Průvodce pro klienty aplikace Symantec Endpoint Protection a Symantec Network Access Control

Průvodce pro klienty aplikace Symantec™ Endpoint Protection a Symantec Network Access Control

Průvodce pro klienty aplikace Symantec Endpoint Protection a Symantec Network Access Control Software popsaný v této příručce podléhá licenční smlouvě a lze jej používat pouze při dodržení jejích podmínek. Verze dokumentace 12.01.00.00

Právní informace Copyright © 2011 Symantec Corporation. Všechna práva vyhrazena. Symantec, logo Symantec, Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Sygate a TruScan jsou ochranné známky nebo registrované ochranné známky společnosti Symantec Corporation nebo jejích poboček ve Spojených státech amerických a jiných zemích. Jiné názvy mohou být ochrannými známkami příslušných vlastníků. Tento produkt společnosti Symantec může obsahovat software třetích stran, který společnost Symantec poskytuje za podmínek třetí strany („Aplikace třetích stran“). Některé aplikace třetích stran jsou dostupné v rámci licence otevřeného zdroje nebo bezplatného softwaru. Licenční smlouva dodávaná se softwarem neupravuje žádná práva nebo závazky vyplývající z licence otevřeného zdroje nebo bezplatného softwaru. Další informace o aplikacích třetích stran najdete v dodatku k této dokumentaci s právními informacemi týkajícími se třetích stran nebo v souboru TPIP Readme. Produkt popsaný v tomto dokumentu je dodáván na základě licencí omezujících jeho používání, kopírování, distribuci a dekompilaci či zpětný překlad. Žádná část tohoto dokumentu nesmí být jakýmkoli způsobem reprodukována bez předchozího písemného souhlasu společnosti Symantec Corporation, případně jejích poskytovatelů licence. TATO DOKUMENTACE JE POSKYTOVÁNA „TAK, JAK JE“ A SPOLEČNOST SYMANTEC CORPORATION SE ZŘÍKÁ VEŠKERÝCH VÝSLOVNĚ UVEDENÝCH NEBO PŘEDPOKLÁDANÝCH PODMÍNEK, PROHLÁŠENÍ A ZÁRUK, VČETNĚ PŘEDPOKLÁDANÝCH ZÁRUK TÝKAJÍCÍCH SE OBCHODOVATELNOSTI, VHODNOSTI PRO URČITÝ ÚČEL A NEPORUŠENÍ ZÁKONA, S VÝJIMKOU ROZSAHU, VE KTERÉM JSOU TAKOVÁTO ZŘEKNUTÍ PRÁVNĚ NEPLATNÁ. SPOLEČNOST SYMANTEC CORPORATION NENÍ ODPOVĚDNÁ ZA ŽÁDNÉ NÁHODNÉ NEBO NÁSLEDNÉ ŠKODY VZNIKLÉ VE SPOJENÍ S VYKONANOU PRACÍ NEBO POUŽITÍM TÉTO DOKUMENTACE. INFORMACE OBSAŽENÉ V TÉTO DOKUMENTACI PODLÉHAJÍ ZMĚNÁM BEZ PŘEDCHOZÍHO UPOZORNĚNÍ. Licencovaný software a dokumentace jsou považovány za komerční počítačový software, jak je definováno v dokumentu FAR 12.212, řídí se omezenými právy dle definice v dokumentu FAR v části 52.227–19 „Commercial Computer Software – Restricted Rights“ a DFARS 227.7202 „Rights in Commercial Computer Software or Commercial Computer Software Documentation“ a dalších následných nařízení. Jakékoli použití, úpravy, vydávání kopií, předvádění, zobrazování nebo odhalení licencovaného softwaru a dokumentace vládou Spojených států bude pouze v souladu s podmínkami tohoto ujednání.

Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.cz

Technická podpora Technická podpora společnosti Symantec provozuje centra podpory po celém světě. Jejím hlavním úkolem je odpovídat na konkrétní dotazy na funkce a vlastnosti produktů. Oddělení technické podpory také vytváří obsah naší internetové Databáze znalostí. Oddělení spolupracuje s ostatními funkčními celky společnosti Symantec za účelem rychého zodpovězení vašich dotazů. Spolupracuje například s oddělením vývoje produktů a oddělením Symantec Security Response, aby bylo možné poskytovat služby varování a aktualizací virových definic. Nabídky podpory společnosti Symantec zahrnují následující: ■

Škála možností podpory, která vám dává flexibilitu volby odpovídajícího množství služeb pro jakkoli velkou organizaci

■

Telefonická nebo internetová podpora umožňující rychlou odpověď a okamžité získání informací

■

Zajištění aktualizací poskytující ochranu aktualizacemi softwaru

■

Celosvětová podpora dostupná v rámci běžné pracovní doby nebo 24 hodin denně, 7 dní v týdnu

■

Nabídky prémiových služeb včetně služeb správy účtu

Informace o programech technické podpory společnosti Symantec naleznete na našich webových stránkách na adrese URL: http://www.symantec.com/cs/cz/business/support/ Všechny služby podpory budou poskytovány v souladu se smlouvou o poskytování technické podpory a aktuálními zásadami pro poskytování technické podpory podnikům.

Kontaktování technické podpory Zákazníci s platnou smlouvou o poskytování technické podpory mají přístup k informacím technické podpory na této adrese URL: http://www.symantec.com/cs/cz/business/support/ Před kontaktováním technické podpory se přesvědčte, jestli systém splňuje požadavky uvedené v dokumentaci k produktu. Měli byste být také u počítače, na kterém k potížím došlo, pro případ, že by bylo problém potřeba opakovat. Při kontaktování technické podpory mějte k dispozici tyto informace: ■

Úroveň vydání produktu

■

Informace o hardwaru

■

Informace o dostupné paměti, místu na disku a síťové kartě

■

Operační systém

■

Verze a úroveň opravy

■

Topologie sítě

■

Informace o routeru, bráně a adrese IP

■

Popis problému: ■

Chybové zprávy a soubory protokolu

■

Řešení potíží, které proběhlo před kontaktováním společnosti Symantec

■

Poslední změny konfigurace softwaru a změny v síti

Licence a registrace Pokud váš produkt Symantec vyžaduje registraci nebo licenční klíč, navštivte webovou stránku technické podpory na této adrese URL: http://www.symantec.com/cs/cz/business/support/

Zákaznická služba Informace o zákaznické službě jsou dostupné na této adrese URL: http://www.symantec.com/cs/cz/business/support/ Zákaznická služba je vám k dispozici při řešení problémů netechnického rázu, jako například: ■

Otázky týkající se licencí nebo serializace produktu

■

Aktualizace registrace produktu jako jsou změny adresy či názvu

■

Obecné informace o produktu (funkce, jazyková dostupnost, místní prodejci)

■

Nejnovější informace o aktualizacích a upgradech produktu

■

Informace o záruce upgradu a smlouvách o poskytování technické podpory

■

Informace o programech Symantec Buying Programs

■

Informace o možnostech technické podpory společnosti Symantec

■

Netechnické předprodejní dotazy

■

Problémy související s disky CD-ROM, DVD a příručkami

Zdroje pro smlouvu o poskytování technické podpory Pokud se chcete obrátit na společnost Symantec ohledně existující smlouvy o poskytování technické podpory, obraťte se na tým správy smlouvy o poskytování technické podpory ve vaší oblasti: Asie-Tichomoří a Japonsko

[email protected]

Evropa, Blízký východ a Afrika

[email protected]

Severní Amerika a Latinská Amerika

[email protected]

Další služby pro podniky Společnost Symantec nabízí komplexní sadu služeb, které vám umožní maximalizovat investici do produktů Symantec a rozvíjet znalostní, expertní a globální vhled, což vám dovolí aktivně spravovat svá obchodní rizika. Mezi služby pro podniky, které jsou k dispozici, patří: Služby Managed Services

Služby Managed Services vás zbavují břemene správy a sledování bezpečnostních zařízení a událostí a zajišťují rychlou reakci na skutečné hrozby.

Consulting Services

Služby Symantec Consulting Services poskytují technickou podporu společnosti Symantec a jejích důvěryhodných partnerů přímo na pracovišti. Služby Symantec Consulting Services nabízejí širokou škálu předem připravených a přizpůsobitelných možností, mezi které patří hodnocení, návrh, implementace, sledování a funkce pro správu. Každá se zaměřuje na vytvoření a udržení integrity a dostupnosti vašich zdrojů IT.

Služby Education Services

Služby Education Services poskytují plný rozsah technického školení, bezpečnostního vzdělávání, bezpečnostní certifikace a programů komunikace o bezpečnosti.

Více informací o službách pro podniky najdete na našich webových stránkách na této adrese URL: www.symantec.com/business/services/ Z rejstříku stránky vyberte svou zemi nebo jazyk.

Obsah

Technická podpora ............................................................................................. 4 Kapitola 1

Začínáme s klientem ........................................................... 11 Klient Symantec Endpoint Protection .............................................. Klient Symantec Network Access Control ......................................... Začínáme na stránce Stav .............................................................. Ikony výstrah na stránce Stav ........................................................ Okamžité prověřování počítače ....................................................... Pozastavení a zpoždění prověřování .......................................... Další zdroje informací ...................................................................

Kapitola 2

Reakce na výstrahy a oznámení ....................................... 21 Typy výstrah a oznámení .............................................................. Výsledky prověřování ................................................................... Reakce na zjištění viru nebo rizika .................................................. Odstranění viru nebo rizika z infikovaného souboru ..................... Reakce na zprávy funkce Download Insight s dotazem na povolení nebo zablokování souboru, který se pokoušíte stáhnout ................ Reakce na zprávy s dotazem, jestli aplikaci povolit nebo zablokovat ............................................................................ Zpráva informující o ukončení platnosti licence ................................. Reakce na zprávy s aktualizací klientského softwaru ..........................

Kapitola 3

11 13 13 15 16 17 18

21 23 24 26 27 29 30 30

Kontrola ochrany počítače ................................................ 33 Správa ochrany počítače ............................................................... Aktualizace ochrany počítače ......................................................... Okamžitá aktualizace obsahu ................................................... Aktualizace obsahu podle plánu ................................................ Určení připojení a ochrany klienta .................................................. Skrytí a zobrazení ikony na hlavním panelu ................................ Spravovaní a nespravovaní klienti ................................................... Ověření, zda je klient spravován nebo nespravován ............................ Povolení nebo zakázání ochrany ..................................................... Povolení nebo zakázání ochrany v klientském počítači ........................

33 35 36 37 38 39 39 41 42 43

8

Obsah

Povolení nebo zakázání funkce Auto-Protect ..................................... Povolení, zakázání a konfigurace ochrany před změnami .................... Informace o protokolech ............................................................... Prohlížení protokolů ..................................................................... Povolení protokolu paketů ....................................................... Trasování protokolovaných událostí zpět k jejich zdroji ...................... Export dat protokolu ....................................................................

Kapitola 4

44 46 47 49 49 50 51

Správa prověřování ............................................................. 55 Správa prověřování v počítači ........................................................ Jak funguje prověřování na viry a spyware ........................................ Informace o typech prověřování ............................................... Informace o typech funkcí Auto-Protect ..................................... Viry a bezpečnostní rizika ....................................................... Jak prověřování reagují na zjištění viru nebo rizika ...................... Způsob, jakým aplikace Symantec Endpoint Protection k rozhodování o souborech využívá informace o hodnocení ....................................................................... Naplánování prověřování definovaného uživatelem ........................... Naplánování prověřování na spuštění na požádání nebo při zapnutí počítače ................................................................................ Správa detekcí Download Insight v počítači ...................................... Přizpůsobení nastavení funkce Download Insight .............................. Přizpůsobení nastavení prověřování výskytu virů a spywaru ................ Konfigurace akcí pro zjišťování malwaru a bezpečnostních rizik ........... Vyloučení položek z prověřování .................................................... Vyloučení položek z prověřování .................................................... Správa souborů v klientském počítači uložených do karantény ............. Umístění souborů do karantény ................................................ Umístění souboru do karantény z protokolu rizika nebo prověřování .................................................................... Ruční odeslání potenciálně infikovaného souboru do systému Symantec Security Response k analýze ................................ Automatické odstraňování souborů z Karantény .......................... Informace o odeslání informací o zjištěních hrozbách do střediska Symantec Security Response .................................................... Odeslání informací o zjištěních hrozbách do střediska Symantec Security Response .................................................................. O spolupráci klienta se Střediskem zabezpečení systému Windows .............................................................................. Správa funkce SONAR v klientském počítači ..................................... Informace o funkci SONAR ......................................................

56 61 63 65 67 70

71 72 75 76 79 80 82 86 87 89 91 92 92 93 93 95 96 97 99

Obsah

Informace o souborech a aplikacích detekovaných funkcí SONAR ........................................................................... 99 Změna nastavení funkce SONAR ............................................. 100

Kapitola 5

Správa brány firewall a prevence narušení .................. 103 Ochrana před síťovými hrozbami .................................................. Správa ochrany pomocí brány firewall ........................................... Jak funguje brána firewall ...................................................... Konfigurace nastavení brány firewall ............................................. Povolení provozu a nastavení režimu procházení stealth ............. Automatické povolení komunikace pro důležité síťové služby .......................................................................... Povolení sdílení souborů a tiskáren v síti .................................. Blokování a odblokování útočícího počítače ............................... Blokování provozu ................................................................ Povolení nebo blokování aplikací ................................................... Povolení nebo blokování přístupu k síti u aplikací ....................... Konfigurace specifických nastavení aplikace ............................. Odebírání omezení aplikace .................................................... Zobrazení činnosti v síti ............................................................... Pravidla brány firewall v klientovi ................................................. Informace o pořadí zpracování pravidla brány firewall, nastavení brány firewall a prevence narušení .......................................... Změna pořadí pravidel brány firewall ............................................. Způsob, kterým brána firewall využívá stavovou inspekci .................. Prvky pravidla brány firewall ....................................................... Nastavení pravidel brány firewall .................................................. Přidání pravidla brány firewall ............................................... Export a import pravidel brány firewall .................................... Povolení a zakázání pravidel brány firewall ............................... Správa prevence narušení ............................................................ Způsob fungování prevence narušení ............................................. Povolení nebo zakázání prevence narušení ...................................... Konfigurace upozornění prevence narušení .....................................

Kapitola 6

104 104 106 107 108 114 115 117 118 120 121 121 123 124 125 126 127 128 129 131 132 133 133 134 135 136 137

Správa aplikace Symantec Network Access Control ........................................................................... 139 Jak pracuje aplikace Symantec Network Access Control ..................... Jak klient funguje s modulem Enforcer ........................................... Spuštění kontroly integrity hostitele .............................................. Náprava počítače ........................................................................ Konfigurace klienta pro ověřování 802.1x .......................................

139 141 141 142 142

9

10

Obsah

Opětovné ověření počítače ..................................................... 146 Prohlížení protokolů aplikace Symantec Network Access Control ............................................................................... 147

Rejstřík ............................................................................................................... 149

Kapitola

1

Začínáme s klientem Tato kapitola obsahuje následující témata: ■

Klient Symantec Endpoint Protection

■

Klient Symantec Network Access Control

■

Začínáme na stránce Stav

■

Ikony výstrah na stránce Stav

■

Okamžité prověřování počítače

■

Další zdroje informací

Klient Symantec Endpoint Protection Klient Symantec Endpoint Protection kombinuje několik vrstev ochrany kvůli aktivnímu zabezpečení počítače proti známým a neznámým hrozbám a síťovým útokům. Tab. 1-1 popisuje jednotlivé úrovně ochrany.

12

Začínáme s klientem Klient Symantec Endpoint Protection

Tab. 1-1

Typy ochrany

Úroveň

Popis

Ochrana před viry a spywarem Tato vrstva bojuje s velkým množstvím hrozeb včetně spywaru, červů, trojských koní, virových nástrojů a adwaru. Funkce Auto-Protect systému souborů nepřetržitě kontroluje všechny soubory počítače, jestli neobsahují viry nebo bezpečnostní rizika. Funkce Auto-Protect pro internetovou poštu prověřuje jak příchozí, tak odchozí e-mailové zprávy, které používají komunikační protokoly POP3 a SMTP přes protokol SSL. Funkce Auto-Protect pro Microsoft Outlook prověřuje příchozí a odchozí e-mailové zprávy aplikace Outlook. Viz „Správa prověřování v počítači“ na straně 56. Aktivní ochrana před hrozbami Aktivní ochrana před hrozbami zahrnuje funkci SONAR nabízející ochranu v reálném čase proti zcela novým hrozbám. Funkce SONAR dokáže útoky zastavit dříve, než tradiční definice využívající signatury hrozbu odhalí. Funkce SONAR k rozhodování v případě aplikace nebo souboru využívá jak heuristickou metodu, tak data s hodnocením. Viz „Správa funkce SONAR v klientském počítači“ na straně 97. Ochrana před síťovými hrozbami

Tato vrstva spojuje ochranu brány firewall a prevenci narušení. Brána firewall založená na pravidlech zabraňuje neoprávněným uživatelům v přístupu k počítači. Systém prevence narušení automaticky zjišťuje a blokuje pokusy o síťové útoky. Viz „Správa ochrany pomocí brány firewall“ na straně 104.

Správce může určit, které typy zabezpečení bude server pro správu do vašeho klientského počítače stahovat. Klient stáhne do vašeho počítače automaticky definice virů, IPS a aktualizace produktu. Uživatelé, kteří cestují s přenosnými počítači, mohou získat definice virů a aktualizace produktu přímo ze služby LiveUpdate. Viz „Aktualizace ochrany počítače“ na straně 35.

Začínáme s klientem Klient Symantec Network Access Control

Klient Symantec Network Access Control Klient aplikace Symantec Network Access Control vyhodnotí, zda je počítač dostatečně chráněn a splňuje zásady zabezpečení a je možné povolit jeho připojení do podnikové sítě. Klient zajišťuje, že je počítač ve shodě se zásadami zabezpečení, které nakonfiguroval správce. Zásady zabezpečení kontrolují, zda na počítači běží aktuální zabezpečovací software, jako je ochrana před viry a brána firewall. Pokud v počítači není spuštěn požadovaný software, aktualizujte software ručně. Klient se také může aktualizovat automaticky. Pokud není zabezpečovací software aktuální, nemusí být v počítači povolen přístup do sítě. Klient provádí opakované kontroly, které mají zajistit stálé splňování zásad zabezpečení. Viz „Jak pracuje aplikace Symantec Network Access Control“ na straně 139.

Začínáme na stránce Stav Když otevřete klienta, zobrazí se hlavní okno a stránka Stav. Tab. 1-2 ukazuje hlavní úkony, které můžete provádět z panelu nabídek a možnosti Nápověda klienta. Hlavní okno klienta

Tab. 1-2 Klepnutí na možnost

Provést tyto úlohy

Nápověda

Spustí hlavní nápovědu online a provede na klientovi tyto úlohy: ■

Zobrazí informace o počítači, o klientovi a o ochraně klienta.

Zobrazí informace o stavu připojení klienta k serveru pro správu. V případě potřeby se také můžete k serveru pokusit připojit. ■ Naimportuje a vyexportuje zásady zabezpečení a nastavení komunikace na nespravovaném klientovi. ■ Zobrazí a vyexportuje odlaďovací protokoly a soubor řešení potíží, které správci pomohou diagnostikovat problém s klientem nebo ochranou klienta. ■ Stáhne nástroj podpory na diagnózu běžných potíží s klientem. ■

13

14

Začínáme s klientem Začínáme na stránce Stav

Klepnutí na možnost


Stav

Zobrazí, jestli je počítač chráněný a jestli je licence počítače platná. Barvy a ikony výstrah na stránce Stav ukazují, které technologie jsou povolené a chrání klienta. Viz „Ikony výstrah na stránce Stav“ na straně 15. Je možné: Povolit nebo zakázat jednu či více technologií ochrany. Viz „Povolení nebo zakázání ochrany“ na straně 42. ■ Zobrazit, jestli máte nainstalovány nejnovější definice virů pro ochranu před viry a spywarem, aktivní ochranu před hrozbami a ochranu sítě před hrozbami. ■ Spustit aktivní prověřování. Viz „Okamžité prověřování počítače“ na straně 16. ■ Zobrazit seznam hrozeb a prohlédnout si výsledky posledního prověřování virů a spywaru. ■

Prověřování hrozeb

Můžete provádět následující úlohy: Spustit okamžitě aktivní nebo úplné prověřování. Viz „Okamžité prověřování počítače“ na straně 16. ■ Vytvořit naplánované prověřování, prověřování při spuštění nebo prověřování na požádání. Viz „Naplánování prověřování definovaného uživatelem“ na straně 72. Viz „Naplánování prověřování na spuštění na požádání nebo při zapnutí počítače“ na straně 75. ■

Začínáme s klientem Ikony výstrah na stránce Stav

Klepnutí na možnost


Změnit nastavení

Nakonfiguruje nastavení uvedených technologií ochrany a funkcí: ■

■

■

■

■

■

Povolit a nakonfigurovat možnosti funkce Auto-Protect. Viz „Přizpůsobení nastavení prověřování výskytu virů a spywaru“ na straně 80. Nakonfigurovat nastavení brány firewall a nastavení systému prevence narušení. Viz „Správa ochrany pomocí brány firewall“ na straně 104. Zobrazit a přidat výjimky do prověřování. Viz „Vyloučení položek z prověřování“ na straně 87. Zobrazit ikonu na hlavním panelu. Viz „Určení připojení a ochrany klienta“ na straně 38. Nakonfigurovat nastavení ochrany před změnami. Viz „Povolení, zakázání a konfigurace ochrany před změnami“ na straně 46. Vytvořit plán na stahování obsahu a aktualizací produktu na klienta. Viz „Aktualizace obsahu podle plánu“ na straně 37.

Viz „Správa ochrany počítače“ na straně 33. Zobrazit karanténu

Zobrazí viry a bezpečnostní rizika, která klient zjistil a umístil do karantény. Soubory v karanténě můžete obnovit, odstranit, vyčistit, vyexportovat nebo přidat. Viz „Umístění souborů do karantény“ na straně 91.

Zobrazit protokoly

Zobrazí jakýkoli klientský protokol.

LiveUpdate

Spustí okamžitě aktualizaci LiveUpdate. Aktualizace LiveUpdate stáhne nejnovější definice obsahu a aktualizace produktů ze serveru pro správu, který je umístěn v podnikové síti.

Viz „Prohlížení protokolů“ na straně 49.

Viz „Okamžitá aktualizace obsahu“ na straně 36.

Ikony výstrah na stránce Stav Horní část stránky Stav zobrazuje různé ikony výstrah, které označují stav ochrany počítače.

15

16

Začínáme s klientem Okamžité prověřování počítače

Ikony výstrah stránky Stav

Tab. 1-3 Ikona

Popis Ukazuje, zda jsou povoleny všechny ochrany.

Varuje, že jsou definice virů klientského počítače zastaralé. Aktuální definice virů získáte okamžitým spuštěním aktualizace LiveUpdate. Klientský počítač může mít také tyto potíže: Selhalo ověření souladu zabezpečení integrity hostitele klientského počítače. Abyste zjistili, co je potřeba udělat ke splnění kontroly, ověřte protokol zabezpečení správy klienta. ■ Integrita hostitele není připojena. ■

Viz „Aktualizace ochrany počítače“ na straně 35. Ukazuje, že jedna či více ochran je zakázaných nebo že klientovi vypršela licence. Ochranu umožníte klepnutím na možnost Opravit nebo Opravit vše. Viz „Povolení nebo zakázání ochrany“ na straně 42.

Okamžité prověřování počítače Manuálně můžete prověřit počítač na přítomnost virů a bezpečnostních rizik kdykoli. Pokud jste nedávno nainstalovali klienta nebo si myslíte, že jste nedávno obdrželi virus, měli byste počítač prověřit ihned. Můžete vybrat prověřování libovolné položky (pouze jeden soubor, disketu nebo i celý počítač). Na požádání lze spouštět aktivní i úplné prověření. Můžete vytvořit i vlastní prověřování, které chcete spouštět na požádání. Viz „Naplánování prověřování na spuštění na požádání nebo při zapnutí počítače“ na straně 75. Viz „Aktualizace ochrany počítače“ na straně 35. Chcete-li získat více informací o možnostech v každém dialogovém okně, klepněte na položku Nápověda. Okamžité prověřování počítače ◆

Proveďte jednu z následujících akcí: ■

V klientovi na stránce Stav vedle položky Ochrana před viry a spywarem klepněte na položky Možnosti > Spustit aktivní prověřování.

■

V klientovi klepněte na příkaz Prověřovat na hrozby v postranním panelu. Proveďte jednu z následujících akcí:

Začínáme s klientem Okamžité prověřování počítače

■

Klepněte na položku Spustit aktivní prověřování.

■

Klepněte na položku Spustit úplné prověřování.

■

V seznamu prověřování klepněte pravým tlačítkem na některé z nich a vyberte možnost Prověřit. Spustí se prověřování. Pokud správce takovou možnost nezakázal, průběh prověřování můžete sledovat. Pokud chcete sledovat průběh prověřování, klepněte na odkaz zprávy, která se v rámci aktuálního prověřování zobrazí: Probíhá prověřování. Viz „Výsledky prověřování“ na straně 23.

Prověřování můžete také pozastavit nebo zrušit. Viz „Pozastavení a zpoždění prověřování“ na straně 17. Prověřování počítače ze systému Windows ◆

V okně Tento počítač nebo Průzkumník Windows klepněte pravým tlačítkem myši na soubor, složku nebo jednotku a vyberte položku Prověřovat na přítomnost virů. Tato funkce je podporována v 32- a 64bitových operačních systémech. Poznámka: Při provádění prověřování tohoto typu vyhledávání Insight neprověřuje složku ani jednotku. Vyhledávání Insight se spustí, pokud k prověřování vyberete soubor nebo skupinu souborů.

Pozastavení a zpoždění prověřování Funkce pozastavení umožňuje kdykoli zastavit průběh prověřování a později jej znovu obnovit. Můžete pozastavit jakékoli prověřování, které spustíte. Správce sítě určuje, zda můžete pozastavit prověřování, které tento správce inicioval. Pokud není k dispozici možnost Pozastavit prověřování, správce funkci pozastavení zakázal. Pokud správce povolil funkci Odložení, můžete zpozdit prověřování naplánované správcem o nastavený časový interval. Když se prověřování obnoví, začne tam, kde bylo zastaveno. Poznámka: Pokud klient prověřuje komprimovaný soubor a vy prověřování pozastavíte, klient může zareagovat na pozastavení až po několika minutách. Viz „Správa prověřování v počítači“ na straně 56.

17

18

Začínáme s klientem Další zdroje informací

Pozastavení prověřování, které jste iniciovali

1

Jestliže probíhá prověřování, klepněte v dialogovém okně prověřování na ikonu Pozastavit prověřování. Prověřování se ihned zastaví a dialogové okno prověřování zůstane otevřené, dokud prověřování nespustíte znovu.

2

Klepnutím na ikonu Obnovit prověřování budete v prověřování pokračovat.

Pozastavení nebo odložení prověřování iniciovaného správcem

1

Jestliže probíhá prověřování iniciované správcem, v dialogovém okně prověřování klepněte na tlačítko Pozastavit prověřování.

2

V dialogovém okně Pozastavení plánovaného prověřování proveďte následující kroky: ■

Prověřování lze dočasně pozastavit klepnutím na možnost Pozastavit.

■

Prověřování lze odložit klepnutím na možnost Odložit o 1 hodinu nebo Odložit o 3 hodiny. Správce stanoví interval, o který můžete prověřování zpozdit. Pokud pozastavení dosáhne limitu, obnovení prověřování se spustí od začátku. Správce stanoví počet opakování zpoždění plánovaného prověřování; po vyčerpání těchto opakování bude funkce zakázána.

■

Klepnutím na tlačítko Pokračovat lze v prověřování pokračovat bez přerušení.

Další zdroje informací Produkt zahrnuje několik zdrojů informací. Tab. 1-4 zobrazuje weby, na kterých lze najít další informace o použití produktu. Tab. 1-4

Webové servery společnosti Symantec

Typ informací

Webová adresa

Software Symantec Endpoint Protection

http://www.symantec.com/cs/cz/ business/theme.jsp?themeid=downloads

Veřejná databáze znalostí

Symantec Endpoint Protection: http://www.symantec.com/business/support/overview.jsp?pid=54619

Vydání a aktualizace Aktualizace příruček a dokumentace Kontakty

Symantec Network Access Control: http://www.symantec.com/business/support/overview.jsp?pid=52788


Typ informací

Webová adresa

Informace a aktualizace informací o virech a dalších hrozbách

http://www.symantec.com/cs/cz/security_response/

Novinky o produktech a aktualizace produktů

http://www.symantec.com/cs/cz/business/

Bezplatné technické školení online

http://go.symantec.com/education_septc

Symantec Educational Services

http://go.symantec.com/education_sep

Fóra Symantec Connect:

Symantec Endpoint Protection: http://www.symantec.com/connect/security/forums/ endpoint-protection-antivirus Symantec Network Access Control: http://www.symantec.com/connect/security/forums/ network-access-control

19

20


Kapitola

2

Reakce na výstrahy a oznámení Tato kapitola obsahuje následující témata: ■

Typy výstrah a oznámení

■

Výsledky prověřování

■

Reakce na zjištění viru nebo rizika

■

Reakce na zprávy funkce Download Insight s dotazem na povolení nebo zablokování souboru, který se pokoušíte stáhnout

■

Reakce na zprávy s dotazem, jestli aplikaci povolit nebo zablokovat

■

Zpráva informující o ukončení platnosti licence

■

Reakce na zprávy s aktualizací klientského softwaru

Typy výstrah a oznámení Klient pracuje na pozadí, aby chránil počítač před nebezpečnými aktivitami. Někdy klient potřebuje provést oznámení o aktivitě nebo požádat o zpětnou vazbu. Tab. 2-1 ukazuje typy zpráv, které se mohou zobrazit a které vyžadují reakci.

