in van uw SMS-serviceprovider. Geadresseerden Voer de telefoonnummers in voor alle geadresseerden van de SMS-berichten. •

Klik op Toevoegen om het telefoonnummer voor een geadresseerde in te voeren.

•

Selecteer een item uit de lijst en klik op Bewerken om een bestaande geadresseerde te wijzigen.

•

Selecteer een item uit de lijst en klik op Verwijderen om een bestaand nummer te verwijderen.



48

Standaard-SMS-tekst Inhoud van het bericht. Deze wordt getoond zodra een bericht wordt verzonden. Het verdient aanbeveling hierbij de gebeurtenis te vermelden die heeft aangezet tot het bericht, als u slechts één alternatief hebt geselecteerd, bijvoorbeeld Virusinfecties en andere waarschuwingssignalen. Het bericht kan bijvoorbeeld ‘Bel sys.beh.’ zijn. De berichtlengte is gebonden aan een maximum van 12 tekens.

SNMP configureren

Vul deze velden in om SNMP-traps in te schakelen: Trap-geadresseerden Voer de computernaam of het IP-adres van de geadresseerde(n) in.



49

•

Klik op Toevoegen om de naam of het adres voor een SNMP-geadresseerde in te voeren.

•

Selecteer een item uit de lijst en klik op Bewerken om een bestaand adres te wijzigen.

•

Selecteer een item uit de lijst en klik op Verwijderen om een bestaand adres te verwijderen.

Opmerking:Bij geadresseerden moet Norman MIB geïnstalleerd zijn om ervoor te zorgen dat de trap correct gedecodeerd wordt. Community Elk SNMP-beheerd object, zoals een trap, maakt deel uit van een community. De verificatie is gebaseerd op een

communitynaam in de vorm van onbewerkte tekst, die u hier moet invoeren. ‘Public’ is een vaak gebruikte communitynaam. Gebruikersbericht Dit veld is bedoeld voor een algemene, door de gebruiker geconfigureerde tekst, bijvoorbeeld ‘Er is een fout opgetreden bij...’.


Norman Virus Control

50

Norman Virus Control Onderdelen Een product als Norman Virus Control (NVC) beschikt over talloze onderdelen en de meeste gebruikers hebben er baat bij als zij alle onderdelen installeren.

Installeren Onthoud dat u op ieder gewenst moment kunt teruggaan naar dit tabblad om onderdelen toe te voegen en/of te verwijderen. Standaard worden alle onderdelen toegevoegd tijdens de installatie van NVC.



51

On-demand scanner De On-demand scanner stelt u in staat periodieke scans uit te voeren van geselecteerde gebieden op de computer. Als u Taakplanner (zie verderop) gebruikt, moet de On-demand scanner worden geïnstalleerd. ‘On-demand scanner’ op pagina 55. On-access scanner De On-access scanner is een voortdurend proces dat alle kritieke activiteiten op uw systeem controleert. Afhankelijk van uw configuratie kan dit betrekking hebben op de toegang tot bestanden en het kopiëren/verplaatsen naar andere stations of directory’s. ‘NVC op Windows Terminal Server’ op pagina 90. Commando-regel scanner De commando-regel scanner is een alternatief voor de op een grafische gebruikersinterface gebaseerde scanner en maakt het mogelijk batchtaken en andere scantaken vanaf de commandoregel uit te voeren. De commando-regel scanner is een goed alternatief voor gebruikers die bekend zijn met deze omgeving. ‘De Commando-regel scanner starten’ op pagina 110. Taakplanner Taakplanner is een hulpmiddel dat wordt gebruikt voor het uitvoeren van taakbestanden op geplande tijdstippen. ‘De planner’ op pagina 98. Taak-editor Gebruik dit hulpmiddel voor het maken van taakbestanden en het weergeven/wijzigen van gebeurtenissen die in Taakplanner zijn ingevoerd. Een snelkoppeling voor een taakbestand kan als pictogram op het bureaublad worden geplaatst of als item aan het menu Start worden toegevoegd. Geplande taken moeten zijn opgeslagen in ...\nvc\tasks.



52

U kunt de OS/2-schaduw voor het taakbestand plaatsen waar u maar wilt. De echte bestanden moeten zich echter in ...\nvc\tasks bevinden. ‘Taak-editor’ op pagina 92. Utilities Met dit hulpmiddel kunt u taakbestanden en quarantainebestanden weergeven en bewerken en de status van geïnstalleerde onderdelen weergeven. ‘Utilities’ op pagina 99. Internetbeveiliging Norman Internet Protection (NIP) is een module die is ontwikkeld om inkomende en uitgaande e-mailberichten te ondervangen en alle geïnfecteerde bijlagen te controleren op ongewenste inhoud en deze vervolgens te verwijderen of te blokkeren. Opmerking:NIP is een module voor werkstations. Gebruik NIP niet op servers die een aparte SMTP-service uitvoeren of op Terminal Servers. Op een Terminal Server kan NIP alleen de gebruiker beschermen die zich het eerst heeft aangemeld. Daarom is NIP in een dergelijke omgeving onbruikbaar. Als u NVC voor het eerst installeert, wordt NIP als een standaardmodule geïnstalleerd, ook op servers en Terminal Servers. U wordt daarom aangeraden NIP van deze platformen te verwijderen of te stoppen. ‘NVC op Windows Terminal Server’ op pagina 90.

Starten U kunt ervoor kiezen een aantal onderdelen automatisch te laten starten. Deze onderdelen worden dan geladen wanneer u de computer opstart. Sommige onderdelen zijn per definitie niet bedoeld om automatisch te worden gestart, zoals de On-demand scanner. Anderzijds is de On-access scanner ontworpen om uw systeem realtime te controleren en de standaardinstelling is dus AAN. Copyright © 1990-2005 Norman


53

Ook de Taakplanner kan automatisch worden gestart. Wanneer u een wijziging in een onderdeel aanbrengt, moet u altijd op Opslaan klikken om de wijziging te activeren. Een onderdeel blijft geselecteerd/niet-geselecteerd totdat u opnieuw handmatig een wijziging doorvoert en op Opslaan klikt.

Algemene instellingen Algemene instellingen hebben vooral invloed op de omgang met malware en deze module vormt dus een aanvulling op de scanmodules On-demand op pagina 55, On-access (lokale gebruikers) op pagina 90 en On-access op pagina 63.

Uitsluitingslijst Let op: uitsluitingslijsten moeten uiterst zorgvuldig worden behandeld omdat deze een mogelijk beveiligingsrisico vormen. U wordt aangeraden de uitsluitingslijst regelmatig handmatig (met de On-demand scanner) te Copyright © 1990-2005 Norman


54

scannen en deze bestanden of gebieden ook in geplande scans op te nemen. Geef bestanden, directories of complete stations op die u niet door NVC wilt laten scannen. Volg de volgende stappen om items uit te sluiten van scannen: 1.

Klik op de knop Toevoegen om een bestand, directory of stationsletter in te voeren. U kunt ook de knop Bladeren bij het veld ‘Uit te sluiten bestand/pad’ gebruiken om de gewenste object(en) te selecteren. Jokertekens (* en ?) zijn toegestaan. Voorbeelden: c:\dir Sluit alle bestanden in de directory uit, inclusief subdirectories. *.xyz Sluit alle bestanden met de extensie .xyz uit. c:\dir\*.xyz Sluit alle bestanden met deze extensie in de directory uit. example.exe Sluit het opgegeven bestand uit, onafhankelijk van de locatie van het bestand. c:\winnt\system32\xyz.sys Sluit alleen dit specifieke bestand uit.

Opmerking:Gebruik geen aanhalingstekens (" of ') wanneer u aangeeft dat u bepaalde items wilt uitschakelen. 2.

Gebruik het veld Opmerking om eventueel een verhelderende tekst voor de verschillende items toe te voegen. U wordt aangeraden de uitsluitingslijst regelmatig te herzien. Tijdens het herzien van de uitsluitingslijst is het handig te worden herinnerd aan de reden voor het uitsluiten van een bepaald item.

3.

Om een bestaand item te wijzigen, markeert u het betreffende item en klikt u op Bewerken of Verwijderen.

4.

Klik op Opslaan wanneer u klaar bent.



55

On-demand scanner Het doel van de On-demand scanner is het uitvoeren van periodieke inspecties van geselecteerde gebieden op uw systeem. U kunt de On-demand scanner op verschillende manieren starten: 1.

Plaats de cursor op een willekeurig object van het bestandssysteem, bijvoorbeeld in Windows Explorer, klik op de rechtermuisknop en selecteer NVC in het menu. ‘Rechtsklik-scanner’ op pagina 62.

2.

Selecteer de Taak-editor in het menu Norman en plan de gewenste tijden voor de On-demand scanner in. ‘Taak-editor’ op pagina 92.

3.

Gebruik de snelkoppelingen in het menu Norman; Diskette scannen of Vaste schijven scannen. ‘Snelkoppeling naar NVC-modules en scannen’ op pagina 14.

Scannen Zie tevens het dialoogvenster met tabbladen ‘Algemene instellingen’ op pagina 53 voor de algemene configuratie van de On-demand scanner. Deze instellingen zijn uw primaire scanopties en worden gebruikt wanneer u de standaardwaarde in dit dialoogvenster kiest. Als u tijdelijk met andere instellingen wilt scannen, kunt u dat via dit tabblad doen.



56

Scannen op virussen, trojans, wormen, enzovoort en: Beveiligingsrisico’s Deze optie zorgt ervoor dat NVC op objecten scant die een mogelijk beveiligingsrisico vormen. Sommige systeembeheerders installeren programma’s zoals wachtwoordcrackers en hulpmiddelen voor beheer op afstand die volstrekt legaal en waarschijnlijk ook handig zijn. Echter, de onvoldoende beveiliging van een aantal van deze hulpmiddelen kan computers blootstellen aan onbevoegde gebruikers en crackers. NVC detecteert de activiteiten van dergelijke hulpmiddelen en waarschuwt voor mogelijke beveiligingsrisico’s. Waarschuwingen vermelden de naam van het programma zodat u kunt beslissen of het alarm wordt geactiveerd door een toegestaan programma of door crackeractiviteiten.



57

Opdringerige commercials Soms zijn er ongewenste programma’s gekoppeld aan programma’s die u bijvoorbeeld ter evaluatie vanaf het internet downloadt. Deze programma’s maken hun aanwezigheid niet bekend en wanneer u het oorspronkelijke programma van de computer verwijdert, blijft het verborgen programma mogelijk bestaan. Deze verborgen programma’s zijn moeilijk te vinden en beschikken niet over een procedure om de installatie ongedaan te maken. Met onregelmatige intervallen melden deze programma’s zich op het internet aan en downloaden zelfstandig reclameboodschappen. Ze zijn niet schadelijk zoals traditionele virussen, maar ze zijn vervelend en zorgen voor onnodig netwerkverkeer. NVC kan dergelijke programma’s opsporen en verwijderen. Houd rekening met het feit dat gratis software die u hebt geïnstalleerd mogelijk niet functioneert wanneer u deze optie inschakelt. Nieuwe, onbekende virussen met SandBox NVC gebruikt de SandBox-functie om nieuwe, onbekende virussen op te sporen. Selecteer deze optie als u wilt dat NVC naar nieuwe virusvarianten zoekt. SandBox is met name ontworpen voor de detectie van nieuwe wormen via e-mail, op het netwerk en in peer-to-peer-omgevingen, en bestandsvirussen. Bovendien komt het programma in actie tegen onbekende gevaren voor de beveiliging. Als nieuwe kwaadaardige code wordt gedetecteerd, ontvangt de systeembeheerder via het berichtgevingssysteem van NVC een bericht met de belangrijkste informatie. (Zie pagina 120 voor een voorbeeld.) Wanneer deze optie is geselecteerd, vergt het scannen meer tijd. Dit is echter van minimale invloed op de prestaties. Raadpleeg ‘Bijlage A - SandBox’ op pagina 118 voor meer informatie over SandBox. Uitsluiten van scannen Mogelijk wilt u het scanproces versnellen door bepaalde bestanden uit te sluiten van het scannen. Houd rekening met het feit dat het uitsluiten van bestanden of gebieden ten koste gaat van de veiligheid.



58

Bestanden met onbepaalde indeling Selecteer deze optie om NVC alle bestanden met een onbepaalde indeling te laten overslaan. Dit kunnen bijvoorbeeld beschadigde bestanden zijn of bestanden met een onbekende indeling. Bestanden op netwerkstations Binnen netwerken mogen niet alle gebruikers bestanden op de server scannen. Selecteer deze optie als u alleen toestemming hebt om bestanden op het werkstation te scannen. Bestanden uit de uitsluitingslijst Selecteer deze optie als u de uitsluitingslijst wilt activeren. U wordt aangeraden deze optie niet te selecteren omdat de bestanden op de uitsluitingslijst regelmatig moeten worden gescand.



59

Logbestand NVC genereert standaard een logbestand wanneer u een handmatige scan uitvoert. Dit logbestand heeft een standaardnaam en standaardlocatie en u kunt kiezen tussen een uitvoerig rapport en een logbestand dat alleen infecties en fouten registreert.

Logbestand maken Maakt een logbestand wanneer u een on-demand scan uitvoert. Als u deze optie niet selecteert, wordt er geen logbestand gegenereerd voor on-demand scans. Pad voor logbestand: Het standaardpad voor het logbestand is c:\norman\logs. Klik op de knop Bladeren om een nieuw pad op te geven.



60

Aantal te behouden generaties: Als u de standaardwaarde 5 selecteert, overschrijft NVC het oudste logbestand op het moment dat het zesde logbestand wordt gegenereerd. Het eerste logbestand heet nvc00000.log, het volgende nvc00001.log enzovoort. Als u bijvoorbeeld 10 generaties behoudt, wordt het eerste logbestand weer overschreven in plaats van een nieuw bestand nvc00010.log te genereren. Opties voor logboekregistratie Alleen infecties en fouten registreren Dit is het standaard gebruikte logbestand dat een overzicht geeft van het gescande gebied inclusief de scantijd en het aantal gescande bestanden, informatie over eventuele infecties en programmafouten, de versie van de scan-engine en de datum van de virusdefinitiebestanden. Uitgebreide registratie De uitgebreide registratie genereert een zeer uitvoerig rapport waarin elk gescand bestand, de scantijd per bestand, de status, enzovoort worden weergegeven.



61

Archiefbestanden Archiefbestanden zijn soms groot en kunnen zeer veel bestanden bevatten.

Archiefbestanden standaard scannen NVC is geconfigureerd om archieven altijd te scannen.

Geïnfecteerde bestanden binnen archieven Als binnen een archief een geïnfecteerd bestand wordt gedetecteerd, probeert NVC deze eerst te repareren. Als reparatie niet mogelijk is, wordt het geïnfecteerde bestand verwijderd uit het archief en wordt het oorspronkelijke bestand in quarantaine geplaatst. De On-demand scanner handelt conform de quarantaineoptie(s) die u hebt opgegeven in de module Quarantaine.



