Producthandleiding. McAfee Endpoint Security 10.1

Producthandleiding

McAfee Endpoint Security 10.1

COPYRIGHT Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com

HANDELSMERKEN Intel en het Intel logo zijn gedeponeerde handelsmerken van Intel Corporation in de Verenigde Staten en/of andere landen. McAfee, het McAfee logo, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource, VirusScan zijn handelsmerken of gedeponeerde handelsmerken van McAfee, Inc. of haar dochterondernemingen in de Verenigde Staten en andere landen. Andere namen en merken kunnen worden geclaimd als het eigendom van anderen.

LICENTIE-INFORMATIE Licentieovereenkomst KENNISGEVING VOOR ALLE GEBRUIKERS: LEES DE JURIDISCHE OVEREENKOMST DIE BIJ DE DOOR U GEKOCHTE LICENTIE HOORT ZORGVULDIG DOOR. DEZE OVEREENKOMST BETREFT DE ALGEMENE VOORWAARDEN EN BEPALINGEN VOOR HET GEBRUIK VAN DE SOFTWARE ONDER DEZE LICENTIE. ALS U NIET WEET WELK TYPE LICENTIE U HEBT AANGESCHAFT, RAADPLEEGT U DE VERKOOPOVEREENKOMST OF ANDERE DOCUMENTEN DIE BIJ DE SOFTWARE ZIJN GELEVERD OF DIE U AFZONDERLIJK HEBT ONTVANGEN BIJ DE AANKOOP. (DIT KUNNEN DOCUMENTEN ZIJN IN DE VORM VAN EEN BOEKJE, EEN BESTAND OP DE CD VAN HET PRODUCT OF EEN BESTAND OP DE WEBSITE VANWAAR U HET SOFTWAREPAKKET HEBT GEDOWNLOAD.) INDIEN U NIET INSTEMT MET EEN OF MEERDERE BEPALINGEN VAN DEZE OVEREENKOMST, MAG U DE SOFTWARE NIET INSTALLEREN. INDIEN VAN TOEPASSING, KUNT U HET PRODUCT TERUGSTUREN NAAR MCAFEE OF TERUGBRENGEN NAAR DE PLAATS WAAR U DIT HEBT AANGESCHAFT, WAARNA HET VOLLEDIGE AANKOOPBEDRAG ZAL WORDEN GERESTITUEERD.

2


Producthandleiding

Inhoud

1

McAfee Endpoint Security

5

Inleiding

7

Endpoint Security-modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Hoe Endpoint Security uw computer beveiligt . . . . . . . . . . . . . . . . . . . . . . . 8 Hoe uw beveiliging up-to-date blijft . . . . . . . . . . . . . . . . . . . . . . . . 8 Werken met Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Het McAfee-systeemvakpictogram . . . . . . . . . . . . . . . . . . . . . . . . 10 Meldingsberichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 De Endpoint Security-client . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2

De Endpoint Security-client gebruiken

17

De Endpoint Security-client openen . . . . . . . . . . . . . . . . . . . . . . . . . . Help-informatie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reageren op prompts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reageren op een prompt van een bedreigingsdetectie . . . . . . . . . . . . . . . . Reageren op een scanprompt . . . . . . . . . . . . . . . . . . . . . . . . . . Reageren op een vraag over bestandsreputatie . . . . . . . . . . . . . . . . . . . Informatie over uw beveiliging verkrijgen . . . . . . . . . . . . . . . . . . . . . . . . Beheertypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beveiliging en software handmatig bijwerken . . . . . . . . . . . . . . . . . . . . . . Wat er bijgewerkt wordt . . . . . . . . . . . . . . . . . . . . . . . . . . . . Het Gebeurtenislogboek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Logboekbestanden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Endpoint Security beheren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aanmelden als beheerder . . . . . . . . . . . . . . . . . . . . . . . . . . . De clientinterface ontgrendelen . . . . . . . . . . . . . . . . . . . . . . . . . Functies uit- en inschakelen . . . . . . . . . . . . . . . . . . . . . . . . . . De AMCore-inhoudsversie wijzigen . . . . . . . . . . . . . . . . . . . . . . . Extra.DAT-bestanden gebruiken . . . . . . . . . . . . . . . . . . . . . . . . . Algemene instellingen configureren . . . . . . . . . . . . . . . . . . . . . . . Updategedrag configureren . . . . . . . . . . . . . . . . . . . . . . . . . . .

3

Bedreigingspreventie Gebruiken

41

Uw computer scannen op malware . . . . . . . . . . . . . . . . . . . . . . . . . . . Typen scans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Een Volledige scan of Snelle scan uitvoeren . . . . . . . . . . . . . . . . . . . . Een bestand of map scannen . . . . . . . . . . . . . . . . . . . . . . . . . . Bedreigingsdetecties beheren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Items in quarantaine beheren . . . . . . . . . . . . . . . . . . . . . . . . . . . . Namen gedetecteerde items . . . . . . . . . . . . . . . . . . . . . . . . . . Items in quarantaine opnieuw scannen . . . . . . . . . . . . . . . . . . . . . . Bedreigingspreventie beheren . . . . . . . . . . . . . . . . . . . . . . . . . . . . Uitsluitingen configureren . . . . . . . . . . . . . . . . . . . . . . . . . . . De toegangspunten van uw systeem beveiligen . . . . . . . . . . . . . . . . . .


17 18 18 18 19 19 20 20 21 22 22 23 25 25 26 26 27 27 28 33

41 41 42 44 45 46 48 49 50 50 51

Producthandleiding

3

Inhoud

Misbruik van bufferoverloop blokkeren . . . . . . . . . . . . . . . . . . . . . . Mogelijk ongewenste programma's detecteren . . . . . . . . . . . . . . . . . . . Algemene scaninstellingen configureren . . . . . . . . . . . . . . . . . . . . . Configureer de instellingen voor Scannen bij toegang . . . . . . . . . . . . . . . . instellingen voor Scan op verzoek configureren . . . . . . . . . . . . . . . . . . Scantaken configureren, plannen en uitvoeren . . . . . . . . . . . . . . . . . . .

4

Firewall gebruiken

77

Zo werkt Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Getimede groepen van Firewall inschakelen of weergeven . . . . . . . . . . . . . . . . . Firewall beheren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Firewall-opties wijzigen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Firewall-regels en -groepen beheren . . . . . . . . . . . . . . . . . . . . . . .

5

60 62 64 65 70 75

Webcontrole gebruiken

77 77 78 78 80

91

Functies van Webcontrole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Hoe Webcontrole een site of download blokkeert of voorziet van een waarschuwing . . . . 92 De knop Webcontrole geeft bedreigingen tijdens het surfen weer . . . . . . . . . . . 93 Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken . . . . . . . . . 94 Siterapporten bieden informatie . . . . . . . . . . . . . . . . . . . . . . . . . 94 Hoe veiligheidsclassificaties worden samengesteld . . . . . . . . . . . . . . . . . 95 Webcontrole-functies gebruiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 De invoegtoepassing Webcontrole inschakelen via de browser . . . . . . . . . . . . . 96 Informatie over een site bekijken tijdens het surfen . . . . . . . . . . . . . . . . . 97 Siterapport weergeven tijdens zoeken . . . . . . . . . . . . . . . . . . . . . . 97 Webcontrole beheren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Webcontrole-opties configureren . . . . . . . . . . . . . . . . . . . . . . . . 98 Classificatieacties opgeven en sitetoegang blokkeren op basis van webcategorie . . . . 101

6

Bedreigingsinformatie gebruiken Zo werkt Bedreigingsinformatie . . . . . . . . . . Bedreigingsinformatie beheren . . . . . . . . . . Info over Bedreigingsinformatie . . . . . . . Opties van Bedreigingsinformatie configureren .

Index

4


103 . . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. 103 . . 103 . 104 . 110

179

Producthandleiding


®

McAfee Endpoint Security is een uitgebreide beveiligingsbeheeroplossing voor netwerkcomputers waarmee bedreigingen automatisch worden geïdentificeerd en gestopt. In deze Help wordt toegelicht hoe u eenvoudige beveiligingsfuncties kunt gebruiken en problemen kunt oplossen.

Aan de slag •

Endpoint Security-modules op pagina 7

•

Hoe Endpoint Security uw computer beveiligt op pagina 8

•

Werken met Endpoint Security op pagina 9

Vaak uitgevoerde taken •

De Endpoint Security-client openen op pagina 17

•

Beveiliging en software handmatig bijwerken op pagina 21

•

Uw computer scannen op malware op pagina 41

•

De clientinterface ontgrendelen op pagina 26

Meer informatie Meer informatie over dit product vindt u hier: •

McAfee Endpoint Security - Installatiehandleiding

•

McAfee Endpoint Security - Migratiehandleiding

•

Versie-informatie McAfee Endpoint Security

•

Endpoint Security-bedreigingspreventie Endpoint Security-bedreigingspreventie

•

Help van Endpoint Security-firewall

•

Help van Endpoint Security-webcontrole

•

Endpoint Security-bedreigingsinformatie Help

•

Ondersteuning van McAfee


Producthandleiding

5


6


Producthandleiding

1

Inleiding

Endpoint Security is een uitgebreide beveiligingsbeheeroplossing voor netwerkcomputers waarmee bedreigingen automatisch worden geïdentificeerd en gestopt. In deze Help wordt toegelicht hoe u eenvoudige beveiligingsfuncties kunt gebruiken en problemen kunt oplossen. Als uw computer wordt beheerd, wordt de set-up en configuratie van Endpoint Security uitgevoerd door een beheerder via een van deze beheerservers: •

McAfee ePolicy Orchestrator (McAfee ePO )

•

McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud)

®

®

®

™

®

™

Hebt u een computer in eigen beheer, dan wordt de configuratie van de software via de Endpoint Security-client uitgevoerd door u (of uw beheerder). Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee ePO.

Inhoud Endpoint Security-modules Hoe Endpoint Security uw computer beveiligt Werken met Endpoint Security

Endpoint Security-modules De beheerder configureert en installeert een of meer Endpoint Security-modules op clientcomputers. •

Bedreigingspreventie : hiermee wordt gecontroleerd op virussen, spyware, ongewenste programma's en andere bedreigingen door middel van automatische scans wanneer u een programma opent of op aanvraag op een ander gewenst moment.

•

Firewall : hiermee wordt de communicatie tussen de computer en resources op het netwerk en internet gecontroleerd. Verdachte communicatie wordt onderschept.

•

Webcontrole : hiermee worden veiligheidsclassificaties en rapporten voor websites weergegeven tijdens online surfen en zoeken. Met Webcontrole kan de sitebeheerder toegang tot websites blokkeren op basis van veiligheidsclassificatie of inhoud.

•

Bedreigingsinformatie : biedt aanpasbare, contextgevoelige beveiliging voor uw netwerkomgeving. Bedreigingsinformatie analyseert de inhoud van uw onderneming en beslist aan de hand van de reputatie van een bestand en de criteria van uw beheerder of het betrouwbaar is. Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee ePO.

Bovendien biedt de module Gedeelde instellingen instellingen voor algemene functies, zoals interfacebeveiliging en registratie in logboek. Deze module wordt automatisch geïnstalleerd als er een andere module wordt geïnstalleerd.


Producthandleiding

7

1

Inleiding Hoe Endpoint Security uw computer beveiligt

Hoe Endpoint Security uw computer beveiligt Een beheerder stelt gewoonlijk Endpoint Security in, installeert de software op clientcomputers, controleert de beveiligingsstatus en stelt beveiligingsregels (een beleid) in. Als gebruiker van een clientcomputer verloopt uw interactie met Endpoint Security via clientsoftware die op uw computer is geïnstalleerd. Het beleid dat door de beheerder is ingesteld, bepaalt hoe de modules en functies op uw computer werken en of u ze kunt aanpassen. Als Endpoint Security in eigen beheer is, kunt u opgeven hoe de modules en functies werken. Bekijk de pagina Info om het beheertype te bepalen.

Met regelmatige tussenpozen wordt door de clientsoftware op uw computer verbinding gemaakt met een internetsite om de softwareonderdelen bij te werken. Tegelijkertijd worden gegevens over detecties op uw computer naar de beheerserver verzonden. Met deze gegevens worden rapporten gegenereerd voor de beheerder over detecties en beveiligingsproblemen op uw computer. Normaal gesproken werkt de clientsoftware op de achtergrond bij en is er geen interactie van uw kant vereist. Soms is er echter wel interactie nodig. U wilt bijvoorbeeld controleren of er software-updates zijn of handmatig een malwarescan uitvoeren. Afhankelijk van het beleid dat de beheerder heeft ingesteld, kunt u mogelijk ook de beveiligingsinstellingen aanpassen. Als u beheerder bent, kunt u de clientsoftware centraal beheren en configureren met McAfee ePO of McAfee ePO Cloud.

Zie ook Informatie over uw beveiliging verkrijgen op pagina 20

Hoe uw beveiliging up-to-date blijft Dankzij geregelde updates van Endpoint Security wordt uw computer altijd beveiligd tegen de nieuwste bedreigingen. Bij het uitvoeren van updates maakt de clientsoftware verbinding met een lokale of externe McAfee ePO-server of rechtstreeks met een site op internet. Endpoint Security controleer op het volgende: •

Updates voor de inhoudsbestanden die worden gebruikt voor het detecteren van bedreigingen. In inhoudsbestanden zijn definities opgenomen voor bedreigingen zoals virussen en spyware, en deze definities worden bijgewerkt zodra zich nieuwe bedreigingen voordoen.

•

Upgrades voor softwareonderdelen, zoals patches en hotfixes.

Ter vereenvoudiging van terminologie wordt de term updates in deze Help gebruikt voor updates en upgrades. Updates worden meestal automatisch op de achtergrond uitgevoerd. Wellicht moet u tevens handmatig controleren of er updates zijn. Afhankelijk van uw instellingen kunt u uw bescherming handmatig bijwerken vanuit de Endpoint Security-client door op

te klikken.

Zie ook Beveiliging en software handmatig bijwerken op pagina 21

8


Producthandleiding

Inleiding Werken met Endpoint Security

1

Hoe inhoudsbestanden werken Wanneer de scanengine bestanden doorzoekt op bedreigingen, wordt de inhoud van de gescande bestanden vergeleken met gegevens van bekende bedreigingen in de AMCore-inhoudsbestanden. Exploitpreventie gebruikt eigen inhoudsbestanden om te beschermen tegen exploits.

AMCore-inhoud McAfee Labs vindt informatie over bekende bedreigingen (handtekeningen) en voegt deze toe aan de inhoudsbestanden. Naast handtekeningen bevatten inhoudsbestanden informatie over het verwijderen en oplossen van schade die het gedetecteerde virus kan veroorzaken. Als de handtekening van een virus zich niet in een van de geïnstalleerde inhoudsbestanden bevindt, kan de scanengine dat virus niet detecteren en verwijderen.

Er duiken regelmatig nieuwe bedreigingen op. McAfee Labs brengt bijna dagelijks updates en nieuwe inhoudsbestanden uit, waarin de resultaten van het voortdurende onderzoek met betrekking tot bedreigingen zijn verwerkt, rond 18.00 uur. (GMT). Endpoint Security slaat het huidig geladen inhoudsbestand en de eerdere twee versies op in de Program Files\Common Files\McAfee\Engine\content-map op. Indien vereist kunt u naar een eerdere versie terugkeren. Als nieuwe malware wordt ontdekt en extra detectie is vereist buiten het gewone inhoudsupdateschema om, brengt McAfee Labs een Extra.DAT-bestand uit.

Inhoud van Exploitpreventie De inhoud van Exploitpreventie bestaat uit: •

Handtekeningen voor geheugenbeveiliging: generieke bufferoverloopbeveiliging en gerichte API-controle.

•

Lijst met beveiligde toepassingen: processen die worden beschermd door Exploitpreventie.

McAfee geeft maandelijks nieuwe Exploitpreventie-inhoudsbestanden uit.

Werken met Endpoint Security Endpoint Security heeft visuele onderdelen voor het werken met de Endpoint Security-client. •

McAfee-pictogram in het Windows-systeemvak: hiermee kunt u de Endpoint Security-client starten en de beveiligingsstatus weergeven.

•

Meldingen: stellen u op de hoogte van scan- en firewallinbraakdetecties en bestanden met een onbekende reputatie en vragen u om invoer.

•

De pagina Scan bij toegang: hiermee wordt de lijst met bedreigingsdetecties weergegeven wanneer de scanner bij toegang een bedreiging detecteert.

•

Endpoint Security-client: geeft de huidige beveiligingsstatus weer en biedt toegang tot functies.

Voor beheerde systemen configureert de beheerder beleidsregels die worden toegewezen om op te geven welke onderdelen worden weergegeven. Zie ook Het McAfee-systeemvakpictogram op pagina 10 Meldingsberichten op pagina 11 Bedreigingsdetecties beheren op pagina 45 De Endpoint Security-client op pagina 12


Producthandleiding

9

1


Het McAfee-systeemvakpictogram Het McAfee-pictogram in het Windows-systeemvak biedt toegang tot de Endpoint Security-client en enkele basistaken. Het McAfee-pictogram is mogelijk niet beschikbaar, afhankelijk van hoe de instellingen zijn geconfigureerd.

Gebruik het McAfee-systeemvakpictogram om het volgende te doen: De beveiligingsstatus controleren.

Klik met de rechtermuisknop op het pictogram en selecteer Beveiligingsstatus bekijken om de pagina McAfee-beveiligingsstatus weer te geven.

Endpoint Security-client openen.

Klik met de rechtermuisknop op het pictogram en selecteer McAfee Endpoint Security.

Beveiliging en software handmatig bijwerken.

Klik met de rechtermuisknop op het pictogram en selecteer Beveiliging bijwerken. Zie Wat er bijgewerkt wordt op pagina 22.

Getimede groepen van Firewall inschakelen of weergeven.

Klik met de rechtermuisknop op het pictogram en selecteer een optie in het menu Snelinstellingen: • Getimede groepen van Firewall inschakelen: hiermee worden getimede groepen gedurende een opgegeven tijd ingeschakeld om toegang tot het internet zonder netwerk toe te staan, voordat regels die de toegang beperken worden toegepast. Telkens als u deze optie selecteert, wordt de tijd voor de groepen opnieuw ingesteld.

• Getimede groepen van Firewall weergeven: hiermee worden de namen van de getimede groepen weergegeven, evenals de actieve tijd die over is voor elke groep. Deze opties zijn mogelijk niet beschikbaar, afhankelijk van hoe de instellingen zijn geconfigureerd.

Hoe het pictogram de status van Endpoint Security aanduidt De weergave van het pictogram duidt de status van Endpoint Security aan. Houd de aanwijzer boven het pictogram om een bericht weer te geven waarin de status wordt beschreven.

10


Producthandleiding


1

Pictogram Betekenis... Endpoint Security beschermt uw systeem en er zijn geen problemen. Endpoint Security detecteert een probleem met uw beveiliging, bijvoorbeeld een module of technologie is uitgeschakeld. • Firewall is uitgeschakeld. • Bedreigingspreventie: Exploitpreventie, Scan bij toegang of ScriptScan is uitgeschakeld. Endpoint Security rapporteert problemen anders, afhankelijk van het beheertype. • Eigen beheer: • Een of meer technologieën zijn uitgeschakeld. • Een of meer technologieën reageren niet. • Beheerd: • Een of meer technologieën zijn uitgeschakeld, niet als resultaat van beleidshandhaving door de beheerserver of via de Endpoint Security-client. • Een of meer technologieën reageren niet. Bij detectie van een probleem wordt op de pagina McAfee-beveiligingsstatus aangegeven welke module of technologie is uitgeschakeld. Zie ook Wat er bijgewerkt wordt op pagina 22

Meldingsberichten Endpoint Security gebruikt twee typen berichten om u op de hoogte te stellen over problemen met uw bescherming of om invoer te vragen. Sommige berichten worden mogelijk niet weergegeven, afhankelijk van hoe de instellingen zijn geconfigureerd. Het proces McTray.exe moet voor Endpoint Security worden uitgevoerd om meldingen weer te geven.

Endpoint Security verzendt twee typen meldingen: •

Waarschuwingen verschijnen vijf seconden lang via het pictogram McAfee en verdwijnen vervolgens weer. Waarschuwingen stellen u op de hoogte van bedreigingsdetecties, zoals Firewall-inbraken of wanneer een scan op verzoek wordt gepauzeerd of hervat. U hoeft geen actie te ondernemen.

•

Prompts openen een pagina onder aan uw scherm en blijven zichtbaar tot u een optie selecteert. Bijvoorbeeld: •

Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, vraagt Endpoint Security u mogelijk om de scan uit te stellen.

•

Wanneer de scan bij toegang een bedreiging detecteert, vraagt Endpoint Security u misschien om op de detectie te reageren.

•

Wanneer Bedreigingsinformatie een bestand met een onbekende reputatie detecteert, vraagt Endpoint Security u mogelijk of u het bestand wilt toestaan of blokkeren. Windows 8 en 10 gebruiken pop-upmeldingen: berichten die verschijnen om u op de hoogte te stellen van waarschuwingen en prompts. Klik op de pop-upmelding om de melding in Bureaubladmodus weer te geven.


Producthandleiding

11

1


Zie ook Reageren op een prompt van een bedreigingsdetectie op pagina 18 Reageren op een scanprompt op pagina 19 Reageren op een vraag over bestandsreputatie op pagina 19

De Endpoint Security-client Met de Endpoint Security-client kunt u de beveiligingsstatus van uw computer controleren en functies gebruiken. •

Opties in het menu Actie Instellingen

bieden toegang tot functies. Hiermee worden instellingen van functies geconfigureerd. Deze menuoptie is beschikbaar als aan een van de volgende voorwaarden is voldaan: • De Clientinterfacemodus is ingesteld op Volledige toegang. • U bent aangemeld als beheerder.

Extra.DAT laden

Hiermee kunt u een gedownload Extra.DAT-bestand installeren.

AMCore-inhoud terugzetten Hiermee wordt AMCore-inhoud hersteld naar een eerdere versie. Deze menuoptie is beschikbaar als er een eerdere versie van AMCore-inhoud op het systeem staat en aan een van de volgende voorwaarden wordt voldaan: • De Clientinterfacemodus is ingesteld op Volledige toegang. • U bent aangemeld als beheerder. Help

Hiermee wordt de Help weergegeven.

Ondersteuningskoppelingen Hiermee wordt een pagina weergegeven met koppelingen naar nuttige pagina's, zoals de McAfee ServicePortal en het Kenniscentrum. Aanmelden als beheerder

Hiermee wordt u aangemeld als sitebeheerder. (Hiervoor zijn beheerdersrechten vereist.) Het standaardwachtwoord is mcafee. Deze menuoptie is beschikbaar als de Clientinterfacemodus niet is ingesteld op Volledige toegang. Als u al bent aangemeld als beheerder, is deze optie Afmelden als beheerder.

•

Info

Hiermee wordt informatie over Endpoint Security weergegeven.

Afsluiten

Hiermee wordt de Endpoint Security-client afgesloten.

Knoppen rechtsboven aan de pagina bieden snel toegang tot veelgebruikte taken. Hiermee wordt op malware gecontroleerd met een Volledige scan of Snelle scan van uw systeem. Deze knop is alleen beschikbaar als de module Bedreigingspreventie is geïnstalleerd.

Hiermee worden inhoudsbestanden en softwareonderdelen op uw computer bijgewerkt. Deze knop wordt mogelijk niet weergegeven, afhankelijk van hoe de instellingen zijn geconfigureerd.

12


Producthandleiding


•

1

Knoppen aan de linkerkant van de pagina bieden informatie over uw beveiliging. Hiermee keert u terug naar de hoofdpagina Status.

Status

Gebeurtenislogboek Hiermee wordt het logboek van alle beveiligings- en bedreigingsgebeurtenissen op deze computer weergegeven. Quarantaine

Hiermee wordt de Quarantine Manager geopend. Deze knop is alleen beschikbaar als de module Bedreigingspreventie is geïnstalleerd.

•

Het Bedreigingsoverzicht biedt u informatie over bedreigingen die Endpoint Security in de afgelopen 30 dagen op uw systeem heeft gedecteerd.

Zie ook Een Extra.DAT-bestand op pagina 28 Aanmelden als beheerder op pagina 25 Uw computer scannen op malware op pagina 41 Beveiliging en software handmatig bijwerken op pagina 21 Het Gebeurtenislogboek op pagina 22 Items in quarantaine beheren op pagina 46 Endpoint Security beheren op pagina 25 Het Bedreigingsoverzicht op pagina 13

Het Bedreigingsoverzicht De pagina Endpoint Security-client Status biedt een realtime-overzicht van bedreigingen die in de afgelopen 30 dagen op uw systeem zijn gedetecteerd. Wannneer nieuwe bedreigingen worden gedetecteerd, werkt de pagina Status de gegevens in het gedeelte Bedreigingsoverzicht in het onderste venster dynamisch bij. Het Bedreigingsoverzicht bevat: •

Datum van de bedreiging die het laatst is geëlimineerd

•

Belangrijkste twee bedreigingsvectoren op categorie: Bedreigingen van webpagina's of downloads.

Web

Extern toestel of externe media Bedreigingen van externe apparaten, zoals USB, 1394 firewire, eSATA, tape, cd, dvd of schijf.

•

Netwerk

Bedreigingen van het netwerk (niet van bestandsdeling via netwerk).

Lokaal systeem

Bedreigingen van het lokale station met opstartbestanden (meestal C:) of stations anders dan Extern toestel of externe media.

Bestanden delen

Bedreigingen van bestandsdeling via netwerk.

E-mail

Bedreigingen van e-mailberichten.

Expresbericht

Bedreigingen van expresberichten.

Onbekend

Bedreigingen waarbij aanvalsvector niet is vastgesteld (vanwege foutconditie of andere fout).

Aantal bedreigingen per bedreigingsvector Als de Endpoint Security-client de Event Manager niet kan bereiken, geeft Endpoint Security-client een communicatiefoutbericht weer. In dit geval start u uw systeem opnieuw op om het Bedreigingsoverzicht weer te geven.


Producthandleiding

13

1


Het effect van instellingen op uw toegang tot de client Clientinterfacemodus-instellingen die aan uw computer zijn toegewezen, bepalen tot welke modules en functies u toegang hebt. Wijzig de Clientinterfacemodus in de Gedeelde instellingen. Voor beheerde systemen kunnen beleidswijzigingen van McAfee ePO wijzigingen overschrijven van de pagina Instellingen.

De opties van de Clientinterfacemodus voor de client zijn: Volledige toegang

Hiermee wordt toegang tot alle functies ingeschakeld, waaronder: • Afzonderlijke modules en functies in- en uitschakelen. • De pagina Instellingen oproepen om alle instellingen voor de Endpoint Security-client weer te geven of te wijzigen. Dit is de standaardinstelling voor systemen in eigen beheer.

Standaardtoegang

Hiermee wordt de beveiligingsstatus weergegeven en is toegang tot de meeste functies toegestaan: • De inhoudsbestanden en softwareonderdelen op uw computer bijwerken (indien ingeschakeld door de beheerder). • Een grondige controle van alle gebieden van uw systeem uitvoeren, aanbevolen als u denkt dat uw systeem is geïnfecteerd. • Gebieden van uw systeem die het meest vatbaar zijn voor infectie snel scannen (2 minuten). • Het Gebeurtenislogboek oproepen. • Items in de Quarantaine beheren. Deze modus is de standaardinstelling voor systemen die worden beheerd door McAfee ePO of McAfee ePO Cloud. Via de interfacemodus Standaardtoegang kunt u zich aanmelden als beheerder om toegang te krijgen tot alle functies, waaronder alle instellingen.

Clientinterface vergrendelen

Er is een wachtwoord vereist voor toegang tot de client. Het standaardwachtwoord is mcafee. Wanneer u de clientinterface hebt ontgrendeld, hebt u toegang tot alle functies.

Neem contact op met uw beheerder als u geen toegang hebt tot de Endpoint Security-client of specifieke taken en functies die u nodig hebt voor uw werk.

Zie ook Instellingen voor de beveiliging van de clientinterface configureren op pagina 31

Hoe geïnstalleerde modules de client beïnvloeden Bepaalde aspecten van de client zijn mogelijk niet beschikbaar, afhankelijk van de geïnstalleerde modules op uw computer. Deze functies zijn alleen beschikbaar als Bedreigingspreventie geïnstalleerd is: • Knop •

14

Knop Quarantaine


Producthandleiding


1

De functies die op het systeem zijn geïnstalleerd, bepalen welke functies worden weergegeven: •

In de vervolgkeuzelijst Gebeurtenislogboek Filteren op module.

•

Op de pagina Instellingen. Gedeelde instellingen Wordt weergegeven als een module is geïnstalleerd. Bedreigingspreventie Wordt alleen weergegeven als Bedreigingspreventie is geïnstalleerd. Firewall

Wordt alleen weergegeven als Firewall is geïnstalleerd.

Webcontrole

Wordt alleen weergegeven als Webcontrole is geïnstalleerd.

Bedreigingsinformatie Wordt alleen weergegeven als Bedreigingsinformatie en Bedreigingspreventie zijn geïnstalleerd. Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee ePO. Voor Bedreigingsinformatie moet Bedreigingspreventie zijn geïnstalleerd.

Afhankelijk van de Clientinterfacemodus en hoe de beheerder uw toegang heeft geconfigureerd, zijn enkele of al deze functies mogelijk niet beschikbaar.

Zie ook Het effect van instellingen op uw toegang tot de client op pagina 14


Producthandleiding

15

1


16


Producthandleiding

2

De Endpoint Security-client gebruiken

Gebruik de client in de modus Standaardtoegang om de meeste functies uit te voeren, zoals systeemscans en beheer van items in quarantaine. Inhoud De Endpoint Security-client openen Help-informatie Reageren op prompts Informatie over uw beveiliging verkrijgen Beveiliging en software handmatig bijwerken Het Gebeurtenislogboek Endpoint Security beheren

De Endpoint Security-client openen Open de Endpoint Security-client om de status van de beveiligingsfuncties die op de computer zijn geïnstalleerd, weer te geven. Als de interfacemodus is ingesteld op Clientinterface vergrendelen, moet u het beheerderswachtwoord invoeren om de Endpoint Security-client te openen. Procedure 1

2

U geeft de Endpoint Security-client op een van de volgende manieren weer: •

Klik met de rechtermuisknop op het pictogram in het systeemvak en selecteer McAfee Endpoint Security.

•

Selecteren Start | Alle programma's | McAfee | McAfee Endpoint Security.

•

Start de McAfee Endpoint Security-app in Windows 8 en 10. 1

Druk op de Windows-toets.

2

Voer McAfee Endpoint Security in het zoekvak in en dubbelklik op de McAfee Endpoint Security-app of raak de app aan.

Indien u daarom gevraagd wordt, voert u het beheerderswachtwoord op de pagina Aanmelden als beheerder in en klikt u op Aanmelden.

Endpoint Security-client wordt geopend in de interfacemodus die de beheerder heeft geconfigureerd. Zie ook De clientinterface ontgrendelen op pagina 26


Producthandleiding

17

2

De Endpoint Security-client gebruiken Help-informatie

Help-informatie U kunt op twee manieren hulp verkrijgen wanneer u in de client werkt: de menuoptie Help en het pictogram ?. Procedure 1

Open de Endpoint Security-client.

2

Afhankelijk van de pagina waarop u zich bevindt: •

De pagina's Status, Gebeurtenislogboek en Quarantaine: selecteer in het menu Actie

•

De pagina's Instellingen, Update, Systeem scannen, AMCore-inhoud terugzetten en Extra.DAT laden: klik op ? in de interface.

de optie Help.

Reageren op prompts Afhankelijk van hoe instellingen zijn geconfigureerd, vraagt Endpoint Security u mogelijk om invoer wanneer een geplande scan op aanvraag op het punt staat om te starten. Taken •

Reageren op een prompt van een bedreigingsdetectie op pagina 18 Wanneer de scanner een bedreiging detecteert, vraagt Endpoint Security u misschien om invoer om door te gaan, afhankelijk van hoe de instellingen zijn geconfigureerd.

•

Reageren op een scanprompt op pagina 19 Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, vraagt Endpoint Security u mogelijk om invoer om verder te gaan. De prompt wordt alleen weergegeven als de scan zo is geconfigureerd dat u de scan kunt uitstellen, onderbreken, hervatten of annuleren.

•

Reageren op een vraag over bestandsreputatie op pagina 19 Wanneer een bestand met een bepaalde reputatie probeert te openen op uw systeem, vraagt Endpoint Security u misschien om invoer om door te gaan. Deze prompt wordt alleen weergegeven als Bedreigingsinformatie geconfigureerd is om dit te doen.

Reageren op een prompt van een bedreigingsdetectie Wanneer de scanner een bedreiging detecteert, vraagt Endpoint Security u misschien om invoer om door te gaan, afhankelijk van hoe de instellingen zijn geconfigureerd. Windows 8 en 10 gebruiken pop-upmeldingen: berichten die verschijnen om u op de hoogte te stellen van waarschuwingen en prompts. Klik op de pop-upmelding om de melding in Bureaubladmodus weer te geven.

Procedure Klik voor optiedefinities op ? in de interface. •

Selecteer op de pagina Scan bij toegang opties om bedreigingsdetecties te beheren. U kunt de scanpagina op elk moment opnieuw openen om detecties te beheren.

De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. Zie ook Bedreigingsdetecties beheren op pagina 45

18


Producthandleiding

De Endpoint Security-client gebruiken Reageren op prompts

2

Reageren op een scanprompt Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, vraagt Endpoint Security u mogelijk om invoer om verder te gaan. De prompt wordt alleen weergegeven als de scan zo is geconfigureerd dat u de scan kunt uitstellen, onderbreken, hervatten of annuleren. Als u geen optie selecteert, gaat de scan automatisch van start. (Alleen beheerde systemen) Als de scan is geconfigureerd om de scan alleen uit te voeren wanneer de computer niet actief is, geeft Endpoint Security een dialoogvenster weer wanneer de scan wordt onderbroken. Als deze optie is geconfigureerd, kunt u deze onderbroken scans ook hervatten of opnieuw instellen zodat ze alleen worden uitgevoerd wanneer u niet actief bent. Windows 8 en 10 gebruiken pop-upmeldingen: berichten die verschijnen om u op de hoogte te stellen van waarschuwingen en prompts. Klik op de pop-upmelding om de melding in Bureaubladmodus weer te geven.

Procedure Klik voor optiedefinities op ? in de interface. •

Selecteer een van de volgende opties bij de prompt. Welke opties worden weergegeven, is afhankelijk van hoe de scan is geconfigureerd.

Nu scannen

Hiermee wordt de scan onmiddellijk gestart.

Scan weergeven

Hiermee worden detecties weergegeven voor een scan die wordt uitgevoerd.

Scan onderbreken Hiermee wordt de scan gepauzeerd. Afhankelijk van de configuratie wordt de scan, wanneer u op Scan onderbreken klikt, misschien opnieuw ingesteld om alleen te worden uitgevoerd wanneer u niet actief bent. Klik op Scan hervatten om de scan te hervatten op het punt waarop de scan werd onderbroken. Scan hervatten

Hiermee wordt een onderbroken scan hervat.

Scan annuleren

Hiermee wordt de scan geannuleerd.

Scan uitstellen

Hiermee wordt de scan met het opgegeven aantal uur vertraagd. Opties voor geplande scans bepalen hoe vaak u de scan met één uur kunt uitstellen. U kunt de scan misschien meer dan een keer uitstellen.

Sluiten

Hiermee wordt de scanpagina gesloten.

Wanneer de scanner een bedreiging detecteert, vraagt Endpoint Security u misschien om invoer om door te gaan, afhankelijk van hoe de instellingen zijn geconfigureerd.

Reageren op een vraag over bestandsreputatie Wanneer een bestand met een bepaalde reputatie probeert te openen op uw systeem, vraagt Endpoint Security u misschien om invoer om door te gaan. Deze prompt wordt alleen weergegeven als Bedreigingsinformatie geconfigureerd is om dit te doen. Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee ePO.

De beheerder configureert de reputatiedrempel, waarna een prompt wordt weergegeven. Als de reputatiedrempel bijvoorbeeld Onbekend is, vraagt Endpoint Security uw reactie voor alle bestanden met een onbekende reputatie.


Producthandleiding

19

2

De Endpoint Security-client gebruiken Informatie over uw beveiliging verkrijgen

Als u geen optie selecteert, voert Bedreigingsinformatie de standaardactie uit die is geconfigureerd door de beheerder. De prompt, time-out en standaardactie zijn afhankelijk van de configuratie van Bedreigingsinformatie. Windows 8 en 10 gebruiken pop-upmeldingen: berichten die verschijnen om u op de hoogte te stellen van waarschuwingen en prompts. Klik op de pop-upmelding om de melding in Bureaubladmodus weer te geven.

Procedure Klik voor optiedefinities op ? in de interface. 1

(Optioneel) Bij de prompt voert u het bericht in dat naar de beheerder wordt gestuurd. Gebruik het bericht bijvoorbeeld om het bestand te beschrijven of om uw beslissing om het bestand toe te staan of te blokkeren op uw systeem toe te lichten.

2

Klik op Toestaan of Blokkeren. Toestaan

Hiermee wordt het bestand toegestaan.

Blokkeren

Hiermee wordt het bestand op uw systeem geblokkeerd.

Als u wilt dat Bedreigingsinformatie onthoudt of u het bestand toestaat of blokkeert, selecteert u Deze beslissing onthouden. Bedreigingsinformatie voert een actie uit op basis van uw keuze, of de standaardactie, en sluit het promptvenster.

Informatie over uw beveiliging verkrijgen U kunt informatie verkrijgen over Endpoint Security-bescherming, waaronder beheertype, beveiligingsmodules, functies, status, versienummers en licenties. Procedure 1


2

Selecteer in het menu Actie

3

Klik op de naam van een module of functie aan de linkerkant om naar informatie over dat item te springen.

4

Klik op de knop Sluiten van de browser om de pagina Info te sluiten.

de optie Info.

Zie ook Beheertypen op pagina 20 De Endpoint Security-client openen op pagina 17

Beheertypen Het beheertype geeft aan hoe Endpoint Security wordt beheerd. Voor beheerde systemen kunnen beleidswijzigingen van McAfee ePO wijzigingen overschrijven van de pagina Instellingen.

20


Producthandleiding

2

De Endpoint Security-client gebruiken Beveiliging en software handmatig bijwerken

Beheertype

Beschrijving

McAfee ePolicy Orchestrator

Een beheerder beheert Endpoint Security via McAfee ePO (op locatie).

McAfee ePolicy Orchestrator Cloud

Een beheerder beheert Endpoint Security via McAfee ePO Cloud.

Eigen beheer

Endpoint Security wordt lokaal beheerd via Endpoint Security-client. Deze modus wordt ook onbeheerd of zelfstandig genoemd.

Beveiliging en software handmatig bijwerken Afhankelijk van uw instellingen kunt u handmatig op updates voor inhoudsbestanden en softwareonderdelen controleren en deze downloaden van de Endpoint Security-client. . Handmatige updates staan bekend als updates op verzoek. U kunt ook handmatige updates uitvoeren via het McAfee-systeemvakpictogram. Raadpleeg Het McAfee-systeemvakpictogram op pagina 10 voor meer informatie. Endpoint Security biedt geen ondersteuning voor het handmatig ophalen en kopiëren van bijgewerkte inhoudsbestanden naar het clientsysteem. Als u hulp nodig hebt bij het bijwerken naar een specifieke inhoudsversie, neem dan contact op met Ondersteuning van McAfee .

Procedure 1


2 Klik op

.

Als niet in de client wordt weergegeven, kunt u de optie in de instellingen inschakelen. Raadpleeg Het standaardgedrag configureren voor updates op pagina 35 voor meer informatie.

Endpoint Security-client controleert op updates. •

Klik op Annuleren om de update te annuleren. Deze optie is alleen beschikbaar op systemen in eigen beheer en in beheer van McAfee ePO.

•

Als uw systeem up-to-date is, wordt Geen updates beschikbaar en de datum en tijd van de laatste update op de pagina weergegeven.

•

Als de update goed wordt voltooid, worden de huidige datum en tijd voor de laatste update weergegeven.

Berichten of fouten worden in het gedeelte Berichten weergegeven. Bekijk het PackageManager_Activity.log of PackageManager_Debug.log voor meer informatie. 3

Klik op Sluiten om de pagina Bijwerken te sluiten.

Zie ook Hoe uw beveiliging up-to-date blijft op pagina 8 Logboekbestanden op pagina 23 Wat er bijgewerkt wordt op pagina 22 De Endpoint Security-client openen op pagina 17


Producthandleiding

21

2

De Endpoint Security-client gebruiken Het Gebeurtenislogboek

Wat er bijgewerkt wordt De manier waarop Endpoint Security beveiligingsinhoud, software (hotfixes en patches) en beleidsinstellingen bijwerkt, is afhankelijk van het beheertype. Op systemen in eigen beheer en systemen die door McAfee ePO worden beheerd kunt u de zichtbaarheid en het gedrag van de knop configureren. Raadpleeg Updatetaken configureren, plannen en uitvoeren op pagina 36 voor meer informatie.

Beheertype

Updatemethode

Updates

McAfee ePO

Optie Beveiliging bijwerken in het menu van het McAfee-systeemvakpictogram

Alleen inhoud en software, geen beleidsinstellingen.

Knop Security-client

Inhoud, software en beleidsinstellingen, indien geconfigureerd.

McAfee ePO Cloud

Eigen beheer

in de Endpoint

Optie Beveiliging bijwerken in het menu van het McAfee-systeemvakpictogram

Inhoud, software en beleidsinstellingen.

Knop Security-client

Inhoud, software en beleidsinstellingen, indien geconfigureerd.

in de Endpoint

Optie Beveiliging bijwerken in het menu van het McAfee-systeemvakpictogram Knop Security-client

in de Endpoint

Alleen inhoud en software. Inhoud, software en beleidsinstellingen, indien geconfigureerd.

Het Gebeurtenislogboek In de activiteits- en foutopsporingslogboeken wordt bijgehouden welke gebeurtenissen plaatsvinden op het met McAfee beveiligde systeem. U kunt het Gebeurtenislogboek bekijken via de Endpoint Security-client. Procedure Selecteer in het menu Actie

de optie Help voor hulp.

1


2

Klik op Gebeurtenislogboek aan de linkerkant van de pagina. Op de pagina staan gebeurtenissen die Endpoint Security de afgelopen 30 dagen op het systeem heeft geregistreerd. Als de Endpoint Security-client de Event Manager niet kan bereiken, wordt een communicatiefoutbericht weergegeven. In dit geval start u het systeem opnieuw op om het Gebeurtenislogboek weer te geven.

3

Selecteer een gebeurtenis in het bovenste deelvenster om de details in het onderste deelvenster weer te geven. Als u de relatieve grootte van de deelvensters wilt wijzigen, klikt u op het raamwidget en versleept u dit tussen de deelvensters.

22


Producthandleiding

2


4

Op de pagina Gebeurtenislogboek kunt u gebeurtenissen sorteren, doorzoeken, filteren of opnieuw laden. Welke opties worden weergegeven, is afhankelijk van hoe de scan is geconfigureerd.

Als u het volgende wilt doen...

Stappen

Gebeurtenissen op datum, functies, uitgevoerde actie en ernst sorteren.

Klik op de tabelkolomkop.

Zoek in het gebeurtenislogboek.

Voer de zoektekst in het veld Zoeken in en druk op Enter of klik op Zoeken. De zoekopdracht is niet hoofdlettergevoelig en doorzoekt alle velden van het gebeurtenislogboek op de zoektekst. In de gebeurtenislijst ziet u alle elementen met de overeenkomende tekst. Als u de zoekopdracht wilt annuleren en alle gebeurtenissen wilt weergeven, klikt u op x in het veld Zoeken.

5

Filter gebeurtenissen op ernst of module.

Selecteer een optie in de filtervervolgkeuzelijst.

Vernieuw de weergave van het Gebeurtenislogboek met gegevens van nieuwe gebeurtenissen.

Klik op

Open de map met de logboekbestanden.

Klik op Map met logboeken weergeven.

Selecteer Alle gebeurtenissen weergeven in de vervolgkeuzelijst om het filter te verwijderen en alle gebeurtenissen weer te geven. .

Navigeer door het Gebeurtenislogboek. Als u het volgende wilt doen...

Stappen

Geef de vorige pagina met gebeurtenissen weer.

Klik op Vorige pagina.

Geef de volgende pagina met gebeurtenissen weer. Klik op Volgende pagina. Geef een specifieke pagina in het logboek weer.

Voer een paginanummer in en druk op Enter of klik op OK.

Het Gebeurtenislogboek geeft standaard 20 gebeurtenissen per pagina weer. Selecteer een optie in de vervolgkeuzelijst Gebeurtenissen per pagina om meer gebeurtenissen per pagina weer te geven. Zie ook Logboekbestanden op pagina 23 De Endpoint Security-client openen op pagina 17

Logboekbestanden In de activiteits-, fouten foutopsporingslogboeken wordt bijgehouden welke gebeurtenissen plaatsvinden op systemen waarop Endpoint Security is ingeschakeld. U configureert registratie in de Gedeelde instellingen. Activiteitenlogboekbestanden worden altijd weergegeven in de taal die in de standaardlandinstellingen van het systeem is opgegeven.

Alle activiteits- en foutopsporingslogboeken worden op een van de volgende standaardlocaties opgeslagen, afhankelijk van het besturingssysteem.


Producthandleiding

23

2


Besturingssysteem

Standaardlocatie

Microsoft Windows 10

%ProgramData%\McAfee\Endpoint Security\Logs

Microsoft Windows 8 en 8.1 Microsoft Windows 7 Microsoft Vista

C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint Security\Logs

Elke module, functie of technologie plaatst activiteits- of foutopsporingsregistratie in een apart bestand. Alle modules plaatsen foutregistratie in één EndpointSecurityPlatform_Errors.log. Wanneer u foutregistratie voor een willekeurige module inschakelt, wordt ook foutregistratie voor de functies van de module Gedeelde instellingen ingeschakeld, zoals Zelfbeveiliging.

Tabel 2-1 Logboekbestanden Module

Functie of technologie

Gedeelde instellingen

Bestandsnaam EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log

Zelfbeveiliging

SelfProtection_Activity.log SelfProtection_Debug.log

Updates

PackageManager_Activity.log PackageManager_Debug.log

Fouten Bedreigingspreventie

EndpointSecurityPlatform_Errors.log Wanneer u foutregistratie voor een willekeurige Bedreigingspreventie-technologie inschakelt, wordt ook foutregistratie voor de Endpoint Security-client ingeschakeld.

Toegangsbeveiliging

ThreatPrevention_Activity.log ThreatPrevention_Debug.log

AccessProtection_Activity.log AccessProtection_Debug.log

Exploitpreventie

ExploitPrevention_Activity.log ExploitPrevention_Debug.log

Scanner bij toegang

OnAccessScan_Activity.log OnAccessScan_Debug.log

Scanner op verzoek

OnDemandScan_Activity.log

• Snelle scan

OnDemandScan_Debug.log

• Volledige scan • Rechtermuisknopscan Endpoint Security-client Firewall

MFEConsole_Debug.log Firewall_Activity.log Firewall_Debug.log FirewallEventMonitor.log Registreert geblokkeerde en toegestane verkeersgebeurtenissen, indien geconfigureerd.