22

Reakce na výstrahy a oznámení Typy výstrah a oznámení

Tab. 2-1

Typy výstrah a oznámení

Výstraha

Popis

Dialogové okno bylo spuštěno nebo Výsledky detekce aplikace Symantec Endpoint Protection

Nalezne-li prověřování virus či bezpečnostní hrozbu, zobrazí se dialogové okno Výsledky zjišťování v aplikaci Symantec Endpoint Protection s informacemi o infekci. Dialogové okno také zobrazí akci, kterou prověřování provedlo s rizikem. Obvykle není potřeba provést žádnou jinou akci, pouze zkontrolovat aktivitu a zavřít dialogové okno. Je-li to však nezbytně nutné, můžete provést další akce. Viz „Výsledky prověřování“ na straně 23. bylo spuštěno nebo Výsledky zjišťování v aplikaci Symantec Endpoint Protection

Dialogová okna s jinou zprávou

Místní zprávy se mohou zobrazovat z těchto důvodů: Klient automaticky aktualizoval klientský software. Viz „Reakce na zprávy s aktualizací klientského softwaru“ na straně 30. ■ Klient vás vyzve, aby povolili či zablokovali aplikaci. Viz „Reakce na zprávy s dotazem, jestli aplikaci povolit nebo zablokovat“ na straně 29. ■ Zkušební licence klienta vypršela. Viz „Zpráva informující o ukončení platnosti licence“ na straně 30. ■

Reakce na výstrahy a oznámení Výsledky prověřování

Výstraha

23

Popis

Zprávy ikony na hlavním Oznámení, které se zobrazí na ikoně na hlavním panelu, se objeví panelu v těchto situacích: ■

Klient zablokuje aplikaci. Zobrazí se například následující oznámení: Provoz byl zablokován z této aplikace: (název aplikace)

Je-li klient nakonfigurován tak, aby byl blokován veškerý provoz, budou se tato oznámení zobrazovat často. Je-li klient nakonfigurován tak, aby byl povolen veškerý provoz, tato oznámení se zobrazovat nebudou. ■ Klient zjistí síťový útok na váš počítač. může se zobrazit následující typ oznámení: Provoz z adresy IP 192.168.0.3 je blokován od 2/14/2010 15:37:58 do 2/14/2010 15:47:58. Útok prověřováním portů byl uložen do protokolu. ■

Ověření souladu zabezpečení se nezdařilo. Odchozí i příchozí provoz ve vašem počítači může být blokován

Pro zajištění ochrany nemusíte udělat nic dalšího, jen si zprávu přečíst. Viz „Určení připojení a ochrany klienta“ na straně 38.

Výsledky prověřování U spravovaných klientů správce obvykle nastavuje spouštění úplného prověření alespoň jednou týdně. U nespravovaných klientů se při spuštění počítače spustí automaticky vygenerované aktivní prověření. Standardně je funkce Auto-Protect v počítači trvale spuštěna Je-li spuštěno prověřování, zobrazuje se v dialogovém okně prověřování jeho postup a výsledky. Po dokončení prověřování se zobrazí výsledky v seznamu. Pokud klient nezjistil žádné viry či bezpečnostní rizika, zůstane seznam prázdný a stav bude Dokončeno. Pokud klient v průběhu prověřování zjistí rizika, zobrazí se v dialogovém okně s výsledky prověřování tyto informace: ■

názvy virů nebo bezpečnostních rizik,

■

názvy infikovaných souborů,

24

Reakce na výstrahy a oznámení Reakce na zjištění viru nebo rizika

■

akce, které klient s riziky učinil.

Pokud klient zjistí virus nebo bezpečnostní riziko, může se od vás vyžadovat provedení určité akce s infikovaným souborem. Poznámka: U spravovaných klientů se může správce rozhodnout dialogové okno s výsledky prověřování skrýt. Pokud se jedná o nespravovaného klienta, můžete dialogové okno zobrazit nebo skrýt. Jestliže vy nebo správce nakonfigurujete klientský software tak, aby zobrazoval dialogové okno s výsledky prověřování, můžete prověřování pozastavit, restartovat nebo zastavit. Viz „Spravovaní a nespravovaní klienti“ na straně 39. Viz „Reakce na zjištění viru nebo rizika“ na straně 24. Viz „Pozastavení a zpoždění prověřování“ na straně 17.

Reakce na zjištění viru nebo rizika Při spuštění prověřování definovaného správcem, prověřování definovaného uživatelem nebo prověřování funkce Auto-Protect se může zobrazit dialogové okno s výsledky prověřování. Pomocí dialogového okna s výsledky prověřování můžete okamžitě provádět akce s poškozeným souborem. Můžete se například rozhodnout vyčištěný soubor odstranit, protože ho chcete nahradit původním souborem. Je také možné použít karanténu nebo protokol rizik a prověřování a provést se souborem příslušnou akci později. Viz „Správa souborů v klientském počítači uložených do karantény“ na straně 89.


Reakce na odhalený vir nebo riziko v dialogovém okně s výsledky prověřování

1

V dialogovém okně s výsledky prověřování vyberte soubory, se kterými chcete pracovat.

2

Klepněte pravým tlačítkem na vybranou položku a zvolte jednu z následujících možností: Vyčistit

Odstraní virus ze souboru. Tato možnost je k dispozici pouze v případě viru.

Vyloučit

Vyloučí soubor z opětovného prověřování.

Odstranit trvale

Odstraní infikovaný soubor a všechny vedlejší účinky. V případě bezpečnostních rizik používejte tuto akci opatrně. Odstranění bezpečnostních rizik může v některých případech vést k tomu, že některé aplikace přestanou fungovat.

Vrátit zpět provedenou akci

Vrátí zpět provedenou akci.

Přesunout do karantény

Umístí infikovaný soubor do karantény. V případě bezpečnostních rizik se klient pokusí odstranit nebo napravit vedlejší účinky. Umístění bezpečnostního rizika klientem do karantény může vést v některých případech k tomu, že některé aplikace přestanou fungovat.

Vlastnosti

Zobrazí informace o viru nebo bezpečnostním riziku.

V některých případech nemusí být akce dostupná.

3

V dialogovém okně klepněte na tlačítko Zavřít. Pokud uvedená rizika vyžadují akci z vaší strany, nebudete moci dialogové okno zavřít. Klient bude např. vyžadovat ukončení procesu nebo aplikace či zastavení služby. V takovém případě se zobrazí dialogové okno Odebrat rizika.

4

V dialogovém okně Odstranit rizika klepněte na jednu z následujících možností: ■

Ano Klient odstraní riziko. Odstranění rizika může vyžadovat restart počítače. Zda je restart zapotřebí, oznamuje informace v dialogovém okně.

■

Ne

25

26


Dialogové okno s výsledky vám připomíná, že je stále zapotřebí provést akci. Dialogové okno Odebrat rizika však bude až do restartu počítače potlačeno.

5

Pokud se dialogové okno s výsledky v rámci kroku 3 nezavřelo, klepněte na možnost Zavřít.

Viz „Jak prověřování reagují na zjištění viru nebo rizika“ na straně 70. Viz „Prohlížení protokolů“ na straně 49. Viz „Správa prověřování v počítači“ na straně 56.

Odstranění viru nebo rizika z infikovaného souboru Jestliže klient potřebuje ukončit proces nebo aplikaci či zastavit službu, je tlačítko Odebrat riziko aktivní. Pokud rizika uvedená v dialogovém okně vyžadují akci z vaší strany, nebudete moci dialogové okno zavřít. Tab. 2-2 popisuje možnosti v dialogovém okně s výsledky. Tab. 2-2

Možnosti v dialogovém okně s výsledky

Možnost

Popis

Zavřít

Pokud nemusíte provést akci s žádným rizikem, zavře dialogové okno s výsledky. Jestliže je zapotřebí provést akci, zobrazí se toto upozornění: Je nutné odebrání rizika Upozornění se zobrazí, pokud některé riziko vyžaduje ukončení procesu. Pokud zvolíte odebrání rizika, vrátíte se do dialogového okna s výsledky. Jestliže je rovněž vyžadován restart, informace v řádku rizika v dialogovém okně oznámí nutnost restartu. ■ Je vyžadován restart Upozornění se zobrazí, pokud některé riziko vyžaduje restart. ■ Je nutné odebrání rizika a restart Upozornění se zobrazí, pokud některé riziko vyžaduje ukončení procesu a jiné riziko vyžaduje restart. ■

Reakce na výstrahy a oznámení Reakce na zprávy funkce Download Insight s dotazem na povolení nebo zablokování souboru, který se pokoušíte stáhnout

Možnost

Popis

Odebrat rizika nyní

Zobrazí dialogové okno Odebrat riziko. V dialogovém okně Odebrat riziko můžete pro každé riziko vybrat jednu z těchto možností: Ano Klient odstraní riziko. Odstranění rizika může vyžadovat restart počítače. Zda je restart zapotřebí, oznamuje informace v dialogovém okně. ■ Ne Po zavření dialogového okna s výsledky se zobrazí dialogové okno Odstranit riziko . Dialogové okno vám připomíná, že je stále zapotřebí provést akci. Avšak dialogové okno Odebrat riziko se až do restartu počítače potlačí. ■

Je-li zapotřebí restart, odebrání nebo oprava se dokončí až po restartování počítače. Pokud bude zapotřebí provést s rizikem některou akci, můžete se rozhodnout její provedení odložit. Riziko lze odebrat nebo opravit později některým z těchto způsobů: ■

Můžete otevřít protokol rizik, klepnout pravým tlačítkem myši na riziko a provést potřebnou akci.

■

Můžete spustit prověřování, které dané riziko zjistí a znovu otevře dialogové okno s výsledky.

Akci lze také provést po klepnutí na riziko pravým tlačítkem myši a výběru akce. Akce, které můžete provést, závisí na akcích nakonfigurovaných pro konkrétní typ rizika, které prověřování nalezlo. Viz „Reakce na zjištění viru nebo rizika“ na straně 24.

Reakce na zprávy funkce Download Insight s dotazem na povolení nebo zablokování souboru, který se pokoušíte stáhnout Jsou-li upozornění funkce Download Insight povolena, budou se tato upozornění zobrazovat pokaždé, když funkce Download Insight odhalí škodlivý soubor nebo soubor s neprokázanou škodlivostí.

27

28

Reakce na výstrahy a oznámení Reakce na zprávy funkce Download Insight s dotazem na povolení nebo zablokování souboru, který se pokoušíte stáhnout

Poznámka: Zprávy o detekci se zobrazí bez ohledu na to, zda jsou upozornění povolena, pokud je pro soubory s neprokázanou škodlivostí vybrána akce Dotázat se. Vy sami nebo správce můžete určit, do jaké míry bude funkce Download Insight na škodlivé soubory citlivá. Změnou úrovně citlivosti můžete ovlivnit počet zobrazených upozornění. Funkce Download Insight využívá technologii společnosti Symantec s názvem Insight, která s ohledem na informace z globální komunity s miliony uživatelů vyhodnocuje soubory a určuje jejich hodnocení. Upozornění funkce Download Insight obsahují následující informace o zjištěném souboru: ■

Důvěryhodnost souborů Hodnocení souboru odráží jeho důvěryhodnost. Škodlivé soubory nejsou důvěryhodné. Soubory s neprokázanou škodlivostí důvěryhodné mohou být, ale také nemusejí.

■

Četnost výskytu souboru v komunitě Informace o průměrném rozšíření souboru je důležitá. U souborů s nízkým výskytem je pravděpodobnost škodlivosti vyšší.

■

Stáří souboru U novějších souborů má společnost Symantec k dispozici méně informací.

Informace mohou pomoci při rozhodování, zda soubor povolit nebo zakázat. Viz „Správa prověřování v počítači“ na straně 56. Viz „Způsob, jakým aplikace Symantec Endpoint Protection k rozhodování o souborech využívá informace o hodnocení“ na straně 71. Reakce na zprávy funkce Download Insight s dotazem na povolení nebo zablokování souboru

1

Ve zprávě funkce Download Insight o detekci proveďte jednu z těchto akcí: ■

Klepněte na možnost Odstranit tento soubor z počítače. Funkce Download Insight soubor přesune do karantény. Tato možnost se zobrazí jen pro soubory s neprokázanou škodlivostí.

■

Klepněte na možnost Povolit tento soubor. Může se zobrazit dialogové okno s dotazem, zda si jste povolením souboru jisti. Pokud se rozhodnete povolit soubor s neprokázanou škodlivostí, který nebyl umístěn do karantény, soubor bude automaticky spuštěn. Pokud se rozhodnete povolit soubor v karanténě, soubor nebude spuštěn

Reakce na výstrahy a oznámení Reakce na zprávy s dotazem, jestli aplikaci povolit nebo zablokovat

automaticky. Soubor můžete spustit ze složky dočasných internetových souborů. Obvyklá cesta ke složce je \\Documents and Settings\username\Local Settings\Temporary Internet Files.

2

Pokud u nespravovaných klientů povolíte soubor, produkt Symantec Endpoint Protection v počítači automaticky vytvoří pro soubor výjimku. V případě spravovaných klientů produkt Symantec Endpoint Protection v počítači automaticky vytvoří pro soubor výjimku, pokud správce povolí vytváření výjimek.

Reakce na zprávy s dotazem, jestli aplikaci povolit nebo zablokovat Pokud se aplikace na počítači pokusí připojit k síti, může se klient dotázat na povolení nebo zablokování aplikace. Můžete se rozhodnout blokovat přístup k síti u aplikace, u které máte obavy z její bezpečnosti. Tento typ oznámení se zobrazí z jednoho z následujících důvodů: ■

Aplikace vyžaduje přístup k síťovému připojení.

■

Aplikace, která má přístup k síťovému připojení, byla upgradována.

■

Správce aktualizoval klientský software.

■

Klient přepne uživatele prostřednictvím funkce rychlého přepínání uživatele.

Může se zobrazit následující typ zprávy, která informuje o tom, kdy se aplikace pokoušela o přístup k počítači: IEXPLORE.EXE se pokouší přistupovat k síti. Chcete tomuto programu povolit přístup k síti?

Reakce na zprávy s dotazem, jestli aplikaci povolit nebo zablokovat

1

Pokud chcete, aby nebyla při příštím pokusu aplikace o přístup k síti tato zpráva zobrazována, klepněte v dialogovém okně na možnost Zapamatovat odpověď a již se u této aplikace neptat.

2

Případně vyhledejte více informací o připojení a aplikaci klepnutím na tlačítko Podrobnosti >>.

3


Klepnutím na tlačítko Ano povolíte aplikaci přístup k síti.

■

Klepnutím na tlačítko Ne aplikaci přístup k síti zablokujete.

29

30

Reakce na výstrahy a oznámení Zpráva informující o ukončení platnosti licence

Akci aplikace lze také změnit v poli Spuštěné aplikace nebo v seznamu Aplikace. Viz „Konfigurace specifických nastavení aplikace“ na straně 121.

Zpráva informující o ukončení platnosti licence Klient používá licenci k aktualizaci definic virů pro prověřování a k aktualizaci softwaru klienta. Klient může používat zkušební nebo placenou licenci. Pokud kterákoliv licence vypršela, klient neaktualizuje žádný obsah nebo software klienta. Tab. 2-3

Typy licencí

Typ licence

Popis

Zkušební licence

Pokud zkušební licence vyprší, horní část podokna Stav klienta zčervená a zobrazí se tato zpráva: Zkušební licence vypršela. Veškerý obsah přestane být stahován datum. Chcete-li zakoupit licenci k aplikaci Symantec Endpoint Protection, obraťte se na správce sítě. Datum vypršení můžete zobrazit také klepnutím na možnost Nápověda > O aplikaci.

Placená licence

Pokud placená licence vyprší, horní část podokna Stav klienta zežloutne a zobrazí se tato zpráva: Definice ochrana před viry a spywarem nejsou aktuální.

U každého typu licence se musíte obrátit na správce, aby ji aktualizoval nebo obnovil. Viz „Typy výstrah a oznámení“ na straně 21. Viz „Prohlížení protokolů“ na straně 49.

Reakce na zprávy s aktualizací klientského softwaru Je-li klientský software automaticky aktualizován, může se zobrazit následující oznámení: Aplikace Symantec Endpoint Protection zjistila, že je dostupná novější verze softwaru. Chcete ji nyní stáhnout a nainstalovat?

Reakce na výstrahy a oznámení Reakce na zprávy s aktualizací klientského softwaru

Reakce na oznámení o automatické aktualizaci

1

2


Chcete-li software stáhnout ihned, klepněte na tlačítko Stáhnout.

■

Chcete-li být znovu upozorněni po určité době, klepněte na volbu Upozornit později.

Pokud se zpráva zobrazí bezprostředně po zahájení aktualizace softwaru, klepněte na volbu OK.

31

32

Reakce na výstrahy a oznámení Reakce na zprávy s aktualizací klientského softwaru

Kapitola

3

Kontrola ochrany počítače Tato kapitola obsahuje následující témata: ■

Správa ochrany počítače

■

Aktualizace ochrany počítače

■

Určení připojení a ochrany klienta

■

Spravovaní a nespravovaní klienti

■

Ověření, zda je klient spravován nebo nespravován

■

Povolení nebo zakázání ochrany

■

Povolení nebo zakázání ochrany v klientském počítači

■

Povolení nebo zakázání funkce Auto-Protect

■

Povolení, zakázání a konfigurace ochrany před změnami

■

Informace o protokolech

■

Prohlížení protokolů

■

Trasování protokolovaných událostí zpět k jejich zdroji

■

Export dat protokolu

Správa ochrany počítače Podle výchozího nastavení je váš klient chráněný a nemělo by být zapotřebí klienta konfigurovat. Může být ale užitečné zkontrolovat ochranu z těchto důvodů: ■

Počítače jsou spuštěny jako nespravovaní klienti.

34

Kontrola ochrany počítače Správa ochrany počítače

Po instalaci nespravovaného klienta ovládáte ochranu počítače pouze vy. Nespravovaný klient je podle výchozího nastavení chráněn. Může být ale zapotřebí upravit nastavení ochrany počítače. Viz „Spravovaní a nespravovaní klienti“ na straně 39. ■

Chcete povolit nebo zakázat jednu či více technologií ochrany.

■

Chcete ověřit, že máte nainstalovány nejnovější definice virů.

■

Slyšeli jste o novém viru a chcete spustit prověřování.

Tab. 3-1 ukazuje postup, jak se přesvědčit, že je počítač chráněný. Tab. 3-1

Postup správy ochrany počítače

Krok

Popis

Reakce na výstrahy a oznámení

Reagujte na zprávy, které se zobrazí a žádají vás o vstup. Při prověřování například dojde ke zjištění viru nebo bezpečnostního rizika a zobrazí se dialogové okno s výsledky prověřování, které vás vyzve k akci. Viz „Typy výstrah a oznámení“ na straně 21.

Kontrola stavu ochrany

Pravidelně kontrolujte stránku Stav, abyste zjistili, jestli jsou povoleny všechny typy ochrany. Viz „Začínáme na stránce Stav“ na straně 13. Viz „Povolení nebo zakázání ochrany v klientském počítači“ na straně 43.

Aktualizujte definice virů

Zkontrolujte, že jsou v počítačích nainstalovány nejnovější definice virů.

(jen nespravovaní klienti)

■

Zkontrolujte, jestli máte k dispozici nejnovější aktualizace ochrany. Datum a číslo těchto souborů s definicemi můžete zkontrolovat na stránce Stav klienta u jednotlivých typů ochrany. ■ Získejte nejnovější aktualizace ochrany. Viz „Aktualizace ochrany počítače“ na straně 35.

Prověřte počítač

Spusťte prověřování, abyste zjistili, jestli jsou na vašem počítači nebo v e-mailové aplikaci nějaké viry. Podle výchozího nastavení klient prověřuje počítač, pokud je zapnutý, počítač ale můžete prověřit kdykoliv. Viz „Okamžité prověřování počítače“ na straně 16.

Kontrola ochrany počítače Aktualizace ochrany počítače

Krok

Popis

Úprava nastavení ochrany

Ve většině případů poskytují výchozí nastavení dostatečnou ochranu počítače. Pokud je to nutné, můžete snížit nebo zvýšit tyto typy ochrany: Plánování dodatečných prověřování Viz „Správa prověřování v počítači“ na straně 56. ■ Přidání pravidel brány firewall (pouze u nespravovaného klienta) Viz „Správa ochrany pomocí brány firewall“ na straně 104. ■

Zobrazení protokolů zjištění nebo útoků

Zkontrolujte protokoly, abyste se dozvěděli, zda klient zjistil virus nebo síťový útok. Viz „Prohlížení protokolů“ na straně 49.

Aktualizace zásad zabezpečení (jen spravovaní klienti)

Zkontrolujte, jestli klient obdržel nejnovější zásadu zabezpečení. Mezi zásady zabezpečení patří nejaktuálnější nastavení technologie ochrany u vašeho klienta. Zásady zabezpečení se aktualizují automaticky. Abyste měli jistotu, že máte k dispozici nejnovější zásady, můžete je aktualizovat ručně klepnutím pravým tlačítkem myši na ikonu klienta na hlavním panelu a klepnutím na možnost Aktualizovat zásady. Viz „Určení připojení a ochrany klienta“ na straně 38.

Aktualizace ochrany počítače Produkty společnosti Symantec při ochraně počítače před nově zjištěnými hrozbami vycházejí z aktuálních informací. Společnost Symantec dává tyto informace uživateli k dispozici prostřednictvím služby LiveUpdate. Aktualizace obsahu jsou soubory, díky nimž zůstávají produkty společnosti Symantec vždy vybaveny nejnovější technologií ochrany před hrozbami. Služba LiveUpdate načte nové soubory obsahu z webu společnosti Symantec a potom jimi nahradí soubory se starým obsahem. To, jaké aktualizace stahujete, závisí na produktech nainstalovaných v počítači. Jak bude počítač aktualizace přijímat, závisí na tom, zda je spravovaný či nespravovaný, a na tom, jak správce konfiguroval aktualizace. Příklady aktualizovaných typů souborů obsahu: ■

Soubory s definicemi virů pro antivirovou ochranu a ochranu před spywarem.

■

Heuristické signatury a seznamy komerčních aplikací pro aktivní ochranu před hrozbami.

35

36


■

Soubory s definicemi IPS pro ochranu sítě před hrozbami. Viz „Ochrana před síťovými hrozbami“ na straně 104.

Služba LiveUpdate také umožňuje získat vylepšení nainstalovaného klienta. Tato vylepšení obvykle slouží k rozšíření kompatibility operačního systému nebo hardwaru, k vyladění potíží s výkonem nebo k opravám chyb produktu. Tato vylepšení klientů jsou vydávána podle potřeby. Klientský počítač může tato vylepšení přijímat přímo ze serveru LiveUpdate. Spravovaný klientský počítač může tato vylepšení získávat také automaticky ze serveru pro správu ve vaší společnosti. Tab. 3-2

Způsoby aktualizace obsahu na počítači

Úloha

Popis

Aktualizace obsahu podle plánu Ve výchozím nastavení se služba LiveUpdate spouští automaticky v naplánovaných intervalech. Na nespravovaném klientovi můžete plán aktualizace LiveUpdate zakázat nebo změnit. Viz „Aktualizace obsahu podle plánu“ na straně 37. Okamžitá aktualizace obsahu

V závislosti na bezpečnostních nastaveních můžete aktualizaci LiveUpdate spustit okamžitě. Viz „Okamžitá aktualizace obsahu“ na straně 36.

Okamžitá aktualizace obsahu Soubory obsahu můžete okamžitě zaktualizovat pomocí služby LiveUpdate. Službu LiveUpdate byste měli ručně spouštět z těchto důvodů: ■

Klientský software byl nainstalován nedávno.

■

Uběhla dlouhá doba od posledního prověřování.

■

Předpokládáte výskyt viru nebo jiného malwaru.

Viz „Aktualizace obsahu podle plánu“ na straně 37. Viz „Aktualizace ochrany počítače“ na straně 35. Okamžitá aktualizace ochrany ◆

Na postranním panelu klienta klepněte na položku LiveUpdate. Služba LiveUpdate se připojí k serveru společnosti Symantec, zkontroluje dostupné aktualizace a následně je stáhne a automaticky nainstaluje.


Aktualizace obsahu podle plánu Můžete vytvořit plán, aby byla aktualizace LiveUpdate spouštěna automaticky v naplánovaných intervalech. Můžete nastavit plán na spuštění aktualizace LiveUpdate v době, kdy nepoužíváte počítač. Viz „Okamžitá aktualizace obsahu“ na straně 36. Poznámka: Pokud máte spravovaného klienta, spuštění aktualizace podle plánu můžete nastavit pouze tehdy, pokud vám to správce povolil. Pokud je zobrazena ikona visacího zámku a možnosti jsou nedostupné, údaje v rámci plánu není možné upravit. Aktualizace ochrany podle plánu

1

V klientovi klepněte na postranním panelu na položku Změnit nastavení.

2

Vedle možnosti Správa klienta klepněte na položku Konfigurovat nastavení.

3

V dialogovém okně Nastavení správy klienta klepněte na tlačítko Aktualizace LiveUpdate.

4

Na kartě Aktualizace LiveUpdate zaškrtněte pole Povolit automatické aktualizace.

5

Ve skupinovém rámečku Frekvence a čas vyberte, zda chcete provádět aktualizace denně, týdně nebo měsíčně. Poté vyberte den nebo týden a čas, kdy chcete automatické aktualizace spouštět. Nastavení času vychází z možnosti vybrané ve skupinovém rámečku Frekvence. Dostupnost ostatních možností v tomto dialogovém okně je závislá také na vybrané frekvenci.

6

Ve skupinovém rámečku Okno opakování označte možnost Opakovat po dobu a potom stanovte časový interval, během kterého se klient bude pokoušet aktualizaci LiveUpdate spouštět znovu.

7

Ve skupinovém rámečku Možnosti vnášení náhodných hodnot označte možnost Nastavit náhodný čas spuštění před nebo po (v hodinách) a zadejte počet hodin nebo dní. Tato možnost nastavuje časový rozsah před a po plánované době spuštění aktualizace.

37

38

Kontrola ochrany počítače Určení připojení a ochrany klienta

8

Ve skupinovém rámečku Idle Detection (Detekce nečinnosti) zaškrtněte možnost Delay scheduled LiveUpdates until the system is idle. (Odložit plánovanou aktualizaci LiveUpdate až do nečinnosti systému). Odložené relace budou nakonec spuštěny bezpodmínečně. Můžete také nastavit možnosti pro připojení k serveru proxy pro interní server LiveUpdate. Další informace o těchto možnostech naleznete v online nápovědě.

9

Klepněte na tlačítko OK.

Určení připojení a ochrany klienta Klient používá ikonu na hlavním panelu k označení, zda je ve stavu online nebo offline a zda je klientský počítač dostatečně chráněn. Pravým klepnutím na tuto ikonu zobrazíte často používané příkazy. Tato ikona se nachází v pravém dolním rohu plochy klientského počítače. Poznámka: U spravovaných klientů se ikona oznamovací oblasti nezobrazí, pokud správce její dostupnost zakázal. Tab. 3-3 Ikona

Ikona stavu klienta Symantec Endpoint Protection Popis Při provozu klienta se nevyskytly potíže. Klient je ve stavu offline nebo je nespravovaný. Nespravovaní klienti nejsou připojeni k serveru pro správu. Ikona má podobu prázdného žlutého štítu. Při provozu klienta se nevyskytly potíže. Klient je připojen a komunikuje se serverem. Všechny součásti zásad zabezpečení chrání počítač. Ikona má podobu žlutého štítu se zelenou tečkou. Klient má méně závažný problém. Například definice virů mohou být zastaralé. Ikona má podobu žlutého štítu a světle žluté tečky s černým vykřičníkem. Klient není spuštěn, došlo u něj k vážnému problému, nebo je alespoň jedna technologie ochrany zakázána. Například může být zakázána ochrana před před síťovými hrozbami. Ikona má podobu žlutého štítu s bílou tečkou v červeném kruhu červeně přeškrtnutou.

Tab. 3-4 ukazuje ikonu stavu klienta Symantec Network Access Control, která se zobrazuje v oznamovací oblasti.

Kontrola ochrany počítače Spravovaní a nespravovaní klienti

Tab. 3-4 Ikona

Ikona stavu klienta Symantec Network Access Control Popis Klient je spuštěn bez výskytu potíží a prošel kontrolou integrity hostitele a aktualizací zásady zabezpečení. Klient je ve stavu offline nebo je nespravovaný. Nespravovaní klienti nejsou připojeni k serveru pro správu. Ikona představuje prázdného zlatého klíče. Klient je spuštěn bez výskytu potíží a prošel kontrolou integrity hostitele a aktualizací zásady zabezpečení. Klient komunikuje se serverem. Ikona má podobu zlatého klíče se zelenou tečkou. Klient neuspěl při kontrole integrity hostitele nebo nemá aktualizovánu zásadu zabezpečení. Ikona má podobu zlatého klíče s červenou tečkou, ve které se nachází bílý symbol „x“.

Viz „Skrytí a zobrazení ikony na hlavním panelu“ na straně 39.

Skrytí a zobrazení ikony na hlavním panelu V případě potřeby je možné ikonu na hlavním panelu skrýt. Můžete ji například skrýt, pokud potřebujete více místa na hlavním panelu systému Windows. Viz „Určení připojení a ochrany klienta“ na straně 38. Poznámka: U spravovaných klientů lze ikonu skrýt jen v případě, že správce tuto funkci nezakázal. Skrytí nebo zobrazení ikony na hlavním panelu

1

V postranním panelu hlavního okna klepněte na položku Změnit nastavení.

2

Na stránce Změnit nastavení vedle Správy klienta klepněte na položku Konfigurovat nastavení.

3

V dialogovém okně Nastavení správy klienta na kartě Obecná nastavení v části Možnosti zobrazení zrušte zaškrtnutí (nebo zaškrtněte) položku Zobrazit ikonu zabezpečení Symantec v oznamovací oblasti.

4


Spravovaní a nespravovaní klienti Správce může nainstalovat klienta buď jako spravovaného klienta (instalace spravovaná správcem) nebo jako nespravovaného klienta (samostatná instalace).