62

Rechtsklik-scanner U kunt de On-demand scanner op een eenvoudige manier starten door de functionaliteit van de rechtermuisknop te gebruiken. Selecteer een of meer bestandssysteemobjecten en klik met de rechtermuisknop om de scanner te starten. De scanner is opgenomen in het contextmenu dat wordt weergegeven wanneer u met de rechtermuisknop klikt op bestandssysteemobjecten zoals diskettes, directories en bestanden. Veel gebruikers zien het scannen op virussen als een noodzakelijk kwaad. Wij denken dat er vaker zal worden gescand naarmate het scannen op virussen eenvoudiger wordt. Voor de On-demand scanner is dubbelklikken op een pictogram niet nodig. Er hoeft ook geen uitvoerbaar bestand te worden gestart. U selecteert simpelweg de gebieden die u wilt scannen via bijvoorbeeld Windows Verkenner of het bureaublad van OS/2 en vervolgens selecteert u Norman Virus Control in het contextmenu dat wordt weergegeven wanneer u met de rechtermuisknop klikt. De rechtsklik-scanner gebruikt de instellingen die u opgeeft onder ‘On-demand scanner’ op pagina 55. De On-demand scanner kan alle typen virussen automatisch opsporen en verwijderen, met uitzondering van bootsectorvirussen op vaste schijven. ‘Geïnfecteerde bestanden opschonen’ op pagina 111.

Diagnostische melding Wanneer de On-demand scanner klaar is met het scannen van de geselecteerde gebieden, worden alle relevante gegevens in het scandialoogvenster weergegeven. Er zijn aparte items voor geïnfecteerde bestanden en voor bestanden die niet konden worden gescand. Het veld Diagnostische meldingen geeft aan



63

waarom NVC een bepaald bestand niet kan scannen. De meest voorkomende reden is dat het bestand is beschadigd. Een ‘beschadigd’ bestand is niet per definitie onbruikbaar, maar NVC herkent de bestandsindeling niet en kan daardoor het bestand niet scannen. Als zich andere, minder vaak voorkomende situaties voordoen, krijgt u een melding met de reden waarom een bestand niet kan worden gescand. De logbestanden bevatten aanvullende informatie.

On-access scanner Voor on-access scannen moet het bestandssysteem voortdurend worden gecontroleerd. Het is voor een antivirustoepassing van groot belang dat een virus wordt opgespoord en geblokkeerd voordat het wordt geactiveerd. In het geval van on-access scannen communiceert NVC op een laag niveau met het besturingssysteem en stelt de scanner in staat om alle activiteiten op het systeem waar te nemen. Dit proces zorgt ervoor dat NVC een voorsprong heeft op het virus en biedt NVC de mogelijkheid onmiddellijk actie te ondernemen. Wanneer een bestand wordt gelezen, gegevens naar een bestand worden geschreven of een programma wordt uitgevoerd, wordt de On-access scanner hiervan op de hoogte gesteld en wordt het bestand direct gescand (als deze hiertoe is geconfigureerd). Net zoals de On-demand scanner spoort de On-access scanner van NVC alle typen virussen op en repareert deze. Indien mogelijk wordt een geïnfecteerd bestand gerepareerd voordat het bestand aan de toepassing wordt overgedragen. Als de reparatie mislukt, zorgt NVC ervoor dat gebruikers geen toegang krijgen tot het geïnfecteerde bestand. ‘Geïnfecteerde bestanden opschonen’ op pagina 111.

On-access scannen onder Windows NT/ 2000/XP/2003 De opties van de On-access scanner voor dit platform zijn verdeeld in twee verschillende modules: lokale gebruikers en services en externe gebruikers. Onder normale omstandigheden wordt op een werkstation de module voor lokale gebruikers



64

uitgevoerd, terwijl op een server de module voor services en externe gebruikers wordt uitgevoerd. In ieder geval moeten beide modules worden geconfigureerd zodat de verschillende rollen die Windows NT/2000/XP/2003 kan spelen, worden afgedekt. Met betrekking tot scannen in NVC zijn deze rollen als volgt gedefinieerd: Lokale gebruikers: Viruscontrole voor een aangemelde gebruiker; deze controle omvat alles wat de gebruiker op de lokale computer doet. Als de gebruiker is afgemeld of de computer als server wordt gebruikt, is modus voor services en externe gebruikers van toepassing. Services en externe gebruikers: Alle andere activiteiten die op de aangemelde computer plaatsvinden, zoals toegang van andere computers tot directories die op de aangemelde computer worden gedeeld. De module voor services en externe gebruikers is van toepassing op elke NT/2000/XP/2003-computer waarop niemand is aangemeld. Het gangbare scenario is dat activiteiten van services en externe gebruikers plaatsvinden op de server. Zodra iemand zich echter aanmeldt op de server zelf, is de modus voor lokale gebruikers van toepassing.

On-access scannen onder Windows 95/98/ Me In tegenstelling tot de On-access scanner in Windows NT/2000/ XP/2003-installaties bestaat de On-access scanner in Windows 95/98/ME-installaties uit slechts een module. Deze module scant standaard bestanden wanneer een aangemelde gebruiker deze opent. Op de configuratietabbladen voor deze module kunt u de manier waarop de On-access scanner werkt, wijzigen. U kunt bijvoorbeeld opgeven welke bewerkingen moeten worden gecontroleerd, welke bestanden moeten worden uitgesloten van scannen en wat er moet gebeuren wanneer virussen of andere malware worden aangetroffen.



65

Scannen

Strategie (Van toepassing op Windows 95/98/ME en de module voor lokale gebruikers onder Windows NT/2000/XP/2003 en OS/ 2) In dit gedeelte kunt u opgeven of u bestanden wilt scannen zowel voor gebruik ervan als wanneer nieuwe bestanden worden gemaakt of wanneer bestaande bestanden worden gewijzigd. Met andere woorden, u selecteert een strategie voor het on-access scannen die plaatsvindt wanneer een gebruiker lokaal bij de computer is aangemeld. U kunt deze opties beschouwen als ‘werkstation’instellingen.



66

Bestanden voor gebruik scannen Deze optie zorgt ervoor dat de On-access scanner bestanden scant die worden geopend voor lezen/uitvoeren en is om veiligheidsredenen verplicht. Voorbeeld: wanneer u een bestand vanaf een diskette, een document vanaf de vaste schijf of een e-mailbijlage opent, scant de On-access scanner het bestand direct en wordt actie ondernomen als malware wordt aangetroffen. Hiervoor moeten uw virusdefinitiebestanden natuurlijk wel up-to-date zijn. Nieuwe of gewijzigde bestanden scannen Deze optie zorgt ervoor dat de On-access scanner bestanden scant die worden geopend voor schrijven, bijvoorbeeld als u een gewijzigd document opslaat of nieuwe bestanden maakt op de vaste schijf. Onder Windows NT/2000/XP/2003 voorkomt de module voor services en externe gebruikers dat andere (externe) gebruikers geïnfecteerde bestanden opslaan op uw computer. Lokale gebruikers wordt aangeraden deze optie niet te combineren met de optie Bestanden voor gebruik scannen, aangezien dit een aanzienlijke negatieve invloed kan hebben op de prestaties van de computer bij toepassingen die veelvuldig lees- en schrijfbewerkingen uitvoeren. U wordt echter wel aangeraden deze optie te selecteren op Windows 95/98/ME-clients waar bestands- en/of printerdeling zijn ingeschakeld. Strategie (Alleen van toepassing op computers met Windows NT/2000/ XP/2003 en OS/2) In deze module kunt u opgeven of u bestanden wilt scannen voor gebruik ervan en/of wanneer nieuwe bestanden worden gemaakt of wanneer bestaande bestanden worden gewijzigd. Met andere woorden, u selecteert een strategie voor het on-access scannen dat plaatsvindt wanneer andere computers bestanden naar uw computer/server schrijven. U kunt deze opties beschouwen als ‘server’-instellingen.



67

Bestanden voor gebruik scannen Deze optie zorgt ervoor dat de On-access scanner bestanden scant die worden geopend voor lezen/uitvoeren. Voorbeeld: als bestanden op een gedeelde server (waarop deze optie is geselecteerd) vanaf een werkstation worden geopend, worden de bestanden gescand voordat de gebruiker er toegang toe krijgt. Wanneer deze optie is geselecteerd, vergt het scannen echter wel meer tijd. U moet deze optie dan ook alleen voor servers selecteren als uw netwerk een zich snel verspreidende virusinfectie bevat. Nieuwe of gewijzigde bestanden scannen Deze optie zorgt ervoor dat de On-access scanner bestanden scant die worden geopend voor schrijven, bijvoorbeeld als gebruikers in een netwerk hun werk opslaan of bestanden maken op een server. De optie Nieuwe of gewijzigde bestanden scannen wordt standaard geselecteerd. Het is niet raadzaam deze optie te combineren met Bestanden voor gebruik scannen, tenzij uw netwerk een zich snel verspreidende virusinfectie bevat, aangezien deze combinatie de prestaties aanzienlijk beïnvloedt. Belangrijk: scannen tijdens het schrijven houdt in dat nieuwe of gewijzigde bestanden tijdens het sluiten worden gescand. Veronderstel dat u een onbeveiligde clientcomputer hebt die is geïnfecteerd met een virus dat zich via netwerkshares verspreidt. Wanneer dit virus een bestand op een server infecteert waarop de On-access scanner is geconfigureerd voor het scannen van nieuwe of gewijzigde bestanden, spoort de On-access scanner het virus op en verwijdert dit. Helaas gebeurt het opsporen en verwijderen met traditionele scanners nadat de daadwerkelijke infectie al heeft plaatsgevonden. Met virussen zoals VBS/ Loveletter betekent dit dat een groot aantal bestanden al kan zijn beschadigd. Geïnfecteerde bestanden worden echter in quarantaine geplaatst, zodat deze niet door gebruikers in het netwerk kunnen worden gebruikt en de infectie niet opnieuw in het netwerk kan worden geactiveerd.



68

Scannen op virussen, trojans, wormen, enzovoort en: (Van toepassing op alle ondersteunde platformen) NVC scant op virussen, trojans, wormen en andere kwaadaardige code of ongewenste programma’s die uw pc kunnen beschadigen. U kunt NVC ook laten scannen op: Beveiligingsrisico’s Deze optie zorgt ervoor dat NVC op objecten scant die een mogelijk beveiligingsrisico vormen. Sommige systeembeheerders installeren programma’s zoals wachtwoordcrackers en hulpmiddelen voor beheer op afstand die volstrekt legaal en waarschijnlijk ook handig zijn. Echter, de onvoldoende beveiliging van een aantal van deze hulpmiddelen kan computers blootstellen aan onbevoegde gebruikers en crackers. NVC detecteert de activiteiten van dergelijke hulpmiddelen en waarschuwt voor mogelijke beveiligingsrisico’s. Waarschuwingen vermelden de naam van het programma zodat u kunt beslissen of het alarm wordt geactiveerd door een toegestaan programma of door crackeractiviteiten. Opdringerige commercials Soms zijn er ongewenste programma’s gekoppeld aan programma’s die u bijvoorbeeld ter evaluatie vanaf het internet downloadt. Deze programma’s maken hun aanwezigheid niet bekend en wanneer u het oorspronkelijke programma van de computer verwijdert, blijft het verborgen programma mogelijk bestaan. Deze verborgen programma’s zijn moeilijk te vinden en beschikken niet over een procedure om de installatie ongedaan te maken. Met onregelmatige intervallen melden deze programma’s zich op het internet aan en downloaden zelfstandig reclameboodschappen. Ze zijn niet schadelijk zoals traditionele virussen, maar ze zijn vervelend en zorgen voor onnodig netwerkverkeer. NVC kan dergelijke programma’s opsporen en verwijderen. Houd rekening met het feit dat gratis software die u hebt geïnstalleerd mogelijk niet functioneert wanneer u deze optie inschakelt.



69

Nieuwe, onbekende virussen met SandBox NVC gebruikt de SandBox-functie om nieuwe, onbekende virussen op te sporen. Selecteer deze optie als u wilt dat NVC naar nieuwe virusvarianten zoekt. SandBox is met name ontworpen voor de detectie van nieuwe wormen via e-mail, op het netwerk en in peer-to-peer-omgevingen, en bestandsvirussen. Bovendien komt het programma in actie tegen onbekende gevaren voor de beveiliging. Als nieuwe kwaadaardige code wordt gedetecteerd, ontvangt de systeembeheerder via het berichtgevingssysteem van NVC een bericht met de belangrijkste informatie. (Zie pagina 120 voor een voorbeeld.) Deze optie biedt voornamelijk extra beveiliging tegen netwerkwormen, dat wil zeggen, als machine A beveiligd is en er wordt een poging gedaan viruscode te kopiëren naar een gedeelde bron op machine A van machine B. Opmerking:SandBox biedt geen extra beveiliging voor acties van de aangemelde gebruiker op machine A. Dergelijke acties worden alleen gescand met behulp van handtekeningbestanden en traditionele methoden. Wanneer deze optie is geselecteerd, vergt het scannen meer tijd. Dit is echter van minimale invloed op de prestaties. Zie ‘Bijlage A - SandBox’ op pagina 118 voor meer informatie over SandBox. Uitsluiten van scannen Mogelijk wilt u het scanproces versnellen door bepaalde bestanden uit te sluiten van het scannen. Houd rekening met het feit dat het uitsluiten van bestanden of gebieden ten koste gaat van de veiligheid. Bestanden met onbepaalde indeling Selecteer deze optie om NVC alle bestanden met een onbepaalde indeling te laten overslaan. Dit kunnen bijvoorbeeld beschadigde bestanden zijn of bestanden met een onbekende indeling. Bestanden op netwerkstations Schakel deze optie in als u niet wilt dat NVC shares scant waartoe u toegang hebt op externe computers. Bestanden uit de uitsluitingslijst



70

Bestanden uit de uitsluitingslijst worden niet gescand. Een reden voor het niet-scannen van bepaalde bestanden is mogelijk dat deze vals alarm veroorzaken of bij het scannen te veel tijd in beslag nemen. In ieder geval wordt u aangeraden bestanden op de uitsluitingslijst regelmatig te scannen door geplande scans of on-demand scans uit te voeren. Behandeling van bestanden die niet kunnen worden gescand (Van toepassing op Windows 95/98/ME en de module voor lokale gebruikers onder Windows NT/2000/XP/2003 en OS/ 2) In een aantal situaties kan NVC een bestand niet scannen. Voorbeelden hiervan zijn Word-documenten met wachtwoordbeveiliging, beschadigde bestanden of situaties waarin een interne systeemfout optreedt. NVC beschikt over drie opties voor het omgaan met bestanden die niet kunnen worden gescand. Via het vervolgkeuzemenu kunt u kiezen tussen: Negeren NVC geeft geen waarschuwing wanneer bestanden aan het scannen ontsnappen. Waarschuwing tonen NVC toont een waarschuwing wanneer u een bestand wilt openen dat niet is gecontroleerd. U mag echter op eigen risico doorgaan. waarschuwing weergeven en toegang weigeren NVC waarschuwt dat de toegang is geweigerd omdat het bestand niet kan worden gescand. Module voor On-access scanner (NIET van toepassing op Windows) Alleen module voor services en externe gebruikers gebruiken*** Wanneer de On-access scanner wordt uitgevoerd als module voor lokale gebruikers, worden regelmatig dialoogvensters weergegeven waarop u moet reageren. Als u deze optie selecteert, worden deze dialoogvensters niet weergegeven op de server en zijn de configuratieopties van de module voor services en externe gebruikers van toepassing.