24


Producthandleiding

De Endpoint Security-client gebruiken Endpoint Security beheren

2

Tabel 2-1 Logboekbestanden (vervolg) Module

Functie of technologie

Webcontrole

Bestandsnaam WebControl_Activity.log WebControl_Debug.log

Bedreigingsinformatie

Wanneer u foutregistratie voor een willekeurige Bedreigingspreventie-technologie inschakelt, wordt ook foutregistratie voor Bedreigingsinformatie ingeschakeld.

ThreatIntelligence_Activity.log ThreatIntelligence_Debug.log

De installatielogboeken worden standaard op de volgende locaties opgeslagen: Eigen beheer

%TEMP%\McAfeeLogs (TEMP-map van Windows-gebruiker)

Beheerd

TEMP\McAfeeLogs (TEMP-map op Windows-systeem)

Endpoint Security beheren Als beheerder kunt u Endpoint Security beheren via de Endpoint Security-client. U kunt hier functies in- en uitschakelen, inhoudsbestanden beheren, opgeven hoe de clientinterface werkt, taken plannen en algemene instellingen configureren. Voor beheerde systemen kunnen beleidswijzigingen van McAfee ePO wijzigingen overschrijven van de pagina Instellingen.

Zie ook Aanmelden als beheerder op pagina 25 De clientinterface ontgrendelen op pagina 26 Functies uit- en inschakelen op pagina 26 De AMCore-inhoudsversie wijzigen op pagina 27 Extra.DAT-bestanden gebruiken op pagina 27 Algemene instellingen configureren op pagina 28

Aanmelden als beheerder Als de interfacemodus voor Endpoint Security-client is ingesteld op Standaardtoegang, kunt u zich aanmelden als beheerder om toegang te krijgen tot alle instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client moet zijn ingesteld op Standaardtoegang.

Procedure Selecteer in het menu Actie


1


2

Selecteer Aanmelden als beheerder

3

Voer in het veld Wachtwoord het beheerderswachtwoord in en klik op Aanmelden.


in het menu Actie.

Producthandleiding

25

2


U hebt nu toegang tot alle functies van de Endpoint Security-client. Als u zich wilt afmelden, selecteert u Actie | Afmelden als beheerder. De client keert terug naar de interfacemodus Standaardtoegang.

De clientinterface ontgrendelen Als de interface voor Endpoint Security-client is vergrendeld, ontgrendelt u deze met het beheerderswachtwoord om toegang te krijgen tot alle instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client moet zijn ingesteld op Clientinterface vergrendelen. Procedure 1


2

Voer op de pagina Aanmelden als beheerder het beheerderswachtwoord in het veld Wachtwoord in en klik op Aanmelden.

Endpoint Security-client wordt geopend, en u hebt toegang tot alle functies van de client. Wilt u zich afmelden en de client sluiten, dan selecteert u in het menu Actie beheerder.

de optie Afmelden als

Functies uit- en inschakelen Als beheerder kunt u Endpoint Security-functies uit- en inschakelen via de Endpoint Security-client. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Op de pagina Status wordt de ingeschakelde status van de module of functie weergegeven. Dit is misschien niet de werkelijke status van de functie. U kunt de status van elke functie op de pagina Instellingen zien. Als de instelling ScriptScan inschakelen bijvoorbeeld niet goed wordt toegepast, is de status mogelijk (Status: uitgeschakeld).



2

Klik op de modulenaam (zoals Threat Prevention of Firewall) op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen.

3

de optie Instellingen en klik op de modulenaam op de pagina

Schakel de optie Module of Functie inschakelen in of uit. Wanneer u een van de Bedreigingspreventie-functies inschakelt, wordt de Bedreigingspreventie-module ingeschakeld.

Zie ook Aanmelden als beheerder op pagina 25

26


Producthandleiding


2

De AMCore-inhoudsversie wijzigen Gebruik Endpoint Security-client om de versie van AMCore-inhoud op uw systeem te wijzigen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Endpoint Security slaat het huidig geladen inhoudsbestand en de eerdere twee versies op in de Program Files\Common Files\McAfee\Engine\content-map op. Indien vereist kunt u naar een eerdere versie terugkeren. Procedure Klik voor optiedefinities op ? in de interface. 1


2


3

Selecteer in de vervolgkeuzelijst de versie die moet worden geladen.

4

Klik op Toepassen.

de optie AMCore-inhoud terugzetten.

De detecties in het geladen AMCore-inhoudsbestand worden onmiddellijk geïmplementeerd. Zie ook Hoe inhoudsbestanden werken op pagina 9 Aanmelden als beheerder op pagina 25

Extra.DAT-bestanden gebruiken U kunt een Extra.DAT-bestand installeren om uw systeem te beschermen tegen een grote malware-uitbraak tot de volgende geplande update van AMCore-inhoud wordt uitgegeven. Taken •

Extra.DAT-bestanden downloaden op pagina 28 Als u een Extra.DAT-bestand wilt downloaden, klikt u op de downloadkoppeling die u van McAfee Labs hebt ontvangen.

•

Een Extra.DAT-bestand op pagina 28 Gebruik Endpoint Security-client om het gedownloade Extra.DAT-bestand te installeren.

Zie ook Extra.DAT-bestanden op pagina 27

Extra.DAT-bestanden Als nieuwe malware wordt ontdekt en extra detectie is vereist, brengt McAfee Labs een Extra.DAT-bestand uit. Extra.DAT-bestanden bevatten informatie die Bedreigingspreventie gebruikt voor verwerking van de nieuwe malware. U kunt Extra.DAT-bestanden voor specifieke bedreigingen downloaden via de McAfee Labs Extra.DAT-aanvraagpagina.

Bedreigingspreventie ondersteunt alleen het gebruik van één Extra.DAT-bestand.


Producthandleiding

27

2


In elk Extra.DAT-bestand is een vervaldatum ingebouwd. Wanneer het Extra.DAT-bestand is geladen, wordt deze vervaldatum vergeleken met de build-datum van de AMCore-inhoud die op het systeem is geïnstalleerd. Als de build-datum van de AMCore-inhoudset later is dan de vervaldatum van Extra.DAT, wordt Extra.DAT beschouwd als verlopen en niet langer geladen en gebruikt door de engine. Bij de volgende update wordt de Extra.DAT uit het systeem verwijderd. Als de volgende update van AMCore-inhoud de Extra.DAT-handtekening bevat, wordt de Extra.DAT verwijderd. Endpoint Security slaat Extra.DAT-bestanden op in de map c:\Program Files\Common Files\McAfee \Engine\content\avengine\extradat.

Extra.DAT-bestanden downloaden Als u een Extra.DAT-bestand wilt downloaden, klikt u op de downloadkoppeling die u van McAfee Labs hebt ontvangen. Procedure 1

Klik op de downloadkoppeling, geef een locatie op waar het Extra.DAT-bestand moet worden opgeslagen, en klik op Opslaan.

2

Indien nodig pakt u het EXTRA.ZIP-bestand uit.

3

Laad het Extra.DAT-bestand met Endpoint Security-client.

Een Extra.DAT-bestand Gebruik Endpoint Security-client om het gedownloade Extra.DAT-bestand te installeren. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder.



2


3

Klik op Bladeren, ga naar de locatie waar u het Extra.DAT-bestand hebt gedownload en klik op Openen.

4

Klik op Toepassen.

de optie Extra.DAT laden.

De nieuwe detecties in de Extra.DAT worden onmiddellijk geïmplementeerd.. Zie ook Aanmelden als beheerder op pagina 25

Algemene instellingen configureren Configureer instellingen die van toepassing zijn op alle modules en functies van Endpoint Security in de module Gedeelde instellingen. Deze instellingen bestaan onder meer uit Endpoint

28


Producthandleiding


2

Security-client-interfacebeveiliging en taalinstellingen, registratie, proxyserverinstellingen voor McAfee GTI en updateconfiguratie. Taken •

Endpoint Security-bronnen beveiligen op pagina 29 Tijdens een aanval probeert malware als eerste de beveiligingssoftware van uw systeem uit te schakelen. Configureer Zelfbeveiliging voor Endpoint Security in de instellingen van Gedeelde instellingen om te voorkomen dat Endpoint Security-services en -bestanden gestopt of gewijzigd worden.

•

Registratie-instellingen configureren op pagina 30 Configureer Endpoint Security-registratie in de instellingen van Gedeelde instellingen.

•

Verificatie certificaat toestaan op pagina 30 Met certificaten kan een leverancier code uitvoeren in McAfee-processen.

•

Instellingen voor de beveiliging van de clientinterface configureren op pagina 31 Configureer het interfacewachtwoord en de weergaveopties voor Endpoint Security-client in de instellingen van Gedeelde instellingen.

•

Proxyserverinstellingen configureren voor McAfee GTI op pagina 32 Geef proxyserveropties op om McAfee GTI-reputatie op te halen in de instellingen van Gedeelde instellingen.

Endpoint Security-bronnen beveiligen Tijdens een aanval probeert malware als eerste de beveiligingssoftware van uw systeem uit te schakelen. Configureer Zelfbeveiliging voor Endpoint Security in de instellingen van Gedeelde instellingen om te voorkomen dat Endpoint Security-services en -bestanden gestopt of gewijzigd worden. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Het zou nooit nodig moeten zijn voor gebruikers, beheerders, ontwikkelaars of beveiligingsprofessionals om de Endpoint Security-beveiliging op hun systemen uit te schakelen.



2


3

Klik op Geavanceerd weergeven.

4

Controleer via Zelfbeveiliging of Zelfbeveiliging is ingeschakeld.

5

Specificeer de actie voor elk van de volgende Endpoint Security-bronnen:

6

de optie Instellingen.

•

Bestanden en mappen: hiermee wordt voorkomen dat gebruikers de database, binaire bestanden, bestanden voor beveiligd zoeken en configuratiebestanden van McAfee wijzigen.

•

Register: hiermee wordt voorkomen dat gebruikers registercomponenten en COM-onderdelen van McAfee wijzigen, en verwijderen met behulp van de registerwaarde.

•

Processen: hiermee wordt voorkomen dat McAfee-processen worden gestopt.

Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren.


Producthandleiding

29

2



Registratie-instellingen configureren Configureer Endpoint Security-registratie in de instellingen van Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder.



2


3


4

Configureer de instellingen van Klantlogboekgebruik op de pagina.

5



Zie ook Logboekbestanden op pagina 23 Aanmelden als beheerder op pagina 25

Verificatie certificaat toestaan Met certificaten kan een leverancier code uitvoeren in McAfee-processen. Wanneer een proces wordt gedetecteerd, wordt de certificaattabel gevuld met de Leverancier, het Onderwerp en de Openbare sleutel SHA-1. Deze instelling kan resulteren in compatibiliteitsproblemen en verminderde beveiliging.

Klik voor optiedefinities op ? in de interface. Procedure 1


2


3


4

Selecteer in de sectie Certificaten de optie Toestaan.

5



De certificaatgegevens worden weergegeven in de tabel.

30


Producthandleiding


2

Instellingen voor de beveiliging van de clientinterface configureren Configureer het interfacewachtwoord en de weergaveopties voor Endpoint Security-client in de instellingen van Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Ga voorzichtig te werk bij het wijzigen van deze instellingen, omdat gebruikers hierdoor hun beveiligingsconfiguratie kunnen wijzigen en systemen mogelijk niet beschermd worden tegen malwareaanvallen.



2


3

Configureer de instellingen van de Clientinterfacemodus op de pagina.

4



Zie ook Effecten van een beheerderswachtwoord instellen op pagina 31 Aanmelden als beheerder op pagina 25

Effecten van een beheerderswachtwoord instellen Wanneer u de interfacemodus instelt op Standaardtoegang, moet u ook een beheerderswachtwoord instellen. Een beheerderswachtwoord op de Endpoint Security-client instellen is van invloed op de volgende gebruikers: Niet-beheerders

Niet-beheerders kunnen:

(gebruikers zonder beheerdersrechten)

• Bepaalde configuratieparameters weergeven. • Scans uitvoeren. • Controleren op updates (indien ingeschakeld). • De Quarantaine weergeven. • Het Gebeurtenislogboek bekijken. • Roep de pagina Instellingen op om Firewall-regels weer te geven of wijzigen (indien ingeschakeld). Niet-beheerders kunnen niet: • Configuratieparameters wijzigen. • U kunt instellingen weergeven, maken, verwijderen of wijzigen. Eén uitzondering is de mogelijkheid om Firewall-regels weer te geven of wijzigen (indien ingeschakeld).

Beheerders (gebruikers met beheerdersrechten)


Beheerders moeten het wachtwoord invoeren om toegang tot de beveiligde delen te krijgen en instellingen te wijzigen.

Producthandleiding

31

2


Proxyserverinstellingen configureren voor McAfee GTI Geef proxyserveropties op om McAfee GTI-reputatie op te halen in de instellingen van Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder.



2


3


4

Configureer instellingen voor Proxyserver voor McAfee GTI op de pagina.

5



Zie ook Zo werkt McAfee GTI op pagina 32 Aanmelden als beheerder op pagina 25

Zo werkt McAfee GTI Als u de scan bij toegang of op verzoek inschakelt voor McAfee GTI, gebruikt de scanner heuristische methoden om te controleren op verdachte bestanden. Op de McAfee GTI-server worden siteclassificaties en -rapporten opgeslagen voor Webcontrole. Als u Webcontrole configureert om gedownloade bestanden te scannen, gebruikt de scanner de bestandsreputatie verschaft door McAfee GTI om te controleren op verdachte bestanden. De scanner dient vingerafdrukken of voorbeelden, of hashes, in bij een centrale databaseserver die gehost wordt door McAfee Labs om te bepalen of het malware betreft. Door hashes in te dienen is detectie mogelijk eerder beschikbaar dan de volgende update van inhoudsbestanden, wanneer McAfee Labs de update publiceert. U kunt het gevoeligheidsniveau instellen dat McAfee GTI gebruikt om te bepalen of een gedetecteerd voorbeeld malware is. Hoe hoger het gevoeligheidsniveau, hoe hoger het aantal malwaredetecties. Als u meer detecties toestaat, krijgt u echter ook mogelijk meer valse positieve resultaten. Voor Bedreigingspreventie is het gevoeligheidsniveau van McAfee GTI standaard ingesteld op Gemiddeld. Configureer het gevoeligheidsniveau voor elke scanner in de instellingen van de module Bedreigingspreventie. Voor Webcontrole is het gevoeligheidsniveau van McAfee GTI standaard ingesteld op Zeer hoog. Configureer het gevoeligheidsniveau voor het scannen van bestandsdownloads in de instellingen voor Webcontrole van Webcontrole. U kunt instellen dat Endpoint Security een proxyserver moet gebruiken om McAfee GTI-reputatiegegevens op te halen in de instellingen van de Gedeelde instellingen.

32


Producthandleiding


2

Updategedrag configureren Geef het gedrag op voor updates die worden gestart via de Endpoint Security-client in de Gedeelde instellingen. Taken •

Bronlocaties configureren voor updates op pagina 33 Voor systemen in eigen beheer en in beheer van McAfee ePO kunt u de sites configureren waarvan Endpoint Security-client bijgewerkte beveiligingsbestanden ontvangt in de instellingen van de Gedeelde instellingen .

•

Het standaardgedrag configureren voor updates op pagina 35 Voor systemen in eigen beheer en in beheer van McAfee ePO kunt u het standaardgedrag opgeven voor updates die worden gestart vanuit de Endpoint Security-client in de instellingen van de Gedeelde instellingen .

•

Updatetaken configureren, plannen en uitvoeren op pagina 36 Voor systemen in eigen beheer en in beheer van McAfee ePO kunt u aangepaste updatetaken configureren, of de taakplanning van de Standaard clientupdate wijzigen via de Endpoint Security-client in de module Gedeelde instellingen.

•

Spiegeltaken configureren, plannen en uitvoeren op pagina 38 U kunt spiegeltaken wijzigen of plannen vanuit de Endpoint Security-client in de module Gedeelde instellingen.

Bronlocaties configureren voor updates Voor systemen in eigen beheer en in beheer van McAfee ePO kunt u de sites configureren waarvan Endpoint Security-client bijgewerkte beveiligingsbestanden ontvangt in de instellingen van de Gedeelde instellingen . Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. U kunt deze instellingen alleen op systemen in eigen beheer en systemen in beheer van McAfee ePO configureren.



2


3


4

Klik via Gedeelde instellingen op Opties.

5

Configureer de instellingen van Bronlocaties voor updates op de pagina.


U kunt de standaardbronlocatie voor back-up, McAfeeHttp en de beheerserver (voor beheerde systemen) in- en uitschakelen, maar u kunt ze verder niet wijzigen of verwijderen. De volgorde van de sites bepaalt de volgorde die Endpoint Security gebruikt om naar de updatelocatie te zoeken.


Producthandleiding

33

2


Als u het volgende wilt doen... Volgt u deze stappen Een site aan de lijst toevoegen.

1 Klik op Toevoegen. 2 Geef de site-instellingen op en klik op OK. De site wordt weergegeven aan het begin van de lijst.

Een bestaande site wijzigen.

1 Dubbelklik op de naam van de site. 2 Wijzig de instellingen en klik op OK.

Een site verwijderen.

Selecteer de site en klik op Verwijderen.

Sites importeren van een bestand 1 Klik op Importeren. met een bronlocatielijst. 2 Selecteer het bestand dat u wilt importeren en klik op OK. Het bestand met de locatielijst vervangt de bestaande lijst met bronlocaties.

De bronlocatielijst exporteren naar een SiteList.xml-bestand.

De volgorde van de sites in de lijst wijzigen.

1 Klik op Alles exporteren. 2 Selecteer de locatie om het bestand met de bronlocatielijst naar op te slaan, en klik op OK. Elementen verplaatsen: 1 Selecteer elementen om te verplaatsen. De greep wordt links van elementen die kunnen worden verplaatst weergegeven. 2 Versleep de elementen naar de nieuwe locatie. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten.

6


Zie ook Inhoud van de lijst met opslagplaatsen op pagina 34 Hoe de taak Standaard clientupdate werkt op pagina 36 Aanmelden als beheerder op pagina 25 Updatetaken configureren, plannen en uitvoeren op pagina 36

Inhoud van de lijst met opslagplaatsen De lijst met opslagplaatsen bevat informatie over opslagplaatsen die McAfee Agent gebruikt om McAfee-producten bij te werken, waaronder engine- en DAT-bestanden. De lijst met opslagplaatsen omvat: •

informatie en locatie van opslagplaatsen

•

voorkeursvolgorde van opslagplaatsen

•

proxyserverinstellingen, waar vereist

•

versleutelde aanmeldingsgegevens die vereist zijn voor toegang tot de opslagplaatsen.

De clienttaak McAfee Agent Productupdate maakt verbinding met de eerste ingeschakelde opslagplaats (updatelocatie) in de lijst met opslagplaatsen. Als deze opslagplaats niet beschikbaar is, maakt de taak contact met de volgende site totdat er een verbinding wordt gemaakt of het einde van de lijst wordt bereikt.

34


Producthandleiding


2

Als uw netwerk een proxyserver gebruikt, kunt u opgeven welke proxy-instellingen moeten worden gebruikt, wat het adres van de proxyserver is en of u verificatie wilt gebruiken. Proxygegevens worden opgeslagen in de lijst met opslagplaatsen. De proxy-instellingen die u configureert, zijn van toepassing op alle opslagplaatsen in de lijst. De locatie van de lijst met opslagplaatsen is afhankelijk van het besturingssysteem: Besturingssysteem Locatie van lijst met opslagplaatsen Microsoft Windows 8

C:\ProgramData\McAfee\Common Framework\SiteList.xml

Microsoft Windows 7 Eerdere versies

C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\SiteList.xml

Het standaardgedrag configureren voor updates Voor systemen in eigen beheer en in beheer van McAfee ePO kunt u het standaardgedrag opgeven voor updates die worden gestart vanuit de Endpoint Security-client in de instellingen van de Gedeelde instellingen . Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. U kunt deze instellingen alleen op systemen in eigen beheer en systemen in beheer van McAfee ePO configureren.

Gebruik deze instellingen om: • De knop •

in de client weer te geven of te verbergen.

Specificeer wat er moet worden bijgewerkt wanneer de gebruiker op de knop klikt of de taak Standaard clientupdate uitvoert.

De taak Standaard clientupdate wordt standaard elke dag om 1 uur 's nachts uitgevoerd. en elke vier uur herhaald tot 23.59 uur.Als u de planning wilt wijzigen, leest u Updatetaken configureren, plannen en uitvoeren op pagina 36. Op systemen in eigen beheer werkt de taak Standaard clientupdate alle inhoud en software bij. Op beheerde systemen werkt deze taak alleen de inhoud bij.



2


3


4

Configureer instellingen voor de Standaard clientupdate op de pagina.

5



Zie ook Aanmelden als beheerder op pagina 25 Bronlocaties configureren voor updates op pagina 33 Updatetaken configureren, plannen en uitvoeren op pagina 36


Producthandleiding

35

2


Hoe de taak Standaard clientupdate werkt De taak Standaard clientupdate downloadt de meest recente beveiliging voor de Endpoint Security-client. Endpoint Security bevat de taak Standaard clientupdate die standaard elke dag om 1 uur 's nachts wordt uitgevoerd en elke vier uur wordt herhaald tot 23.59 uur. De taak Standaard clientupdate: 1

Maakt een verbinding met de eerste ingeschakelde bronsite in de lijst. Als deze site niet beschikbaar is, maakt de taak contact met de volgende site totdat er een verbinding wordt gemaakt of het einde van de lijst wordt bereikt.

2

Downloadt een versleuteld CATALOG.Z-bestand van de site. Het bestand bevat informatie die vereist is om de update uit te voeren, inclusief beschikbare bestanden en updates.

3

Vergelijkt de softwareversies in het bestand met de versies op de computer en downloadt nieuwe software-updates als deze beschikbaar zijn.

Als de taak Standaard clientupdate tijdens de update wordt onderbroken: Updates van...

Indien onderbroken...

HTTP, UNC of een lokale site

Wordt hervat waar de update is gestopt wanneer de updatetaak de volgende keer wordt gestart.

FTP-site (download van één bestand)

Wordt niet hervat na onderbreking.

FTP-site (download van meerdere bestanden)

Wordt hervat vóór het bestand dat op het moment van de onderbreking werd gedownload.

Zie ook Bronlocaties configureren voor updates op pagina 33 Updatetaken configureren, plannen en uitvoeren op pagina 36 Inhoud van de lijst met opslagplaatsen op pagina 34

Updatetaken configureren, plannen en uitvoeren Voor systemen in eigen beheer en in beheer van McAfee ePO kunt u aangepaste updatetaken configureren, of de taakplanning van de Standaard clientupdate wijzigen via de Endpoint Security-client in de module Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. U kunt deze instellingen alleen op systemen in eigen beheer en systemen in beheer van McAfee ePO configureren.

Gebruik deze instellingen om vanuit de client te configureren wanneer de taak Standaard clientupdate moet worden uitgevoerd. Zie Het standaardgedrag configureren voor updates op pagina 35 om het standaardgedrag in te stellen voor clientupdates die vanuit de Endpoint Security-client worden gestart.

36


Producthandleiding

2




2


3


4

Klik via Gedeelde instellingen op Taken.

5

Configureer de instellingen voor de updatetaak op de pagina.



Volgt u deze stappen

Een aangepaste updatetaak maken.

1 Klik op Toevoegen. 2 Voer de naam in en selecteer via de vervolgkeuzelijst Selecteer taaktype de optie Update. 3 Configureer de instellingen en klik op OK om de taak op te slaan.

Een updatetaak wijzigen.

• Dubbelklik op de taak, breng uw wijzigingen aan en klik op OK om de taak op te slaan.

Een aangepaste updatetaak verwijderen.

• Selecteer de taak en klik op Verwijderen.

Een kopie van een updatetaak maken.

1 Selecteer de taak en klik op Dupliceren.

De planning wijzigen voor een Standaard clientupdatetaak.

1 Dubbelklik op Standaard clientupdate.

2 Voer de naam in, configureer de instellingen en klik op OK om de taak op te slaan.

2 Klik op de tab Planning, wijzig de planning en klik op OK om de taak op te slaan. Zie Het standaardgedrag configureren voor updates op pagina 35 om het standaardgedrag in te stellen voor clientupdates die vanuit de Endpoint Security-client worden gestart.

Een updatetaak uitvoeren.

• Selecteer de taak en klik op Nu uitvoeren. Als de taak al wordt uitgevoerd, of is gepauzeerd of uitgesteld, verandert de knop in Weergeven. Als u een taak uitvoert voordat u wijzigingen toepast, vraagt de Endpoint Security-client u de instellingen op te slaan.

6


Zie ook Hoe de taak Standaard clientupdate werkt op pagina 36 Bronlocaties configureren voor updates op pagina 33


Producthandleiding

37

2


Spiegeltaken configureren, plannen en uitvoeren U kunt spiegeltaken wijzigen of plannen vanuit de Endpoint Security-client in de module Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder.



2


3


4


5

Configureer de instellingen voor de spiegeltaak op de pagina.




Een spiegeltaak maken.

1 Klik op Toevoegen. 2 Voer de naam in en selecteer via de vervolgkeuzelijst Selecteer taaktype de optie Spiegelen. 3 Configureer de instellingen en klik op OK.

Een spiegeltaak wijzigen.

• Dubbelklik op de spiegeltaak, breng uw wijzigingen aan en klik op OK.

Een spiegeltaak verwijderen.


Een kopie van een spiegeltaak maken.


Een spiegeltaak plannen.

1 Dubbelklik op de taak.

Een spiegeltaak uitvoeren.

• Selecteer de taak en klik op Nu uitvoeren.

2 Voer de naam in, configureer de instellingen en klik op OK.

2 Klik op de tab Planning, wijzig de planning en klik op OK om de taak op te slaan.

Als de taak al wordt uitgevoerd, of is gepauzeerd of uitgesteld, verandert de knop in Weergeven. Als u een taak uitvoert voordat u wijzigingen toepast, vraagt de Endpoint Security-client u de instellingen op te slaan.

6

38



Producthandleiding


2

Hoe spiegeltaken werken Met de spiegeltaak kunt u de updatebestanden van de eerst toegankelijke opslagplaats in de lijst met sites repliceren op een spiegellocatie op uw netwerk. Doorgaans wordt met deze taak de inhoud van de McAfee-downloadsite op een lokale server gespiegeld. Nadat u de McAfee-site met de updatebestanden hebt gerepliceerd, kunnen de bestanden worden gedownload vanaf de spiegellocatie naar computers op uw netwerk. Via deze benadering kunt u elke computer op uw netwerk bijwerken, ongeacht of de computer internettoegang heeft. Gebruik van een gerepliceerde site is efficiënter omdat uw systemen communiceren met een server die zich dichterbij bevindt dan een McAfee-internetsite, waardoor toegangs- en downloadtijden worden verkort. Bedreigingspreventie gebruikt een map voor de updateprocedure. U moet daarom bij het spiegelen van een site zorgen dat u de hele mapstructuur repliceert.


Producthandleiding

39

2


40


Producthandleiding

3

Bedreigingspreventie Gebruiken

Bedreigingspreventie hiermee wordt gecontroleerd op virussen, spyware, ongewenste programma's en andere bedreigingen door items op uw computer te scannen. Inhoud Uw computer scannen op malware Bedreigingsdetecties beheren Items in quarantaine beheren Bedreigingspreventie beheren

Uw computer scannen op malware Scan uw computer op malware door opties te selecteren in de Endpoint Security-client of Windows Verkenner. Taken •

Een Volledige scan of Snelle scan uitvoeren op pagina 42 Gebruik de Endpoint Security-client om een handmatige Volledige scan of Snelle scan op uw computer uit te voeren.

•

Een bestand of map scannen op pagina 44 Klik met de rechtermuisknop in Windows Verkenner om een afzonderlijk bestand of afzonderlijke map waarvan u denkt dat deze is geïnfecteerd, onmiddellijk te scannen.

Zie ook Typen scans op pagina 41

Typen scans Endpoint Security biedt twee typen scans: scans bij toegang en scans op aanvraag. •

Scan bij toegang: de beheerder configureert scans bij toegang, die op beheerde computers moeten worden uitgevoerd. Voor computers in eigen beheer kunt u de scanner bij toegang op de pagina Instellingen configureren. Wanneer u bestanden, mappen en programma's opent, onderschept de scanner bij toegang de bewerking en wordt het item gescand op basis van criteria die in de instellingen zijn gedefinieerd.

•

Scan op verzoek


Producthandleiding

41

3

Bedreigingspreventie Gebruiken Uw computer scannen op malware

Handmatig De beheerder (of gebruiker, voor systemen in eigen beheer) configureert vooraf gedefinieerde of aangepaste scans op verzoek die gebruikers op beheerde computers kunnen uitvoeren. • U kunt op elk moment een vooraf gedefinieerde scan op verzoek uitvoeren via de Endpoint Security-client door te klikken op te selecteren:

en een scantype

Snelle scan: hiermee wordt een snelle controle uitgevoerd van de gebieden van het systeem die het meest vatbaar zijn voor infectie. Volledige scan: voert een grondige controle uit van alle delen van het systeem. (Aanbevolen als u vermoedt dat de computer is geïnfecteerd.) • Scan een afzonderlijk bestand of afzonderlijke map per keer via Windows Verkenner door met de rechtermuisknop op het bestand of de map te klikken en Scannen op bedreigingen te selecteren in het pop-upmenu. • Configureer een aangepaste scan op verzoek als beheerder vanuit de Endpoint Security-client en voer deze uit: 1 Selecteer Instellingen | Gedeelde instellingen | Taken. 2 Selecteer de taak die moet worden uitgevoerd. 3 Klik op Nu uitvoeren. Gepland

De beheerder (of gebruiker, voor systemen in eigen beheer) configureert en plant scans op aanvraag die op computers moeten worden uitgevoerd. Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, geeft Endpoint Security een scanbericht onder aan het scherm weer. U kunt de scan onmiddellijk starten of uitstellen, indien dit is ingesteld. Zo kunt u de vooraf gedefinieerde scans op verzoek, Snelle scan en Volledige scan configureren en plannen: 1 Instellingen | Scan op verzoek | Volledige scan of Snelle scan: hier configureert u scans op verzoek. 2 Instellingen | Common | Taken om scans op aanvraag te plannen.

Zie ook Scantaken configureren, plannen en uitvoeren op pagina 75 Reageren op een scanprompt op pagina 19

Een Volledige scan of Snelle scan uitvoeren Gebruik de Endpoint Security-client om een handmatige Volledige scan of Snelle scan op uw computer uit te voeren. Voordat u begint De module Bedreigingspreventie moet zijn geïnstalleerd. De werking van de Volledige scan en Snelle scan is afhankelijk van hoe de instellingen zijn geconfigureerd. Met beheerdersrechten kunt u deze scans wijzigen en plannen via de instellingen voor Scannen op aanvraag.

42


Producthandleiding


3



2 Klik op 3

.

Klik op de pagina Systeem scannen op Nu scannen voor de scan die u wilt uitvoeren. Volledige scan Hiermee wordt een grondige controle uitgevoerd van alle gebieden van uw systeem (aanbevolen als u denkt dat uw computer is geïnfecteerd). Hiermee wordt een snelle controle uitgevoerd van de gebieden van uw systeem die het meest vatbaar zijn voor infectie.

Snelle scan

Als er al een scan wordt uitgevoerd, verandert de knop van Nu scannen in Scan weergeven. U ziet misschien ook de knop Detecties bekijken voor de scanner bij toegang, afhankelijk van hoe de instellingen zijn geconfigureerd en of een bedreiging is gedetecteerd. Klik op deze knop om de pagina Scan bij toegang te openen en detecties op elk moment te beheren. Zie Bedreigingsdetecties beheren op pagina 45.

Endpoint Security-client geeft de status van de scan op een nieuwe pagina weer. De AMCore-inhoud gemaakt op geeft aan wanneer de inhoud voor het laatst is bijgewerkt. Als de inhoud meer dan 2 dagen oud is, raadt McAfee aan uw bescherming bij te werken voordat u de scan uitvoert.

4

5

Klik op knoppen boven aan de statuspagina om de scan te regelen. Scan onderbreken

Hiermee wordt de scan onderbroken voordat deze wordt voltooid.

Scan hervatten


Scan annuleren

Hiermee wordt een actieve scan geannuleerd.

Wanneer de scan is voltooid, worden het aantal gescande pagina's, verstreken tijd en eventuele detecties weergegeven op de pagina. Detectienaam Hier vindt u de naam van de gedetecteerde malware. Type

Hiermee wordt het type bedreiging weergegeven.

Bestand

Hiermee wordt het geïnfecteerde bestand geïdentificeerd.

Actie

Hiermee wordt de beveiligingsactie beschreven die het laatst is uitgevoerd op het geïnfecteerde bestand: • Toegang geweigerd • Opgeschoond • Verwijderd • Geen

De detectielijst van de scan op verzoek wordt gewist wanneer de volgende scan op verzoek wordt gestart.


Producthandleiding

43

3


6

Selecteer een detectie in de tabel en klik op Opschonen of Verwijderen om het geïnfecteerde bestand op te schonen of te verwijderen. Afhankelijk van het bedreigingstype en de scaninstellingen zijn deze acties misschien niet beschikbaar.

7

Klik op Sluiten om de pagina te sluiten.

Zie ook Typen scans op pagina 41 Namen gedetecteerde items op pagina 48 Beveiliging en software handmatig bijwerken op pagina 21 Bedreigingsdetecties beheren op pagina 45 instellingen voor Scan op verzoek configureren op pagina 70 Scantaken configureren, plannen en uitvoeren op pagina 75

Een bestand of map scannen Klik met de rechtermuisknop in Windows Verkenner om een afzonderlijk bestand of afzonderlijke map waarvan u denkt dat deze is geïnfecteerd, onmiddellijk te scannen. Voordat u begint De module Bedreigingspreventie moet zijn geïnstalleerd. De werking van de Rechtermuisknopscan is afhankelijk van hoe de instellingen zijn geconfigureerd. Met beheerdersrechten kunt u deze scans wijzigen via de instellingen voor Scannen op aanvraag. Procedure 1

Klik in Windows Verkenner met de rechtermuisknop op het bestand of de map dat/die u wilt scannen, en selecteer Scannen op bedreigingen in het pop-upmenu. Endpoint Security-client geeft de status van de scan weer op de pagina Scannen op bedreigingen.

2

3

Klik op knoppen boven aan de pagina om de scan te regelen. Scan onderbreken

Hiermee wordt de scan onderbroken voordat deze wordt voltooid.

Scan hervatten


Scan annuleren

Hiermee wordt een actieve scan geannuleerd.

Wanneer de scan is voltooid, worden het aantal gescande pagina's, verstreken tijd en eventuele detecties weergegeven op de pagina. Detectienaam Hier vindt u de naam van de gedetecteerde malware. Type

Hiermee wordt het type bedreiging weergegeven.

Bestand

Hiermee wordt het geïnfecteerde bestand geïdentificeerd.

Actie

Hiermee wordt de beveiligingsactie beschreven die het laatst is uitgevoerd op het geïnfecteerde bestand: • Toegang geweigerd • Opgeschoond • Verwijderd • Geen

De detectielijst van de scan op verzoek wordt gewist wanneer de volgende scan op verzoek wordt gestart.

44


Producthandleiding

Bedreigingspreventie Gebruiken Bedreigingsdetecties beheren

4

3

Selecteer een detectie in de tabel en klik op Opschonen of Verwijderen om het geïnfecteerde bestand op te schonen of te verwijderen. Afhankelijk van het bedreigingstype en de scaninstellingen zijn deze acties misschien niet beschikbaar.

5

Klik op Sluiten om de pagina te sluiten.

Zie ook Typen scans op pagina 41 instellingen voor Scan op verzoek configureren op pagina 70 Namen gedetecteerde items op pagina 48

Bedreigingsdetecties beheren Afhankelijk van hoe instellingen zijn geconfigureerd, kunt u bedreigingsdetecties beheren via Endpoint Security-client. Voordat u begint De module Bedreigingspreventie moet zijn geïnstalleerd.



2

Klik op Nu scannen om de pagina Systeem scannen te openen.


Producthandleiding

45

3

Bedreigingspreventie Gebruiken Items in quarantaine beheren

3

Klik via Scan bij toegang op Detecties bekijken. Deze optie is niet beschikbaar als de lijst geen detecties bevat of als de optie voor gebruikersberichten is uitgeschakeld.

De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. 4

Selecteer een van de volgende opties op de pagina Scan bij toegang. Opschonen

Proberen het item (bestand, registervermelding) op te schonen en in quarantaine te plaatsen. Endpoint Security gebruikt informatie in de inhoudsbestanden om bestanden op te schonen. Als het inhoudsbestand niet kan worden opgeschoond of als het bestand niet kan worden gerepareerd, krijgt de scanner er geen toegang toe. In dit geval raadt McAfee aan het bestand te verwijderen uit de quarantaine en het te herstellen vanaf een schone back-upkopie.

Verwijderen

Hiermee wordt het item dat de bedreiging bevat, verwijderd.

Item verwijderen Hiermee wordt het item uit de detectielijst verwijderd. Sluiten

Hiermee wordt de scanpagina gesloten. Als er geen actie beschikbaar is voor de bedreiging, is de bijbehorende optie niet beschikbaar. De actie Opschonen is bijvoorbeeld niet beschikbaar als het bestand al is verwijderd.

De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart.

Items in quarantaine beheren Endpoint Security slaat items die als bedreigingen worden gedetecteerd, in de Quarantaine op. U kunt acties uitvoeren op de items in de quarantaine. Voordat u begint De module Bedreigingspreventie moet zijn geïnstalleerd. Zo kunt u misschien een item herstellen wanneer u een nieuwere versie van de inhoud hebt gedownload die informatie bevat waarmee de bedreiging wordt opgeschoond. Items in quarantaine kunnen meerdere typen gescande objecten omvatten, zoals bestanden, registers of alles dat Endpoint Security scant op malware.

Procedure Selecteer in het menu Actie


1


2

Klik op Quarantaine aan de linkerkant van de pagina. Op deze pagina staan alle items in de quarantaine. Als de Endpoint Security-client de Quarantainebeheerder niet kan bereiken, wordt een communicatiefoutbericht weergegeven. In dit geval start u het systeem opnieuw op om de pagina Quarantaine weer te geven.

46


Producthandleiding

3


3

4

Selecteer een item in het bovenste deelvenster om de details in het onderste deelvenster weer te geven. Als u het volgende wilt doen...

Gaat u als volgt te werk

De relatieve grootte van de deelvensters wijzigen.

Klik en versleep het raamwidget tussen de deelvensters.

Items in de tabel op naam van bedreiging of type sorteren.

Klik op de tabelkolomkop.

Voer acties op geselecteerde items uit op de pagina Quarantaine. Als u het volgende wilt doen...


Items verwijderen uit de quarantaine.

Selecteer items, klik op Verwijderen en klik nogmaals op Verwijderen om te bevestigen. Het is niet mogelijk verwijderde items te herstellen.

Items herstellen uit de quarantaine.

Selecteer items, klik op Herstellen en klik nogmaals op Herstellen om te bevestigen. Endpoint Security herstelt items naar hun oorspronkelijke locatie en verwijdert ze uit de quarantaine. Als een item nog steeds een geldige bedreiging is, zet Endpoint Security het item terug in de quarantaine als het nog eens wordt geopend.

Items opnieuw scannen.

Selecteer items en klik op Opnieuw scannen. U wilt een item bijvoorbeeld opnieuw scannen nadat u uw beveiliging hebt bijgewerkt. Als het item niet langer een bedreiging is, kunt u het item naar de oorspronkelijke locatie herstellen en uit de quarantaine verwijderen.

Een item weergeven in het Gebeurtenislogboek.

Selecteer een item en klik op de koppeling Weergeven in Gebeurtenislogboek in het detailvenster. De pagina Gebeurtenislogboek wordt geopend met de gebeurtenis van het geselecteerde item gemarkeerd.

Meer informatie over een bedreiging ontvangen.

Selecteer een item en klik op de koppeling Meer informatie over deze bedreiging in het detailvenster. Er wordt een nieuw browservenster geopend op de McAfee Labs-website met meer informatie over de bedreiging waardoor het item in quarantaine is geplaatst.

Zie ook Namen gedetecteerde items op pagina 48 Items in quarantaine opnieuw scannen op pagina 49 De Endpoint Security-client openen op pagina 17 Beveiliging en software handmatig bijwerken op pagina 21


Producthandleiding

47

3


Namen gedetecteerde items De quarantaine rapporteert bedreigingen per detectienaam. Detectienaam

Beschrijving

Adware

Genereert inkomsten door reclame weer te geven die op de gebruiker is gericht. Adware genereert inkomsten via de leverancier of de partners van de leverancier. Bepaalde typen adware kunnen persoonlijke gegevens registreren of verzenden.

Dialer

Leidt internetverbindingen om naar een partij die niet de standaardinternetprovider van de gebruiker is. Dialers zijn ontworpen om in aanvullende verbindingskosten voor een inhoudsprovider, leverancier of andere derde partij te resulteren.

Grapvirus

Beweert een computer te beschadigen, maar heeft geen schadelijke nettolading of gebruik. Grapvirussen hebben geen effect op beveiliging of privacy, maar kunnen een gebruiker wel schrik aanjagen of alarmeren.

Keylogger

Onderschept gegevens tussen de gebruiker die de gegevens invoert en de bedoelde ontvangende toepassing. Trojaanse paarden en mogelijk ongewenste keylogger-programma's kunnen functioneel identiek zijn. McAfee-software detecteert beide typen om privacy-inbraak te voorkomen.

Wachtwoordkraker

Hiermee kan een gebruiker of beheerder kwijtgeraakte of vergeten wachtwoorden voor accounts of gegevensbestanden achterhalen. Wanneer deze programma's door een aanvaller worden gebruikt, kunnen ze toegang verschaffen tot vertrouwelijke informatie en een gevaar vormen voor de veiligheid en privacy.

Mogelijk ongewenste Meestal legitieme software (niet-malware) waarmee de beveiligingsstatus of programma’s de privacy van het systeem kan worden gewijzigd. Deze software kan worden gedownload samen met een programma dat de gebruiker wil installeren. De software kan bestaan uit spyware, adware, keyloggers, wachtwoordkrakers, hackergereedschappen en dialer-toepassingen. Hulpprogramma voor extern beheer

Geeft een beheerder extern toegang tot een systeem. Deze hulpprogramma's kunnen een aanzienlijke bedreiging van de beveiliging vormen wanneer ze door een aanvaller worden gebruikt.

Spyware

Verzendt persoonlijke gegevens naar een derde partij zonder medeweten of toestemming van de gebruiker. Spyware maakt gebruik van geïnfecteerde computers voor commercieel gewin door: • Ongewenste pop-upreclames weer te geven • Persoonlijke gegevens te stelen, waaronder financiële gegevens zoals creditcardnummers • Toezicht te houden op webactiviteiten voor marketingdoeleinden • HTTP-aanvragen om te leiden naar reclamesites Zie ook Mogelijk ongewenst programma.

Stealth

Is een type virus dat probeert detectie door antivirussoftware te voorkomen. Ook bekend als interruptinterceptor. Veel stealth-virussen onderscheppen verzoeken tot schijftoegang. Wanneer een antivirustoepassing vervolgens probeert bestanden of opstartsectors te lezen om het virus te vinden, geeft het virus een 'schone' kopie van het verzochte item weer. Andere virussen verbergen de feitelijke grootte van een geïnfecteerd bestand en geven de grootte van het bestand weer voordat het werd geïnfecteerd.

48


Producthandleiding

3


Detectienaam

Beschrijving

Trojaans paard

Is een kwaadaardig programma dat zich voordoet als een onschuldige toepassing. Een trojaans paard vermenigvuldigt zichzelf niet, maar brengt schade aan of brengt de beveiliging van uw computer in gevaar. Een computer raakt meestal geïnfecteerd in de volgende situaties: • Een gebruiker opent een bijlage met een trojaans paard in een e-mail. • Een gebruiker downloadt een trojaans paard van een website. • Peer-to-peernetwerken. Aangezien trojaanse paarden zichzelf niet vermenigvuldigen, worden ze niet als virussen beschouwd.

Virus

Bevestigt zich aan schijven of andere bestanden en vermenigvuldigt zichzelf meermaals, meestal zonder medeweten of toestemming van de gebruiker. Sommige virussen bevestigen zich aan bestanden, zodat met het uitvoeren van het geïnfecteerde bestand ook het virus wordt uitgevoerd. Andere virussen blijven in het computergeheugen aanwezig en infecteren bestanden wanneer de computer bestanden opent, wijzigt of maakt. Sommige virussen hebben symptomen, terwijl andere bestanden en computersystemen beschadigen.

Items in quarantaine opnieuw scannen Wanneer items in quarantaine opnieuw worden gescand, gebruikt Endpoint Security scaninstellingen ontworpen om maximale beveiliging te bieden. We adviseren u om items in quarantaine altijd opnieuw te scannen voordat u ze herstelt. U wilt een item bijvoorbeeld opnieuw scannen nadat u uw beveiliging hebt bijgewerkt. Als het item niet langer een bedreiging is, kunt u het item naar de oorspronkelijke locatie herstellen en uit quarantaine halen.

De scanomstandigheden kunnen tussen het moment waarop een bedreiging voor het eerst werd ontdekt en de scan opnieuw werd uitgevoerd veranderen, wat de detectie van in quarantaine geplaatste items kan aantasten. Wanneer in quarantaine geplaatste items opnieuw worden gescand, doet Endpoint Security altijd het volgende: •

Scant bestanden met MIME-codering.

•

Scant gecomprimeerde archiefbestanden.

•

Voert een McAfee GTI-zoekactie uit op items.

•

Stelt het gevoeligheidsniveau van McAfee GTI in op Zeer hoog. Zelfs als deze scaninstellingen worden gebruikt, wordt een bedreiging mogelijk niet gedetecteerd bij het opnieuw scannen van de items in quarantaine. Als de metagegevens van het item (pad of registerlocatie) bijvoorbeeld worden gewijzigd, wordt het item bij opnieuw scannen mogelijk onterecht aangeduid als veilig, hoewel het item nog steeds geïnfecteerd is.


Producthandleiding

49

3

Bedreigingspreventie Gebruiken Bedreigingspreventie beheren

Bedreigingspreventie beheren Als beheerder kunt u Bedreigingspreventie-instellingen opgeven om toegang door bedreigingen te voorkomen en scans te configureren. Voor beheerde systemen kunnen beleidswijzigingen van McAfee ePO wijzigingen overschrijven van de pagina Instellingen.

Uitsluitingen configureren Met Bedreigingspreventie kunt u uw beveiliging aanpassen door items op te geven die moeten worden uitgesloten. U moet bijvoorbeeld bepaalde bestandstypen uitsluiten om te voorkomen dat een scanner een bestand vergrendelt dat door een database of server wordt gebruikt. (Een database of server kan vastlopen of fouten genereren door een geblokkeerd bestand.) Als u een map op Windows-systemen wilt uitsluiten, voegt u een backslash (\) toe aan het pad. Als u een map op Mac-systemen wilt uitsluiten, voegt u een slash (/) toe aan het pad.

Voor deze functie... Items opgeven Waar om uit te sluiten configureren

Items uitsluiten per Jokertekens gebruiken?

Toegangsbeveiliging

Naam of pad uitvoerbaar bestand, MD5-hash of ondertekenaar.

Ja, bestandsnaam en pad

Procesnaam, Aanroepmodule of API.