39

40

Kontrola ochrany počítače Spravovaní a nespravovaní klienti

Tab. 3-5 Typ klienta

Rozdíly mezi spravovaným a nespravovaným klientem Popis

Spravovaný klient Spravovaný klient komunikuje se serverem pro správu ve vaší síti. Správce nakonfiguruje ochranu a výchozí nastavení a server pro správu stáhne nastavení na klienta. Pokud správce provede změnu ochrany, změna se téměř okamžitě stáhne na klienta. Správci mohou změnit úroveň, na které komunikujete s klientem, těmito způsoby: Správce spravuje klienta kompletně. Od vás se nevyžaduje konfigurace klienta. Všechna nastavení jsou zamknutá nebo nedostupná, můžete ale sledovat informace o tom, co klient na vašem počítači dělá. ■ Správce spravuje klienta, ale vy můžete změnit některá nastavení klienta a provádět některé úlohy. Například můžete mít povoleno spouštění vlastních prověření nebo ruční stažení aktualizací klienta nebo ochrany. Dostupnost nastavení klienta a hodnoty těchto nastavení se mohou opakovaně měnit. Například se může změnit nastavení, pokud správce aktualizuje zásady ovládající ochranu klienta. ■ Správce spravuje klienta, ale vy můžete změnit všechna nastavení klienta a provádět všechny úlohy ochrany. ■

Nespravovaný klient

Nespravovaný klient se serverem pro správu nekomunikuje a správce klienta nespravuje. Nespravovaný klient může patřit k jednomu z těchto typů: Samostatný počítač, který není připojen k síti, jako je domácí počítač nebo laptop. Počítač musí obsahovat instalaci aplikace Symantec Endpoint Protection, která využívá buď výchozích nastavení možností, nebo nastavení předvolená správcem. ■ Vzdálený počítač, který se připojuje k podnikové síti a který musí před připojením splňovat bezpečnostní požadavky. ■

Když se poprvé nainstaluje, klient má výchozí nastavení. Po instalaci klienta můžete změnit všechna nastavení klienta a provádět všechny úlohy ochrany.

Viz „Ověření, zda je klient spravován nebo nespravován“ na straně 41. Tab. 3-6 popisuje rozdíly v uživatelském rozhraní mezi spravovaným a nespravovaným klientem.

Kontrola ochrany počítače Ověření, zda je klient spravován nebo nespravován

Tab. 3-6

Funkční oblast

Rozdíly mezi spravovaným a nespravovaným klientem podle zaměření funkcí Centrálně spravovaný klient

Klient s vlastní správou

Ochrana před viry a Klient u možností, které nemůže Klient nezobrazuje ani zamčený, spywarem konfigurovat, zobrazuje možnost ani odemčený visací zámek. zamčeného visacího zámku a možnost je zašedlá. Aktivní ochrana před hrozbami

Klient u možností, které nemůže Klient nezobrazuje ani zamčený, konfigurovat, zobrazuje možnost ani odemčený visací zámek. zamčeného visacího zámku a možnost je zašedlá.

Nastavení správy klienta a ochrany sítě před hrozbami

Nastavení, které řídí správce, se Zobrazí se všechna nastavení. nezobrazí.

Viz „Typy výstrah a oznámení“ na straně 21.

Ověření, zda je klient spravován nebo nespravován Pokud chcete zkontrolovat, do jaké míry můžete ovládat konfiguraci ochrany na svém klientovi, musíte nejprve ověřit, jestli je váš klient spravován nebo nespravován. U nespravovaného klienta můžete upravit více nastavení než v případě klienta spravovaného. Viz „Spravovaní a nespravovaní klienti“ na straně 39. Ověření, zda je klient spravován nebo nespravován

1

Na stránce Stav klepněte na možnost Nápověda > Řešení potíží.

2

V dialogovém okně Řešení potíží klepněte na možnost Správa.

3

Na panelu Správa pod hlavičkou Obecné informace vedle položky Server najdete tyto informace:

4

■

Pokud je klient spravován, bude se v poli Server zobrazovat buď adresa serveru pro správu nebo text Offline. Adresou může být adresa IP, název DNS nebo název NetBIOS. Například název DNS může být SEPMServer1. Pokud je klient spravován, ale aktuálně není připojený k serveru pro správu, bude v tomto poli zobrazeno Offline.

■

Pokud se jedná o nespravovaného klienta, bude v poli Server uvedeno S vlastní správou.

Klepněte na tlačítko Zavřít.

41

42

Kontrola ochrany počítače Povolení nebo zakázání ochrany

Povolení nebo zakázání ochrany Všeobecně lze říci, že se vždy snažíte na klientském počítači technologie ochrany povolit. Pokud máte problém s klientským počítačem, můžete si přát dočasně zakázat buď všechny nebo jednotlivé technologie ochrany. Pokud například aplikace nefunguje nebo funguje nesprávně, můžete chtít zakázat ochranu před síťovými hrozbami. Pokud po zakázání všech technologií ochrany problém stále přetrvává, je zřejmé, že problém nezpůsobuje klient. Varování: Nezapomeňte po dokončení požadovaného úkolu řešení potíží znovu povolit veškeré zabezpečení, aby byla zajištěna ochrana počítače. Tab. 3-7 popisuje důvody, proč byste mohli chtít zakázat každou technologii ochrany. Tab. 3-7

Účel zakázání technologie ochrany

Technologie ochrany Účel zakázání technologie ochrany Ochrana před viry a spywarem

Pokud zakážete tuto ochranu, zakážete pouze funkci Auto-Protect. Naplánované prověřování nebo prověřování při spuštění se stále budou spouštět, pokud je tak správce nakonfiguroval. Funkce Auto-Protect můžete povolit nebo zakázat z následujících důvodů: Funkce Auto-Protect vám může zabránit v otevření dokumentu. Když například otevíráte dokument Microsoft Word, kde je makro, funkce Auto-Protect vám jeho otevření nemusí povolit. Pokud víte, že je dokument bezpečný, můžete funkci Auto-protect zakázat. ■ Funkce Auto-Protect může upozornit na virovou činnost, o které víte, že činnost viru nepředstavuje. Jste například varováni při instalaci nových počítačových aplikací. Jestliže plánujete instalaci více aplikací a chcete předejít zobrazení varování, můžete funkci Auto-Protect dočasně zakázat. ■ Funkce Auto-Protect může zabraňovat nahrazení ovladače systému Windows. ■

■

Funkce Auto-Protect může zpomalovat klientský počítač.

Poznámka: Pokud zakážete funkci Auto-Protect, zakážete také funkci Download Insight, i když je povolena. Funkce SONAR nebude moci detekovat heuristické hrozby. Detekce SONAR změn souborů hostitele a systémových změn bude i nadále funkční. Viz „Povolení nebo zakázání funkce Auto-Protect“ na straně 44. Pokud funkce Auto-Protect způsobuje problém s aplikací, je lepší vytvořit výjimku, než ochranu stále zakazovat. Viz „Vyloučení položek z prověřování“ na straně 87.

Kontrola ochrany počítače Povolení nebo zakázání ochrany v klientském počítači

Technologie ochrany Účel zakázání technologie ochrany Aktivní ochrana před hrozbami

Aktivní ochranu před hrozbami můžete chtít zakázat z těchto důvodů: ■

Zobrazuje se příliš mnoho varování týkajících se hrozeb, o nichž víte, že hrozbami nejsou.

■

Aktivní ochrana před hrozbami může zpomalovat klientský počítač.

Viz „Povolení nebo zakázání ochrany v klientském počítači“ na straně 43. Ochrana před síťovými Ochranu před síťovými hrozbami můžete chtít zakázat z těchto důvodů: hrozbami ■ Nainstalujete aplikaci, která může způsobit zablokování brány firewall. ■

Pravidlo nebo nastavení brány firewall blokuje aplikaci na základě chyby správce.

Brána firewall nebo systém prevence narušení způsobuje problémy spojené s připojením k síti. ■ Brána firewall může zpomalovat klientský počítač. ■

■

Nelze spustit aplikaci.

Viz „Povolení nebo zakázání prevence narušení“ na straně 136. Viz „Povolení nebo zakázání ochrany v klientském počítači“ na straně 43. Pokud si nejste jistí, že problém způsobuje ochrana před síťovými hrozbami, může být třeba zakázat veškeré technologie ochrany. U spravovaných klientů může správce ochranu před síťovými hrozbami zcela uzamknout, takže ji nebudete moci povolit ani zakázat. Ochrana před změnami

Běžně je vhodné ponechat Ochranu před změnami povolenou. Ochranu před změnami je možné dočasně zakázat v případě, že chcete zamezit výskytu falešných poplachů. Viz „Povolení, zakázání a konfigurace ochrany před změnami“ na straně 46.

Povolení nebo zakázání ochrany v klientském počítači V klientovi, když je kterákoli ochrana zakázána: ■

Stavový řádek v horní části stavové stránky se zbarví červeně.

■

Zobrazí se ikona klienta označená červeným úhlopříčně proškrtnutým kruhem. Ikona klienta na hlavním panelu v levém dolním rohu plochy systému Windows je tvořena symbolem štítu. Při některých konfiguracích není tato ikona zobrazena. Viz „Určení připojení a ochrany klienta“ na straně 38.

U spravovaného klienta může správce kdykoli povolit jakoukoli ochranu.

43

44

Kontrola ochrany počítače Povolení nebo zakázání funkce Auto-Protect

Při řešení problémů můžete také zakázat funkci Auto-Protect, aktivní ochranu před hrozbami nebo ochranu před síťovými hrozbami. U spravovaných klientů může správce ochranu uzamknout, abyste ji nemohli zakázat. Viz „Povolení nebo zakázání ochrany“ na straně 42. Viz „Povolení nebo zakázání funkce Auto-Protect“ na straně 44. Povolení technologií ochrany ze stavové stránky ◆

U klienta klepněte v horní části stavové stránky na možnost Opravit nebo Opravit vše.

Povolení nebo zakázání technologií ochrany z hlavního panelu ◆

Klepněte pravým tlačítkem na ikonu klienta na hlavním panelu plochy systému Windows a proveďte jednu z následujících akcí: ■

Klepněte na tlačítko Povolit Symantec Endpoint Protection.

■

Klepněte na tlačítko Zakázat Symantec Endpoint Protection.

Povolení a zakázání aktivní ochrany před hrozbami nebo ochrany před síťovými hrozbami ◆

V okně klienta na stránce Stav vedle položky Ochrana typ ochrany, proveďte jednu z následujících akcí: ■

Klepněte na položku Možnosti > Povolit funkci ochrany typ ochrany.

■

Klepněte na položku Možnosti > Zakázat všechny funkce ochrany typ ochrany.

Povolení nebo zakázání funkce Auto-Protect Funkci Auto-Protect pro soubory a procesy, e-mail na Internetu a e-mailové aplikace pro práci ve skupině můžete povolit nebo zakázat. Pokud je kterýkoli typ funkce Auto-Protect zakázaný, zobrazí se stav ochrany před viry a spywarem na stránce stavu červeně. Klepnete-li na ikonu pravým tlačítkem myši, zobrazí se vedle příkazu Povolit funkci Auto-Protect zaškrtnutí v případě, že je funkce Auto-Protect souborového systému povolena. Viz „Ikony výstrah na stránce Stav“ na straně 15. Viz „Povolení nebo zakázání ochrany“ na straně 42.

Kontrola ochrany počítače Povolení nebo zakázání funkce Auto-Protect

Poznámka: U spravovaných klientů má správce možnost funkci Auto-protect uzamknout, takže ji nemůžete zakázat. Nebo může povolit dočasné zakázání této funkce, ale vynutí její automatické spuštění po uplynutí určitého časového intervalu.. Pokud jste nezměnili výchozí nastavení, je funkce Auto-Protect zavedena při zapnutí počítače, aby chránila počítač před viry a bezpečnostními riziky. Funkce Auto-Protect kontroluje výskyt virů a bezpečnostních rizik ve spuštěných programech. Kontroluje také výskyt všech činností v počítači, které by mohly znamenat přítomnost viru nebo bezpečnostního rizika. Při zjištění viru, virové činnosti (události, která by mohla představovat činnost viru) nebo bezpečnostního rizika zobrazí funkce Auto-Protect výstrahu. Poznámka: Pokud zakážete funkci Auto-Protect, zakážete také funkci Download Insight, i když je povolena. Funkce SONAR nebude moci detekovat heuristické hrozby; funkce SONAR však bude i nadále detekovat změny souborů hostite a systému. Povolení a zakázání funkce Auto-Protect souborového systému ◆

V okně klienta na stránce Stav vedle položky Ochrana před viry a spywarem proveďte jednu z následujících akcí: ■

Klepněte na Možnosti > Povolit ochranu před viry a spywarem.

■

Klepněte na položku Možnosti > Zakázat ochranu před všemi viry a spywarem.

Povolení a zakázání funkce Auto-Protect pro e-mail

1


2

Klepněte na položku Konfigurovat nastavení vedle možnosti Ochrana před viry a spywarem.

3

Proveďte jednu z následujících akcí:

4

■

Na kartě Auto-Protect pro internetovou poštu zaškrtněte nebo zrušte zaškrtnutí Povolit funkci Auto-Protect pro internetovou poštu.

■

Na kartě Auto-Protect pro aplikaci Outlook zaškrtněte nebo zrušte zaškrtnutí Povolit funkci Auto-Protect pro Microsoft Outlook.

■

Na kartě Funkce Auto-Protect aplikace Notes zaškrtněte nebo zrušte zaškrtnutí možnosti Povolit funkci Auto-Protect pro Lotus Notes.


45

46

Kontrola ochrany počítače Povolení, zakázání a konfigurace ochrany před změnami

Povolení, zakázání a konfigurace ochrany před změnami Funkce ochrany před změnami poskytuje aplikacím Symantec běžícím na serverech a klientech ochranu v reálném čase. Brání jiným procesům než procesům aplikací Symantec, jako například červům, trojským koním, virům a bezpečnostním rizikům, v ovlivňování prostředků aplikace Symantec. Software můžete nakonfigurovat tak, aby pokusy o změnu prostředků aplikace Symantec blokoval nebo protokoloval. Je-li ochrana před změnami povolena, můžete vybrat akci, která bude provedena při zjištění pokusu o změnu softwaru Symantec. Ochranu před změnami můžete také nastavit tak, aby při pokusech o změnu zobrazila zprávu. Chcete-li zprávu upravit, můžete použít přednastavené proměnné, do kterých ochrana před změnami doplní příslušné informace. Poznámka: V případě spravovaných klientů může správce ochranu před změnami uzamknout. Informace o přednastavených proměnných získáte po klepnutí na položku Nápověda na kartě Ochrana před změnami. Viz „Povolení nebo zakázání ochrany“ na straně 42. Povolení nebo zakázání ochrany před změnami

1


2


3

Na kartě Ochrana před změnami zaškrtněte nebo zrušte zaškrtnutí možnosti Chránit bezpečnostní software Symantec před změnami nebo vypnutím.

4


Konfigurace ochrany před změnami

1


2


3

Na kartě Ochrana před změnami v seznamu Akce, která se provede, pokud se aplikace pokusí změnit nebo vypnout bezpečnostní software Symantec, klepněte na položku Blokovat a protokolovat událost nebo Pouze protokolovat událost.

Kontrola ochrany počítače Informace o protokolech

4

Chcete-li být upozorněni v případě, že ochrana před změnami zjistí podezřelé chování, zaškrtněte možnost Zobrazit upozornění, budou-li nalezeny změny. Pokud tyto zprávy povolíte, mohou vám být zasílány zprávy týkající se procesů systému Windows i procesů softwaru Symantec.

5

Chcete-li zobrazovanou zprávu upravit, aktualizujte text v poli zprávy.

6


Informace o protokolech Protokoly obsahují informace o změnách konfigurace klienta, aktivitách týkajících se bezpečnosti a chybách. Tyto záznamy se nazývají události. Protokoly k těmto událostem zobrazují veškeré související informace. Aktivity týkající se bezpečnosti zahrnují informace o zjištění virů, stavu počítače a provozu přicházejícím a odcházejícím z počítače. Pokud používáte spravovaného klienta, lze jeho protokoly pravidelně odesílat na server správy. Správci mohou pomocí svých dat analyzovat celkový stav zabezpečení sítě. Protokoly představují důležitou metodu sledování aktivity počítače a jeho interakce s jinými počítači a sítěmi. Na základě informací v protokolech můžete sledovat trendy týkající se virů, bezpečnostních rizik a útoků na počítač. Jestliže s počítačem pracuje více uživatelů, lze identifikovat původce rizik a pomoci dotyčnému uživateli zlepšit bezpečnostní opatření. Další informace o příslušném protokolu získáte po stisknutí klávesy F1, kdy se zobrazí jeho nápověda. Tab. 3-8 popisuje typy událostí, které zobrazuje každý z protokolů. Tab. 3-8

Klientský protokol

Protokol

Popis

Protokol prověřování

Obsahuje záznamy o prověřováních, která proběhla na vašem počítači v průběhu času.

Protokol rizik

Obsahuje záznamy o virech a bezpečnostních rizicích jako adware či spyware, která infikovala počítač. U bezpečnostních rizik je uveden odkaz na webovou stránku Symantec Security Response, kde lze najít další informace. Viz „Umístění souboru do karantény z protokolu rizika nebo prověřování“ na straně 92.

47

48

Kontrola ochrany počítače Informace o protokolech

Protokol

Popis

Systémový protokol ochrany před viry a spywarem

Obsahuje informace o aktivitách systému na vašem počítači, které se vztahují k virům a bezpečnostním rizikům. Sem patří informace o změnách konfigurace, chybách a souboru s definicemi.

Protokol hrozeb

Obsahuje informace o hrozbách zjištěných v rámci prověřování funkcí SONAR. Funkce SONAR zjišťuje všechny soubory, které se chovají podezřele. Funkce SONAR také zjišťuje změny systému.

Systémový protokol aktivní ochrany před hrozbami

Obsahuje informace o aktivitách systému na vašem počítači, které se týkají funkce SONAR.

Protokol provozu

Obsahuje události, které se týkají provozu brány firewall a ochrany před rušivými útoky. Protokol obsahuje informace o připojeních, která počítač provádí v síti. Protokoly síťové ochrany vám mohou pomoci zjistit potenciální nebezpečnou činnost, jako je například prohledávání portů. Pomocí nich lze také sledovat provoz až k jeho zdroji. Protokoly síťové ochrany lze také využít k řešení problémů s připojením k síti nebo možnými síťovými útoky. V protokolech můžete zjistit, kdy byl počítači zablokován přístup k síti a z jakého důvodu se tak stalo.

Protokol paketů

Obsahuje informace o datových paketech, které přes porty vstupují do počítače nebo z něj odcházejí. Ve výchozím nastavení je Protokol paketů vypnutý. U spravovaného klienta nemůžete Protokol paketů povolit. U nespravovaného klienta můžete Protokol paketů povolit. Viz „Povolení protokolu paketů“ na straně 49.

Protokol řízení

Protokol řízení obsahuje informace o klíčích registru systému Windows, souborech a knihovnách DLL, se kterými aplikace pracuje, a programech spuštěných v počítači.

Protokol zabezpečení, Obsahuje informace o činnostech, které mohou ohrozit počítač. Například se mohou zobrazit informace o činnostech, jakými jsou útoky DoS, prohledávání portů nebo změny spustitelných souborů. Systémový protokol správy klientů

Obsahuje informace o všech provozních změnách, ke kterým v počítači došlo. Mezi změny mohou patřit následující aktivity: ■

Spustí se nebo zastaví služba.

■

Počítače zjistí síťové aplikace.

■

Proběhne konfigurace softwaru.

■

Stav klienta, který slouží jako poskytovatel aktualizací skupin.

Kontrola ochrany počítače Prohlížení protokolů

Protokol

Popis

Protokol ochrany před Obsahuje záznamy o pokusech změnit aplikace Symantec na vašem změnami počítači. Tyto záznamy obsahují informace o pokusech zjištěných a zablokovaných ochranou před změnami. Protokoly ladění

Obsahuje informace o klientovi, prověřování a bráně firewall pro účely řešení potíží. Správce vás může požádat, abyste povolili nebo nakonfigurovali protokoly a poté je vyexportovali.

Viz „Prohlížení protokolů“ na straně 49.

Prohlížení protokolů Podrobnosti o událostech, ke kterým došlo, naleznete v protokolech uložených v počítači. Poznámka: Pokud není nainstalována ochrana před síťovými hrozbami nebo řízení přístupu do sítě, nelze zobrazit protokol zabezpečení, protokol systému ani protokol řízení. Zobrazení protokolu

1

V hlavním okně klepněte na položku Zobrazit protokoly v postranním panelu.

2

Klepněte na položku Zobrazit protokoly vedle jedné z následujících položek: ■

Ochrana před viry a spywarem

■

Aktivní ochrana před hrozbami

■

Ochrana před síťovými hrozbami

■

Správa klientů

■

Řízení přístupu do sítě

V závislosti na instalaci se nemusí zobrazit některé položky.

3

V rozevírací nabídce vyberte protokol, který chcete zobrazit.

Viz „Informace o protokolech“ na straně 47.

Povolení protokolu paketů Všechny protokoly ochrany před síťovými hrozbami a protokoly správy klientů jsou ve výchozím nastavení povoleny, což ale neplatí pro protokol paketů. U nespravovaných klientů můžete Protokol paketů povolit nebo zakázat.

49

50

Kontrola ochrany počítače Trasování protokolovaných událostí zpět k jejich zdroji

V případě spravovaných klientů může správce protokol paketů povolit nebo zakázat. Viz „Informace o protokolech“ na straně 47. Povolení protokolu paketů

1

Na stránce Stav klienta klepněte vpravo od možnosti Ochrana před síťovými hrozbami na položku Možnosti a poté na položku Změnit nastavení.

2

V dialogovém okně Ochrana před síťovými hrozbami klepněte na položku Protokoly.

3

Zaškrtněte možnost Povolit protokol paketů.

4


Trasování protokolovaných událostí zpět k jejich zdroji Zpětným trasováním některých událostí lze na základě protokolované události určit zdroj dat. Zpětné trasování zjistí přesné kroky nebo přeskoky příchozího provozu. Přeskok je bod přechodu, například směrovač, kterým prochází paket na své cestě Internetem od počítače k počítači. Zjišťováním směrovačů, jimiž prošla data, než dospěla k vašemu počítači, sleduje zpětné trasování datové pakety směrem zpět. Viz „Informace o protokolech“ na straně 47. U některých položek protokolu je možné trasovat datový paket, který byl použit při pokusu o útok. Každý směrovač, kterým datový paket projde, má adresu IP. Adresy IP a další podrobnosti je možné zobrazit. Zobrazené informace nezaručují, že byla odhalena skutečná totožnost hackera. Adresa posledního přeskoku udává vlastníka směrovače, přes který se hacker připojil, ne vždy však samotného hackera. Některé protokolované události je možné zpětně trasovat v protokolu zabezpečení a v protokolu provozu. Zpětné trasování protokolované události

1

V postranním panelu klienta klepněte na položku Zobrazit protokoly.

2

Vpravo od položek Ochrana před síťovými hrozbami nebo Správa klientů klepněte na příkaz Zobrazit protokoly. Pak klepněte na protokol obsahující položku, kterou chcete trasovat.

3

V okně zobrazení protokolu vyberte řádek položky, kterou chcete trasovat.

4

Klepněte na položku Akce a poté na položku Zpětné trasování.

Kontrola ochrany počítače Export dat protokolu

5

Klepnutím na položku Informace Whois > > v dialogovém okně Informace o zpětném trasování zobrazíte podrobné informace o každém přeskoku. V rozbalovacím panelu se zobrazí podrobné informace o vlastníkovi adresy IP, z níž pochází událost provozu. Kombinací kláves Ctrl+C a Ctrl+V můžete vyjmout a vložit informace z panelu do e-mailové zprávy pro správce.

6

Dalším klepnutím na položku Informace Whois << informace skryjete.

7

Po dokončení klepněte na tlačítko OK.

Export dat protokolu Informace z některých protokolů lze exportovat do souborů s položkami oddělenými čárkami (.csv) nebo do souborů formátu databáze Access (.mdb). Formát .csv je běžný formát souborů, který mnoho tabulkových procesorů a databázových programů používá k importu dat. Po importu dat do jiného programu je můžete využít k tvorbě prezentací a grafů nebo je kombinovat s dalšími informacemi. Protokoly ochrany před síťovými hrozbami a protokoly správy klientů lze exportovat do textových souborů s položkami oddělenými tabulátorem. Viz „Informace o protokolech“ na straně 47. Poznámka: Pokud provozujete klientský software v systému Windows Server 2008 Server Core, nemůžete exportovat data protokolů do souboru .mdb. Formát .mdb vyžaduje aplikace společnosti Microsoft, které nejsou dostupné v systému Server Core. Do souborů formátu CSV nebo MDB lze exportovat tyto protokoly: ■

systémový protokol ochrany před viry a spywarem,

■

protokol rizik ochrany před viry a spywarem,

■

protokol prověřování ochrany před viry a spywarem,

■

systémový protokol aktivní ochrany před hrozbami,

■

protokol aktivní ochrany před hrozbami,

■

protokol ochrany před změnami.

Poznámka: Budete-li filtrovat data protokolu a provedete export, exportují se pouze aktuálně filtrovaná data. Toto omezení se nevztahuje na protokoly exportované do textového souboru s položkami oddělenými tabulátorem. Z těchto protokolů se exportují všechna data.

51

52


Do textového souboru s položkami oddělenými tabulátorem lze exportovat tyto protokoly: ■

protokol řízení správy klientů,

■

protokol zabezpečení správy klientů,

■

systémový protokol správy klientů,

■

protokol paketů ochrany před síťovými hrozbami,

■

protokol provozu ochrany před síťovými hrozbami.

Poznámka: Kromě textového souboru s položkami oddělenými tabulátorem lze data z protokolu paketů exportovat do formátu programu Sledování sítě nebo Netxray. V instalaci Server Core systému Windows Server 2008 se mohou dialogová okna uživatelského rozhraní lišit od rozhraní popsaných v těchto postupech. Export dat do souboru formátu CSV

1


2

Vedle položky Ochrana před viry a spywarem nebo Aktivní ochrana před hrozbami klepněte na možnost Zobrazit protokoly.

3

Klepněte na název požadovaného protokolu.

4

V okně protokolu ověřte, že se zobrazují data, která chcete uložit, a klepněte na tlačítko Export.

5

Přejděte pomocí seznamu Uložit do adresáře, kam chcete soubor uložit.

6

V textovém poli Název souboru zadejte požadovaný název souboru.

7

Klepněte na tlačítko Uložit.

8


Export dat protokolu ochrany před síťovými hrozbami nebo správy klientů do textového souboru

1


2

Vpravo od položek Ochrana před síťovými hrozbami nebo Správa klientů klepněte na příkaz Zobrazit protokoly.

3

Klepněte na název protokolu, ze kterého chcete data exportovat.

4

Klepněte na položku Soubor > Exportovat. Pokud je vybrán protokol paketů, můžete namísto toho klepnout na položku Exportovat do formátu sledování sítě nebo Exportovat do formátu Netxray.


5

Přejděte pomocí seznamu Uložit do adresáře, kam chcete soubor uložit.

6

V textovém poli Název souboru zadejte požadovaný název souboru.

7

Klepněte na tlačítko Uložit.

8

Klepněte na možnost Soubor > Konec.

53

54


Kapitola

4

Správa prověřování Tato kapitola obsahuje následující témata: ■

Správa prověřování v počítači

■

Jak funguje prověřování na viry a spyware

■

Naplánování prověřování definovaného uživatelem

■

Naplánování prověřování na spuštění na požádání nebo při zapnutí počítače

■

Správa detekcí Download Insight v počítači

■

Přizpůsobení nastavení funkce Download Insight

■

Přizpůsobení nastavení prověřování výskytu virů a spywaru

■

Konfigurace akcí pro zjišťování malwaru a bezpečnostních rizik

■

Vyloučení položek z prověřování

■

Vyloučení položek z prověřování

■

Správa souborů v klientském počítači uložených do karantény

■

Informace o odeslání informací o zjištěních hrozbách do střediska Symantec Security Response

■

Odeslání informací o zjištěních hrozbách do střediska Symantec Security Response

■

O spolupráci klienta se Střediskem zabezpečení systému Windows

■

Správa funkce SONAR v klientském počítači

56

Správa prověřování Správa prověřování v počítači

Správa prověřování v počítači Podle výchozího nastavení je v rámci spravovaného klienta spouštěno aktivní prověřování každý den ve 12:30. Nespravovaný klient je instalován s přednastaveným aktivním prověřováním, které je zakázáno. Pokud máte nespravovaného klienta, můžete nastavit svá vlastní prověřování. Pokud správce zpřístupnil vhodná nastavení, budete mít na spravovaném klientovi možnost konfigurovat svá vlastní prověření. Tab. 4-1

Správa prověřování

Krok

Popis

Přečtěte si, jak prověřování fungují

Informace o typech prověřování a typech virů a bezpečnostních rizik. Viz „Jak funguje prověřování na viry a spyware“ na straně 61.

Aktualizujte definice virů

Přesvědčte se, že máte na počítači nainstalované nejnovější definice virů. Viz „Aktualizace ochrany počítače“ na straně 35.

Zkontrolujte, jestli je povolena funkce Auto-Protect

Funkce Auto-Protect je ve výchozím nastavení povolena. Funkci Auto-Protect byste měli vždy ponechat povolenou. Pokud zakážete funkci Auto-Protect, zakážete také funkci Download Insight a funkce SONAR nebude provádět heuristické detekce. Viz „Povolení nebo zakázání funkce Auto-Protect“ na straně 44.

Prověřte počítač

Pravidelně prověřujte počítač, jestli nebudou zjištěny viry nebo bezpečnostní rizika. Zajistěte, aby se prověřování spouštěla pravidelně kontrolou data posledního prověřování. Viz „Okamžité prověřování počítače“ na straně 16. Viz „Naplánování prověřování definovaného uživatelem“ na straně 72.


Krok

Popis

Pozastavení nebo odložení prověřování

Při spuštění prověřování na požádání, plánovaného nebo uživatelem definovaného prověřování aplikace Symantec Endpoint Protection standardně zobrazí dialogové okno s průběhem prověřování. Mimo to může funkce Auto-Protect zobrazit dialogové okno při každém zjištění viru nebo bezpečnostního rizika. Tato upozornění lze vypnout. Funkce pozastavení umožňuje kdykoli zastavit průběh prověřování a později jej znovu obnovit. Můžete pozastavit jakékoli prověřování, které spustíte. Ve spravované síti správce sítě určuje, zda můžete pozastavit prověřování, které tento správce inicioval. Pokud není k dispozici možnost Pozastavit prověřování, správce funkci pozastavení zakázal. Pokud správce povolil funkci Odložení, můžete zpozdit prověřování naplánované správcem o nastavený časový interval. Když se prověřování obnoví, začne tam, kde bylo zastaveno.