71

Deze optie is alleen geldig voor netwerken met OS/2-servers. Voor netwerkomgevingen: Het veld Toegang onder aan ieder tabblad is onzichtbaar, tenzij u systeembeheerdersrechten hebt. De systeembeheerder beslist wat vanaf de werkstations zichtbaar is en/of wat kan worden geconfigureerd. De gemiddelde gebruiker zal om deze reden alle of een aantal tabbladen kunnen bekijken, maar zal niet per definitie de instellingen kunnen wijzigen.

Opschonen Wanneer virussen, trojans, wormen of andere malware worden ontdekt, kunt u aangeven hoe deze door NVC moeten worden behandeld. Toegang weigeren Als u een geïnfecteerd programma probeert uit te voeren, wordt de toegang geweigerd. Geïnfecteerde documenten worden geblokkeerd. Opmerking:Voor On-access scanner (services en externe gebruikers) is deze optie alleen relevant als u Bestanden voor gebruik scannen als scanstrategie hebt geselecteerd. Met andere woorden, als u de standaardinstellingen gebruikt, moet u deze optie niet selecteren. Verwijderen NVC probeert het virus uit het geïnfecteerde bestand te verwijderen. Selecteer deze optie wanneer u wilt dat NVC geïnfecteerde bestanden automatisch repareert. NVC kan de meeste virussen direct verwijderen, met uitzondering van bootsectorvirussen. NVC vraagt altijd om tussenkomst van de gebruiker voordat bootsectorvirussen worden verwijderd. Houd rekening met het feit dat een bestand volledig wordt verwijderd als het alleen malware bevat.



72

Gebruiker vragen wat te doen Als u niet wilt dat virussen automatisch worden verwijderd en ook niet wilt dat de toegang tot geïnfecteerde bestanden wordt geweigerd, kiest u deze optie. Als u een geïnfecteerd bestand probeert te openen, wordt informatie omtrent het incident weergegeven. In het dialoogvenster dat wordt weergegeven, kunt u kiezen tussen verwijderen en afsluiten. Aanbevelingen: •

Zorg ervoor dat uw NVC-installatie up-to-date is. Dat is de beste beveiliging tegen virusaanvallen. Zo kunt u virussen tegenhouden voordat deze het systeem binnendringen.

•

Installeer antivirussoftware op e-mailservers en gateways.

•

Beperk gebruikersrechten op shares zoveel mogelijk, bijvoorbeeld door de eigenschap Alleen-lezen toe te wijzen aan bestanden die niet regelmatig worden gewijzigd.

•

Maak regelmatig reservekopieën van uw bestanden.

On-access scannen in netwerken NVC zal standaard bestanden scannen die op netwerkstations worden benaderd. Bij het scannen van bestanden op netwerkstations is de werking van de On-access scanner afhankelijk van de gebruikersrechten van de aangemelde gebruiker. Wanneer de On-access scanner een bestand aantreft dat vanaf een netwerkstation wordt geopend, zal het bestand op normale wijze worden gescand. De scanner kan een geïnfecteerd bestand echter niet repareren, verwijderen of in quarantaine plaatsen, tenzij de aangemelde gebruiker schrijftoegang heeft tot de betreffende directory/het bestand. Toegang tot het geïnfecteerde bestand wordt echter wel geweigerd. Het bovenstaande is geen aanbeveling om minder zorgvuldig om te gaan met gebruikersrechten. Als een up-to-date On-access scanner uw servers en de clients beschermt, is het niet aannemelijk dat de On-access scanner op de clients ooit malware



73

op netwerkstations zal detecteren. Mocht een dergelijke situatie zich toch voordoen, dan is de bescherming echter aanwezig. Wanneer de On-access scanner virussen of andere malware op netwerkstations detecteert, wordt de locatie als UNC-paden weergegeven en niet als toegewezen stations. Veel gebruikers zijn bekend met netwerkstations als X, Y, Z, enzovoort. De popupwaarschuwingen van de On-access scanner zullen bijvoorbeeld worden weergegeven als \\Server\Share\GeïnfecteerdBestand en niet als X:\Geïnfecteerd bestand. On-access scannen in netwerken is bedoeld voor servers waarop geen viruscontrole wordt uitgevoerd om te voorkomen dat dezelfde bestanden tweemaal worden gescand, eenmaal op de server en nogmaals wanneer deze worden geopend op de client. Het gevolg van dubbel scannen zou kunnen zijn dat het aanmelden op het netwerk en het maken van back-ups langzamer verloopt. De individuele systeembeheerder moet echter zelf beslissen wanneer beveiliging enerzijds en netwerkbewerking anderzijds de hoofdfactoren zijn waarmee rekening moet worden gehouden. U kunt het on-access scannen van bestanden op het netwerk uitschakelen door de optie Bestanden op netwerkstations ‘Uitsluiten van scannen’ in te schakelen.

Norman Internet Protection Opmerking:De huidige versie van Norman Internet Protection is alleen bedoeld voor het Windows-platform en functioneert niet onder OS/2. Norman Internet Protection (NIP) is een filter dat beschermt tegen virussen die worden verspreid via •

internetmail

•

nieuwslezers

De meeste huidige virussen maken gebruik van mechanismen waarmee ze zich via e-mail kunnen verspreiden. Statistisch gezien bevat een op de dertig e-mailberichten die tijdens grote virusepidemieën worden verzonden een vorm van kwaadaardige Copyright © 1990-2005 Norman


74

software. Beveiliging tegen dergelijke virusaanvallen is dan ook van essentieel belang. NIP is een NVC 5-module die is ontwikkeld om inkomende en uitgaande e-mailberichten en nieuwsberichten te ondervangen en alle geïnfecteerde bijlagen van ongewenste inhoud te ontdoen en deze vervolgens te blokkeren. NIP kan e-mails op bekende virussen scannen én bijlagen bij berichten blokkeren, afhankelijk van de inhoud en de bestandsextensies. Als geïntegreerd onderdeel van NVC 5 kan NIP worden gedistribueerd over uw gehele netwerk en zo een nieuwe barrière vormen tegen de groeiende dreiging van e-mailvirussen van "buiten". Belangrijke beperkingen: De huidige versie van NIP is meer gericht op thuisgebruikers dan op professionele omgevingen. Op dit moment is het meer een werkstation dan een servermodule, deels omdat NIP lokale mailservers niet op malware scant.

Definities Nieuwslezer Een nieuwslezer is een toepassing waarmee u berichten in internetnieuwsgroepen kunt lezen en waarmee u zelf berichten kunt posten. Veelgebruikte browsers zoals Internet Explorer en Netscape bevatten hun eigen nieuwslezers en er zijn ook diverse zelfstandige nieuwslezers beschikbaar.

Winsock Winsock (een afkorting van Windows Socket) is een programmeerinterface en het ondersteuningsprogramma dat I/Oaanvragen voor internettoepassingen afhandelt in Windows. Elke Windows-versie is uitgevoerd met een eigen versie van winsock.dll. Eenvoudig gezegd, is Winsock de brug tussen Windows-programma’s en TCP/IP-(internet)verbindingen. Het is goed om te weten dat andere leveranciers freeware- en sharewareversies aanbieden van winsock.dll die niet voldoen aan de voorschriften van Microsoft. Dergelijke versies



75

kunnen kleine verschillen bevatten. Dit is nauwelijks een voordeel te noemen voor de gebruikers of externe programmeurs van internettoepassingen voor het Windows-platform. Opmerking:Alle producten van Norman die gebruikmaken van winsock.dll voldoen aan de voorschriften van Microsoft.

Protocol Een protocol is een gedefinieerde indeling voor het verzenden van gegevens tussen twee apparaten. U kunt dit beschouwen als een soort taal. Als gebruiker hoeft u er alleen maar voor te zorgen dat uw computer de relevante protocollen ondersteunt tijdens het communiceren met andere computers. De volgende protocollen worden ondersteund door de huidige versie van NIP: •

POP3, voor inkomende e-mail

•

SMTP, voor uitgaande e-mail

•

NNTP, voor nieuwsgroepen

Poort Een poort is een ‘logische verbindingsmogelijkheid’ binnen het programmeren en meer in het bijzonder (via het internetprotocol TCP/IP) de manier waarop een clientprogramma een bepaald serverprogramma opgeeft op een computer in een netwerk. Toepassingen die gebruikmaken van TCP/IP, zoals het webprotocol HTTP, hebben poorten met vooraf toegewezen nummers. Deze worden ‘bekende poorten’ genoemd en zijn toegewezen door een officiële, internationale commissie (IANA). Andere toepassingsprocessen krijgen voor elke verbinding dynamisch een poortnummer toegewezen. Wanneer een service (serverprogramma) wordt opgestart, moet deze zich ‘binden’ aan het toegewezen poortnummer. Elk clientprogramma dat deze server wil gebruiken, moet een verzoek indienen om zich ook te binden aan het toegewezen poortnummer. Poortnummers lopen van 0 tot 65536. Poort 0 tot en met 1024 zijn gereserveerd voor bepaalde voorrangsservices. Voor de HTTP-service is poort 80 gedefinieerd als standaardpoort en



76

deze hoeft niet te worden opgegeven in de URL (Uniform Resource Locator). Raadpleeg hoofdstuk ‘Geavanceerd’ op pagina 86 en verder voor een overzicht van de ondersteunde protocollen van NIP en de bijbehorende poortnummers. Zoals deze definities laten zien, brengt de verbinding tussen protocollen, poorten en afwijkende standaarden een mogelijk risico met zich mee van ‘conflicterende interessen’.



77

Hoe het werkt



78

De DLL (Dynamic Link Library) niphk.dll wordt ingevoegd in alle toepassingen die worden uitgevoerd en kan alle Winsockverkeer controleren/scannen. Winsock, dat wordt besproken op pagina 74, handelt I/O-aanvragen af van internettoepassingen op het Windows-platform. De huidige versie van NIP ondersteunt drie protocollen: POP3 (inkomende e-mail), SMTP (uitgaande e-mail) en NNTP (nieuwsgroepen). Wanneer niphk.dll een bewerking waarneemt die gebruikmaakt van een van deze protocollen, wordt nip.exe aangeroepen om een scan uit te voeren. Er is bijvoorbeeld een inkomend e-mailbericht met bijlagen op poort 110. NIP spoolt (tijdelijk opslaan) op de vaste schijf waarop het scannen wordt uitgevoerd. Als NIP echter niet is geconfigureerd om inkomende e-mail op poort 110 te controleren, worden alle activiteiten op deze poort genegeerd. NIP refereert aan de standaardpoorten voor het verkeer dat wordt gecontroleerd. Wanneer u andere toepassingen hebt geïnstalleerd die andere poorten gebruiken voor hetzelfde type verkeer, moet u dit mogelijk opnemen in de configuratie.

NIP inschakelen Opmerking:De rechten die zijn gedefinieerd in default.ndf bepalen welke wijzigingen een gebruiker kan doorvoeren in de lokale installatie. Als u deze module wilt installeren, gaat u naar het tabblad Installeren in Norman Virus Control|Onderdelen in de Configuratie-editor (zie pagina 50). Selecteer Norman Internet Protection in de lijst en klik op Opslaan. Na enkele seconden wordt Norman Internet Protection weergegeven als een afzonderlijk item op het tabblad Start. Selecteer dit item opnieuw en klik op Opslaan. U moet wellicht de Configuratie-editor afsluiten en opnieuw starten om de NIP-opties te kunnen configureren. Schakel het selectievakje uit en klik op Opslaan om NIP te stoppen.



79

Virusscan Gedownloade bestanden worden tijdelijk opgeslagen op de vaste schijf van de client en worden gescand op virussen voordat de gebruiker er beschikking over krijgt. NVC zal proberen geïnfecteerde bestanden op te schonen voordat deze worden verwijderd of in quarantaine worden geplaatst. Soms komt opschonen op hetzelfde neer als verwijderen, bijvoorbeeld bij trojans, waarbij het gehele bestand de malware vormt. Opmerking:Een kopie van het verwijderde of geblokkeerde bestand wordt standaard in quarantaine geplaatst.

Vervangen inhoud in e-mailberichten Als uw e-mailclient op de hoogte wordt gesteld van een nieuw emailbericht en NVC dit verwijdert omdat het geïnfecteerd is, zal uw e-mailprogramma een bepaalde reactie laten zien als de aangemelde e-mail niet aankomt. NVC stuurt alle e-mail door die aan het opschonen van virussen is blootgesteld. U kunt dan nog steeds zien wie het bericht in eerste instantie heeft gestuurd. Het bericht wordt dan vergezeld door een verklarende tekst. NVC heeft bijvoorbeeld een met een e-mailbericht meegestuurd Word-bestand opgeschoond voordat het bericht naar de ontvanger is gestuurd. Boven aan de tekst van het bericht staat bijvoorbeeld:

Norman Virus Control heeft de bijlage Inventaris.doc opgeschoond, omdat deze het virus W97M/Claud.A bevatte. Als er andere malware wordt aangetroffen, wordt een vergelijkbare tekst met de betreffende informatie weergegeven. Opmerking:Verwar dergelijke berichten NIET met emailwaarschuwingen die u van andere antivirussoftware krijgt, waarin wordt vermeld dat uw computer een virus aan het verspreiden is. De vervangende tekst van NVC toont alleen aan dat NVC zijn werk heeft gedaan en dat u niets te vrezen hebt. Het e-mailprogramma ontvangt gewoon het verwachte bericht, terwijl de gebruiker kan zien dat NVC zijn werk gedaan heeft en de geïnfecteerde inhoud onschadelijk heeft gemaakt. Copyright © 1990-2005 Norman


80

NIP configureren NIP bestaat uit drie dialoogvensters. Hierin kunt u bepalen welke onderdelen moeten worden gescand, bijlagen algemeen of specifiek blokkeren, waarschuwingsberichten verzenden wanneer virussen worden aangetroffen en poortnummers definiëren voor de bijbehorende protocollen.

Scannen

Selecteer welke elementen van het internetverkeer u wilt scannen. De standaardinstelling is alles scannen.