Nee

Processen (voor alle regels of een opgegeven regel)

Toegangsbeveiliging instellingen

Exploitpreventie

Processen

Exploitpreventie instellingen

Alle scans

Namen gedetecteerde items

Opties instellingen Detectienaam (hoofdlettergevoelig)

Mogelijk ongewenste programma's Scannen bij toegang • Standaard • Hoog risico

Bestanden, bestandstypen en mappen

Naam

Instellingen van Scan bij toegang

ScriptScan-URL's

Nee, MD5-hash en ondertekenaar

Ja

Ja

Bestandsnaam Ja of -map, bestandstype of bestandsdatum URL-naam

Nee

• Laag risico Scannen op verzoek • Snelle scan

Bestanden, mappen en stations

Instellingen van Scan op verzoek

Bestandsnaam Ja of -map, bestandstype of bestandsdatum

Bestanden, mappen en stations

Gedeelde instellingen | Taken | Taak toevoegen | Aangepaste scan

Bestandsnaam Ja of -map, bestandstype of bestandsdatum

• Volledige scan • Rechtermuisknopscan Aangepaste scan op verzoek

Zie ook Jokertekens in uitsluitingen op pagina 51

50


Producthandleiding

3


Jokertekens in uitsluitingen U kunt jokertekens gebruiken voor tekens in scanuitsluitingen van bestanden, mappen, detectienamen en mogelijk ongewenste programma's. Tabel 3-1 Geldige jokertekens Jokerteken Naam

Staat voor

?

Eén teken.

Vraagteken

Dit jokerteken is alleen van toepassing als het aantal tekens overeenkomt met de lengte van het bestand of de mapnaam. Bijvoorbeeld: met de uitsluiting w?? wordt www uitgesloten, maar niet ww of wwww.

*

Sterretje

Meerdere tekens, met uitzondering van backslash (\).

**

Dubbel sterretje Nul of meer van een willekeurig aantal tekens, inclusief backslash (\). Dit jokerteken komt overeen met nul of meer tekens. Bijvoorbeeld: C:\ABC\**\XYZ komt overeen met C:\ABC\DEF\XYZ en C:\ABC\XYZ.

Jokertekens kunnen in een pad vóór een backslash (\) staan. Bijvoorbeeld: C:\ABC\*\XYZ komt overeen met C:\ABC\DEF\XYZ.

Uitsluitingen op hoofdniveau Bedreigingspreventie vereist een absoluut pad voor uitsluitingen op hoofdniveau. Dit houdt in dat u aan het begin niet de jokertekens \ of ?:\ mag gebruiken om overeen te komen met stationsnamen op hoofdniveau. Dit gedrag wijkt af van VirusScan Enterprise. Zie het KnowledgeBase-artikel KB85746 en de McAfee Endpoint Security-migratiehandleiding.

Met Bedreigingspreventie mogen uitsluitingen voorafgegaan worden door de jokertekens **\ in uitsluitingen op hoofdniveau, zodat deze overeenkomen met stations en submappen. **\test hoort bijvoorbeeld bij: C:\test D:\test C:\temp\test D:\foo\test

De toegangspunten van uw systeem beveiligen De eerste verdediging tegen malware is toegangspunten van clientsystemen te beveiligen tegen toegang door bedreigingen. Toegangsbeveiliging voorkomt ongewenste veranderingen op beheerde computers door toegang tot specifieke bestanden, shares, registersleutels en -waarden te beperken. Toegangsbeveiliging maakt gebruik van regels die door McAfee en door de gebruiker zijn gedefinieerd (ook wel aangepaste regels genoemd) om toegang tot items te rapporteren of blokkeren. Toegangsbeveiliging vergelijkt een gevraagde actie met de lijst met regels en handelt volgens de regel. Toegangsbeveiliging moet zijn ingeschakeld om pogingen te detecteren tot het openen van bestanden, shares en registersleutels en -waarden. Toegangsbeveiliging is standaard ingeschakeld.


Producthandleiding

51

3


Hoe dreigingen toegang krijgen Dreigingen krijgen toegang tot uw systeem via verschillende toegangspunten. Toegangspunt

Beschrijving

Macro's

Als onderdeel van tekstverwerkingsdocumenten en spreadsheettoepassingen.

Uitvoerbare bestanden

Schijnbaar goedaardige programma's kunnen virussen bevatten naast het verwachte programma. Een aantal veelvoorkomende bestandsextensies zijn .EXE, .COM, .VBS, .BAT, .HLP en .DLL.

Scripts

Wanneer scripts zoals ActiveX en JavaScript aan webpagina's en e-mail zijn gekoppeld en wordt toegestaan dat ze worden uitgevoerd, kunnen ze virussen bevatten.

IRC-berichten (Internet Relay Chat)

Bestanden die samen met deze berichten worden verzonden, kunnen gemakkelijk malware bevatten als deel van het bericht. Automatische opstartprocessen kunnen bijvoorbeeld wormen en trojaanse paarden bevatten.

Help-bestanden van browsers en toepassingen

Het systeem wordt blootgesteld aan ingesloten virussen en uitvoerbare bestanden wanneer deze Help-bestanden worden gedownload.

E-mail

Grapjes, spelletjes en afbeeldingen die onderdeel zijn van e-mailberichten met bijlagen.

Combinaties van al deze Zeer goede malwaremakers combineren al deze afleveringsmethoden en toegangspunten sluiten zelfs malware in andere malware in om toegang te krijgen tot de beheerde computer.

Hoe Toegangsbeveiliging bedreigingen stopt Toegangsbeveiliging stopt potentiële bedreigingen door acties te beheren die zijn gebaseerd op door McAfee gedefinieerde en door gebruikers gedefinieerde beveiligingsregels. Bedreigingspreventie volgt deze basisprocedure om toegangsbeveiliging te leveren.

Wanneer een dreiging optreedt Wanneer een gebruiker of proces actie onderneemt: 1

Toegangsbeveiliging onderzoekt de actie aan de hand van de gedefinieerde regels.

2

Als de actie een regel overtreedt, beheert Toegangsbeveiliging de actie met behulp van de informatie in de geconfigureerde regels.

3

Toegangsbeveiliging werkt het logboekbestand bij en genereert en verzendt een gebeurtenis naar de beheerserver, indien beheerd.

Voorbeeld van een toegangsdreiging

52

1

Een gebruiker downloadt een legitiem programma (geen malware), MyProgram.exe, van internet.

2

De gebruiker start MyProgram.exe en het lijkt alsof het wordt gestart zoals verwacht.

3

MyProgram.exe start een onderliggend proces met de naam AnnoyMe.exe.

4

AnnoyMe.exe probeert het besturingssysteem te wijzigen om te zorgen dat AnnoyMe.exe bij het opstarten altijd wordt geladen.


Producthandleiding

3


5

Toegangsbeveiliging verwerkt het verzoek en controleert de actie tegen de bestaande regel voor blokkeren en rapporteren.

6

Toegangsbeveiliging voorkomt dat AnnoyMe.exe het besturingssysteem bewerkt en registreert de details van de poging. Toegangsbeveiliging genereert ook een waarschuwing die naar de beheerserver wordt gestuurd.

Toegangsbeveiligingsregels Gebruik toegangsbeveiligingsregels om de toegangspunten van uw systeem te beveiligen. Type regel

Parameters

Door McAfee gedefinieerde regels

• Deze regels voorkomen dat gangbare bestanden en instellingen worden gewijzigd. • U kunt de configuratie van door McAfee gedefinieerde regels inschakelen, uitschakelen en wijzigen, maar u kunt deze regels niet verwijderen.

Door gebruiker gedefinieerde regels

• Deze regels vormen een aanvulling op de beveiliging die de door McAfee gedefinieerde regels bieden. • Een lege uitvoerbare tabel geeft aan dat u alle uitvoerbare bestanden opneemt. • U kunt deze regels toevoegen en verwijderen, en configuratie ervan inschakelen, uitschakelen en wijzigen.

Uitsluitingen Op regelniveau zijn uitsluitingen en insluitingen van toepassing op de opgegeven regel. Op beleidsniveau zijn uitsluitingen van toepassing op alle regels. Uitsluitingen zijn optioneel.

Door McAfee gedefinieerde regels voor Toegangsbeveiliging configureren Door McAfee gedefinieerde regels voorkomen dat gangbare bestanden en instellingen worden gewijzigd. U kunt de instellingen voor blokkeren en rapporteren wijzigen en uitgesloten en ingesloten uitvoerbare bestanden toevoegen, maar u kunt deze regels niet verwijderen en kunt de bestanden en instellingen die worden beveiligd door deze regels niet wijzigen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Subregels kunnen niet worden toegevoegd aan een door McAfee gedefinieerde regel.



2

Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie

3


4

Klik op Toegangsbeveiliging.


de optie Instellingen en klik op Threat Prevention op de pagina Instellingen.

Producthandleiding

53

3


5

Verifieer dat Toegangsbeveiliging is ingeschakeld. Toegangsbeveiliging is standaard ingeschakeld.

6

Wijzig de regel: a

Selecteer in de sectie Regels de optie Blokkeren, Rapporteren of beide voor de regel. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Blokkeren of Rapporteren in de eerste rij. Als Blokkeren of Rapporteren beide niet geselecteerd zijn, wordt de regel uitgeschakeld.

b

Dubbelklik op een door McAfee gedefinieerde regel om deze te bewerken.

c

Configureer de instellingen op de pagina Door McAfee gedefinieerde regel bewerken.

d

Klik in de sectie Uitvoerbare bestanden op Toevoegen, configureer de instellingen en klik tweemaal op Opslaan om de regel op te slaan.

Zie ook Door McAfee gedefinieerde regels op pagina 54 Aanmelden als beheerder op pagina 25

Door McAfee gedefinieerde regels U kunt door McAfee gedefinieerde regels gebruiken als u uw computer wilt beveiligen tegen ongewenste wijzigingen. Tabel 3-2 Door McAfee gedefinieerde regel

Beschrijving

Registratie van bestandsextensies wijzigen

Hiermee worden de registersleutels onder HKEY_CLASSES_ROOT beveiligd waar bestandsextensies zijn geregistreerd. Deze regel voorkomt dat malware de bestandsextensieregistraties wijzigt zodat malware op de achtergrond kan worden uitgevoerd. Schakel deze regel uit wanneer u geldige toepassingen installeert die bestandsextensieregistraties in het register wijzigen. Deze regel is een strenger alternatief voor .EXE en andere extensies van uitvoerbare bestanden hijacken.

Gebruiksrechtbeleid wijzigen

Hiermee worden registerwaarden beschermd die Windows-beveiligingsgegevens bevatten. Deze regel voorkomt dat wormen accounts wijzigen die beheerdersrechten hebben.

Nieuwe uitvoerbare bestanden maken in de map Program Files

Hiermee wordt voorkomen dat nieuwe uitvoerbare bestanden in de map Program Files worden gemaakt. Deze regel voorkomt dat adware en spyware nieuwe EXE- en DLL-bestanden maken en nieuwe uitvoerbare bestanden in de map Program Files installeren. Het is raadzaam toepassingen te installeren voordat u deze regel inschakelt of de geblokkeerde processen op de lijst met uitsluitingen plaatst.

54


Producthandleiding

3


Tabel 3-2

(vervolg)

Door McAfee gedefinieerde regel

Beschrijving

Nieuwe uitvoerbare bestanden maken in de Windows-map

Voorkomt het maken van bestanden uit alle processen, niet alleen via het netwerk. Deze regel voorkomt het maken van EXE- en DLL-bestanden in de Windows-map. Voeg processen die bestanden in de Windows-map plaatsen, op de lijst met uitsluitingen.

Register-editor en Taakbeheer uitschakelen

Hiermee worden Windows-registervermeldingen beveiligd, omdat wordt voorkomen dat de Register-editor en Taakbeheer worden uitgeschakeld. Schakel in geval van een uitbraak deze regel uit om het register te kunnen wijzigen, of open Taakbeheer om actieve processen te stoppen.

Scripts uitvoeren door Windows-scripthost (CScript.exe of Wscript.exe) vanuit een willekeurige tijdelijke map

Hiermee wordt voorkomen dat de Windows-scripthost VBScript- en JavaScript-scripts uitvoert in alle mappen met 'temp' (tijdelijk) in de naam. Deze regel beschermt tegen veel trojaanse paarden en verdachte webinstallatiemethoden die worden gebruikt door adware- en spywaretoepassingen. Deze regel kan voorkomen dat legitieme scripts en toepassingen van derden worden geïnstalleerd of uitgevoerd.

.EXE of andere uitvoerbare extensies hijacken

Hiermee worden .EXE, .BAT en andere uitvoerbare registersleutels onder HKEY_CLASSES_ROOT beschermd. Deze regel voorkomt dat malware registersleutels wijzigt om het virus uit te voeren wanneer een ander uitvoerbaar bestand wordt uitgevoerd. Deze regel is een minder streng alternatief voor Registratie van alle bestandsextensies wijzigen.

Browser-helpobjecten of shell-extensies installeren

Hiermee wordt voorkomen dat adware, spyware en trojaanse paarden die worden geïnstalleerd als browser-helpobjecten, op de hostcomputer worden geïnstalleerd. Deze regel voorkomt dat adware en spyware op systemen wordt geïnstalleerd. Als u wilt dat legitieme aangepaste toepassingen of toepassingen van derde partijen deze objecten kunnen installeren, moet u ze aan de lijst met uitsluitingen toevoegen. Na installatie kunt u de regel opnieuw inschakelen, omdat niet wordt voorkomen dat geïnstalleerde browser-helpobjecten werken.

Installatie van nieuwe CLSID's, APPID's en TYPELIB's

Hiermee wordt de installatie of registratie van nieuwe COM-servers voorkomen. Deze regel beschermt tegen adware- en spywareprogramma's die zichzelf installeren als COM-invoegtoepassing in Internet Explorer of Microsoft Office-toepassingen. Als u wilt voorkomen dat legitieme toepassingen worden geblokkeerd die COM-invoegtoepassingen registreren, waaronder veelvoorkomende toepassingen zoals Macromedia Flash, voegt u ze toe aan de lijst met uitsluitingen.


Producthandleiding

55

3


Tabel 3-2

(vervolg)


Beschrijving

Internet Explorer start bestanden vanuit de map Gedownloade programmabestanden

Voorkomt dat software via de webbrowser wordt geïnstalleerd. Dit is een specifieke regel voor Microsoft Internet Explorer. Omdat deze regel ook het installeren van legitieme software kan blokkeren, is het raadzaam de toepassing te installeren voordat u deze regel inschakelt of het installatieproces als een uitsluiting toevoegt. Deze regel is ingesteld om standaard te Rapporteren. Deze regel voorkomt dat adware en spyware uitvoerbare bestanden vanuit deze map installeren en uitvoeren.

Windows-kernprocessen bewerken

Hiermee wordt voorkomen dat bestanden worden gemaakt of uitgevoerd met de meest voorkomende vervalste namen. Deze regel voorkomt dat virussen en trojaanse paarden worden uitgevoerd onder de naam van een Windows-proces. Deze regel sluit authentieke Windows-bestanden uit.

Internet Explorer-instellingen wijzigen

Hiermee wordt voorkomen dat processen instellingen in Internet Explorer wijzigen. Deze regel voorkomt dat trojaanse paarden, adware en spyware op de startpagina browserinstellingen wijzigen, zoals de startpagina wijzigen of Favorieten installeren.

Netwerkinstellingen wijzigen

Deze regel voorkomt dat processen die niet worden weergegeven op de lijst met uitsluitingen, de netwerkinstellingen van een systeem wijzigen. Deze regel beschermt u tegen Layered Service Providers die gegevens zoals uw browseractiviteiten overdragen, door netwerkverkeer te registreren en naar externe sites te sturen. Voor processen die de netwerkinstellingen moeten kunnen wijzigen, voegt u ze toe aan de lijst met uitsluitingen of schakelt u de regel uit terwijl u wijzigingen aanbrengt.

Registreren dat programma's Blokkeert adware, spyware, trojaanse paarden en virussen die zichzelf automatisch worden uitgevoerd proberen te registreren en steeds worden geladen wanneer het systeem opnieuw wordt opgestart. Deze regel voorkomt dat processen die niet op de lijst met uitsluitingen staan, processen registreren die worden uitgevoerd wanneer een systeem opnieuw wordt opgestart. Voeg legitieme toepassingen toe aan de lijst met uitsluitingen of installeer ze voordat deze regel wordt ingeschakeld.

Lokale bestanden of mappen op Hiermee wordt lees- en schrijftoegang voor externe computers op de afstand openen computer geblokkeerd. Deze regel voorkomt dat een worm die van share naar share gaat, zich kan verspreiden. In een standaardomgeving is deze regel geschikt voor werkstations, maar niet servers, en alleen wanneer computers actief worden aangevallen. Als een computer wordt beheerd door er bestanden naar te duwen, voorkomt deze regel dat er updates of patches worden geïnstalleerd. Deze regel heeft geen effect op de beheerfuncties van McAfee ePO.

56


Producthandleiding


Tabel 3-2

3

(vervolg)


Beschrijving

Automatisch uitvoerbare bestanden op afstand maken

Hiermee wordt voorkomen dat andere computers een verbinding maken en automatisch uitvoerbare bestanden (autorun.inf) maken of wijzigen. Dergelijke bestanden worden gebruikt om automatisch programmatypen te starten, meestal set-upbestanden op cd's. Deze regel voorkomt dat spyware en adware op cd's worden uitgevoerd. Deze regel is geselecteerd om standaard te Blokkeren en Rapporteren.

Bestanden of mappen op afstand maken of wijzigen

Hiermee wordt schrijftoegang tot alle shares geblokkeerd. Deze regel is nuttig bij een uitbraak, omdat schrijftoegang wordt geblokkeerd en de verspreiding van een infectie wordt beperkt. De regel blokkeert malware die anders het gebruik van de computer of een netwerk in ernstige mate zou beperken. In een standaardomgeving is deze regel geschikt voor werkstations, maar niet servers, en alleen wanneer computers actief worden aangevallen. Als een computer wordt beheerd door er bestanden naar te duwen, voorkomt deze regel dat er updates of patches worden geïnstalleerd. Deze regel heeft geen effect op de beheerfuncties van McAfee ePO.

Portable Executable-, INI- en PIF-bestandstypen en kernsysteemlocaties op afstand maken of wijzigen

Hiermee wordt voorkomen dat andere computers een verbinding maken en uitvoerbare bestanden wijzigen, zoals bestanden in de Windows-map. Deze regel is alleen van toepassing op bestandstypen die gewoonlijk worden geïnfecteerd door virussen. Deze regel beschermt tegen zich snel verspreidende wormen of virussen, die via open of beheershares door een netwerk gaan. Deze regel is een minder strenge versie van Alle shares alleen-lezen maken.

Bestanden uitvoeren vanuit een Hiermee wordt voorkomen dat uitvoerbare bestanden worden uitgevoerd willekeurige tijdelijke map of gestart vanuit een map met 'temp' (tijdelijk) in de naam. Deze regel beschermt tegen malware die wordt opgeslagen en uitgevoerd via een tijdelijke map van de gebruiker of het systeem. Dergelijke malware kan bijvoorbeeld bestaan uit uitvoerbare bijlagen in e-mail en gedownloade programma's. Hoewel deze regel de beste bescherming biedt, kan het gebeuren dat legitieme toepassingen niet kunnen worden geïnstalleerd. Bestanden in de map Temp uitvoeren door gangbare programma's

Voorkomt dat toepassingen software vanuit de browser of de e-mailclient installeren. Deze regel voorkomt dat e-mailbijlagen en uitvoerbare bestanden worden uitgevoerd op webpagina's. Als u een toepassing wilt installeren die de map Temp gebruikt, voegt u het proces toe aan de lijst met uitsluitingen.

Zie ook Door McAfee gedefinieerde regels voor Toegangsbeveiliging configureren op pagina 53


Producthandleiding

57

3


Door de gebruiker gedefinieerde regels voor Toegangsbeveiliging configureren Door de gebruiker gedefinieerde regels vormen een aanvulling op de beveiliging die de door McAfee gedefinieerde regels bieden. U kunt deze regels toevoegen en verwijderen, en configuratie ervan inschakelen, uitschakelen en wijzigen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder.



2



3


4


5


6

Maak de regel: a

Klik in de sectie Regels op Toevoegen.

b

Configureer de instellingen op de pagina Regel toevoegen.

c

Klik in de sectie Uitvoerbare bestanden op Toevoegen, configureer de eigenschappen van de uitvoerbare bestanden en klik op Opslaan. Een lege uitvoerbare tabel geeft aan dat u alle uitvoerbare bestanden opneemt.

d

Klik in de sectie Subregels op Toevoegen en configureer vervolgens eigenschappen voor subregels. De prestaties worden mogelijk beïnvloed als u de bewerking Lezen selecteert.

e

Klik in de sectie Parameters op Toevoegen, configureer parametergegevens en klik tweemaal op Opslaan.

f

Selecteer in de sectie Regels de optie Blokkeren, Rapporteren of beide voor de regel. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Blokkeren of Rapporteren in de eerste rij.

Taken •

Hoe parameters in subregels van Toegangsbeveiliging worden geëvalueerd op pagina 58 Elke parameter wordt toegevoegd met een instructie Opnemen of Uitsluiten.

Hoe parameters in subregels van Toegangsbeveiliging worden geëvalueerd Elke parameter wordt toegevoegd met een instructie Opnemen of Uitsluiten.

58


Producthandleiding


3

Wanneer u een systeemgebeurtenis evalueert op basis van een subregel, gaat de subregel naar waar als: •

Minstens één instructie voor Opnemen evalueert naar waar. en

•

Alle instructies voor uitsluiten evalueren naar onwaar.

Uitsluiten krijgt voorrang over Opnemen. Enkele voorbeelden: •

Als één subregel het bestand C:\marketing\jjansen opneemt en hetzelfde bestand uitsluit, wordt de subregel niet geactiveerd, zelfs als het bestand C:\marketing\jjansen is.

•

Als een subregel alle bestanden insluit maar het bestand C:\marketing\jjansen uitsluit, wordt de subregel geactiveerd als het bestand niet C:\marketing\jjansen is.

•

Als een subregel het bestand C:\marketing\* insluit maar C:\marketing\jjansen uitsluit, wordt de subregel alleen geactiveerd als het bestand marketing\iedereen is, tenzij het bestand C:\marketing \jjansen is. In dit geval wordt de subregel niet geactiveerd.

Processen uitsluiten van Toegangsbeveiliging Als een vertrouwd programma wordt geblokkeerd, sluit dan het proces uit door een uitsluiting op basis van beleid of regels te maken. Procedure Klik voor optiedefinities op ? in de interface. 1


2


3


4




Producthandleiding

59

3


5


6

Voer een van de volgende handelingen uit: Als u het volgende wilt doen...

Gaat u als volgt te werk...

Een uitsluiting op basis van beleid maken.

1 Klik in de sectie Uitsluitingen op Toevoegen om processen toe te voegen die van alle regels moeten worden uitgesloten. 2 Configureer de eigenschappen van de uitvoerbare bestanden op de pagina Uitvoerbaar bestand toevoegen. 3 Klik op Opslaan en vervolgens op Toepassen om de instellingen op te slaan.

Een uitsluiting op basis van regels maken.

1 Bewerk een bestaande regel of voeg een nieuwe regel toe. 2 Klik op de pagina Regel toevoegen of Regel bewerken op Toevoegen om een uitvoerbaar bestand toe te voegen dat moet worden uitgesloten. 3 Configureer de eigenschappen van de uitvoerbare bestanden op de pagina Uitvoerbaar bestand toevoegen. 4 Klik op Opslaan om de uitsluitingen op te slaan.

Misbruik van bufferoverloop blokkeren Exploitpreventie voorkomt dat willekeurige code wordt uitgevoerd via onrechtmatig gebruik van bufferoverloop. Deze functie controleert API-aanroepen van de gebruikersmodus en stelt vast of deze aanroepen het gevolg van een bufferoverloop zijn. Als een inbreuk wordt gedetecteerd, wordt er informatie vastgelegd in het activiteitenlogboek, weergegeven op het clientsysteem en naar de beheerserver gestuurd, indien geconfigureerd. Bedreigingspreventie gebruikt het inhoudsbestand van Exploitpreventie om toepassingen te beschermen zoals Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word en MSN Messenger. Host Intrusion Prevention 8.0 kan worden geïnstalleerd op hetzelfde systeem als Endpoint Security 10.1. Als McAfee Host IPS ingeschakeld is, wordt Exploitpreventie uitgeschakeld, ook al is deze ingeschakeld in de beleidsinstellingen.

Hoe bufferoverloopmisbruik plaatsvindt Aanvallers kunnen bufferoverloop misbruiken om uitvoerbare code te implementeren door de buffer met een vaste grootte, die is gereserveerd voor een invoerproces, te laten overlopen. Met deze code kan de aanvaller de doelcomputer overnemen of de gegevens schade toebrengen. Ruim 25 procent van alle malwareaanvallen zijn bufferoverloopaanvallen die proberen om aangrenzend geheugen in de stackframe te overschrijven. Er zijn twee soorten misbruik van bufferoverloop:

60

•

Stack-gebaseerde aanvallen: gebruiken de stackgeheugenobjecten om gebruikersinvoer op te slaan (komen het meeste voor).

•

Heap-gebaseerde aanvallen: overspoelen de geheugenruimte die is gereserveerd voor een programma (komt weinig voor).


Producthandleiding


3

Het stackgeheugenobject met vaste grootte is leeg en gereed voor invoer van de gebruiker. Wanneer een programma invoer van de gebruiker ontvangt, worden de gegevens boven op de stack opgeslagen en wordt een geheugenretouradres toegewezen. Wanneer de stack wordt verwerkt, wordt de invoer van de gebruiker verzonden naar het retouradres dat is opgegeven door het programma. Hieronder wordt een stack-gebaseerde bufferoverloopaanval beschreven: 1

De stack laten overlopen. Wanneer het programma wordt geschreven, wordt een bepaalde hoeveelheid geheugenruimte gereserveerd voor de gegevens. De stack loopt over als de gegevens die worden geschreven, een grotere omvang hebben dan de ruimte die hiervoor is gereserveerd in de geheugenstack. Dit is alleen een probleem als dit in combinatie met schadelijke invoer gebeurt.

2

Misbruik maken van de overloop. Het programma wacht op invoer van de gebruiker. Als de aanvaller een uitvoerbare opdracht invoert die groter is dan de stackgrootte, wordt die opdracht buiten de gereserveerde ruimte opgeslagen.

3

De malware uitvoeren. De opdracht wordt niet automatisch uitgevoerd wanneer de stackbufferruimte wordt overschreden. Het programma loopt eerst vast vanwege de bufferoverloop. Als de aanvaller een geheugenretouradres heeft opgegeven dat verwijst naar de schadelijke opdracht, probeert het programma te herstellen door het retouradres te gebruiken. Als het retouradres een geldig adres is, wordt de schadelijke opdracht uitgevoerd.

4

Misbruik maken van de machtigingen. De malware wordt nu uitgevoerd met dezelfde machtigingen als de beschadigde toepassing. Aangezien programma's meestal in kernelmodus worden uitgevoerd, of met machtigingen die van een serviceaccount zijn overgenomen, krijgt de aanvaller nu volledige controle over het besturingssysteem.

Configureer instellingen voor Exploitpreventie Om te voorkomen dat toepassingen willekeurige code uitvoeren op uw computer, configureert u de instellingen voor Exploitpreventie. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder.



2



3


4

Klik op Exploitpreventie.

5

Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren.



Producthandleiding

61

3


Processen uitsluiten van Exploitpreventie Wanneer een overtreding van Exploitpreventie plaatsvindt, is er een bijbehorend proces en een mogelijke aanroepmodule of API. Als u vermoedt dat de overtreding die plaatsvindt een vals positief resultaat is, kunt u een uitsluiting toevoegen die de bestandsnaam van het proces vermeldt. U kunt ook de aanroepmodule of API specificeren. Binnen één uitsluiting worden het proces, de module en de API verbonden met een logische AND. Alle items die overeenkomen met het proces, de module en API die zijn geassocieerd met de overtreding om ervoor te zorgen dat het nogmaals optreden van die overtreding uitgesloten is. Elke uitsluiting staat op zich: meerdere uitsluitingen zijn verbonden via een logische OF zodat, als één uitsluiting overeenkomt, de overtreding niet kan plaatsvinden.

Mogelijk ongewenste programma's detecteren Om de beheerde computer te beschermen tegen mogelijk ongewenste programma's geeft u bestanden en programma's op die in uw omgeving moeten worden gedetecteerd, en schakelt u detectie in. Mogelijk ongewenste programma's zijn softwareprogramma's die ergerlijk zijn of de beveiligingsstaat of het privacybeleid van het systeem kunnen wijzigen. Mogelijk ongewenste programma's kunnen worden ingesloten in programma's die gebruikers opzettelijk downloaden. Spyware, adware en dialers zijn voorbeelden van ongewenste programma's. 1

Geef aangepaste ongewenste programma's op die de scanner bij toegang en scanner op verzoek moeten detecteren in de instellingen voor de Opties.

2

Schakel detectie van ongewenste programma's in en geef in de volgende instellingen op welke acties moeten worden uitgevoerd wanneer detecties plaatsvinden: •

instellingen voor Scannen bij toegang

•

instellingen voor Scannen op aanvraag

Zie ook Aangepaste, mogelijk ongewenste programma's opgeven die gedetecteerd moeten worden op pagina 62 Detecties en reacties van mogelijk ongewenste programma's inschakelen en configureren op pagina 63 Configureer de instellingen voor Scannen bij toegang op pagina 65 instellingen voor Scan op verzoek configureren op pagina 70

Aangepaste, mogelijk ongewenste programma's opgeven die gedetecteerd moeten worden Bij de instellingen voor Opties kunt u aanvullende programma's opgeven die de scanners bij toegang en op verzoek als ongewenste programma’s moeten behandelen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. De scanners detecteren de programma's die u opgeeft, evenals de programma's die in de AMCore-inhoudsbestanden zijn opgegeven.

62


Producthandleiding


3



2



3


4

Klik op Opties.

5

Vanuit Detecties van mogelijk ongewenste programma's: •

Klik op Toevoegen om de naam en desgewenst een beschrijving op te geven van een bestand of programma dat als mogelijk ongewenst programma moet worden behandeld. De Beschrijving wordt weergegeven als de detectienaam wanneer er een detectie plaatsvindt.

•

Dubbelklik op de naam of beschrijving van een bestaand, mogelijk ongewenst programma om deze te wijzigen.

•

Selecteer een bestaand, mogelijk ongewenst programma en klik op Verwijderen om het uit de lijst te halen.


Detecties en reacties van mogelijk ongewenste programma's inschakelen en configureren Schakel de scanners bij toegang en op verzoek in om mogelijk ongewenste programma's te detecteren en op te geven hoe moet worden gereageerd wanneer een mogelijk ongewenst programma wordt aangetroffen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder.


Configureer de instellingen voor Scannen bij toegang. a


b

Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen.

c


d

Klik op Scannen bij toegang.


de optie Instellingen en klik op Threat Prevention op de pagina

Producthandleiding

63

3


2

e

Selecteer onder Procesinstellingen voor elk type Scannen bij toegang de optie Ongewenste programma's detecteren.

f

Configureer onder Acties hoe op ongewenste programma's moet worden gereageerd.

Configureer instellingen voor Scannen op aanvraag. a


b

Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen.

de optie Instellingen en klik op Threat Prevention op de pagina

c


d

Klik op Scannen op aanvraag.

e

Voor elk scantype (Volledige scan, Snelle scan en Rechtermuisknopscan): •

Selecteer Ongewenste programma's detecteren.

•

Configureer onder Acties hoe op ongewenste programma's moet worden gereageerd.

Zie ook Configureer de instellingen voor Scannen bij toegang op pagina 65 instellingen voor Scan op verzoek configureren op pagina 70 Aanmelden als beheerder op pagina 25

Algemene scaninstellingen configureren Als u instellingen wilt opgeven die van toepassing zijn op scans bij toegang, configureert u de instellingen voor Opties van Bedreigingspreventie . Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Deze instellingen zijn van toepassing op alle scans: •

Quarantainelocatie en het aantal dagen dat items in quarantaine bewaard moeten blijven voordat ze automatisch worden verwijderd

•

Detectienamen die moeten worden uitgesloten van scans

•

Mogelijk ongewenste programma's die moeten worden gedetecteerd, zoals spyware en adware

•

telemetriefeedback op basis van McAfee GTI



2

Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen.

3

64

de optie Instellingen en klik op Bedreigingspreventie op de pagina



Producthandleiding


3

4

Klik op Opties.

5


Zie ook Aanmelden als beheerder op pagina 25 Configureer de instellingen voor Scannen bij toegang op pagina 65 instellingen voor Scan op verzoek configureren op pagina 70

Configureer de instellingen voor Scannen bij toegang Met deze instellingen worden de scans bij toegang ingeschakeld en geconfigureerd, waaronder het opgeven van berichten die moeten worden verstuurd wanneer een bedreiging wordt gedetecteerd, en andere instellingen op basis van procestype. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Raadpleeg de Help voor de instellingen van de Opties van Bedreigingspreventie voor meer scanconfiguratieopties.



2



3


4

Klik op Scannen bij toegang.

5

Selecteer Scannen bij toegang inschakelen om de scanner bij toegang in te schakelen en opties te bewerken.

6

Geef op of standaardinstellingen voor alle processen moeten worden gebruikt, of verschillende instellingen voor processen met hoog en laag risico.

7

•

Standaardinstellingen: configureer de scaninstellingen op het tabblad Standaard.

•

Verschillende instellingen op basis van procestype: selecteer het tabblad (Standaard, Hoog risico of Laag risico) en configureer de scaninstellingen voor elk procestype.


Zie ook Aanmelden als beheerder op pagina 25 Algemene scaninstellingen configureren op pagina 64

Hoe scannen bij toegang werkt De scanner bij toegang kan op het laagste niveau met het systeem geïntegreerd worden (Bestandssysteem Filterstation) en scant bestanden wanneer ze voor het eerst in het systeem binnenkomen. De scanner bij toegang stuurt meldingen naar de service-interface bij detectie.


Producthandleiding

65

3


Wanneer er een poging wordt gedaan om een bestand te openen of sluiten, onderschept de scanner de handeling en wordt een van de volgende acties uitgevoerd: 1

De scanner bepaalt of het item moet worden gescand aan de hand van deze criteria: •

De extensie van het bestand komt overeen met de configuratie.

•

Het bestand is niet in de cache geplaatst, uitgesloten of eerder gescand. De scanner op verzoek gebruikt heuristische methodes om te controleren op verdachte bestanden als u McAfee GTI instelt.

2

Als het bestand voldoet aan de scancriteria, vergelijkt de scanner het met de signaturen in het momenteel ingestelde AMCore-inhoudsbestand. •

Als het bestand schoon is, wordt het resultaat gecached en worden lees- of schrijfhandelingen toegekend.

•

Als het bestand een bedreiging bevat, wordt de handeling geweigerd en neemt de scanner de geconfigureerde actie. Is de actie bijvoorbeeld om het bestand op te schonen, dan zal de scanner het volgende doen: 1

Informatie in het momenteel ingestelde AMCore-inhoudsbestand gebruiken om het bestand op te schonen.

2

De resultaten in het activiteitenlogboek registreren.

3

De gebruiker waarschuwen dat er een bedreiging in het bestand is gedetecteerd en de te nemen actie aanvragen (het bestand opschonen of verwijderen).

Windows 8 en 10: als de scanner een bedreiging detecteert in het pad van een geïnstalleerde Windows Store-app, wordt de bedreiging door de scanner gemarkeerd als gemanipuleerd. Windows voegt de markering Gemanipuleerd toe aan de tegel voor de app. Wanneer u probeert de app uit te voeren, stelt Windows u op de hoogte van het probleem en wordt u naar de Windows Store geleid om de app opnieuw te installeren.

66


Producthandleiding


3

3

Als het bestand niet aan de scanvereisten voldoet, slaat de scanner het bestand in de cache op en staat deze de handeling toe.

De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. Bedreigingspreventie leegt de algemene scancache en scant alle bestanden opnieuw wanneer: •

De configuratie voor Scannen bij toegang verandert.

•

Er een Extra.DAT-bestand wordt toegevoegd.

Scannen bij schrijven naar schijf, lezen van schijf of McAfee laten beslissen U kunt instellen wanneer de scanner bij toegang bestanden moet scannen: bij schrijven naar schijf, bij lezen van schijf, of McAfee toestaan te beslissen wanneer er wordt gescand. Als bestanden naar schijf worden geschreven, scant de scanner bij toegang deze bestanden: •

Inkomende bestanden die naar de vaste schijf worden geschreven.

•

Bestanden (nieuw, gewijzigd of gekopieerd van de ene naar de andere schijf) die zijn gemaakt op de lokale vaste schijf of op een toegewezen netwerkstation (indien ingeschakeld). Omdat de scan mogelijk niet lukt als het bestand naar de schijf wordt geschreven, raden wij ten zeerste aan om Bij lezen van schijf in te schakelen.


Producthandleiding

67

3


Als bestanden van schijf worden gelezen, scant de scanner deze bestanden: •

Uitgaande bestanden die worden gelezen van de lokale vaste schijf of op toegewezen netwerkstations (indien ingeschakeld).

•

Bestanden die proberen een proces uit te voeren op de lokale vaste schijf.

•

Bestanden die op de lokale vaste schijf worden geopend.

Wanneer u McAfee laat beslissen of een bestand moet worden gescand, gebruikt de scanner bij toegang vertrouwenslogica om het scannen te optimaliseren. Vertrouwenslogica verbetert uw beveiliging en prestaties doordat onnodig scannen wordt vermeden. Stel McAfee analyseert een aantal programma's en besluit dat deze betrouwbaar zijn. Als McAfee verifieert dat deze programma's niet zijn gemanipuleerd, voert de scanner mogelijk een beperkte of geoptimaliseerde scan uit.

Scriptscan De Bedreigingspreventie-scriptscanner fungeert als een proxycomponent voor de native Windows Script Host, en onderschept en scant scripts voordat ze worden uitgevoerd.

•

Als het script schoon is, geeft de scriptscanner het script door aan de native Windows Script Host.

•

Als het script een mogelijke bedreiging bevat, voorkomt de scriptscanner dat het script wordt uitgevoerd.

Uitsluitingen voor ScriptScan Bij scriptintensieve websites en webtoepassingen verslechteren mogelijk de prestaties wanneer ScriptScan is ingeschakeld. In plaats van ScriptScan uit te schakelen, is het raadzaam URL-uitsluitingen op te geven voor vertrouwde sites, zoals sites met een intranet of webtoepassingen waarvan u weet dat ze veilig zijn.

68


Producthandleiding


3

Wanneer u URL-uitsluitingen maakt: •

Gebruik geen jokertekens.

•

Neem geen poortnummers op.

•

Het is raadzaam om alleen FQDN (Fully Qualified Domain Names) en NetBIOS-namen te gebruiken. Op Windows Server 2008-systemen werken ScriptScan URL-uitsluitingen niet met Internet Explorer tenzij u browseruitbreidingen van derden inschakelt en het systeem opnieuw opstart. Zie het KnowledgeBase-artikel KB69526.

ScriptScan en Internet Explorer Wanneer Bedreigingspreventie is geïnstalleerd, wordt een prompt weergegeven om een of meer McAfee-invoegtoepassingen in te schakelen wanneer u Internet Explorer de eerste keer start. Als ScriptScan scripts moet scannen: •

De instelling Scriptscan inschakelen moet geselecteerd zijn.

•

De invoegtoepassing moet zijn ingeschakeld in de browser. Als ScriptScan is uitgeschakeld wanneer Internet Explorer wordt gestart en vervolgens wordt ingeschakeld, worden geen schadelijke scripts in dat exemplaar van Internet Explorer gedetecteerd. Nadat u ScriptScan hebt ingeschakeld, moet u Internet Explorer opnieuw starten zodat schadelijke scripts worden gedetecteerd.

Scaninstellingen voor processen bepalen Voer dit proces uit om te bepalen of u verschillende instellingen op basis van procestype moet configureren.


Producthandleiding

69

3


instellingen voor Scan op verzoek configureren Met deze instellingen wordt de werking van drie, vooraf gedefinieerde scans op aanvraag geconfigureerd: Volledige scan, Snelle scan en Rechtermuisknopscan. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Raadpleeg de Help voor de instellingen van de Opties van Bedreigingspreventie voor meer scanconfiguratieopties.

70


Producthandleiding


3



2

Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie


3


4

Klik op Scannen op aanvraag.

5

Klik op een tabblad om instellingen voor de opgegeven scan te configureren.

6

•

Volledige scan

•

Snelle scan

•

Rechtermuisknopscan


Zie ook Aanmelden als beheerder op pagina 25 Algemene scaninstellingen configureren op pagina 64 Scantaken configureren, plannen en uitvoeren op pagina 75

Hoe scannen op verzoek werkt De scanner op verzoek doorzoekt bestanden, mappen, geheugen en register op malware die mogelijk uw computer heeft geïnfecteerd. U besluit wanneer en hoe vaak de scans op aanvraag plaatsvinden. U kunt systemen handmatig scannen, op een geplande tijd, of tijdens opstarten. 1

De scanner op verzoek gebruikt de volgende criteria om te bepalen of het item moet worden gescand: •

De extensie van het bestand komt overeen met de configuratie.

•

Het bestand is niet in de cache geplaatst, uitgesloten of eerder gescand (als de scanner de scancache gebruikt). De scanner op verzoek gebruikt heuristische methodes om te controleren op verdachte bestanden als u McAfee GTI instelt.

2

Als het bestand voldoet aan de scancriteria, vergelijkt de scanner de informatie in het item met bekende malwaresignaturen in de momenteel ingestelde AMCore-inhoudsbestanden. •

Als er niets in het bestand wordt gevonden, wordt het resultaat in de cache opgeslagen en controleert de scanner het volgende item.

•

Als het bestand een bedreiging bevat, neemt de scanner de geconfigureerde actie.


Producthandleiding

71

3


Is de actie bijvoorbeeld om het bestand op te schonen, dan zal de scanner het volgende doen: 1

Informatie in het momenteel ingestelde AMCore-inhoudsbestand gebruiken om het bestand op te schonen.

2

De resultaten in het activiteitenlogboek registreren.

3

De gebruiker waarschuwen dat er een bedreiging in het bestand is gedetecteerd met vermelding van de itemnaam en genomen actie.

Windows 8 en 10: als de scanner een bedreiging detecteert in het pad van een geïnstalleerde Windows Store-app, wordt de bedreiging door de scanner gemarkeerd als gemanipuleerd. Windows voegt de markering Gemanipuleerd toe aan de tegel voor de app. Wanneer u probeert de app uit te voeren, stelt Windows u op de hoogte van het probleem en wordt u naar de Windows Store geleid om de app opnieuw te installeren. 3

Als het item niet aan de scanvereisten voldoet, wordt het niet door de scanner gecontroleerd. De scanner gaat dan door totdat alle gegevens zijn gescand.

De detectielijst van de scan op verzoek wordt gewist wanneer de volgende scan op verzoek wordt gestart. Bedreigingspreventie leegt de algemene scancache en scant alle bestanden opnieuw wanneer een Extra.DAT wordt geladen.

De impact van scans op gebruikers beperken Specificeer prestatieopties wanneer u scans op verzoek configureert om de impact die deze scans op een systeem hebben te minimaliseren.

72


Producthandleiding


3

Alleen scannen wanneer het systeem niet actief is De gemakkelijkste manier om ervoor te zorgen dat de scan geen impact heeft op gebruikers, is de scan op verzoek alleen uit te voeren wanneer de computer niet actief is. Wanneer deze optie is geselecteerd, pauzeert Bedreigingspreventie de scan wanneer schijf- of gebruikersactiviteit wordt gedetecteerd, zoals gebruik van toetsenbord of muis. Bedreigingspreventie hervat de scan wanneer de gebruiker drie minuten lang geen toegang tot het systeem heeft gezocht. Kunt u desgewenst: •

Gebruikers toestaan scans te hervatten die door gebruikersactiviteit zijn onderbroken.

•

De scan zo instellen dat deze alleen wordt uitgevoerd wanneer het systeem niet actief is. McAfee raadt aan om deze optie alleen uit te schakelen op serversystemen en systemen waartoe gebruikers toegang krijgen via Verbinding met extern bureaublad. Bedreigingspreventie is afhankelijk van McTray om te bepalen of het systeem inactief is. Op systemen die alleen toegankelijk zijn via Verbinding met extern bureaublad, wordt McTray niet gestart en wordt de scan op verzoek nooit uitgevoerd.

Gebruikers kunnen dit probleem oplossen door McTray (standaard in C:\Program Files \McAfee\Agent\mctray.exe) handmatig te starten wanneer zij zich aanmelden via Verbinding met extern bureaublad. Selecteer Alleen scannen wanneer het systeem niet actief is in de sectie Prestaties van het tabblad Instellingen van de Scantaak.

Scans automatisch onderbreken U kunt scans op aanvraag onderbreken wanneer het systeem op de accu werkt om prestaties te verbeteren. U kunt de scan ook onderbreken wanneer een toepassing, zoals een browser, mediaspeler of presentatie, op volledig scherm wordt uitgevoerd. De scan wordt hervat zodra het systeem op netvoeding wordt aangesloten of de modus voor volledig scherm wordt uitgeschakeld. Selecteer deze opties in de sectie Prestaties van het tabblad Instellingen van de Scantaak: •

Niet scannen als het systeem op batterijvermogen draait

•

Niet scannen als het systeem in presentatiemodus staat (beschikbaar wanneer Op elk moment scannen is geselecteerd)

Gebruikers toestaan scans uit te stellen Als u Op elk moment scannen selecteert, kunt u gebruikers toestaan geplande scans telkens één uur uit te stellen, tot 24 uur, of onbeperkt. Elk uitstel door een gebruiker kan één uur duren. Als de optie Maximum aantal uren dat gebruiker kan uitstellen bijvoorbeeld op 2 is ingesteld, kan de gebruiker de scan twee keer (twee uur) uitstellen. Als de maximum tijdsduur van het uitstel is verstreken, wordt de scan voortgezet. Als u een onbeperkt uitstel toestaat door de optie op nul in te stellen, kan de gebruiker de scan voor onbepaalde tijd uitstellen. Selecteer Gebruiker kan scan uitstellen in de sectie Prestaties van het tabblad Instellingen van de Scantaak:

Scanactiviteit beperken met incrementele scans Gebruik incrementele, of hervatbare scans om te beperken wanneer scanactiviteit op aanvraag plaatsvindt en toch het volledige systeem te scannen in meerdere sessies. Voeg een tijdslimiet aan de geplande scan toe om incrementeel scannen te gebruiken. De scan stopt wanneer de tijdslimiet wordt bereikt. De volgende keer dat deze taak start, wordt deze hervat vanaf het punt in het bestand en de bestandsstructuur waar de vorige scan is gestopt.


Producthandleiding

73

3


Selecteer Taak stoppen als deze wordt uitgevoerd gedurende in de sectie Opties van het tabblad Scantaak Planning. Zie Scantaken configureren, plannen en uitvoeren op pagina 75.