Poznámka: Pokud klient prověřuje komprimovaný soubor a vy prověřování pozastavíte, klient může zareagovat na pozastavení až po několika minutách. Viz „Pozastavení a zpoždění prověřování“ na straně 17. Práce s výsledky prověřování

Po spuštění prověřování se může zobrazit dialogové okno s jeho výsledky. Pomocí dialogového okna s výsledky prověřování můžete s odhalenými položkami provádět určité akce. Ve spravované síti je možné, že se při správcem spuštěném prověřování dialogové okno s informacemi o průběhu prověřování nezobrazí. Správce může zobrazení výsledků při zjištění viru nebo bezpečnostního rizika vypnout. V některých případech vám může správce povolit prohlížet výsledky prověřování, ale zakázat prověřování pozastavit nebo znovu spustit.

Poznámka: V závislosti na jazyku operačního systému nemusí být možné některé znaky v názvu viru zobrazeném v dialogovém okně s výsledky prověřování zobrazit správně. Nedokáže-li operační systém interpretovat některé znaky, tyto znaky se v oznámeních zobrazí jako otazníky. Například některé názvy virů, které využívají znakovou sadu Unicode, mohou obsahovat dvoubajtové znaky. V počítačích, kde je klient spuštěn pod operačním systémem v anglické verzi, se tyto znaky zobrazí jako otazníky. Viz „Reakce na zjištění viru nebo rizika“ na straně 24.

57

58


Krok

Popis

Úprava prověřování kvůli zvýšení výkonu počítače

Aplikace Symantec Endpoint Protection ve výchozím nastavení poskytuje vysokou úroveň zabezpečení s minimálním vlivem na výkon vašeho počítače. Úpravou nastavení můžete výkon počítače ještě zvýšit. U plánovaných prověřování a prověřování na vyžádání můžete upravit následující možnosti: Optimalizace prověřování Nastavte u optimalizace prověřování možnost Nejvyšší výkon aplikace. ■ Komprimované soubory Změna počtu prověřovaných vrstev při prověřování komprimovaných souborů. ■ Obnovitelná prověřování Můžete určit maximální dobu, po kterou budou prověřování spuštěna. Prověřování bude obnoveno v případě nečinnosti počítače. ■ Náhodně spouštěná prověřování Můžete určit časový rozsah, ve kterém bude prověřování náhodně spouštěno. ■

Můžete také zakázat prověřování po spuštění nebo změnit plán svých plánovaných prověřování. Viz „Přizpůsobení nastavení prověřování výskytu virů a spywaru“ na straně 80. Viz „Naplánování prověřování definovaného uživatelem“ na straně 72.


Krok

Popis

Úprava prověřování za účelem zvýšení zabezpečení vašeho počítače

Ve většině případů poskytují výchozí nastavení aplikace dostatečnou ochranu počítače. V některých případech můžete chtít úroveň zabezpečení zvýšit. Při zvýšení úrovně zabezpečení může dojít k poklesu výkonu počítače. U plánovaných prověřování a prověřování na vyžádání můžete upravit následující možnosti: Efektivita prověřování Nastavte u optimalizace prověřování možnost Nejefektivnější prověřování. ■ Akce prověřování Změňte akce nápravy, ke kterým dochází po zjištění viru. ■ Délka prověřování Ve výchozím nastavení jsou plánovaná prověřování spuštěna až do vypršení časového limitu a obnoví se poté v případě nečinnosti počítače. Trvání prověřování lze nastavit na možnost Prověřovat až do dokončení. ■ Vyhledávání Insight Vyhledávání Insight využívá nejnovější sadu definic, pomocí které prověřuje soubory a činí vhodná rozhodnutí. Využívá také technologii hodnocení společnosti Symantec. Je vhodné se ujistit, že je funkce Vyhledávání Insight povolena. Nastavení Vyhledávání Insight jsou stejná jako v případě funkce Download Insight. ■

Můžete také zvýšit úroveň ochrany pomocí technologie Bloodhound. Technologie Bloodhound dokáže vyhledáním a izolováním logických oblastí souboru rozpoznat chování typické pro viry. Pokud chcete zvýšit zabezpečení vašeho počítače, můžete změnit úroveň zjišťování z Automaticky na Agresivní. Možnost Agresivní však pravděpodobně způsobí zvýšený výskyt falešných poplachů. Viz „Přizpůsobení nastavení prověřování výskytu virů a spywaru“ na straně 80.

59

60


Krok

Popis

Úpravou funkce Auto-Protect zvýšíte výkon počítače nebo úroveň zabezpečení

V rámci funkce Auto-Protect můžete upravit následující možnosti: Mezipaměť souborů Ujistěte se, že je povoleno používání mezipaměti souborů (povoleno ve výchozím nastavení). Při povolení mezipaměti souborů si funkce Auto-Protect zaznamenává prověřené čisté soubory, které již poté znovu neprověřuje. ■ Nastavení sítě Povolíte-li funkci Auto-Protect na vzdálených počítačích, nezapomeňte povolit možnost Pouze při spuštění souborů. ■ U funkce Auto-Protect je možné nastavit také důvěřování souborům na vzdáleném počítači či používání mezipaměti v síti. Standardně funkce Auto-Protect prověřuje soubory při zápisu z vašeho počítače do vzdáleného počítače. Prověřuje také soubory při zápisu ze vzdáleného počítače do vašeho počítače. V síťové mezipaměti se ukládají záznamy o souborech, které funkce Auto-Protect prověřovala ze vzdáleného počítače. Při použití síťové mezipaměti můžete předejít tomu, aby funkce Auto-Protect prověřovala stejný soubor vícekrát. ■

Viz „Přizpůsobení nastavení prověřování výskytu virů a spywaru“ na straně 80. Správa nálezů v rámci Fukce Download Insight prověřuje soubory stahované ve funkce Download Insight webovém prohlížeči, aplikace k odesílání textových zpráv a další portály. Funkce Download Insight využívá k rozhodování v případě každého souboru informace o hodnocení ze serveru Symantec Insight. Viz „Správa detekcí Download Insight v počítači“ na straně 76. Správa funkce SONAR

Funkce SONAR je součástí aktivní ochrany před hrozbami. Viz „Správa funkce SONAR v klientském počítači“ na straně 97.

Stanovení výjimek prověřování

Vyjměte z prověřování zabezpečený soubor nebo proces. Viz „Vyloučení položek z prověřování“ na straně 87.

Správa prověřování Jak funguje prověřování na viry a spyware

Krok

Popis

Odeslání informací společnosti Symantec o zjištěných položkách

Klientský počítač odesílá informace o zjištěných položkách standardně do střediska Symantec Security Response. Odesílání můžete úplně zakázat nebo jen vybrat, které informace chcete odeslat. Společnost Symantec doporučuje nechat odesílání informací vždy povolené. Tyto informace pomáhají pracovníkům společnosti Symantec zaměřit se na hrozby. Viz „Odeslání informací o zjištěních hrozbách do střediska Symantec Security Response“ na straně 95.

Správa souborů umístěných do karantény

Aplikace Symantec Endpoint Protection infikované soubory uloží do karantény a přenese je do umístění, kde soubor nemůže nakazit další soubory v počítači. Pokud soubor umístěný do karantény nelze opravit, musíte se rozhodnout, co se s ním má udělat. Můžete také provést některou z následujících akcí: Vymažte soubor umístěný do karantény, pokud existuje záložní soubor nebo je k dispozici náhradní soubor z důvěryhodného zdroje. ■ Ponechte soubory s neznámými infekcemi v karanténě, dokud společnost Symantec nevydá nové definice virů. ■ Pravidelně kontrolujte soubory umístěné do karantény, abyste zabránili nashromáždění velkého množství souborů. Zkontrolujte soubory umístěné do karantény, když se na síti objeví nová virová epidemie. ■

Viz „Správa souborů v klientském počítači uložených do karantény“ na straně 89. Viz „Umístění souborů do karantény“ na straně 91.

Jak funguje prověřování na viry a spyware Prověřování na výskyt virů a spywaru rozezná a neutralizuje nebo eliminuje viry a bezpečnostní rizika na vašich počítačích. Prověřování eliminuje virus nebo riziko použitím následujícího procesu: ■

prověřovací modul vyhledává v souborech a jiných součástech v počítači stopy virů. Každý virus má charakteristický vzor, který se nazývá signatura. Na klientovi je nainstalován soubor s definicemi virů, který obsahuje známé signatury virů bez škodlivého virového kódu. Prověřovací modul porovnává

61

62


každý soubor nebo jeho součást se souborem s definicemi virů. Pokud prověřovací modul najde shodu, jedná se o infikovaný soubor. ■

Prověřovací modul používá soubory s definicemi, aby určil, zda jsou virus nebo riziko původcem infekce. Prověřovací modul poté zahájí na infikovaném souboru akci nápravy. Aby bylo možné infikovaný soubor napravit, klient tento soubor vyčistí, odstraní nebo umístí do karantény. Viz „Jak prověřování reagují na zjištění viru nebo rizika“ na straně 70.

Tab. 4-2 popisuje součásti počítače, které klient prověřuje. Tab. 4-2

Součásti počítače, které klient prověřuje

Součást

Popis

Vybrané soubory

Klient prověřuje jednotlivé soubory. U většiny typů prověřování vybíráte soubory, které chcete prověřit. Klientský software používá k vyhledávání stop virů uvnitř souborů prověřování na základě vzorů. Stopy virů se nazývají vzory nebo signatury. Při rozpoznávání konkrétních virů je každý soubor porovnáván s neškodnými signaturami, které se nacházejí v souboru s definicemi virů. Je-li zjištěn virus, klient se standardně pokusí vyčistit virus ze souboru. Pokud soubor nelze vyčistit, klient jej uloží do karantény, aby se zabránilo další infekci počítače. Klient také používá prověřování na základě vzorů k vyhledání znaků bezpečnostních rizik v souborech a klíčích registru systému Windows. Při nalezení bezpečnostního rizika uloží klient infikované soubory do karantény a opraví následky rizika. Pokud soubory nelze přesunout do karantény, je pokus zaznamenán do protokolu.

Paměť počítače

Klient prohledává paměť počítače. Veškeré souborové viry, viry napadající zaváděcí sektor nebo makroviry mohou být rezidentní v paměti. Tyto viry se do paměti počítače zkopírovaly samy. Virus se může v paměti skrývat tak dlouho, dokud nedojde k události, která jej spustí. Poté se virus může rozšířit na disketu v disketové jednotce nebo na pevný disk. Pokud se virus nachází v paměti, nelze jej vyčistit. Viry však můžete z paměti odstranit tak, že po zobrazení výzvy počítač restartujete.

Zaváděcí sektor

Klient kontroluje, zda se v zaváděcím sektoru počítače nenacházejí viry. Prověřují se dvě části: tabulky oddílů a hlavní zaváděcí záznam.


Součást

Popis

Disketová jednotka

Nejčastějším prostředkem šíření virů jsou diskety. Při spouštění či vypínání počítače může zůstat disketa ponechaná v jednotce. Po zahájení prověřování klient prohledá zaváděcí sektor a tabulky oddílů diskety vložené v jednotce. Při vypínání počítače se zobrazí výzva k vyjmutí diskety, abyste předešli možné infekci.

Informace o typech prověřování Aplikace Symantec Endpoint Protection nabízí různé typy prověřování, které zajišťují ochranu před odlišnými typy virů, hrozeb a rizik. Ve výchozím nastavení spouští aplikace Symantec Endpoint Protection aktivní prověřování každý den ve 12:30. Aplikace Symantec Endpoint Protection spustí aktivní prověřování v případě, kdy jsou v klientském počítači přijaty nové definice. U nespravovaných počítačů aplikace Symantec Endpoint Protection poskytuje také výchozí prověřování po spuštění, které je ale zakázáno. U nespravovaných klientů zajistěte spouštění aktivního prověřování počítačů každý den. Pokud si myslíte, že je v počítači neaktivní hrozba, můžete na každý týden nebo měsíc naplánovat úplné prověřování. Úplné prověřování vyžaduje více prostředků počítače a ovlivňuje jeho výkon. Viz „Správa prověřování v počítači“ na straně 56. Tab. 4-3

Typy prověřování

Typ prověřování

Popis

Funkce Auto-Protect

Funkce Auto-Protect nepřetržitě prověřuje soubory a data internetové pošty v průběhu jejich zápisu na počítač nebo čtení z něj. Funkce Auto-Protect automaticky neutralizuje nebo eliminuje zjištěné viry a bezpečnostní rizika. Funkce Auto-Protect chrání také některé odeslané nebo přijaté e-maily. Viz „Informace o typech funkcí Auto-Protect“ na straně 65.

63

64


Typ prověřování

Popis

Download Insight

Funkce Download Insight umožňuje zvýšit zabezpečení poskytované funkcí Auto-Protect prověřováním souborů vždy, když se je uživatel pokouší stáhnout prostřednictvím prohlížeče nebo z jiných portálů. Funkce Download Insight k rozhodování v případě každého souboru využívá informace o hodnocení. Hodnocení souborů vychází z technologie společnosti Symantec s názvem Insight. Technologie Insight k hodnocení nevyužívá pouze informace o původu souboru, ale také jeho kontext. Technologie Insight poskytuje určité hodnocení bezpečnosti, které následně funkce Download Insight využívá k určení postupu u každého souboru. Funkce Download Insight je využívána jako součást funkce Auto-Protect a vyžaduje, aby byla tato funkce povolena. Pokud zakážete funkci Auto-Protect, ale povolíte funkci Download Insight, funkce Download Insight nebude k dispozici. Viz „Způsob, jakým aplikace Symantec Endpoint Protection k rozhodování o souborech využívá informace o hodnocení“ na straně 71.

Prověřování správcem a U spravovaných klientů může váš správce vytvořit plánované prověřování, nebo je prověřování definovaná spouštět na vyžádání. U nespravovaných klientů nebo spravovaných klientů s uzamčeným uživatelem nastavením prověřování můžete vytvářet a spouštět prověřování vlastní. Prověřování definovaná správcem nebo uživatelem zjišťují viry a bezpečnostní rizika prozkoumáním všech souborů a procesů v klientském počítači. Tyto typy prověřování mohou také prověřovat paměť a body zavedení. K dispozici jsou následující typy prověřování definovaných správcem nebo uživatelem: Plánovaná prověřování Plánovaná prověřování se na klientských počítačích spouští ve stanovených časech. Všechna souběžně naplánovaná prověřování se spustí postupně. Jestliže je počítač v době plánovaného prověřování vypnutý, prověřování se nespustí, pokud program nebyl nakonfigurován na spouštění zmeškaných prověřování. Můžete naplánovat aktivní, úplné nebo vlastní prověření. Nastavení plánovaných prověřování lze uložit jako šablonu. Kterékoli prověřování, které uložíte jako šablonu, můžete použít jako základ pro jiné prověřování. Šablony prověřování vám mohou ušetřit čas při konfigurování více zásad. Šablona plánovaného prověřování je v zásadách obsažena standardně. Výchozí plánované prověřování prověřuje všechny soubory a adresáře. ■ Prověřování při spuštění a prověřování aktivovaná událostí Prověřování při spuštění se spustí, když se uživatelé přihlásí k počítačům. Prověřování aktivovaná událostí se spustí, když se do počítačů stáhnou nové definice virů. ■ Prověřování na požádání Prověřování na požádání jsou spouštěna ručně. Prověřování na požádání můžete spouštět ze stránky Prověřovat na hrozby. ■


Typ prověřování

Popis

SONAR

Funkce SONAR nabízí ochranu v reálném čase proti zcela novým hrozbám. Funkce SONAR dokáže útoky zastavit dříve, než tradiční definice využívající signatury hrozbu odhalí. Funkce SONAR k rozhodování v případě aplikace nebo souboru využívá jak heuristickou metodu, tak data s hodnocením. Funkce SONAR stejně jako v případě aktivních prověřování hrozeb umožňuje odhalit keyloggery, spyware a všechny aplikace, které jsou, nebo potenciálně mohou být, škodlivé.

Informace o typech funkcí Auto-Protect Funkce Auto-Protect umožňuje prověřovat soubory nebo určité typy e-mailů nebo e-mailových příloh. Pokud jsou na klientských počítačích spuštěny jiné produkty pro zabezpečení elektronické pošty, jako například Symantec Mail Security, nemusíte funkci Auto-Protect pro elektronickou poštu povolovat. Prověřování funkcí Auto-Protect funguje pouze u podporovaných e-mailových klientů. Nechrání e-mailové servery. Poznámka: Pokud je při otevírání e-mailu nalezen virus, může prověřování funkcí Auto-Protect při otevírání zprávy způsobit zpoždění v řádu několika vteřin.

65

66


Typy funkcí Auto-Protect

Tab. 4-4 Typ funkce Auto-Protect

Popis

Funkce Auto-Protect

Nepřetržité prověřování souborů při jejich čtení nebo zápisu do počítače Funkce Auto-Protect pro systém souborů je ve výchozím nastavení povolena. Zapne se při spuštění počítače. Prověřuje všechny soubory na viry a bezpečnostní rizika a blokuje instalaci bezpečnostních rizik. Volitelně může prověřovat soubory podle přípony souboru, prověřovat soubory na vzdálených počítačích nebo prověřovat diskety, jestli neobsahují viry spouštěcího záznamu. Volitelně může před pokusem o opravu soubory zálohovat, ukončovat procesy a zastavovat služby. Funkci Auto-Protect lze nastavit pro prověřování souborů vybraných přípon. Pokud funkce Auto-Protect prověřuje soubory vybraných přípon, dokáže zjistit typ souboru i v případě, že virus jeho příponu změní. Pokud nevyužíváte funkci Auto-Protect pro elektronickou poštu, klientský počítač bude i přesto po spuštění funkce Auto-Protect chráněn. Většina e-mailových programů ukládá přílohy do dočasného adresáře v okamžiku, kdy uživatelé přílohy e-mailu otevírají. Funkce Auto-Protect výskyt případného bezpečnostního rizika zjistí při zápisu souboru do dočasného adresáře. Funkce Auto-Protect zjistí vir také tehdy, když se uživatel pokusí o uložení infikované přílohy na místní nebo síťovou jednotku.

Funkce Auto-Protect pro internetovou poštu

Umožňuje prověřovat e-mail z Internetu (protokoly POP3 nebo SMTP) a přílohy a odhalit případná bezpečnostní rizika. Zahrnuje také heuristickou analýzu odchozích e-mailů. Funkce Auto-Protect pro internetovou poštu podporuje podle výchozího nastavení zašifrovaná hesla a e-maily při použití připojení POP3 a SMTP. Používáte-li protokoly POP3 a SMTP ze zabezpečením SSL (Secure Sockets Layer), nalezne klient zabezpečená připojení, ale neprověří zašifrované zprávy.

Poznámka: Z důvodů výkonu počítače není funkce Auto-Protect pro internetovou poštu pro protokol POP3 podporována na serverových operačních systémech. Prověřování internetové pošty není podporováno také u počítačů se 64bitovými systémy. Prověřování e-mailů nepodporuje e-maily využívající protokol HTTP, IMAP nebo AOL (např. e-maily Hotmail nebo Yahoo!) .


Typ funkce Auto-Protect

Popis

Funkce Auto-Protect pro aplikaci Prověřování výskytu virů a bezpečnostních rizik v e-mailech a jejich přílohách Microsoft Outlook u aplikace Microsoft Outlook (rozhraní MAPI a Internet) Podporováno u aplikace Microsoft Outlook 98/2000/2002/2003/2007 a 2010 (rozhraní MAPI a Internet) Pokud je aplikace Microsoft Outlook při instalaci klientského softwaru již nainstalována, klientský software tuto e-mailovou aplikaci rozpozná. Klient automaticky nainstaluje funkci Auto-Protect pro Microsoft Outlook. Pokud používáte klienta aplikace Microsoft Outlook s rozhraním MAPI nebo Microsoft Exchange a funkce Auto-Protect e-mailu je povolena, přílohy budou do počítače ihned staženy. Přílohy budou prověřeny, jakmile je uživatel otevře. Pokud stahujete velké přílohy přes pomalé připojení, ovlivní to výkon pošty. Jestliže pravidelně přijímáte velké přílohy, bude pravděpodobně vhodnější tuto funkci nepoužívat.

Poznámka: Na server Microsoft Exchange není vhodné instalovat funkci Auto-Protect pro aplikaci Microsoft Outlook. Funkce Auto-Protect pro Lotus Notes

Umožňuje prověřit e-maily aplikace Lotus Notes na výskyt virů a bezpečnostních rizik Podpora aplikací Lotus Notes 4.5x, 4.6, 5.0 a 6.x Pokud je aplikace Lotus Notes při instalaci klientského softwaru již nainstalována, klientský software tuto e-mailovou aplikaci rozpozná. Klient automaticky nainstaluje funkci Auto-Protect pro Lotus Notes.

Viry a bezpečnostní rizika Aplikace Symantec Endpoint Protection může prověřovat jak viry, tak bezpečnostní rizika. Do kategorie Bezpečnostní riziko patří spyware, adware, rootkity a další soubory, které mohou počítač nebo síť ohrozit. Viry a bezpečnostní rizika mohou být staženy prostřednictvím e-mailu nebo programu pro rychlé zasílání zpráv. Bezpečnostní riziko můžete nevědomky stáhnout přijetím licenční smlouvy s koncovým uživatelem v softwarovém programu. Mnoho virů a bezpečnostních rizik je instalováno tzv. „stahováním za běhu“. K těmto stažením většinou dojde při otevření škodlivé nebo infikované webové stránky a následné instalaci nástroje pro stahování aplikace s využitím skutečného slabého místa ve vašem počítači. Další informace o konkrétních rizicích naleznete na webové stránce střediska Symantec Security Response.

67

68


Web systému Symantec Security Response poskytuje nejnovější informace o hrozbách a bezpečnostních rizicích. Na tomto webu také naleznete rozsáhlé referenční informace, například dokumenty White Paper a podrobné informace o virech a bezpečnostních rizicích. Viz „Jak prověřování reagují na zjištění viru nebo rizika“ na straně 70. Obr. 4-1 Ostatní počítače, soubory sdílené v síti

Jak viry a bezpečnostní rizika napadají počítač Jednotka USB flash

Internet

E-mail, rychlé zasílání zpráv Viry, malware a bezpečnostní rizika Viry, malware a bezpečnostní rizika

Viry, malware a bezpečnostní rizika

Klientský počítač

Tab. 4-5 obsahuje typy virů a rizik, které mohou zaútočit na počítač.


Tab. 4-5

Viry a bezpečnostní rizika

Riziko

Popis

Viry

Programy nebo kódy, které svou kopii připojují k jiným počítačovým programům nebo souborům při jejich spuštění. Když je napadený program spuštěn, aktivuje se připojený virový program a připojí se opět k dalším programům a souborům. V kategorii virů se nachází následující typy hrozeb: ■

■

■

■

■

Škodlivé programy typu Internet bot Programy, které prostřednictvím Internetu spouštějí automatické úlohy. Programy typu bot mohou být používány k automatickému vedení útoků na počítače nebo ke shromažďování informací z webových serverů. Červi Programy, které se replikují, aniž by infikovaly další programy. Někteří červi se šíří kopírováním sebe sama z disku na disk, zatímco ostatní se replikují pouze v paměti s cílem snížit výkon počítače. Trojští koně Programy, které se maskují jako neškodné, např. hry nebo nástroje. Kombinované hrozby Hrozby, které kombinují vlastnosti virů, červů a trojských koní a nebezpečného kódu a využívají slabých míst serverů a Internetu za účelem spuštění, přenosu a rozšíření. Kombinované hrozby používají různé metody a techniky rychlého šíření a mohou způsobit rozsáhlé poškození. Rootkity Programy, které se skrývají před operačním systémem počítače.

Adware

Programy, které uživatelům nabízejí reklamní obsah.

Programy pro telefonické připojení

Programy, které využívají počítač bez svolení a vědomí uživatele k volbě čísel s předčíslím 900 k připojení k Internetu nebo k serveru FTP. Vytočení těchto čísel má obvykle za následek navýšení poplatků.

Hackerské nástroje

Programy, které hackeři používají k získání neoprávněného přístupu k počítači uživatele. Jedním typem hackerských nástrojů je například program pro zaznamenávání klávesových úhozů, který zapisuje stisknutí jednotlivých kláves a tyto informace odesílá zpět hackerovi. Hacker může potom prohledávat porty nebo citlivá místa. Pomocí hackerských nástrojů lze rovněž vytvářet viry.

69

70


Riziko

Popis

Žertovné programy

Programy, které mění nebo přerušují fungování počítače takovým způsobem, jenž má uživatele pobavit nebo vystrašit. Např. žertovný program může při pokusu o jeho odstranění uhýbat košem před ukazatelem myši.

Zavádějící aplikace

Aplikace, které záměrně poskytují chybný stav zabezpečení počítače. Tyto aplikace se běžně maskují za bezpečnostní upozornění se zprávou o neexistující infekci, kterou je třeba odstranit.

Programy rodičovského Programy pro sledování nebo omezování užívání počítače. zámku Programy mohou být spuštěny bez povšimnutí a běžně přenáší sledované informace na jiný počítač. Programy pro vzdálený Programy, které umožňují přístup z jiného počítače přístup prostřednictvím Internetu za účelem získání informací. Umožňují také útok na počítač nebo jeho narušení. Nástroj pro hodnocení zabezpečení

Programy, které lze využít ke shromažďování údajů pro neoprávněný přístup k počítači.

Spyware

Samostatné programy, které tajně sledují činnost systému a zjišťují hesla a jiné důvěrné informace a předávají je zpět jinému počítači.

Trackware

Samostatné nebo připojené aplikace, které umožňují sledovat uživatelovu cestu na Internetu a odeslat informace do kontrolního systému nebo počítače hackera.

Jak prověřování reagují na zjištění viru nebo rizika Při infikování souborů viry a bezpečnostními riziky reaguje klient různými způsoby v závislosti na druhu hrozby. Pro každý druh hrozby klient použije první akci a v případě jejího nezdaru provede druhou akci. Jak prověřování reaguje na viry a bezpečnostní rizika

Tab. 4-6 Typ hrozby

Akce

Virus

Podle výchozího nastavení, pokud klient zjistí virus: ■

Pokusí se nejprve vyčistit virus z infikovaného souboru.

■

Při čištění souboru klient kompletně odstraní riziko z počítače.

■

Pokud vyčištění není možné, zaznamená klient neúspěch do protokolu a přesune infikovaný soubor do karantény. Viz „Umístění souborů do karantény“ na straně 91.


Typ hrozby

Akce

Bezpečnostní riziko

Podle výchozího nastavení, pokud klient zjistí bezpečnostní riziko: ■

Uloží infikovaný soubor do karantény.

Pokusí se odstranit či opravit všechny změny provedené bezpečnostním rizikem. ■ Pokud klient nedokáže přesunout bezpečnostní riziko do karantény, zaznamená je do protokolu a ponechá je. ■

Může se stát, že nevědomky nainstalujete aplikaci obsahující bezpečnostní riziko, jako je adware či spyware. Pokud společnost Symantec usoudila, že přesun daného rizika do karantény nepoškodí počítač, klient toto riziko přesune. Okamžitý přesun rizika do karantény může přivést počítač do nestabilního stavu. Proto klient před přesunutím rizika do karantény vyčká dokončení instalace aplikace. Potom opraví účinky daného rizika.

U každého typu prověřování můžete změnit nastavení způsobu zpracování virů a bezpečnostních rizik. Pro jednotlivé kategorie rizik i jednotlivá bezpečnostní rizika lze nastavit různé akce.

Způsob, jakým aplikace Symantec Endpoint Protection k rozhodování o souborech využívá informace o hodnocení Společnost Symantec shromažďuje informace o souborech, které jsou přijímány od milionů uživatelů a ze sítě Global Intelligence Network. Shromážděné informace slouží ke vzniku databáze hodnocení uložené na serverech Symantec. Produkty společnosti Symantec tyto informace využívají k ochraně klientských počítačů před novými, vybranými a měnícími se hrozbami. Data jsou někdy nazývána jako data uložená „v cloudu“ (pozn. cloud = mrak), jelikož se nenachází přímo na počítači klienta. Klientský počítač musí do databáze hodnocení odeslat požadavek nebo dotaz. Společnost Symantec využívá technologii s názvem Insight, která umožňuje u každého souboru určit úroveň rizika nebo „hodnocení zabezpečení“. Technologie Insight vyměří hodnocení bezpečnosti u souboru prozkoumáním následujících charakteristik souboru a jeho kontextu: ■

Zdroj souboru

■

Stáří souboru

■

Četnost výskytu souboru v komunitě

■

Ostatní postupy v oblasti bezpečnosti, např. míra, jakou soubor odpovídá malwaru

71

72

Správa prověřování Naplánování prověřování definovaného uživatelem

Funkce prověřování v aplikaci Symantec Endpoint Protection využívají technologii Insight k učinění rozhodnutí v případě souboru nebo aplikace. Součástí ochrany před viry a spywarem je funkce Download Insight. Funkce Download Insight při rozhodování spoléhá na důvěryhodné informace. Pokud vyhledávání Insight zakážete, funkci Download Insight bude možné spustit, ale nebude provádět detekce. Jiné funkce zabezpečení typu Vyhledávání Insight nebo SONAR také využívají k činění rozhodnutí informace o hodnocení. Tyto funkce však za takovým účelem mohou využít i další technologie. Klientský počítač odesílá informace o zjištěných položkách podle hodnocení standardně do střediska Symantec Security Response, kde je provedena další analýza. Tyto informace pomáhají zlepšovat databázi hodnocení technologie Insight. Čím více klientů informace odešle, tím užitečnější databáze s hodnocením může být. Odesílání informací o hodnocení můžete zakázat. Společnost Symantec však doporučuje nechat odesílání povolené. Klientský počítač odesílá do střediska Symantec Security Response také jiné typy informací. Viz „Správa detekcí Download Insight v počítači“ na straně 76. Viz „Odeslání informací o zjištěních hrozbách do střediska Symantec Security Response“ na straně 95.