Internetverkeer scannen Uitgaande e-mail (SMTP) Scant alle e-mailberichten die worden verzonden vanaf uw computer. Als uw computer is geïnfecteerd door malware waarvan u niet zich niet bewust bent, kunt u bijvoorbeeld Copyright © 1990-2005 Norman


81

ongewild geïnfecteerde e-mailberichten verzenden naar kennissen en zakenrelaties. Inkomende e-mail (POP3) Scant alle e-mailberichten die u ontvangt van anderen. Ook hier geldt dat zelfs uw beste vriend of zakenrelatie zich niet bewust kan zijn van een virusinfectie. Nieuwsgroepen (NNTP) Scant al het verkeer dat wordt gegenereerd tussen uw computer en de andere deelnemers in de groep of het forum waarin u actief bent. Zie ‘Definities’ op pagina 74 voor meer informatie over dit onderwerp.

Instant Messenger (inkomende) Scant verkeer van bestandsoverdrachten tijdens instant messaging-sessies met MSN Messenger en MSN Messenger en Windows Messenger. Wanneer u deze optie selecteert, worden binnenkomende bestanden op malware gescand. Als een bestand besmet is, wordt een waarschuwing gegeven over het incident. Alleen bestandstransmissies worden gescand, dus vormen besmette links nog steeds een bedreiging. Let op: de bestanden die worden verzonden, worden gescand wanneer ze worden opgeslagen in de directory ...\Temporary Internet Files. Als er malware wordt aangetroffen, is het waarschijnlijk een .tmp-bestand dat in quarantaine is gezet. Als u een .tmp-bestand uit quarantaine wilt halen, selecteert u het gewenste bestand, klikt u op de rechtermuisknop en selecteert u Opslaan als. Sla het bestand op met dezelfde naam en extensie. Zie ‘Quarantaine’ op pagina 88.

SandBox Gebruiken van SandBox NVC gebruikt de SandBox-functie om nieuwe, onbekende virussen op te sporen. Selecteer deze optie als u wilt dat NVC naar nieuwe virusvarianten zoekt. SandBox is met name ontworpen voor de detectie van nieuwe wormen via e-mail, op Copyright © 1990-2005 Norman


82

het netwerk en in peer-to-peer-omgevingen, en bestandsvirussen. Bovendien komt het programma in actie tegen onbekende gevaren voor de beveiliging. Als nieuwe kwaadaardige code wordt gedetecteerd, ontvangt de systeembeheerder via het berichtgevingssysteem van NVC een bericht met de belangrijkste informatie. (Zie pagina 120 voor een voorbeeld.) Wanneer deze optie is geselecteerd, vergt het scannen meer tijd. Dit is echter van minimale invloed op de prestaties. Raadpleeg ‘Bijlage A - SandBox’ op pagina 118 voor meer informatie over SandBox.

Bijlageblokkering U kunt bijvoorbeeld bijlagen blokkeren door de exacte bestandsnaam op te geven of bestanden met bepaalde extensies. Deze functie is met name handig als er sprake is van emailwormen en de worm kan worden geïdentificeerd op naam. Bijlageblokkering is ook handig als u bestandstypen wilt tegenhouden die u niet in uw postvak wilt ontvangen. Wanneer NIP een bijlage blokkeert, wordt de bijlage verplaatst naar het quarantainegebied in plaats van verwijderd. Dit dient als backup voor het geval dat de bijlage toch legitiem is. In het quarantainegebied kan de bijlage in ieder geval geen schade aanbrengen. Wanneer u bijvoorbeeld hebt opgegeven dat alle uitvoerbare bestanden (*.exe) moeten worden geblokkeerd, is het geruststellend te weten dat u een bestand kunt herstellen dat u toch nodig blijkt te hebben.



83

Alle bijlagen blokkeren Alle bijlagen worden geblokkeerd. Bijlagen met dubbele extensies blokkeren Veel wormen en e-mailvirussen passen een techniek toe waarbij een extra extensie wordt toegevoegd, bijvoorbeeld .jpg.vbs. De meeste e-mailclients zullen de laatste extensie verbergen zodat het lijkt of de bijlage slechts de extensie .jpg heeft. Deze functie wordt echter niet alleen door virussen gebruikt. Legitieme bestanden met namen als toepassing.hlp.zip en doelijst 20.dec.doc worden ook behandeld als dubbele extensies. CLSID-extensies blokkeren Sommige recente wormen en e-mailvirussen passen een CLSIDtechniek toe om e-mailscanners om de tuin te leiden en software te blokkeren. Zij profiteren van een functie in Windows waarmee een exe-extensie kan worden vervangen door een {…}-extensie Copyright © 1990-2005 Norman


84

waardoor het blokkeren van exe-bestanden wordt omzeild. Aangezien er voor legitieme bijlagen geen reden is om dit type extensie te gebruiken, wordt dit standaard geblokkeerd. Gecodeerde bijlagen blokkeren Afhankelijk van de functies die u gebruikt, is het vaak moeilijker om gecomprimeerde en gecodeerde bestanden op virussen te scannen dan gewone bijlagen. Daarom biedt NIP de mogelijkheid om dergelijke bijlagen helemaal te blokkeren. Bijlagelijst Gebruik deze functie om bijlagen die u wilt blokkeren of accepteren expliciet te selecteren. U kunt de exacte naam van een bijlage invoeren of gebruikmaken van het jokerteken (*) om bepaalde extensies te blokkeren. Als u bijvoorbeeld alle exebestanden wilt blokkeren, klikt u op Toevoegen en voert u *.exe in. Klik op OK. De gegevens worden weergegeven in de lijst. U kunt de vermelding later bewerken of verwijderen. Alle onderstaande bijlagen blokkeren Alle namen die u aan de lijst toevoegt, worden geblokkeerd. Voer een specifieke naam in of maak gebruik van het jokerteken (*) om bijlagen op te geven die moeten worden geblokkeerd. Alle bijlagen blokkeren, behalve onderstaande bijlagen Alle namen die u aan de lijst toevoegt, worden geaccepteerd. Voer een specifieke naam in of maak gebruik van het jokerteken (*) om bijlagen op te geven die moeten worden geaccepteerd. Opmerking:Het is van groot belang dat u onderscheid maakt tussen deze twee opties, aangezien deze twee uitersten vertegenwoordigen: alles op de lijst blokkeren of alles op de lijst accepteren.

Aanbevelingen De onderstaande lijst met extensies is niet statisch en zal worden aangepast om de recentste virus- en malware-bedreigingen aan te geven. U kunt deze aanbevelingen gebruiken als u Alle onderstaande bijlagen blokkeren hebt geselecteerd.



85

Beveiligingsniveau: gemiddeld Voeg de volgende extensies toe aan de lijst met bestanden die u wilt blokkeren: *.BAT *.EXE *.JS *.REG *.VBS *.SH

*.CHM *.HLP *.JSE *.SCR *.WSC *.CLA

*.CMD *.HTA *.LNK *.SHS *.WSH *.PI

*.COM *.HTM *.MSI *.SWF *.URL *.DLL

*.CPL *.INF *.PIF *.VBE *.PL

Beveiligingsniveau: hoog Selecteer de optie Alle bijlagen blokkeren, behalve onderstaande bijlagen. Als u een hoog beveiligingsniveau kiest, moet u voorzichtig zijn bij het gebruik van de functie Toevoegen bij de lijst die aangeeft welke bestanden u accepteert. Op basis van het type bestanden dat u gewoonlijk ontvangt of uitwisselt, hebt u waarschijnlijk goed inzicht in de bestandstypen die u kunt opnemen in de lijst. Opmerking:vergeet niet dat een kopie van een geblokkeerde bijlage in quarantaine wordt geplaatst en niet geheel wordt verwijderd. U kunt een ten onrechte geblokkeerd bestand dus altijd herstellen. Als u toch bijvoorbeeld geldige exe-bestanden wilt uitwisselen met uw e-mailrelaties en u niet wilt dat NIP deze blokkeert, moeten deze bijlagen worden gecodeerd of uitgewisseld in gecomprimeerde opmaak, zoals *.zip. Tekenreeks In dit veld kunt u bestandsnamen opgeven die moeten worden geblokkeerd. Het jokerteken (*) is toegestaan voor het blokkeren van opgegeven extensies. Het jokerteken is alleen toegestaan voor bestandsnamen, dus *.vbs. Voor de gemiddelde gebruiker zijn bestandstypen zoals .vbs, .pif of .lnk niet van essentieel belang. U moet ook overwegen extensies/ bestandstypen zoals .exe, .com en .bat te blokkeren, deze vormen ook een potentieel risico voor virusinfecties.



86

In dit veld kunt u ook specifieke bijlagen blokkeren met namen waarvan bekend is dat deze virussen bevatten, bijvoorbeeld AnnaKournikova.jpg.vbs. In theorie kunt u een virus blokkeren voordat bijgewerkte virusdefinitiebestanden door de leverancier worden vrijgegeven. Opmerking:Outlook 2002 bevat ook functionaliteit voor het blokkeren van bijlagen. Deze wordt toegepast nadat de bijlagen zijn gecontroleerd door NIP.

Geavanceerd Tussen de vele protocollen voor communicatie tussen computers zijn er een aantal die van groot belang zijn voor internetverkeer. In verband met standaardisering maken protocollen gebruik van vooraf toegewezen poortnummers.

Poortnummers In het dialoogvenster Scannen op pagina 80 hebt u geselecteerd welke elementen van het internetverkeer u wilt scannen. In dit dialoogvenster vindt u de protocollen die worden gebruikt voor Copyright © 1990-2005 Norman


87

bijvoorbeeld het verzenden en ontvangen van e-mail en de bijbehorende, vooraf toegewezen standaardpoortnummers op de computer. U hebt mogelijk andere poortnummers toegewezen aan een of een aantal van de ondersteunde protocollen die hier worden gegeven. Als dit het geval is, moet u hier de werkelijke poortnummers invoeren voor de betreffende protocollen. De onderstaande protocollen worden op dit moment ondersteund. Deze lijst wordt waarschijnlijk telkens wanneer dat nodig is bijgewerkt. U vindt hier ook de complete namen die horen bij de afkortingen. De poortnummers en functies zijn al aangegeven in het dialoogvenster: • SMTP (poort 25) is de afkorting van Simple Mail Transport Protocol • POP (poort 110) is de afkorting van Post Office Protocol • NNTP (poort 119) is de afkorting van Network News Transfer Protocol


Norman Quarantaine

88

Norman Quarantaine Quarantaine

Op dit tabblad geeft u aan hoe moet worden omgegaan met bestanden die door NVC zijn geïdentificeerd als geïnfecteerd of als op een andere manier verdacht. Als u dergelijke bestanden niet opschoont of verwijdert, wordt u aangeraden deze te isoleren in een speciaal aangewezen gebied, een quarantainegebied. Alle Norman-producten die u vervolgens aan uw bestaande installatie toevoegt, delen deze quarantainefunctie en gebruiken dezelfde opties die u hier opgeeft. Op die manier kunt u een uniforme quarantainestrategie hanteren.


Norman Quarantaine

89

Eigenschappen Min. tijd om bestand in quarantaine te houden: Geef een periode op van één dag tot één week. Bestanden die nieuwer zijn dan het opgegeven minimum, worden niet verwijderd. Max. tijd om bestand in quarantaine te houden: Geef een periode op van één tot vier weken. Bestanden die ouder zijn dan het opgegeven maximum, worden zonder waarschuwing verwijderd. Max. grootte van quarantaine (% van partitie): Geef aan hoeveel schijfruimte van de huidige partitie door quarantainebestanden in beslag mag worden genomen. De maximumgrootte kan worden overschreden wanneer quarantainebestanden de opgegeven minimumtijd nog niet hebben bereikt. Opties Reservekopieën in quarantaine maken voor reparatie Voordat NVC een geïnfecteerd bestand repareert, kunt u een reservekopie van dit bestand maken. In het algemeen brengt het repareren van een bestand slechts een klein risico met zich mee. Onherstelbare bestanden in quarantaine plaatsen Als NVC een bestand niet kan repareren, kunt u ervoor kiezen deze geïnfecteerde bestanden in quarantaine te plaatsen. Om veiligheidsredenen kan NVC onafhankelijk van uw instellingen onherstelbare bestanden in quarantaine plaatsen. Opmerking:Onafhankelijk van uw keuze zal NVC onherstelbare bestanden in quarantaine plaatsen als u Nieuwe of gewijzigde bestanden scannen hebt geselecteerd in de module On-access scanner (services en externe gebruikers) (pagina 63). De reden hiervoor is dat de optie om nieuwe en gewijzigde bestanden te scannen een strategie vertegenwoordigt die een virusvrije omgeving vereist. Als het herstellen mislukt, mag het geïnfecteerde bestand zich daarom niet op de computer bevinden.


NVC op Windows Terminal Server

90

NVC op Windows Terminal Server In een Terminal Services-omgeving van Windows NT of Windows 2000 kunnen gebruikers via Terminal Services-clients verbinding maken met de server. Door gebruik te maken van deze configuratie voeren de Terminal Services-clients toepassingen niet lokaal uit, maar zijn ze voor de uitvoering van de toepassingen die ze gebruiken afhankelijk van de server. De server wijst aan elke gebruiker die zich aanmeldt een schermweergave toe en voert toepassingen uit voor de gebruiker. Hierdoor wordt het eenvoudiger voor de beheerder om bestanden en toepassingen te onderhouden in een omgeving met meerdere gebruikers. Het bijkomende voordeel van NVC is dat een systeembeheerder NVC op eenvoudige wijze kan configureren. Tijdens on-access scannen voor Terminal Server-clientsessies maakt NVC altijd gebruik van de configuratie voor services en externe gebruikers (ofwel serverconfiguratie). Dit betekent dat er geen dialoogvenster met een viruswaarschuwing op de Terminal Server wordt weergegeven wanneer een virus is aangetroffen. Op de Terminal Server-client wordt echter een berichtvenster weergegeven dat er als volgt uitziet:

Dit bericht is zuiver informatief. De Terminal Server-client mag het gedrag of de configuratie van de scanner niet wijzigen. De standaardinstelling voor de configuratie voor services en externe gebruikers is alleen scannen van gewijzigde of nieuwe bestanden. On-access scannen heeft daarom geen gevolgen voor Copyright © 1990-2005 Norman

NVC op Windows Terminal Server

91

de bestanden die worden gelezen of uitgevoerd vanaf een Terminal Server-client. Aan de NVC-berichtenconsole van de beheerder is het volgende bericht toegevoegd:

De naam van de aangemelde Terminal-client en de computer van de Terminal-client worden toegevoegd aan de viruswaarschuwing. In het bovenstaande voorbeeld veroorzaakte gebruiker PetterN op computer NT2000PRO-BLI de viruswaarschuwing op Terminal Server W2KTSRV. NVC on-demand scannen blijft mogelijk vanuit elke Terminalsessie. In dat opzicht verschilt de functionaliteit niet van ondemand scannen in een andere configuratie.


Taak-editor

92

Taak-editor Soms is het handig om taken te definiëren die meerdere keren en/ of met regelmatige tussenpozen moeten worden uitgevoerd. Het scannen op virussen is een goed voorbeeld van een taak die regelmatig moet worden uitgevoerd en de Taak-editor is het hulpmiddel dat NVC voor dit doel biedt.