Systeemgebruik configureren Met Systeemgebruik kan de hoeveelheid CPU-tijd worden ingesteld die beschikbaar wordt gesteld aan de scanner tijdens de scan. Stel voor systemen met activiteit van eindgebruikers het systeemgebruik in op Laag. Selecteer Systeemgebruik in de sectie Prestaties van het tabblad Instellingen van de Scantaak. Zie ook instellingen voor Scan op verzoek configureren op pagina 70 Scantaken configureren, plannen en uitvoeren op pagina 75

De werking van systeemgebruik De scanner op verzoek gebruikt de instelling Prioriteit instellen in Windows voor de scanprocessen en de prioriteit van threads. Met de systeemgebruikinstelling (beperking) kan het besturingssysteem opgeven hoeveel CPU-tijd de scanner op verzoek krijgt tijdens het scanproces. Als u het systeemgebruik voor de scan instelt op Laag, worden de prestaties voor andere actieve toepassingen verbeterd. De lage instelling is handig voor systemen met activiteit van eindgebruikers. Omgekeerd is het zo dat als u het systeemgebruik instelt op Normaal, de scan sneller wordt voltooid. De normale instelling is handig voor systemen met grote volumes en maar weinig activiteit van eindgebruikers. Elke taak wordt onafhankelijk uitgevoerd, zonder rekening te houden met de beperkingen voor andere taken.

Tabel 3-3 Standaardprocesinstellingen Instellingen voor Bedreigingspreventie-proces

Deze optie...

Windows-instelling Prioriteit instellen

Laag

Biedt verbeterde prestaties voor Laag andere actieve toepassingen. Selecteer deze optie voor systemen met activiteit van eindgebruikers.

Lager dan normaal

Stelt het systeemgebruik voor de Lager dan normaal scan in op de standaardwaarde van McAfee ePO.

Normaal (standaard)

Hiermee kan de scan sneller worden uitgevoerd. Selecteer deze optie voor systemen met grote volumes en weinig activiteit van eindgebruikers.

Normaal

Hoe het scannen van Externe opslag werkt U kunt de scanner op verzoek configureren om de inhoud van bestanden die door Externe opslag worden beheerd, te scannen. Externe opslag controleert de hoeveelheid beschikbare ruimte op het lokale systeem. Wanneer nodig migreert Externe opslag de inhoud (gegevens) uit in aanmerking komende bestanden van het clientsysteem naar een opslagapparaat, zoals een tapestation. Wanneer een gebruiker een bestand opent waarvan de gegevens zijn gemigreerd, haalt Externe opslag de gegevens automatisch op van het opslagapparaat.

74


Producthandleiding


3

Selecteer de optie Bestanden scannen die zijn gemigreerd naar de opslag om de scan op verzoek te configureren zodat bestanden worden gescand die Externe opslag beheert. Wanneer de scanner een bestand aantreft met gemigreerde inhoud, wordt het bestand naar het lokale systeem hersteld voordat het wordt gescand. Zie Wat is Externe opslag? voor meer informatie.

Scantaken configureren, plannen en uitvoeren U kunt de standaardtaken Volledige scan en Snelle scan plannen of aangepaste scantaken maken via de Endpoint Security-client in de Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder.



2


3


4


5

Configureer de instellingen voor de scantaak op de pagina.




Een aangepaste scantaak maken.

1 Klik op Toevoegen. 2 Voer de naam in, selecteer Aangepaste scan in de vervolgkeuzelijst en klik op Volgende. 3 Configureer de instellingen en planning van de scantaak, en klik op OK om de taak op te slaan.

Een scantaak wijzigen.

• Dubbelklik op de taak, breng uw wijzigingen aan en klik op OK om de taak op te slaan.

Een aangepaste scantaak verwijderen.


Een kopie van een scantaak maken.



2 Voer de naam in, configureer de instellingen en klik op OK om de taak op te slaan.

Producthandleiding

75

3




De planning voor een 1 Dubbelklik op Volledige scan of Snelle scan. Volledige scan of Snelle 2 Klik op de tab Planning, wijzig de planning en klik op OK om de taak op te scan uitvoeren. slaan. U kunt instellingen voor de taken Volledige scan en Snelle scan alleen op systemen in eigen beheer configureren.

Zie instellingen voor Scan op verzoek configureren op pagina 70 voor informatie over het configureren van het standaardgedrag van de taken Volledige scan en Snelle scan die zijn gestart vanuit de Endpoint Security-client. De Volledige scan wordt standaard elke woensdag om 12 uur 's nachts uitgevoerd. De snelle scan wordt dagelijks om 7 uur 's ochtends uitgevoerd. De planningen zijn ingeschakeld.

Een scantaak uitvoeren.

• Selecteer de taak en klik op Nu uitvoeren. Als de taak al wordt uitgevoerd, of is gepauzeerd of uitgesteld, verandert de knop in Weergeven. Als u een taak uitvoert voordat u wijzigingen toepast, vraagt de Endpoint Security-client u de instellingen op te slaan.

6


Zie ook Aanmelden als beheerder op pagina 25 instellingen voor Scan op verzoek configureren op pagina 70 Een Volledige scan of Snelle scan uitvoeren op pagina 42

76


Producthandleiding

4

Firewall gebruiken

De Firewall fungeert als filter tussen uw computer en het netwerk of internet. Inhoud Zo werkt Firewall Getimede groepen van Firewall inschakelen of weergeven Firewall beheren

Zo werkt Firewall De Firewall scant al het binnenkomende en uitgaande verkeer. Tijdens de controle van binnenkomend of uitgaand verkeer controleert de Firewall de lijst met regels. Dit is een reeks criteria met bijbehorende acties. Als het verkeer aan alle criteria in een regel voldoet, gaat de Firewall te werk op basis van de regel en wordt verkeer via de Firewall geblokkeerd of toegestaan. Informatie over bedreigingsdetecties wordt opgeslagen voor rapporten waarmee de beheerder op de hoogte wordt gesteld van eventuele beveiligingsproblemen op uw computer. Firewall-opties en -regels definiëren hoe de Firewall werkt. Firewall-regels worden georganiseerd in regelgroepen voor eenvoudiger beheer. Als de Clientinterfacemodus is ingesteld op Volledige toegang of als u bent aangemeld als beheerder, kunt u regels en groepen configureren met behulp van Endpoint Security-client. Voor beheerde systemen worden regels en groepen die u maakt, mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert. Zie ook Opties van Firewall configureren op pagina 78 Hoe firewallregels werken op pagina 81 Hoe firewallregelgroepen werken op pagina 82

Getimede groepen van Firewall inschakelen of weergeven Getimede groepen van Firewall inschakelen of weergeven via het McAfee-systeemvakpictogram. Deze opties zijn mogelijk niet beschikbaar, afhankelijk van hoe de instellingen zijn geconfigureerd.


Producthandleiding

77

4

Firewall gebruiken Firewall beheren

Procedure •

Klik met de rechtermuisknop op het McAfee-systeemvakpictogram en selecteer een optie in het menu Snelinstellingen. •

Getimede groepen van Firewall inschakelen: hiermee worden getimede groepen gedurende een opgegeven tijd ingeschakeld om toegang tot het internet zonder netwerk toe te staan, voordat regels die de toegang beperken worden toegepast. Telkens als u deze optie selecteert, wordt de tijd voor de groepen opnieuw ingesteld.

•

Getimede groepen van Firewall weergeven: hiermee worden de namen van de getimede groepen weergegeven, evenals de actieve tijd die over is voor elke groep.

Firewall beheren Als beheerder kunt u Firewall-opties configureren en regels en groepen maken in de Endpoint Security-client. Voor beheerde systemen kunnen beleidswijzigingen van McAfee ePO wijzigingen overschrijven van de pagina Instellingen.

Firewall-opties wijzigen Als beheerder kunt u Firewall-opties bewerken via de Endpoint Security-client. Taken •

Opties van Firewall configureren op pagina 78 Configureer instellingen in Opties om firewallbeveiliging in en uit te schakelen, de aanpassingsmodus in te schakelen, en andere Firewall-opties te configureren.

•

DNS-verkeer blokkeren op pagina 79 Als u firewallbeveiliging wilt verfijnen, maakt u een lijst van FQDN's die u wilt blokkeren. Firewall blokkeert verbindingen met de IP-adressen die worden omgezet naar de domeinnamen.

Zie ook Veelgestelde vragen: McAfee GTI en Firewall op pagina 79

Opties van Firewall configureren Configureer instellingen in Opties om firewallbeveiliging in en uit te schakelen, de aanpassingsmodus in te schakelen, en andere Firewall-opties te configureren. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder.



2

Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie

78


de optie Instellingen en klik op Firewall op de pagina Instellingen.

Producthandleiding


3

4

Selecteer Firewall inschakelen om de firewall te activeren en de opties te bewerken. Host Intrusion Prevention 8.0 kan worden geïnstalleerd op hetzelfde systeem als Endpoint Security 10.1. Als McAfee Host IPS geïnstalleerd en ingeschakeld is, wordt de Endpoint Security-firewall uitgeschakeld, ook al is deze ingeschakeld in de beleidsinstellingen.

4


5



DNS-verkeer blokkeren Als u firewallbeveiliging wilt verfijnen, maakt u een lijst van FQDN's die u wilt blokkeren. Firewall blokkeert verbindingen met de IP-adressen die worden omgezet naar de domeinnamen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder.



2



3

Klik onder DNS-blokkering op Toevoegen.

4

Voer de door FQDN in van de domeinen die moeten worden geblokkeerd. U kunt de jokertekens * en ? gebruiken. Bijvoorbeeld *domein.com. Dubbele vermeldingen worden automatisch verwijderd.

5


Veelgestelde vragen: McAfee GTI en Firewall Antwoorden op veelgestelde vragen. Met instellingen voor Firewall Opties kunt u inkomend en uitgaand verkeer blokkeren voor een netwerkverbinding die McAfee GTI heeft geclassificeerd als hoog risico. In deze veelgestelde vragen wordt uitgelegd hoe McAfee GTI werkt en het effect op de firewall. Wat is McAfee GTI? McAfee GTI is een wereldwijd internetreputatiesysteem dat goed en slecht gedrag op internet bepaalt. McAfee GTI gebruikt realtime-analyse van wereldwijde gedrags- en verzendpatronen voor e-mail, webactiviteiten, malware en gedrag tussen systemen. Aan de hand van analysegegevens berekent McAfee GTI op dynamische wijze reputatiescores die het risiconiveau voor uw netwerk representeren wanneer u een webpagina bezoekt. Het resultaat is een database met reputatiescores voor IP-adressen, domeinen, specifieke berichten, URL's en afbeeldingen. Hoe werkt het?


Producthandleiding

79

4


Wanneer de opties van McAfee GTI worden geselecteerd, worden twee firewallregels gemaakt: McAfee GTI — Allow Endpoint Security Firewall Service (McAfee GTI: Endpoint Security Firewall-service toestaan) en McAfee GTI — Get Rating (McAfee GTI: Classificatie verkrijgen). De eerste regel staat een verbinding met McAfee GTI toe en de tweede blokkeert verkeer of staat het toe op basis van de reputatie van de verbinding en de ingestelde blokkeringsdrempel. Wat betekent 'reputatie'? McAfee GTI berekent een reputatiewaarde voor elk IP-adres op internet. McAfee GTI baseert de waarde op het verzend- of hostgedrag en verschillende omgevingsgegevens die zijn verzameld van klanten en partners over de staat van internetdreigingen. De reputatie wordt uitgedrukt in vier klassen, gebaseerd op onze analyse: •

Niet blokkeren (minimumrisico): deze site is een legitieme bron of bestemming van inhoud/ verkeer.

•

Niet gecontroleerd: deze site lijkt een legitieme bron of bestemming van inhoud/verkeer te zijn. Deze site heeft echter ook bepaalde eigenschappen die nadere controle vereisen.

•

Gemiddeld risico: deze bron/bestemming toont gedrag dat als verdacht wordt beschouwd en inhoud/verkeer van naar deze bron/bestemming moet nader onderzocht worden.

•

Hoog risico: van deze bron/bestemming is bekend dat mogelijk schadelijk(e) inhoud/verkeer wordt verzonden/gehost. We zijn van mening dat het hier om een ernstig risico gaat.

Veroorzaakt McAfee GTI vertraging? En hoeveel? Wanneer McAfee GTI wordt gevraagd om een reputatie vast te stellen, is een kleine vertraging onvermijdelijk. McAfee heeft er alles aan gedaan om deze vertraging tot een minimum te beperken. McAfee GTI: •

Controleert alleen reputaties wanneer de opties zijn geselecteerd.

•

Gebruikt een intelligente cache-architectuur. Bij normale netwerkgebruikspatronen zet de cache de meest gevraagde verbindingen om zonder een livezoekopdracht naar de reputatie.

Stopt het verkeer als de firewall de servers van McAfee GTI niet kan bereiken? Als de firewall geen van de servers van McAfee GTI kan bereiken, krijgen alle toepasselijke verbindingen automatisch een standaard toegestane reputatie toegewezen. De firewall blijft vervolgens de regels die volgen, analyseren.

Firewall-regels en -groepen beheren Als beheerder kunt u Firewall-regels en -groepen configureren via de Endpoint Security-client. Taken

80

•

Firewall -regels en -groepen maken en beheren op pagina 86 Voor beheerde systemen worden regels en groepen die u configureert in de Endpoint Security-client, mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert.

•

Groepen voor isolatie van verbindingen maken op pagina 88 Maak een firewallregelgroep voor isolatie van verbindingen om een reeks regels op te stellen die alleen van toepassing zijn wanneer verbinding wordt gemaakt met een netwerk met bepaalde parameters.

•

Getimede groepen maken op pagina 89 Maak getimede groepen voor de Firewall om internettoegang te beperken tot een clientsysteem verbinding maakt via een VPN.


Producthandleiding


4

Hoe firewallregels werken Firewallregels bepalen hoe netwerkverkeer wordt verwerkt. Elke regel bevat een reeks voorwaarden waaraan verkeer moet voldoen, en een actie om verkeer toe te staan of te blokkeren. Wanneer Firewall verkeer vindt dat aan de voorwaarden van een regel voldoet, wordt de bijbehorende actie uitgevoerd. U kunt de regels algemeen (bijvoorbeeld al het IP-verkeer) of specifieker (bijvoorbeeld een specifieke toepassing of service identificeren) definiëren en opties opgeven. U kunt regels groeperen volgens een werkfunctie, service of toepassing om ze gemakkelijker te beheren. Net als regels kunt u regelgroepen definiëren op netwerk, transport, toepassing, planning en locatie. Firewall gebruikt prioriteit om regels toe te passen: 1

Firewall past de regel boven aan de lijst met firewallregels toe. Als het verkeer voldoet aan de voorwaarden van deze regel, wordt het verkeer door Firewall toegestaan of geblokkeerd. Er wordt niet geprobeerd andere regels in de lijst toe te passen.

2

Als het verkeer niet voldoet aan de voorwaarden van de eerste regel, kijkt Firewall naar de volgende regel in de lijst, tot een regel wordt gevonden waaraan het verkeer voldoet.

3

Als er geen regels zijn waaraan wordt voldaan, blokkeert de firewall het verkeer automatisch.

Als de adaptieve modus is geactiveerd, wordt een regel gemaakt om het verkeer toe te staan. Soms komt het onderschepte verkeer overeen met meer dan een regel in de lijst. In dit geval betekent voorrang dat Firewall alleen de eerste regel op de lijst waaraan wordt voldaan, toepast.


Producthandleiding

81

4


Aanbevolen procedures Zet de specifiekere regels boven aan de lijst en de algemenere regels onderaan. Deze volgorde zorgt dat Firewall het verkeer goed filtert. Als u bijvoorbeeld alle HTTP-aanvragen wilt toestaan met uitzondering van een specifiek adres (bijvoorbeeld IP-adres 10.10.10.1), maakt u twee regels: •

Blokkeringsregel: blokkeer HTTP-verkeer van IP-adres 10.10.10.1. Dit is een specifieke regel.

•

Toestaan-regel: sta al het verkeer toe dat gebruik maakt van de HTTP-service. Dit is een algemene regel.

Zet de blokkeringsregel hoger in de lijst met firewallregels dan de toestaan-regel. Wanneer de firewall de HTTP-aanvraag van adres 10.10.10.1 onderschept, is de regel die dit verkeer via de firewall blokkeert, de eerste overeenkomende regel die wordt gevonden. Als de algemene toestaan-regel hoger staat dan de specifieke blokkeringsregel, zoekt Firewall aanvragen bij de toestaan-regel voordat de blokkeringsregel wordt gevonden. Het verkeer wordt nu toegestaan, zelfs als u de HTTP-aanvraag van een specifiek adres wilde blokkeren.

Hoe firewallregelgroepen werken Gebruik Firewallregelgroepen om firewallregels te organiseren voor eenvoudiger beheer. Firewall-regelgroepen hebben geen invloed op de manier waarop Firewall de regels erin verwerkt; Firewall verwerkt regels nog steeds van boven naar beneden. Firewall verwerkt de instellingen voor de groep voordat de instellingen voor de regels die de groep bevat, worden verwerkt. Als deze instellingen een conflict bevatten, krijgen de groepsinstellingen voorrang.

Locatiedetectie voor groepen instellen Met Firewall kunt u locatiedetectie voor groepsregels instellen en verbindingsisolatie opzetten. Met de Locatie en Netwerkopties van de groep kunt u netwerkadapterdetectie voor de groepen instellen. Gebruik netwerkadaptergroepen om adapterspecifieke regels toe te passen voor computers met meerdere netwerkinterfaces. Nadat u locatiestatus hebt ingeschakeld en de locatie hebt opgegeven, kunnen parameters voor toegestane verbindingen het volgende voor elke netwerkadapter bevatten: Locatie:

82

•

Vereisen dat McAfee ePO bereikbaar is

•

Verbindingsspecifiek DNS-achtervoegsel

•

IP-adres van standaardgateway

•

IP-adres DHCP-server

•

Query uitgevoerd op DNS-server om URL's om te zetten

•

IP-adres primaire WINS-server

•

IP-adres secundaire WINS-server

•

Domeinbereikbaarheid (HTTPS)

•

Registersleutel


Producthandleiding


4

Netwerken: •

IP-adres lokaal netwerk

•

Verbindingstypen

Als twee groepen met locatiedetectie van toepassing zijn op een verbinding, gebruikt Firewall normale prioriteit en wordt de eerste toepasselijke groep in de regellijst verwerkt. Als er geen regel in de eerste groep overeenkomt, wordt regelverwerking voortgezet. Wanneer Firewall de parameters van een groep met locatiedetectie bij een actieve verbinding zoekt, worden de regels binnen de groep toegepast. De regels worden als kleine regelset behandeld en normale prioriteit wordt gebruikt. Als sommige regels niet overeenkomen met het onderschepte verkeer, worden ze genegeerd door de firewall. Wanneer deze optie is geselecteerd...

Ga daarna als volgt te werk:

Locatiedetectie inschakelen

Er is een locatienaam vereist.

Vereisen dat McAfee ePO bereikbaar is

De McAfee ePO is bereikbaar en de FQDN van de server is omgezet.

Lokaal netwerk

Het IP-adres van de adapter moet overeenkomen met een van de lijstvermeldingen.

Verbindingsspecifiek DNS-achtervoegsel

Het DNS-achtervoegsel van de adapter moet overeenkomen met een van de lijstvermeldingen.

Standaardgateway

Het gateway-IP-adres van de standaardadapter moet overeenkomen met ten minste een van de lijstvermeldingen.

DHCP-server

Het IP-adres van de DHCP-server van de adapter moet overeenkomen met ten minste een van de lijstvermeldingen.

DNS-server

Het IP-adres van de DNS-server van de adapter moet overeenkomen met een van de lijstvermeldingen.

Primaire WINS-server

Het IP-adres van de primaire WINS-server van de adapter moet overeenkomen met ten minste een van de lijstvermeldingen.

Secundaire WINS-server

Het IP-adres van de secundaire WINS-server van de adapter moet overeenkomen met ten minste een van de lijstvermeldingen.

Domeinbereikbaarheid (HTTPS)

Het opgegeven domein moet bereikbaar zijn via HTTPS.

Firewall-regelgroepen en verbindingsisolatie Gebruik verbindingsisolatie voor groepen om te voorkomen dat ongewenst verkeer toegang krijgt tot een specifiek netwerk. Wanneer isolatie van verbindingen is ingeschakeld voor een groep, en een actieve NIC (Network Interface Card) komt overeen met de groepscriteria, verwerkt Firewall alleen het verkeer dat overeenkomt met: •

Regels toestaan boven de groep in de lijst met firewallregels

•

Groepscriteria

Al het andere verkeer wordt geblokkeerd. Een groep waarvoor isolatie van verbindingen is ingeschakeld, kan geen bijbehorende transportopties of uitvoerbare bestanden hebben.


Producthandleiding

83

4


Als voorbeelden van isolatie van verbindingen bekijkt u deze twee situaties: een bedrijfsomgeving en een hotel. De lijst met actieve firewallregels bevat regels en groepen in deze volgorde:

84

1

Regels voor basisverbinding

2

Regels voor VPN-verbindingen

3

Groep met regels voor zakelijke LAN-verbindingen

4

Groep met regels voor VPN-verbindingen


Producthandleiding

4


Voorbeeld: isolatie van verbindingen op het bedrijfsnetwerk Verbindingsregels worden verwerkt tot de groep met regels voor zakelijke LAN-verbindingen wordt aangetroffen. Deze groep bevat de volgende instellingen: •

Verbindingstype = Met draad

•

Verbindingsspecifiek DNS-achtervoegsel = mijnbedrijf.nl

•

Standaardgateway

•

Isolatie van verbindingen = ingeschakeld

De computer heeft zowel LAN- als draadloze netwerkadapters. De computer maakt verbinding met het bedrijfsnetwerk via een verbinding met draad. De draadloze interface is echter nog steeds actief, zodat verbinding wordt gemaakt met een hotspot buiten het kantoor. De computer maakt verbinding met beide netwerken, omdat de regels voor basistoegang boven aan de lijst met firewallregels staan. De LAN-verbinding met draad is actief en voldoet aan de criteria van de zakelijke LAN-groep. De firewall verwerkt het verkeer via de LAN, maar omdat isolatie van verbindingen is ingeschakeld, wordt al het verkeer dat niet via de LAN verloopt, geblokkeerd.

Voorbeeld: isolatie van verbindingen in een hotel Verbindingsregels worden verwerkt tot de groep met regels voor VPN-verbindingen wordt aangetroffen. Deze groep bevat de volgende instellingen: •

Verbindingstype = Virtueel

•

Verbindingsspecifiek DNS-achtervoegsel = vpn.mijnbedrijf.nl

•

IP-adres = een adres in een bereik dat specifiek is voor de VPN-concentrator

•

Isolatie van verbindingen = ingeschakeld

Algemene verbindingsregels staan de set-up van een getimede account in het hotel voor internettoegang toe. De VPN-verbindingsregels staan verbinding met en gebruik van de VPN-tunnel toe. Nadat de tunnel tot stand is gebracht, maakt de VPN-client een virtuele adapter die overeenkomt met de criteria van de VPN-groep. Het enige verkeer dat de firewall toestaat, is binnen de VPN-tunnel en het basisverkeer op de daadwerkelijke adapter. Pogingen van andere hotelgasten om via het netwerk toegang te krijgen tot de computer, al dan niet draadloos, worden geblokkeerd.

Vooraf gedefinieerde firewallregelgroepen Firewall heeft meerdere vooraf gedefinieerde firewallgroepen. Firewallgroep

Beschrijving

Kernnetwerken van McAfee

Bevat de kernnetwerkregels die door McAfee worden geleverd, en heeft regels om McAfee-toepassingen en DNS toe te staan. U kunt deze regels niet wijzigen of verwijderen. U kunt de groep uitschakelen in Firewall Opties, maar als u dit doet, verstoort dit mogelijk de netwerkcommunicatie op de client.

Beheerder toegevoegd

Bevat regels die door de beheerder op de beheerserver zijn gedefinieerd. Deze regels kunnen niet worden gewijzigd of verwijderd op de Endpoint Security-client.


Producthandleiding

85

4


Firewallgroep

Beschrijving

Gebruiker toegevoegd

Bevat regels die zijn gedefinieerd op de Endpoint Security-client Afhankelijk van de beleidsinstellingen worden deze regels mogelijk overschreven wanneer het beleid wordt gehandhaafd.

Bevat regels die dynamisch zijn gemaakt door andere Endpoint Security-modules op het systeem.

Dynamisch

Bedreigingspreventie stuurt bijvoorbeeld een gebeurtenis naar de module Endpoint Security-client om een regel te maken waarmee toegang tot een systeem op het netwerk wordt geblokkeerd. Bevat clientuitzonderingsregels die automatisch worden gemaakt wanneer de Adaptieve modus van het systeem ingeschakeld is.

Adaptief

Afhankelijk van de beleidsinstellingen worden deze regels mogelijk overschreven wanneer het beleid wordt gehandhaafd.

Bevat standaardregels die worden geleverd door McAfee.

Standaard

Deze regels kunnen niet worden gewijzigd of verwijderd.

Firewall -regels en -groepen maken en beheren Voor beheerde systemen worden regels en groepen die u configureert in de Endpoint Security-client, mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. De groepen en regels worden in volgorde van prioriteit weergegeven in de tabel Firewall-regels. U kunt regels niet op kolom sorteren.



2


3


Met de volgende taken worden firewallregels en -groepen beheerd. Taak

Stappen

De regels in een firewallgroep weergeven.

Klik op

.

Een firewallgroep samenvouwen.

Klik op

.

Een bestaande regel wijzigen.

1 Vouw de groep Gebruiker toegevoegd uit.

U kunt regels alleen aanpassen in de groep Gebruiker toegevoegd.

2 Dubbelklik op de regel. 3 Wijzig de regelinstellingen. 4 Klik op OK om uw wijzigingen op te slaan.

86


Producthandleiding


Taak

4

Stappen

Een bestaande regel in een groep 1 Vouw de groep uit. weergeven. 2 Selecteer de regel om de details ervan weer te geven in het onderste deelvenster. Een regel maken.

1 Klik op Regel toevoegen. 2 Geef de regelinstellingen op. 3 Klik op OK om uw wijzigingen op te slaan. De regel wordt onder aan de groep Gebruiker toegevoegd weergegeven.

Kopieën van regels maken.

1 Selecteer de regel of regels en klik op Dupliceren. Gekopieerde regels worden met dezelfde naam weergegeven onder aan de groep Gebruiker toegevoegd. 2 Pas de regels aan om de naam en instellingen te wijzigen.

Regels verwijderen. U kunt regels alleen verwijderen uit de groepen Gebruiker toegevoegd en Adaptief.

Een groep maken.

1 Vouw de groep uit. 2 Selecteer de regel of regels en klik op Verwijderen.

1 Klik op Groep toevoegen. 2 Geef de groepsinstellingen op. 3 Klik op OK om uw wijzigingen op te slaan. De groep wordt weergegeven in de groep Gebruiker toegevoegd.

Regels en groepen verplaatsen binnen en tussen groepen. U kunt regels en groepen alleen in de groep Gebruiker toegevoegd verplaatsen.

Elementen verplaatsen: 1 Selecteer elementen om te verplaatsen. De greep wordt weergegeven links van elementen die kunnen worden verplaatst. 2 Versleep de elementen naar de nieuwe locatie. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten.

4


Zie ook Jokertekens in firewallregels op pagina 87 Aanmelden als beheerder op pagina 25 Groepen voor isolatie van verbindingen maken op pagina 88

Jokertekens in firewallregels U kunt jokertekens gebruiken voor sommige waarden in firewallregels.

Jokertekens in paden adreswaarden Gebruik deze jokertekens voor paden van bestanden, registersleutels, uitvoerbare bestanden en URL's. Paden van registersleutels voor locaties van firewallgroepen herkennen jokertekenwaarden niet.


Producthandleiding

87

4


?

Vraagteken

Een enkel teken.

*

Sterretje

Meerdere tekens, met uitzondering van slash (/) en backslash (\). Gebruik dit teken voor overeenkomst met de inhoud op hoofdniveau van een map zonder submappen.

** Dubbel sterretje Meerdere tekens, inclusief slash (/) en backslash (\). |

Pipe

Escape-teken jokerteken. Voor het dubbele sterretje (**) is het escape-teken |*|*.

Jokertekens in alle andere waarden Gebruik deze jokertekens voor waarden die gewoonlijk geen padinformatie met slashes bevatten. ?

Vraagteken

Een enkel teken.

*

Sterretje

Meerdere tekens, inclusief slash (/) en backslash (\).

|

Pipe

Escape-teken jokerteken.

Groepen voor isolatie van verbindingen maken Maak een firewallregelgroep voor isolatie van verbindingen om een reeks regels op te stellen die alleen van toepassing zijn wanneer verbinding wordt gemaakt met een netwerk met bepaalde parameters. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder.



2



3

Klik onder REGELS op Groep toevoegen.

4

Geef onder Beschrijving opties voor de groep op.

5

Selecteer onder Locatie de opties Locatiedetectie inschakelen en Isolatie van verbindingen inschakelen. Selecteer vervolgens de locatiecriteria voor het vinden van overeenkomsten.

6

Selecteer onder Netwerken voor Verbindingstypen het type verbinding (Met draad, Draadloos of Virtueel) om op de regels in deze groep toe te passen. Instellingen voor Transport en Uitvoerbare bestanden zijn niet beschikbaar voor groepen voor isolatie van verbindingen.

88

7

Klik op OK.

8

Maak nieuwe regels in deze groep of verplaats bestaande regels naar deze groep uit de lijst met firewallregels.

9



Producthandleiding


4

Zie ook Firewall-regelgroepen en verbindingsisolatie op pagina 83 Hoe firewallregelgroepen werken op pagina 82

Getimede groepen maken Maak getimede groepen voor de Firewall om internettoegang te beperken tot een clientsysteem verbinding maakt via een VPN. Wanneer gebruikers verbinding moeten maken om toegang tot interne websites vanaf openbare netwerk te krijgen, kunt u een getimede groep maken om toe te staan dat een VPN-verbinding tot stand wordt gebracht. Als u deze getimede groep wilt activeren, klikt u met de rechtermuisknop op het clientsysteem op het McAfee-systeemvakpictogram en selecteert u Snelinstellingen | Getimede groepen van Firewall inschakelen. De groep blijft vervolgens actief voor het opgegeven aantal minuten, en het clientsysteem kan verbinding maken met een openbaar netwerk en een VPN-verbinding tot stand brengen. Procedure Klik voor optiedefinities op ? in de interface. 1


2


3


Maak een Firewall-groep met standaardinstellingen waarmee een internetverbinding wordt toegestaan. Sta bijvoorbeeld poort 80 HTTP-verkeer toe.

4

In Planning selecteert u Planning uitschakelen en de groep inschakelen via het McAfee-pictogram in het systeemvak en voert u in hoeveel minuten de groep actief moet zijn.

5

Klik op OK om uw wijzigingen op te slaan.

6

Maak een groep voor verbindingsisolatie die overeenkomt met het VPN-netwerk en waarmee het vereiste verkeer wordt toegestaan. Zie Groepen voor isolatie van verbindingen maken op pagina 88. Als u uitgaand verkeer van het clientsysteem wilt voorkomen met uitzondering van verkeer van de groep voor verbindingsisolatie, plaatst u geen Firewallregels onder deze groep.

7



Producthandleiding

89

4


90


Producthandleiding

5

Webcontrole gebruiken

Beveiligingsfuncties van Webcontrole verschijnen in uw browser terwijl u surft of zoekt. Inhoud Functies van Webcontrole Webcontrole-functies gebruiken Webcontrole beheren

Functies van Webcontrole Terwijl Webcontrole op elk beheerde systeem wordt uitgevoerd, stelt de toepassing u op de hoogte van bedreigingen terwijl u op websites zoekt of surft. Een McAfee-team analyseert elke website en wijst op basis van testresultaten een veiligheidsclassificatie met kleurcodering toe. De kleur geeft het veiligheidsniveau van de website aan. De software gebruikt de testresultaten om u op de hoogte te brengen van webbedreigingen die u kunt tegenkomen. Op pagina's met zoekresultaten: er wordt een pictogram naast elke vermelde website weergegeven. De kleur van het pictogram geeft de veiligheidsclassificatie van de website aan. De pictogrammen bieden u meer informatie. In het browservenster: er wordt in de browser een knop weergegeven. De kleur van de knop geeft de veiligheidsclassificatie van de website aan. Door op de knop te klikken wordt u meer informatie geboden. De knop stelt u ook op de hoogte van communicatieproblemen en biedt snelle toegang tot tests die helpen om algemene diagnoses te stellen. In veiligheidsrapporten: details geven aan hoe de veiligheidsclassificatie is berekend op basis van typen gedetecteerde bedreigingen, testresultaten en andere gegevens. Voor beheerde systemen maken beheerders beleidsregels om: •

Webcontrole op uw systeem in of uit te schakelen, en uitschakelen van de browserinvoegtoepassing te voorkomen of toe te staan.

•

Toegang tot sites, pagina's en downloads te regelen, gebaseerd op hun veiligheidsclassificatie of type inhoud. Bijvoorbeeld rode sites blokkeren en gebruikers waarschuwen wanneer ze gele sites openen.

•

Sites te identificeren als geblokkeerd of toegestaan op basis van URL's en domeinen.

•

Te voorkomen dat u bestanden, registersleutels, registerwaarden, services en processen van Webcontrole verwijdert of wijzigt.


Producthandleiding

91

5

Webcontrole gebruiken Functies van Webcontrole

•

De melding aan te passen die wordt weergegeven wanneer u naar een geblokkeerde website probeert te gaan.

•

Browseractiviteit op netwerkcomputers te bewaken en regelen, en gedetailleerde rapporten over websites te maken.

Voor systemen in eigen beheer kunt u instellingen configureren om: •

Webcontrole op uw systeem in of uit te schakelen.

•

Toegang tot sites, pagina's en downloads te regelen, gebaseerd op hun veiligheidsclassificatie of type inhoud. Bijvoorbeeld rode sites blokkeren en gebruikers waarschuwen wanneer ze gele sites openen.

De software ondersteunt de browsers Microsoft Internet Explorer, Mozilla Firefox en Google Chrome. Op systemen in eigen beheer zijn alle browsers standaard toegestaan, ongeacht of ze ondersteund of niet ondersteund zijn. Chrome biedt geen ondersteuning voor handhaving bestandsdownload of de optie Ballon weergeven.

Zie ook De knop Webcontrole geeft bedreigingen tijdens het surfen weer op pagina 93 Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken op pagina 94 Siterapporten bieden informatie op pagina 94 Hoe veiligheidsclassificaties worden samengesteld op pagina 95

Hoe Webcontrole een site of download blokkeert of voorziet van een waarschuwing Wanneer een gebruiker een site bezoekt die geblokkeerd is of is voorzien van een waarschuwing, geeft Webcontrole een pagina of pop-upbericht weer die de reden vermeldt. Als classificatieacties voor een site zijn ingesteld op: •

Waarschuwen: Webcontrole geeft een bericht weer om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan de site. •

Met Annuleren gaat u terug naar de vorige geopende site. Als het browsertabblad geen eerder weergegeven website bevat, is Annuleren niet beschikbaar.

• •

Met Doorgaan gaat u verder naar de site.

Blokkeren: Webcontrole geeft een bericht weer dat de site geblokkeerd is en voorkomt dat ander gebruikers de site oproepen. Met OK gaat u terug naar de vorige geopende site. Als het browsertabblad geen eerder weergegeven site bevat, is OK niet beschikbaar.

Als classificatieacties voor downloads van een site zijn ingesteld op: •

92

Waarschuwen: Webcontrole geeft een bericht weer om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan het downloadbestand. •

Met Blokkeren wordt de download voorkomen en keert u terug naar de site.

•

Met Doorgaan wordt de download voortgezet.


Producthandleiding


•

5

Blokkeren: Webcontrole geeft een bericht weer dat de site geblokkeerd is en voorkomt de download. Met OK gaat u terug naar de site.

De knop Webcontrole geeft bedreigingen tijdens het surfen weer Tijdens het surfen naar een website wordt een knop met kleurcodering weergegeven in de browser. De kleur van de knop komt overeen met de veiligheidsclassificatie van de website. De veiligheidsclassificering is alleen van toepassing op URL's van HTTP- en HTTPS-protocollen.

Internet Explorer en Safari (Macintosh)

Firefox en Chrome

Beschrijving

Deze site wordt dagelijks getest en als veilig gecertificeerd door McAfee SECURE . (alleen Windows) ™

Deze site is veilig. Deze site heeft mogelijk problemen. Deze site heeft ernstige problemen. Er is geen classificatie beschikbaar voor deze site. Deze knop wordt weergegeven voor URL's van BESTANDSprotocollen (file://). Er is een communicatiefout opgetreden met de McAfee GTI-server die classificatie-informatie bevat. Webcontrole heeft geen query uitgevoerd voor McAfee GTI voor deze site, wat aangeeft dat de site intern is of zich in een privébereik met IP-adressen bevindt. Deze site is een phishingsite. Phishing is een manier om vertrouwelijke informatie te verkrijgen, bijvoorbeeld gebruikersnamen, wachtwoorden en creditcardgegevens. Phishingsites doen zich voor als betrouwbare entiteiten in elektronische communicatie.

Deze site wordt toegestaan door een instelling. Een instelling heeft Webcontrole uitgeschakeld. De locatie van de knop is afhankelijk van de browser: •

Internet Explorer: werkbalk Webcontrole

•

Firefox: rechterhoek van de Firefox-werkbalk

•

Chrome: adresbalk

Zie ook Informatie over een site bekijken tijdens het surfen op pagina 97


Producthandleiding

93

5


Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken Wanneer door u trefwoorden in een zoekengine wordt getypt, zoals Google, Yahoo, Bing of Ask, worden op de pagina met zoekresultaten veiligheidspictogrammen naast sites weergegeven. De kleur van de knop komt overeen met de veiligheidsclassificatie van de site. Tests hebben geen grote problemen gevonden. Tests hebben problemen aan het licht gebracht waarvan u op de hoogte moeten worden gesteld. De site heeft bijvoorbeeld geprobeerd om de standaardinstellingen van de browser van de tester te wijzigen, heeft pop-ups weergegeven of heeft de tester een aanzienlijk aantal niet-spam e-mailberichten gestuurd. Tests hebben ernstige problemen aan het licht gebracht waaraan door u serieus aandacht moet worden besteden alvorens deze site te bezoeken. De site heeft testers bijvoorbeeld spam-e-mail gestuurd of adware aan een download gekoppeld. Deze site is geblokkeerd door een instelling. Deze website is niet-geclassificeerd. Zie ook Siterapport weergeven tijdens zoeken op pagina 97

Siterapporten bieden informatie Het siterapport voor een website bevat details over specifieke bedreigingen en kan door u worden bekeken. Siterapporten worden verstrekt door de server met McAfee GTI-classificaties en bevatten de volgende informatie. Dit item...

Geeft het volgende aan...

Overzicht

De algehele classificatie van de website, bepaald op basis van deze tests: • Evaluatie van de e-mail- en downloadprocedures van een website aan de hand van onze eigen gegevensverzameling en analysetechnieken. • Onderzoek van de website om na te gaan of deze er hinderlijke praktijken op na houdt, bijvoorbeeld een overmatig aantal pop-ups of verzoeken om uw startpagina te wijzigen. • Analyse van de onlinerelaties van de website om te zien of er relaties zijn met andere verdachte sites. • Combinatie van de beoordeling door McAfee van verdachte sites met feedback van onze Threat Intelligence-services.

Onlinerelaties

Geeft aan hoe dwingend de website probeert u naar andere sites te sturen die McAfee met een rode classificatie heeft gemarkeerd. Verdachte sites gaan vaak samen met andere verdachte sites. Het hoofddoel van feedersites is u ertoe te brengen de verdachte site te bezoeken. Een site kan een rode classificatie krijgen als er bijvoorbeeld te dwingend wordt gekoppeld naar andere rode sites. In dit geval beschouwt Webcontrole de site als rood vanwege de relatie.

94


Producthandleiding

5


Dit item...

Geeft het volgende aan...

Testen op webspam

De algehele classificatie voor de e-mailpraktijken van een website, op basis van de testresultaten. McAfee classificeert sites op basis van het aantal e-mails dat na invoer van een adres op de website wordt ontvangen en op het spamgehalte van de ontvangen e-mail. Als een van deze factoren hoger is dan wat aanvaardbaar is, classificeert McAfee de site als een gele site. Als beide factoren hoog zijn of een van de factoren extreem hoog lijkt, classificeert McAfee de site als een rode site.

Downloadtests

De algehele classificatie voor de impact die downloadbare software van een site op onze testcomputer had, op basis van de testresultaten. McAfee wijst rode markeringen toe aan sites waarvan de downloads met virussen zijn geïnfecteerd of aan sites die niet-verwante, algemeen als adware of spyware beschouwde software toevoegen. Bij het bepalen van de classificatie wordt ook rekening gehouden met de netwerkservers waarmee een gedownload programma tijdens zijn werking contact opneemt, en met eventuele wijzigingen in browserinstellingen of de registerbestanden van een computer.

Zie ook Siterapport weergeven tijdens zoeken op pagina 97 Informatie over een site bekijken tijdens het surfen op pagina 97

Hoe veiligheidsclassificaties worden samengesteld Een team van McAfee bepaalt de veiligheidsclassificaties door voor elke website criteria te testen en de resultaten te evalueren om zo bekende dreigingen te kunnen detecteren. Met behulp van geautomatiseerde tests worden veligheidsclassificaties bepaald. De tests omvatten het volgende: •

Bestanden downloaden om te controleren op virussen en potentieel ongewenste programma's die met de software worden meegestuurd.

•

Contactgegevens invullen in aanmeldingsformulieren en controleren op resulterende spam of een groot aantal niet-spam e-mailberichten dat door de website of daaraan gelieerde websites wordt verstuurd.

•

Controleren op overmatig veel pop-upvensters.

•

Controleren op pogingen door de site om kwetsbaarheden van de browser te misbruiken.

•

Controleren op misleidende of frauduleuze praktijken van een website.

Het team verzamelt testresultaten in een veiligheidsrapport dat bovendien het volgende kan bevatten: •

Feedback die is ingediend door website-eigenaars met beschrijvingen van de gebruikte veiligheidsmaatregelen op de site of reacties op feedback van gebruikers over de site.

•

Feedback die is ingediend door de gebruikers van een website, die rapporten kunnen bevatten over phishing-scams of slechte ervaringen bij het aankopen.

•

Meer analyses door McAfee-experts.

Op McAfee GTI-server worden siteclassificaties en -rapporten opgeslagen.


Producthandleiding

95

5

Webcontrole gebruiken Webcontrole-functies gebruiken

Webcontrole-functies gebruiken Gebruik Webcontrole-functies vanuit de browser. Taken •

De invoegtoepassing Webcontrole inschakelen via de browser op pagina 96 Op sommige browsers moet u de invoegtoepassing Webcontrole handmatig inschakelen om meldingen over webbedreigingen te ontvangen wanneer u surft en zoekt.

•

Informatie over een site bekijken tijdens het surfen op pagina 97 Klik op de knop Webcontrole in de browser om informatie over een site te bekijken. De werking van de knop is afhankelijk van de browser.

•

Siterapport weergeven tijdens zoeken op pagina 97 Gebruik het veiligheidspictogram op een pagina met zoekresultaten om meer informatie over de site weer te geven.

De invoegtoepassing Webcontrole inschakelen via de browser Op sommige browsers moet u de invoegtoepassing Webcontrole handmatig inschakelen om meldingen over webbedreigingen te ontvangen wanneer u surft en zoekt. Voordat u begint De module Webcontrole moet zijn ingeschakeld. Wanneer u Internet Explorer of Chrome voor het eerst start, wordt u gevraagd om invoegtoepassingen in te schakelen. De invoegtoepassing Webcontrole is standaard ingeschakeld in Firefox. Procedure Klik voor optiedefinities op ? in de interface. •

Bij de prompt klikt u op de knop om de invoegtoepassing in te schakelen. Internet Explorer

• Klik op Inschakelen.

Chrome

Klik op Extensie inschakelen.

• Als er meer dan een invoegtoepassing beschikbaar is, klikt u op Invoegtoepassingen selecteren en vervolgens op Inschakelen voor de werkbalk Webcontrole.

Als u in Internet Explorer de werkbalk Webcontrole uitschakelt, wordt u gevraagd om ook de invoegtoepassing Webcontrole uit te schakelen. Als beleidsinstellingen op beheerde systemen voorkomen dat de invoegtoepassing wordt verwijderd of uitgeschakeld, blijft de invoegtoepassing Webcontrole ingeschakeld, ook al is de werkbalk niet zichtbaar.

96


Producthandleiding

Webcontrole gebruiken Webcontrole-functies gebruiken

5

Informatie over een site bekijken tijdens het surfen Klik op de knop Webcontrole in de browser om informatie over een site te bekijken. De werking van de knop is afhankelijk van de browser. Voordat u begint •

De module Webcontrole moet zijn ingeschakeld.

•

De invoegtoepassing Webcontrole moet zijn ingeschakeld in de browser.

•

De optie De werkbalk in de clientbrowser verbergen in de instellingen van Opties moet zijn uitgeschakeld. Wanneer Internet Explorer op volledig scherm wordt uitgevoerd, wordt de Webcontrole-werkbalk niet weergegeven.

Het menu Webcontrole weergeven: Internet Explorer en Firefox Chrome

Klik op de knop

in de werkbalk.

Klik op de knop

in de adresbalk.

Procedure 1

Geef een ballon weer met een samenvatting van het veiligheidsrapport voor de site: houd de aanwijzer boven de knop op de werkbalk Webcontrole. (Alleen Internet Explorer en Firefox)

2

Geef het gedetailleerde siterapport weer, inclusief meer informatie over de veiligheidsclassificatie van de site: •

Klik op de knop Webcontrole.

•

Selecteer Siterapport weergeven in het menu Webcontrole.

•

Klik op de koppeling Siterapport lezen in de siteballon. (Alleen Internet Explorer en Firefox)

Zie ook De knop Webcontrole geeft bedreigingen tijdens het surfen weer op pagina 93 Siterapporten bieden informatie op pagina 94

Siterapport weergeven tijdens zoeken Gebruik het veiligheidspictogram op een pagina met zoekresultaten om meer informatie over de site weer te geven. Procedure 1

Zet de muiswijzer op het veiligheidspictogram. In een tekstballon wordt een samenvatting op hoog niveau van het veiligheidsrapport voor de site weergegeven.

2

Klik op Siterapport lezen (in de ballon) om een gedetailleerd rapport over de veiligheid van de site te lezen in een ander browservenster.

Zie ook Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken op pagina 94 Siterapporten bieden informatie op pagina 94


Producthandleiding

97

5

Webcontrole gebruiken Webcontrole beheren

Webcontrole beheren Als beheerder kunt u Webcontrole-instellingen opgeven om bescherming in te schakelen en aan te passen, te blokkeren op basis van webcategorieën, en registratie te configureren. Voor beheerde systemen kunnen beleidswijzigingen van McAfee ePO wijzigingen overschrijven van de pagina Instellingen.

Webcontrole-opties configureren U kunt Webcontrole inschakelen en opties vanuit de Endpoint Security-client configureren. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder.



2

Klik op Web Control op de hoofdpagina van Status. Of selecteer in het menu Actie

98

3


4

Klik op Opties.


de optie Instellingen en klik op Web Control op de pagina Instellingen.

Producthandleiding

5


5

Selecteer Webcontrole inschakelen om Webcontrole te activeren en de opties te bewerken. Als u het volgende wilt doen...

Gaat u als volgt te werk... Opmerkingen

De werkbalk van Webcontrole in de browser verbergen zonder de beveiliging uit te schakelen.