Naplánování prověřování definovaného uživatelem Plánované prověřování je důležitou součástí ochrany před hrozbami a bezpečnostními riziky. Abyste měli jistotu, že se v počítači nenacházejí viry a bezpečnostní rizika, měli byste naplánovat prověřování alespoň jednou týdně. Po vytvoření nového prověřování se toto zobrazí v seznamu na panelu Prověřovat na hrozby. Poznámka: Pokud pro vás správce vytvořil plánované prověření, zobrazuje se v seznamu na panelu Prověřovat na hrozby. Spuštění plánovaného prověřování vyžaduje, aby byl počítač zapnutý a byly zavedeny služby aplikace Symantec Endpoint Protection. Ve výchozím nastavení se služby aplikace Symantec Endpoint Protection načtou při spuštění počítače. V případě spravovaných klientů mohou správci tato nastavení potlačit. Pokud v jednom počítači naplánujete více prověřování se stejným počátečním časem, spustí se prověřování postupně. Po dokončení jednoho prověřování bude zahájeno další. Můžete například naplánovat tři různá prověřování s počátečním


časem 13.00. Každé z nich slouží k prověření jiné jednotky a mají tak být prověřeny disky C, D a E. V tomto příkladu je vhodnější vytvořit jedno plánované prověřování, které se bude týkat disků C, D a E. Viz „Okamžité prověřování počítače“ na straně 16. Viz „Správa prověřování v počítači“ na straně 56. Chcete-li získat více informací o možnostech v každém dialogovém okně, klepněte na položku Nápověda. Naplánování prověřování definovaného uživatelem

1

V klientovi klepněte na příkaz Prověřovat na hrozby v postranním panelu.

2

Klepněte na tlačítko Vytvořit nové prověřování.

3

V dialogovém okně Vytvořit nové prověřování – co prověřovat vyberte některý z následujících typů prověřování: Aktivní prověřování

Prověří oblasti počítače nejčastěji napadané viry a bezpečnostními riziky. Aktivní prověřování bystě měli spouštět každý den.

4

Úplné prověřování

Prověří celý počítač na přítomnost virů a jiných rizik.

Vlastní prověřování

Prověří vybrané oblasti počítače na přítomnost virů a bezpečnostních rizik.

Jednou za týden nebo za měsíc byste měli spustit úplné prověřování. Úplné prověřování můžete ovlivnit výkon počítače.

Klepněte na tlačítko Další.

73

74


5

Zvolíte-li možnost Vlastní prověřování, zaškrtněte příslušná políčka určující oblasti k prověření a poté klepněte na možnost Další. Zde jsou uvedeny popisy jednotlivých symbolů: Soubor, jednotka nebo složka nejsou vybrány. Představuje-li položka jednotku či složku, nejsou vybrány ani složky nebo soubory obsažené v této jednotce či složce. Je vybrán samostatný soubor či složka.

Je vybrána samostatná složka či jednotka. Všechny položky v rámci této složky nebo jednotky jsou také vybrány. Celá složka nebo jednotka není vybrána, ale je vybrána jedna nebo více položek v rámci této složky či jednotky.

6

V dialogovém okně Vytvořit nové prověřování – možnosti prověřování můžete nastavit také tyto volby: Typy souborů

Nastavte, které přípony souborů klient prověřuje. Výchozí volbou je prověřit všechny soubory.

Akce

Změnit první a druhou akci, která má být provedena při nalezení virů a bezpečnostních rizik.

Upozornění

Vytvořit zprávu, která se má zobrazit při nalezení viru nebo bezpečnostního rizika. Můžete také nastavit, zda chcete dostat upozornění před provedením nápravných akcí.

Rozšířené

Změňte doplňující funkce prověřování, jako je zobrazení dialogového okna výsledků prověřování.

Vylepšené prověřování

Nastavte, které součásti počítače klient prověřuje. Dostupné možnosti jsou závislé na tom, co jste vybrali v kroku 3.

7


8

V dialogovém okně Vytvořit nové prověřování – kdy prověřovat klepněte na možnost V určenou dobu a poté klepněte na možnost Další. Můžete také vytvořit prověřování na požádání nebo prověřování při spuštění. Viz „Naplánování prověřování na spuštění na požádání nebo při zapnutí počítače“ na straně 75.

Správa prověřování Naplánování prověřování na spuštění na požádání nebo při zapnutí počítače

9

V dialogovém okně vytvořit nové prověřování — plán v části Plán prověření určete frekvenci a dobu prověřování a poté klepněte na možnost Další.

10 V části Délka prověřování můžete nastavit čas, během kterého je třeba prověřování dokončit. Čas spuštění můžete rovněž náhodně vygenerovat.

11 V části Zmeškaná plánovaná prověřování můžete určit interval, během kterého je možné prověřování znovu spustit.

12 V dialogovém okně Vytvořit nové prověřování – název prověřování zadejte název a popis prověřování. Prověřování pojmenujte například Pátek ráno

13 Klepněte na tlačítko Dokončit.

Naplánování prověřování na spuštění na požádání nebo při zapnutí počítače Můžete doplňovat plánované prověřování automatickým prověřováním při každém spuštění počítače nebo přihlášení. Prověřování při spuštění je často omezeno na kritické složky s vysokým rizikem virové infekce (například složka Windows a složky, v nichž jsou uloženy šablony aplikací Microsoft Word a Excel). Pokud pravidelně prověřujete stejnou sadu souborů nebo složek, můžete vytvořit prověřování na požádání omezené na příslušné soubory. Kdykoli potom můžete rychle ověřit, zda zadané soubory a složky neobsahují viry a bezpečnostní rizika. Prověřování na požádání musíte spustit ručně. Pokud vytvoříte více než jedno prověřování při spuštění, spouští se tato prověřování postupně v pořadí, ve kterém byla vytvořena. Váš správce mohl nakonfigurovat klienta tak, že nemůžete prověřování při spuštění vytvořit. Viz „Okamžité prověřování počítače“ na straně 16. Chcete-li získat více informací o možnostech v každém dialogovém okně, klepněte na položku Nápověda. Naplánování prověřování na spuštění na požádání nebo při zapnutí počítače

1


2

Klepněte na tlačítko Vytvořit nové prověřování.

3

Určete cíl prověřování a případné možnosti u plánovaného prověřování. Viz „Naplánování prověřování definovaného uživatelem“ na straně 72.

4

V dialogovém okně Vytvořit nové prověřování – Kdy spustit prověřování proveďte některou z následujících akcí:

75

76

Správa prověřování Správa detekcí Download Insight v počítači

■

Klepněte na možnost Při spuštění.

■

Klepněte na možnost Na požádání.

5


6

V dialogovém okně Vytvořit nové prověřování – název prověřování zadejte název a popis prověřování. Prověřování pojmenujte například MojePrověřování1

7

Klepněte na tlačítko Dokončit.

Správa detekcí Download Insight v počítači Funkce Auto-Protect obsahuje funkci s názvem Download Insight, která prověřuje soubory stahované ve webovém prohlížeči, aplikace k odesílání textových zpráv a další portály. Aby bylo možné používat funkci Download Insight, je třeba povolit funkci Auto-Protect. Mezi podporované portály patří Internet Explorer, Firefox, Microsoft Outlook, Outlook Express, Windows Live Messenger a Yahoo Messenger. Poznámka: Podrobnosti o riziku v protokolu rizik pro detekci funkce Download Insight ukazují jen první portálovou aplikaci, která se pokusila o stažení. Ke stažení souboru zjištěného funkcí Download Insight můžete použít například aplikaci Internet Explorer. Pokud potom ke stažení souboru použijete aplikaci Firefox, v poli Stáhl/a v podrobnostech o riziku se jako portál zobrazí aplikace Internet Explorer. Funkce Download Insight využívá k rozhodnutí o škodlivosti staženého souboru informace o jeho hodnocení. Funkce Download Insight nevyužívá k rozhodování signatury ani heuristickou analýzu. Pokud funkce Download Insight soubor schválí, funkce Auto-Protect nebo SONAR tento soubor při pokusu o jeho spuštění dále prověří. Poznámka: Funkce Auto-Protect umožňuje také prověřování souborů, které uživatel obdrží prostřednictvím přílohy e-mailů.


Správa detekcí Download Insight v počítači

Tab. 4-7 Úloha

Popis

Informace o způsobu, jakým funkce Download Insight využívá k rozhodování v případě každého souboru data s hodnocením

Funkce Download Insight využívá k rozhodování v případě staženého souboru výhradně informace o hodnocení. Nevyužívá k činění hrozeb signatury ani heuristickou analýzu. Pokud funkce Download Insight soubor schválí, funkce Auto-Protect nebo SONAR tento soubor při pokusu o jeho spuštění dále prověří. Viz „Způsob, jakým aplikace Symantec Endpoint Protection k rozhodování o souborech využívá informace o hodnocení“ na straně 71.

Reakce na detekce Download Insight

Pokaždé když funkce Download Insight zjistí výskyt možné hrozby, může se zobrazit odpovídající upozornění. U spravovaných klientů může správce zobrazení upozornění na detekce Download Insight zakázat. Jsou-li upozornění povolena, zobrazí se vždy, kdy funkce Download Insight odhalí škodlivý soubor nebo soubor s neprokázanou škodlivostí. U souborů s neprokázanou škodlivostí je třeba rozhodnout, zda chcete daný soubor povolit. Viz „Reakce na zprávy funkce Download Insight s dotazem na povolení nebo zablokování souboru, který se pokoušíte stáhnout“ na straně 27.

Vytvoření výjimek pro určité soubory nebo webové domény

U aplikací, které uživatelé stahují, můžete vytvořit výjimku. Výjimku můžete vytvořit také pro určité webové domény, které považujete za důvěryhodné. Podle výchozího nastavení nekontroluje funkce Download Insight žádné soubory, které jsou z důvěryhodné Internetové stránky nebo stránky intranetu staženy. Důvěryhodné stránky můžete nastavit na kartě Ovládací panely systému Windows > Důvěryhodné servery > Zabezpečení. Pokud povolíte možnost Automaticky důvěřovat všem souborům staženým z intranetových stránek, aplikace Symantec Endpoint Protection povolí všechny soubory, které budou z důvěryhodných stránek staženy. Funkce Download Insight rozezná pouze konkrétní důvěryhodné stránky. Zástupné znaky jsou povoleny, rozsahy adres IP bez směrování nikoliv. Funkce Download Insight například nerozezná důvěryhodnou adresu IP v podobě 10.*.*.*. Funkce Download Insight také nepodporuje stránky zjištěné v rámci volby Možnosti Internetu > Zabezpečení > Automaticky zjišťovat intranetovou síť. Viz „Vyloučení položek z prověřování“ na straně 87.

Ujistěte se, že je vyhledávání Insight povoleno.

Funkce Download Insight vyžaduje k rozhodování v případě každého souboru data s hodnocením. Pokud vyhledávání Insight zakážete, funkci Download Insight bude možné spustit, ale nebude provádět detekce. Ve výchozím nastavení je vyhledávání Insight povoleno. Viz „Odeslání informací o zjištěních hrozbách do střediska Symantec Security Response“ na straně 95.

77

78


Úloha

Popis

Přizpůsobení nastavení funkce Download Insight

Nastavení funkce Download Insight můžete chtít upravit z těchto důvodů: Zvýšení nebo snížení počtu nálezů v rámci funkce Download Insight. Úpravou posuvníku u nastavení škodlivých souborů můžete zvýšit nebo snížit počet zjištěných nálezů. Při nižších úrovních bude označovat funkce Download Insight méně souborů za škodlivé a více za soubory s neprokázanou škodlivostí. Bude detekovat také méně falešných poplachů. Při vyšších úrovních bude označovat funkce Download Insight více souborů za škodlivé a méně za soubory s neprokázanou škodlivostí. Bude detekovat také více falešných poplachů. ■ Změna akce u zjištěných škodlivých souborů a souborů s neprokázanou škodlivostí. Můžete upravit způsob, jakým zachází funkce Download Insight se škodlivými soubory a soubory s neprokázanou škodlivostí. U souborů s neprokázanou škodlivostí můžete upravit akci tak, aby se v souvislosti s nimi nezobrazovala žádná upozornění. ■ Můžete získávat upozornění na detekce funkce Download Insight. Pokud funkce Download Insight zjistí výskyt souboru, který považuje za škodlivý, a je-li vybrána akce Karanténa, zobrazí se v klientském počítači upozornění. Akci uložení do karantény je možné zrušit. Pokud funkce Download Insight zjistí výskyt souboru, jehož škodlivost nelze prokázat, a je-li v rámci souborů s neprokázanou škodlivostí vybrána akce S výzvami nebo Karanténa, zobrazí se v klientském počítači upozornění. Pokud je vybranou akcí možnost S výzvami, můžete se rozhodnout, zda chcete soubor povolit nebo blokovat. Je-li akcí Karanténa, uložení do karantény můžete zrušit. Zobrazení upozornění je možné zakázat a zamezit tak možnosti výběru akce pokaždé, kdy funkce Download Insight zjistí soubor, jehož škodlivost nelze prokázat. Pokud ponecháte zobrazení upozornění povolené, můžete u souborů s neprokázanou škodlivostí vybrat akci Ignorovat a nálezy tak bez dalšího zobrazení upozornění vždy povolit. Při povolených upozorněních poté nastavení citlivosti na škodlivé soubory ovlivňuje počet upozornění, které se zobrazí. Zvýšíte-li citlivost, zvýšíte také díky nárůstu celkového počtu nálezů i počet zobrazených upozornění pro uživatele. ■

Viz „Přizpůsobení nastavení funkce Download Insight“ na straně 79.

Správa prověřování Přizpůsobení nastavení funkce Download Insight

Úloha

Popis

Odeslání informací společnosti Podle výchozího nastavení odesílá klient společnosti Symantec informace o Symantec o zjištěných položkách zjištěných položkách podle hodnocení. podle hodnocení Společnost Symantec doporučuje odesílání informací o zjištěných položkách podle hodnocení povolit. Tyto informace pomáhají pracovníkům společnosti Symantec zaměřit se na hrozby. Viz „Odeslání informací o zjištěních hrozbách do střediska Symantec Security Response“ na straně 95.

Přizpůsobení nastavení funkce Download Insight Pokud chcete snížit počet planých poplachů na klientském počítači, můžete přizpůsobit nastavení funkce Download Insight. U funkce Download Insight je možné nastavit citlivost na data s hodnocením, která jsou využívána k určení potenciálně škodlivých souborů. Můžete také upravit oznámení, která zobrazí na klientských počítačích funkce Download Insight při rozhodování. Viz „Správa detekcí Download Insight v počítači“ na straně 76. Přizpůsobení nastavení funkce Download Insight

1

V postranním panelu klienta klepněte na položku Změnit nastavení.

2


3

Na kartě Download Insight se ujistěte, že je označena možnost Povolit funkci Download Insight pro zjišťování potencionálních rizik ve stažených souborech na základě hodnocení souborů. Pokud je funkce Auto-Protect zakázána, aplikace Download Insight nebude fungovat, i když bude povolena.

4

Přesunutím posuvníku můžete upravit citlivost na škodlivé soubory. Poznámka: Pokud jste vy nebo správce nainstalovali pouze základní ochranu před viry a spywarem, citlivost bude nastavena na úroveň 1. Toto nastavení nelze změnit. Pokud nastavíte vyšší úroveň, funkce Download Insight bude označovat více souborů za škodlivé a méně za soubory s neprokázanou škodlivostí. Nastavení vyšší úrovně však způsobí zvýšení výskytu falešných poplachů.

5

Označením nebo zrušením označení můžete ke kontrole souborů s neprokázanou škodlivostí povolit používání dalších kritérií:

79

80

Správa prověřování Přizpůsobení nastavení prověřování výskytu virů a spywaru

6

■

Soubory s méně než x uživateli

■

Soubory známé uživatelům po méně než x dnů Pokud daný soubor tato kritéria splní, funkce Download Insight ho označí za škodlivý.

Ujistěte se, že je označena možnost Automaticky důvěřovat všem souborům staženým z intranetových stránek. Tato možnost se vztahuje také na vyhledávání Insight.

7

Klepněte na tlačítko Akce.

8

V nabídce Nebezpečné soubory vyberte první a druhou akci.

9

V nabídce Neprokázané soubory vyberte požadovanou akci.

10 Klepněte na tlačítko OK. 11 Klepněte na možnost Upozornění a rozhodněte, zda chcete zobrazit oznámení vždy, když zjistí funkce Download Insight výskyt možné hrozby. Zobrazený text výstrahy je možné upravit.

12 Klepněte na tlačítko OK.

Přizpůsobení nastavení prověřování výskytu virů a spywaru Podle výchozího nastavení poskytuje klient počítači takovou ochranu před viry a bezpečnostními riziky, jakou potřebujete. Pokud máte nespravovaného klienta, možná chcete upravit některá nastavení prověřování. Viz „Správa prověřování v počítači“ na straně 56. Přizpůsobení prověřování definovaného uživatelem

1


2

Na stránce Prověřovat na hrozby klepněte pravým tlačítkem na prověřování a potom klepněte na možnost Upravit.

3

Na kartě Možnosti prověřování proveďte kteroukoliv z následujících akcí: ■

Pokud chcete upravit nastavení Vyhledávání Insight, klepněte na možnost Vyhledávání Insight. Nastavení Vyhledávání Insight jsou stejná jako v případě funkce Download Insight. Viz „Přizpůsobení nastavení funkce Download Insight“ na straně 79.

Správa prověřování Přizpůsobení nastavení prověřování výskytu virů a spywaru

■

Pokud chcete určit, že se má prověřovat méně typů souborů, klepněte na možnost Vybrané přípony a potom na možnost Přípony.

■

Pokud chcete určit první a druhou akci, kterou klient provede s infikovaným souborem, klepněte na možnost Akce.

■

Pokud chcete určit možnosti oznamování, klepněte na možnost Oznamování.

■

Pokud chcete nastavit rozšířené možnosti pro komprimované soubory, zálohy a ladění, klepněte na možnost Rozšířené. Můžete také chtít upravit možnosti ladění a zvýšit tak výkon klientského počítače.

Chcete-li získat více informací o možnostech v každém dialogovém okně, klepněte na položku Nápověda.

4


Změna globálních nastavení prověřování

1


Na postranním panelu klienta klepněte na možnost Změnit nastavení a u položky Ochrana před viry a spywarem klepněte na možnost Konfigurovat nastavení

■

Na postranním panelu klienta klepněte na možnost Prověřovat na hrozby a poté View Global Scan Settings (Zobrazit globální nastavení prověřování).

2

Na kartě Globální nastavení v části Možnosti prověřování upravte nastavení technologie Insight nebo Bloodhound.

3

Pokud chcete zobrazit nebo vytvořit výjimky prověřování, klepněte na možnost View List (Zobrazit seznam). Po prohlédnutí nebo vytvoření výjimek klepněte na tlačítko Zavřít.

4

V části Uchovávání protokolu nebo Ochrana webového prohlížeče proveďte požadované změny.

5


Přizpůsobení funkce Auto-Protect

1


2


3

Na kartě Funkce Auto-Protect proveďte následující akce:

81

82

Správa prověřování Konfigurace akcí pro zjišťování malwaru a bezpečnostních rizik

■

Pokud chcete určit, že se má prověřovat méně typů souborů, klepněte na možnost Vybrané a potom na možnost Přípony.

■

Pokud chcete určit první a druhou akci, kterou klient provede s infikovaným souborem, klepněte na možnost Akce.

■

Pokud chcete určit možnosti oznamování, klepněte na možnost Oznamování.

Chcete-li získat více informací o možnostech v každém dialogovém okně, klepněte na položku Nápověda.

4

Na kartě Auto-Protect klepněte na tlačítko Upřesnit. Upravit můžete nastavení mezipaměti souborů i možnosti Trasování rizik a zálohování. Úpravou těchto možností můžete zvýšit výkon počítače.

5

Klepnutím na možnost Síť můžete upravit nastavení důvěryhodných souborů na vzdálených počítačích a nastavit síťovou mezipaměť.

6


Konfigurace akcí pro zjišťování malwaru a bezpečnostních rizik Můžete nastavit akce, které má klient Symantec Endpoint Protection provést při zjištění malwaru nebo bezpečnostního rizika. Můžete nakonfigurovat první prováděnou akci a druhou akci, která se provede v případě, že se první akce nezdaří. Poznámka: Pokud je počítač spravován správcem a u některých možností je zobrazena ikona visacího zámku, není možné tyto možnosti upravit, protože je správce zablokoval. Stejným způsobem konfigurujete akce pro všechny typy prověřování. Každé prověřování používá vlastní konfiguraci akcí. K různým prověřováním tak lze nastavit různé akce. Poznámka: Akce funkce Download Insight a SONAR se konfigurují zvlášť. Viz „Přizpůsobení nastavení prověřování výskytu virů a spywaru“ na straně 80. Viz „Přizpůsobení nastavení funkce Download Insight“ na straně 79. Viz „Změna nastavení funkce SONAR“ na straně 100.


Další informace o volbách použitých v postupech získáte po klepnutí na tlačítko Nápověda. Konfigurace akcí pro zjišťování malwaru a bezpečnostních rizik

1

Na postranním panelu klienta klepněte na položku Změnit nastavení nebo Prověřování hrozeb.

2


Klepněte na položku Konfigurovat nastavení vedle možnosti Ochrana před viry a spywarem a na kartě Auto-Protect klepněte na možnost Akce.

■

Vyberte prověřování, klepněte pravým tlačítkem, vyberte možnost Upravit a poté klepněte na položku Možnosti prověřování.

3

Klepněte na tlačítko Akce.

4

V dialogovém okně Akce prověřování vyberte ve stromové struktuře kategorii nebo podkategorii v části Malware nebo Bezpečnostní rizika. Ve výchozím nastavení je každá dílčí kategorie automaticky nakonfigurována tak, aby použila akce, které jsou nastaveny pro celou kategorii. Kategorie se průběžně mění v reakci na informace, které společnost Symantec o rizicích získává.

5

Chcete-li konfigurovat akce jen pro podkategorii, proveďte jednu z těchto akcí: ■

Zaškrtněte políčko Potlačit akce konfigurované pro malware a potom nastavte akce pro danou podkategorii. Poznámka: V rámci kategorie může existovat jediná podkategorie podle toho, jak společnost Symantec aktuálně klasifikuje rizika. V části Malware například může existovat jedna podkategorie nazvaná Viry.

■

Zaškrtněte políčko Potlačit akce konfigurované pro bezpečnostní rizika a potom nastavte akce pro danou podkategorii.

83

84


6

Z následujících možností vyberte první a druhou akci: Vyčistit riziko

Odstraní virus z infikovaného souboru. Toto nastavení je výchozí první akce pro viry.

Poznámka: Jako první akce je tato možnost dostupná pouze pro viry. Nelze ji použít na bezpečnostní rizika. Toto nastavení by pro viry mělo být vždy první akcí. Pokud klient úspěšně vyčistí virus ze souboru, není třeba provádět žádná další opatření. Váš počítač neobsahuje žádné viry a nehrozí již nebezpečí šíření tohoto viru do dalších oblastí vašeho počítače. Když klient soubor vyčistí, virus odstraní z infikovaného souboru, ze zaváděcího záznamu nebo tabulek oddílů. Také se odstraní možnost šíření viru. Klient obvykle dokáže najít a vyčistit virus dříve, než může způsobit poškození počítače. Standardně se soubor zálohuje. V některých případech vyčištěný soubor může být nepoužitelný. Neboť virus způsobil příliš velké poškození. Některé infikované soubory nelze vyčistit. Umístit riziko do karantény

Přesune infikovaný soubor z původního umístění do karantény. V karanténě se z infikovaných souborů nemohou viry šířit. U virů přesune infikovaný soubor z původního umístění do karantény. Toto nastavení je výchozí druhá akce pro viry. U bezpečnostních rizik klient přesune infikované soubory z původního umístění do karantény a pokusí se odstranit nebo opravit veškeré vedlejší efekty. Toto nastavení je výchozí první akce pro bezpečnostní rizika. Karanténa obsahuje záznam všech provedených akcí. Můžete proto počítač vrátit do stavu, ve kterém se nacházel před odstraněním rizika.


Odstranit riziko

Odstraní infikovaný soubor z pevného disku počítače. Pokud klient nemůže soubor smazat, pak se zobrazí informace o akci, kterou klient provedl. Tato informace se také zaznamená do protokolu událostí. Tento proces proveďte pouze v případě, že můžete soubor nahradit zálohovanou kopií, která neobsahuje viry ani bezpečnostní rizika. Klient provede trvalé odstranění rizika. Infikovaný soubory již nelze obnovit z Koše.

Poznámka: Při konfiguraci akcí pro bezpečnostní rizika využívejte tuto akci s opatrností. Odstranění bezpečnostních rizik může vést k tomu, že některé aplikace přestanou fungovat. Ponechat (pouze protokol)

Ponechá infikovaný soubor beze změn. Pokud použijete tuto akci pro viry, zůstane virus v infikovaných souborech. Virus se pak může šířit do dalších částí počítače. V Historii rizik je vytvořen záznam o infikovaném souboru. Možnost Ponechat (pouze protokol) můžete použít jako druhou akci pro malware a bezpečnostní rizika. Při provádění rozsáhlých automatizovaných prověřování, jako jsou plánovaná prověřování, tuto akci nevybírejte. Můžete ji využít, chcete-li později zobrazit výsledky prověřování a podniknout další akci. Další akcí může být přesun souboru do karantény. U bezpečnostních rizik ponechá tato akce infikovaný soubor tak, jak je, a vytvoří v historii rizik záznam o infikovaném souboru. Tuto možnost použijte k ručnímu řízení způsobu zpracování bezpečnostních rizik. Toto nastavení je výchozí druhá akce pro bezpečnostní rizika. Správce může rovněž rozeslat individuální zprávu s pokyny.

7

Tyto kroky opakujte u každé kategorie, pro kterou chcete akce nastavit, a poté klepněte na tlačítko OK.

8

Pokud jste vybrali některou kategorii bezpečnostních rizik, můžete vybrat vlastní akce pro jednu či více konkrétních instancí dané kategorie bezpečnostních rizik. Je možné vyloučit z prověřování některá bezpečnostní rizika. Můžete například chtít vyloučit adware, který potřebujete ke své práci.

9


85

86

Správa prověřování Vyloučení položek z prověřování

Vyloučení položek z prověřování Výjimkami jsou známá bezpečnostní rizika, soubory, přípony souborů a procesy, které chcete vyloučit z prověřování. Pokud jste prověřili počítač a víte, že určité soubory nejsou nebezpečné, můžete je vyloučit. V některých případech mohou výjimky snížit dobu prověřování a zvýšit výkon systému. Obvykle není třeba výjimky vytvářet. U spravovaných klientů může výjimky pro prověřování vytvářet správce. Pokud vytvoříte výjimku, která se správcem definovanou výjimkou koliduje, bude mít přednost výjimka definovaná správcem. Správce vám také může v konfiguraci určitých nebo všech typů výjimek zabránit. Poznámka: Pokud e-mailová aplikace ukládá veškerou poštu do jednoho souboru, měli byste vytvořit výjimku pro vyloučení souboru s příchozí poštou z prověřování. Podle výchozího nastavení jsou viry zjištěné během prověřování ukládány do karantény. Pokud je v průběhu prověřování zjištěn vir v souboru s příchozí poštou, dojde k přesunu celé složky s příchozí poštou do karantény. a vy nebudete moci e-maily otevírat. Tab. 4-8

Typy výjimek

Typ výjimky

Popis

Soubor

Platnost pro prověřování na přítomnost virů a spywaru Při prověřování bude vybraný soubor ignorován.

Složka

Platnost pro prověřování na přítomnost virů a spywaru, funkci SONAR nebo pro obojí Při prověřování bude vybraná složka ignorována.

Známá rizika

Platnost pro prověřování na přítomnost virů a spywaru Při prověřování bude vybrané známé riziko ignorováno.

Přípony

Platnost pro prověřování na přítomnost virů a spywaru Při prověřování budou soubory s danou příponou ignorovány.

Důvěryhodná webová doména

Platnost pro prověřování na přítomnost virů a spywaru Funkce Download Insight bude vybranou důvěryhodnou webovou doménu ignorovat.


Typ výjimky

Popis

Aplikace

Platnost pro prověřování na přítomnost virů a spywaru a funkci SONAR Při prověřování budou ignorovány, protokolovány, ukládány do karantény nebo ukončovány aplikace, které zde uvedete.

Viz „Vyloučení položek z prověřování“ na straně 87.

Vyloučení položek z prověřování Výjimkami jsou známá bezpečnostní rizika, soubory, složky, přípony souborů, webové domény a aplikace, které chcete z prověřování vyloučit. Pokud jste prověřili počítač a víte, že určité soubory nejsou nebezpečné, můžete je vyloučit. V některých případech mohou výjimky snížit dobu prověřování a zvýšit výkon systému. Obvykle není třeba výjimky vytvářet. U spravovaných klientů může výjimky pro prověřování vytvářet správce. Pokud vytvoříte výjimku, která se správcem definovanou výjimkou koliduje, bude mít přednost výjimka definovaná správcem. Výjimky pro bezpečnostní rizika jsou platné u všech typů prověřování na výskyt bezpečnostního rizika. Na všechna prověřování na výskyt bezpečnostních rizik se vztahují také výjimky pro aplikace. Výjimky v případě složky SONAR jsou platné pouze pro funkci SONAR. Funkce SONAR nepodporuje výjimky pro soubory. Pokud chcete v rámci funkce SONAR vytvořit výjimku pro soubor, použijte výjimku pro aplikaci. Viz „Správa prověřování v počítači“ na straně 56. Viz „Vyloučení položek z prověřování“ na straně 86. Poznámka: V instalaci Server Core systému Windows Server 2008 se může vzhled dialogových oken lišit od vzhledu popsaného v těchto postupech. Chcete-li získat více informací o možnostech v každém dialogovém okně, klepněte na položku Nápověda. Vyloučení položek z prověřování na výskyt bezpečnostního rizika

1


2

Vedle možnosti Výjimky klepněte na položku Konfigurovat nastavení.

3

V dialogovém okně Výjimky na kartě Výjimky definované uživatelem klepněte na položku Přidat > Výjimky pro bezpečnostní rizika.