U kunt een taakbestand maken voor scans die u regelmatig wilt uitvoeren, of voor speciale scans die u in bepaalde situaties wilt uitvoeren. Als u bijvoorbeeld bestanden vanaf het internet downloadt naar speciaal aangewezen gebieden, kunt u een taakbestand maken dat alleen deze gebieden scant en deze taak na het downloaden handmatig uitvoeren. U kunt de taak ook op een vooraf ingesteld tijdstip uitvoeren.


Taak-editor

93

Systeembeheerders kunnen taakbestanden maken en deze naar alle werkstations in het netwerk distribueren om er zeker van te zijn dat gebieden die speciale aandacht nodig hebben, consistent worden gecontroleerd. De standaardlocatie voor het opslaan van taakbestanden is ...\nvc\tasks. Via NVC Utilities kunt u de taakbestanden weergeven, bewerken, uitvoeren en verwijderen (zie pagina 99). De volgende delen beschrijven de vier tabbladen van de Taakeditor.

Algemeen Gebruik het vak Beschrijving op het tabblad Algemeen om een korte beschrijving van de taak in te voeren. Als u verschillende taken maakt, kan de beschrijving in een later stadium van pas komen. U kunt dan namelijk zien waarom u een bepaalde taak destijds hebt gemaakt, bijvoorbeeld als reactie op een bepaald incident. Vanuit Utilities|Taakbestanden kunt u de complete lijst met bestaande taakbestanden weergeven. ‘Utilities’ op pagina 99.

Doelen Op dit tabblad geeft u aan welke gebieden u wilt scannen, hoe de scan moet worden uitgevoerd en hoe uw selecties in een taakbestand moeten worden opgeslagen. Dit tabblad bestaat uit twee delen. Het eerste deel is voor grotere entiteiten, zoals meerdere vaste schijven, en het tweede deel is voor meer specifieke scandoelen. Binnen een enkel taakbestand kan geen selectie uit het eerste deel worden gecombineerd met een selectie uit het tweede deel. U kunt bijvoorbeeld niet alle verwisselbare media en een specifieke map op een vaste schijf selecteren.


Taak-editor

94

Doelen selecteren Voor beide delen van dit tabblad moet u de volgende procedure volgen om gebieden voor scans op te nemen en om uw selectie(s) in een taakbestand op te slaan: 1.

Klik op het keuzerondje

om het deel waaruit u wilt

selecteren te activeren. 2.

Klik op gebieden die u in de scan wilt opnemen. Binnen ieder deel kunnen verschillende gebieden voor scannen worden opgenomen.

3.

Als u specifieke stations en mappen selecteert, worden alle submappen onder het geselecteerde station of de geselecteerde map automatisch geselecteerd. U kunt de optie uitschakelen voor submappen die u niet wilt gebruiken.

4.

Wanneer u klaar bent, klikt u op Opslaan om uw selecties in een taakbestand op te slaan. Het taakbestand wordt standaard opgeslagen in ...\nvc\tasks.

Opmerking:Wanneer u een taakbestand plant, moet dit bestand zich in de directory ...\nvc\tasks bevinden. 5.

Om een bestaand taakbestand te wijzigen, klikt u op Openen en selecteert u het betreffende bestand in het dialoogvenster Openen. Voer de gewenste wijzigingen door en klik op Opslaan.

Computeronafhankelijke doelen selecteren

In een enkel taakbestand kunt u één, twee of alle opties kiezen.


Taak-editor

95

Alle verwisselbare media Selecteert alle diskettestations, cd-romstations en andere stations voor verwisselbare media die op het systeem beschikbaar zijn. Alle vaste schijven Selecteert alle lokale vaste-schijfstations op het systeem. Alle netwerkstations Selecteert alle netwerkstations die bij het systeem bekend zijn. Specifieke stations en mappen selecteren

Wanneer u bijvoorbeeld een station selecteert, worden alle mappen en submappen onder het desbetreffende station automatisch geselecteerd voor de scan. Op dezelfde manier worden, wanneer u een map of submap selecteert, alle mappen onder de geselecteerde map opgenomen. Om een submap uit te sluiten van scannen, klikt u op de submap om de selectie van deze map ongedaan te maken.

Algemene scanopties Onder aan de pagina bevindt zich een algemene set scanopties onder Acties: Submappen scannen Als u een of meer stations of directory’s hebt geselecteerd, kiest u deze optie om submappen in de scan op te nemen.


Taak-editor

96

Archieven scannen Selecteer deze optie om gearchiveerde bestanden in de scan op te nemen. Momenteel worden de volgende indelingen ondersteund: ZIP, ARJ, RAR, ACE, ARC, GZIP, TAR en BZIP2. Geheugen scannen Wanneer u het geheugengebied scant, zoekt NVC naar residente virussen. U moet altijd controleren of het geheugen geen virussen bevat. Bootsectoren scannen Wanneer u deze optie selecteert, controleert NVC de bootsector van de gebieden die worden gescand.

Opties Gebruik dit tabblad om aan te geven hoe zichtbaar NVC tijdens een scan moet zijn en hoeveel systeembronnen u aan NVC beschikbaar wilt stellen. Scan-venster: Automatisch: Verborgen tot opschonen mislukt Geeft NVC opdracht in onzichtbare modus te werken. NVC wordt alleen zichtbaar wanneer een virus is aangetroffen dat niet kan worden opgeschoond. Houd rekening met het feit dat het lastig kan zijn een taak te annuleren die in onzichtbare modus wordt uitgevoerd. Dit is wellicht een handige tip voor een systeembeheerder die geplande taken op het juiste moment wil uitvoeren, en een waarschuwing voor individuele gebruikers die misschien moeite hebben met het annuleren van een scan die wordt uitgevoerd. Een geplande taak start automatisch wanneer deze optie is geselecteerd. Automatisch: Geminimaliseerd tot opschonen mislukt Zorgt ervoor dat NVC in een geminimaliseerd venster wordt uitgevoerd. NVC wordt alleen zichtbaar wanneer een virus is aangetroffen dat niet kan worden opgeschoond. Een geplande taak start automatisch wanneer deze optie is geselecteerd.


Taak-editor

97

Automatisch: Geminimaliseerd tot infectie is gevonden Zorgt ervoor dat NVC in een geminimaliseerd venster wordt uitgevoerd. NVC wordt alleen zichtbaar wanneer een virus is aangetroffen. Een geplande taak start automatisch wanneer deze optie is geselecteerd. Handmatig starten: normaal venster Zorgt ervoor dat NVC tijdens het scannen in een geopend venster wordt uitgevoerd. Wanneer u een scan plant terwijl deze optie is geselecteerd, wordt op het geplande tijdstip het dialoogvenster voor de scan weergegeven en moet u de scan handmatig starten door op Scannen te klikken. Gebruik van bronnen: Onder normale bedrijfsomstandigheden komt het zelden voor dat een computer zo weinig interne bronnen over heeft dat het besturingssysteem taken op een prioriteitslijst moet plaatsen. Mocht een dergelijke situatie zich desondanks voordoen, dan moet een taak van NVC wachten totdat er weer systeembronnen vrij zijn wanneer u Laag selecteert. Wanneer u Normaal selecteert, wordt de NVC-taak gewoon tussen de andere taken geplaatst die wachten op uitvoering. Houd rekening met het feit dat het effect van de keuze voor Laag in plaats van Normaal afhankelijk is van het besturingssysteem van de computer.

tijdschema Wanneer u een taakbestand hebt ingesteld met de tabbladen die in dit hoofdstuk zijn beschreven, wilt u mogelijk een taak plannen voor herhaaldelijke scans op uw computer. Geplande taak Zorg ervoor dat u deze optie kiest wanneer u de planner wilt gebruiken. De twee vereisten om een geplande taak te kunnen uitvoeren zijn: 1) De optie Geplande taak moet zijn ingeschakeld, en 2) Het taakbestand moet zich in de directory ...\nvc\tasks bevinden.


Taak-editor

98

Frequentie De volgende stap is beslissen wanneer de taak moet worden uitgevoerd. Hierbij kunt u uit verschillende intervallen kiezen, variërend van Eén keer tot Elke maand. Begindatum/tijd: Geef de dag, de maand en het jaar op waarop de geplande taak voor het eerst moet worden uitgevoerd. Gebruik de pijltoetsen op het toetsenbord (of klik op de pijlen in het vak) om de datum te wijzigen. U kunt datum, maand en jaar markeren en de waarden wijzigen door op de toetsen te drukken. De dag van de week wordt automatisch aangepast aan de geselecteerde datum. UTC (Universal Time Coordinated) Deze optie is bedoeld voor bedrijven met vestigingen over de hele wereld die gelijktijdig scans willen uitvoeren, onafhankelijk van de plaatselijke tijd.

De planner De belangrijkste doelstelling van de planner is het uitvoeren van taakbestanden op een vastgesteld tijdstip. Een taakbestand kan worden gepland om dagelijks, wekelijks, maandelijks of slechts één keer te worden uitgevoerd. U moet een begindatum en -tijd invoeren; de standaardwaarden zijn de huidige datum en tijd. Voor bedrijven met vestigingen in verschillende tijdzones, zorgt de functie UTC (universele tijdcoördinaten) ervoor dat een taak gelijktijdig kan worden uitgevoerd, onafhankelijk van tijdzones. De planner zoekt altijd in de subdirectory ‘tasks’ met taken naar geplande opdrachten en dus moet de structuur ...\nvc\tasks worden gehandhaafd om een geplande taak te kunnen uitvoeren.


Utilities

99

Utilities NVC Utilities is een hulpmiddel dat een overzicht geeft van de huidige stand van zaken voor de NVC-onderdelen op uw pc. Naast het bekijken van belangrijke informatie kunt u bepaalde elementen wijzigen door items te selecteren, bijvoorbeeld taakbestanden. U kunt de module Utilities openen vanuit het menu Norman onder de groene ‘N’ in de systeemwerkbalk of vanuit Start|Programma's|Norman Virus Control. In deze versie bestaat de module Utilities uit drie hoofdcategorieën: •

Taakbestanden

•

Quarantaine

•

Berichten

Taakbestanden Wanneer u met NVC Taak-editor een taakbestand maakt, wordt dit bestand standaard opgeslagen in ...\nvc\tasks. Opmerking:Als u een taak wilt plannen, moet het taakbestand zich in deze directory bevinden. U kunt bijvoorbeeld Windows Verkenner of Taak-editor gebruiken om deze directory weer te geven. Het meest flexibele hulpmiddel is echter het huidige dialoogvenster, dat u in staat stelt taakbestanden op verschillende manieren weer te geven, te bewerken, te maken en te openen. Hiernaast wordt de status van al uw taakbestanden in een enkel dialoogvenster weergegeven. U kunt taakbestanden vanaf de commando-regel uitvoeren. Hierbij wordt de On-demand scanner gestart en wordt een specifieke taak vanaf de commando-regel uitgevoerd. Dit is voor de gebruiker onzichtbaar. Zie ‘Taakbestanden uitvoeren vanaf de commando-regel’ op pagina 112.


Utilities

100

Velden in het dialoogvenster Taakbestanden Taakbestand Geeft de naam van het taakbestand weer. Tijdschema Geeft aan of het taakbestand is gepland en met welke intervallen. Volgende keer uitvoeren Geeft aan op welke dag, in welke maand en op welk tijdstip het taakbestand de volgende keer wordt uitgevoerd. Als de taak niet is gepland, is dit veld leeg. Laatst uitgevoerd Geeft de laatste keer weer dat het taakbestand met succes werd uitgevoerd. Als de taak niet is gepland, is dit veld leeg.

Opties voor rechtsklikken U kunt één item per keer selecteren, met de rechtermuisknop klikken en uit het volgende menu kiezen:

Nieuw Opent Taak-editor waarin u een nieuw taakbestand kunt maken. Openen met Taak-editor Opent het taakbestand in Taak-editor. Stelt u in staat wijzigingen door te voeren in het huidige bestand. Openen met scanner Opent het taakbestand in de scanner. Stelt u in staat het geselecteerde taakbestand onmiddellijk uit te voeren. Verwijderen Verwijdert het geselecteerde bestand.


Utilities

101

Quarantaine Als u de quarantaineopties in de module Algemene instellingen hebt ingeschakeld (‘Quarantaine’ op pagina 88), worden bestanden die voor quarantaine in aanmerking komen in dit dialoogvenster weergegeven. Deze bestanden zijn geïnfecteerd, hebben een onbekende indeling of zijn door Norman Internet Protection (NIP) geblokkeerd. Zie ‘Bijlageblokkering’ op pagina 82. Velden in het dialoogvenster Quarantaine Bestand in quarantaine Geeft het pad (indien van toepassing) en de bestandsnaam weer van het bestand dat in quarantaine is. Soms kan geen pad worden weergegeven, bijvoorbeeld bij e-mailbijlagen die altijd worden gecontroleerd in een tijdelijk gebied van de schijf. Datum Geeft de datum weer waarop het bestand in quarantaine werd geplaatst. Grootte Geeft de grootte van het bestand in quarantaine weer. Diagnostische melding Geeft de status van het bestand weer. De volgende diagnostische meldingen zijn mogelijk: Geïnfecteerd, Onbekend.

Opties voor rechtsklikken U kunt één item per keer selecteren, met de rechtermuisknop klikken en uit het volgende menu kiezen:

Herstellen Herstelt het bestand in de oorspronkelijke vorm en oorspronkelijke map. Bij e-mailbijlagen wordt slechts één


Utilities

102

bestandsnaam weergegeven en moet u de optie Opslaan als gebruiken. Opslaan als Sla het bestand op met de gewenste naam en locatie. Verwijderen Verwijdert het gehele bestand.

Berichten Berichten, tabblad Als u de berichtenservice hebt ingeschakeld (zie ‘Berichtenlogboek’ op pagina 35), worden de berichttypen die u daar hebt geselecteerd, weergegeven op dit tabblad. U kunt deze berichten vanaf deze plaats bekijken en bewerken. Selecteer een item in de lijst en klik met de rechtermuisknop.


Utilities

103

Velden op het tabblad Berichten Type Beschrijving van het berichttype/de berichtcategorie in combinatie met een pictogram dat het type/de zwaarte aangeeft. De items die kunnen worden weergegeven, zijn de berichttypen die in het Berichtenlogboek zijn opgegeven. Oorsprong Het IP-adres van de computer die het bericht heeft gegenereerd. Tijdstempel Jaar/maand/dag en uren/minuten/seconden waarop het incident optrad waardoor het bericht werd veroorzaakt. Bericht Trefwoord met betrekking tot het incident, bijvoorbeeld ‘Virus’, ‘Verbonden’, enzovoort. Informatie Beschrijvende tekst over het berichtitem.