Selecteer De werkbalk in de clientbrowser verbergen.

Browsergebeurtenissen Instellingen in de sectie traceren om voor rapporten te Gebeurtenisregistratie gebruiken. configureren.

Configureer Webcontrole-gebeurtenissen die van clientsystemen naar de beheerserver worden gestuurd voor gebruik in query's en rapporten.

Onbekende URL's blokkeren of Selecteer in Actiehandhaving, waarschuwen. de actie (Blokkeren, Toestaan of Waarschuwen) voor sites die nog niet zijn geverifieerd door McAfee GTI. Bestanden scannen alvorens te downloaden.

Selecteer Scannen van gedownloade bestanden inschakelen, en selecteer vervolgens het McAfee GTI-risiconiveau voor blokkering.

Riskante sites blokkeren zodat Selecteer in Beveiligd zoeken de ze niet in zoekresultaten optie Beveiligd zoeken worden weergegeven. inschakelen, selecteer de zoekengine en geef op of koppelingen naar riskante sites moeten worden geblokkeerd.

Bij Beveiligd zoeken worden kwaadaardige sites automatisch uit de zoekresultaten gefilterd op basis van hun veiligheidsclassificatie. Webcontrole gebruikt Yahoo als de standaardzoekengine. Als u de standaardzoekengine wijzigt, moet u de browser opnieuw opstarten om de wijzigingen te implementeren.

6

Configureer andere opties waar nodig.

7


Zie ook Hoe bestandsdownloads worden gescand op pagina 100 Aanmelden als beheerder op pagina 25


Producthandleiding

99

5


Hoe bestandsdownloads worden gescand Webcontrole stuurt verzoeken voor bestandsdownloads naar Bedreigingspreventie om te worden gescand voordat wordt gedownload.

100


Producthandleiding

5


Classificatieacties opgeven en sitetoegang blokkeren op basis van webcategorie Configureer Inhoudsacties sinstellingen om de acties op te geven die op sites en bestandsdownloads moeten worden toegepast, op basis van veiligheidsclassificaties. U kunt ook in elke webcategorie opgeven welke sites moeten worden geblokkeerd of toegestaan. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Gebruik de instellingen in Handhavingsbericht om het bericht aan te passen dat moet worden weergegeven voor geblokkeerde sites en bestandsdownloads, sites en downloads met waarschuwingen en geblokkeerde phishingpagina's.



2

Klik op Web Control op de hoofdpagina van Status. Of selecteer in het menu Actie

de optie Instellingen en klik op Web Control op de pagina Instellingen.

3


4

Klik op Inhoudsacties.

5

Schakel in de sectie Webcategorie blokkeren voor elke Webcategorie de optie Blokkeren in of uit. Voor sites in de niet-geblokkeerde categorieën past Webcontrole ook de classificatieacties toe.

6

Specificeer in de sectie Classificatieacties de acties die op sites en bestandsdownloads moeten worden toegepast, op basis van veiligheidsclassificaties gedefinieerd door McAfee. Deze acties worden ook toegepast op sites die niet worden geblokkeerd door Webcategorie blokkeren.

7


Zie ook Webcategorieën gebruiken om toegang te beheren op pagina 101 Veiligheidsclassificaties gebruiken voor toegangscontrole op pagina 102 Aanmelden als beheerder op pagina 25

Webcategorieën gebruiken om toegang te beheren Met behulp van webcategorieën kunt u de toegang tot sites beperken op basis van categorieën die door McAfee worden gedefinieerd. U kunt opties instellen om de toegang tot sites toe te staan of te blokkeren op basis van de inhoudscategorie die ze bevatten. Wanneer u blokkering van webcategorieën inschakelt in de instellingen van Inhoudsacties, zal de software websitecategorieën blokkeren of toestaan. Deze webcategorieën omvatten Gokken, Games en Expresberichten. McAfee definieert en onderhoudt de lijst van ongeveer 105 webcategorieën. Wanneer een clientgebruiker naar een site gaat, controleert de software de webcategorie voor de site. Als de site tot een gedefinieerde categorie behoort, wordt de toegang geblokkeerd of toegestaan, afhankelijk van de instellingen voor Inhoudsacties. Voor sites en bestandsdownloads in de niet-geblokkeerde categorieën past de software de opgegeven Classificatieacties toe.


Producthandleiding

101

5


Veiligheidsclassificaties gebruiken voor toegangscontrole Configureer acties op basis van veiligheidsclassificaties om te bepalen of gebruikers een site, of bronnen op een site, kunnen openen. Specificeer voor elke site of bestandsdownload of deze, op basis van de classificatie moet worden toegestaan of geblokkeerd, of een waarschuwing moet krijgen. Zo kunt u nauwkeuriger werken bij het beschermen van gebruikers tegen bestanden die een mogelijke bedreiging vormen op sites met een globale groene classificatie.

102


Producthandleiding

6

Bedreigingsinformatie gebruiken

Bedreigingsinformatie biedt aanpasbare, contextbewuste beveiliging voor uw netwerkomgeving. Bedreigingsinformatie analyseert de inhoud van uw onderneming en beslist aan de hand van de reputatie van een bestand en de criteria van uw beheerder of het betrouwbaar is. Inhoud Zo werkt Bedreigingsinformatie Bedreigingsinformatie beheren

Zo werkt Bedreigingsinformatie Bedreigingsinformatie gebruikt het Data Exchange Layer-framework om bestands- en bedreigingsinformatie direct te delen over het hele netwerk. In het verleden verzond u een onbekend bestand of certificaat naar McAfee voor analyse, en vervolgens werkte u dagen later de bestandsinformatie bij op het netwerk. Met Bedreigingsinformatie kan bestandsreputatie worden beheerd op lokaal niveau, uw omgeving. U beslist welke bestanden mogen worden uitgevoerd en welke worden geblokkeerd, en de Data Exchange Layer deelt de informatie direct in uw omgeving.

Scenario's voor het gebruik van Bedreigingsinformatie •

Een bestand direct blokkeren: Bedreigingsinformatie waarschuwt de netwerkbeheerder voor een onbekend bestand in de omgeving. In plaats van de bestandsinformatie naar McAfee te verzenden voor analyse, blokkeert de beheerder het bestand direct. De beheerder kan vervolgens Bedreigingsinformatie gebruiken om te weten te komen of het bestand een bedreiging vormt en hoeveel systemen het bestand hebben uitgevoerd.

•

Toestaan dat een aangepast bestand wordt uitgevoerd: een bedrijf gebruikt doorgaans een bestand waarvan de standaardreputatie verdacht of schadelijk is, zoals een aangepast bestand dat voor het bedrijf is gemaakt. Omdat dit bestand is toegestaan, kan de beheerder in plaats van de bestandsinformatie naar McAfee te verzenden en een bijgewerkt DAT-bestand te ontvangen, de reputatie van het bestand wijzigen naar vertrouwd en toestaan dat het wordt uitgevoerd zonder waarschuwingen of prompts.

Bedreigingsinformatie beheren Als beheerder kunt u de Bedreigingsinformatie-instellingen specificeren. U kunt bijvoorbeeld regelgroepen selecteren en reputatiedrempels instellen. Beleidswijzigingen van McAfee ePO overschrijven wijzigingen van de pagina Instellingen. Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee ePO.


Producthandleiding

103

6

Bedreigingsinformatie gebruiken Bedreigingsinformatie beheren

Info over Bedreigingsinformatie Bedreigingsinformatie biedt een ecosysteem van beveiliging waarin rechtstreekse communicatie tussen systemen en apparaten in uw omgeving mogelijk is. Deze communicatie wordt mogelijk gemaakt met het Data Exchange Layer-framework. U kunt het specifieke systeem zien waarop de bedreiging voor het eerst werd gedetecteerd en waar deze daarna heen ging. Bovendien kunt u de bedreiging onmiddellijk tegenhouden. Bedreigingsinformatie biedt deze voordelen: •

Snelle detectie en bescherming tegen beveiligingsbedreigingen en malware.

•

De mogelijkheid om te weten welke systemen of apparaten zijn aangevallen en hoe de bedreiging zich verspreidt door uw omgeving.

•

De mogelijkheid om bepaalde bestanden en certificaten direct te blokkeren of toe te staan op basis van hun bedreigingsreputaties en uw risicocriteria.

•

Realtime-integratie met McAfee Advanced Threat Defense en McAfee GTI voor een uitgebreide beoordeling en gegevens over de classificatie van malware. Met deze integratie kunt u reageren op bedreigingen en de informatie delen in uw omgeving. ®

Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee ePO.

Bedreigingsinformatie-onderdelen Bedreigingsinformatie bevat de volgende onderdelen. •

Een module voor Endpoint Security waarmee u beleidsregels kunt maken voor het blokkeren en toestaan van een bestand of certificaat op basis van reputatie.

•

Een server die informatie opslaat over de reputatie van bestanden en certificaten op en deelt die informatie vervolgens met andere systemen.

•

Data Exchange Layer-brokers die bidirectionele communicatie tussen beheerde systemen op een netwerk toestaan. ®

®

™

Deze onderdelen worden geïnstalleerd als McAfee ePolicy Orchestrator (McAfee ePO ) -extensies en voegen diverse nieuwe functies en rapporten toe.

104


Producthandleiding

6


De module en server geven informatie over bestandsreputatie door. Het Data Exchange Layer-framework stuurt die informatie onmiddellijk door naar beheerde eindpunten. Het deelt ook informatie met andere McAfee-producten die de Data Exchange Layer gebruiken, zoals McAfee Enterprise Security Manager (McAfee ESM) en McAfee Network Security Platform. ®

®

Bedreigingsinformatie-module Met de module Bedreigingsinformatie kunt u vaststellen wat er gebeurt wanneer in uw omgeving een bestand met een schadelijke of onbekende reputatie wordt gedetecteerd. U kunt ook informatie over de bedreigingsgeschiedenis bekijken, en de ondernomen acties. U kunt deze taken uitvoeren met de module Bedreigingsinformatie. •

•

Beleidsregels maken om: •

Bestanden en certificaten toe te staan of blokkeren, afhankelijk van hun reputatie.

•

Een melding te ontvangen telkens wanneer er pogingen worden gedaan om een bestand of certificaat met een bepaalde reputatie uit te voeren.

•

Bestanden automatisch naar Advanced Threat Defense sturen voor nadere evaluatie.

Gebeurtenissen bekijken op de Bedreigingsinformatie-dashboards. Gebeurtenissen die zijn opgeschoond, geblokkeerd of toegestaan, kunt u weergeven voor de afgelopen 30 dagen of weergeven op type gebeurtenis.


Producthandleiding

105

6


Bedreigingsinformatie Exchange-server De server slaat informatie over de reputatie van bestanden en certificaten op en deelt die informatie vervolgens met andere systemen in uw omgeving. Raadpleeg de Bedreigingsinformatie Exchange-producthandleiding voor informatie over de server.

Bridging TIE-servers en databases Als u TIE-servers en -databases hebt die worden beheerd door verschillende McAfee ePO-systemen, kunt u deze overbruggen om reputatiegegevens te delen. Voor informatie over bridging TIE-servers en -databases, raadpleeg de Data Exchange Layer-producthandleiding en het KnowledgeBase-artikel KB83896

Data Exchange Layer De Data Exchange Layer bevat clientsoftware en brokers die bidirectionele communicatie tussen eindpunten op een netwerk toestaan. De Data Exchange Layer werkt op de achtergrond en communiceert met services, databases, eindpunten en toepassingen. De Data Exchange Layer-client wordt geïnstalleerd op elk beheerd eindpunt, zodat bedreigingsinformatie van beveiligingsproducten die DXL gebruiken, direct kan worden gedeeld met alle andere services en apparaten. Het delen van reputatiegegevens zodra deze beschikbaar zijn, vermindert de beveiligingsveronderstellingen die toepassingen en services over elkaar hebben wanneer ze informatie uitwisselen. Deze gedeelde informatie vermindert de verspreiding van bedreigingen. Zie de Data Exchange Layer-producthandleiding voor meer informatie over het installeren en gebruiken van Data Exchange Layer.

Hoe een reputatie wordt bepaald Bestands- en certificaatreputatie wordt bepaald wanneer een poging wordt gedaan om een bestand uit te voeren op een beheerd systeem. Dit zijn de stappen voor het bepalen van de reputatie van een bestand of certificaat.

106

1

Een gebruiker of systeem probeert een bestand uit te voeren.

2

Endpoint Security inspecteert het bestand en kan de geldigheid en reputatie niet bepalen.

3

De Bedreigingsinformatie-module inspecteert het bestand en verzamelt relevante eigenschappen van het bestand en lokale systeem.

4

De module controleert de lokale reputatiecache voor de hash van het bestand. Als de hash van het bestand wordt gevonden, ontvangt de module de ondernemingsprevalentie en reputatiegegevens voor het bestand uit de cache.

5

Als de hash van het bestand niet wordt gevonden in de lokale reputatiecache, voert de module query's uit op de TIE-server. Als de hash wordt gevonden, ontvangt de module de ondernemingsprevalentiegegevens (en beschikbare reputaties) voor die bestandshash.

6

Als de hash van het bestand niet wordt gevonden in de TIE-servercache of -database, voert de server query's uit op de McAfee GTI voor de reputatie van de bestandshash. McAfee GTI verzendt de beschikbare informatie, bijvoorbeeld 'onbekende reputatie', en de server slaat die informatie op.


Producthandleiding

6


De server verzendt het bestand om te worden gescand als aan een van de volgende voorwaarden is voldaan: •

Advanced Threat Defense is aanwezig en de hash van het bestand is niet gevonden in McAfee GTI.

•

Het beleid op het eindpunt is geconfigureerd om het bestand te verzenden naar Advanced Threat Defense.

Zie de extra stappen onder Als Advanced Threat Defense aanwezig is. 7

De server retourneert de leeftijd, prevalentie, gegevens en reputatie van de bestandshash aan de module op basis van de gevonden gegevens. Als het bestand nieuw is in de omgeving, verzendt de server ook een eerste exemplaarmarkering naar de module Bedreigingsinformatie. Als McAfee Web Gateway aanwezig is en uiteindelijk een reputatiescore verzendt, retourneert Bedreigingsinformatie de reputatie van het bestand.

8

De module evalueert deze metagegevens om de reputatie van het bestand te bepalen:

9

•

Bestands- en systeemeigenschappen

•

Ondernemingsleeftijd en prevalentiegegevens

•

Reputatie

De module handelt op basis van het beleid dat wordt toegewezen aan het systeem waarop het bestand wordt uitgevoerd.

10 De module werkt de server bij met de reputatiegegevens en of het bestand is toegestaan of wordt geblokkeerd. Deze verzendt bovendien bedreigingsgebeurtenissen naar McAfee ePO via de McAfee Agent. 11 De server publiceert de gebeurtenis van de reputatiewijziging voor de bestandshash.

Als Advanced Threat Defense aanwezig is Als Advanced Threat Defense aanwezig is, treedt het volgende proces op. 1

Als het systeem is geconfigureerd om bestanden te verzenden naar Advanced Threat Defense en het bestand nieuw is voor de omgeving, verzendt het systeem het bestand naar de TIE-server. De TIE-server verzendt het vervolgens naar Advanced Threat Defense om te worden gescand.

2

Advanced Threat Defense scant het bestand en verzendt de bestandsreputatieresultaten naar de TIE-server met de Data Exchange Layer. De server werkt bovendien de database bij en verzendt de bijgewerkte reputatiegegevens naar alle Bedreigingsinformatie-systemen om uw omgeving direct te beveiligen. Bedreigingsinformatie of elk ander McAfee-product kan dit proces initialiseren. In beide gevallen verwerkt Bedreigingsinformatie de reputatie die wordt opgeslagen in de database. Voor informatie over hoe Advanced Threat Defense is geïntegreerd met Bedreigingsinformatie, raadpleegt u het hoofdstuk Malwaredetectie en Advanced Threat Defense in de McAfee Advanced Threat Defense-producthandleiding.

Als McAfee Web Gateway aanwezig is Als McAfee Web Gateway aanwezig is, treedt het volgende proces op.


Producthandleiding

107

6


•

Wanneer bestanden worden gedownload, verzendt McAfee Web Gateway een rapport naar de TIE-server die de reputatiescore in de database opslaat. Wanneer de server een bestandsreputatieverzoek van de module ontvangt, wordt de reputatie die de server ontvangt van McAfee Web Gateway en andere reputatieproviders ook geretourneerd. Voor informatie over hoe McAfee Web Gateway informatie uitwisselt via een TIE-server, raadpleegt u het hoofdstuk over proxy's McAfee Web Gateway-producthandleiding.

Aan de slag Wat moet u doen nadat u Bedreigingsinformatie hebt geïnstalleerd? Doe het volgende om met Bedreigingsinformatie aan de slag te gaan: 1

Maak Bedreigingsinformatie-beleidsregels om te bepalen wat is toegestaan en wat wordt geblokkeerd. Voer Bedreigingsinformatie vervolgens uit in Waarnemingsmodus om bestandsprevalentie op te bouwen en te observeren wat Bedreigingsinformatie detecteert in uw omgeving. Bestandsprevalentie geeft aan hoe vaak een bestand voorkomt in uw omgeving.

2

Controleer de beleidsregels of individuele bestands- of certificaatreputaties en pas deze aan om te bepalen wat is toegestaan in uw omgeving.

Bestandsprevalentie opbouwen en observeren Na installatie en implementatie begint u met het opbouwen van bestandsprevalentie en actuele bedreigingsinformatie. U kunt zien wat wordt uitgevoerd in uw omgeving en u kunt reputatiegegevens voor bestanden en certificaten toevoegen aan de TIE-database. Deze informatie wordt bovendien ingevuld in de diagrammen en dashboards die beschikbaar zijn in de module, waar u gedetailleerde reputatiegegevens over bestanden en certificaten kunt bekijken. Om aan de slag te gaan, maakt u een of meer beleidsregels voor Bedreigingsinformatie om op enkele systemen in uw omgeving uit te voeren. De beleidsregels bepalen: •

Wanneer een bestand of certificaat met een specifieke reputatie op een systeem mag worden uitgevoerd

•

Wanneer een bestand of certificaat wordt geblokkeerd

•

Wanneer de gebruiker wordt gevraagd wat moet worden gedaan

•

Wanneer een bestand wordt verzonden naar Advanced Threat Defense voor verdere analyse

Terwijl u bestandsprevalentie opbouwt, kunt u de beleidsregels uitvoeren in de Waarnemingsmodus. Bestands- en certificaatreputaties worden aan de database toegevoegd maar er wordt geen actie ondernomen. U kunt zien wat Bedreigingsinformatie blokkeert of toestaat als het beleid wordt gehandhaafd. Lees BedreigingsinformatieBedreigingsinformatie configureren voor meer informatie.

Controle en aanpassingen Terwijl de beleidsregels worden uitgevoerd in uw omgeving, worden reputatiegegevens toegevoegd aan de database. Gebruik de McAfee ePO-dashboards en gebeurtenisweergaven om de bestanden en certificaten te zien die worden toegestaan of geblokkeerd op basis van de beleidsregels.

108


Producthandleiding

6


U kunt gedetailleerde informatie zien op systeem (computer), bestand, regel of certificaat, en snel het aantal geïdentificeerde items bekijken en de acties die zijn ondernomen. U kunt details bekijken door op een item te klikken en de reputatie-instellingen voor specifieke bestanden of certificaten aanpassen zodat de toepasselijke actie wordt ondernomen. Als bijvoorbeeld de standaardreputatie van een bestand verdacht of onbekend is maar u weet dat het een vertrouwd bestand is, kunt u de reputatie wijzigen naar vertrouwd zodat het wordt uitgevoerd in uw omgeving zonder geblokkeerd te worden of de gebruiker tot actie aan te sporen. Dit is vooral nuttig voor interne of aangepaste bestanden die in uw omgeving worden gebruikt. •

Gebruik de functie TIE-reputaties om naar een specifieke bestands- of certificaatnaam te zoeken. U kunt details over het bestand of certificaat bekijken, waaronder de naam, SHA-1-hash, beschrijving en McAfee GTI-informatie van het bedrijf. Voor bestanden hebt u bovendien toegang tot VirusTotal-gegevens rechtstreeks op de detailpagina TIE-reputaties om aanvullende informatie te zien.

•

Gebruik de pagina Reporting Dashboard (Rapportagedashboard) om verschillende typen reputatiegegevens tegelijk te zien. U kunt het volgende bekijken: het aantal nieuwe bestanden dat in de afgelopen week in uw omgeving voorkwam, bestanden op reputatie, bestanden waarvan de reputatie onlangs is gewijzigd, systemen die onlangs nieuwe bestanden hebben uitgevoerd en meer. Wanneer u op een item in het dashboard klikt, wordt gedetailleerde informatie weergegeven.

•

Als u een schadelijk of verdacht bestand hebt geïdentificeerd, kunt u snel zien welke systemen het bestand hebben uitgevoerd en mogelijk gevaar lopen.

•

Wijzig de reputatie van een bestand of certificaat naar wens voor uw omgeving. De informatie wordt direct bijgewerkt in de database en verzonden naar alle apparaten in uw omgeving. Bestanden en certificaten worden geblokkeerd of toegestaan op basis van hun reputatie. Als u niet zeker weet wat u moet doen met een bepaald bestand of certificaat, kunt u het blokkeren terwijl u er meer informatie over zoekt. In tegenstelling tot een opschoningsactie van Bedreigingspreventie, waarbij het bestand kan worden verwijderd, wordt met blokkeren het bestand op dezelfde locatie gehouden maar kan het niet worden uitgevoerd. Het bestand blijft intact terwijl u het onderzoekt en beslist wat u wilt doen.

•

Importeer bestands- of certificaatreputaties in de database om bepaalde bestanden of certificaten toe te staan of te blokkeren op basis van andere reputatiebronnen. Hiermee kunt u de geïmporteerde instellingen voor bepaalde bestanden en certificaten gebruiken zonder dat u ze afzonderlijk moet instellen op de server.

Bestanden indienen voor verdere analyse Als de reputatie van een bestand onbekend of onzeker is, kunt u het bij Advanced Threat Defense indienen voor verdere analyse. U bepaalt of bestanden worden verzonden naar Advanced Threat Defense in het Bedreigingsinformatie-beleid. Advanced Threat Defense detecteert zero-day malware en combineert antivirushandtekeningen, reputatie en realtime-emulatieverdedigingen. Bestanden kunnen automatisch worden verzonden van Bedreigingsinformatie naar Advanced Threat Defense op basis van hun reputatieniveau en bestandsgrootte. Bestandsreputatiegegevens die worden verzonden van Advanced Threat Defense, worden toegevoegd aan de TIE-serverdatabase. Bestands- en certificaatinformatie wordt rechtstreeks naar McAfee verzonden voor analyse. De informatie wordt gebruikt om een beter inzicht te krijgen in reputatiegegevens en deze te verbeteren. McAfee verzamelt geen persoonsgegevens en deelt geen informatie buiten McAfee.


Producthandleiding

109

6


Bestands- en certificaatinformatie •

TIE-server- en -moduleversies

•

Overschrijvingsinstellingen voor reputaties die zijn gemaakt met de TIE-server

•

Externe reputatiegegevens, zoals van Advanced Threat Defense

Informatie alleen over bestanden •

Bestandsnaam, pad, grootte, product, publicatieserver en prevalentie

•

Informatie over SHA1-, SHA256- en MD5-hash

•

Besturingssysteemversie van de rapporterende computer

•

Maximale, minimale en gemiddelde reputatie ingesteld voor het bestand

•

Of de rapportagemodule in Waarnemingsmodus staat

•

Of het bestand mocht worden uitgevoerd, geblokkeerd werd of is opgeschoond

•

Het product dat het bestand detecteerde, bijvoorbeeld Advanced Threat Defense of Bedreigingspreventie

Alleen certificaatinformatie •

Informatie over SHA-hash

•

De naam van de verlener en het onderwerp van het certificaat

•

De datum dat het certificaat geldig was en de verloopdatum ervan

Opties van Bedreigingsinformatie configureren Gebruik instellingen om te bepalen wanneer een bestand of certificaat mag worden uitgevoerd, opgeschoond of geblokkeerd, of als gebruikers wordt gevraagd wat er moet gebeuren. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Beleidswijzigingen van McAfee ePO overschrijven wijzigingen van de pagina Instellingen.



2

Klik op Threat Intelligence Exchange op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen.

110

de optie Instellingen en klik op Threat Intelligence Exchange op de pagina

3


4

Klik op Opties.

5



Producthandleiding

6


Bestanden en certificaten blokkeren of toestaan Bestanden en certificaten hebben bedreigingsreputaties op basis van hun inhoud en eigenschappen. De Bedreigingsinformatie-beleidsregels bepalen of bestanden en certificaten worden geblokkeerd of toegestaan op systemen in uw omgeving op basis van reputatieniveaus. Er zijn drie beveiligingsniveaus afhankelijk van hoe u de regels voor bepaalde typen systemen wilt verdelen. Elk niveau is aan specifieke regels gekoppeld die schadelijke en verdachte bestanden en certificaten identificeren. •

Productiviteit: systemen die regelmatig worden gewijzigd, waarop vaak programma's worden geïnstalleerd en waarvan programma's worden verwijderd en die regelmatig updates ontvangen. Voorbeelden van deze systemen zijn computers die worden gebruikt in ontwikkelingsomgevingen. Er worden minder regels gebruikt bij beleid voor deze instelling. Gebruikers zien een minimumaantal blokkeringen en prompts wanneer nieuwe bestanden worden gedetecteerd.

•

Evenwichtig: typische bedrijfssystemen waarop nieuwe programma's en wijzigingen sporadisch worden geïnstalleerd. Er worden meer regels gebruikt voor beleidsregels voor deze instelling. Gebruikers ontvangen meer blokkeringen en prompts.

•

Beveiliging: IT-beheerde systemen met strikte controle en weinig wijzigingen. Voorbeelden zijn systemen die toegang geven tot kritieke of vertrouwelijke informatie in een financiële of overheidsomgeving. Deze instelling wordt ook voor servers gebruikt. Het maximumaantal regels wordt gebruikt voor beleidsregels voor deze instelling. Gebruikers ontvangen nog meer blokkeringen en prompts. Selecteer Menu | Serverinstellingen om de specifieke regels weer te geven die aan elk beveiligingsniveau zijn gekoppeld. In de lijst Setting Categories (Instellingscategorieën) selecteert u Bedreigingsinformatie.

Bij het bepalen van welk beveiligingsniveau aan een beleid moet worden toegewezen, moet u rekening houden met op welk type systeem het beleid wordt gebruikt en hoeveel blokkeringen en prompts u wilt dat de gebruiker ontvangt. Nadat u een beleid hebt gemaakt, wijst u het toe aan computers of apparaten om te bepalen hoeveel blokkeringen en prompts optreden.


Producthandleiding

111

6


112


Producthandleiding

7

Referentie van clientinterface

De helponderwerpen van interfacereferentie bieden contextgevoelige hulp voor pagina's in de clientinterface. Inhoud Pagina Gebeurtenislogboek Pagina Quarantaine Gedeelde instellingen: opties Gedeelde instellingen: Taken Bedreigingspreventie: Toegangsbeveiliging Bedreigingspreventie — Exploitpreventie Bedreigingspreventie: Scan bij toegang Bedreigingspreventie: Scannen op verzoek Scanlocaties McAfee GTI Acties Uitsluiting toevoegen of Uitsluiting bewerken Bedreigingspreventie — Opties AMCore-inhoud terugzetten Firewall: opties Firewall: regels Webcontrole — Opties Webcontrole: Inhoudsacties Bedreigingsinformatie: opties

Pagina Gebeurtenislogboek Geeft de activiteiten- en foutopsporingsgebeurtenissen in het Gebeurtenislogboek weer. Optie

Definitie

Aantal gebeurtenissen

Geeft het aantal gebeurtenissen aan dat Endpoint Security de afgelopen 30 dagen op het systeem heeft geregistreerd. Vernieuwt de weergave van het Gebeurtenislogboek met gegevens van nieuwe gebeurtenissen.

Map met logboeken weergeven

Hiermee wordt de map met de logboekbestanden geopend in Windows Explorer.

Alle gebeurtenissen weergeven

Hiermee worden alle filters verwijderd.


Producthandleiding

113

7

Referentie van clientinterface Pagina Gebeurtenislogboek

Optie

Definitie

Filteren op ernst

Hiermee worden gebeurtenissen op risiconiveau gefilterd: Kritiek

Hiermee worden alleen gebeurtenissen met risiconiveau 1 weergegeven.

Belangrijk en hoger

Hiermee worden alleen gebeurtenissen met risiconiveau 1 en 2 weergegeven.

Minder belangrijk en hoger Hiermee worden alleen gebeurtenissen met risiconiveau 1, 2 en 3 weergegeven. Waarschuwing en hoger Filteren op module

Hiermee worden gebeurtenissen met risiconiveau 1, 2, 3 en 4 weergegeven.

Hiermee worden gebeurtenissen op module gefilterd: Common

Hiermee worden alleen Gedeelde instellingen-gebeurtenissen weergegeven.

Threat Prevention Hiermee worden alleen Bedreigingspreventie-gebeurtenissen weergegeven. Firewall

Hiermee worden alleen Firewall-gebeurtenissen weergegeven.

Web Control

Hiermee worden alleen Webcontrole-gebeurtenissen weergegeven.

Welke functies in de vervolgkeuzelijst worden weergegeven, is afhankelijk van de functies die op het systeem zijn geïnstalleerd op het moment dat u het Gebeurtenislogboek opent.

Zoeken

Hiermee kunt u in het Gebeurtenislogboek naar een tekenreeks zoeken.

Gebeurtenissen per pagina

Hiermee wordt het aantal gebeurtenissen geselecteerd dat op een pagina moet worden weergegeven. (Standaard 20 gebeurtenissen per pagina)

Vorige pagina

Hiermee wordt de vorige pagina in het Gebeurtenislogboek weergegeven.

Volgende pagina

Hiermee wordt de volgende pagina in het Gebeurtenislogboek weergegeven.

Pagina x van x

Hiermee wordt een pagina in het Gebeurtenislogboek geselecteerd om ernaar toe te gaan. Voer een getal in het veld Pagina in en druk op Enter of klik op OK om naar de pagina te gaan.

Kolomkop Hiermee wordt de gebeurtenislijst gesorteerd op...

114

Datum

De datum waarop de gebeurtenis plaatsvond.

Functie

De functie die de gebeurtenis registreerde.


Producthandleiding

7

Referentie van clientinterface Pagina Quarantaine

Kolomkop Hiermee wordt de gebeurtenislijst gesorteerd op... Actie

Actie die Endpoint Security (eventueel) heeft genomen als reactie op de gebeurtenis. De actie wordt in de instellingen geconfigureerd.

Toegestaan

Toegang tot bestand toegestaan.

Toegang geweigerd

Toegang tot bestand geweigerd.

Verwijderd

Bestand is automatisch verwijderd.

Doorgaan

Ernst

Opgeschoond

Bedreiging is automatisch uit het bestand verwijderd.

Verplaatst

Het bestand is naar de quarantainemap verplaatst.

Geblokkeerd

Toegang tot het bestand is geblokkeerd.

Zou blokkeren

Een toegangsbeveiligingsregel zou de toegang tot het bestand blokkeren als de regel werd afgedwongen.

Ernstigheidsgraad van de gebeurtenis. Kritiek

1

Belangrijk

2

Minder belangrijk

3

Waarschuwing

4

Informatief

5

Zie ook Het Gebeurtenislogboek op pagina 22

Pagina Quarantaine Items in de Quarantaine beheren. Tabel 7-1

Opties

Optie

Definitie

Verwijderen

Hiermee worden geselecteerde items uit de quarantaine verwijderd. Het is niet mogelijk verwijderde items te herstellen.

Herstellen

Hiermee worden items uit de quarantaine hersteld. Endpoint Security herstelt items naar hun oorspronkelijke locatie en verwijdert ze uit de quarantaine. Als een item nog steeds een geldige bedreiging is, zet Endpoint Security het item onmiddellijk terug in de quarantaine.

Opnieuw scannen Hiermee worden geselecteerde items in quarantaine opnieuw gescand. Als het item niet langer een bedreiging is, zet Endpoint Security het item terug op de oorspronkelijke locatie en wordt het uit de quarantaine verwijderd.


Producthandleiding

115

7

Referentie van clientinterface Gedeelde instellingen: opties

Kolomkop

Sorteert de quarantainelijst op...

Detectienaam

Naam van de detectie.

Type

Type bedreiging, bijvoorbeeld Trojaans paard of adware.

Tijd in quarantaine geplaatst Hoelang het item in quarantaine is geplaatst. Aantal objecten

Het aantal objecten in de detectie.

Versie van AMCore-inhoud

Het versienummer van de AMCore-inhoud die de bedreiging heeft geïdentificeerd.

Status opnieuw scannen

De status voor opnieuw scannen, als het item opnieuw is gescand: • Opgeschoond: bij het opnieuw scannen zijn geen bedreigingen gedetecteerd. • Geïnfecteerd: bij het opnieuw scannen heeft Endpoint Security een bedreiging gedetecteerd.

Zie ook Items in quarantaine beheren op pagina 46 Namen gedetecteerde items op pagina 48 Items in quarantaine opnieuw scannen op pagina 49

Gedeelde instellingen: opties Configureer instellingen voor de Endpoint Security-clientinterface, Zelfbeveiliging, activiteitenlogboek en foutregistratie en de proxyserver. Tabel 7-2 Opties Sectie

Optie

Clientinterfacemodus Volledige toegang

Definitie Hiermee wordt toegang tot alle functies toegestaan. (standaard voor systemen in eigen beheer)

Standaardtoegang

Hiermee wordt de beveiligingsstatus weergegeven en is toegang tot de meeste functies toegestaan, zoals het uitvoeren van updates en scans. Voor de modus Standaardtoegang is een wachtwoord vereist om instellingen weer te geven en te wijzigen op de pagina Instellingenvan de Endpoint Security-client.

Het standaardwachtwoord is mcafee. (standaard voor door McAfee ePO beheerde systemen) Clientinterface vergrendelen

116


Er is een wachtwoord vereist voor toegang tot de Endpoint Security-client.

Producthandleiding

7


Tabel 7-2 Opties (vervolg) Sectie

Optie

Definitie

Beheerderswachtwoord instellen

Hiermee wordt het beheerderswachtwoord opgegeven dat is vereist voor toegang tot alle functies van de Endpoint Security-clientinterface, voor Standaardtoegang en Clientinterface vergrendelen. Hiermee wordt het wachtwoord opgegeven.

Wachtwoord

Wachtwoord bevestigen Hiermee wordt het wachtwoord bevestigd. Installatie verwijderen Wachtwoord vereisen om de client te verwijderen

Hiermee wordt een wachtwoord opgegeven en vereist om Endpoint Security-client te verwijderen. (standaard uitgeschakeld voor systemen in eigen beheer) Het standaardwachtwoord is mcafee. Hiermee wordt het wachtwoord opgegeven.

Wachtwoord

Wachtwoord bevestigen Hiermee wordt het wachtwoord bevestigd.

Tabel 7-3 Geavanceerde opties Sectie

Optie

Definitie

Taal clientinterface

Automatisch

Hiermee wordt automatisch de taal ingesteld die moet worden gebruikt voor de interfacetekst van Endpoint Security-client, gebaseerd op de taal op het clientsysteem.

Taal

Hiermee wordt de taal opgegeven die moet worden gebruikt voor de interfacetekst van Endpoint Security-client. Voor beheerde systemen hebben taalwijzigingen die gemaakt zijn vanuit de Endpoint Security-client, voorrang op wijzigingen van de beheerserver. De taalwijziging wordt toegepast nadat de Endpoint Security-client opnieuw is opgestart. De taal van de client is niet van invloed op de logboekbestanden. Logboekbestanden worden altijd weergegeven in de taal die in de standaardlandinstellingen van het systeem is opgegeven.

Zelfbeveiliging


Zelfbeveiliging inschakelen

Hiermee worden Endpoint Security-systeembronnen beschermd tegen schadelijke activiteiten.

Producthandleiding

117

7


Tabel 7-3 Geavanceerde opties (vervolg) Sectie

Optie

Definitie

Actie

Hiermee wordt de actie opgegeven die moet worden genomen wanneer schadelijke activiteit plaatsvindt: • Blokkeren en rapporteren: activiteit wordt geblokkeerd en gerapporteerd bij McAfee ePO. (Standaardinstelling) • Alleen blokkeren: activiteit wordt geblokkeerd maar wordt niet gerapporteerd bij McAfee ePO. • Alleen rapporteren: activiteit wordt gerapporteerd bij McAfee ePO maar wordt niet geblokkeerd.

Bestanden en mappen

Voorkomt dat McAfee-systeembestanden en -mappen worden gewijzigd of verwijderd.

Register

Voorkomt dat McAfee-registersleutels en -waarden worden gewijzigd of verwijderd.

Processen

Voorkomt dat McAfee-processen worden gestopt.

De volgende processen uitsluiten

Hiermee wordt de toegang voor de opgegeven processen toegestaan. Jokertekens zijn toegestaan.

Toevoegen: hiermee wordt een proces aan de uitsluitingslijst toegevoegd. Klik op Toevoegen en voer de naam van de bron exact in, zoals avtask.exe. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen : Hiermee wordt het geselecteerde item verwijderd. Selecteer de bron en klik op Verwijderen. Certificaten

Hiermee worden certificaatopties opgegeven. Toestaan

Hiermee wordt een leverancier toegestaan om code in McAfee-processen uit te voeren. Deze instelling kan resulteren in compatibiliteitsproblemen en verminderde beveiliging.

Leverancier

118


Hiermee wordt de CN (Common Name) opgegeven van de instantie die het certificaat heeft ondertekend en uitgegeven.

Producthandleiding

7



Optie

Definitie

Onderwerp

Hiermee wordt de SND (Signer Distinguished Name) opgegeven die de entiteit definieert die aan het certificaat is gekoppeld. Deze informatie kan bestaan uit:

Clientlogboekgebruik

• CN (Common Name)

• L (Lokaliteit)

• OU (Organization Unit of organisatie-eenhei d)

• ST (Staat of provincie)

• O (Organisatie)

• C (Country Code of landcode)

Openbare sleutel SHA-1

Hiermee wordt de SHA-1-hash van de bijbehorende openbare sleutel opgegeven.

Locatie van logboekbestanden

Hiermee wordt de locatie voor de logboekbestanden opgegeven. De standaardlocatie is: <SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint \Logs

Druk op Enter of klik op Bladeren om naar een locatie te gaan. Activiteitenlogboekregistratie Activiteitenlogboekregistratie inschakelen Maximale grootte van alle activiteitenlogboeken (MB)

Hiermee wordt registratie van alle Endpoint Security-activiteiten ingeschakeld. Beperkt de grootte van elk activiteitenlogboek tot de opgegeven maximumgrootte (tussen 1 en 999 MB). De standaardinstelling is 10 MB. Schakel deze optie uit om toe te staan dat logboekbestanden onbeperkt kunnen groeien. Als het logboekbestand deze grootte overschrijdt, wordt de eerste 25 procent van de vermeldingen in het bestand overschreven door nieuwe gegevens.

Foutregistratie

Wanneer u foutregistratie voor een willekeurige module inschakelt, wordt ook foutregistratie voor de functies van de module Gedeelde instellingen ingeschakeld, zoals Zelfbeveiliging. We raden u aan om foutregistratie gedurende tests en testfasen minstens de eerste 24 uur ingeschakeld te houden. Als er zich gedurende deze tijd geen problemen voordoen, kunt u foutregistratie uitschakelen om te voorkomen dat de prestaties op het clientsysteem beïnvloed worden.


Producthandleiding

119

7



Optie

Definitie

Inschakelen voor Bedreigingspreventie

Hiermee wordt uitgebreide registratie voor Bedreigingspreventie en afzonderlijke technologieën ingeschakeld: Inschakelen voor Toegangsbeveiliging: registreert in AccessProtection_Debug.log. Inschakelen voor Exploitpreventie: registreert in ExploitPrevention_Debug.log. Inschakelen voor Scannen bij toegang: registreert in OnAccessScan_Debug.log. Inschakelen voor Scannen op verzoek: registreert in OnDemandScan_Debug.log. Wanneer u foutregistratie voor een willekeurige Bedreigingspreventie-technologie inschakelt, wordt ook foutregistratie voor de Endpoint Security-client ingeschakeld. Wanneer u foutregistratie voor een willekeurige Bedreigingspreventie-technologie inschakelt, wordt ook foutregistratie voor Bedreigingsinformatie ingeschakeld.

Inschakelen voor Firewall

Hiermee wordt uitgebreide registratie van Firewall-activiteit ingeschakeld.

Inschakelen voor Webcontrole

Hiermee wordt uitgebreide registratie van Webcontrole-activiteit ingeschakeld.

Maximale grootte van alle foutopsporingslogboeken (MB)

Beperkt de grootte van elk foutopsporingslogboek tot de opgegeven maximumgrootte (tussen 1 en 999 MB). De standaardinstelling is 50 MB. Schakel deze optie uit om toe te staan dat logboekbestanden onbeperkt kunnen groeien. Als het logboekbestand deze grootte overschrijdt, wordt de eerste 25 procent van de vermeldingen in het bestand overschreven door nieuwe gegevens.

Logboekregistratie

Gebeurtenissen naar McAfee ePO sturen

Hiermee worden alle gebeurtenissen die in het Gebeurtenislogboek op de Endpoint Security-client zijn geregistreerd naar McAfee ePO gestuurd. Deze optie is alleen beschikbaar op systemen in beheer van McAfee ePO.

Gebeurtenissen in het Windows-toepassingslogboek registreren

Hiermee worden alle gebeurtenissen die in het Gebeurtenislogboek op de Endpoint Security-client zijn geregistreerd naar het Windows-toepassingslogboek gestuurd. Het Windows-toepassingslogboek kan in Windows worden geopend via Logboeken | Windows Logboeken | Toepassing.

120


Producthandleiding

7



Optie

Definitie

Risiconiveaus

Hiermee wordt het risiconiveau opgegeven van gebeurtenissen die naar het Gebeurtenislogboek op de Endpoint Security-client moeten worden gestuurd: • Geen: hiermee worden geen waarschuwingen gestuurd • Alleen kritiek: hiermee worden alleen waarschuwingen van niveau 1 gestuurd. • Belangrijk en kritiek: hiermee worden waarschuwingen van niveau 1 en 2 gestuurd. • Minder belangrijk, belangrijk en kritiek: hiermee worden waarschuwingsniveaus 1–3 gestuurd. • Alle behalve informatief: hiermee worden waarschuwingsniveaus 1–4 gestuurd. • Alle: hiermee worden waarschuwingsniveaus 1–5 gestuurd. • 1: Kritiek

• 4: Waarschuwing

• 2: Belangrijk

• 5: Informatief

• 3: Minder belangrijk Gebeurtenissen van Bedreigingspreventie die moeten worden geregistreerd

Hiermee wordt het risiconiveau opgegeven van gebeurtenissen voor elke Bedreigingspreventie-functie die moet worden geregistreerd: • Toegangsbeveiliging Wanneer u gebeurtenisregistratie voor Toegangsbeveiliging inschakelt, wordt ook gebeurtenisregistratie voor Zelfbeveiliging ingeschakeld.

• Exploitpreventie • Scanner bij toegang • Scanner op verzoek Firewall-gebeurtenissen die moeten worden geregistreerd

Hiermee wordt het risiconiveau opgegeven van Firewall-gebeurtenissen die moeten worden geregistreerd.

Webcontrole-gebeurtenissen die moeten worden geregistreerd

Hiermee wordt het risiconiveau opgegeven van Webcontrole-gebeurtenissen die moeten worden geregistreerd.

Proxyserver voor McAfee GTI Geen proxyserver

Proxy-instellingen van het systeem gebruiken


Hiermee wordt opgegeven dat de beheerde systemen McAfee GTI-reputatiegegevens rechtstreeks via internet ophalen, niet via een proxyserver. (Standaardinstelling) Hiermee wordt opgegeven dat de proxy-instellingen van het clientsysteem moeten worden gebruikt, en dat HTTP-proxyverificatie eventueel moet worden ingeschakeld.

Producthandleiding

121

7



Optie

Definitie

Proxyserver configureren

Hiermee worden proxyinstellingen aangepast. • Adres: hiermee wordt het IP-adres of volledig gekwalificeerde domeinnaam van de HTTP-proxyserver opgegeven. • Poort: hiermee wordt toegang via de opgegeven poort beperkt. • De volgende adressen uitsluiten: gebruik de HTTP-proxyserver niet voor websites of IP-adressen die met de opgegeven vermeldingen beginnen. Klik op Toevoegen en voer vervolgens de adresnaam in die moet worden uitgesloten.

HTTP-proxyverificatie inschakelen

Hiermee wordt opgegeven dat de HTTP-proxyserver verificatie vereist. (Deze optie is alleen beschikbaar wanneer u een HTTP-proxyserver hebt geselecteerd.) Voer HTTP-proxyreferenties in: • Gebruikersnaam: hiermee wordt de gebruikersaccount met machtigingen voor de HTTP-proxyserver opgegeven. • Wachtwoord: hiermee wordt het wachtwoord voor Gebruikersnaam opgegeven. • Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd.

Standaard clientupdate

De knop Nu bijwerken inschakelen in de client

Hiermee wordt de knop op de hoofdpagina van de Endpoint Security-client ingeschakeld. Klik op deze knop om handmatig op updates voor inhoudsbestanden en softwareonderdelen te controleren en deze te downloaden op het clientsysteem.

Wat er bijgewerkt moet worden

Hiermee wordt opgegeven wat er moet worden bijgewerkt wanneer er op de knop wordt geklikt. • Veiligheidsinhoud, hotfixes en patches: hiermee worden veiligheidsinhoud (inclusief engine, AMCore en inhoud van Exploitpreventie), hotfixes en patches naar de nieuwste versies bijgewerkt. • Veiligheidsinhoud: hiermee wordt alleen de veiligheidsinhoud bijgewerkt (standaard). • Hotfixes en patches: hiermee worden alleen hotfixes en patches bijgewerkt.

122


Producthandleiding

7



Optie

Definitie Hiermee worden de sites geconfigureerd vanwaar updates voor inhoudsbestanden en softwareonderdelen kunnen worden opgehaald.

Bronlocaties voor updates

U kunt de standaardbronlocatie voor back-up, McAfeeHttp en de beheerserver (voor beheerde systemen) in- en uitschakelen, maar u kunt ze verder niet wijzigen of verwijderen.

Hiermee worden elementen aangegeven die in de lijst kunnen worden verplaatst. Selecteer elementen en sleep ze naar de nieuwe locatie. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten. Toevoegen

Hiermee wordt een site aan de lijst met bronlocaties toegevoegd. Raadpleeg Site toevoegen of Site bewerken op pagina 124 voor meer informatie.

Dubbelklik op een item

Hiermee wordt het geselecteerde item gewijzigd.

Verwijderen

Hiermee wordt de geselecteerde site uit de lijst met bronlocaties verwijderd.

Importeren

Hiermee worden sites geïmporteerd van een bestand met een bronlocatielijst. Selecteer het bestand dat u wilt importeren en klik op OK. Het bestand met de locatielijst vervangt de bestaande lijst met bronlocaties.

Alles exporteren

Exporteert de bronlocatielijst naar een SiteList.xml-bestand. Selecteer de locatie om het bestand met de bronlocatielijst naar op te slaan, en klik op OK.