87

88


4

5

Vyberte jednu z následujících typů výjimek: ■

Známá rizika

■

Soubor

■

Složka

■

Přípony

■

Webová doména


V případě známých rizik zaškrtněte ta bezpečnostní rizika, která chcete z prověřování vyloučit. Pokud chcete pri zjištění a ignorování rizika zaznamenat událost do protokolu, zaškrtněte volbu Zaprotokolovat zjištěné bezpečnostní riziko.

■

V případě souborů nebo složek vyberte soubor nebo složku, které chcete vyloučit, a klepněte na možnost Přidat. U složek označte nebo zrušte označení možnosti Včetně podsložek.

■

V případě přípon zadejte tu, kterou chcete mezi výjimky přidat. Do textového pole lze uvést pouze jednu příponu. Zadáte-li více přípon, klient bude zadné položky považovat za jednu položku (příponu).

■

V případě domén zadejte webovou stránku, kterou chcete z detekce Download Insight vyloučit.

6


7

V dialogovém okně Výjimky klepněte na tlačítko Zavřít.

Vyloučení složky z prověřování SONAR

1


2


3

V dialogovém okně Výjimky na kartě Výjimky definované uživatelem klepněte na položku Přidat > Výjimka pro ochranu SONAR > Složka.

4

Vyberte složku, kterou chcete vyloučit, označte nebo zrušte označení možnosti Včetně podsložek a klepněte na tlačítko Přidat. Pokud místo složky vyberete soubor, klient použije pro potřeby výjimky nadřazenou složku.

5


Správa prověřování Správa souborů v klientském počítači uložených do karantény

Změna způsobu, jakým všechna prověřování nakládají s aplikací

1


2


3

V dialogovém okně Výjimky na kartě Výjimky definované uživatelem klepněte na položku Přidat > Výjimka aplikace.

4

Vyberte název souboru patřící aplikaci

5

V rozevíracím seznamu Akce vyberte položku Ignorovat, Pouze protokol, Karanténa nebo Ukončit.

6

Klepněte na tlačítko Přidat.

7


Správa souborů v klientském počítači uložených do karantény Podle výchozího nastavení se aplikace Symantec Endpoint Protection pokusí po zjištění infikovaného souboru přítomný virus odstranit. Pokud soubor nelze vyčistit, aplikace ho uloží do karantény v počítači. V případě bezpečnostních rizik se aplikace pokusí infikované soubory přesunout do karantény a napravit způsobené škody. Uložení souborů do karantény mohou provádět také funkce Download Insight a SONAR. Viz „Umístění souborů do karantény“ na straně 91. Tab. 4-9

Správa souborů v klientském počítači uložených do karantény

Úloha

Popis

Umožňuje soubor v karanténě obnovit Vyčištěný soubor občas nelze vrátit do původního do původního umístění umístění. E-mail může být například zbaven infikované přílohy a umístěn do Karantény. Soubor je nutné uvolnit a zadat umístění. Ruční uložení položky do karantény

Soubor můžete do karantény vložit ručně jeho přímým přidáním nebo výběrem v protokolu virů a spywaru nebo funkce SONAR. Viz „Umístění souboru do karantény z protokolu rizika nebo prověřování“ na straně 92.

89

90


Úloha

Popis

Trvalé odstranění souborů uložených v karanténě

Soubory, které již v Karanténě nepotřebujete, můžete ručně odstranit. Můžete rovněž nastavit časový interval, ve kterém budou soubory odstraněny automaticky.

Poznámka: Váš správce může stanovit maximální počet dní, po které budou moci položky zůstat v Karanténě. Po uplynutí tohoto limitu budou položky z Karantény vymazány automaticky. Po obdržení nových definic soubory v karanténě znovu prověřte

Provedete-li aktualizaci definic, soubory v Karanténě mohou být prověřeny, vyčištěny nebo obnoveny automaticky. U některých souborů se zobrazí průvodce opravami. Postupujte podle pokynů na obrazovce a dokončete proces opětovného prověřování a opravy. Infikované soubory v Karanténě můžete také znovu prověřit ručně.

Export informací o karanténě

Můžete exportovat obsah karantény do souboru s hodnotami oddělenými čárkami (.csv) nebo do souboru databáze aplikace Microsoft Access (.mdb).

Odeslání infikovaných souborů v karanténě na středisko Symantec Security Response

Po provedení opětovného prověření položek v karanténě můžete soubor, který je nadále infikován, odeslat na další analýzu na středisko Symantec Security Response. Viz „Ruční odeslání potenciálně infikovaného souboru do systému Symantec Security Response k analýze“ na straně 92.

Vymazání zálohovaných položek

Před vyčištěním nebo opravou infikovaných položek vytvoří klient ve výchozím nastavení jejich záložní kopie. Po úspěšném odstranění viru můžete ručně odstranit položku z Karantény, protože záloha je stále infikovaná.


Úloha

Popis

Automatické odstranění souborů z karantény

Klienta můžete nastavit tak, aby po uplynutí stanoveného časového intervalu odstraňoval položky z karantény automaticky. Také můžete nastavit, aby klient odstraňoval položky, když složka s uloženými položkami dosáhne určité velikosti. Tato konfigurace zabraňuje nahromadění souborů, které můžete zapomenout ručně odstranit z těchto částí. Viz „Automatické odstraňování souborů z Karantény“ na straně 93.

Umístění souborů do karantény Přesune-li klient infikovaný soubor do karantény, virus nebo riziko se nebudou moci samy kopírovat a infikovat jiné soubory na vašem počítači nebo jiných počítačích v síti. Avšak přesunutím do Karantény riziko neodstraníte. Riziko zůstane v počítači do té doby, dokud jej klient neodstraní ze souboru nebo neodstraní soubor. K souboru nemáte přístup. Soubor ale můžete z karantény odebrat. Během aktualizace nových definic virů klient automaticky kontroluje karanténu. Položky v karanténě můžete znovu prověřit. Nejnovější definice mohou vymazat nebo opravit dříve uložené soubory do karantény. Do Karantény lze umisťovat viry. Viry spouštěcího záznamu se nacházejí v záznamovém sektoru nebo v tabulkách oddílů počítače; tyto položky nelze do karantény přesunout. Klient občas zjistí neznámý virus, který nelze odstranit pomocí aktuální sady definic virů. Pokud máte soubor, o němž si myslíte, že je infikovaný, ale prověřování žádnou infekci nenalezne, můžete ho umístit do karantény. Poznámka: Jazyk operačního systému, v němž klient pracuje, nemusí být schopný interpretovat některé znaky v názvech rizik. Nedokáže-li operační systém interpretovat některé znaky, tyto znaky se v oznámeních zobrazí jako otazníky. Například názvy rizik ve formátu unicode mohou obsahovat dvoubajtové znaky. V počítačích, na nichž běží klient v anglickém operačním systému, se tyto znaky zobrazí jako otazníky. Viz „Správa souborů v klientském počítači uložených do karantény“ na straně 89.

91

92


Umístění souboru do karantény z protokolu rizika nebo prověřování V závislosti na předvolené akci, která se má provést při zjištění hrozby, se může stát, že klient nebude schopen při zjištění vybranou akci provést. K umístění souboru do karantény později můžete použít protokol rizik nebo protokol prověřování. Viz „Umístění souborů do karantény“ na straně 91. Viz „Správa souborů v klientském počítači uložených do karantény“ na straně 89. Umístění souboru do karantény z protokolu rizika nebo prověřování

1

V klientovi klepněte na položku Zobrazit protokoly.

2

Vedle položky Ochrana před viry a spywarem klepněte na položku Zobrazit protokol a potom zvolte Protokol rizik nebo Protokol prověřování.

3

Vyberte soubor, který chcete umístit do karantény, a klepněte na tlačítko Karanténa.

4

Klepněte na tlačítko OK a poté na tlačítko Zavřít.

Ruční odeslání potenciálně infikovaného souboru do systému Symantec Security Response k analýze Odeslání infikované položky ze seznamu karantény do systému Symantec Security Response. Systém Symantec Security Response tuto položku analyzuje a ujistí se, že není infikována. Systém Symantec Security Response tato data použije také k zajištění ochrany před novými hrozbami nebo hrozbami, které teprve vznikají. Poznámka: Pokud správce tyto typy odesílání zakázal, nebude možnost odeslání k dispozici. Viz „Správa souborů v klientském počítači uložených do karantény“ na straně 89. Odeslání souboru do systému Symantec Security Response z Karantény

1

Na postranním panelu klienta klepněte na položku Zobrazit karanténu.

2

V seznamu položek přesunutých do Karantény vyberte požadovaný soubor.

3

Klepněte na tlačítko Odeslat.

4

Podle pokynů na obrazovce v průvodci shromážděte potřebné informace a odešlete soubor k analýze.

Správa prověřování Informace o odeslání informací o zjištěních hrozbách do střediska Symantec Security Response

Automatické odstraňování souborů z Karantény Software můžete nastavit tak, aby po uplynutí stanoveného časového intervalu automaticky odstraňoval položky ze seznamu Karantény. Také můžete nastavit, aby klient odstraňoval položky, když složka s uloženými položkami dosáhne určité velikosti. Tato konfigurace zabraňuje nahromadění souborů, které můžete zapomenout ručně odstranit z těchto částí. Viz „Správa souborů v klientském počítači uložených do karantény“ na straně 89. Automatické odstranění souborů z karantény

1

Na postranním panelu klienta klepněte na položku Zobrazit karanténu.

2

Klepněte na položku Možnosti čištění.

3

V dialogovém okně Možnosti čištění vyberte jednu z následujících karet: ■

Uložit položky do karantény

■

Záložní položky,

■

Opravené položky.

4

Zaškrtněte nebo zrušte zaškrtnutí pole Překročení stanovené doby uložení povolte nebo zakažte uživatelům odstraňovat soubory po vypršení nastaveného časového období.

5

Zaškrtnete-li pole Překročenístanovenédobyuložení, zadejte nebo klepnutím na šipku nastavte požadovanou dobu.

6

V rozevíracím seznamu vyberte časovou jednotku. Výchozí hodnota je 30 dnů.

7

Zaškrtnete-li pole Překročení celkové velikosti složky, zadejte maximální povolenou velikost složky v megabajtech. Výchozí hodnota je 50 megabajtů. Jsou-li zaškrtnuta obě políčka, jsou nejprve odstraněny soubory starší, než je nastavená doba. Překračuje-li velikost složky i nadále nastavený limit, klient jednotlivě odstraní nejstarší soubory. Klient bude odstraňovat nejstarší soubory, dokud velikost složky nepřestane přesahovat limit.

8

Opakujte krok 4 až 7 pro libovolnou z dalších karet.

9


Informace o odeslání informací o zjištěních hrozbách do střediska Symantec Security Response V počítači můžete nastavit automatické odesílání informací o zjištěných hrozbách na analýzu do střediska Symantec Security Response.

93

94

Správa prověřování Informace o odeslání informací o zjištěních hrozbách do střediska Symantec Security Response

Společnost Symantec a síť Global Intelligence Network využívají tyto informace k rychlému vytvoření ochrany před novými a vyvíjejícími se bezpečnostními hrozbami. Data odeslaná společnosti Symantec umožňují lépe reagovat na hrozby a přizpůsobit ochranu ve vašem počítači. Společnost Symantec doporučuje nechat odesílání informací vždy povolené. Viz „Klient Symantec Endpoint Protection“ na straně 11. Můžete si vybrat z následujících typů dat: ■

Důvěryhodnost souborů Informace o souborech zjištěných na základě jejich důvěryhodnosti. Informace o těchto souborech jsou zařazovány do databáze důvěryhodnosti Symantec Insight, která pomáhá chránit počítač před novými a vznikajícími riziky.

■

Zjištění antivirové ochrany Informace o zjištěných hrozbách v rámci prověřování proti výskytu virů a spywaru.

■

Zjištěné hrozby v rámci pokročilé antivirové heuristické analýzy Informace o možných hrozbách, které odhalila funkce Bloodhound nebo jiné prověřování proti výskytu virů a spywaru za pomoci heuristické analýzy. Tato zjišťování probíhají na pozadí a nezobrazují se v Protokolu rizik. Informace o těchto zjištěných hrozbách slouží k vytvoření statistiky.

■

Detekce funkce SONAR Informace o hrozbách zjištěných v rámci prověřování funkcí SONAR, jako jsou např. zjištění vysokého/nízkého rizika, změny v systému a podezřelé chování důvěryhodných aplikací.

■

Heuristická analýza funkce SONAR Heuristická analýza funkce SONAR probíhá na pozadí a nezobrazuje se v Protokolu rizik. Tato Informace slouží k vytvoření statistiky.

Můžete z karantény ručně odeslat vzorek do systému Response. Viz „Odeslání informací o zjištěních hrozbách do střediska Symantec Security Response“ na straně 95. Viz „Způsob, jakým aplikace Symantec Endpoint Protection k rozhodování o souborech využívá informace o hodnocení“ na straně 71. Viz „Informace o souborech a aplikacích detekovaných funkcí SONAR“ na straně 99.

Správa prověřování Odeslání informací o zjištěních hrozbách do střediska Symantec Security Response

Odeslání informací o zjištěních hrozbách do střediska Symantec Security Response Aplikace Symantec Endpoint Protection chrání počítač tak, že sleduje informace, které do něj přicházejí a které z něj odcházejí, a blokuje pokusy o útok. V počítači můžete nastavit odesílání informací o zjištěných hrozbách do střediska Symantec Security Response. Středisko Symantec Security Response tyto informace využívá k ochraně klientských počítačů před novými, vybranými a měnícími se hrozbami. Veškerá data odeslaná společnosti Symantec umožňují lépe reagovat na hrozby a přizpůsobit ochranu ve vašem počítači. Společnost Symantec doporučuje odesílat co největší objem informací. Můžete ručně odeslat vzorek do systému Symantec Response ze stránky Karanténa. Na stránce Karanténa také můžete nastavit způsob, jakým budou informace do systému Symantec Security Response odesílány. Viz „Správa souborů v klientském počítači uložených do karantény“ na straně 89. Viz „Informace o odeslání informací o zjištěních hrozbách do střediska Symantec Security Response“ na straně 93. Konfigurace odesílání informací do střediska Symantec Security Response

1

Vyberte položky Změnit nastavení > Správa klienta.

2

Na kartě Odeslané informace zatrhněte položku Umožnit tomuto počítači automaticky předávat vybrané anonymní bezpečnostní informace společnosti Symantec. Tato možnost umožňuje produktu Symantec Endpoint Protection odesílat informace o hrozbách zjištěných v počítači. Společnost Symantec doporučuje tuto možnost povolit.

3

Vyberte typy informací, které chcete odesílat: ■

Důvěryhodnost souborů Informace o souborech zjištěných na základě jejich důvěryhodnosti. Informace o těchto souborech jsou zařazovány do databáze důvěryhodnosti Symantec Insight, která pomáhá chránit počítač před novými a vznikajícími riziky.

■

Zjištění antivirové ochrany Informace o zjištěných hrozbách v rámci prověřování proti výskytu virů a spywaru.

■

Zjištěné hrozby v rámci pokročilé antivirové heuristické analýzy Informace o možných hrozbách, které odhalila funkce Bloodhound, nebo jiné prověřování proti výskytu virů a spywaru za pomoci heuristické analýzy.

95

96

Správa prověřování O spolupráci klienta se Střediskem zabezpečení systému Windows

Tato zjišťování probíhají na pozadí a nezobrazují se v Protokolu rizik. Informace o těchto zjištěných hrozbách slouží k vytvoření statistiky.

4

■

Detekce funkce SONAR Informace o hrozbách zjištěných v rámci prověřování funkcí SONAR, jako jsou např. zjištění vysokého/nízkého rizika, změny v systému a podezřelé chování důvěryhodných aplikací.

■

Heuristická analýza funkce SONAR Heuristická analýza funkce SONAR probíhá na pozadí a nezobrazuje se v Protokolu rizik. Tato Informace slouží k vytvoření statistiky.

Povolením možnosti Povolit Vyhledávání Insight pro zjišťování hrozeb umožníte aplikaci Symantec Endpoint Protection používat databázi hodnocení společnosti Symantec a činit tak rozhodnutí v případě nalezené hrozby. Ve výchozím nastavení je vyhledávání Insight povoleno. Společnost Symantec doporučuje vyhledávání Insight povolit. Zakázáním této funkce dojde k deaktivaci funkce Download Insight a k možnému omezení efektivity prověřování funkcí SONAR a vyhledávání Insight. Pokud však nechcete společnosti Symantec odesílání dotazů Symantec Insight povolit, můžete tuto volbu zakázat.

O spolupráci klienta se Střediskem zabezpečení systému Windows Pokud ke sledování stavu zabezpečení používáte Středisko zabezpečení systému Windows (WSC) v systému Windows XP s aktualizací Service Pack 2, můžete zobrazit stav Symantec Endpoint Protection ve Středisku zabezpečení. Tab. 4-10 znázorňuje vytváření zpráv o stavu ochrany proti virům ve Středisku zabezpečení. Tab. 4-10

Vytváření zpráv o stavu ochrany ve Středisku zabezpečení

Stav produktu Symantec

Stav ochrany

Aplikace Symantec Endpoint Protection není nainstalována.

NENALEZENO (červená)

Aplikace Symantec Endpoint Protection je nainstalována s plnou ZAPNUTO (zelená) ochranou. Aplikace Symantec Endpoint Protection je nainstalována, definice ZASTARALÉ (červená) virů a bezpečnostních rizik jsou zastaralé.

Správa prověřování Správa funkce SONAR v klientském počítači


Stav ochrany

Aplikace Symantec Endpoint Protection je nainstalována a funkce VYPNUTO (červená) Auto-Protect souborového systému není povolena. Aplikace Symantec Endpoint Protection funkce Auto-Protect souborového systému není povolena a definice virů a bezpečnostních rizik jsou zastaralé.

VYPNUTO (červená)

Aplikace Symantec Endpoint Protection je nainstalována a funkce VYPNUTO (červená) Rtvscan je ručně vypnuta.

Tab. 4-11 znázorňuje vytváření zpráv o stavu brány firewall Symantec Endpoint Protection ve Středisku zabezpečení. Tab. 4-11

Vytváření zpráv o stavu brány firewall ve Středisku zabezpečení


Stav brány firewall

Brána Symantec firewall není nainstalována.

NENALEZENO (červená)

Brána Symantec firewall je nainstalována a povolena.

ZAPNUTO (zelená)

Brána Symantec firewall je nainstalována, avšak není povolena. VYPNUTO (červená) Brána Symantec firewall není nainstalována ani povolena, avšak ZAPNUTO (zelená) je nainstalována a povolena brána firewall třetích stran.

Poznámka: V aplikaci Symantec Endpoint Protection je ve výchozím nastavení brána Windows firewall zakázána. Pokud je povolena více než jedna brána firewall, vygeneruje Středisko zabezpečení zprávu, že je nainstalováno a povoleno více bran firewall.

Správa funkce SONAR v klientském počítači Správa funkce SONAR je součástí aktivní ochrany před hrozbami. V případě spravovaných klientů může správce některá z těchto nastavení uzamknout. Viz „Správa prověřování v počítači“ na straně 56. Viz „Informace o typech prověřování“ na straně 63.

97

98


Tab. 4-12

Správa funkce SONAR v klientském počítači

Úloha

Popis

Ujistěte se, že je funkce SONAR povolena

K zajištění co nejvyšší ochrany klientského počítače je vhodné funkci SONAR povolit. Funkce SONAR je ve výchozím nastavení povolena. Funkci SONAR povolíte zapnutím aktivní ochrany před hrozbami. Viz „Povolení nebo zakázání ochrany“ na straně 42.

Ujistěte se, že je vyhledávání Insight povoleno.

Funkce SONAR využívá k rozhodování data s hodnocením i prověřování pomocí heuristické analýzy. Pokud vyhledávání Insight (dotazy na hodnocení) zakážete, funkce SONAR bude provádět detekci pouze heuristickou analýzou. Počet falešných poplachů se může zvýšit a úroveň zabezpečení poskytovaná funkcí SONAR nemusí být vždy dostačující. Viz „Odeslání informací o zjištěních hrozbách do střediska Symantec Security Response“ na straně 95.

Změna nastavení funkce SONAR

Funkci SONAR můžete povolit či zakázat. Můžete také upravit akce, které budou při zjištění některých typů hrozeb v rámci prověřování funkcí SONAR provedeny. Pokud chcete snížit počet planých poplachů, můžete změnit akce prováděné při zjištění hrozby. Viz „Změna nastavení funkce SONAR“ na straně 100.

Vytvoření výjimek pro aplikace, u kterých si jste jisti jejich neškodností

Funkce SONAR může určité soubory nebo aplikace, které chcete na počítači spustit, považovat za hrozby. Pro tyto aplikace nebo složky můžete vytvořit výjimku. Můžete také vytvořit výjimky pro ukládání do karantény. Viz „Vyloučení položek z prověřování“ na straně 87.


Úloha

Popis

Odeslání informací o zjištěních hrozbách prostřednictvím funkce SONAR do střediska Symantec Security Response

Společnost Symantec doporučuje informace o zjištěných hrozbách odesílat na středisko Symantec Security Response. Tyto informace pomáhají pracovníkům společnosti Symantec zaměřit se na hrozby. Ve výchozím nastavení je odesílání informací povoleno. Viz „Odeslání informací o zjištěních hrozbách do střediska Symantec Security Response“ na straně 95.

Informace o funkci SONAR Funkce SONAR poskytuje ochranu v reálném čase, která umožňuje odhalit potenciálně škodlivé aplikace při jejich spuštění v počítači. Funkce SONAR umožňuje odhalit hrozbu dříve, než dojde k vytvoření tradičních definic virů a spywaru, a nabízí tak ochranu i před nejnovějšími hrozbami. Funkce SONAR využívá k odhalení nových a neznámých hrozeb jak heuristickou metodu, tak data s hodnocením. Funkce SONAR poskytuje další úroveň ochrany vašeho počítače a doplňuje vaši stávající ochranu před viry a spywarem, prevenci narušení a bránu firewall. Poznámka: Funkce Auto-Protect také používá typ heuristiky označované jako Bloodhound pro detekci podezřelého chování v souborech. Viz „Správa funkce SONAR v klientském počítači“ na straně 97. Viz „Informace o souborech a aplikacích detekovaných funkcí SONAR“ na straně 99.

Informace o souborech a aplikacích detekovaných funkcí SONAR Funkce SONAR používá heuristickou analýzu využívající bezpečnostní síť společnosti Symantec on-line a umožňuje v počítači odhalit nové hrozby díky aktivnímu sledování místních aktivit. Funkce SONAR zároveň kontroluje změny a chování v počítači, které je vhodné sledovat. Funkce SONAR nerozhoduje podle typu aplikace, ale podle chování procesu. Funkce SONAR provede vhodnou akci pouze v případě, že se aplikace (nehledě na konkrétní typ chování) chová škodlivě. Pokud například trojský kůň nebo keylogger nevykazuje škodlivé chování, prověřování funkcí SONAR jej nezjistí. Prověřování SONAR umožňuje odhalit následující položky:

99

100


Hrozby podle heuristické analýzy

Funkce SONAR pomocí heuristické analýzy kontroluje, zda se neznámý soubor chová podezřele a zda představuje vysoké nebo nízké riziko. K určení vysokého nebo nízkého rizika využívá také data s hodnocením.

Změny v systému

Funkce SONAR dokáže odhalit soubory nebo aplikace, které se pokouší o změnu nastavení serveru DNS nebo hostitelského souboru na klientském počítači.

Důvěryhodné aplikace vykazující podezřelé chování

Některé prověřené soubory mohou vykazovat podezřelé chování. Funkce SONAR tyto soubory odhalí a uvede je v rámci událostí podezřelého chování. Např. důvěryhodná aplikace ke sdílení dokumentů může vytvářet spustitelné soubory.

Pokud funkci Auto-Protect zakážete, omezíte tím schopnost funkce SONAR rozhodovat v otázce souborů představujících vysoké nebo nízké riziko. Zakážete-li vyhledávání Insight (odesílání dotazů na hodnocení), schopnost funkce SONAR zjišťovat hrozby bude dále omezena. Viz „Správa funkce SONAR v klientském počítači“ na straně 97.

Změna nastavení funkce SONAR Pokud chcete snížit počet planých poplachů, můžete změnit akce prováděné funkcí SONAR. Můžete také upravit upozornění zobrazovaná v rámci hrozeb zjištěných heuristickou analýzou funkce SONAR. Viz „Správa funkce SONAR v klientském počítači“ na straně 97. Poznámka: V případě spravovaných klientů může správce tato nastavení uzamknout. Změna nastavení funkce SONAR

1


2

Vedle položky Aktivní ochrana před hrozbami klepněte na možnost Konfigurovat nastavení


3

Na kartě SONAR změňte akce prováděné v případě zjištění vysokého nebo nízkého rizika pomocí heuristické analýzy. U hrozeb představujících nízké riziko můžete povolit agresivní režim. Tato nastavení zvyšují citlivost funkce SONAR v oblasti nízkého rizika. Může však dojít ke zvýšení počtu falešných poplachů.

4

Podle potřeby můžete upravit nastavení upozornění.

5

Na kartě Zjišťování podezřelého chování změňte akce prováděné v případě zjištěného vysokého nebo nízkého rizika. Funkce SONAR tak rozhoduje vždy, když projeví prověřené soubory chování, které je považováno za podezřelé.

6

Na kartě System Change Events (Případy změny v systému) změňte akci, která bude provedena v případě, kdy je v rámci prověřování zjištěna změna nastavení serveru DNS nebo hostitelského souboru.

7


101

102


Kapitola

5

Správa brány firewall a prevence narušení Tato kapitola obsahuje následující témata: ■

Ochrana před síťovými hrozbami

■

Správa ochrany pomocí brány firewall

■

Konfigurace nastavení brány firewall

■

Povolení nebo blokování aplikací

■

Zobrazení činnosti v síti

■

Pravidla brány firewall v klientovi

■

Informace o pořadí zpracování pravidla brány firewall, nastavení brány firewall a prevence narušení

■

Změna pořadí pravidel brány firewall

■

Způsob, kterým brána firewall využívá stavovou inspekci

■

Prvky pravidla brány firewall

■

Nastavení pravidel brány firewall

■

Správa prevence narušení

■

Způsob fungování prevence narušení

■

Povolení nebo zakázání prevence narušení

■

Konfigurace upozornění prevence narušení

104

Správa brány firewall a prevence narušení Ochrana před síťovými hrozbami

Ochrana před síťovými hrozbami Klient aplikace Symantec Endpoint Protection nabízí ochranu před síťovými hrozbami sledující informace, které do počítače přicházejí a odcházejí z něj, a blokuje pokusy o útoky ze sítě. Tab. 5-1 popisuje funkce aplikace Symantec Endpoint Protection, které můžete použít ke správě ochrany před síťovými hrozbami. Tab. 5-1

Funkce ochrany před síťovými hrozbami

Nástroj

Popis

Brána firewall

Brána firewall zabraňuje neoprávněným uživatelům v přístupu k počítači a sítím připojeným k Internetu. Brána firewall dokáže zjistit možné útoky hackerů, chrání osobní údaje a eliminuje nežádoucí zdroje síťového provozu. Brána firewall povoluje nebo blokuje příchozí a odchozí provoz. Viz „Jak funguje brána firewall“ na straně 106. Viz „Správa ochrany pomocí brány firewall“ na straně 104.

Systém prevence narušení

Systém prevence narušení (IPS) automaticky zjišťuje a blokuje síťové útoky. Systém prevence narušení prověřuje každý paket přicházející či odcházející z počítače kvůli signaturám útoku. Systém IPS využívá rozsáhlý seznam signatur útoku, pomocí kterého zjišťuje a blokuje podezřelé činnosti v síti. Společnost Symantec poskytuje seznamy známých hrozeb, které lze u klienta aktualizovat pomocí služby Symantec LiveUpdate. Modul Symantec IPS a odpovídající řada signatur IPS jsou na klientovi instalovány standardně. Viz „Způsob fungování prevence narušení“ na straně 135. Viz „Správa prevence narušení“ na straně 134.

Správa ochrany pomocí brány firewall Podle výchozího nastavení povoluje brána firewall veškerý příchozí a odchozí síťový provoz. Bránu firewall můžete nastavit tak, aby povolila či zakázala určitý typ síťového provozu. Správce určuje úroveň komunikace s klientem tím, že vám povolí možnost konfigurace pravidel a nastavení brány firewall. Správce může zavést taková pravidla, že s klientem budete moci komunikovat pouze v případě, že zobrazí upozornění na nová síťová připojení a možné potíže. Od správce můžete také získat plný přístup k uživatelskému rozhraní.

Správa brány firewall a prevence narušení Správa ochrany pomocí brány firewall

Tab. 5-2 zobrazuje úkon brány firewall, který můžete k ochraně počítače provést. Všechny tyto možnosti jsou volitelné a pořadí jejich provedení je libovolné. Tab. 5-2

Správa ochrany pomocí brány firewall

Úloha

Popis

Přečtěte si, jak funguje brána firewall

Naučte se, jak brána firewall chrání počítač před síťovými útoky.

Úprava nastavení brány firewall

Spolu s možností vytváření pravidel brány firewall můžete také povolit či zakázat určitá její nastavení a zvýšit tak zabezpečení, které brána firewall poskytuje.

Viz „Jak funguje brána firewall“ na straně 106.

Viz „Konfigurace nastavení brány firewall“ na straně 107. Zobrazení protokolů Máte možnost pravidelně kontrolovat stav ochrany branou firewall brány firewall a získat tak následující informace: ■

pravidla brány firewall, která jste vytvořili, fungují správně,

■

klient zablokoval všechny síťové útoky,

■

klient zablokoval některou aplikaci, která se podle vás měla spustit.

Stav ochrany branou firewall můžete ověřit pomocí protokolu provozu a protokolu paketů. Viz „Informace o protokolech“ na straně 47.

Poznámka: Ve výchozím nastavení je protokol paketů pro spravované klienty vypnutý. Konfigurovat nastavení aplikace

Úpravou nastavení aplikace můžete zvýšit zabezpečení svého počítače. Aplikace je software navržený tak, aby uživateli usnadnil provádění určité úlohy. Aplikací je například prohlížeč Microsoft Internet Explorer. Nastavení brány firewall poskytuje kontrolu nad tím, které aplikace mají přístup k síti. Viz „Povolení nebo blokování aplikací“ na straně 120.