Opties voor rechtsklikken: Details Geeft een dialoogvenster weer met informatie over de oorsprong van het bericht, een identificatie van het bericht en een tekstvak voor verdere informatie. Alles selecteren Selecteert alle berichten of items voor het opslaan of weergeven van details, verwijderen, enzovoort. Opslaan als Slaat een of meer items op met een naam die u zelf kunt opgeven. Als u een of meer items opslaat, hebt u op ieder gewenst moment toegang tot deze items vanaf het volgende tabblad, Berichtenbestanden. Opgeslagen berichtitems krijgen de bestandsextensie .nps. Opslaan als tekst Slaat de geselecteerde items op in een tekstbestand met een naam die u zelf kunt opgeven.


Utilities

104

Verwijderen Verwijdert het item. Wie is aangemeld? Verzendt het bericht.

Het tabblad Berichtenbestanden Als u een of meer berichtitems als bestanden hebt opgeslagen met de functie Opslaan als op het tabblad Berichten, dan moet u deze openen op het tabblad Berichtenbestanden. De velden op het tabblad zijn identiek aan de velden op het tabblad Berichten.

Opties voor rechtsklikken

De opties voor rechtsklikken zijn identiek aan de opties op het tabblad Berichten, met uitzondering van: Openen Plaats de cursor in het lege tekstvak, klik met de rechtermuisknop en kies Openen om het dialoogvenster Openen weer te geven. U ziet alle opgeslagen bestanden (bestandstype .nps) in de standaarddirectory ...\norman\msg.


NVC bijwerken

105

NVC bijwerken Een virusscanner is zo effectief als de recentste update. Het verkrijgen van regelmatige updates is dus van essentieel belang voor het onderhouden van een veilige computeromgeving. Voor personen die NVC niet bijwerken door Norman Program Manager (NPM) updates te laten distribueren in een lokaal netwerk, is Internet-update (IU) de alternatieve methode. Internet-update is een programma waarmee wordt gewaarborgd dat u de meest recente versie van NVC voor uw platform gebruikt. Dit gebeurt door de servers van Norman te controleren op eventuele wijzigingen in NVC. Dit kunnen bijvoorbeeld feitelijke wijzigingen in het programma zijn, oplossingen voor bugs, een nieuwe scan-engine of bijgewerkte definitiebestanden. Wanneer u IU uitvoert, vergelijkt het programma de NVConderdelen die op de computer zijn geïnstalleerd met de overeenkomstige versies op de productserver van Norman. Als het tijdstempel verschilt, krijgt u het aanbod de updates te downloaden. In theorie kan het volledige programma zijn gewijzigd en zou dus moeten worden gedownload. Internet-update wordt als een afzonderlijk item in de Normangroep weergegeven. Om IU uit te voeren, hebt u een TCP/IP (internet)-verbinding nodig. IU kan door individuele gebruikers worden gebruikt om updates direct naar hun lokale computer te downloaden. IU kan ook worden gebruikt door systeembeheerders die updates naar een server downloaden en de bijgewerkte pakketten door NPM naar alle werkstations in het netwerk laten distribueren.

Norman Internet-update Internet-update starten U start Internet-update door Start|Programma’s|Norman Virus Control|Internet-update te kiezen. U kunt ook Internet-update


NVC bijwerken

106

selecteren in het menu dat wordt weergegeven wanneer u op het Norman-pictogram in de systeemwerkbalk klikt (rechts onder aan het beeldscherm). Klik met de rechtermuisknop op het bureaublad en selecteer Norman Virus Control.

Internet-update en internetverbinding Om IU uit te voeren, hebt u een TCP/IP (internet)-verbinding nodig. Geef in de Configuratie-editor op hoe u via het internet wilt updaten. Dit wordt uitgelegd op pagina 26. Als u Bij directe verbinding op gespecificeerde tijdstippen inschakelt en vervolgens op de knop Specificeren klikt, kunt u opgeven hoe vaak moet worden gecontroleerd of er updates zijn:

De optie Alleen on-demand (handmatig starten) is volledig gebaseerd op handmatige actie van de gebruiker. Onthoud dat u IU op ieder gewenst interval kunt starten en dat u er niet aan wordt herinnerd het programma uit te voeren. Een uitzondering op deze regel is wanneer de definitiebestanden meer dan twee maanden oud zijn. De optie Dagelijks bij inbellen (wacht op verbinding) zorgt ervoor dat IU één keer per dag controleert of er updates zijn. Deze controle wordt uitgevoerd wanneer er een inbelverbinding met het internet tot stand is gebracht. Als u over een directe verbinding met het internet beschikt (huurlijn of kabelmodem), kunt u de optie Bij directe verbinding op gespecificeerde tijdstippen kiezen. Hierdoor Copyright © 1990-2005 Norman

NVC bijwerken

107

kunt u plannen wanneer IU moet worden uitgevoerd en NVCupdates eventueel integreren met andere geplande taken. Zie het begin van deze pagina. Met andere woorden, met de laatste twee opties beschikt u over een geautomatiseerd proces voor het bijwerken van NVC via Internet-update. Opmerking:Als de computer waarnaar u downloadt door een firewall is beschermd, moet u mogelijk het adres en de poort invoeren van de HTTP-proxy van de firewall. Zie de proxy-serverinstellingen op pagina 30.

Hoe werkt Internet-update? Met uitzondering van de optie On-demand die op handmatige invoer is gebaseerd, start IU in ‘verborgen modus’. Dit houdt in dat u niets ziet totdat IU heeft vastgesteld dat er updates beschikbaar zijn. Als er geen updates beschikbaar zijn, wordt IU afgesloten. In deze eerste fase stuurt IU de validatiesleutel naar de server van Norman om uw licentie te controleren. Tevens wordt een ‘profieltekenreeks’ verzonden. De profieltekenreeks bevat informatie zoals het besturingssysteem en de taalversie van uw computer; elementen die bepalen welke updates voor uw computer beschikbaar zijn. Voor systeembeheerders: IU kan ook worden ingezet voor netwerken met werkstations waarop verschillende besturingssystemen worden uitgevoerd. Wanneer de systeembeheerder het programma niucf.exe uitvoert (opgeslagen in de map ...\nvc\bin), wordt een bestand met de naam niucf.ndf gemaakt in de map ...\nvc\config. Dit bestand is een bestelformulier waarop alle noodzakelijke gegevens over platforms, talen en producten zijn opgeslagen. IU zorgt ervoor dat alle items in het bestand voorkomen op de lijst met geschikte updates, op voorwaarde dat uw licentie de bestelde items omvat. Voordat u IU voor het eerst uitvoert, moet eerst NIUcf worden uitgevoerd. De activiteiten van IU kunnen het best worden omschreven als een bewerking met drie fasen:


NVC bijwerken

108

Fase 1: De validatiesleutel en profieltekenreeks worden aan een Norman-validatieserver verzonden. De server stuurt een lijst met pakketten terug. De pakketten omvatten NVC-programmacode, virusdefinitiebestanden of andere NVC-functionaliteit. Fase 2: IU vergelijkt het tijdstempel van een pakket op de productserver met het overeenkomstige tijdstempel van het pakket in de lokale downloaddirectory. Een pakket op de Norman-productserver wordt als geschikt voor downloaden beschouwd wanneer het tijdstempel van het lokale pakket anders is, of wanneer het pakket ontbreekt. Wanneer er nieuwe pakketten beschikbaar zijn, wordt een dialoogvenster weergegeven waarin de totale grootte van de pakketten wordt aangegeven. Dit dialoogvenster beschikt over een timerfunctie en tenzij u binnen 15 seconden Ja/Nee selecteert, wordt het downloaden gestart. Fase 3: Het daadwerkelijke downloaden van nieuwe pakketten naar de downloaddirectory. Als het downloaden is voltooid, wordt IU afgesloten. Norman Program Manager (NPM) neemt het proces nu over en werkt NVC op uw computer bij.

LAN/WAN In een netwerkomgeving kunt u de werkstations bijwerken door de optie Automatisch van server te selecteren. Houd er rekening mee dat de optie Automatisch van server gebruikmaakt van de informatie die u in het dialoogvenster met tabbladen LAN/WAN invoert.


Diverse gegevens over NVC

109

Diverse gegevens over NVC Norman Program Manager (NPM) Voor NPM is een iets uitgebreidere uitleg nodig dan voor de overige producten, deels omdat het aan de basis van NVC en andere programma's van Norman ligt. NPM is betrokken bij de installatie, het updaten en de communicatie met andere programma's en modules, terwijl het nauwelijks zichtbaar aanwezig is en toch altijd aan het werk is. Het kernbestand van NPM is Zanda.exe: een verkorte aanduiding voor Zero Administration Network Distribution Agent. NPM is de koppeling tussen de onderdelen die met elkaar moeten kunnen communiceren. Daardoor is het van essentieel belang voor NVC als programma. Zoals de naam al aangeeft, is het drukker in een netwerk dan op een afzonderlijke computer. Dit wordt dan ook uitgebreider besproken in de Handleiding voor systeembeheerders. Norman Program Manager bevindt zich lokaal, dat wil zeggen op het werkstation of de server. Wanneer het werkstation hiervoor opdracht geeft, haalt NPM bestanden op van de server. Als het configuratiebestand bijvoorbeeld aangeeft dat het werkstation dagelijks om twaalf uur naar updates op de server moet zoeken, worden de bestanden door NPM opgehaald. Daarnaast stuurt de agent berichten van het werkstation naar de server. De samenwerking tussen Norman Program Manager en IU is met name van belang tijdens updates: een update is pas voltooid wanneer NPM de nieuwe bestanden heeft uitgepakt en geïnstalleerd. Norman Program Manager is altijd actief. Dit zijn enkele taken die door NPM worden uitgevoerd: •

NVC-updates afhandelen.

•

Controleren of modules starten zoals deze zijn geconfigureerd.



•

Controleren of de configuratie in overeenstemming is met de eisen van de systeembeheerder voor het individuele werkstation.

•

Software-updates, nieuwe configuratiebestanden en taakbestanden ophalen.

110

‘LAN/WAN’ op pagina 21. •

Werkt met een eigen planner.

Raadpleeg de Handleiding voor systeembeheerders voor meer informatie over de agent.

De Commando-regel scanner Naast de op een grafische gebruikersinterface gebaseerde Ondemand scanner en On-access scanner, biedt NVC ook een commando-regel scanner. De commando-regel scanner van NVC beschikt over dezelfde basisfuncties als de menugestuurde scanners. De commando-regel scanner is onafhankelijk van alle andere modules. Deze scanner kan vanaf batchbestanden worden uitgevoerd.

De Commando-regel scanner starten 1.

Ga vanaf de DOS- of OS/2-prompt naar de directory waarin NVC zich bevindt.

2.

De syntaxis is: nvcc [station]:[pad] [/parameters] [Enter] Aan iedere parameter die u gebruikt, moet een spatie voorafgaan. Selecteer simpelweg de combinatie van parameters die u wilt gebruiken en geef deze op de commando-regel op. Zie ‘Opties voor de Commando-regel scanner’ op pagina 112 voor een compleet overzicht en uitleg van de beschikbare parameters.



111

Geïnfecteerde bestanden opschonen Opmerking:In de NVC-software en -documentatie zijn ‘repareren’, ‘verwijderen’ en ‘opschonen’ vergelijkbare termen. Alle termen verwijzen naar het proces waarbij virussen uit bestanden of bootsectoren worden verwijderd en het geïnfecteerde gebied in de oorspronkelijke toestand wordt hersteld. De kerntechniek van de NVC-scanners (On-demand, On-access en Commando-regel scanner) is de scan-engine. De scanopties reflecteren de capaciteiten van de engine. Naast het opsporen van virussen, kan de engine deze ook verwijderen (het bestand of de bootsector repareren en daardoor de computer opschonen). Dit proces is technisch ingewikkelder dan het opsporen. Bij kwaadaardige code zoals trojans, waarbij het gehele bestand schadelijk is, valt er niets te repareren. In dergelijke situaties zit er niets anders op dan het gehele bestand te verwijderen. Daarom wordt ook wel de uitdrukking ‘Opschonen door verwijdering’ gebruikt. De scanners kunnen alle typen virussen automatisch van vaste schijven en diskettes verwijderen, met uitzondering van bootsectorvirussen. Bootsectorvirussen kunnen wel automatisch van diskettes, maar niet van vaste schijven worden verwijderd. Als er iets misgaat, is het repareren van een bestand minder gevaarlijk dan het repareren van een bootsector. Een beschadigde bootsector kan het systeem onbruikbaar maken. Om er zeker van te zijn dat een mislukte reparatie van een bootsector u niet in een lastige situatie brengt, kunnen bootsectoren op vaste schijven niet automatisch worden gerepareerd. Wanneer een bootsectorvirus is ontdekt, wordt een dialoogvenster weergegeven waarin u wordt aangeraden op een diskette een reservekopie te maken van de nodige gegevens. Als de reparatie mislukt, kunt u de computer opstarten vanaf de hersteldiskette. Een dialoogvenster compleet met on-linehelp begeleidt u door het proces wanneer een bootsectorvirus is aangetroffen.



112

Taakbestanden uitvoeren vanaf de commando-regel U kunt NVCOD uitvoeren vanaf de commando-regel om een taakbestand vanuit deze omgeving uit te voeren. NVCOD kan een bestaand taakbestand gebruiken als u de volgende opdracht opgeeft:

NVCOD @<pad naar het taakbestand> Deze functie is handig aangezien de taak onzichtbaar voor de gebruiker wordt uitgevoerd, bijvoorbeeld als methode om loginscripts te scannen. Voorbeeld: U hebt een taak gemaakt met de naam mijnscan.sdf. Het bestand bevindt zich in de standaardbibliotheek c:\norman\nvc\tasks. U wilt de computer scannen met de opties die in het taakbestand zijn opgegeven in plaats van de gehele vaste schijf te scannen met de optie Vaste schijven scannen. Vanaf de commando-regel geeft u op: c:\norman\nvc\bin>nvcod.exe @c:\norman\nvc\tasks\mijnscan.sdf

Opties voor de Commando-regel scanner Voer vanuit de directory waar de Norman-programma’s zich bevinden de volgende opdracht uit:

nvcc /? vanaf de commando-regel, om een lijst met beschikbare opties weer te geven. De volgende tabellen geven een overzicht van de beschikbare parameters en hun functies.

Param.: Functie: /Help weergeven. help /? Help weergeven.