Proxyserver voor bronsites


Geen proxyserver

Hiermee wordt opgegeven dat de beheerde systemen McAfee GTI-reputatiegegevens rechtstreeks via internet ophalen, niet via een proxyserver. (Standaardinstelling)

Proxyinstellingen van het systeem gebruiken

Hiermee wordt opgegeven dat de proxyinstellingen van het clientsysteem moeten worden gebruikt, en dat HTTP- of FTP-proxyverificatie eventueel moet worden ingeschakeld.

Producthandleiding

123

7



Optie

Definitie

Proxyserver configureren

Hiermee worden proxyinstellingen aangepast. • HTTP-/FTP-adres: hiermee wordt het DNS-, IPv4- of IPv6-adres van de HTTP- of FTP-proxyserver opgegeven. • Poort: hiermee wordt toegang via de opgegeven poort beperkt. • De volgende adressen uitsluiten: hiermee worden de adressen opgegeven voor Endpoint Security-client-systemen die de proxyserver niet moet gebruiken voor het ophalen van McAfee GTI-classificaties. Klik op Toevoegen en voer vervolgens de adresnaam in die moet worden uitgesloten.

HTTP-/FTP-proxyverificatie inschakelen

Hiermee wordt opgegeven dat de HTTP- of FTP-proxyserver verificatie vereist. (Deze optie is alleen beschikbaar wanneer u een HTTP- of FTP-proxyserver hebt geselecteerd.) Voer proxyreferenties in: • Gebruikersnaam: hiermee wordt de gebruikersaccount met machtigingen voor de proxyserver opgegeven. • Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. • Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd.

Zie ook Endpoint Security-bronnen beveiligen op pagina 29 Registratie-instellingen configureren op pagina 30 Instellingen voor de beveiliging van de clientinterface configureren op pagina 31 Proxyserverinstellingen configureren voor McAfee GTI op pagina 32 Het standaardgedrag configureren voor updates op pagina 35 Bronlocaties configureren voor updates op pagina 33 Site toevoegen of Site bewerken op pagina 124

Site toevoegen of Site bewerken Hiermee wordt een site in de lijst met bronlocaties geplaatst of bewerkt. Tabel 7-4 Optiedefinities

124

Optie

Definitie

Naam

Geeft de naam aan van de bronsite die de updatebestanden bevat.

Inschakelen

Hiermee wordt gebruik van de bronsite voor het downloaden van updatebestanden in- of uitgeschakeld.

Bestanden ophalen van

Hier wordt opgegeven waar de bestanden moeten worden opgehaald.


Producthandleiding

7


Tabel 7-4 Optiedefinities (vervolg) Optie

Definitie

HTTP-opslagplaats

Hiermee worden bestanden uit de toegewezen HTTP-opslagplaatslocatie opgehaald. HTTP biedt de mogelijkheid updates onafhankelijk van de netwerkbeveiliging uit te voeren, maar ondersteunt meer gelijktijdige verbindingen dan FTP.

URL

• DNS-naam: geeft aan dat de URL een domeinnaam is. • IPv4: geeft aan dat de URL een IPv4-adres is. • IPv6: geeft aan dat de URL een IPv6-adres is. http:// : specificeert het adres van de HTTP-server en -map waar de updatebestanden zich bevinden. Poort: geeft het poortnummer voor de HTTP-server aan.

Verificatie gebruiken

Hier kunt u selecteren of u verificatie wilt gebruiken en de aanmeldingsgegevens voor toegang tot de map met updatebestanden opgeven. • Gebruikersnaam: geeft de gebruikersaccount op die leesrechten heeft voor de map met updatebestanden. • Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. • Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd.


Producthandleiding

125

7



Definitie

FTP-opslagplaats

Hiermee worden bestanden uit de toegewezen FTP-opslagplaatslocatie opgehaald. Een FTP-site biedt de flexibiliteit van bijwerken zonder u aan netwerkbeveiligingsrechten te hoeven houden. Omdat FTP minder snel last heeft van aanvallen door ongewenste codes dan HTTP, kan dit een betere tolerantie bieden.

URL

• DNS-naam: geeft aan dat de URL een domeinnaam is. • IPv4: geeft aan dat de URL een IPv4-adres is. • IPv6: geeft aan dat de URL een IPv6-adres is. ftp:// : specificeert het adres van de FTP-server en -map waar de updatebestanden zich bevinden. Poort: geeft het poortnummer voor de FTP-server aan.

Anoniem inloggen gebruiken

Hiermee kunt u ervoor kiezen anonieme FTP te gebruiken om de map met updatebestanden op te roepen. Hef de selectie van deze optie op om aanmeldingsgegevens voor toegang op te geven. • Gebruikersnaam: geeft de gebruikersaccount op die leesrechten heeft voor de map met updatebestanden. • Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. • Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd.

UNC-pad of Lokaal pad

Hiermee worden bestanden uit de toegewezen UNC of het toegewezen lokale pad opgehaald. Een UNC-site is het snelst en gemakkelijkst in te stellen. Voor UNC-updates tussen domeinen zijn beveiligingsmachtigingen voor elk van de domeinen nodig, hetgeen het configureren van updates ingewikkelder maakt.

Pad

• UNC-pad: hiermee wordt het pad opgegeven dat UNC-notatie gebruikt (\\servernaam\pad\). • Lokaal pad: hiermee wordt het pad opgegeven van een map op een lokaal of netwerkstation.

Aanmeldingsaccount gebruiken

Hiermee wordt de aanmeldingsaccount gebruikt voor toegang tot de updatebestanden. Deze account moet leesrechten hebben voor de mappen met de updatebestanden. Hef de selectie van deze optie op om aanmeldingsgegevens voor toegang op te geven. • Domein: geeft het domein op voor de gebruikersaccount. • Gebruikersnaam: geeft de gebruikersaccount op die leesrechten heeft voor de map met updatebestanden. • Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven.

126


Producthandleiding

Referentie van clientinterface Gedeelde instellingen: Taken

7


Definitie • Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd.

Gedeelde instellingen: Taken Endpoint Security-clienttaken configureren en plannen. Op beheerde systemen kunt u geen Beheerderstaken starten, stoppen of verwijderen.

Tabel 7-5

Opties

Sectie Optie

Definitie

Taken

Geeft de momenteel gedefinieerde en geplande taken aan. • Naam: naam van de geplande taak. • Functie: module of functie waaraan de taak is gekoppeld. • Schema: wanneer de taak moet worden uitgevoerd en of deze is uitgeschakeld. Het schema voor de Standaard clientupdatetaak kan op beheerde systemen bijvoorbeeld zijn uitgeschakeld door de beheerder. • Status: status van de laatste keer dat de taak werd uitgevoerd: • (geen status): nooit uitgevoerd • Wordt uitgevoerd — wordt nu uitgevoerd of is hervat • Onderbroken — onderbroken door gebruiker (zoals een scan) • Uitgesteld — uitgesteld door gebruiker (zoals een scan) • Voltooid — uitgevoerd zonder fouten • Voltooid (fouten) — uitgevoerd met fouten • Mislukt: niet voltooid • Laatst uitgevoerd: datum en tijd waarop de taak de laatste keer werd uitgevoerd. • Oorsprong: oorsprong van de taak: • McAfee: geleverd door McAfee. • Beheerder: (alleen beheerde systemen) gedefinieerd door de beheerder. • Gebruiker: gedefinieerd op de Endpoint Security-client Afhankelijk van de oorsprong kunnen sommige taken niet worden gewijzigd of verwijderd. De Standaard clientupdatetaak kan bijvoorbeeld alleen worden gewijzigd op systemen in eigen beheer. Beheerderstaken, gedefinieerd door de beheerder op beheerde systemen, kunnen niet worden gewijzigd of verwijderd op de Endpoint Security-client. Dubbelklik op een item


Toevoegen

Hiermee wordt een scan-, update- of spiegeltaak gemaakt.

Verwijderen

Verwijdert de geselecteerde taak.


Producthandleiding

127

7


Tabel 7-5

Opties (vervolg)

Sectie Optie

Definitie

Dupliceren

Hiermee wordt een kopie van de geselecteerde taak gemaakt.

Nu uitvoeren

De geselecteerde taak uitvoeren. Als de taak al wordt uitgevoerd, of is gepauzeerd of uitgesteld, verandert de knop in Weergeven.

• Snelle scan: opent het dialoogvenster Snelle scan en start de scan. • Volledige scan: opent het dialoogvenster Volledige scan en start de scan. • Aangepaste scan: opent het dialoogvenster Aangepaste scan en start de scan. • Standaard clientupdate: opent het dialoogvenster Update en start de update. • Update: opent het dialoogvenster Aangepaste update en start de update. • Spiegelen: opent het dialoogvenster Aangepaste Spiegelen en start de replicatie van de opslagplaats. Als u een taak uitvoert voordat u wijzigingen toepast, vraagt de Endpoint Security-client u de instellingen op te slaan.

Zie ook Een Volledige scan of Snelle scan uitvoeren op pagina 42 Beveiliging en software handmatig bijwerken op pagina 21 Spiegeltaken configureren, plannen en uitvoeren op pagina 38 Taak toevoegen op pagina 128

Taak toevoegen Hier voegt u aangepaste scan-, spiegel- of updatetaken toe. Optie

Definitie

Naam

Hiermee geeft u de naam van de taak op.

Selecteer taaktype:

Geeft het type taak op: • Aangepaste scan: hiermee wordt een aangepaste scan geconfigureerd en gepland, zoals dagelijkse geheugenscans. • Spiegelen: hiermee worden de bijgewerkte inhouds- en engine-bestanden van de eerst toegankelijke opslagplaats gerepliceerd naar een spiegellocatie op uw netwerk. • Update: hiermee wordt een update van de inhoudsbestanden, scanengine of het product geconfigureerd en gepland.

Zie ook Scantaak toevoegen of Scantaak bewerken op pagina 129 Spiegeltaak toevoegen of Spiegeltaak bewerken op pagina 130 Updatetaak toevoegen of Updatetaak bewerken op pagina 129

128


Producthandleiding

7


Scantaak toevoegen of Scantaak bewerken Plan de taak Volledige scan of Snelle scan of configureer en plan aangepaste scantaken die op het clientsysteem worden uitgevoerd. Tabel 7-6

Opties

Tabblad Optie Definitie Hier worden instellingen voor de scantaak geconfigureerd.

Instellingen Naam

Geeft de naam van de taak aan.

Opties Raadpleeg Bedreigingspreventie: Scannen op verzoek op pagina 146 voor meer informatie. U kunt instellingen voor de taken Volledige scan en Snelle scan alleen op systemen in eigen beheer configureren.

Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd.

Schema

Raadpleeg Schema op pagina 130 voor meer informatie. Zie ook Scantaken configureren, plannen en uitvoeren op pagina 75 instellingen voor Scan op verzoek configureren op pagina 70 Een Volledige scan of Snelle scan uitvoeren op pagina 42 Bedreigingspreventie: Scannen op verzoek op pagina 146 Schema op pagina 130

Updatetaak toevoegen of Updatetaak bewerken Hier wordt de taak Standaard clientupdate gepland of worden aangepaste updatetaken geconfigureerd en gepland die op het clientsysteem worden uitgevoerd. Tabblad Optie

Definitie

Instellingen

Hiermee configureert u instellingen voor updatetaken. Naam


Wat er bijgewerkt moet worden

Geeft op wat er bijgewerkt moet worden: • Veiligheidsinhoud, hotfixes en patches • Veiligheidsinhoud • Hotfixes en patches Als u de instellingen van de taak Standaard clientupdate wilt bewerken, raadpleegt u de sectie Standaard clientupdate in Gedeelde instellingen: opties op pagina 116. U kunt deze instellingen alleen op systemen in eigen beheer configureren.

Schema

Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd. Raadpleeg Schema op pagina 130 voor meer informatie. De taak Standaard clientupdate wordt standaard elke dag om middernacht uitgevoerd en elke vier uur herhaald tot 23.59 uur.

Zie ook Updatetaken configureren, plannen en uitvoeren op pagina 36 Schema op pagina 130


Producthandleiding

129

7


Spiegeltaak toevoegen of Spiegeltaak bewerken Hiermee worden spiegeltaken geconfigureerd en gepland. Tabblad Optie

Definitie

Instellingen Naam


Spiegellocatie Geeft de map op waar de replicatie van de opslagplaats moet worden bewaard. Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd.

Schema

Raadpleeg Schema op pagina 130 voor meer informatie. Zie ook Spiegeltaken configureren, plannen en uitvoeren op pagina 38 Schema op pagina 130

Schema Scan-, update- en spiegeltaken plannen. Tabel 7-7

Opties

Categorie Optie

Definitie

Schema

Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd. (Standaard ingeschakeld)

Schema inschakelen

Deze optie moet worden geselecteerd om de taak te plannen.

Type planning

Hier wordt het interval opgegeven waarmee de taak moet worden uitgevoerd. • Dagelijks: de taak wordt elke dag uitgevoerd, op een bepaald tijdstip, herhaald tussen twee tijdstippen op de dag, of een combinatie van beide. • Wekelijks: de taak wordt wekelijks uitgevoerd: • op een bepaalde dag van de week, op elke dag van de week, in de weekenden of een combinatie van deze opties • op een bepaald tijdstip op de geselecteerde dagen, of herhaald tussen twee tijdstippen op de geselecteerde dagen • Maandelijks: de taak wordt maandelijks uitgevoerd op: • de opgegeven dag van de maand • de opgegeven dagen van de week: eerste, tweede, derde, vierde of laatste • Eenmaal: de taak wordt gestart op de datum en tijd die u opgeeft. • Bij opstarten van systeem: de taak wordt uitgevoerd wanneer het systeem opstart. • Bij aanmelden: de taak wordt gestart wanneer de gebruiker zich de volgende keer aanmeldt. • Onmiddellijk uitvoeren: de taak wordt onmiddellijk gestart.

130

Frequentie

Hiermee wordt de frequentie ingesteld voor de taken Dagelijks en Wekelijks.

Uitvoeren op

Hiermee worden de dagen van de week opgegeven voor de taken Wekelijks en Maandelijks.


Producthandleiding

7


Tabel 7-7

Opties (vervolg)

Categorie Optie

Definitie

Uitvoeren in:

Hiermee worden de maanden van het jaar opgegeven voor de taken Maandelijks.

Deze taak slechts eenmaal per dag uitvoeren

Voert de taak eenmaal per dag uit voor de taken Bij opstarten van systeem en Bij aanmelden.

Deze taak uitstellen met

Hiermee wordt het aantal minuten vertraging opgegeven voordat de taken Bij opstarten van systeem en Bij aanmelden worden uitgevoerd.

Begindatum

Geeft de begindatum op voor de taken Dagelijks, Wekelijks, Maandelijks en Eenmaal.

Einddatum

Geeft de einddatum op voor de taken Dagelijks, Wekelijks en Maandelijks.

Begintijd

Specificeert de tijd waarop de taak moet starten. • Eenmaal uitvoeren op die tijd: voert de taak eenmaal uit op de opgegeven Begintijd. • Uitvoeren op die tijd, en dan herhalen tot: voert de taak uit op de opgegeven Begintijd. Vervolgens wordt de taak telkens na het aantal uren/ minuten dat door Taak starten elk(e) herhaald tot de ingestelde eindtijd. • Uitvoeren op die tijd, en dan herhalen: voert de taak uit op de opgegeven Begintijd. Vervolgens wordt de taak telkens na het aantal uren/ minuten dat door Taak starten elk(e) is opgegeven, gestart tot de taak voor de opgegeven periode is uitgevoerd.

Opties

Deze taak uitvoeren volgens Coordinated Universal Time (UTC)

Bepaalt of de taak wordt uitgevoerd op basis van de lokale tijd op het beheerde systeem of op basis van de Coordinated Universal Time (UTC).

Deze taak stoppen als deze langer wordt uitgevoerd dan

Stopt de taak nadat het opgegeven aantal uren en minuten is verstreken. Als de taak wordt onderbroken voordat deze is voltooid, begint deze de volgende keer dat de taak wordt gestart op het punt waarop de taak is onderbroken.

Randomiseer de begintijd van de taak met:

Geeft op dat deze taak willekeurig wordt uitgevoerd binnen de tijdsperiode die u opgeeft.

Gemiste taak uitvoeren

Hiermee wordt de taak uitgevoerd na het aantal minuten dat is opgegeven door Taak uitstellen met wanneer het beheerde systeem opnieuw is gestart.

Als deze optie niet wordt opgegeven, wordt de taak op de geplande tijd gestart, ongeacht of andere clienttaken op hetzelfde tijdstip zijn gepland.

Hier worden de aanmeldingsgegevens weergegeven die gebruikt moeten worden om de taak uit te voeren.

Account

Als er geen aanmeldingsgegevens zijn opgegeven, wordt de taak als de lokale systeembeheerdersaccount uitgevoerd.

Gebruikersnaam

Geeft de gebruikersaccount op.

Wachtwoord

Geeft het wachtwoord voor de opgegeven gebruikersaccount op.

Wachtwoord bevestigen

Bevestigt het wachtwoord voor de opgegeven gebruikersaccount.

Domein

Geeft het domein op voor de opgegeven gebruikersaccount.


Producthandleiding

131

7

Referentie van clientinterface Bedreigingspreventie: Toegangsbeveiliging

Zie ook Scantaak toevoegen of Scantaak bewerken op pagina 129 Updatetaak toevoegen of Updatetaak bewerken op pagina 129 Spiegeltaak toevoegen of Spiegeltaak bewerken op pagina 130

Bedreigingspreventie: Toegangsbeveiliging Beveilig de toegangspunten van uw systeem op basis van geconfigureerde regels. Zie de instellingen voor Gedeelde instellingen: opties op pagina 116 voor configuratie van logboekregistratie.

Toegangsbeveiliging vergelijkt een gevraagde actie met de lijst met geconfigureerde regels en handelt volgens de regel. Tabel 7-8 Sectie

Opties Optie

Definitie

TOEGANGSBEVEILIGING Toegangsbeveiliging inschakelen Hiermee wordt de functie Toegangsbeveiliging ingeschakeld.

132


Producthandleiding

7



Optie Beschrijving

Uitsluitingen

Hiermee wordt de toegang tot de opgegeven processen, ook wel uitvoerbare bestanden genoemd, voor alle regels toegestaan. • Toevoegen: hiermee wordt een proces aan de uitsluitingslijst toegevoegd. Raadpleeg Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 139 voor meer informatie. • Dubbelklik op een item — Hiermee wordt het geselecteerde item gewijzigd. • Verwijderen: Hiermee wordt het geselecteerde item verwijderd. • Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt.

Regels

Hiermee worden regels voor Toegangsbeveiliging geconfigureerd. Raadpleeg Door McAfee gedefinieerde regels op pagina 54 voor meer informatie. U kunt door McAfee gedefinieerde regels inschakelen, uitschakelen en wijzigen, maar u kunt deze regels niet verwijderen.

• Toevoegen: hiermee wordt een aangepaste regel gemaakt en aan de lijst toegevoegd. Raadpleeg Pagina Regel toevoegen of Regel bewerken op pagina 133 voor meer informatie. • Dubbelklik op een item — Hiermee wordt het geselecteerde item gewijzigd. Raadpleeg Pagina Regel toevoegen of Regel bewerken op pagina 133 voor meer informatie. • Verwijderen: Hiermee wordt het geselecteerde item verwijderd. • Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. • (Alleen) blokkeren: hiermee worden toegangspogingen geblokkeerd zonder dat dit wordt geregistreerd. • (Alleen) rapporteren: hiermee verschijnen waarschuwingen maar worden toegangspogingen niet geblokkeerd. Deze instelling kan nuttig zijn als de volledige uitwerking van een regel niet bekend is. Controleer de logboeken en rapporten om te bepalen of toegang moet worden geblokkeerd.

• Blokkeren en Rapporteren: toegangspogingen worden geblokkeerd en vastgelegd in een logboek. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Blokkeren of Rapporteren in de eerste rij. Hef de selectie van Blokkeren en Rapporteren op als u de regel wilt uitschakelen.

Zie ook Door McAfee gedefinieerde regels voor Toegangsbeveiliging configureren op pagina 53 Pagina Regel toevoegen of Regel bewerken op pagina 133 Door McAfee gedefinieerde regels op pagina 54

Pagina Regel toevoegen of Regel bewerken Hiermee worden door de gebruiker gedefinieerde regels voor Toegangsbeveiliging toegevoegd of bewerkt.


Producthandleiding

133

7


Tabel 7-10 Sectie Optie

Definitie

Opties

Naam

Hiermee wordt de naam van de regel opgegeven of aangegeven. (Vereist)

Reactie

Geeft acties op voor de regel. • (Alleen) blokkeren: hiermee worden toegangspogingen geblokkeerd zonder dat dit wordt geregistreerd. • (Alleen) rapporteren: hiermee verschijnen waarschuwingen maar worden toegangspogingen niet geblokkeerd. Deze instelling kan nuttig zijn als de volledige uitwerking van een regel niet bekend is. Controleer de logboeken en rapporten om te bepalen of toegang moet worden geblokkeerd.

• Blokkeren en Rapporteren: toegangspogingen worden geblokkeerd en vastgelegd in een logboek. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Block (Blokkeren) of Report (Rapporteren) in de eerste rij. Hef de selectie van Blokkeren en Rapporteren op als u de regel wilt uitschakelen.


Geeft uitvoerbare bestanden op voor de regel. • Toevoegen: hiermee wordt een uitvoerbaar bestand gemaakt en aan de lijst toegevoegd. Raadpleeg Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 139 voor meer informatie. • Dubbelklik op een item — Hiermee wordt het geselecteerde item gewijzigd. Raadpleeg Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 139 voor meer informatie. • Verwijderen — Hiermee wordt het geselecteerde item verwijderd. • Dupliceren — Hiermee wordt een kopie van het geselecteerde item gemaakt. • Opnamestatus wisselen: hiermee wordt de opnamestatus van het uitvoerbare bestand gewisseld tussen Opnemen en Uitsluiten.

Subregels

Hiermee worden subregels geconfigureerd. Subregels worden alleen voor regels weergegeven die door de gebruiker zijn gedefinieerd.

Raadpleeg Subregel toevoegen of Subregel bewerken op pagina 135 voor meer informatie. • Toevoegen: hiermee wordt een subregel gemaakt en aan de lijst toegevoegd. • Dubbelklik op een item — Hiermee wordt het geselecteerde item gewijzigd. • Verwijderen: Hiermee wordt het geselecteerde item verwijderd. • Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. Opmerkingen

Meer informatie over het item.

Zie ook Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 139 Subregel toevoegen of Subregel bewerken op pagina 135

134


Producthandleiding


7

Subregel toevoegen of Subregel bewerken Een standaardsubregel toevoegen of bewerken. Tabel 7-11

Opties

Sectie

Optie

Definitie

Beschrijving

Naam

Hiermee geeft u de naam van de subregel op.

Eigenschappen Type regel

Hiermee geeft u het regeltype op. • Bestanden: hiermee wordt een bestand of map beveiligd. Maak bijvoorbeeld een aangepaste regel om pogingen om een Excel-spreadsheet met vertrouwelijke informatie te verwijderen, te blokkeren of rapporteren. • Registersleutel: hiermee wordt de opgegeven sleutel beveiligd. Een registersleutel is de container voor de registerwaarde. Bijvoorbeeld HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run. • Registerwaarde: hiermee wordt de opgegeven waarde beveiligd. Registerwaarden worden in registersleutels opgeslagen en hebben een andere referentie dan registersleutels. Bijvoorbeeld HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run\Autorun. Wanneer u het subregeltype wijzigt, worden eerder gedefinieerde vermeldingen in de parametertabel verwijderd.


Producthandleiding

135

7


Tabel 7-11 Sectie

Opties (vervolg) Optie

Definitie

Bewerkingen Geeft aan welke bewerkingen zijn toegestaan met dit type subregel. De prestaties worden mogelijk beïnvloed als u de bewerking Lezen selecteert.

• Bestanden: • Alleen-lezen of verborgen attributen wijzigen • Maken: hiermee wordt het maken van bestanden in de opgegeven map geblokkeerd. • Verwijderen: hiermee wordt het verwijderen van bestanden in de opgegeven map geblokkeerd. • Uitvoeren: hiermee wordt het uitvoeren van bestanden in de opgegeven map geblokkeerd. • Lezen: hiermee wordt leestoegang tot de opgegeven bestanden geblokkeerd. • Schrijven: hiermee wordt schrijftoegang tot de opgegeven bestanden geblokkeerd. • Registersleutel: • Schrijven: hiermee wordt schrijftoegang tot de opgegeven sleutel geblokkeerd. • Maken: hiermee wordt het maken van de opgegeven sleutel geblokkeerd. • Verwijderen: hiermee wordt het verwijderen van de opgegeven sleutel geblokkeerd. • Lezen: hiermee wordt leestoegang tot de opgegeven sleutel geblokkeerd. • Opsommen: hiermee wordt opsomming van de subsleutels voor de opgegeven registersleutel geblokkeerd. • Laden: hiermee wordt de mogelijkheid geblokkeerd om de opgegeven registersleutel en de subsleutels uit het register te laden. • Vervangen: hiermee wordt het vervangen van de opgegeven registersleutel en de subsleutels door een ander bestand geblokkeerd. • Herstellen: hiermee wordt de mogelijkheid geblokkeerd om registerinformatie in een opgegeven bestand op te slaan en wordt over de opgegeven sleutel gekopieerd. • Registerwaarde: • Schrijven: hiermee wordt schrijftoegang tot de opgegeven waarde geblokkeerd. • Maken: hiermee wordt het maken van de opgegeven waarde geblokkeerd. • Verwijderen: hiermee wordt het verwijderen van de opgegeven waarde geblokkeerd. • Lezen: hiermee wordt leestoegang tot de opgegeven waarde geblokkeerd. Parameters

136

• Toevoegen: hiermee worden parameters voor de regel opgegeven. Parameters zijn afhankelijk van de geselecteerde typen regels. U moet ten minste één parameter opgeven.


Producthandleiding


Tabel 7-11 Sectie

7


Definitie Klik op Toevoegen, selecteer de opnamestatus en typ of selecteer de parameter die u wilt opnemen of uitsluiten. Zie Parameters op pagina 138. • Dubbelklik op een item — Hiermee wordt het geselecteerde item gewijzigd. Zie Parameters op pagina 138. • Verwijderen: Hiermee wordt het geselecteerde item verwijderd.

Zie ook Parameters op pagina 138


Producthandleiding

137

7


Parameters Hiermee wordt de opnamestatus en definitie voor een parameter opgegeven. Tabel 7-12 Sectie

Optie

Definitie Bepaalt of de parameter een positieve overeenkomst voor de subregel is. Geeft ook de opnamestatus voor de parameter op.

Parameters

• Opnemen: geeft aan dat de subregel overeen kan komen met de opgegeven parameter. • Uitsluiten: geeft aan dat de subregel niet overeen moet komen met de opgegeven parameter. Als u het regeltype Bestanden hebt geselecteerd...

Blader om het bestand te selecteren. Systeemomgevingsvariabelen worden ondersteund. Omgevingsvariabelen kunnen in een van de volgende indelingen worden opgegeven: • $(EnvVar) - $(SystemDrive), $(SystemRoot) • %EnvVar% - %SystemRoot%, %SystemDriver% Niet alle door het systeem gedefinieerde omgevingsvariabelen kunnen worden opgeroepen met de $(var)-syntaxis, met name omgevingsvariabelen die de tekens or bevatten. U kunt de syntaxis %var% gebruiken om dit probleem te voorkomen. Gebruikersomgevingsvariabelen worden niet ondersteund.

U kunt de tekens ?, * en ** als jokertekens gebruiken. Als u het regeltype Registersleutel of Registerwaarde hebt geselecteerd...

Gebruik basissleutels om registerwaarden en -sleutels te definiëren. De volgende basissleutels worden ondersteund: • HKLM of HKEY_LOCAL_MACHINE • HKCU of HKEY_CURRENT_USER • HKCR of HKEY_CLASSES_ROOT • HKCCS komt overeen met HKLM/SYSTEM/CurrentControlSet en HKLM/SYSTEM/ControlSet00X • HKLMS komt overeen met HKLM/Software op 32- en 64-bits systemen, en HKLM/Software/Wow6432Node alleen op 64-bits systemen • HKCUS komt overeen met HKCU/Software op 32-bits en 64-bits systemen, en HKCU/Software/Wow6432Node alleen op 64-bits systemen • HKULM behandeld als HKLM en HKCU • HKULMS behandeld als HKLMS en HKCUS • HKALL behandeld als HKLM en HKU U kunt de tekens ?, * en ** als jokertekens gebruiken en | (pijp) als escapeteken.

138


Producthandleiding

7


Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken Hiermee wordt een uitvoerbaar bestand toegevoegd of bewerkt. Tabel 7-13 Optie

Definitie

Naam

Hiermee wordt de naam opgegeven van het uitvoerbare bestand. Dit veld is verplicht met ten minste één ander veld: Bestandsnaam of -pad, MD5 hash of Ondertekenaar.

Opnamestatus

Hiermee wordt de opnamestatus voor het uitvoerbare bestand bepaald. Opnamestatus wordt alleen weergegeven wanneer u een uitvoerbaar bestand aan een regel toevoegt.

• Opnemen: geeft aan dat het uitvoerbare bestand overeen kan komen met de opgegeven parameter. • Uitsluiten: geeft aan dat het uitvoerbare bestand niet overeen moet komen met de opgegeven parameter. Bestandsnaam of -pad

Hiermee wordt de naam of het pad opgegeven van het uitvoerbare bestand dat moet worden toegevoegd of bewerkt. Klik op Bladeren om het uitvoerbare bestand te selecteren. Het bestandspad mag jokertekens bevatten.

MD5 hash

Hiermee wordt de MD5-hash (32-cijferige hexadecimale nummer) van het proces aangegeven.

Ondertekenaar

Controle op digitale handtekening inschakelen — Hiermee wordt gegarandeerd dat code niet is gewijzigd of beschadigd sinds de code is ondertekend met een cryptografische hash. Als de optie is ingeschakeld, geeft u het volgende op: • Elke handtekening toestaan: hiermee worden bestanden toegestaan die zijn ondertekend door een willekeurige procesondertekenaar. • Ondertekend door: hiermee worden alleen bestanden toegestaan die zijn ondertekend door de opgegeven procesondertekenaar. Een SDN (Signer Distinguished Name) voor het uitvoerbare bestand is vereist en moet exact overeenkomen met de invoer in het bijbehorende veld, inclusief komma's en spaties. Zo haalt u de SDN van een uitvoerbaar bestand op: 1 Klik met de rechtermuisknop op een uitvoerbaar bestand en selecteer Eigenschappen. 2 Selecteer een ondertekenaar op het tabblad Digitale handtekeningen en klik op Details. 3 Klik op het tabblad Algemeen op Certificaat weergeven. 4 Selecteer op het tabblad Details het veld Onderwerp. De Signer Distinguished Name wordt weergegeven. Firefox heeft bijvoorbeeld de volgende Signer Distinguished Name:

Opmerkingen

• CN = Mozilla Corporation

• L = Mountain View

• OU = Release Engineering

• S = California

• O = Mozilla Corporation

• C = US



Producthandleiding

139

7

Referentie van clientinterface Bedreigingspreventie — Exploitpreventie

Zie ook Pagina Regel toevoegen of Regel bewerken op pagina 133

Bedreigingspreventie — Exploitpreventie Hiermee wordt Exploitpreventie ingeschakeld en geconfigureerd om te voorkomen dat willekeurige code op uw computer wordt uitgevoerd via onrechtmatig gebruik van bufferoverloop. Zie Gedeelde instellingen: opties op pagina 116 instellingen voor configuratie van logboekregistratie. Host Intrusion Prevention 8.0 kan worden geïnstalleerd op hetzelfde systeem als Endpoint Security 10.1. Als McAfee Host IPS ingeschakeld is, wordt Exploitpreventie uitgeschakeld, ook al is deze ingeschakeld in de beleidsinstellingen.

Tabel 7-14 Sectie

Optie

Definitie

EXPLOITPREVENTIE Exploitpreventie inschakelen Hiermee wordt de functie Exploitpreventie ingeschakeld. Als u deze functie niet inschakelt, wordt uw systeem niet beschermd tegen malwareaanvallen.


Optie

Definitie Hiermee wordt het beschermingsniveau Exploitpreventie opgegeven.

Beveiligingsniveau Standaard

Hiermee worden alleen ernstige bufferoverloopexploits gedetecteerd en geblokkeerd die in het inhoudsbestand van Exploitpreventie zijn gedetecteerd, en wordt de gedetecteerde bedreiging gestopt. Gebruik de functie enige tijd in modus Standaard. Bepaal vervolgens aan de hand van het logboek of u moet overschakelen naar Maximumbeveiliging.

Maximum

Hiermee worden alleen ernstige en gemiddelde bufferoverloopexploits gedetecteerd en geblokkeerd die in het inhoudsbestand van exploitpreventie zijn gedetecteerd, en wordt de gedetecteerde bedreiging gestopt. Deze instelling kan resulteren in valse positieven.

Windows Preventie van gegevensuitvoering

Windows Preventie van gegevensuitvoering inschakelen

Actie

Hiermee wordt Windows Preventie van gegevensuitvoering ingeschakeld. (Standaard uitgeschakeld) Het uitschakelen van deze optie heeft geen effect op processen waarvoor DEP is ingeschakeld als resultaat van het Windows DEP-beleid.

Hiermee worden de acties Blokkeren of Rapporteren voor Exploitpreventie opgegeven. De instelling Rapporteren is niet van toepassing wanneer Windows Preventie van gegevensuitvoering is ingeschakeld.

140


Producthandleiding

7

Referentie van clientinterface Bedreigingspreventie — Exploitpreventie


Optie

Definitie

Blokkeren

Hiermee wordt het opgegeven proces geblokkeerd. Selecteer Blokkeren om Exploitpreventie in te schakelen of hef de selectie op om Exploitpreventie uit te schakelen. Als u toegangspogingen wilt blokkeren zonder dat deze worden vastgelegd in het logboek, selecteert u Blokkeren, maar schakelt u Rapporteren niet in.

Rapporteren

Hiermee kunt u pogingen om inbreuk op Exploitpreventie rapporteren. Als een inbreuk wordt gedetecteerd, wordt er informatie vastgelegd in het activiteitslogboek. Schakel Rapporteren in en zorg ervoor dat de optie Blokkeren is uitgeschakeld als een waarschuwing wilt ontvangen, zonder dat de toegang wordt geblokkeerd. Dit kan nuttig zijn als de volledige uitwerking van een regel niet bekend is. Controleer de logboeken en rapporten enige tijd om te bepalen of u de toegang wilt blokkeren.

Hiermee wordt de naam van het proces opgegeven dat eigenaar is van het schrijfgeheugen van waaruit de aanroep plaatsvindt.

Uitsluitingen

Uitsluitingen met Aanroepmodule of API gelden niet voor Windows Preventie van gegevensuitvoering.

Toevoegen

Hiermee wordt een proces aan de lijst met uitsluitingen toegevoegd. Voer de naam van het proces of de naam van het proces met het pad in. Uitsluitingen zijn hoofdlettergevoelig en jokertekens zijn niet toegestaan.



Verwijderen

Hiermee wordt het geselecteerde item verwijderd.

Proces

Hiermee wordt de naam opgegeven van het proces dat moet worden uitgesloten. Exploitpreventie sluit het proces uit, ongeacht de locatie.

Aanroepmodule

Hiermee wordt de naam opgegeven van de module die eigenaar is van het schrijfbare geheugen dat de aanroep doet.

API

Hiermee wordt de API (Application Programming Interface) opgegeven die wordt aangeroepen.

Zie ook Configureer instellingen voor Exploitpreventie op pagina 61


Producthandleiding

141

7

Referentie van clientinterface Bedreigingspreventie: Scan bij toegang

Bedreigingspreventie: Scan bij toegang De instellingen voor scannen bij toegang inschakelen en configureren. Zie de instellingen voor Gedeelde instellingen: opties op pagina 116 voor configuratie van logboekregistratie.

Tabel 7-17

Opties

Sectie

Optie

Definitie

SCAN BIJ TOEGANG

Scan bij toegang inschakelen Hiermee wordt de functie Scan bij toegang ingeschakeld. Standaard ingeschakeld. Scannen bij toegang Hiermee wordt de functie Scan bij toegang ingeschakeld inschakelen bij opstarten van wanneer u de computer opstart. systeem Standaard ingeschakeld. Maximumaantal seconden opgeven voor elke bestandsscan

Hiermee wordt elke bestandsscan beperkt tot het opgegeven aantal seconden. Standaard ingeschakeld. Als een scan de tijdslimiet overschrijdt, wordt de scan afgerond en wordt er een bericht in het logboek opgenomen.

Opstartsectoren scannen

Hiermee wordt de opstartsector onderzocht. Standaard ingeschakeld. Wanneer een schijf een unieke of abnormale opstartsector heeft die niet kan worden gescand, kunt u het scannen van de opstartsector uitschakelen.

Processen scannen bij opstarten van service en update van inhoud

Hiermee worden alle processen die momenteel in het geheugen staan, opnieuw gescand wanneer: • U scans bij toegang opnieuw inschakelt. • Inhoudsbestanden worden bijgewerkt. • Het systeem wordt opgestart. • Het McShield.exe-proces wordt gestart. Aangezien sommige programma's of uitvoerbare bestanden automatisch van start gaan wanneer u uw systeem start, kunnen de prestaties van uw systeem vertragen en wordt uw systeem mogelijk trager opgestart wanneer u deze optie inschakelt.

Standaard uitgeschakeld. Wanneer de scanner bij toegang is ingeschakeld, worden alle processen altijd gescand wanneer ze worden uitgevoerd. Vertrouwde installatieprogramma's scannen

Hiermee worden MSI-bestanden (geïnstalleerd door msiexec.exe en ondertekend door McAfee of Microsoft) of servicebestanden van vertrouwde Windows-installatieprogramma's gescand. Standaard uitgeschakeld. Als deze optie is uitgeschakeld, worden de prestaties van installatieprogramma's voor grote Microsoft-toepassingen verbeterd.

142


Producthandleiding

7


Tabel 7-17 Sectie


Definitie

Scannen wanneer tussen lokale mappen wordt gekopieerd

Hiermee worden bestanden gekopieerd telkens wanneer de gebruiker deze van de ene lokale folder naar de andere kopieert. Wanneer deze optie is: • Uitgeschakeld: alleen items in de doelmap worden gescand. • Ingeschakeld: items in zowel bronmap (lezen), als doelmap (schrijven) worden gescand. Standaard uitgeschakeld. Raadpleeg McAfee GTI op pagina 152 voor meer informatie.

McAfee GTI ScriptScan

ScriptScan inschakelen

Hiermee wordt het scannen van JavaScript- en VBScript-scripts ingeschakeld, zodat ongewenste scripts niet kunnen worden uitgevoerd. Standaard ingeschakeld. Als ScriptScan is uitgeschakeld wanneer Internet Explorer wordt gestart en vervolgens wordt ingeschakeld, worden geen schadelijke scripts in dat exemplaar van Internet Explorer gedetecteerd. Nadat u ScriptScan hebt ingeschakeld, moet u Internet Explorer opnieuw starten zodat schadelijke scripts worden gedetecteerd.


Optie

Gebruikersberichten Het venster Scan bij toegang bij bedreigingsdetectie aan gebruikers tonen wanneer een bedreiging wordt gedetecteerd

Definitie Hiermee wordt de pagina Scan bij toegang met het opgegeven bericht weergegeven aan clientgebruikers wanneer er een detectie plaatsvindt. Standaard ingeschakeld. Wanneer deze optie is geselecteerd, kunnen gebruikers deze pagina openen vanuit de pagina Nu scannen, telkens wanneer de detectielijst ten minste één bedreiging bevat. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart.

Bericht

Hiermee wordt het bericht opgegeven dat clientgebruikers zien bij detectie. Het standaardbericht is: McAfee Endpoint Security heeft een bedreiging gedetecteerd.

Procesinstellingen

Standaardinstellingen voor alle Hiermee worden dezelfde geconfigureerde instellingen processen gebruiken toegepast op alle processen tijdens een scan bij toegang. Verschillende instellingen voor Hiermee worden verschillende scaninstellingen processen met Hoog risico en geconfigureerd voor elk procestype dat u configureert. Laag risico configureren Standaard

Hiermee worden de instellingen geconfigureerd voor processen die niet als hoog of laag risico zijn geïdentificeerd. Standaard ingeschakeld.


Producthandleiding

143

7



Scannen

Optie

Definitie

Hoog risico

Hiermee worden de instellingen geconfigureerd voor processen met een hoog risico.

Laag risico

Hiermee worden de instellingen geconfigureerd voor processen met een laag risico.

Toevoegen

Hiermee wordt een proces aan de lijst Hoog risico of Laag risico toegevoegd.

Verwijderen

Hiermee wordt een proces van de lijst Hoog risico of Laag risico verwijderd.

Wanneer scannen Bij schrijven naar schijf

Hiermee wordt geprobeerd alle bestanden te scannen wanneer deze naar de computer of een ander apparaat voor gegevensopslag worden geschreven of wanneer deze daarop worden gewijzigd. Omdat de scan mogelijk niet lukt als het bestand naar de schijf wordt geschreven, raden wij ten zeerste aan om Bij lezen van schijf in te schakelen.

Bij lezen van schijf

Hiermee worden alle bestanden gescand wanneer deze vanaf de computer of een ander apparaat voor gegevensopslag worden gelezen. We raden ten sterkste aan om deze optie in te schakelen.

Laat McAfee beslissen

Staat McAfee toe te beslissen of een bestand moet worden gescand. Daarbij wordt vertrouwenslogica gebruikt om het scannen te optimaliseren. Vertrouwenslogica verbetert uw beveiliging en prestaties doordat onnodig scannen wordt vermeden.

Niet scannen bij lezen van of schrijven naar schijf

Hiermee wordt opgegeven dat alleen processen met Laag risico niet hoeven te worden gescand.

Wat scannen Alle bestanden

Scant alle bestanden, ongeacht extensie. We raden ten sterkste aan om Alle bestanden in te schakelen. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen.

Opgegeven en standaardbestandstypen

Scant: • Standaardlijst met bestandsextensies die zijn gedefinieerd in het huidige AMCore-inhoudsbestand, inclusief bestanden zonder extensie • Eventuele extra bestandsextensies die u opgeeft Scheid extensies van elkaar met een komma. • (Optioneel) Bekende macrobedreigingen in de lijst met standaard en opgegeven bestandsextensies Raadpleeg voor de lijst met standaard bestandstypen voor Macintosh-systemen het KnowledgeBase-artikel KB84411.

144


Producthandleiding

7



Optie

Definitie

Alleen opgegeven bestandstypen

Scant alleen of allebei: • Alleen bestanden met de (door komma's gescheiden) extensies die u specificeert • Alle bestanden zonder extensie

Op netwerkstations

Hiermee worden bronnen op toegewezen netwerkstations gescand. Het scannen van netwerkbronnen kan van invloed zijn op de prestaties.

Geopend voor back-ups

Scant bestanden wanneer deze worden geopend door back-upsoftware. Voor de meeste omgevingen wordt het afgeraden deze instelling in te schakelen.

Gecomprimeerde archiefbestanden

Onderzoekt de inhoud van archiefbestanden (gecomprimeerde bestanden), waaronder JAR-bestanden. Aangezien het scannen van gecomprimeerde bestanden een negatieve invloed op systeemprestaties kan hebben, raden we aan om deze optie in scans buiten werkuren te gebruiken.

Gecomprimeerde bestanden met MIME-codering

Detecteert, decodeert en scant bestanden met MIME-codering (Multipurpose Internet Mail Extensions) (Apple Mail-berichten op Macintosh-systemen).

Aanvullende scanopties Ongewenste programma's detecteren

Hiermee kan de scanner mogelijk ongewenste programma's detecteren. De scanner maakt gebruik van de informatie die u in de instellingen voor Bedreigingspreventie van Bedreigingspreventie hebt geconfigureerd voor het detecteren van mogelijk ongewenste programma's.

Onbekende programmabedreigingen detecteren

Gebruikt McAfee GTI om uitvoerbare bestanden te detecteren die code bevatten die op malware lijkt.

Onbekende Gebruikt McAfee GTI om onbekende macrovirussen te macrobedreigingen detecteren detecteren. Acties

Raadpleeg Acties op pagina 153 voor meer informatie.

Uitsluitingen

Met deze functie kunt u bestanden, mappen en stations opgeven die u wilt uitsluiten van scanbewerkingen. Raadpleeg Uitsluiting toevoegen of Uitsluiting bewerken op pagina 155 voor meer informatie. Toevoegen


Hiermee wordt een item aan de uitsluitingslijst toegevoegd.

Producthandleiding

145

7

Referentie van clientinterface Bedreigingspreventie: Scannen op verzoek


ScriptScan

Optie

Definitie

Verwijderen

Hiermee wordt een item uit de uitsluitingslijst verwijderd.

De volgende URL's uitsluiten

Hiermee worden ScriptScan-uitsluitingen per URL opgegeven. Toevoegen: hiermee wordt een URL aan de lijst met uitsluitingen toegevoegd. Verwijderen: hiermee wordt een URL van de lijst met uitsluitingen verwijderd. URL's mogen geen jokertekens bevatten. Een URL die een tekenreeks van een uitgesloten URL bevat, wordt ook uitgesloten. Als de URL msn.com bijvoorbeeld is uitgesloten, zijn de volgende URL's ook uitgesloten: • http://weather.msn.com • http://music.msn.com Op Windows Server 2008-systemen werken ScriptScan URL-uitsluitingen niet met Internet Explorer tenzij u browseruitbreidingen van derden inschakelt en het systeem opnieuw opstart. Zie het KnowledgeBase-artikel KB69526.

Zie ook Configureer de instellingen voor Scannen bij toegang op pagina 65 McAfee GTI op pagina 152 Acties op pagina 153 Uitsluiting toevoegen of Uitsluiting bewerken op pagina 155

Bedreigingspreventie: Scannen op verzoek Configureer de instellingen van Scannen op verzoek voor de vooraf geconfigureerde een aangepaste scans die op uw systeem worden uitgevoerd. Zie de instellingen voor Gedeelde instellingen: opties op pagina 116 voor configuratie van logboekregistratie.

Met deze instellingen wordt de scannerwerking opgegeven wanneer u:

146

•

Volledige scan of Snelle scan selecteert op de pagina Nu scannen in de Endpoint Security-client.

•

Voer als beheerder een aangepaste scan op verzoek uit vanuit Instellingen | Gedeelde instellingen | Taken in de Endpoint Security-client.

•

Klik met de rechtermuisknop op een bestand of map en selecteer Scannen op bedreigingen in het pop-upmenu.


Producthandleiding

7


Tabel 7-19

Opties

Sectie

Optie

Definitie

Wat scannen

Opstartsectoren

Hiermee wordt de opstartsector onderzocht. Wanneer een schijf een unieke of abnormale opstartsector heeft die niet kan worden gescand, kunt u het scannen van de opstartsector uitschakelen.

Bestanden die zijn gemigreerd naar opslag

Scant bestanden die worden beheerd door Externe opslag. Sommige offline oplossingen voor gegevensopslag vervangen bestanden door een stub-bestand. Wanneer de scanner een stub-bestand detecteert, wat aangeeft dat het bestand is gemigreerd, herstelt de scanner het bestand naar het lokale systeem voordat de scan wordt hervat. We raden u aan deze optie uit te schakelen.