Sledování činnosti v Můžete zobrazit informace o příchozím a odchozím provozu klienta. síti Také je možné zobrazit seznam aplikací a služeb spuštěných od spuštění služby klienta. Viz „Zobrazení činnosti v síti“ na straně 124.

105

106

Správa brány firewall a prevence narušení Správa ochrany pomocí brány firewall

Úloha

Popis

Přidání a přizpůsobení pravidel brány firewall

Spolu s možností úpravy nastavení brány firewall můžete upravit i její výchozí pravidla a zvýšit tak zabezpečení, které brána firewall poskytuje. Můžete také nová pravidla vytvářet. Můžete třeba chtít zablokovat aplikaci, která by podle vás neměla na počítači běžet, například aplikaci adware. Viz „Pravidla brány firewall v klientovi“ na straně 125. Viz „Nastavení pravidel brány firewall“ na straně 131. Viz „Povolení a zakázání pravidel brány firewall“ na straně 133.

Povolení nebo zakázání brány firewall

Ochranu před síťovými hrozbami můžete dočasně z důvodů řešení potíží zakázat. Její zakázání může být například zapotřebí ke spuštění určité aplikace. Viz „Povolení nebo zakázání ochrany v klientském počítači“ na straně 43.

Viz „Ochrana před síťovými hrozbami“ na straně 104.

Jak funguje brána firewall Brána firewall slouží k následujícímu: ■

Zabraňuje všem neoprávněným uživatelům v přístupu k počítačům a sítím ve vaší společnosti připojeným k Internetu

■

Sleduje komunikaci mezi počítačem a ostatními počítači na Internetu

■

Vytváří štít, který povoluje nebo blokuje pokusy o přístup k informacím ve vašich počítačích

■

Varuje vás, pokud dojde k pokusům o připojení z jiných počítačů

■

Upozorňuje vás na pokusy o připojení od aplikací ve vašem počítači, které se připojují k jiným počítačům

Brána firewall kontroluje datové pakety, které se šíří po Internetu. Paket je samostatná dávka dat, která je součástí informačního toku mezi dvěma počítači. Pakety se v místě doručení opět sestavují, aby působily jako nepřerušovaný proud dat. Pakety obsahují informace o těchto údajích: ■

odesílajících počítačích,

■

zamýšlených příjemcích,

■

způsobu zpracování datového paketu,

Správa brány firewall a prevence narušení Konfigurace nastavení brány firewall

■

portech, které pakety přijímají.

Porty jsou kanály, které rozdělují proud dat, který přichází z Internetu. Aplikace, které běží na počítači, u těchto portů naslouchají. Aplikace přijímají data, která jsou odeslána na porty. Síťové útoky využívají slabých míst u zranitelných aplikací. Útočníci používají tato slabá místa, aby na porty odesílali pakety obsahující nebezpečný programový kód. Pokud zranitelné aplikace na portech naslouchají, nebezpečný kód umožní útočníkům získat přístup do počítače. Viz „Ochrana před síťovými hrozbami“ na straně 104. Viz „Správa ochrany pomocí brány firewall“ na straně 104.

Konfigurace nastavení brány firewall Tab. 5-3 popisuje typy nastavení brány firewall, které můžete zadat a přizpůsobit tak zabezpečení branou firewall. Pokud se daná nastavení nenacházejí v uživatelském rozhraní nebo není možné je upravit, pak vám správce neposkytl odpovídající oprávnění k jejich konfiguraci. Provádění úprav nastavení brány firewall je volitelné a pořadí jejich provedení je libovolné. Tab. 5-3

Nastavení brány firewall

Kategorie

Popis

Provoz a režim stealth webového prohlížeče

Můžete povolit různá nastavení provozu a nastavení režimu procházení stealth, a tak chránit klienta před určitými typy síťových útoků. Můžete povolit nastavení provozu, které zjišťuje a blokuje provoz komunikující prostřednictvím ovladačů, protokolu NetBIOS a token ring. Můžete konfigurovat nastavení zjišťující provoz, který používá nenápadnější formy útoků. Můžete také řídit chování pro provoz IP, který neodpovídá pravidlům brány firewall. Viz „Povolení provozu a nastavení režimu procházení stealth“ na straně 108.

107

108


Kategorie

Popis

Vestavěná pravidla pro důležité síťové služby

Aplikace Symantec Endpoint Protection obsahuje vestavěná pravidla umožňující normální výměnu dat mezi určitými důležitými síťovými službami. Vestavěná pravidla slouží k náhradě pravidel brány firewall, která tyto služby výslovně povolují. Během zpracování se tato vestavěná pravidla vyhodnotí před hodnocením pravidel brány firewall, což znamená, že jsou povoleny pakety, které odpovídají aktivnímu výskytu vestavěného pravidla. Vestavěné pravidla se dají definovat pro služby DHCP, DNS a WINS. Viz „Automatické povolení komunikace pro důležité síťové služby“ na straně 114.

Síťové soubory a sdílení tisku Na klientském počítači můžete povolit sdílení souborů nebo procházet sdílené soubory a tiskárny v místní síti. Chcete-li se chránit před útoky ze sítě, můžete sdílení souborů a tiskáren zakázat. Viz „Povolení sdílení souborů a tiskáren v síti“ na straně 115. Blokování útoků z počítačů

Jestliže klient Symantec Endpoint Protection zjistí síťový útok, automaticky zablokuje příslušné připojení, aby zajistil bezpečnost klientského počítače. Klient zapne aktivní odpověď. Klient poté automaticky blokuje po nastavenou dobu veškerou komunikaci s adresou IP útočícího počítače. Adresa IP útočícího počítače je blokována pro jediné umístění. Viz „Blokování a odblokování útočícího počítače“ na straně 117.

Viz „Pravidla brány firewall v klientovi“ na straně 125. Viz „Nastavení pravidel brány firewall“ na straně 131.

Povolení provozu a nastavení režimu procházení stealth Můžete povolit různá nastavení provozu a nastavení režimu procházení stealth, a tak chránit klienta před určitými typy síťových útoků. Můžete povolit nastavení provozu, které zjišťuje a blokuje provoz komunikující prostřednictvím ovladačů, protokolu NetBIOS a token ring. Můžete konfigurovat nastavení zjišťující provoz, který používá nenápadnější formy útoků. Můžete také řídit chování pro provoz IP, který neodpovídá pravidlům brány firewall. Poté, co brána firewall dokončí určité operace, je řízení předáno několika součástem. Každá součást je vytvořena pro provedení odlišného typu analýzy paketů.


Nastavení povolení provozu a nastavení režimu stealth webového prohlížeče

1


2

Klepněte na tlačítko Konfigurovat nastavení vedle možnosti Ochrana před síťovými hrozbami.

3

Na kartě Firewall v části Nastavení provozu označte políčka u funkcí, které chcete používat: Povolit ochranu NetBIOS

Zablokuje provoz protokolu NetBIOS z externí brány. Můžete používat sdílení souborů a tiskáren okolních počítačů v síti LAN a chránit počítač před zneužitím protokolu NetBIOS z jakékoli externí sítě. Tato možnost blokuje pakety protokolu NetBIOS pocházející z adres IP, jež nejsou součástí definovaných interních rozsahů ICANN. Interní rozsahy ICANN zahrnují adresy IP 10.x.x.x, 172.16.x.x, 192.168.x.x a 169.254.x.x, s výjimkou podsítí 169.254.0.x a 169.254.255.x. Pakety protokolu NetBIOS zahrnují UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 a TCP 1026.

Poznámka: Ochrana protokolu NetBIOS může způsobit problém s aplikací Microsoft Outlook, pokud se klient připojí k serveru Microsoft Exchange, který se nachází v jiné podsíti. Můžete vytvořit specifické pravidlo brány firewall, které povolí přístup k tomuto serveru. Povolit provoz token ring

Povoluje klientským počítačům připojujícím se k síti prostřednictvím adaptéru token ring, bez ohledu na pravidla brány firewall klienta. Zakážete-li toto nastavení, jakýkoli příchozí provoz z počítačů připojujících se prostřednictvím adaptéru token ring nebude mít přístup k podnikové síti. Brána firewall nefiltruje síťový provoz prostřednictvím adaptéru token ring. Buď povoluje veškerý provoz prostřednictvím adaptéru token ring, nebo jej zakazuje.

109

110


Povolit opatření proti falšování adresy MAC

Povoluje příchozí a odchozí provoz protokolu ARP (Address Resolution Protocol), pouze pokud byla žádost protokolu ARP podána specifickému hostiteli. Blokuje všechen ostatní neočekávaný provoz a zaznamenává jej v Protokolu zabezpečení. Někteří hackeři používají falšování adresy MAC k napadení komunikační relace mezi dvěma počítači. Adresy MAC (Media Access Control) jsou hardwarové adresy, které identifikují počítače, servery, směrovače atd. Pokud počítač A chce komunikovat s počítačem B, může mu poslat paket protokolu ARP. Opatření proti falšování adresy MAC chrání počítač před resetováním tabulky adres MAC neoprávněnou osobou. Odešle-li počítač zprávu ARP REQUEST, klient povolí odpovídající zprávu ARP RESPOND v intervalu 10 sekund. Klienti odmítnou všechny nevyžádané zprávy ARP RESPOND.

Povolení sledování síťových Umožňuje klientovi sledovat změny v síťových aplikací aplikacích, které jsou spuštěny v klientském počítači. Síťové aplikace odesílají a přijímají provoz. Klient zjišťuje, zda nedošlo ke změně obsahu aplikace. Blokovat veškerý provoz, Blokuje veškerý příchozí a ochozí síťový provoz dokud se nespustí a poté, co klientského počítače, pokud není brána firewall z se ukončí, brána firewall nějakého důvodu spuštěna. Počítač není chráněn v následujících situacích: Po zapnutí klientského počítače a před spuštěním služby brány firewall ■ Po zastavení služby brány firewall a vypnutí klientského počítače ■

Tento časový interval je malou bezpečnostní dírou, která může povolit neautorizovanou komunikaci. Toto nastavení brání neautorizovaným aplikacím v komunikaci s jinými počítači.

Poznámka: Je-li zakázána Ochrana před síťovými hrozbami, klient toto nastavení ignoruje.


Povolit zjištění útoku DoS

Pokud je toto nastavení povoleno, aplikace Symantec Endpoint Protection určuje známé útoky založené na více paketech bez ohledu na číslo nebo typ internetového protokolu. Neschopnost zjišťovat tento typ hrozeb je omezením systémů detekce a prevence narušení na základě signatury.

Povolit zjištění prověřování portů

Pokud je toto nastavení povoleno, aplikace Symantec Endpoint Protection sleduje všechny příchozí pakety blokované pravidly zabezpečení. Pokud během krátkého období zablokovalo pravidlo více různých paketů na různých portech, aplikace Symantec Endpoint Protection vygeneruje položku v protokolu zabezpečení. V rámci prohledávání portů žádné pakety blokovány nejsou. Dojde-li k prohledávání portů, je třeba vytvořit zásady zabezpečení pro blokování provozu.

111

112


4

Na kartě Nastavení neodpovídajícího IP provozu označte políčka u funkcí, které chcete povolit. Tyto možnosti řídí příchozí a odchozí provoz IP, který neodpovídá pravidlům brány firewall. Provoz IP zahrnuje datové pakety, které procházejí sítěmi IP a které používají protokoly TCP, UDP a ICMP. Typy provozu IP jsou aplikace, výměny mailů, přenosy souborů, programy ping a webová odesílání. Můžete vybrat jedno či více následujících nastavení provozu IP: Povolit provoz IP

Povoluje veškerý přichozí a odchozí provoz, pokud pravidla brány firewall nestanoví jinak. Například pokud přidáte pravidlo brány firewall, které blokuje provoz VPN, povolí brány firewall veškerý jiný provoz mimo provozu VPN.

Povolit pouze provoz aplikací Povolí provoz k aplikacím a z nich a zablokuje provoz, který nesouvisí s žádnou aplikací. Například brána firewall povolí program Internet Explorer, ale zablokuje provoz VPN, pokud pravidlo nestanoví jinak. Upozornit před povolením provozu aplikace

Zobrazí zprávu, která se dotáže, jestli aplikaci povolit nebo zablokovat. Například můžete chtít vybrat, jestli soubory médií blokovat nebo ne. Nebo můžete chtít skrýt vysílání z procesu NTOSKRNL.DLL. Proces NTOSKRNL.DLL může naznačovat přítomnost spywaru, protože spyware provoz NTOSKRNL.DLL často stahuje a instaluje.


5

Na kartě Nastavení režimu Stealth označte políčka u funkcí, které chcete povolit: Povolit změnu posloupnosti Brání narušiteli v podvržení nebo falšování adresy IP portů TCP jednotlivce. Hackeři používají zfalšované adresy IP k napadení komunikační relace mezi dvěma počítači, jako jsou počítače A a B. Hacker může odeslat datový paket, který způsobí, že počítač A přestane komunikovat. Potom může hacker předstírat, že je počítač A a komunikovat s počítačem B a zaútočit na něj. Aby byl počítač ochráněn, změna posloupnosti portů TCP náhodně uspořádá pořadová čísla TCP.

Poznámka: Maskování otisku operačního systému pracují nejlépe, je-li povolena změna posloupnosti portů TCP.

Varování: Změna posloupnosti portů TCP mění pořadová čísla TCP, když je spuštěna klientská služba. Pořadové číslo je jiné, když je služba spuštěna a když není spuštěna. Proto se síťová připojení ukončí, pokud službu brány firewall zastavíte nebo spustíte. Pakety TCP/IP používají ke komunikaci s dalšími počítači posloupnost čísel relací. Když není klient spuštěn, používá klientský počítač číselné schéma systému Windows. Když je klient spuštěn a změna posloupnosti portů TCP je povolena, použije klient jiné číselné schéma. Jestliže je klientská služba náhle ukončena, číselné schéma se vrátí zpět na číselné schéma systému Windows a systém Windows následně pakety provozu zahodí. Změna posloupnosti TCP může mít také potíže s kompatibilitou s některými kartami NIC, které způsobují, že klient blokuje veškerý příchozí i odchozí provoz.

113

114


Povolit procházení webu v režimu stealth

Zjišťuje provoz HTTP z webového prohlížeče na všech portech a odstraňuje tyto informace: název prohlížeče a číslo verze, operační systém a referenční webovou stránku. Brání webovým stránkách v zjišťování, jaký operační systém a prohlížeč počítač používá. Nezjišťuje provoz prostřednictvím protokolu HTTPS (připojení SSL).

Varování: Procházení webu v režimu Stealth může způsobit nesprávnou činnost některých webových stránek. Některé webové servery vytvářejí webové stránky založené na informacích o webovém prohlížeči. Protože tato možnost odebírá informace o prohlížeči, některé webové stránky se nemusí zobrazovat správně. Procházení webu v režimu Stealth odebere signaturu prohlížeče s názvem HTTP_USER_AGENT z hlavičky požadavku HTTP a nahradí ji obecnou signaturou. Povolit maskování neopakovatelného identifikátoru operačního systému

Brání zjišťování operačního systému klientského počítače. Klient změní hodnotu TTL a identifikační hodnotu paketů TCP/IP, aby bylo zabráněno identifikaci operačního systému.

Poznámka: Maskování neopakovatelného identifikátoru operačního systému pracují nejlépe, je-li povolena změna posloupnosti portů TCP.

Varování: Změna posloupnosti TCP může mít potíže s kompatibilitou s některými kartami NIC, které způsobují, že klient blokuje veškerý příchozí i odchozí provoz.

6


Viz „Konfigurace nastavení brány firewall“ na straně 107. Viz „Blokování provozu“ na straně 118.

Automatické povolení komunikace pro důležité síťové služby Aplikace Symantec Endpoint Protection obsahuje vestavěná pravidla umožňující normální výměnu dat mezi určitými důležitými síťovými službami. Vestavěná pravidla slouží k náhradě pravidel brány firewall, která tyto služby výslovně povolují. Během zpracování se tato vestavěná pravidla vyhodnotí před hodnocením pravidel brány firewall, což znamená, že jsou povoleny pakety, které odpovídají aktivnímu výskytu vestavěného pravidla. Vestavěné pravidla se dají definovat pro služby DHCP, DNS a WINS.


Filtry vestavěných pravidel povolují vstup paketu jen je-li proveden požadavek. Pakety neblokují. Pakety jsou povolovány nebo blokovány pravidly brány firewall.

1


2


3

Na kartě Firewall v části Built-in Rules (Vestavěná pravidla) označte jednu či více z následujících možností:

4

■

Povolit Smart DHCP

■

Povolit Smart DNS

■

Povolit Smart WINS


Viz „Povolení provozu a nastavení režimu procházení stealth“ na straně 108. Viz „Konfigurace nastavení brány firewall“ na straně 107.

Povolení sdílení souborů a tiskáren v síti Na klientském počítači můžete povolit sdílení souborů nebo procházet sdílené soubory a tiskárny v místní síti. Chcete-li se chránit před útoky ze sítě, můžete sdílení souborů a tiskáren zakázat. Sdílení souborů a tiskáren v síti lze povolit následujícími způsoby: Automaticky povolit nastavení sdílení souborů a tiskáren na kartě Síťový provoz systému Microsoft Windows.

Toto nastavení je potlačeno v případě, že existuje pravidlo brány firewall pro blokování takového provozu. Automatické povolení sdílení souborů a tiskáren v síti

Sdílení souborů a tiskáren Pokud potřebujete větší flexibilitu než poskytují stávající v síti ručně povolíte přidáním nastavení, můžete přidat pravidla brány firewall. Například, pravidel brány firewall. pokud vytváříte pravidlo, můžete určit určitého hostitele namísto všech hostitelů. Pravidla brány firewall umožňují přistupovat k portům a procházet a sdílet soubory a tiskárny. Chcete-li, aby klientský počítač mohl sdílet soubory, vytvořte jednu sadu pravidel brány firewall. Chcete-li, aby klientský počítač mohl procházet ostatní soubory a tiskárny, vytvořte druhou sadu pravidel brány firewall. Ruční povolení klientům procházet soubory a tiskárny Ruční povolení procházet soubory v klientovi ostatním počítačům

115

116


Automatické povolení sdílení souborů a tiskáren v síti

1

V postranním panelu klienta klepněte na položku Změnit nastavení.

2


3

Na kartě Microsoft Windows Networking (Sítě systému Microsoft Windows) v části Nastavení klepněte na rozevírací nabídku a vyberte adaptér, u kterého chcete tato nastavení použít.

4

Pokud chcete vyhledat další počítače a tiskárny v síti, klepněte na položku Procházet soubory a tiskárny v síti.

5

Chcete-li ostatním počítačům povolit procházení souborů na svém počítači, klepněte na položku Sdílet soubory a tiskárny s ostatními uživateli v síti.

6


Ruční povolení klientům procházet soubory a tiskárny

1

V klientovi klepněte na postranním panelu na položku Stav.

2

Vedle možnosti Nastavení ochrany před síťovými hrozbami klepněte na položku Možnosti > Konfigurovat pravidla brány firewall.

3

V dialogovém okně Konfigurovat pravidla brány firewall klepněte na tlačítko Přidat.

4

Na kartě Obecné zadejte název pravidla a potom klepněte na položku Povolit tento provoz.

5

Na kartě Porty a protokoly v rozevíracím seznamu Protokol klepněte na možnost TCP.

6

V rozevíracím seznamu Vzdálené porty zadejte hodnoty 88, 135, 139, 445.

7


8


9


10 Na kartě Porty a protokoly v rozevíracím seznamu Protokol klepněte na možnost UDP.

11 V rozevíracím seznamu Vzdálené porty zadejte hodnotu 88. 12 V rozevíracím seznamu Místní porty zadejte hodnoty 137, 138. 13 Klepněte na tlačítko OK.


Ruční povolení procházet soubory v klientovi ostatním počítačům

1


2


3


4


5

Na kartě Porty a protokoly v rozevíracím seznamu Protokol klepněte na možnost TCP.

6

V rozevíracím seznamu Místní porty zadejte hodnoty 88, 135, 139, 445.

7


8


9


10 Na kartě Porty a protokoly v rozevíracím seznamu Protokol klepněte na možnost UDP.

11 V rozevíracím seznamu Místní porty zadejte hodnoty 88, 137, 138. 12 Klepněte na tlačítko OK. Viz „Konfigurace nastavení brány firewall“ na straně 107.

Blokování a odblokování útočícího počítače Jestliže klient Symantec Endpoint Protection zjistí síťový útok, automaticky zablokuje příslušné připojení, aby zajistil bezpečnost klientského počítače. Klient aktivuje aktivní odpověď, která automaticky blokuje veškerou komunikaci s adresou IP útočícího počítače po nastavenou dobu. Adresa IP útočícího počítače je blokována pro jediné umístění. Adresu IP útočícího počítače můžete zobrazit v protokolu zabezpečení. Útok můžete také odblokovat zastavením aktivní odpovědi v protokolu zabezpečení. Nechcete-li čekat na odblokování adresy IP za standardně nastavenou dobu, můžete ji odblokovat okamžitě.

117

118


Blokování útočícího počítače

1


2


3

Na kartě Firewall v části Active Response Settings (Nastavení aktivní odpovědi) zaškrtněte políčko Počet sekund, po které bude adresa IP útočníka automaticky blokována a zadejte počet sekund. Zadejte číslo v rozsahu od 1 do 999 999 sekund. Výchozí nastavení je 600 sekund (10 minut).

4


Odblokování útočícího počítače

1


2

Vedle položky Správa klienta klepněte na položku Zobrazit protokoly > Protokol zabezpečení.

3

V položce Protokol zabezpečení vyberte řádek, který ve sloupci Typ události obsahuje hodnotu Aktivní odpověď. Potom klepněte na položku Akce > Zastavit aktivní odpověď. Chcete-li odblokovat blokované adresy IP, klepněte na položku Akce > Zastavit všechny aktivní odpovědi. Odblokujete-li aktivní odpověď, sloupec Typ události zobrazí informaci o tom, že aktivní odpověď byla zrušena. Jestliže doba aktivní odpovědi vyprší, ve sloupci Typ události se zobrazí položka „Odpojení aktivní odpovědi“.

4

V zobrazeném okně zprávy klepněte na tlačítko OK.

5

Klepněte na možnost Soubor > Konec.

Viz „Blokování provozu“ na straně 118. Viz „Konfigurace nastavení brány firewall“ na straně 107.

Blokování provozu Počítač můžete v následujících situacích nakonfigurovat tak, aby blokoval příchozí a odchozí provoz: Když je aktivní spořič obrazovky počítače.

Počítač můžete nakonfigurovat tak, aby blokoval veškerý příchozí a odchozí provoz v rámci okolních počítačů, je-li aktivován spořič obrazovky počítače. Po jeho deaktivaci se počítač vrátí na původní úroveň zabezpečení. Blokování provozu, když je aktivní spořič obrazovky počítače


Když se nespustí brána firewall.

Počítač není chráněn po zapnutí klientského počítače a před spuštěním služby brány firewall nebo po ukončení služby brány firewall a před vypnutím počítače. Tento časový interval je malou bezpečnostní dírou, která může povolit neautorizovanou komunikaci. Blokování provozu, když se nespustí brána firewall

Kdykoli, když chcete Provoz můžete chtít například zablokovat, pokud síť nebo zablokovat veškerý příchozí podsíť vaší organizace napadl obzvláště destruktivní virus. a odchozí provoz. Za normálních podmínek není blokování veškerého provozu žádoucí.

Poznámka: Váš správce může tuto možnost nakonfigurovat tak, aby byla nedostupná. Na nespravovaném klientovi nemůžete blokovat provoz. Blokování provozu, kdykoli když provoz zablokovat chcete

Provoz můžete povolit zakázáním Ochrany před hrozbami sítě. Viz „Povolení nebo zakázání ochrany v klientském počítači“ na straně 43. Blokování provozu, když je aktivní spořič obrazovky počítače

1


2

Vedle položky Ochrana před síťovými hrozbami klepněte na položku Konfigurovat nastavení.

3

Na kartě Síťový provoz Microsoft Windows v části Režim spořiče obrazovky klepněte na tlačítko Blokovat síťový provoz Microsoft Windows, je-li spuštěn spořič obrazovky.

4


Blokování provozu, když se nespustí brána firewall

1


2


3

Na kartě Firewall v části Nastavení provozu klepněte na tlačítko Blokovat veškerý provoz, dokud se brána firewall nespustí, a poté, co se ukončí.

4

Pokud chcete, můžete klepnout na tlačítko Povolit úvodní provoz DHCP a NetBIOS.

5


119

120

Správa brány firewall a prevence narušení Povolení nebo blokování aplikací

Blokování provozu, kdykoli když provoz zablokovat chcete

1

V postranním panelu klienta klepněte na položku Stav.

2

Vedle položky Ochrana před síťovými hrozbami klepněte na položku Možnosti > Zobrazit činnost v síti.

3

Klepněte na tlačítko Nástroje > Blokovat veškerý provoz.

4

Potvrďte volbu klepnutím na tlačítko Ano.

5

Pokud se chcete vrátit k předchozímu nastavení brány firewall, zrušte zaškrtnutí možnosti Nástroje > Blokovat veškerý provoz.

Viz „Blokování a odblokování útočícího počítače“ na straně 117. Viz „Konfigurace nastavení brány firewall“ na straně 107.

Povolení nebo blokování aplikací Aplikace je software, který lze využít k provedení určitých úloh. Aplikací je například prohlížeč Microsoft Internet Explorer a software iTunes. Můžete klienta přizpůsobit tak, aby vaši síť ochránil před útoky řízením určitých aplikací. Následuje popis postupů, které můžete provést a přizpůsobit tak zabezpečení branou firewall u vašich aplikací. Všechny tyto možnosti jsou volitelné a pořadí jejich provedení je libovolné: ■

U klienta můžete nastavit, zda si přejete aplikaci povolit nebo zablokovat přístup na síť. Viz „Povolení nebo blokování přístupu k síti u aplikací“ na straně 121.

■

Nastavení můžete nakonfigurovat pro aplikaci, která byla spuštěna během doby od spuštění služby klienta nebo která požádala o povolení přístupu k síti. Můžete také nakonfigurovat omezení, jako jsou adresy IP a porty, které může aplikace používat. Můžete zobrazit a změnit akci, kterou klient provede, pro každou aplikaci, která se pokusí o přístup k síti prostřednictvím síťového připojení. Konfigurací nastavení pro určitou aplikaci vytvoříte pravidlo brány firewall založené na aplikaci. Viz „Konfigurace specifických nastavení aplikace“ na straně 121.

■

Můžete odebrat omezení aplikace, například denní dobu, kdy brána firewall blokuje aplikaci. Odeberete-li omezení, odstraní se i akce prováděná v aplikaci klientem. Pokouší-li se aplikace nebo služba znovu o připojení k síti, budete opět dotázáni, zda ji chcete povolit, nebo blokovat. Běh aplikace nebo služby můžete také zastavit, dokud se aplikace nepokusí o přístup k obsahu počítače, například po jeho restartu. Viz „Odebírání omezení aplikace“ na straně 123.


Viz „Správa ochrany pomocí brány firewall“ na straně 104.

Povolení nebo blokování přístupu k síti u aplikací U klienta můžete nastavit, zda si přejete aplikaci povolit nebo zablokovat přístup na síť. Tab. 5-4 popisuje akce, které klient provádí v případě síťového provozu. Tab. 5-4

Akce, které brána firewall provádí při použití aplikací s přístupem ke klientskému počítači nebo k síti

Akce

Popis

Povolit

Povoluje přístup příchozího provozu k počítači klienta a odchozího provozu k síti. Pokud klient přijímá provoz, zobrazuje se v levém dolním rohu ikony malá modrá tečka. Pokud klient odesílá provoz, zobrazuje se tečka v pravém dolním rohu ikony.

Blokovat

Blokuje přístup příchozího provozu k počítači klienta a odchozího provozu k síti.

Dotázat se

Zobrazí se dotaz, zda chcete aplikaci povolit přístup k síti při příštím pokusu o její spuštění.

Ukončit

Zastavení procesu.

Povolení nebo blokování přístupu k síti u aplikací

1


2


3

V dialogovém okně Činnost v síti v poli Spuštěné aplikace klepněte pravým tlačítkem na aplikaci nebo službu a potom klepněte na požadovanou možnost.

4


Viz „Zobrazení činnosti v síti“ na straně 124. Viz „Blokování provozu“ na straně 118. Viz „Povolení nebo blokování aplikací“ na straně 120.

Konfigurace specifických nastavení aplikace Nastavení můžete nakonfigurovat pro aplikaci, která byla spuštěna během doby od spuštění služby klienta nebo která požádala o povolení přístupu k síti.

121

122


Můžete nakonfigurovat omezení, jako jsou adresy IP a porty, které může aplikace používat. Můžete zobrazit a změnit akci, kterou klient provede, pro každou aplikaci, která se pokusí o přístup k síti prostřednictvím síťového připojení. Konfigurací nastavení pro určitou aplikaci vytvoříte pravidlo brány firewall založené na aplikaci. Poznámka: Nastane-li konflikt mezi pravidlem brány firewall a nastavením specifickým pro aplikaci, přednost má pravidlo brány firewall. Například pravidlo brány firewall, které blokuje veškerý provoz mezi 1. a 8. hodinou ranní, potlačí plán specifické videoaplikace. Položky v dialogovém okně Síťová aktivita jsou aplikace a služby, které byly spuštěny po spuštění klienta. Konfigurace specifických nastavení aplikace

1


2

Vedle položky Nastavení ochrany před síťovými hrozbami klepněte na položky Možnosti > Zobrazit nastavení aplikace.

3

V dialogovém okně Zobrazit nastavení aplikace vyberte aplikaci, kterou chcete konfigurovat, a poté klepněte na tlačítko Konfigurovat.

4

V dialogovém okně Konfigurovat nastavení aplikace zadejte do pole Důvěryhodné adresy IP pro aplikaci adresy IP nebo rozsah adres IP.

5

Ve skupinových polích Porty vzdáleného serveru nebo Místní porty vyberte port TCP nebo UDP.

6

Chcete-li určit směru provozu, klepněte na jednu nebo obě z následujících položek: Povolení odchozího provozu Klepněte na možnost Povolit odchozí připojení. Povolení příchozího provozu Klepněte na možnost Povolit příchozí připojení.