113

Param.: Functie: /ALD Alle lokale schijven scannen (geen diskettes of cd-rom). /AD Alle schijven scannen (geen diskettes). Naast de lokale vaste-schijfstations worden eventuele netwerkstations gescand. /B Geen signaal laten horen wanneer infecties zijn aangetroffen (is standaard uitgeschakeld). /BSSysteemgebieden negeren bij scannen. De systeemgebieden van hetzelfde station worden slechts één keer gescand wanneer verschillende bestandsspecificaties voor hetzelfde logische station worden opgegeven (is standaard uitgeschakeld). /BS+ Alleen systeemgebieden scannen. /C: Archiefbestanden scannen. /C:0=niet, / C:1=wel (standaard in Config). /C Archiefbestanden scannen. Gelijk aan /C:1 (standaard in Config). /CP Gecomprimeerde programmabestanden scannen (is standaard uitgeschakeld). /CL: Bestanden en bootsectoren repareren: / CL:0=niet, /CL:1=wel, /CL:2=ook binnen archieven (standaard). /CL Bestanden en bootsectoren repareren. Gelijk aan /CL:1 (standaard in Config). /CZ: Maximale grootte van archiefbestanden in kB. Impliceert /C (standaard in Config). /CR: Maximale recursieve diepte van archiefbestanden. Impliceert /C (standaard in Config). /FLOPPY NSE-bestanden lezen vanaf afzonderlijke diskette (alleen DOS). /H Help weergeven.



114

Param.: Functie: /HUM Niet-gecertificeerde macro’s afhandelen (hiervoor is NSE\NVCMACRO.CRT van CatsClaw nodig). /L: Niveau van logboekregistratie instellen: / L:0=geen, 1=wel, 2=uitgebreid (standaard in Config). /LD: Directory voor logbestanden opgeven (standaarddirectory in Config). /LF: Geef volledig gekwalificeerde logbestandsnaam op (heft LD: En /LG: op). Voer de naam onmiddellijk na de parameter in (zonder spaties). /LG: Aantal generaties logbestanden opgeven (standaardaantal in Config). /N Onderdruk de standaardgeheugenscan. /O Vergrendelde bestanden negeren (is standaard uitgeschakeld). /Q Stille modus, dat wil zeggen, geen enkele weergave op het beeldscherm (is standaard uitgeschakeld). /R De scan herhalen. Handig voor het controleren van diverse diskettes (is standaard uitgeschakeld). /S Subdirectories scannen. Gebruik deze optie wanneer u een directory hebt opgegeven en subdirectories in de scan wilt opnemen. Als u een stationsletter hebt opgegeven, worden subdirectories automatisch ook gescand. Standaard bij het scannen van stations. /SB SandBox gebruiken. 0=niet, 1=wel. /SN Afbreken door gebruiker niet toestaan (is standaard uitgeschakeld).



115

Param.: Functie: / Omgevingen TEMP/TMP overschrijven. Als TEMP: een dergelijke omgeving niet is gedefinieerd, maakt het programma er een op één niveau hoger dan waar de directory NSE zich bevindt. /U Geen signaal laten horen wanneer infecties zijn aangetroffen (is standaard uitgeschakeld). /V Uitgebreide modus (is standaard uitgeschakeld). /W: Opgegeven aantal milliseconden wachten tussen ieder bestand (standaard is 0). /YH Afbreken wanneer infectie wordt aangetroffen (is standaard uitgeschakeld).

Verschillende parameters combineren De commando-regel scanner is zo flexibel dat u parameters kunt combineren om meerdere taken in één opdracht uit te voeren. Hier volgt een aantal voorbeelden van hoe u parameters kunt combineren. Vanuit de directory waarin nvcc.exe is geïnstalleerd, typt u: nvcc c:\*.exe /s /u /cl /lf:mijnscan.log Hiermee worden alle bestanden gescand met de extensie .exe op de lokale schijf C:\, inclusief subdirectory's. De scanner stopt niet wanneer geïnfecteerde bestanden worden aangetroffen. Mogelijk geïnfecteerde bestanden worden opgeschoond en het logbestand mijnscan.log wordt gemaakt in de directory waar nvcc.exe is geïnstalleerd. Typ vervolgens:

nvcc *.txt a: c: om txt-bestanden in de huidige directory te scannen en vervolgens de opstartgebieden en standaardbestandsextensies op a: en c:. Opmerking:Door c:\ (met een schuine streep) op te geven, worden alleen bestanden in het hoofdstation gescand,



116

maar met c: (zonder schuine streep) worden zowel bestanden als de systeemgebieden van het station gescand.

Foutniveaus voor commando-regel scanner U kunt de commando-regel scans automatiseren door foutniveaus in batchbestanden te gebruiken. De foutniveaus voor de commando-regel scanner zijn::

Foutniveau Betekenis: : 13 Licentie zorgt ervoor dat het programma niet kan starten. 12 Het bestand NVC32.CFG is niet gevonden. 11 Sommige bestanden of archieven zijn beschadigd. 10 Niet alle bestanden kunnen voor het scannen worden geopend. 9 Scannen is afgebroken door de gebruiker. 8 Interne fout: scannen is afgebroken. 7 Waarschuwing. Een aantal onderdelen, zoals Nlog5.dll, is niet gevonden. 6 Schijf-I/O-fout. 5 Gebruiksfout: ongeldige parameter of parameterargument opgegeven. 4 De hardwareconfiguratie is gewijzigd sinds de installatie van de scanner. 3 Gebruiksfout: De scan is begonnen zonder scancriteria. 2 Actief virus gevonden in geheugen en verwijderd.



117

Foutniveau Betekenis: : 1 Virus gevonden en/of gerepareerd. Deze foutcode heft alle andere foutcodes op, met uitzondering van 2. 0 Alles OK. Geen virus of andere kwaadaardige code gevonden.


Bijlage A - SandBox

118

Bijlage A - SandBox Achtergrond De wens een methode te ontwikkelen die automatisch nieuwe, onbekende virussen opspoort, is net zo oud als de antivirusindustrie zelf. Er zijn door de jaren heen aanzienlijke middelen geïnvesteerd om een oplossing te ontwikkelen die aan deze ambitieuze doelstelling voldoet. Tijdens de Virus Bulletin Conference in 2001 toonde Norman een volledig functioneel prototype van een scan-engine met SandBox-functionaliteit.

Wat is SandBox? SandBox (oftewel ‘zandbak’) beschrijft het best de techniek die wordt gebruikt om te controleren of een bestand is geïnfecteerd met een onbekend virus. De naam is niet willekeurig gekozen. De methode stelt verdachte, mogelijke viruscode in staat zijn gang te gaan op de computer, maar dan niet op de echte computer maar in een gesimuleerd en beperkt gebied van de computer. De SandBox is voorzien van alles wat een virus verwacht te vinden in een echte computer. In dit gebied kan het virus zichzelf kopiëren, waarbij elke stap zorgvuldig wordt gecontroleerd en vastgelegd. Het virus manifesteert zichzelf in de SandBox en aangezien alle acties zijn vastgelegd, kan de remedie voor deze nieuwe indringer automatisch worden gegenereerd. Tegenwoordig kan een nieuwe e-mailworm in enkele seconden tienduizenden werkstations infecteren. Van leveranciers van antivirusprogramma’s wordt verwacht dat zij de remedie vinden, de virusdefinitiebestanden bijwerken en deze onmiddellijk distribueren naar hun klanten. Snelheid is van essentieel belang, aangezien de aard van de huidige malware dusdanig is dat ‘succesvolle’ viruscode netwerken volledig kan platleggen en aanzienlijke schade kan toebrengen aan een onbeperkt aantal computers.


Bijlage A - SandBox

119

SandBox-technologie SandBox-functionaliteit via emulatie Een computervirus is een computerprogramma dat wordt gedefinieerd door zijn gedrag. Het draagt code/gegevens over naar andere computerbestanden. Wanneer deze andere computerbestanden op hun beurt worden uitgevoerd, wordt de viruscode op een of andere manier geactiveerd en zal het proberen andere computerbestanden te infecteren. Dit proces wordt replicatie genoemd. Een computerprogramma wordt pas aangeduid als een ‘virus’ als het deze taak recursief kan uitvoeren. De SandBox van Norman is een virtuele wereld waarin alles wordt gesimuleerd. Deze wereld wordt aangestuurd door een emulator en binaire uitvoerbare bestanden die mogelijk zijn geïnfecteerd, worden uitgevoerd zoals op een echt systeem. Wanneer de uitvoering stopt, wordt de SandBox geanalyseerd op wijzigingen. SandBox-functionaliteit via een virtuele machine Het is ook mogelijk een SandBox te bouwen door een VM (virtuele machine) te maken. Het idee is om alle uitgangen te blokkeren zodat het uitvoerbare bestand dat wordt onderzocht niet kan ontsnappen. Norman vindt deze oplossing echter onvoldoende veilig. Er is altijd een ‘andere’ methode van de processor van de pc (een vreemde interrupt, uitzondering, fout, enzovoort) waardoor kwaadaardige code uit een VM kan ontsnappen en zich kan verspreiden naar het echte systeem.

Wat merkt de gebruiker van de SandBoxtechnologie? Het fundamentele idee achter SandBox is de gebruiker betere beveiliging te bieden. Het is een grote uitdaging de nieuwe technologie te integreren in het product zonder de scansnelheid te verminderen. Het andere grote probleem, vals alarm, is al opgelost. De SandBox-technologie van Norman is officieel geïntroduceerd met NVC v5.60, ook al werd het al enige tijd ‘heimelijk’ toegepast door de scan-engine. Vanaf v5.60 is


Bijlage A - SandBox

120

SandBox in bepaalde modules echter zichtbaar bij de configuratieopties. Als nieuwe kwaadaardige code wordt gedetecteerd, wordt de beheerder hiervan op de hoogte gesteld met een bericht. U ziet hieronder een voorbeeld.

Aangezien in dit proces geavanceerde technieken worden toegepast, zal de scantijd iets langer zijn wanneer de SandBoxoptie is ingeschakeld. Dit is echter een klein ongemak gezien de mogelijkheid hierdoor bijvoorbeeld een netwerkworm te stoppen.

Wat moet ik doen als SandBox een nieuw virus vindt? U moet eerst controleren of uw NVC-installatie up-to-date is en gebruik maakt van de nieuwste virusdefinitiebestanden. Als u een verouderde versie van NVC hebt, kan SandBox mogelijk een virus hebben gevonden dat nu in de definitiebestanden is opgenomen. Als het een nieuw virus betreft, wordt het op prijs gesteld als u het geïnfecteerde bestand comprimeert, het resulterende zipbestand met een wachtwoord beveiligt en dit vervolgens


Bijlage A - SandBox

121

verzendt naar [email protected]. Deze procedure wordt ook beschreven op onze website. Zie ook de eerder gepubliceerde white papers (rapporten) over dit onderwerp voor meer informatie over de SandBoxtechnologie van Norman. Deze zijn beschikbaar op de website van Norman. http://www.norman.com/documents/nvc5_sandbox_technology.pdf http://www.norman.com/documents/nvc5_sandbox_technology_2002.pdf


FAQ

122

FAQ Als u op de volgende pagina’s niet de informatie vindt die u zoekt, bezoek dan onze website en kijk of er updates zijn. Updates van deze FAQ zijn te vinden op www.norman.com en in toekomstige herzieningen van deze handleiding. Uw bijdragen aan dit document worden zeer op prijs gesteld. Stuur uw opmerkingen en suggesties ter verbetering van de FAQ en de documentatie in het algemeen naar [email protected]. Hoe start ik NVC? De hoofdonderdelen van NVC worden automatisch gestart bij het laden van het besturingssysteem. Zoek de kleine, groene ‘N’ van Norman in de systeemwerkbalk: Hoe kan ik mijn computer op virussen scannen? On-access scannen vormt de basis van de viruscontrole in NVC v5. Wanneer u een bestand opent, controleert NVC dit bestand op virussen. Het ‘probleem’ is dat on-access scannen onzichtbaar werkt, terwijl u misschien meer controle wilt over wat er gebeurt. Dat kan: 1.

Markeer een willekeurig bestandssysteemobject, bijvoorbeeld de letter van het station (C:) in Windows Verkenner.

2.

Klik op de rechtermuisknop.

3.

Selecteer Norman Virus Control in het menu.

4.

Klik op de knop Scannen om alle bestanden op de geselecteerde station(s) of in de directories handmatig te controleren.

De On-access scanner starten en stoppen U wordt aangeraden de On-access scanner te stoppen bij het uitvoeren van systeemonderhoud. Als u de On-access scanner stopt, wordt deze in de huidige sessie of nadat de computer opnieuw is opgestart, niet opnieuw gestart tenzij u dit handmatig Copyright © 1990-2005 Norman

FAQ

123

doet. U kunt de On-access scanner starten en stoppen via een afzonderlijke menuoptie (systeemwerkbalk) of via het dialoogvenster Starten in de Configuratie-editor (Norman Virus Control|Onderdelen|Starten). Moet ik mijn computer iedere dag scannen? Niet per se. Als u periodieke on-demand scans combineert met geplande scans, zal de On-access scanner uw pc vrijhouden van kwaadaardige code. Als u echter regelmatig bestanden downloadt van het internet, is het verstandig om vaker scans uit te voeren. Kan ik de virusscan automatisch laten uitvoeren? Ja. Selecteer Taak-editor in de Norman-programmagroep. Vervolgens kunt u aangeven welke gebieden u wilt scannen en wanneer. Hoe kan ik NVC bijwerken? Gebruik de module Internet Update (IU) om NVC bij te werken. U kunt IU configureren in het dialoogvenster Internet in de Configuratie-editor (Producten installeren en updaten). Via dit dialoogvenster kunt u bepalen of u NVC wilt laten bijwerken door IU op verzoek, wanneer u het internet op gaat (afhankelijk van het type aansluiting dat u hebt) of vanaf een server in een netwerk. Wat moet ik doen met gedownloade updates? U kunt alles overlaten aan NVC. Zodra Internet-update een pakket heeft gedownload, voert NPM de feitelijke update automatisch uit. Na het bijwerken wordt u mogelijk gevraagd de computer opnieuw op te starten. Hoe vaak moet ik NVC bijwerken? U wordt aangeraden IU een keer per dag uit te voeren. Op de websites van Norman staat de meest recente informatie over nieuwe virussen en in sommige regio’s bestaat de mogelijkheid om per e-mail of SMS viruswaarschuwingen te ontvangen. Moet ik contact opnemen met Norman wanneer NVC een virus ontdekt? Meestal niet. NVC kan de meeste virussen verwijderen. Volg de aanwijzingen op het scherm om het virus te verwijderen.


FAQ

124

NVC naast andere antivirussoftware “Nadat ik NVC heb geïnstalleerd naast een antivirusoplossing van een andere leverancier, hangt de computer volledig en worden er zeer veel foutmeldingen weergegeven.” Verschillende antivirusproducten kunnen elkaar "in de weg zitten" aangezien zij vaak dezelfde bestanden op hetzelfde moment willen scannen. Dit kan de stabiliteit van uw computer beïnvloeden en resulteren in ongewenst gedrag. Advies: verwijder alle andere antivirussoftware voordat u NVC installeert. Als u problemen ondervindt op een computer met Windows NT4/2000/XP, moet u deze wellicht opstarten in Veilige modus voordat u een van de andere antivirusproducten kunt verwijderen. U start de computer op in Veilige modus door tijdens het opstarten te drukken op F8, voordat Windows wordt geladen. NVC 5 en versienummers: hoe kan ik controleren of NVC up-to-date is? U kunt het versienummer van NVC controleren door Status van de update te kiezen in het menu van het pictogram in de systeemwerkbalk (N). Hier vindt u versienummers voor NVC, evenals voor de Scanengine en Programmabeheer. De regelmatig vernieuwde virusdefinitiebestanden voor de binaire en macrovirussen bevinden zich in de Scan-engine:

Norman Virus Control is up-to-date wanneer de signatuurdatums van de virusdefinitiebestanden niet meer dan 10-12 dagen voor Copyright © 1990-2005 Norman

FAQ

125

de huidige datum liggen. Zorg er verder voor dat alle beschikbare updates voor andere NVC-onderdelen zijn gedownload en geïnstalleerd. Als het versienummer van de scan-engine verschilt van het huidige versienummer van NVC, is dat geen enkel probleem. De scan-engine heeft namelijk een eigen, intern versienummer.