Gecomprimeerde bestanden met MIME-codering

Detecteert, decodeert en scant bestanden met MIME-codering (Multipurpose Internet Mail Extensions) (Apple Mail-berichten op Macintosh-systemen).

Gecomprimeerde archiefbestanden

Onderzoekt de inhoud van archiefbestanden (gecomprimeerde bestanden), waaronder JAR-bestanden. Aangezien het scannen van gecomprimeerde bestanden een negatieve invloed op systeemprestaties kan hebben, raden we aan om deze optie in scans buiten werkuren te gebruiken.

Aanvullende scanopties

Submappen (alleen Rechtermuisknopscan)

Onderzoekt alle submappen van de opgegeven map.

Ongewenste programma's detecteren

Hiermee kan de scanner mogelijk ongewenste programma's detecteren. De scanner maakt gebruik van de informatie die u in de instellingen voor Bedreigingspreventie van Bedreigingspreventie hebt geconfigureerd voor het detecteren van mogelijk ongewenste programma's.

Scanlocaties

Onbekende programmabedreigingen detecteren

Gebruikt McAfee GTI om uitvoerbare bestanden te detecteren die code bevatten die op malware lijkt.

Onbekende macrobedreigingen detecteren

Gebruikt McAfee GTI om onbekende macrovirussen te detecteren.

(Alleen Volledige scan en Snelle scan)

Raadpleeg Scanlocaties op pagina 150 voor meer informatie. Deze opties zijn alleen van toepassing op Volledige scan, Snelle scan en aangepaste scans.

Bestandstypen die Alle bestanden moeten worden gescand

Scant alle bestanden, ongeacht extensie. McAfee raadt ten sterkste aan om Alle bestanden in te schakelen. We raden ten sterkste aan om Alle bestanden in te schakelen. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen.


Producthandleiding

147

7


Tabel 7-19 Sectie


Definitie

Opgegeven en standaardbestandstypen

Scant: • Standaardlijst met bestandsextensies die zijn gedefinieerd in het huidige AMCore-inhoudsbestand, inclusief bestanden zonder extensie • Eventuele extra bestandsextensies die u opgeeft Scheid extensies van elkaar met een komma. • (Optioneel) Bekende macrobedreigingen in de lijst met standaard en opgegeven bestandsextensies Raadpleeg voor de lijst met standaard bestandstypen voor Macintosh-systemen het KnowledgeBase-artikel KB84411.

Alleen opgegeven bestandstypen

Scant alleen of allebei: • Alleen bestanden met de (door komma's gescheiden) extensies die u specificeert • Alle bestanden zonder extensie

McAfee GTI

Raadpleeg McAfee GTI op pagina 152 voor meer informatie.

Uitsluitingen

Met deze functie kunt u bestanden, mappen en stations opgeven die u wilt uitsluiten van scanbewerkingen. Raadpleeg Uitsluiting toevoegen of Uitsluiting bewerken op pagina 155 voor meer informatie. Toevoegen

Hiermee wordt een item aan de uitsluitingslijst toegevoegd.

Verwijderen

Hiermee wordt een item uit de uitsluitingslijst verwijderd. Raadpleeg Acties op pagina 153 voor meer informatie.

Acties Prestaties

De scancache gebruiken

Hiermee kan de scanner de bestaande schone scanresultaten gebruiken. Selecteer deze optie om dubbele scans te reduceren en prestaties te verbeteren.

Systeemgebruik

Hiermee kan het besturingssysteem de hoeveelheid CPU-tijd instellen die beschikbaar wordt gesteld aan de scanner tijdens de scan. Elke taak wordt onafhankelijk uitgevoerd, zonder rekening te houden met de beperkingen voor andere taken.

• Laag: biedt verbeterde prestaties voor andere actieve toepassingen. Selecteer deze optie voor systemen met activiteit van eindgebruikers.

• Lager dan normaal: stelt het systeem gebruik voor de scan in op de standaardinstelling van McAfee ePO. • Normaal (standaard): hiermee kan de scan sneller worden uitgevoerd. Selecteer deze optie voor systemen met grote volumes en weinig activiteit van eindgebruikers.

148


Producthandleiding

7


Tabel 7-19 Sectie


Opties voor geplande scan

Definitie Deze opties zijn alleen van toepassing op Volledige scan, Snelle scan en aangepaste scans.

Alleen scannen wanneer het systeem niet actief is

Voert de scan alleen uit wanneer de gebruiker niet actief is. Bedreigingspreventie pauzeert de scan wanneer de gebruiker het systeem activeert met het toetsenbord of de muis. Bedreigingspreventie hervat de scan wanneer de gebruiker (en CPU) vijf minuten niet actief is. McAfee raadt aan om deze optie alleen uit te schakelen op serversystemen en systemen waartoe gebruikers toegang krijgen via Verbinding met extern bureaublad. Bedreigingspreventie is afhankelijk van McTray om te bepalen of het systeem inactief is. Op systemen die alleen toegankelijk zijn via Verbinding met extern bureaublad, wordt McTray niet gestart en wordt de scan op verzoek nooit uitgevoerd.

Gebruikers kunnen dit probleem oplossen door McTray (standaard in C:\Program Files\McAfee \Agent\mctray.exe) handmatig te starten wanneer zij zich aanmelden via Verbinding met extern bureaublad. Op elk moment scannen

Voert de scan ook uit als de gebruiker actief is en opties voor de scan opgeeft. Gebruiker kan scan uitstellen: hiermee kan de gebruiker geplande scans uitstellen en opties voor het uitstellen van scans instellen. • Maximumaantal keren dat gebruiker per uur kan uitstellen: geeft aan hoe vaak (1-23 keer) de gebruiker de scan één uur kan uitstellen. • Gebruikersbericht: geeft het bericht op dat moet worden weergegeven wanneer een scan wordt gestart. Het standaardbericht is: McAfee Endpoint Security staat op het punt uw systeem te scannen. • Berichtduur (seconden): geeft aan hoe lang het bericht wordt weergegeven (in seconden) wanneer een scan wordt gestart. Het geldige bereik voor de duur is 30–300; de standaardinstelling is 45 seconden. Niet scannen als het systeem in presentatiemodus staat: hiermee wordt de scan uitgesteld wanneer de presentatiemodus van het systeem actief is.

Niet scannen als het systeem Stelt de scan uit wanneer het systeem op batterijen werkt. op batterijvermogen draait


Producthandleiding

149

7

Referentie van clientinterface Scanlocaties

Zie ook instellingen voor Scan op verzoek configureren op pagina 70 Scantaken configureren, plannen en uitvoeren op pagina 75 Een Volledige scan of Snelle scan uitvoeren op pagina 42 Een bestand of map scannen op pagina 44 Scanlocaties op pagina 150 McAfee GTI op pagina 152 Acties op pagina 153 Uitsluiting toevoegen of Uitsluiting bewerken op pagina 155

Scanlocaties Geef de locaties op die moeten worden gescand. Deze opties zijn alleen van toepassing op Volledige scan, Snelle scan en aangepaste scans.

Tabel 7-20 Sectie

Opties Optie

Scanlocaties Submappen scannen

Definitie Onderzoekt alle submappen in de opgegeven volumes wanneer een van de volgende opties is geselecteerd: • Basismap

• Map Temp

• Profielmap gebruiker

• Station of map

• Map Programmabestanden Schakel deze optie uit als u alleen de hoofdmap van de volumes wilt scannen.

Locaties opgeven

Hiermee worden de locaties opgegeven die moeten worden gescand. Toevoegen

Hiermee wordt een locatie aan de scan toegevoegd. Klik op Toevoegen en selecteer vervolgens de locatie in de vervolgkeuzelijst.



Verwijderen

Hiermee wordt een locatie van de scan verwijderd. Selecteer de locatie en klik op Verwijderen.

Geheugen voor rootkits

Scant het systeemgeheugen op geïnstalleerde rootkits, verborgen processen en ander gedrag dat kan wijzen op de aanwezigheid van verborgen malware. Deze scan wordt uitgevoerd vóór alle andere scans. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen.

150


Producthandleiding

Referentie van clientinterface Scanlocaties

Tabel 7-20 Sectie

7


Definitie

Actieve processen

Scant het geheugen van alle actieve processen. Andere acties dan Bestanden opschonen worden behandeld als Doorgaan met scannen. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen.

Geregistreerde bestanden

Scant de bestanden waarnaar het Windows-register verwijst. De scanner zoekt eerst naar bestandsnamen in het register, bepaalt of de bestanden bestaan, maakt een lijst met te scannen bestanden en scant de bestanden vervolgens.

Deze computer

Scant alle stations die fysiek zijn verbonden met uw computer of die zijn toegewezen aan een stationsletter op uw computer.

Alle lokale stations

Scant alle stations en submappen op uw computer.

Alle vaste stations

Scant alle stations die een fysieke verbinding met de computer hebben.

Alle verwisselbare stations Scant alle verwisselbare stations of andere opslagapparatuur die op de computer zijn aangesloten. Alle toegewezen stations

Scant de netwerkstations die aan een netwerkschijf op uw computer zijn toegewezen.

Basismap

Scant de basismap van de gebruiker die de scan start.

Profielmap gebruiker

Scant het profiel van de gebruiker die de scan start, inclusief de map Mijn documenten van de gebruiker.

Windows-map

Scant de inhoud van de Windows-map.

Map Programmabestanden Scant de inhoud van de map Program Files. Map Temp

Scant de inhoud van de map Temp.

Prullenbak

Scant de inhoud van de prullenbak.

Bestand of map

Scant het opgegeven bestand of de opgegeven map.

Zie ook Bedreigingspreventie: Scannen op verzoek op pagina 146


Producthandleiding

151

7

Referentie van clientinterface McAfee GTI

McAfee GTI Hiermee worden de McAfee GTI-instellingen ingeschakeld en geconfigureerd. Tabel 7-21 Sectie

Optie

Definitie Hiermee worden heuristische controles in- en uitgeschakeld.

McAfee GTI inschakelen

• Wanneer de optie is ingeschakeld, worden vingerafdrukken van voorbeelden, of hashes, ingediend bij McAfee Labs om te bepalen of het malware betreft. Door hashes in te dienen is detectie mogelijk eerder beschikbaar dan de volgende uitgave van AMCore-inhoudsbestanden, wanneer McAfee Labs de update publiceert. • Wanneer de optie is uitgeschakeld, worden geen vingerafdrukken of gegevens ingediend bij McAfee Labs. Hiermee wordt het gevoeligheidsniveau geconfigureerd dat moet worden gebruikt wanneer wordt vastgesteld of een gedetecteerd voorbeeld malware is.

Gevoeligheidsniveau

Hoe hoger het gevoeligheidsniveau, hoe hoger het aantal malwaredetecties. Als u meer detecties toestaat, krijgt u echter ook mogelijk meer valse positieve resultaten.

Zeer laag

De detecties en het risico op valse positieven zijn hetzelfde als met reguliere AMCore-inhoudsbestanden. Een detectie kan beschikbaar worden gemaakt aan Bedreigingspreventie als deze door McAfee Labs wordt gepubliceerd, in plaats van te wachten op de volgende update van AMCore-inhoudsbestanden. Gebruik deze instelling voor desktops en servers met beperkte gebruikersrechten en een sterke beveiliging. Deze instelling resulteert in gemiddeld 10-15 query's per dag per computer.

Laag

Gebruik minimaal deze instelling voor laptops of desktops en servers met een sterke beveiliging. Deze instelling resulteert in gemiddeld 10-15 query's per dag per computer.

Gemiddeld Gebruik dit niveau wanneer het gewone risico op blootstelling aan malware groter is dan het risico op een valse positief. De eigen heuristische controle van McAfee Labs leidt tot detecties die waarschijnlijk malware zijn. Sommige detecties kunnen echter een vals positief resultaat opleveren. Met deze instelling controleert McAfee Labs of detecties geen valse positieven veroorzaken bij veelgebruikte toepassingen en besturingssysteembestanden. Gebruik minimaal deze instelling voor laptops of desktops en servers. Deze instelling resulteert in gemiddeld 20–25 query's per dag per computer.

152


Producthandleiding

7

Referentie van clientinterface Acties

Tabel 7-21

(vervolg)

Sectie

Optie

Definitie

Hoog

Gebruik deze instelling voor implementatie op systemen of in gebieden die regelmatig worden geïnfecteerd. Deze instelling resulteert in gemiddeld 20–25 query's per dag per computer.

Zeer hoog McAfee raadt aan dit niveau alleen te gebruiken om volumes en directory's te scannen die het uitvoeren van programma's of besturingssystemen niet ondersteunen. Detecties die met dit niveau worden gevonden, worden verondersteld kwaadwillend te zijn, maar zijn niet voldoende getest om te bepalen of het geen valse positieven zijn.

Gebruik deze instelling voor scans op verzoek op volumes die niet van het besturingssysteem zijn. Gebruik deze instelling op volumes die niet van het besturingssysteem zijn. Deze instelling resulteert in gemiddeld 20–25 query's per dag per computer. Zie ook Bedreigingspreventie: Scan bij toegang op pagina 142 Bedreigingspreventie: Scannen op verzoek op pagina 146 Webcontrole — Opties op pagina 171

Acties Specificeer hoe de scanner reageert wanneer een bedreiging wordt gedetecteerd. Tabel 7-22

Opties

Sectie

Optie

Definitie

Scantype Scan bij toegang

Hiermee wordt de eerste actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een bedreiging.

Eerste reactie bij bedreigingsdetectie


Scannen op verzoek

Toegang tot bestanden weigeren

Hiermee wordt voorkomen dat gebruikers toegang krijgen tot bestanden met potentiële bedreigingen.

Doorgaan met scannen

Hiermee wordt het scannen van bestanden voortgezet wanneer een bedreiging wordt gedetecteerd. De scanner plaatst items niet in quarantaine.

Bestanden opschonen

Hiermee wordt de bedreiging indien mogelijk uit het gedetecteerde bestand verwijderd.

Bestanden verwijderen

Hiermee worden bestanden met mogelijke bedreigingen verwijderd.

Producthandleiding

153

7

Referentie van clientinterface Acties

Tabel 7-22

Opties (vervolg)

Sectie

Optie

Definitie


Scannen op verzoek

Hiermee wordt de actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een bedreiging, als de eerste actie mislukt.

Als eerste reactie mislukt






Hiermee worden bestanden met mogelijke bedreigingen verwijderd. Hiermee wordt de eerste actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een mogelijk ongewenst programma.

Eerste reactie bij ongewenst programma

Deze optie is alleen beschikbaar als Ongewenste programma's detecteren is geselecteerd.



Toegang tot bestanden toestaan

Hiermee krijgen gebruikers toegang tot bestanden met potentiële bedreigingen.



Bestanden opschonen

Hiermee wordt de bedreiging indien mogelijk uit het mogelijk ongewenste programma verwijderd.


Hiermee worden mogelijk ongewenste programma's verwijderd.

Als eerste reactie mislukt

Hiermee wordt de actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een mogelijk ongewenst programma en als de eerste actie mislukt. Deze optie is alleen beschikbaar als Ongewenste programma's detecteren is geselecteerd.

154


Producthandleiding

Referentie van clientinterface Uitsluiting toevoegen of Uitsluiting bewerken

Tabel 7-22

7

Opties (vervolg)

Sectie

Optie

Definitie




Toegang tot bestanden toestaan

Hiermee krijgen gebruikers toegang tot bestanden met potentiële bedreigingen.




Hiermee worden mogelijk ongewenste programma's automatisch verwijderd.

Scannen op verzoek

Zie ook Bedreigingspreventie: Scan bij toegang op pagina 142 Bedreigingspreventie: Scannen op verzoek op pagina 146

Uitsluiting toevoegen of Uitsluiting bewerken Een uitsluitingsdefinitie toevoegen of bewerken. Tabel 7-23 Sectie

Opties

Optie

Definitie

Scantype Bij toegang Op aanvraag

Wat uitsluiten

Specificeert het type uitsluiting en de details voor de uitsluiting. Bestandsnaam of -pad

Specificeert de bestandsnaam of het bestandspad dat moet worden uitgesloten. Het bestandspad mag jokertekens bevatten. Als u een map op Windows-systemen wilt uitsluiten, voegt u een backslash (\) toe aan het pad. Als u een map op Mac-systemen wilt uitsluiten, voegt u een slash (/) toe aan het pad.

Selecteer indien nodig Submappen ook uitsluiten. Bestandstype

Geeft de bestandstypen (bestandsextensies) op die moeten worden uitgesloten.

Bestandsdatum

Specificeert het toegangstype (Gewijzigd, Opgeroepen of Gemaakt) van bestanden die moeten worden uitgesloten, en de Minimumleeftijd in dagen.


Producthandleiding

155

7

Referentie van clientinterface Bedreigingspreventie — Opties

Tabel 7-23 Sectie

Opties (vervolg)

Optie

Definitie

Scantype Bij toegang Op aanvraag

Geeft op wanneer het geselecteerde item moet worden uitgesloten.

Wanneer uitsluiten Bij schrijven naar schijf of lezen van schijf

Hiermee worden bestanden uitgesloten van scans wanneer ze worden geschreven naar of gelezen van schijf of een ander apparaat voor gegevensopslag.

Bij lezen van schijf

Hiermee worden bestanden uitgesloten van scans wanneer ze worden gelezen van de computer of een ander apparaat voor gegevensopslag.

Bij schrijven naar schijf

Hiermee worden bestanden uitgesloten van scans wanneer ze worden geschreven naar of gewijzigd op de schijf of een ander apparaat voor gegevensopslag.

Zie ook Bedreigingspreventie: Scan bij toegang op pagina 142 Bedreigingspreventie: Scannen op verzoek op pagina 146 Jokertekens in uitsluitingen op pagina 51 Uitsluitingen configureren op pagina 50

Bedreigingspreventie — Opties Configureer de instellingen die van toepassing zijn op de functie Bedreigingspreventie, waaronder de quarantaine, mogelijk ongewenste programma's en uitsluitingen. Zie de instellingen voor Gedeelde instellingen: opties op pagina 116 voor configuratie van logboekregistratie. Deze sectie bevat alleen Geavanceerde opties.

Tabel 7-24

Geavanceerde opties

Sectie

Optie

Definitie

Quarantainebeheerder

Quarantainemap

Hiermee wordt de locatie voor de quarantainemap opgegeven of wordt de standaardlocatie geaccepteerd: c:\Quarantaine De quarantainemap is beperkt tot 190 tekens.

Geef het maximumaantal dagen op waarvoor quarantainegegevens moeten worden bewaard

156


Hiermee wordt het aantal dagen (1–999) opgegeven waarna items in de quarantaine automatisch worden verwijderd. De standaardinstelling is 30 dagen.

Producthandleiding

7

Referentie van clientinterface Bedreigingspreventie — Opties

Tabel 7-24

Geavanceerde opties (vervolg)

Sectie

Optie

Definitie

Uitsluitingen per detectienaam

De volgende detectienamen uitsluiten

Hiermee worden detectie-uitsluitingen op naam van de detectie opgegeven. Als u bijvoorbeeld wilt opgeven dat de scanner bij toegang en de scanner op verzoek niet bedreigingen van het type Installatiecontrole moeten detecteren, voert u Installatiecontrole in. Toevoegen: hiermee wordt een detectienaam aan de lijst met uitsluitingen toegevoegd. Klik op Toevoegen en voer vervolgens de detectienaam in. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt een detectienaam van de lijst met uitsluitingen verwijderd. Selecteer de naam en klik vervolgens op Verwijderen.

Detecties van mogelijk ongewenste programma's

Aangepaste ongewenste programma's uitsluiten

Hiermee worden afzonderlijke bestanden of programma's opgegeven die als mogelijk ongewenste programma's moeten worden behandeld. De scanners detecteren de programma's die u opgeeft, evenals de programma's die in de AMCore-inhoudsbestanden zijn opgegeven. De scanner detecteert geen zero-byte door de gebruiker gedefinieerd ongewenst programma.

• Toevoegen: hiermee wordt een aangepast ongewenst programma gedefinieerd. klik op Toevoegen, voer de naam in en druk vervolgens op Tab om de beschrijving in te voeren. • Naam : hiermee wordt de bestandsnaam van het mogelijk ongewenste programma opgegeven. • Beschrijving: hiermee wordt de informatie opgegeven die moet worden weergegeven als de detectienaam bij detectie. • Dubbelklik op een item — Hiermee wordt het geselecteerde item gewijzigd. • Verwijderen: hiermee wordt een mogelijk ongewenst programma van de lijst verwijderd. Selecteer het programma in de tabel en klik vervolgens op Verwijderen. Hiermee worden anonieme diagnostische en gebruiksgegevens naar McAfee verzonden.

Proactieve gegevensanalyse McAfee GTI-feedback


Hiermee wordt telemetriefeedback op basis van McAfee GTIingeschakeld waarbij anonieme gegevens worden verzameld over bestanden en processen die worden uitgevoerd op het clientsysteem.

Producthandleiding

157

7

Referentie van clientinterface AMCore-inhoud terugzetten

Tabel 7-24 Sectie

Geavanceerde opties (vervolg) Optie

Definitie

Veiligheidspuls

Hierbij wordt voor en na AMCore-inhoudsbestandsupdates en met regelmatige tussenpozen een statuscontrole uitgevoerd op het clientsysteem, waarvan de resultaten naar McAfee worden gestuurd. De resultaten worden versleuteld en via SSL naar McAfee verzonden. Vervolgens verzamelt en analyseert McAfee de gegevens uit deze rapporten om afwijkingen te identificeren die mogelijk wijzen op problemen die gerelateerd zijn aan de inhoud. Het snel vaststellen van dergelijke problemen is van essentieel belang om ze tijdig te kunnen beperken en corrigeren. Met Veiligheidspuls worden de volgende typen gegevens verzameld: • Versie en instelling besturingssysteem • McAfee-productversie • AMCore-inhoud en engineversie • Informatie over processen uitgevoerd door McAfee en Microsoft

Reputatie van AMCore-inhoud

Hierbij wordt een bestandsreputatiecontrole van McAfee GTI uitgevoerd op het AMCore-inhoudsbestanden voordat het clientsysteem wordt bijgewerkt. • Als McAfee GTI het bestand toestaat, werkt Endpoint Security de AMCore-inhoud bij. • Als McAfee GTI het bestand niet toestaat, werkt Endpoint Security de AMCore-inhoud niet bij.

Zie ook Algemene scaninstellingen configureren op pagina 64

AMCore-inhoud terugzetten Hiermee wordt AMCore-inhoud hersteld naar een eerdere versie. Optie

Definitie

Te laden versie selecteren

Hiermee wordt het versienummer van een eerder AMCore-inhoudsbestand opgegeven dat moet worden geladen. Endpoint Security bewaart de vorige twee versies op het clientsysteem. Wanneer u overschakelt naar een eerdere versie, verwijdert Endpoint Security de huidige versie van AMCore-inhoud van het systeem.

Zie ook De AMCore-inhoudsversie wijzigen op pagina 27

158


Producthandleiding

Referentie van clientinterface Firewall: opties

7

Firewall: opties Hiermee wordt de module Firewall in- en uitgeschakeld en worden beveiligingsopties ingesteld. Zie de instellingen voor Gedeelde instellingen: opties op pagina 116 voor configuratie van logboekregistratie.

De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Host Intrusion Prevention 8.0 kan worden geïnstalleerd op hetzelfde systeem als Endpoint Security 10.1. Als McAfee Host IPS geïnstalleerd en ingeschakeld is, wordt de Endpoint Security-firewall uitgeschakeld, ook al is deze ingeschakeld in de beleidsinstellingen.

Tabel 7-25 Sectie

Opties Optie

Definitie

Firewall inschakelen

Hiermee wordt de module Firewall in- en uitgeschakeld.

Beveiligingsopties Verkeer voor niet-ondersteunde protocollen toestaan

Hiermee wordt alle verkeer toegestaan dat niet-ondersteunde protocollen gebruikt. Als deze optie is uitgeschakeld, wordt alle verkeer dat niet-ondersteunde protocollen gebruikt, geblokkeerd.

Alleen uitgaand verkeer Hiermee wordt uitgaand verkeer toegestaan, maar geen toestaan totdat inkomend verkeer tot de service Firewall start. firewallservices zijn gestart Als deze optie is uitgeschakeld, staat Firewall al het verkeer toe voordat services zijn gestart. Verkeer via bruggen toestaan

Hiermee wordt verkeer met een MAC-adres in het bereik van ondersteunde VM-software toegestaan dat niet het MAC-adres van het lokale systeem is. Hiermee wordt toegestaan: • Inkomende pakketten met het doel-MAC-adres. • Uitgaande pakketten met het bron-MAC-adres.

Beveiliging tegen IP-spoofing inschakelen

Hiermee wordt netwerkverkeer van niet-lokale host-IP-adressen of van lokale processen die proberen hun IP-adres te vervalsen, geblokkeerd.

Enable dynamic block rules (Dynamische regels voor blokkeren inschakelen)

Hiermee kunnen andere Endpoint Security-modules blokkeringsregels maken en dynamisch toevoegen aan de groep Dynamische regels in de Endpoint Security-client.


(Standaard uitgeschakeld)

Producthandleiding

159

7


Tabel 7-25

Opties (vervolg)

Sectie

Optie

Definitie

Waarschuwingen voor Hiermee worden automatisch waarschuwingen weergegeven firewallinbraak inschakelen wanneer Firewall een potentiële aanval detecteert. DNS-blokkering

Domeinnaam

Hiermee worden de domeinnamen opgegeven die moeten worden geblokkeerd. Indien toegepast voegt deze instelling een regel toe hoog in de firewallregels die verbindingen blokkeert met de IP-adressen die omgezet worden naar de domeinnamen. • Toevoegen: hiermee wordt een domeinnaam aan de lijst Geblokkeerd toegevoegd. Scheid meerdere domeinen met een komma (,) of een Enter-teken. U kunt de jokertekens * en ? gebruiken. Bijvoorbeeld *domein.com. Dubbele vermeldingen worden automatisch verwijderd.

• Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. • Verwijderen: hiermee wordt de geselecteerde domeinnaam van de lijst Geblokkeerd verwijderd.


Optie

Definitie

Aanpassingsopties

Adaptieve modus inschakelen

Hiermee worden automatisch regels gemaakt om verkeer toe te staan. Schakel Adaptieve modus alleen tijdelijk op enkele systemen in bij aanpassen van Firewall. Aangezien het inschakelen van deze modus veel clientregels kan genereren, die de McAfee ePO-server moet verwerken, kunnen de prestaties verslechteren.

Kernnetwerkregels van McAfee uitschakelen

Hiermee worden de ingebouwde netwerkregels van McAfee uitgeschakeld (in de regelgroep Kernnetwerkregels van McAfee). (Standaard uitgeschakeld) Als deze optie wordt ingeschakeld, kan netwerkcommunicatie op de client worden verstoord.

Alle geblokkeerde verkeer registreren

Hiermee wordt al het geblokkeerde verkeer in het Firewall-gebeurtenislogboek (FirewallEventMonitor.log) op de Endpoint Security-client geregistreerd. (Standaard ingeschakeld)

Alle toegestane verkeer registreren

Hiermee wordt al het toegestane verkeer in het Firewall-gebeurtenislogboek (FirewallEventMonitor.log) op de Endpoint Security-client geregistreerd. (Standaard uitgeschakeld) Wanneer u deze optie inschakelt, kan dit een negatieve invloed op prestaties hebben.

160


Producthandleiding

7



Optie

Definitie

McAfee GTI-netwerkreputatie

McAfee GTI-overeenkomst beschouwen als inbraak

Behandelt verkeer dat overeenkomt met de McAfee GTI-drempelwaarde voor blokkering als een inbraak. Als u deze optie inschakelt, ziet u een waarschuwing, wordt een gebeurtenis naar de beheerserver gestuurd en wordt de gebeurtenis toegevoegd aan het logboekbestand van de Endpoint Security-client. (Standaard ingeschakeld) Alle IP-adressen voor vertrouwde netwerken worden van McAfee GTI-opzoekacties uitgesloten.

Overeenkomend verkeer registreren

Behandelt verkeer dat overeenkomt met de McAfee GTI-drempelwaarde voor blokkering als een detectie. Als u deze optie inschakelt, wordt een gebeurtenis naar de beheerserver gestuurd en wordt de gebeurtenis toegevoegd aan het logboekbestand van de Endpoint Security-client. (Standaard ingeschakeld) Alle IP-adressen voor vertrouwde netwerken worden van McAfee GTI-opzoekacties uitgesloten.

Drempelwaarde voor reputatie van inkomend/ uitgaand netwerk

Hiermee wordt de McAfee GTI-drempelwaarde voor classificatie opgegeven om binnenkomend of uitgaand verkeer van een netwerkverbinding te blokkeren. • Niet blokkeren: deze site lijkt een legitieme bron of bestemming van inhoud/verkeer te zijn. • Hoog risico: deze bron/bestemming stuurt of host mogelijk schadelijke inhoud/schadelijk verkeer dat door McAfee als riskant wordt beschouwd. • Middelhoog risico: deze bron/bestemming laat gedrag zien dat McAfee als verdacht beschouwt. Alle inhoud/ verkeer van de site vereist nader onderzoek. • Niet gecontroleerd: deze site lijkt een legitieme bron of bestemming van inhoud/verkeer te zijn, maar heeft ook kenmerken die erop duiden dat verdere controle noodzakelijk is.

Stateful Firewall

FTP-protocolinspectie gebruiken

Hiermee kunnen FTP-verbindingen worden bijgehouden, zodat slechts één firewallregel is vereist voor uitgaand FTP-clientverkeer en binnenkomend FTP-serververkeer. Als de optie niet is geselecteerd, vereisen FTP-verbindingen een afzonderlijke regel voor binnenkomend FTP-clientverkeer en uitgaand FTP-serververkeer.


Producthandleiding

161

7

Referentie van clientinterface Firewall: regels


Optie

Definitie

Aantal seconden (1-240) voordat er een time-out voor de TCP-verbinding optreedt

Hiermee wordt in seconden opgegeven hoelang een niet-gevestigde TCP-verbinding actief blijft als niet langer pakketten worden verzonden of ontvangen die met de verbinding overeenkomen. . Het geldige bereik is 1–240.

Aantal seconden (1-300) voordat er een time-out voor de virtuele UDP- en ICMP-echoverbindingen optreedt

Hiermee wordt in seconden opgegeven hoelang een virtuele UDP- of ICMP-echoverbinding actief blijft als niet langer pakketten worden verzonden of ontvangen die met de verbinding overeenkomen. Deze optie wordt opnieuw ingesteld op de geconfigureerde waarde wanneer een pakket wordt verzonden of ontvangen dat overeenkomt met de virtuele verbinding. . Het geldige bereik is 1–300.

Zie ook Opties van Firewall configureren op pagina 78

Firewall: regels Beheer firewallregels en -groepen. U kunt regels en groepen alleen in de groep Gebruiker toegevoegd toevoegen en verwijderen. Firewall verplaatst toegevoegde regels automatisch naar deze groep.

Tabel 7-27 Opties Sectie Optie

Definitie

REGELS Regel toevoegen

Hiermee wordt een firewallregel gemaakt.

Regel Groep

Raadpleeg Regel toevoegen of Regel bewerken, Groep toevoegen of Groep bewerken op pagina 163 voor meer informatie. Groep toevoegen

Hiermee wordt een firewallgroep gemaakt.



Dupliceren

Hiermee wordt een kopie van het geselecteerde item gemaakt.

Verwijderen

Hiermee wordt een geselecteerd firewallitem verwijderd. Hiermee worden elementen aangegeven die in de lijst kunnen worden verplaatst. Selecteer elementen en sleep ze naar de nieuwe locatie. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten.

Zie ook Firewall -regels en -groepen maken en beheren op pagina 86 Regel toevoegen of Regel bewerken, Groep toevoegen of Groep bewerken op pagina 163

162


Producthandleiding

7


Regel toevoegen of Regel bewerken, Groep toevoegen of Groep bewerken Firewallregels en -groepen toevoegen of bewerken. Tabel 7-28

Opties

Sectie

Optie

Definitie

Regel Groep

Beschrijving

Naam

Hiermee wordt de beschrijving van het item opgegeven (verplicht).

Status

Hiermee wordt het item in- of uitgeschakeld.

Acties opgeven

Toestaan: hiermee wordt verkeer door de firewall toegestaan als het item overeenkomt. Block (Blokkeren): hiermee wordt verkeer door de firewall geblokkeerd als het item overeenkomt. Overeenkomst beschouwen als inbraak: hiermee wordt verkeer dat overeenkomt met de regel als een inbraak beschouwd. Als u deze optie inschakelt, ziet u een waarschuwing, wordt een gebeurtenis naar de beheerserver gestuurd en wordt de gebeurtenis toegevoegd aan het logboekbestand van de Endpoint Security-client. Het wordt afgeraden deze optie in te schakelen voor een Toestaan-regel omdat dit leidt tot veel gebeurtenissen.

Overeenkomend verkeer registreren: hiermee wordt verkeer dat overeenkomt met de regel als een detectie behandeld. Als u deze optie inschakelt, wordt een gebeurtenis naar de beheerserver gestuurd en wordt de gebeurtenis toegevoegd aan het logboekbestand van de Endpoint Security-client. Richting

Hiermee wordt de richting opgegeven: • Beide: bewaakt binnenkomend en uitgaand verkeer. • In: bewaakt binnenkomend verkeer. • Uit: bewaakt uitgaand verkeer.

Locatie

Opmerkingen


Locatiedetectie inschakelen

Hiermee wordt locatie-informatie voor de groep in- of uitgeschakeld.

Naam

Hiermee geeft u de naam van de locatie op (vereist).


Producthandleiding

163

7


Tabel 7-28 Sectie


Definitie

Regel Groep

Verbindingsisolatie inschakelen

Hiermee wordt verkeer geblokkeerd op netwerkadapters die niet overeenkomen met de groep, wanneer een adapter aanwezig is die niet overeenkomt met de groep. Instellingen voor Transport en Uitvoerbare bestanden zijn niet beschikbaar voor groepen voor isolatie van verbindingen.

Deze optie kan onder andere worden gebruikt om verkeer te blokkeren dat wordt gegenereerd door mogelijk ongewenste bronnen buiten het bedrijfsnetwerk. Zo wordt voorkomen dat dit verkeer het bedrijfsnetwerk binnenkomt. Verkeer kan alleen op deze manier geblokkeerd worden als de groep in de firewall niet voorafgegaan wordt door een regel die het verkeer toestaat. Wanneer isolatie van verbindingen ingeschakeld is en een NIC komt overeen met de groep, wordt verkeer alleen toegestaan wanneer aan een van de volgende voorwaarden wordt voldaan: • Verkeer komt overeen met een Toestaan-regel vóór de groep. • Verkeer dat over een NIC gaat, komt overeen met de groep en er staat een regel in of onder de groep die het verkeer toestaat. Als er geen NIC met de groep overeenkomt, wordt de groep genegeerd en het overeenstemmen van regels voortgezet. Vereisen dat McAfee Wanneer dit geselecteerd is kan de groep alleen ePO bereikbaar is overeenkomsten vinden als communicatie met de McAfee ePO-server mogelijk is en de FQDN van de server is omgezet.

164


Producthandleiding

7


Tabel 7-28 Sectie


Definitie

Regel Groep

Locatiecriteria

• Verbindingsspecifiek DNS-achtervoegsel: hiermee wordt een verbindingsspecifiek DNS-achtervoegsel opgegeven in de indeling: example.com. • Standaardgateway: hiermee wordt één IP-adres opgegeven voor een standaardgateway in IPv4- of IPv6-indeling. • DHCP-server: hiermee wordt één IP-adres opgegeven voor een DHCP-server in IPv4- of IPv6-indeling. • DNS-server: hiermee wordt één IP-adres opgegeven voor een domeinnaamserver in IPv4- of IPv6-indeling. • Primaire WINS-server: hiermee wordt één IP-adres opgegeven voor een primaire WINS-server in IPv4- of IPv6-indeling. • Secondaire WINS-server: hiermee wordt één IP-adres opgegeven voor een secundaire WINS-server in IPv4of IPv6-indeling. • Domeinbereikbaarheid (HTTPS): hiermee wordt gecontroleerd of het opgegeven domein bereikbaar is via HTTPS. • Registersleutel: hiermee worden de registersleutel en sleutelwaarde opgegeven. 1 Klik op Toevoegen. 2 Geef in de kolom Waarde de registersleutel op in de volgende indeling: \\[VALUE_NAME] • : moet de volledige hoofdnaam gebruiken, zoals HKEY_LOCAL_MACHINE, en niet de afkorting HKLM. • : de sleutelnaam onder de hoofdnaam. • [VALUE_NAME]: is de naam van de sleutelwaarde. Als er geen waardenaam is opgenomen, wordt van de standaardwaarde uitgegaan. Voorbeelden van indelingen: • IPv4 — 123.123.123.123 • IPv6 — 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 IPv6-adressen worden niet ondersteund op besturingssystemen van Macintosh.

Hiermee worden de netwerkhostopties opgegeven die van toepassing zijn op het item.

Netwerken Netwerkprotocol


Hiermee wordt het netwerkprotocol opgegeven dat van toepassing is op het item.

Producthandleiding

165

7


Tabel 7-28 Sectie


Definitie

Elk protocol

Zowel IP- als niet-IP-protocollen zijn toegestaan.

Regel Groep

Als er een transportprotocol of een toepassing is opgegeven, zijn alleen IP-protocollen toegestaan.

IP-protocol

Hiermee worden niet-IP-protocollen uitgesloten. • IPv4-protocol • IPv6-protocol Als geen van beide selectievakjes zijn ingeschakeld, is een willekeurig IP-protocol van toepassing. Zowel IPv4 als IPv6 kunnen worden geselecteerd.

Niet-IP-protocol

Omvat alleen niet-IP-protocollen. • Selecteer EtherType in de lijst: hiermee wordt een EtherType opgegeven. • Geef aangepast EtherType op: hiermee worden de vier tekens van een hexadecimale EtherType-waarde van het niet-IP-protocol opgegeven. Zie Ethernetnummers voor EtherType-waarden. Typ bijvoorbeeld 809B voor AppleTalk, 8191 voor NetBEUI of 8037 voor IPX.

Verbindingstypen

Hiermee wordt aangegeven of een of alle verbindingstypen van toepassing zijn: • Bekabeld • Draadloos • Virtueel Het verbindingstype Virtueel is een adapter die wordt aangeboden door een VPN of een toepassing voor virtuele machines, zoals VMware, in plaats van een fysieke adapter.

Netwerken opgeven

Hiermee worden de netwerken opgegeven die van toepassing zijn op het item. • Toevoegen: hiermee wordt een netwerk gemaakt en toegevoegd. Raadpleeg Pagina Netwerk toevoegen of Netwerk bewerken op pagina 170 voor meer informatie. • Dubbelklik op een item — Hiermee wordt het geselecteerde item gewijzigd. • Verwijderen: hiermee wordt het netwerk uit de lijst verwijderd.

Transport

166


Hiermee worden de transportopties opgegeven die van toepassing zijn op het item.

Producthandleiding

7


Tabel 7-28 Sectie


Definitie

Regel Groep

Transportprotocol

Hiermee wordt het transportprotocol opgegeven dat aan het item is gekoppeld. Selecteer het protocol en klik op Toevoegen om poorten toe te voegen. • Alle protocollen: hiermee worden IP-, niet-IP- en niet-ondersteunde protocollen toegestaan. • TCP en UDPSelecteer in de vervolgkeuzelijst: • Lokale poort: hiermee wordt de service of poort van het lokale verkeer opgegeven waarop het item van toepassing is. • Externe poort: hiermee wordt de service of poort van het verkeer op een andere computer opgegeven waarop het item van toepassing is. Lokale poort en Externe poort kunnen zijn: • Eén service, bijvoorbeeld 23. • Een bereik, bijvoorbeeld 1-1024. • Een door komma's gescheiden lijst met enkelvoudige poorten en bereiken, Bijvoorbeeld 80, 8080, 1–10, 8443 (tot vier items). Regels zijn standaard van toepassing op alle services en poorten. • ICMP: in de vervolgkeuzelijst Type bericht geeft u een ICMP-berichttype op. Zie ICMP. • ICMPv6: in de vervolgkeuzelijst Type bericht geeft u een ICMP-berichttype op. Zie ICMPv6. • Overige : hiermee selecteert u een optie in een lijst met minder bekende protocollen.


Hiermee worden de uitvoerbare bestanden opgegeven die van toepassing zijn op de regel. • Toevoegen: hiermee wordt een uitvoerbaar bestand gemaakt en toegevoegd. Raadpleeg Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 169 voor meer informatie. • Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. • Verwijderen: hiermee wordt een uitvoerbaar bestand uit de lijst verwijderd.

Schema


Hiermee worden de planningsinstellingen voor de regel of groep gespecificeerd.

Producthandleiding

167

7


Tabel 7-28 Sectie


Definitie

Regel Groep

Schema inschakelen Hiermee wordt het schema voor de getimede regel of groep ingeschakeld. Wanneer de planning is uitgeschakeld, zijn de regels in de groep niet van toepassing.

• Begintijd: hiermee wordt de begintijd aangegeven waarop het schema moet worden ingeschakeld. • Eindtijd: hiermee wordt het tijdstip aangegeven waarop het schema moet worden uitgeschakeld. • Dagen van de week: hiermee worden de dagen van de week aangegeven waarop het schema moet worden geactiveerd. Gebruik een 24-uursnotatie voor de begin- en eindtijd. Bijvoorbeeld 13:00 = 1 uur 's middags U kunt getimede groepen van Firewall plannen of de gebruiker toestaan om deze in te schakelen via het McAfee-systeemvakpictogram.

Planning uitschakelen en de groep inschakelen via het McAfee-pictogram in het systeemvak

Hiermee wordt opgegeven dat de gebruiker de getimede groep voor een ingesteld aantal minuten kan inschakelen via het McAfee-pictogram in het systeemvak in plaats van het schema te gebruiken. Gebruik deze optie om brede netwerktoegang toe te staan voordat een VPN-verbinding tot stand kan worden gebracht, bijvoorbeeld in een hotel. Als u deze optie selecteert worden meer menu-opties weergegeven onder Snelinstellingen in het McAfee-systeemvakpictogram. • Getimede groepen van Firewall inschakelen: hiermee worden getimede groepen gedurende een opgegeven tijd ingeschakeld om toegang tot het internet zonder netwerk toe te staan, voordat regels die de toegang beperken worden toegepast. Telkens als u deze optie selecteert, wordt de tijd voor de groepen opnieuw ingesteld.

• Getimede groepen van Firewall weergeven: hiermee worden de namen van de getimede groepen weergegeven, evenals de actieve tijd die over is voor elke groep. U kunt getimede groepen van Firewall plannen of de gebruiker toestaan om deze in te schakelen via het McAfee-systeemvakpictogram.

Aantal minuten Hiermee wordt opgegeven hoeveel minuten (1-60) de (1-60) om groep in te getimede groep moet worden ingeschakeld nadat schakelen Getimede groepen van Firewall inschakelen is geselecteerd via het McAfee-systeemvakpictogram.

168


Producthandleiding

7


Zie ook Firewall -regels en -groepen maken en beheren op pagina 86 Getimede groepen maken op pagina 89 Getimede groepen van Firewall inschakelen of weergeven op pagina 77 Pagina Netwerk toevoegen of Netwerk bewerken op pagina 170 Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 169

Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken Een uitvoerbaar bestand dat aan een regel of groep is gekoppeld toevoegen en bewerken. Tabel 7-29

Opties

Optie Naam

Definitie Hiermee wordt de naam opgegeven van het uitvoerbare bestand. Dit veld is verplicht met ten minste één ander veld: Bestandsnaam of -pad, Bestandsbeschrijving, MD5-hash of ondertekenaar.

Bestandsnaam of -pad Hiermee wordt de naam of het pad opgegeven van het uitvoerbare bestand dat moet worden toegevoegd of bewerkt. Klik op Bladeren om het uitvoerbare bestand te selecteren. Het bestandspad mag jokertekens bevatten.

Bestandsbeschrijving Geeft de beschrijving van het bestand aan. MD5 hash

Hiermee wordt de MD5-hash (32-cijferige hexadecimale nummer) van het proces aangegeven.

Ondertekenaar

Controle op digitale handtekening inschakelen: Hiermee wordt gegarandeerd dat code niet is gewijzigd of beschadigd sinds de code is ondertekend met een cryptografische hash. Als de optie is ingeschakeld, geeft u het volgende op: • Elke handtekening toestaan: hiermee worden bestanden toegestaan die zijn ondertekend door een willekeurige procesondertekenaar. • Ondertekend door: hiermee worden alleen bestanden toegestaan die zijn ondertekend door de opgegeven procesondertekenaar. Een SDN (Signer Distinguished Name) voor het uitvoerbare bestand is vereist en moet exact overeenkomen met de invoer in het bijbehorende veld, inclusief komma's en spaties. Zo haalt u de SDN van een uitvoerbaar bestand op: 1 Klik met de rechtermuisknop op een uitvoerbaar bestand en selecteer Eigenschappen. 2 Selecteer een ondertekenaar op het tabblad Digitale handtekeningen en klik op Details. 3 Klik op het tabblad Algemeen op Certificaat weergeven. 4 Selecteer op het tabblad Details het veld Onderwerp. De Signer Distinguished Name wordt weergegeven. Firefox heeft bijvoorbeeld de volgende Signer Distinguished Name:

Opmerkingen


• CN = Mozilla Corporation

• L = Mountain View

• OU = Release Engineering

• S = California

• O = Mozilla Corporation

• C = US


Producthandleiding

169

7


Pagina Netwerk toevoegen of Netwerk bewerken Hiermee wordt een netwerk toegevoegd of bewerkt dat is gekoppeld aan een regel of groep. Tabel 7-30 Optie

Definitie

Naam

Hiermee wordt de naam van het netwerkadres opgegeven (verplicht).

Type

Hiermee wordt een van de volgende opties geselecteerd:

Regel Groep

• Lokaal netwerk: hiermee wordt een lokaal netwerk gemaakt en toegevoegd. • Extern netwerk: hiermee wordt een extern netwerk gemaakt en toegevoegd. Toevoegen

Hiermee wordt een netwerktype aan de netwerklijst toegevoegd.

Dubbelklik op een Hiermee wordt het geselecteerde item gewijzigd. item Verwijderen

Hiermee worden de geselecteerde items verwijderd.

Adrestype

Hiermee wordt de afkomst of de bestemming van het verkeer opgegeven. Maak een selectie in de vervolgkeuzelijst Adrestype. Zie Adrestype op pagina 170 voor de lijst met adrestypen. Hiermee worden het IP-adres opgegeven dat aan het netwerk moeten worden toegevoegd.

Adres

Jokertekens zijn toegestaan.

Zie ook Adrestype op pagina 170

Adrestype Specificeer het adrestype voor een gedefinieerd netwerk. IPv6-adressen worden niet ondersteund op besturingssystemen van Macintosh.

Tabel 7-31

Opties

Optie

Definitie

Eén IP-adres

Hiermee wordt een specifiek IP-adres opgegeven. Bijvoorbeeld: • IPv4 — 123.123.123.123 • IPv6 — 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*

Subnet

Hiermee wordt het subnetadres van een willekeurige adapter op het netwerk opgegeven. Bijvoorbeeld: • IPv4 — 123.123.123.0/24 • IPv6 — 2001:db8::0/32

Lokaal subnet

170

Hiermee wordt het subnetadres van de lokale adapter opgegeven.


Producthandleiding

Referentie van clientinterface Webcontrole — Opties

Tabel 7-31

7

Opties (vervolg)

Optie

Definitie

Bereik

Hiermee wordt een reeks IP-adressen opgegeven. Voer het begin- en eindpunt van het bereik in. Bijvoorbeeld: • IPv4 — 123.123.1.0 – 123.123.255.255 • IPv6 — 2001:db8::0000:0000:0000:0000 – 2001:db8::ffff:ffff:ffff:ffff

Fully Qualified Domain Name

Hiermee wordt de FQDN opgegeven. Bijvoorbeeld www.voorbeeld.nl

Elk lokaal IP-adres

Hiermee wordt een willekeurig lokaal IP-adres opgegeven.

Elk IPv4-adres

Hiermee wordt een willekeurig IPv4-adres opgegeven.

Elk IPv6-adres

Hiermee wordt een willekeurig IPv6-adres opgegeven.

Webcontrole — Opties Configureer algemene instellingen voor Webcontrole, waaronder het inschakelen en opgeven van actiehandhaving, Beveiligd zoeken en e-mailannotaties. Zie de instellingen voor Gedeelde instellingen: opties op pagina 116 voor configuratie van logboekregistratie.

Tabel 7-32

Opties

Sectie

Optie

Definitie

OPTIES

Webcontrole inschakelen

Hiermee wordt Webcontrole in- of uitgeschakeld. (Standaard ingeschakeld)

De werkbalk in de clientbrowser verbergen

Hiermee wordt de werkbalk van Webcontrole in de browser verborgen zonder de functionaliteit uit te schakelen. (Standaard uitgeschakeld)

Logboekregistratie Webcategorieën voor groen geclassificeerde sites registreren

Hiermee worden inhoudscategorieën voor alle groen geclassificeerde sites geregistreerd. Als u deze functie inschakelt, kan dit een negatieve invloed hebben op de prestaties van de McAfee ePO-server.

Actiehandhaving

iFrame-gebeurtenissen van Webcontrole registreren

Hiermee wordt geregistreerd wanneer schadelijke sites (rood) en sites met een waarschuwing (geel) die in een HTML iframe worden weergegeven, worden geblokkeerd.

Deze actie toepassen op sites die nog niet zijn geverifieerd door McAfee GTI

Hiermee wordt de standaardactie opgegeven die moet worden toegepast op sites die McAfee GTI nog niet heeft geclassificeerd. • Toestaan (standaard): hiermee krijgen gebruikers toestemming om de site op te roepen. • Waarschuwen: hiermee wordt een bericht weergegeven om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan de site. Gebruikers moeten de waarschuwing verwijderen voordat ze door kunnen gaan. • Blokkeren: hiermee voorkomt u dat gebruikers de site oproepen en wordt een bericht weergegeven dat de download is geblokkeerd.


Producthandleiding

171

7

Referentie van clientinterface Webcontrole — Opties

Tabel 7-32 Sectie


Definitie

Ondersteuning voor HTML-iFrames inschakelen

Hiermee wordt toegang tot schadelijke sites (Rood) geblokkeerd en wordt gewaarschuwd voor sites (Geel) die in een HTML iframe worden weergegeven. (Standaard ingeschakeld)

Sites standaard blokkeren als server met McAfee GTI-classificaties niet bereikbaar is

Hiermee wordt toegang tot websites standaard geblokkeerd als Webcontrole de McAfee GTI-server niet kan bereiken.

Phishingpagina's voor alle sites blokkeren

Hiermee worden alle phishingpagina's geblokkeerd, waarbij inhoudsclassificatieacties worden overschreven. (Standaard ingeschakeld)

Scannen van gedownloade bestanden inschakelen

Hiermee worden alle bestanden (.zip, .exe, .ecx, .cab, .msi, .rar, .scr, en .com) gescand voordat ze worden gedownload. (Standaard ingeschakeld) Deze optie voorkomt dat gebruikers een gedownload bestand openen, tot Webcontrole en Bedreigingspreventie het bestand als schoon markeren. Webcontrole voert een McAfee GTI-zoekactie uit op het bestand. Als McAfee GTI het bestand toestaat, verzendt Webcontrole het bestand naar Bedreigingspreventie om het te laten scannen. Als een gedownload bestand wordt gedetecteerd als bedreiging, voert Endpoint Security een actie uit op het bestand en wordt de gebruiker gewaarschuwd.

McAfee GTI-gevoeligheidsniveau

Hiermee wordt het McAfee GTI-gevoeligheidsniveau opgegeven dat moet worden gebruikt door Webcontrole voor het scannen van gedownloade bestanden. Raadpleeg McAfee GTI op pagina 152 voor meer informatie.

Privé-IP-bereik

Hiermee wordt Webcontrole geconfigureerd om niet te classificeren of actie te ondernemen op het opgegeven privé-IP-adresbereik. • Toevoegen: hiermee wordt een privé-IP-adres toegevoegd aan de lijst met adressen die moeten worden uitgesloten van classificatie of blokkering. • Dubbelklik op een item — Hiermee wordt het geselecteerde item gewijzigd. • Verwijderen: hiermee wordt een privé-IP-adres verwijderd van de lijst met adressen die moeten worden uitgesloten van classificatie of blokkering.

Beveiligd zoeken

172

Beveiligd zoeken inschakelen


Hiermee wordt Beveiligd zoeken ingeschakeld. Kwaadaardige sites worden automatisch geblokkeerd in zoekresultaten op basis van hun veiligheidsclassificatie.

Producthandleiding

7

Referentie van clientinterface Webcontrole: Inhoudsacties

Tabel 7-32 Sectie


Definitie

De standaardzoekengine in ondersteunde browsers instellen

Hiermee wordt de standaardzoekengine opgegeven die in ondersteunde browsers moet worden gebruikt: • Yahoo • Google • Bing • Ask

Koppelingen naar riskante sites in zoekresultaten blokkeren

Hiermee wordt voorkomen dat gebruikers op koppelingen naar riskante sites in zoekresultaten klikken.


Optie

Aantekeningen bij e-mails Aantekeningen in browsermail inschakelen Aantekeningen in niet-browsermail inschakelen

Definitie Hiermee krijgen URL's annotaties in browsermailclients, zoals Yahoo Mail en Gmail. Hiermee krijgen URL's annotaties in 32-bits e-mailbeheerprogramma's, zoals Microsoft Outlook of Outlook Express.

Zie ook Webcontrole-opties configureren op pagina 98 Hoe bestandsdownloads worden gescand op pagina 100 McAfee GTI op pagina 152

Webcontrole: Inhoudsacties Acties definiëren die moeten worden uitgevoerd voor geclassificeerde sites en webinhoudscategorieën. Voor sites en bestandsdownloads in de niet-geblokkeerde categorieën past Webcontrole de classificatieacties toe.


Producthandleiding

173

7

Referentie van clientinterface Webcontrole: Inhoudsacties

Tabel 7-35 Sectie

Opties Optie

Classificatieacties Classificatieacties voor sites

Definitie Hiermee worden acties opgegeven voor sites die een rode of gele, of geen classificatie hebben. Groen geclassificeerde sites en downloads worden automatisch toegestaan.

• Toestaan: hiermee krijgen gebruikers toestemming om de site op te roepen. (Standaardinstelling voor Niet-geclassificeerde sites) • Waarschuwen: hiermee wordt een bericht weergegeven om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan de site. Gebruikers moeten klikken op Annuleren om terug te keren naar de eerder weergegeven site of op Doorgaan om door te gaan naar de site. Als het browsertabblad geen eerder weergegeven website bevat, is Annuleren niet beschikbaar.

(Standaardinstelling voor Gele sites) • Blokkeren: hiermee wordt voorkomen dat gebruikers de site oproepen en wordt een bericht weergegeven dat de site is geblokkeerd. Gebruikers moeten klikken op OK om terug te keren naar de eerder weergegeven site. Als het browsertabblad geen eerder weergegeven site bevat, is OK niet beschikbaar.

(Standaardinstelling voor Rode sites) Classificatieacties voor bestandsdownloads

Hiermee worden acties opgegeven voor bestandsdownloads die een rode of gele, of geen classificatie hebben. Deze Classificatieacties zijn alleen van toepassing wanneer Scannen van gedownloade bestanden inschakelen is geactiveerd in Opties.instellingen.

• Toestaan: hiermee staat u gebruikers toe de download voort te zetten. (Standaardinstelling voor Niet-geclassificeerde sites) • Waarschuwen: hiermee geeft u een bericht weer om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan het downloadbestand. Gebruikers moeten de waarschuwing verwijderen voor ze de download kunnen beëindigen of voortzetten. (Standaardinstelling voor Gele sites) • Blokkeren: hiermee wordt een bericht weergegeven dat de download geblokkeerd is en wordt voorkomen dat gebruikers het bestand downloaden. (Standaardinstelling voor Rode sites) Gebruik instellingen in Handhavingsbericht om het bericht aan te passen.

174


Producthandleiding

7

Referentie van clientinterface Bedreigingsinformatie: opties


Optie

Definitie

Webcategorie blokkeren Blokkering van webcategorie Hiermee wordt het blokkeren van sites ingeschakeld op inschakelen basis van inhoudscategorie. Blokkeren

Hiermee wordt voorkomen dat gebruikers sites van deze categorie oproepen en wordt een bericht weergegeven dat de site is geblokkeerd.

Webcategorie

Hiermee worden de webcategorieën weergegeven.

Zie ook Classificatieacties opgeven en sitetoegang blokkeren op basis van webcategorie op pagina 101 Veiligheidsclassificaties gebruiken voor toegangscontrole op pagina 102 Webcategorieën gebruiken om toegang te beheren op pagina 101

Bedreigingsinformatie: opties Instellingen configureren voor Bedreigingsinformatie. Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee ePO.

Tabel 7-37

Opties

Sectie

Optie

Definitie

Opties

Bedreigingsinformatie inschakelen

Hiermee wordt de module Bedreigingsinformatie ingeschakeld.

Toestaan dat de server van Bedreigingsinformatie anonieme diagnostische en gebruiksgegevens verzamelt

Hiermee wordt toegestaan dat de Bedreigingsinformatie-server anonieme bestandsinformatie verstuurt naar McAfee.

McAfee GTI-bestandsreputatie Hiermee wordt informatie over bestandsreputatie van de gebruiken als de server van Global Threat Intelligence-proxy verkregen als de Bedreigingsinformatie niet Bedreigingsinformatie-server niet beschikbaar is. bereikbaar is

Regeltoewijzing

Prevent users from changing settings (Voorkomen dat gebruikers instellingen wijzigen) (alleen Bedreigingsinformatie 1.0-clients)

Hiermee wordt voorkomen dat gebruikers op beheerde eindpuntsystemen de instellingen voor Bedreigingsinformatie wijzigen.

Productiviteit

Hiermee wordt de regelgroep Productiviteit toegewezen aan het beleid. Gebruik deze groep voor systemen met frequente wijzigingen en veelvuldige software-installaties en -updates. Deze groep gebruikt het laagste aantal regels. Gebruikers ontvangen een minimumaantal prompts en blokkeringen bij detectie van nieuwe bestanden.


Producthandleiding

175

7


Tabel 7-37 Sectie


Definitie

Evenwichtig

Hiermee wordt de regelgroep Evenwichtig toegewezen aan het beleid. Gebruik de regelgroep Evenwichtig voor gangbare bedrijfssystemen met weinig nieuwe software en wijzigingen. Deze groep gebruikt meer regels en gebruikers ontvangen meer prompts en blokkeringen dan de groep Productiviteit.

Beveiliging

Hiermee wordt de regelgroep Beveiliging toegewezen aan het beleid. Gebruik deze groep voor systemen met weinig wijzigingen, zoals IT-beheerde systemen en servers met strikte controle. Gebruikers ontvangen meer prompts en blokkeringen dan bij de groep Evenwichtig.

Actiehandhaving Waarnemingsmodus inschakelen

Blokkeren bij volgende reputatiedrempel

Hierbij worden gegevens verzameld en naar de server verzonden, maar wordt het beleid niet gehandhaafd. Met deze optie kunt u zien wat het resultaat van het beleid is, zonder dat het wordt uitgevoerd. Hiermee worden bestanden geblokkeerd wanneer de bestandsreputatie een bepaalde drempelwaarde bereikt, en wordt de drempelwaarde gespecificeerd: • Is schadelijk

• Onbekend

• Hoogstwaarschijnlijk schadelijk

• Mogelijk vertrouwd

• Mogelijk schadelijk (standaard)

• Hoogstwaarschijnlijk vertrouwd

Wanneer een bestand met deze reputatie probeert te openen in uw omgeving wordt de uitvoering ervan verhinderd, maar blijft het op zijn plaats. Als een bestand veilig is en u het wilt uitvoeren, kunt u de reputatie wijzigen naar een niveau dat de uitvoering van het bestand toestaat, zoals Hoogstwaarschijnlijk vertrouwd. Opschonen bij volgende reputatiedrempel

Hiermee worden bestanden opgeschoond wanneer de bestandsreputatie een bepaalde drempelwaarde bereikt, en wordt de drempelwaarde gespecificeerd: • Is schadelijk (standaard) • Hoogstwaarschijnlijk schadelijk • Mogelijk schadelijk • Onbekend Gebruik deze optie voor bestanden met de reputatie Is schadelijk, want een bestand wordt mogelijk verwijderd bij het opschonen.

176


Producthandleiding

7



Optie

Gebruikersberichten bij bedreigingsdetectie

Bedreigingsmeldingen Hiermee worden bedreigingsmeldingen voor de weergeven voor de gebruiker gebruiker weergegeven. De gebruiker waarschuwen bij volgende reputatiedrempel

Beschrijving

Hiermee wordt de gebruiker gewaarschuwd wanneer de bestandsreputatie een bepaalde drempelwaarde bereikt: • Is schadelijk

• Onbekend (standaard)

• Hoogstwaarschijnlijk schadelijk

• Mogelijk vertrouwd

• Mogelijk schadelijk

• Hoogstwaarschijnlijk vertrouwd

Dit waarschuwingsniveau mag niet in strijd zijn met instellingen voor Opschonen of Blokkeren. Als u bijvoorbeeld onbekende bestanden blokkeert, kunt u dit veld instellen op Mogelijk schadelijk omdat het een hogere beveiligingsbedreiging is dan Onbekend. Standaardactie

Specificeert de actie die moet worden uitgevoerd als de gebruiker niet reageert op de prompt: • Toestaan • Blokkeren (standaard)

Lengte (minuten) van time-out opgeven

Hiermee wordt het aantal minuten opgegeven dat de prompt wordt weergegeven voordat de standaardactie wordt uitgevoerd. De standaardwaarde is 5 minuten.

Advanced Threat Defense

Bericht

Hiermee wordt de tekst opgegeven die de gebruiker ziet wanneer wordt geprobeerd een bestand uit te voeren dat voldoet aan de criteria van de prompt.

Bedreigingsmeldingen uitschakelen als de server van Bedreigingsinformatie niet bereikbaar is

Hiermee worden prompts uitgeschakeld als de server niet bereikbaar is, zodat gebruikers geen vragen ontvangen over bestanden waarvan de reputatie niet beschikbaar is.

Nog niet geverifieerde bestanden naar McAfee Advanced Threat Defense sturen voor analyse

Stel in wanneer uitvoerbare bestanden ter analyse naar McAfee Advanced Threat Defense worden gestuurd. U kunt informatie opgeven voor de Advanced Threat Defense-server in het beheerbeleid voor de Bedreigingsinformatie-server. De bestanden worden verzonden als het volgende gebeurt: • De Bedreigingsinformatie-server heeft geen Advanced Threat Defense-gegevens over het bestand. • Het reputatieniveau van het bestand is gelijk aan of lager dan het door u opgegeven niveau. • Het bestand is even groot als of groter dan de door u opgegeven maximale bestandsgrootte.


Producthandleiding

177

7



Optie

Beschrijving

Bestanden indienen bij volgende reputatiedrempel

Hiermee worden bestanden ingediend bij Advanced Threat Defense wanneer de bestandsreputatie een bepaalde drempelwaarde bereikt: • Is schadelijk • Onbekend (standaard) • Hoogstwaarschijnlijk vertrouwd

Grootte (MB) beperken tot

Hiermee wordt de grootte beperkt van de bestanden die naar Advanced Threat Defense worden gestuurd (tussen 1 en 10 MB). De standaardinstelling is 5 MB.

178


Producthandleiding

Index

-servers over TIE-servers 106

A aan de slag met Bedreigingsinformatie 108 aangepaste regels, zie door gebruiker gedefinieerde regels, Toegangsbeveiliging aangepaste scans, zie scans op verzoek aangepaste updatetaken, zie taken, Endpoint Security-client Aanmelden als beheerder, pagina bij openen van Endpoint Security Client 17 clientinterface ontgrendelen 26 aanmeldingsgegevens, lijst met opslagplaatsen 34 aanmeldingsgegevens, standaardbeheerder 12 aanvallen, misbruik van bufferoverloop 60 Actiemenu, info over 12 acties, Bedreigingspreventie uitvoeren op items in quarantaine 46 acties, Threat Prevention gebruikers toestaan geïnfecteerde bestanden op te schonen en te verwijderen 65, 70 ongewenste programma's 63 opgeven wat er gebeurt als een bedreiging wordt gevonden 65, 70 activiteitenlogboeken, Endpoint Security-client 23 Adaptieve modus configureren in Firewall 78 regelvoorrang 81 Adaptieve regelgroep, Firewall 85 Adaptieve regels (groep), Firewall 86 Advanced Threat Defense 109 bestanden verzenden naar 111 gebruikt bij het bepalen van reputaties 106 adware, info 48 algemene scancache scans bij toegang 65 scans op aanvraag 71 AMCore-inhoud terugzetten, pagina 27 AMCore-inhoudsbestanden Extra.DAT-bestanden 27, 28 info over 8 over handtekeningen en updates 9 overzicht van scans bij toegang 65 scan op aanvraag, overzicht 71


AMCore-inhoudsbestanden (vervolg) versie wijzigen 27 apps, Windows Store 65, 71 archieven, scanopties opgeven 65, 70 Ask-zoekengine en veiligheidspictogrammen 94

B back-ups, scanopties opgeven 65, 70 ballonnen, Web Control 94, 97 bedreigingen AMCore-inhoudsbestanden 9 detecties beheren 45 detecties tijdens scannen 44 en veiligheidsclassificaties 95 items in quarantaine opnieuw scannen 49 meer informatie van McAfee Labs 46 overtredingen van toegangspunten 52 Quarantainemap 46 reageren op detecties 18 Toegangsbeveiliging, proces 52 typen 48 Windows Store-apps 65, 71 Bedreigingsinformatie -onderdelen 104 -scenario's 103 activiteitenlogboek 23 beheren 103 configureren 110 Endpoint Security 105 Endpoint Security-client 14 foutopsporingslogboek 23 logboekbestanden 23 over 104 werkstroomvoorbeelden 108 Bedreigingsoverzicht, info over 13 Bedreigingspreventie bestanden scannen alvorens te downloaden 98, 100 Endpoint Security-client 14 functie Toegangsbeveiliging 53 over 7 scans bij toegang, info 65 Beheerder toegevoegd, regelgroep, Firewall 85 beheerders aanmelden bij Endpoint Security-client 25

Producthandleiding

179

Index

beheerders (vervolg) gedefinieerd 8 standaardwachtwoord 12 wachtwoord 26 beheertypen over 20 weergeven 20 beleid gedefinieerd 8 beleid, Common configureren 28 beleidsregels clientfuncties 9 toegang tot Endpoint Security-client 14 beleidsregels, Bedreigingspreventie algemene scaninstellingen 64 scans op verzoek uitstellen 72 beleidsregels, Threat Prevention scans bij toegang 69 beperking, configureren 74 berichten, Endpoint Security over 11 weergeven bij detectie van bedreiging 65, 70 bescherming interactie met 9 weergeven, informatie over 20 zelfbeveiliging configureren 29 bestanden beheren in de Quarantaine 46 configureren voor quarantaine 64 hoe reputaties worden bepaald 106 in quarantaine opnieuw scannen 49 jokers in uitsluitingen 51 logboekbestanden 23 logboekbestanden configureren 30 logboeken van Endpoint Security-client 22 scans uitvoeren 44 specifieke typen uitsluiten van scans 50 toegang beperken 53 wijziging voorkomen 29 bestanden en certificaten blokkeren 111 bestanden en certificaten toestaan 111 bestanden indienen voor verdere analyse Advanced Threat Defense 109 Product Improvement Program 109 bestanden voor detectiedefinitie, zie inhoudsbestanden bestanden, inhoud Exploitpreventie 9 Extra.DAT en AMCore 9 Extra.DAT-bestanden 27, 28 Extra.DAT-bestanden gebruiken 27 Extra.DAT-bestanden laden 28 handtekeningen en updates 9 overzicht van scans bij toegang 65 scan op aanvraag, overzicht 71

180


bestanden, inhoud (vervolg) versie van AMCore-inhoud wijzigen 27 bestandsdownloads blokkeren of waarschuwen op basis van classificaties 101 scannen met Bedreigingspreventie 100 van onbekende sites blokkeren 98 bestandsreputatie reageren op prompts 19 Beveiligd zoeken, Webcontrole configureren 98 beveiliging clientinterfacebeveiliging configureren 31 up-to-date houden 8 beveiligingsniveaus voorbeelden 111 Bing-zoekengine en veiligheidspictogrammen 94 browsers informatie over een site weergeven 97 invoegtoepassing inschakelen 96 ondersteund 91, 97 Webcontrole-invoegtoepassing uitschakelen 98 Bureaubladmodus, Windows 8 en 10 meldingsberichten 11 reageren op prompts bij bedreigingsdetecties 18

C cache, algemene scan scans bij toegang 65 scans op aanvraag 71 certificaten hoe reputaties worden bepaald 106 Chrome informatie over een site weergeven 97 invoegtoepassing inschakelen 96 ondersteunde browsers 91, 97 Webcontrole-knoppen 93 classificaties, veiligheid, zie veiligheidsclassificaties classificaties, Web Control, zie veiligheidsclassificaties client, zie Endpoint Security Client Clientinterfacemodus vergrendelen bij openen van Endpoint Security Client 17 de interface ontgrendelen 26 en beleidsinstellingen 14 Clientinterfacemodus, opties 14 clientsoftware, gedefinieerd 8 clienttaken voor productupdate info 34 lijst met opslagplaatsen 34 Common-module configureren clientinterfacebeveiliging 31 instellingen 28 McAfee GTI-proxyserverinstellingen 32 registreren in logboek 30 Zelfbeveiliging 29 configuratie, bridging TIE-servers 106

Producthandleiding

Index

CPU-tijd, scannen op aanvraag 74

D Data Exchange Layer info 106 detectienaam uitsluiten op naam 64 detecties beheren 42, 45 berichten weergeven aan gebruikers 65, 70 namen 48 rapporteren bij beheerserver 8 reageren op 18 typen 42, 44 Detecties bekijken, knop 45 dialers, info 48 DNS-verkeer blokkeren 79 domeinen, blokkeren 79 door gebruiker gedefinieerde regels, Toegangsbeveiliging configureren 58 typen 53 Door McAfee gedefinieerde regels, Toegangsbeveiliging 54 downloads gedrag voor blokkeren en waarschuwen 92 downloadverzoeken, zie bestandsdownloads Dynamisch, regelgroep, Firewall 85

E eigen beheer, info 20 Endpoint Security beheren 25 Endpoint Security Client bedreigingsdetecties beheren 45 Bedreigingsoverzicht 13 beheertypen 20 beveiligen met een wachtwoord 31 beveiligingsinformatie weergeven 20 beveiligingsinstellingen configureren 31 de interface ontgrendelen 26 Help weergeven 18 info over 12 openen 10, 17 scannen op malware 41 scans uitvoeren 42 systeemscans 41 Endpoint Security-client aangepaste updatetaken maken 36 aanmelden als beheerder 25 beheertypen 8 beleidsinstellingen 14 beveiliging bijwerken 21 bronlocaties configureren voor updates 33 het Gebeurtenislogboek bekijken 22 logboeken, info 23 modules 14


Endpoint Security-client (vervolg) spiegeltaken configureren en plannen 38 spiegeltaken, over 39 Standaard clientupdate, over taak 36 Standaard clientupdatetaak configureren 35 Standaard clientupdatetaak plannen 36 Volledige scan en Snelle scan plannen 75 werken met 9 Endpoint Security, hoe het uw computer beveiligt 8 Exploitpreventie configureren 61 en Host IPS 60 info over 60 inhoudsbestandsupdates 9 logboekbestanden 23 processen uitsluiten 50 exploits bufferoverloop blokkeren 60, 61 hoe bufferoverloopmisbruik plaatsvindt 60 Extern bureaublad, en functie Scannen bij inactief 72 Externe opslag scannen, overzicht 74 Extra.DAT-bestanden AMCore-inhoudsbestanden 9 downloaden 28 gebruiken 27 info over 27 laden 28 overzicht van scans bij toegang 65 scan op aanvraag, overzicht 71

F Firefox informatie over een site weergeven 97 invoegtoepassing inschakelen 96 ondersteunde browsers 91, 97 Webcontrole-knoppen 93 firewall getimede groepen 10 getimede groepen maken 89 Firewall activiteitenlogboek 23 beheren 78 bescherming in- en uitschakelen 78 blokkeren, DNS-verkeer 79 Endpoint Security-client 14 foutopsporingslogboek 23 getimede groepen inschakelen en weergeven 77 groepen met locatiedetectie, info 82 hoe firewallregels werken 81 hoe het werkt 77 inbraakwaarschuwingen 11 locatiedetectiegroepen maken 88 logboekbestanden 23 opties wijzigen 78

Producthandleiding

181

Index

Firewall (vervolg) over 7 regels, zie firewallregels regels en groepen beheren 86 firewallgroepen, zie firewallregelgroepen firewallopties wijzigen 78 firewallregelgroepen en verbindingsisolatie 83 getimede groepen maken 89 hoe de Firewall werkt 77 locatiedetectie maken 88 locatiedetectie, info 82 voorrang geven 82 firewallregels configureren 80 hoe de Firewall werkt 77 hoe ze werken 81 jokertekens gebruiken 87 toestaan en blokkeren 81 volgorde en voorrang geven 81 foutberichten, status systeemvakpictogram 10 fouten, update 21 foutlogboeken, Endpoint Security-client 23 foutopsporingslogboek, Endpoint Security-client 23 functies Endpoint Security-clienttoegang op basis van beleid 14 inschakelen en uitschakelen 26

G gebeurtenislogboeken, Endpoint Security-client info 23 pagina Gebeurtenislogboek weergeven 22 updatefouten 21 gebeurtenissen, Webcontrole-browsergebeurtenissen traceren 98

Gebruiker toegevoegd, regelgroep, Firewall 85 gebruikersaccounts, toegang tot de client beheren 31 Gedeelde instellingen, Endpoint Security-client 7 Gedeelde instellingen, module configureren bronlocaties voor clientupdates 33 bronlocaties voor clientupdates configureren 33 update-instellingen 33, 35 Gedeelde instellingen, module in Endpoint Security-client 14 gevoeligheidsniveau, McAfee GTI 32 Google Chrome 91 ondersteunde zoekengines 94 veiligheidspictogrammen 94 grapvirussen, info 48 groepen met locatiedetectie info 82 verbindingsisolatie 83 groepen, firewall, zie firewallregelgroepen

182


H handmatige scans over scantypes 41 uitvoeren vanuit Endpoint Security Client 42, 44 handmatige updates uitvoeren 21 handtekeningen bekende bedreigingsinformatie 9 hashes, over 32 heap-gebaseerde aanvallen, misbruik van bufferoverloop 60 Help weergeven 12, 18 hervatbare scans, zie incrementele scans Host Intrusion Prevention en Exploitpreventie 60 Host IPS en Exploitpreventie 60 hulpprogramma's voor extern beheer, info 48

I inbraak, Firewallwaarschuwingen inschakelen 78 incrementele scans 72 Info, pagina 8, 20 informatie, beveiliging weergeven 20 Inhoudsacties, instellingen Web Control 102 Webcontrole 101 Inhoudsacties, instellingen, Webcontrole 101 inhoudsbestanden AMCore-versie wijzigen 27 en detecties 18 Extra.DAT-bestanden 27, 28 handmatig controleren op updates 21 handmatig op updates controleren 10 info over 8 overzicht van scans bij toegang 65 scan op aanvraag, overzicht 71 updates plannen vanuit client 36 inhoudscategorieën, zie webcategorieën installatieprogramma's, vertrouwde scannen 65 instellingen bronlocaties voor clientupdates configureren 33 bronlocaties, configureren voor 33 updates configureren voor 33, 35 instellingen, Bedreigingspreventie functie Toegangsbeveiliging 53 Instellingen, pagina clientinterfacebeveiliging configureren 31 firewallopties wijzigen 78 firewallregels en -groepen beheren 86 proxyserverinstellingen configureren 32 registratie, configureren 30 update-instellingen configureren 33, 35 Zelfbeveiliging, configureren 29 instellingen, Threat Prevention potentieel ongewenste programma's configureren 62 scans bij toegang 63 scans op aanvraag 63

Producthandleiding

Index

instellingen, Web Control toegang beheren met veiligheidsclassificaties 102 instellingen, Webcontrole toegang beheren met webcategorieën 101 toegang tot websites beheren 101 interfacemodi clientbeveiligingsinstellingen configureren 31 Standaardtoegang 25, 31 Internet Explorer en ScriptScan-gedrag 68 informatie over een site weergeven 97 invoegtoepassing inschakelen 96 ondersteunde browsers 91, 97 invoegtoepassingen, Webcontrole inschakelen in de browser 96 IP-adressen groepen met locatiedetectie 82 regelgroepen 82

J jokertekens gebruiken in firewallregels 87 gebruiken in uitsluitingen 51 in uitsluitingen 51 in uitsluitingen op hoofdniveau 51

K keyloggers, info 48 klantlogboekgebruik, configureren 30 kleuren, Webcontrole-knoppen 93 knoppen Detecties bekijken 45 Nu scannen 42 Scan weergeven 42 knoppen, Webcontrole 93 kwetsbaarheid, zie bedreigingen

L lijst met opslagplaatsen locatie op client 34 overzicht 34 voorkeursvolgorde, lijst met opslagplaatsen 34 locatiedetectiegroepen maken 88 logboekbestanden bekijken 22 configureren 30 locaties 23 updatefouten 21

M malware detecties tijdens scannen 42, 44 reageren op detecties 18


malware (vervolg) scannen op 41 mappen beheren in de Quarantaine 46 configureren voor quarantaine 64 in quarantaine opnieuw scannen 49 jokers in uitsluitingen 51 scans uitvoeren 44 toegang beperken 53 McAfee Agent taak voor productupdate, lijst met opslagplaatsen 34 McAfee Endpoint Security Client, zie Endpoint Security Client McAfee ePO AMCore-inhoudsbestanden ophalen 9 bescherming controleren 8 en beheertypen 20 McAfee ePO Cloud-beheertype 20 McAfee GTI bestanden scannen alvorens te downloaden 98, 100 en webcategorieën 101 firewallopties configureren 78 geblokkeerde gebeurtenissen verzenden naar server 78 gevoeligheidsniveau configureren 64 netwerkreputatie voor firewall configureren 78 overzicht 32 proxyserverinstellingen opgeven 32 scannen bij toegang, configureren 65 scans bij toegang, hoe het werkt 65 scans op aanvraag configureren 70 scans op aanvraag, hoe het werkt 71 telemetriefeedback 64 veelgestelde vragen 79 veiligheidsclassificaties van Web Control 95 Web Control-siterapporten 94 Webcontrole communicatiefout 93 McAfee Labs AMCore-inhoudsbestandsupdates 9 en McAfee GTI 32 Extra.DAT 28 Extra.DAT downloaden 27 meer informatie over bedreigingen 46 McAfee SECURE, Webcontrole-knop 93 McAfee-beveiligingsclient, zie Endpoint Security Client McAfee-beveiligingsstatuspagina, weergeven 10 McAfee-client, zie Endpoint Security Client McAfee-kernnetwerkregels, Firewall-groep 85 McAfee-pictogram, zie systeemvakpictogram, McAfee McTray, starten 72 meldingen werken met Endpoint Security-client 9 meldingsberichten over 11 Windows 8 en 10 11 menu's Actie 12, 26

Producthandleiding

183

Index

menu's (vervolg) Help 12, 18 Info 20 Instellingen 12, 14, 78, 86 Webcontrole 97 Microsoft Internet Explorer, zie Internet Explorer misbruik van bufferoverloop, info 60 modules Endpoint Security-clienttoegang op basis van beleid 14 geïnstalleerd in Endpoint Security-client 14 over Endpoint Security 7 weergeven, informatie over 20 modules, Common clientinterfacebeveiliging configureren 31 McAfee GTI-proxyserverinstellingen configureren 32 registratie, configureren 30 Zelfbeveiliging, configureren 29 modules, Gedeelde instellingen bronlocaties voor clientupdates configureren 33 configureren, bronlocaties voor clientupdates 33 hoe McAfee GTI werkt 32 update-instellingen configureren 33, 35 mogelijk ongewenste programma's detectie configureren 62 detectie inschakelen 63, 65, 70 detecties tijdens scannen 42, 44 info over 48 items uitsluiten 50 jokertekens in uitsluitingen 51 opgeven 62 programma's opgeven voor detectie 64 Mozilla Firefox, zie Firefox

N netwerkadapters, verbinding toestaan 82 netwerkstations, scanopties opgeven 65 Nu scannen, knop 42

O onbeheerd, zie eigen beheer, info opstartsectoren scannen 65, 70 opties configureren, scans op aanvraag 70 scannen bij toegang configureren 65 scannen op malware 41 Opties, Bedreigingspreventie algemene scaninstellingen 64 Opties, Common clientinterfacebeveiliging configureren 31 configureren 28 plannen, scannen op aanvraag 41 proxyserverinstellingen configureren 32 registratie-instellingen configureren 30 Zelfbeveiliging, configureren 29

184


Opties, Gedeelde instellingen bronlocaties voor clientupdates configureren 33 update-instellingen configureren 33, 35 Opties, Threat Prevention ongewenste programma's 62

P pagina Instellingen en clientinterfacemodus 14 Pagina Instellingen instellingen voor scannen bij toegang, configureren 65 instellingen voor scannen op aanvraag configureren 70 pagina Quarantaine 46 Pagina Scannen op bedreigingen 44 pagina's AMCore-inhoud terugzetten 27 Gebeurtenislogboek 22 Info 20 Instellingen 14, 29–33, 35, 70, 78 McAfee-beveiligingsstatus 10 over 8 Quarantaine 46 scan weergeven 42 Scannen bij toegang 18, 45 Scannen op bedreigingen 44 Systeem scannen 42, 45 Update 21 parameters, Toegangsbeveiliging evalueren met subregels 58 voorbeelden 58 phishing, rapporten ingediend door sitegebruikers 95 pictogrammen, McAfee, zie systeemvakpictogram, McAfee pictogrammen, Web Control 94 planningen, scans op verzoek, uitstellen 72 pop-upmeldingen, Windows 8 en 10 11, 18 pop-ups, en veiligheidsclassificaties 95 prioriteiten, scans bij toegang 74 procesinstellingen, scannen op aanvraag 74 processen met hoog risico opgeven 65 processen met laag risico opgeven 65 processen, Bedreigingspreventie insluiten en uitsluiten in Toegangsbeveiliging 53 opnemen en uitsluiten in Toegangsbeveiliging 59 scannen 65 uitsluiten 50 processen, Threat Prevention opgeven, hoog en laag risico 65 scannen 65 processen, Toegangsbeveiliging uitsluiting op basis van regels 59 uitsluitingen op basis van beleid 59 Product Improvement Program 109 productupdates handmatig controleren op 10, 21

Producthandleiding

Index

productupdates (vervolg) plannen vanuit client 36 programma's, detectie van mogelijk ongewenste inschakelen 65, 70 prompts, Endpoint Security over 11 reageren op bestandsreputatie 19 Windows 8 en 10 18 proxyserver configureren voor McAfee GTI 32 hoe McAfee GTI werkt 32 instellingen in lijst met opslagplaatsen 34

Q Quarantaine, Bedreigingspreventie items in quarantaine opnieuw scannen 49 locatie- en behoudsinstellingen configureren 64

R rapporten, Web Control 94, 95 websitebeveiliging 94 weergeven 97 rapporten, Webcontrole veiligheid 91 weergeven 97 reacties configureren voor detectie van ongewenste programma's 63 Rechtermuisknopscan configureren 70 info over 41 uitvoeren vanuit Windows Verkenner 44 Regelgroep Gebruiker toegevoegd, Firewall 86 regelgroepen van Firewall configureren 80 getimede groepen beheren via het systeemvakpictogram 10, 77 vooraf gedefinieerd 85 regelgroepen, Firewall, zie firewallregelgroepen regels, Bedreigingspreventie configureren 53 regels, firewall, zie Firewall regels, Threat Prevention hoe Toegangsbeveiliging werkt 52 registersleutels, toegang beperken 53 reputaties hoe ze worden bepaald 106

S Safari (Macintosh) Webcontrole-knoppen 93 scan bij toegang ScriptScan 68 scan uitstellen, overzicht 72 Scan weergeven, knop 42


scancache scans bij toegang 65 scans op aanvraag 71 scanengines, overzicht AMCore-inhoudsbestand 9 Scannen bij inactief, functie 19, 72 scannen bij toegang aantal methoden 69 bedreigingsdetecties, reageren op 18 configureren 65 Scannen bij toegang, pagina 45 scannen, scripts 68 scanpagina weergeven 18, 42 scans aangepast, maken en plannen op de client 75 algemene instellingen voor scans bij toegang en scans op aanvraag 64 jokertekens in uitsluitingen gebruiken 51 plannen met Endpoint Security-client 75 reageren op prompts 19 rechtermuisknopscan uitvoeren 44 typen 41 uitstellen, onderbreken, hervatten en annuleren 19 uitvoeren vanuit Endpoint Security Client 42 Webcontrole 100 scans bij toegang aantal scanmethoden 69 bedreigingsdetecties 18 configureren 64 detectie van bedreigingen in Windows Store-apps 65 info over 41 items uitsluiten 50 logboekbestanden 23 mogelijk ongewenste programma's, detectie inschakelen 63 optimaliseren met vertrouwenslogica 65 overzicht 65 schrijven naar versus lezen van schijf 65 scripts scannen 68 ScriptScan 68 scans op aanvraag bestanden of mappen scannen 44 configureren 70 detectie van bedreigingen in Windows Store-apps 71 info over 41 mogelijk ongewenste programma's, detectie inschakelen 63 overzicht 71 reageren op prompts 19 rechtermuisknopscan uitvoeren 44 systeemgebruik 74 Volledige scan of Snelle scan uitvoeren 42 scans op verzoek configureren 64 Externe opslag scannen 74 items uitsluiten 50 logboekbestanden 23 scans, aangepast, zie scans op verzoek

Producthandleiding

185

Index

scans, bij toegang items uitsluiten 50 scans, op verzoek items uitsluiten 50 plannen op de client 75 scanvermijding 65 ScriptScan info 68 inschakelen 65 URL's uitsluiten 50 servers bridging TIE-servers in beheer van McAfee ePO 106 servers, proxy, zie proxyservers serversystemen, en functie Scannen bij inactief 72 siterapporten, zie rapporten, Web Control sites beveiliging tijdens zoeken 94 browserbeveiliging 93 gedrag voor blokkeren en waarschuwen 92 siterapporten van Webcontrole weergeven 97 veiligheidsclassificaties 95 sites blokkeren op basis van webcategorie 101 sites, blokkeren op basis van classificaties 101 op basis van veiligheidsclassificatie 102 op basis van webcategorie 101 sites, toegang beheren met webcategorieën 101 sites, toegang tot sites beheren met veiligheidsclassificaties 102 sites, waarschuwing op basis van classificaties 101 op basis van veiligheidsclassificatie 102 Snelle scan configureren 70 plannen op de client 75 typen scans 41 uitvoeren vanuit Endpoint Security Client 42 software-updates handmatig controleren op 10, 21 plannen vanuit client 36 spiegeltaken configureren en plannen 38 over 39 spyware, info 48 stack-gebaseerde aanvallen, misbruik van bufferoverloop 60 Standaard clientupdate over taak 36 Standaard clientupdatetaak bronlocaties configureren voor 33 configureren 35 plannen met Endpoint Security-client 36 Standaardregelgroep, Firewall 85

186


Standaardtoegang, modus en beleidsinstellingen 14 Standaardtoegangsmodus aanmelden als beheerder 25 clientbeveiligingsinstellingen configureren 31 effecten van een wachtwoord instellen 31 firewallregels en -groepen beheren 86 standaardwachtwoord, Endpoint Security Client 12 Start-menu, Endpoint Security Client openen 17 status, Endpoint Security, weergeven met McAfeesysteemvakpictogram 10 Statuspagina, Bedreigingsoverzicht weergeven 13 stealth, info 48 subregels, Toegangsbeveiliging evalueren met parameters 58 uitsluiten en opnemen 59 Systeem scannen, pagina 42, 45 systeemgebruik (opties), overzicht 74 systeemscans, typen 41 systeemvakpictogram, McAfee 9, 10, 31 beveiliging bijwerken 10 bij openen van Endpoint Security Client 17 definitie 10 getimede groepen inschakelen en weergeven 77 getimede groepen van Firewall 10 toegang tot Endpoint Security configureren 31

T taken, Bedreigingspreventie aangepaste scans plannen 75 Standaard clientupdate, info 36 Volledige scan en Snelle scan plannen 75 taken, Endpoint Security-client aangepaste update, configureren en plannen 36 configureren en plannen, spiegeltaken 38 spiegeltaken, over 39 Standaard clientupdate configureren 35 Standaard clientupdate plannen 36 taken, Threat Prevention Volledige en Snelle scans, over 41 threads, prioriteit 74 Threat Intelligence bridging TIE-servers in beheer van McAfee ePO 106 Threat Intelligence Exchange-server, zie TIE-servers Threat Prevention beheren 50 Exploitpreventie, functie 61 mogelijk ongewenste programma's detecteren 62 Opties, ongewenste programma's 62 scannen bij toegang, configureren 65 scans op aanvraag configureren 70 scans op aanvraag, over 71 TIE-servers bridging 106 over 106

Producthandleiding

Index

Toegangsbeveiliging beleid, overzicht 53 door gebruiker gedefinieerde regels configureren 58 door gebruiker opgegeven regels, info 53 door McAfee gedefinieerde regels configureren 53 Door McAfee gedefinieerde regels, over 54 info over 51 logboekbestanden 23 processen insluiten en uitsluiten 53 processen opnemen en uitsluiten 59 processen uitsluiten 50 protocollen beperken 53 voorbeelden 52 toegangsmodi, Endpoint Security-client 14 trojaanse paarden detecties tijdens scannen 42, 44 info over 48

U uitsluitingen 51, 64 configureren 50 hoofdniveau 51 jokertekens gebruiken 51 scannen bij toegang, bestanden, mappen en stations opgeven 65 scans op aanvraag opgeven 70 Toegangsbeveiliging op basis van beleid en regels 59 URL's opgeven voor ScriptScan 65 uitsluitingen op hoofdniveau, zie uitsluitingen Updatepagina 21 updates annuleren 21 Beveiliging bijwerken, optie 10 knop Nu bijwerken, Endpoint Security-client 21 updates op verzoek, zie handmatige updates, uitvoeren updates, Bedreigingspreventie handmatig controleren 10 handmatig controleren op 21 overzicht 9 Standaard clientupdate, over taak 36 updates, Endpoint Security bronlocaties configureren voor updates 33 configureren en plannen vanuit client 36 gedrag configureren 33 Standaard clientupdate configureren 35 updates, Threat Prevention Extra.DAT-bestanden 28 inhoudsbestanden 8 upgrades, clientsoftwareonderdelen 8 URL's onbekend blokkeren 98 uitsluiten van scriptscans 50, 65

V veelgestelde vragen, McAfee GTI 79 veiligheidsclassificaties acties configureren voor sites en downloads 101 hoe websiteclassificaties worden samengesteld 95 toegang tot sites controleren 102 veiligheidspictogrammen 94 Webcontrole en 91 veiligheidsrapporten, zie rapporten, Web Control verkeer gescand door Firewall 77 uitgaand toestaan tot firewallservices starten 78 vertrouwde installatieprogramma's scannen 65 vertrouwenslogica, scans bij toegang optimaliseren 65 virussen detecties tijdens scannen 42, 44 handtekeningen 9 info over 48 reageren op detecties 18 Volledige scan configureren 70 info over 41 plannen op de client 75 uitvoeren vanuit Endpoint Security Client 42 Volledige toegang, modus beleidsinstellingen 14 firewallopties wijzigen 78 vooraf gedefinieerde regelgroepen van Firewall 85 voorrang geven firewallgroepen 82 firewallregels 81 vragen, Endpoint Security reageren op scan 19

W waarschuwing, Bedreigingspreventie overzicht van scans bij toegang 65 waarschuwing, Threat Prevention scan op aanvraag, overzicht 71 waarschuwingen, Firewall 11 wachtwoorden beheerder 25, 26 clientbeveiliging configureren 31 standaardbeheerder 12 toegang tot de client beheren 31 wachtwoordkrakers, info 48 Web Control ballonnen en pictogrammen 97 beheren 98 pictogrammen, beschrijving 94 siterapporten 94 zoekengines en veiligheidspictogrammen 94 webcategorieën blokkeren of waarschuwen op basis van 101 webcategorieën, blokkeren of waarschuwen op basis van 101


Producthandleiding

187

Index

Webcontrole activiteitenlogboek 23 configureren 98 en geblokkeerde sites 92 en sites met waarschuwingen 92 Endpoint Security-client 14 foutopsporingslogboek 23 functies 91 hoe bestandsdownloads worden gescand 100 informatie over een site weergeven 97 inschakelen 98 invoegtoepassing inschakelen 96 knoppen, beschrijving 93 logboekbestanden 23 menu 93 over 7 siterapporten weergeven 97 websites beveiliging tijdens zoeken 94 browserbeveiliging 93 siterapporten van Webcontrole weergeven 97 veiligheidsclassificaties 95 websites blokkeren niet geclassificeerd of onbekend 98 op basis van veiligheidsclassificatie 102 op basis van webcategorie 101 riskante sites uit zoekresultaten 98 websites, blokkeren op basis van classificaties 101 op basis van webcategorie 101 websites, toegang beheren met veiligheidsclassificaties 102

188


websites, toegang beheren (vervolg) met webcategorieën 101 websites, waarschuwing op basis van classificaties 101 op basis van veiligheidsclassificatie 102 werkstroomvoorbeelden 108 bestanden indienen voor verdere analyse 109 bestandsprevalentie opbouwen en observeren 108 controle en aanpassingen 108 Windows 8 en 10 bij openen van Endpoint Security Client 17 over meldingsberichten 11 reageren op prompts bij bedreigingsdetecties 18 Windows Store-apps, detectie van bedreigingen 65, 71 Windows-instelling Prioriteit instellen 74

Y Yahoo ondersteunde zoekengine 94 standaardzoekengine 98 veiligheidspictogrammen 94

Z Zelfbeveiliging, configureren 29 zelfstandig, zie eigen beheer, info zero-impact scans 72 zoekopdrachten riskante sites blokkeren in zoekresultaten 98 veiligheidspictogrammen 94

Producthandleiding

0-05

Producthandleiding. McAfee Endpoint Security 10.1

Recommend Documents