FAQ

126


Index 127

Index —A— Aanmelden bij proxy-server 30 Aanmeldingsgegevens 30 Aanvullende padelementen 25 ACE 96 Algemene instellingen Beveiligingsrisico’s 68 Nieuwe, onbekende virussen 57, 69 Opdringerige commercials 57 Alle bijlagen blokkeren 83 Alle bijlagen blokkeren, behalve onderstaande bijlagen 84 Alle onderstaande bijlagen blokkeren 84 Alleen on-demand (handmatig starten) 28 ARC 96 Archiefbestanden standaard scannen 61 ARJ 96 Automatisch: geminimaliseerd tot infectie is gevonden 97 Automatisch: geminimaliseerd tot opschonen mislukt 96 Automatisch: verborgen tot opschonen mislukt 96

—B— Baudrate 46 Behandeling van bestanden die niet kunnen worden gescand 70 Berichten Velden op het tabblad Berichten 103 Berichten doorsturen 42 Berichten naar berichtenconsole verzenden 37


Berichten naar het binaire logboekbestand verzenden 35 Berichten naar het logboek van Windows NT/2000 verzenden 38 Berichten, tabblad Bericht 103 Informatie 103 Oorsprong 103 Opties voor rechtsklikken 103 Tijdstempel 103 Type 103 Berichtenbestanden, tabblad Opties voor rechtsklikken 104 Berichtenlimiet 47 Berichtenlogboek Berichten naar het binaire logboekbestand verzenden 35 Berichten ontvangen van andere computers 36 Informatieberichten 36 Lokaal gegenereerde berichten 36 Programma- en installatiefouten 36 Systeem- en huishoudelijke berichten 36 Virusinfecties en andere waarschuwingssignalen 36 Waarschuwingen 36 Bestanden in de uitsluitingslijst 58 Bestanden in quarantaine Opties voor rechtsklikken 101 Bestanden met onbepaalde indeling 58 bestanden op netwerkstations 58 Bestanden repareren 111 Bestanden voor gebruik scannen 66, 67 Beveiligingsrisico’s 56, 68 Bij directe verbinding op gespecificeerde tijdstippen 28 Bijlageblokkering Alle bijlagen blokkeren 83 Alle bijlagen blokkeren, behalve onderstaande bijlagen 84 Alle onderstaande bijlagen blok-

128 Index keren 84 Beveiligingsniveau 85 Bijlagelijst 84 Bijlagen met dubbele extensies blokkeren 83 CLSID-extensies blokkeren 83 Gecodeerde bijlagen blokkeren 84 tekenreeks 85 Bijlagen blokkeren (NIP) 82 Bijlagen met dubbele extensies blokkeren 83 Bootsectorvirus 62, 71, 111 Broadcasts beantwoorden en routing van berichten inschakelen voor Routing van berichten 40 BZIP2 96

—C— CLSID-extensies 83 CLSID-extensies blokkeren 83 Commando-regel scanner 51, 110 Community 49 COM-poort 46 Computer-onafhankelijke doelen selecteren 94 Configuratiebestanden bijwerken vanaf 25 Configuratie-editor 12 Conventies iv

—D— Dagelijks bij directe verbinding op gepland tijdstip 28 Dagelijks bij inbellen (wacht op verbinding) 28 Dagelijks bij inbelverbinding (wacht op verbinding) 27, 28 default.ndf 78 Definitie DLL 78 Nieuwslezer 74 Protocol 75

Winsock 74 Distributieserver bijwerken 29 DLL (Dynamic Link Library) 78 Door gebruiker gedefinieerde intervallen 22 Door gebruiker gedefinieerde paden 24 Dubbele extensies 83

—E— E-mail, SMS, SNMP Programma- en installatiefouten 43 Standaardwaarden 43 Virusinfecties en andere waarschuwingssignalen 43 E-mailberichten 42 E-mailwormen 57, 69, 81 Extra berichtfunctionaliteit 33

—F— FPU (Floating Point Unit) 12

—G— Gebruik van bronnen 97 Gebruiken van proxy-server 30 Gebruiken van SandBox 81 Gecodeerde bijlagen blokkeren 84 gecodeerde virussen 12 Geheugen, scannen 96 Geminimaliseerd tot infectie is gevonden 97 Geplande taak 97 GSM-modem 46 GZIP 96

—H— Handmatig starten: normaal venster 97 Handshake 47 Het tabblad Installeren van NVC Commando-regel scanner 51 Internetbeveiliging 52 On-access scanner 51


Index 129 On-demand scanner 51 Taak-editor 51 Taakplanner 51 Utilities 52 Het tabblad Start van NVC On-access scanner 52 Taakplanner 53 HTTP-proxy 107 Hulpmiddelen voor beheer op afstand 56, 68

—I— Inbelverbinding 23 Informatieberichten Routing van berichten 41 Inkomende e-mail (POP3) 81 Installeren, tabblad Verificatiesleutel voor installatie/ update 20 Internet niet gebruiken - bijwerken vanaf cd-rom 27 Internet, tabblad Aanmelden bij proxy-server 30 Alleen on-demand (handmatig starten) 28 Bij directe verbinding op gespecificeerde tijdstippen 28, 106 Dagelijks bij inbellen (wacht op verbinding) 28 Distributieserver bijwerken 29 Gebruiken van proxy-server 30 Internet niet gebruiken - bijwerken vanaf cd-rom 27 Proxy-server 30 Tijdstip voor zoeken naar updates op het internet 27 Internetbeveiliging 52 Internet-update 12, 33, 52 NIU 105 Internet-update (IU) 26 IU 26 Alleen on-demand (handmatig starten) 106 Copyright © 1990-2005 Norman

Dagelijks bij inbellen (wacht op verbinding) 106 downloaden van pakketten 108 pakketten 108

—L— LAN/WAN Automatisch van server 108 LAN/WAN, tabblad Aanmeldingsgegevens 30 Distributieservernaam 24 Door gebruiker gedefinieerde intervallen 22 Door gebruiker gedefinieerde paden 24 Locaties voor updates op het LAN/ WAN 23 Netwerktype 23 Nooit (bijwerken van cd-rom of internet) 22 Novell NetWare 24 Sharenaam 24 Software bijwerken vanaf 25 Standaardintervallen 22 Taakbestanden bijwerken vanaf 25 Volumenaam en hoofddirectory 24 Werkgroep of peer-to-peernetwerk 24 Windows NT/2000/XP 24 Linux iv Locaties voor updates op het LAN/ WAN 23 Logbestand 35 te behouden generaties 60 Logbestand maken 59

—M— Malware 71 Max. grootte van quarantaine (% van partitie) 89 Max. tijd om bestand in quarantaine te houden 89

130 Index Min. tijd om bestand in quarantaine te houden 89 MME (Multi Media Extensions) 12 MSN Messenger 81

Internet-update 33 Norman Internet Update 33 Release-notities 33 Novell NetWare 23 NVC-update 21

—N— Netwerkwormen 57, 69, 82 Nieuwe of gewijzigde bestanden scannen 66, 67 Nieuwe, onbekende virussen (gebruik SandBox) 57 Nieuwe, onbekende virussen met SandBox 69 Nieuwsgroepen (NNTP) 81 Nieuwslezer 74 NIP bestandstypen blokkeren 85 bijlageblokkering 82 default.ndf 78 Poortnummers 86 POP 87 specifieke bijlagen blokkeren 86 nip.exe 78 NIP-configuratie Gebruiken van SandBox 81 Inkomende e-mail (POP3) 81 Instant Messaging 81 Nieuwsgroepen (NNTP) 81 NNTP 87 POP 87 SMTP 87 Uitgaande e-mail (SMTP) 80 niphk.dll 78 NIUcf 26 niucf.exe 107 NNTP 78 NNTP (Network News Transfer Protocol) 87 Nooit (bijwerken van cd-rom of internet) 22 Norman Internet Update Configuratie-instellingen 106 Norman Program Manager Extra berichtfunctionaliteit 33

—O— omgevingsvariabele 25 On-access scannen Opdringerige commercials 68 Terminal Services 90 On-access scanner 51 Alleen module voor services en externe gebruikers gebruiken*** 70 Behandeling van bestanden die niet kunnen worden gescand 70 Bestanden in de uitsluitingslijst 70 Bestanden met onbepaalde indeling 69 bestanden op netwerkstations 69 Bestanden voor gebruik scannen 66 Gebruiker vragen wat te doen 72 Negeren 70 Nieuwe of gewijzigde bestanden scannen 66 Nieuwe, onbekende virussen met SandBox 69 Strategie 65 Toegang weigeren 71 Uitsluiten van scannen 69 Verwijderen 71 Virusverwijdering 71 Waarschuwing tonen 70 Waarschuwing tonen en toegang weigeren 70 On-access scanner (lokale gebruikers) Bestanden voor gebruik scannen 67 Nieuwe of gewijzigde bestanden scannen 67 Strategie 66 Copyright © 1990-2005 Norman

Index 131 On-demand scanner 51, 52 Alleen infecties en fouten registreren 60 Archiefbestanden standaard scannen 61 Bestanden in de uitsluitingslijst 58 Bestanden met onbepaalde indeling 58 bestanden op netwerkstations 58 Beveiligingsrisico’s 56 logbestand maken 59 Nieuwe, onbekende virussen (gebruik SandBox) 57 Opdringerige commercials 57 rechtsklik-scanner 62 Scannen op 56 Uitgebreide registratie 60 Uitsluiten van scannen 57 Onherstelbare bestanden in quarantaine plaatsen 89 Opdringerige commercials 57, 68 OS/2 iv

—P— Pad voor logbestand 59 Paden opgeven Aanvullende padelementen 25 Configuratiebestanden bijwerken vanaf 25 omgevingsvariabele 25 Servernaam 25 Sharenaam 25 Volumenaam en hoofddirectory 25 Parameters combineren 115 Permanente verbinding 23 polymorfe virussen 12 Poortnummers 86 POP (Post Office Protocol) 87 POP3 78 Product installeren en updaten De scan-engine van Norman 20 Installeren, tabblad 19, 20 Copyright © 1990-2005 Norman

Norman Virus Control 19 Taal 20 Programma- en installatiefouten Routing van berichten 41 Protocol 75 NNTP 75 POP3 75 SMTP 75 Proxy 29 Proxy-server 30 Proxy-server, aanmeldingsgegevens Domein (voor vraag/antwoord van Windows NT) 31 Gebruikersnaam 30 Wachtwoord 30

—Q— Quarantaine Opties 89 Quarantaine weergeven 101 Quarantaine, tabblad Onherstelbare bestanden in quarantaine plaatsen 89 Reservekopieën in quarantaine maken voor reparatie 89 Quarantaine-eigenschappen 89

—R— RAR 96 Rechten 17, 71 Rechtsklik-scanner 62 Release-notities 33 Reservekopieën in quarantaine maken voor reparatie 89 Routing van berichten Berichten ontvangen van andere computers 41 Broadcasts beantwoorden en routing van berichten inschakelen voor 40 Informatieberichten 41 Programma- en installatiefouten 41

132 Index Systeem- en huishoudelijke berichten 41 Virusinfecties en andere waarschuwingssignalen 41 Waarschuwingen 41

—S— SandBox 57, 69, 81 emulatie 119 virtuele machine 119 Scannen op virussen, trojans, wormen, enzovoort 68 SMS-berichten 42 SMS-configuratie Baudrate 46 Berichtenlimiet 47 Community 49 COM-poort 46 Geadresseerden 47 Handshake 47 Standaard-SMS-tekst 48 SMS-serviceprovider 47 SMTP 78 SMTP (Simple Mail Transport Protocol) 87 SMTP-poort 44 SMTP-server 44 SNMP Trap-geadresseerden 48 SNMP traps 42 Software bijwerken vanaf 25 Specifieke stations en mappen selecteren 95 Standaardintervallen 22 Systeem- en huishoudelijke berichten Routing van berichten 41 Systeembeheerdersrechten 17, 71 Systeemvereisten iv Systeemwerkbalk 14

—T— Taakbestanden Laatst uitgevoerd 100

Opties voor rechtsklikken 100 Taakbestand 100 tijdschema 100 Volgende keer uitvoeren 100 Taak-editor 12, 51, 92 Algemeen, tabblad 93 Alle netwerkstations 95 Alle vaste schijven 95 Alle verwisselbare media 95 Archieven scannen 96 Begindatum/tijd 98 Bootsectoren scannen 96 Computer-onafhankelijke doelen selecteren 94 Doelen selecteren 94 Doelen, tabblad 93 Frequentie 98 Gebruik van bronnen 97 Geheugen scannen 96 Geminimaliseerd tot infectie is gevonden 97 Geminimaliseerd tot opschonen mislukt 96 Geplande taak 97 Normaal venster 97 Opties, tabblad 96 Scan-venster 96 Specifieke stations en mappen selecteren 95 Submappen scannen 95 Tijdschema, tabblad 97 Universele tijdcoördinaten 98 Verborgen tot opschonen mislukt 96, 97 Taakplanner 51, 53 TAR 96 TCP/IP 105, 106 Terminal Services 90 Tijdstip voor zoeken naar updates op het internet 27 trojans 79


Index 133

—U— Uitgaande e-mail (SMTP) 80 Uitsluiten van scannen 57, 69 UTC 98 Utilities 12, 52 Berichten, tabblad 102 Berichtenbestanden, tabblad 104 Quarantaine, dialoogvenster 101 Taakbestanden 99 Utilities, module 99

—V— Vereisten, systeem- iv Verificatie 29 Verificatiesleutel voor installatie/update 20 Verschillende parameters combineren 115 Virtuele machine 119 Virusdefinitiebestand 20 Virusinfecties en andere waarschuwingssignalen Routing van berichten 41 Virussen verwijderen 111

—W— Waarschuwingen heffen limiet op 47 Wachtwoordcrackers 56, 68 Werkgroep of peer-to-peer-netwerk 23 Windows Messenger 81 Windows NT/2000 Terminal Services 90 Windows NT/2000/XP-netwerk 23 Winsock 74, 78 winsock.dll 74

—Z— Zanda 109


Norman Virus Control voor werkstations. Versie Uitgebreide handleiding

Recommend Documents