7

Chcete-li, aby se pravidlo použilo při spuštěném spořiči obrazovky, klepněte na možnost Povolit, když je spořič obrazovky aktivní.

8

Chcete-li naplánovat dobu, kdy platí a neplatí omezení, klepněte na tlačítko Povolit plánování.


9

Vyberte jednu z následujících položek: Nastavení času, po který platí Klepněte na možnost Během období níže. omezení Nastavení času, po který omezení neplatí

Klepněte na možnost Mimo období níže.

10 Nastavte plán. 11 Klepněte na tlačítko OK. 12 V dialogovém okně Zobrazit nastavení aplikace změňte akci — klepněte pravým tlačítkem na aplikaci a následně klepněte na možnost Povolit nebo Blokovat.

13 Klepněte na tlačítko OK. Zastavení aplikace nebo služby

1


2


3

V poli Spuštěné aplikace klepněte pravým tlačítkem na aplikaci a potom klepněte na tlačítko Ukončit.

4

K potvrzení klepněte na tlačítko Ano a potom na tlačítko Zavřít.

Viz „Přidání pravidla brány firewall“ na straně 132. Viz „Zobrazení činnosti v síti“ na straně 124. Viz „Povolení nebo blokování aplikací“ na straně 120.

Odebírání omezení aplikace Můžete odebrat omezení aplikace, například denní dobu, kdy brána firewall blokuje aplikaci. Odeberete-li omezení, odstraní se i akce prováděná v aplikaci klientem. Pokouší-li se aplikace nebo služba znovu o připojení k síti, budete opět dotázáni, zda ji chcete povolit, nebo blokovat. Běh aplikace nebo služby můžete zastavit, dokud se aplikace nepokusí o přístup k obsahu počítače, například po jeho restartu. Odebrání omezení aplikace

1


2

Vedle položky Ochrana před síťovými hrozbami klepněte na položky Možnosti > Zobrazit nastavení aplikace.

123

124

Správa brány firewall a prevence narušení Zobrazení činnosti v síti

3

V dialogovém okně Nastavení zobrazení aplikací proveďte jednu z následujících akcí: Odebrání aplikace ze seznamu.

Vyberte příslušnou aplikaci a klepněte na tlačítko Odebrat.

Odebrání všech aplikací ze seznamu.

Klepněte na tlačítko Odebrat vše.

4

Klepněte na tlačítko Ano.

5


Viz „Konfigurace specifických nastavení aplikace“ na straně 121. Viz „Povolení nebo blokování aplikací“ na straně 120.

Zobrazení činnosti v síti Je možné zobrazit informace o příchozím a odchozím provozu počítače. Také je možné zobrazit seznam aplikací a služeb spuštěných od spuštění služby klienta. Poznámka: Klient nezjišťuje síťový provoz ze zařízení PDA. V rámci provozu v síti můžete zobrazit všesměrový i jednosměrný provoz. Při všesměrovém vysílání jsou pakety posílány na každý počítač v podsíti s výjimkou vysílajícího. Jednosměrové vysílání probíhá pouze mezi dvěma počítači. Zobrazení historie síťového provozu

1


2


3


Zobrazení a skrytí služeb systému Windows a všesměrového vysílání

1


2


Správa brány firewall a prevence narušení Pravidla brány firewall v klientovi

3

4

V dialogovém poli Činnost v síti klepněte pravým tlačítkem na pole Spuštěné aplikace a proveďte následující: Zobrazení nebo skrytí služeb systému Windows

Označte nebo zrušte označení možnosti Zobrazit služby systému Windows.

Zobrazení všesměrového provozu

Označte možnost Zobrazit provoz všesměrového vysílání.

Zobrazení jednosměrného provozu

Zrušte zaškrtnutí možnosti Zobrazit provoz všesměrového vysílání.


Změna zobrazení informací o aplikaci

1


2


3

V poli Spuštěné aplikace klepněte pravým tlačítkem na aplikaci a potom klepněte na zobrazení, které chcete zobrazit. Můžete například klepnou na možnost Podrobnosti.

4


Viz „Konfigurace specifických nastavení aplikace“ na straně 121. Viz „Povolení nebo blokování přístupu k síti u aplikací“ na straně 121. Viz „Blokování provozu“ na straně 118. Viz „Správa ochrany pomocí brány firewall“ na straně 104.

Pravidla brány firewall v klientovi Tab. 5-5 obsahuje vhodné informace o pravidlech brány firewall v klientovi.

125

126

Správa brány firewall a prevence narušení Informace o pořadí zpracování pravidla brány firewall, nastavení brány firewall a prevence narušení

Tab. 5-5

Témata pravidel brány firewall v klientovi

Téma

Popis

Informace o způsobu zpracování pravidel brány firewall, nastavení a nastavení prevence narušení

Se znalostmi informací o způsobu zpracování pravidel brány firewall, nastavení a nastavení prevence narušení zvýšíte svoji schopnost vytvářet efektivní pravidla brány firewall. Se znalostmi informací o způsobu zpracování pravidel a nastavení můžete pravidla brány firewall odpovídajícím způsobem upravit. Viz „Informace o pořadí zpracování pravidla brány firewall, nastavení brány firewall a prevence narušení“ na straně 126. Viz „Změna pořadí pravidel brány firewall“ na straně 127.

Informace o způsobu, jakým klient využívá kontrolu stavu, díky kterým nebudete muset konkrétní pravidla vytvářet

Aplikace Symantec Endpoint Protection využívá kontrolu stavu. To znamená, že u provozu, který je iniciován v jednom směru, není zapotřebí pravidlo, které povoluje provoz v druhém směru. Se znalostmi principu stavové inspekce není zapotřebí pravidla vytvářet. Viz „Způsob, kterým brána firewall využívá stavovou inspekci“ na straně 128.

Informace o prvcích pravidla K vytvoření efektivních pravidel brány firewall je vhodné brány firewall znát komponenty, ze kterých je pravidlo tvořeno. Viz „Prvky pravidla brány firewall“ na straně 129.

Viz „Správa ochrany pomocí brány firewall“ na straně 104.

Informace o pořadí zpracování pravidla brány firewall, nastavení brány firewall a prevence narušení Pravidla brány firewall jsou v seznamu pravidel řazena sekvenčně od nejvyšší priority po nejnižší nebo shora dolů. Pokud první pravidlo neurčuje způsob zpracování paketu, brána firewall zkontroluje druhé pravidlo. Tento proces pokračuje, dokud brána firewall nenalezne shodu. Jakmile brána firewall nalezne shodu, provede akci určenou pravidlem. Následná pravidla s nižší prioritou se nekontrolují. Pokud je například pravidlo blokující veškerý provoz na prvním místě a následuje pravidlo povolující veškerý provoz, klient blokuje veškerý provoz. Pravidla můžete seřadit podle toho, co vylučují. Nejvíc omezující pravidla se vyhodnotí jako první a nejobecnější pravidla se vyhodnotí jako poslední. Například pravidla, která blokují provoz, byste měli umístit poblíž začátku seznamu pravidel. Pravidla, která jsou v seznamu níže, mohou provoz povolit.

Správa brány firewall a prevence narušení Změna pořadí pravidel brány firewall

Mezi doporučené postupy při vytváření báze pravidel patří toto pořadí pravidel: 1.

Pravidla, která blokují veškerý provoz.

2.

Pravidla, která povolují veškerý provoz.

3.

Pravidla, která povolují nebo blokují konkrétní počítače.

4.

Pravidla, která povolují nebo blokují konkrétní aplikace, síťové služby a porty.

Tab. 5-6 ukazuje pořadí, ve kterém brána firewall zpracovává pravidla, její nastavení a nastavení prevence narušení. Tab. 5-6

Pořadí zpracování

Priorita

Nastavení

První

Vlastní signatury IPS

Druhá

Nastavení prevence narušení, nastavení provozu a nastavení režimu stealth

Třetí

Integrovaná pravidla

Čtvrtá

Pravidla brány firewall

Pátá

Kontrola prověřování portů

Šestá

Signatury IP stažené prostřednictvím služby LiveUpdate

Viz „Změna pořadí pravidel brány firewall“ na straně 127. Viz „Jak funguje brána firewall“ na straně 106. Viz „Způsob fungování prevence narušení“ na straně 135. Viz „Pravidla brány firewall v klientovi“ na straně 125.

Změna pořadí pravidel brány firewall Brána firewall zpracovává seznam pravidel brány firewall shora dolů. Změnou pořadí pravidel můžete určit pořadí jejich zpracování v bráně firewall. Pokud změníte pořadí, projeví se tato změna pouze pro aktuálně vybrané umístění. Poznámka: Kvůli lepší ochraně umístěte nejvíce omezující pravidla jako první a nejméně omezující pravidla jako poslední.

127

128

Správa brány firewall a prevence narušení Způsob, kterým brána firewall využívá stavovou inspekci

Změna pořadí pravidla brány firewall

1


2


3

V dialogovém okně Konfigurovat pravidla brány firewall vyberte pravidlo, které chcete posunout.

4


5

■

Chcete-li, aby proces brány firewall toto pravidlo zpracoval dříve než pravidlo nad ním, klepněte na šipku nahoru.

■

Chcete-li, aby proces brány firewall toto pravidlo zpracoval později než pravidlo pod ním, klepněte na šipku dolů.

Po dokončení přesouvání pravidel klepněte na tlačítko OK.

Viz „Informace o pořadí zpracování pravidla brány firewall, nastavení brány firewall a prevence narušení“ na straně 126. Viz „Pravidla brány firewall v klientovi“ na straně 125.

Způsob, kterým brána firewall využívá stavovou inspekci Ochrana brány firewall používá kontrolu stavu ke sledování aktuálních připojení. Kontrola stavu sleduje adresy IP zdroje a cíle, porty, aplikace a další informace o připojení. Před tím, než klient ověří pravidla brány firewall, provádí rozhodnutí o toku provozu, která jsou založena na informacích o připojení. Například pokud pravidlo brány firewall povoluje počítači připojit se k webovému serveru, brána firewall zaznamená informace o připojení do protokolu. Když server odpoví, brána firewall zjistí, že se odpověď od webové stránky očekává. Povolí provozu webové stránky procházet k počítači, který komunikaci započal, bez zkoumání databáze pravidel. Před tím, než brána firewall zaznamená připojení do protokolu, musí pravidlo nejdříve povolit počáteční odchozí provoz. Stavová inspekce eliminuje potřebu vytvářet nová pravidla. U provozu, který je iniciován v jednom směru, nemusíte vytvářet pravidla, která povolují provoz v obou směrech. Mezi klientský provoz iniciovaný v jednom směru patří protokoly Telnet (port 23), HTTP (port 80) a HTTPS (port 443). Tento odchozí provoz zahajují klientské počítače, proto stačí vytvořit pravidlo, které pro tyto protokoly povoluje odchozí provoz. Kontrola stavu automaticky povoluje provoz ve zpětném směru, který reaguje na odchozí provoz. Jelikož je brána firewall stavová, je třeba vytvořit pouze pravidla, která zahajují spojení, nikoliv charakteristiky konkrétních paketů.

Správa brány firewall a prevence narušení Prvky pravidla brány firewall

Všechny pakety patřící do povoleného připojení jsou implicitně povoleny jako nedílná součást stejného připojení. Kontrola stavu podporuje všechna pravidla řídící provoz přes protokol TCP. Kontrola stavu nepodporuje pravidla filtrující provoz přes protokol ICMP. U provozu protokolu ICMP je nutné vytvořit pravidla povolující provoz v obou směrech. Například u klientů používajících příkaz ping a přijímajících odezvu je třeba vytvořit pravidlo povolující provoz přes protokol ICMP v obou směrech. Viz „Jak funguje brána firewall“ na straně 106. Viz „Pravidla brány firewall v klientovi“ na straně 125.

Prvky pravidla brány firewall Pravidla brány firewall kontrolují, jak klient ochraňuje počítač před nebezpečným síťovým provozem. Když se počítač pokouší o připojení k jinému počítači, brána firewall porovná typ připojení s pravidly brány firewall. Brána firewall automaticky kontroluje všechny příchozí a odchozí pakety a porovnává je s těmito pravidly. Brána firewall povoluje nebo blokuje pakety podle pravidel. K definici pravidel brány firewall můžete použít aktivační události jako aplikace, hostitele a protokoly. Pravidlo může například identifikovat protokol ve vztahu k cílové adrese. Při hodnocení pravidla bránou firewall musí pravidlu odpovídat všechny aktivační události, aby bylo uplatněno. Pokud některá aktivační událost ve vztahu k aktuálnímu paketu neplatí, brána firewall pravidlo neuplatní. Po aktivaci podmínky pravidla brány firewall se vyhodnocování ostatních podmínek brány firewall pozastaví. Nebude-li žádná podmínka pravidla aktivována, paket bude automaticky zablokován a událost nebude uvedena do protokolu. Pravidlo brány firewall popisuje podmínky, podle nichž má být povoleno, nebo blokováno připojení k síti. Pravidlo může například povolit komunikaci mezi vzdáleným portem 80 a adresou IP 192.58.74.0 každý den od 9:00 do 17:00. Tab. 5-7 popisuje používaná kritéria k definování pravidla brány firewall.

129

130

Správa brány firewall a prevence narušení Prvky pravidla brány firewall

Tab. 5-7

Podmínky pravidel brány firewall

Podmínka

Popis

Aktivační události

Seznam dostupných aktivátorů pravidel brány firewall je následující: Aplikace Je-li aplikace jedinou aktivační událostí, kterou nadefinujete v pravidle povolení síťového provozu, brána firewall povolí aplikaci provádět síťové operace. Aplikace je podstatnou hodnotou, nikoliv síťové operace, které provádí. Například si představte, že povolíte aplikaci Internet Explorer a nenastavíte žádné jiné spouštěče. Uživatelé budou moci přistupovat ke vzdáleným umístěním používajícím protokoly HTTP, HTTPS, FTP, Gopher nebo jiný protokol podporovaný webovým prohlížečem. Můžete nadefinovat další aktivační události k popisu určitých síťových protokolů a hostitelů, s nimiž je povolena komunikace. ■ Hostitelé Místním hostitelem je vždy místní počítač klienta a vzdáleným hostitelem je vždy vzdálený počítač umístěný kdekoliv v síti. Toto vyjádření vztahu hostitelů je nezávislé na směru síťového provozu. Nadefinujete-li aktivační události hostitelů, určíte hostitele ve vzdáleném umístění popsaného síťového připojení. ■ Protokoly Aktivační událost protokolu identifikuje jeden nebo více síťových protokolů, které jsou důležité ve vztahu k popisovanému provozu. Místní počítač hostitele vždy vlastní místní port a vzdálený počítač vždy vlastní vzdálený port. Toto vyjádření vztahu portů je nezávislé na směru síťového provozu. ■ Síťové adaptéry Nadefinujete-li aktivační událost síťového adaptéru, pravidlo se vztahuje pouze k síťovému provozu, který je přenášen nebo přijímán pomocí určeného typu adaptéru. Můžete určit jakýkoli adaptér nebo ten, který je momentálně asociován s klientským počítačem ■

Definice aktivačních událostí můžete kombinovat, čímž vytvoříte složitější pravidla, jako například identifikaci určitého protokolu ve vztahu k určité cílové adrese. Když brána firewall zhodnotí pravidlo, všechny aktivační události mu musí odpovídat, aby bylo uplatněno. Pokud některá aktivační událost neplatí ve vztahu k aktuálnímu paketu, brána firewall nemůže pravidlo uplatnit.

Správa brány firewall a prevence narušení Nastavení pravidel brány firewall

Podmínka

Popis

Podmínky

Stav plánování a spořiče obrazovky Parametry podmínek nepopisují aspekt síťového připojení. Místo toho parametry podmínek určují aktivní stav pravidla. Parametry podmínek jsou volitelné, a pokud nejsou definovány, nejsou podstatné. Můžete nastavit plánování nebo určit stav spořiče obrazovky jenž určuje, zda má být pravidlo považováno za aktivní, nebo neaktivní. Brána firewall nezhodnocuje neaktivní pravidla, pokud obdrží pakety.

Akce

Povolit, nebo blokovat, protokolovat, nebo neprotokolovat. Parametry akce určují, jaké akce má brána firewall podniknout při úspěšné shodě s pravidlem. Je-li pravidlo vybráno jako odpověď na přijatý paket, brána firewall provede všechny akce. Brána firewall povoluje, nebo blokuje paket, a zároveň jej zaznamenává, nebo nezaznamenává. Pokud brána firewall povoluje síťový provoz, umožnuje mu přístup k síti v závislosti na pravidlu, které se ho týká. Pokud brána firewall blokuje síťový provoz, blokuje mu přístup k síti v závislosti na pravidlu, které se ho týká.

Viz „Způsob, kterým brána firewall využívá stavovou inspekci“ na straně 128. Viz „Přidání pravidla brány firewall“ na straně 132. Viz „Pravidla brány firewall v klientovi“ na straně 125.

Nastavení pravidel brány firewall Tab. 5-8 popisuje způsob, jakým nastavit pravidla brány firewall. Způsob nastavení pravidel brány firewall

Tab. 5-8 Krok

Úloha

Popis

1

Přidání nového Aplikace Symantec Endpoint Protection nainstaluje výchozí pravidla brány pravidla brány firewall. Můžete však vytvořit svá vlastní pravidla. firewall Viz „Přidání pravidla brány firewall“ na straně 132. Dalším ze způsobů přidání pravidla brány firewall je exportování stávajících pravidel z jiné zásady brány firewall. Pravidla a nastavení brány firewall můžete poté importovat, takže je nemusíte vytvářet znovu. Viz „Export a import pravidel brány firewall“ na straně 133.

131

132


Krok

Úloha

Popis

2

(Volitelné) Přizpůsobení kritérií pravidla brány firewall

Po vytvoření nového pravidla, nebo budete-li chtít výchozí pravidlo přizpůsobit, můžete upravit kritéria libovolného z pravidel brány firewall. Viz „Prvky pravidla brány firewall“ na straně 129.

Viz „Pravidla brány firewall v klientovi“ na straně 125. Viz „Povolení a zakázání pravidel brány firewall“ na straně 133.

Přidání pravidla brány firewall Přidáte-li pravidlo brány firewall, musíte rozhodnout, jaký bude mít účinek. Například můžete chtít povolit veškerý síťový provoz z určitého zdroje nebo blokovat pakety UDP z webové stránky. Pravidla brány firewall budou po vytvoření automaticky povolena. Přidání pravidla brány firewall

1


2


3


4

Na kartě Obecné zadejte název pravidla a poté klepněte na položku Blokovat tento provoz nebo Povolit tento provoz.

5

Chcete-li definovat aktivátory pravidla, klepněte na každou z karet a podle potřeby ji upravte.

6

Chcete-li nadefinovat časové období, během kterého je pravidlo aktivní či neaktivní, na kartě Plánování klepněte na položku Povolit plánování a poté nastavte plán.

7

Po dokončení změn klepněte na tlačítko OK.

8


Viz „Prvky pravidla brány firewall“ na straně 129. Viz „Povolení a zakázání pravidel brány firewall“ na straně 133. Viz „Nastavení pravidel brány firewall“ na straně 131.


Export a import pravidel brány firewall Pravidla můžete sdílet s jiným klientem, abyste je nemuseli znovu vytvářet. Pravidla můžete exportovat z jiného počítače a importovat je do svého počítače. Naimportujete-li pravidla, budou přidána do dolní části seznamu pravidel brány firewall. Importovaná pravidla nepřepíšou existující pravidla ani v případě, že se importované pravidlo shoduje se stávajícím pravidlem. Exportovaná a importovaná pravidla jsou ukládána do souboru .sar. Export pravidel brány firewall

1


2

Vedle Nastavení ochrany před síťovými hrozbami klepněte na položku Možnosti > Konfigurovat pravidla brány firewall.

3

V dialogovém okně Konfigurovat pravidla brány firewall vyberte pravidla, která chcete exportovat.

4

Pravým tlačítkem myši klepněte na pravidla a potom klepněte na příkaz Exportovat vybraná pravidla.

5

V dialogovém okně Exportovat zadejte název souboru a poté klepněte na tlačítko Uložit.

6


Import pravidel brány firewall

1


2

Vedle Nastavení ochrany před síťovými hrozbami klepněte na položku Možnosti > Konfigurovat pravidla brány firewall.

3

V dialogovém okně Konfigurovat pravidla brány firewall klepněte pravým tlačítkem na seznam pravidel brány firewall a poté klepněte na položku Importovat pravidlo.

4

V dialogovém okně Import najděte soubor formátu .sar obsahující pravidla, která chcete importovat.

5

Klepněte na tlačítko Otevřít.

6


Viz „Přidání pravidla brány firewall“ na straně 132.

Povolení a zakázání pravidel brány firewall Pravidla, která má brána firewall zpracovat, musí být povolena. Přidáte-li pravidla brány firewall, budou automaticky povolena.

133

134

Správa brány firewall a prevence narušení Správa prevence narušení

Potřebujete-li povolit konkrétní přístup k počítači nebo aplikaci, můžete pravidlo brány firewall zakázat. Povolení a zakázání pravidel brány firewall

1


2


3

V dialogovém okně Konfigurovat pravidla brány firewall ve sloupci Název pravidla zaškrtněte nebo zrušte zaškrtnutí pole u pravidla, které chcete povolit nebo zakázat.

4


Viz „Přidání pravidla brány firewall“ na straně 132.

Správa prevence narušení Správa prevence narušení je součástí modulu Ochrany před síťovými hrozbami. Tab. 5-9

Správa prevence narušení

Akce

Popis

Zjistěte informace o prevenci narušení Zjistěte, jak funkce prevence narušení zjišťuje a blokuje síťové útoky a napadení prohlížeče. Viz „Způsob fungování prevence narušení“ na straně 135. Stáhněte nejnovější signatury IPS

Ve výchozím nastavení jsou nejnovější signatury stahovány do klientů. Nicméně někdy můžete chtít signatury stáhnout okamžitě. Viz „Aktualizace ochrany počítače“ na straně 35.

Správa brány firewall a prevence narušení Způsob fungování prevence narušení

Akce

Popis

Povolení nebo zakázání prevence narušení v síti nebo v prohlížeči

Prevenci narušení můžete zakázat při řešení potíží nebo v případě, že klientský počítač vykazuje příliš mnoho planých poplachů. Prevenci narušení je běžně vhodné nechat spuštěnou. Povolit nebo zakázat můžete následující typy prevence narušení: ■

Prevence narušení v síti

■

Prevence narušení v prohlížeči

Viz „Povolení nebo zakázání prevence narušení“ na straně 136. Prevenci narušení můžete také povolit nebo zakázat v rámci povolování nebo zakazování ochrany před síťovými hrozbami. Viz „Povolení nebo zakázání ochrany“ na straně 42. Konfigurace upozornění prevence narušení

Konfiguraci můžete upravit tak, aby aplikace Symantec Endpoint Protection zobrazila upozornění při odhalení narušení v síti nebo v prohlížeči. Viz „Konfigurace upozornění prevence narušení“ na straně 137.

Způsob fungování prevence narušení Prevence narušení je součástí modulu Ochrany před síťovými hrozbami. Funkce prevence narušení automaticky zjišťuje a blokuje pokusy o napadení ze sítě nebo v prohlížeči. Prevence narušení je po bráně firewall druhou úrovní zabezpečení klientského počítače. Prevence narušení je někdy také označována jako systém IPS (Intrusion Prevention System). Viz „Správa prevence narušení“ na straně 134. Prevence narušení umožňuje zachytit data v síťové vrstvě. Využívá signatury k prověřování paketů nebo jejich proudů. Při prověřování jednotlivých paketů vyhledává vzory, které odpovídají specifikacím útoku v síti nebo v prohlížeči. Prevence narušení využívá signatury k odhalení útoků na komponenty operačního systému a aplikační vrstvu. Prevence narušení poskytuje dva typy zabezpečení.

135

136

Správa brány firewall a prevence narušení Povolení nebo zakázání prevence narušení


Prevence narušení v síti využívá signatury k odhalení útoků na klientský počítač. U známých útoků prevence narušení automaticky odstraňuje pakety, které odpovídají dané signatuře. V klientovi nelze vytvářet vlastní signatury. Můžete ale importovat vlastní signatury, které vy sami nebo správce vytvoříte v produktu Symantec Endpoint Protection Manager.


Prevence narušení v prohlížeči sleduje útoky směrované na prohlížeče Internet Explorer a Firefox. Jiné prohlížeče prevence narušení v prohlížeči nepodporuje. Tento typ prevence narušení využívá k odhalení útoků na prohlížeče signatury útoků a heuristickou analýzu. V případě určitých útoků na prohlížeč může být po klientovi vyžadováno ukončení prohlížeče. V klientském počítači se zobrazí oznámení.

Povolení nebo zakázání prevence narušení Pokud ve svém počítači prevenci narušení vypnete, počítač bude méně bezpečný. V některých případech však může být nutné toto nastavení vypnout, a zabránit tak výskytu falešných poplachů, nebo vyřešit potíže s počítačem. Aplikace Symantec Endpoint Protection protokoluje pokusy o narušení a události do Protokolu zabezpečení. Podle nastavení správce může aplikace Symantec Endpoint Protection pokusy o narušení protokolovat do Protokolu paketů. Viz „Správa prevence narušení“ na straně 134. Viz „Prohlížení protokolů“ na straně 49. Povolit nebo zakázat můžete tyto dva typy prevence narušení: ■


■


Poznámka: Správce tyto možnosti pravděpodobně nakonfiguroval tak, aby byly nedostupné. Viz „Povolení nebo zakázání ochrany“ na straně 42.

Správa brány firewall a prevence narušení Konfigurace upozornění prevence narušení

Povolení nebo zakázání nastavení prevence narušení

1


2


3

Na kartě Prevence narušení označte nebo zrušte označení následujících možností: ■

Povolit prevenci narušení ze sítě

■

Povolit prevenci narušení prohlížeče

Další informace o nastavení zobrazíte klepnutím na položku Nápověda.

4


Konfigurace upozornění prevence narušení Upozornění je možné nakonfigurovat tak, aby se zobrazilo, jakmile klient zjistí síťový útok na počítač nebo když určité aplikaci zablokuje přístup k vašemu počítači. Je možné nastavit dobu, po kterou se tato upozornění budou zobrazovat, a určit, zda mají být doprovázena zvukovým oznámením. Aby se upozornění prevence narušení mohla zobrazovat, je nutné povolit systém prevence narušení. Poznámka: Správce pravděpodobně tyto možnosti nakonfiguroval tak, aby byly nedostupné. Viz „Správa prevence narušení“ na straně 134. Konfigurace upozornění prevence narušení

1


2


3

V dialogovém okně Ochrana před síťovými hrozbami klepněte na položku Oznámení.

4

Zaškrtněte políčko Zobrazit upozornění prevence narušení.

5

Chcete-li při zobrazení upozornění slyšet zvukový signál, zaškrtněte políčko Používat při upozornění uživatelů zvukový signál.

6


137

138

Správa brány firewall a prevence narušení Konfigurace upozornění prevence narušení

Kapitola

6

Správa aplikace Symantec Network Access Control Tato kapitola obsahuje následující témata: ■

Jak pracuje aplikace Symantec Network Access Control

■

Jak klient funguje s modulem Enforcer

■

Spuštění kontroly integrity hostitele

■

Náprava počítače

■

Konfigurace klienta pro ověřování 802.1x

■

Prohlížení protokolů aplikace Symantec Network Access Control

Jak pracuje aplikace Symantec Network Access Control Klient Symantec Network Access Control ověřuje a vynucuje splňování zásad u počítačů, které se připojují k síti. Tento proces ověřování a vynucování začíná před připojením počítače k síti a pokračuje po celou dobu trvání připojení. Zásady integrity hostitele jsou zásadami bezpečnosti, které slouží jako základ pro všechna vyhodnocování a akce. Integrita hostitele je také označována jako zajištění souladu. Tab. 6-1 popisuje proces, který aplikace Network Access Control používá k vynucení souladu se zásadami na klientském počítači.

140

Správa aplikace Symantec Network Access Control Jak pracuje aplikace Symantec Network Access Control

Tab. 6-1

Princip aplikace Symantec Network Access Control

Akce

Popis

Klient opakovaně vyhodnocuje, zda splňuje zásady.

Zapnete klientský počítač. Klient spustí kontrolu integrity hostitele, která porovná konfiguraci počítače se zásadami integrity hostitele, jež byly staženy ze serveru pro správu. Kontrola integrity hostitele vyhodnotí, zda počítač splňuje Zásady integrity hostitele pro antivirový software, opravy, důležité opravy a ostatní bezpečnostní požadavky. Zásady mohou například ověřovat, kdy naposledy byly aktualizovány definice virů, nebo které nejnovější opravy byly použity v operačním systému.

Zařízení Symantec Enforcer ověřuje klientský počítač a buď uděluje přístup k síti, nebo blokuje a umísťuje do karantény počítače, které nesplňují zásady zabezpečení.

Splňuje-li počítač všechny požadavky zásad zabezpečení, projde kontrolou integrity hostitele. Zařízení Enforcer povoluje plný přístup k síti počítačům, které projdou kontrolou integrity hostitele. Nesplňuje-li počítač všechny požadavky zásad zabezpečení, neprojde kontrolou integrity hostitele. Neprojde-li počítač kontrolou integrity hostitele, klient nebo zařízení Symantec Enforcer jej zablokuje nebo umístí do Karantény, dokud nebude provedena náprava. Počítače v karanténě mají omezený nebo žádný přístup k síti. Viz „Jak klient funguje s modulem Enforcer“ na straně 141.

Správce mohl nastavit Klient může zobrazit oznámení pokaždé, když počítač projde zásady, aby počítač prošel kontrolou integrity hostitele. kontrolou integrity hostitele, Viz „Typy výstrah a oznámení“ na straně 21. i když nesplní určité požadavky. Klient provádí nápravu počítačů, které nesplňují zásady.

Zjistí-li klient, že požadavek zásad integrity hostitele nebyl dodržen, provede instalaci nebo požádá o instalaci požadovaného softwaru. Po provedení nápravy se počítač pokusí o přístup k síti. Splňuje-li počítač plně zásady zabezpečení, síť mu udělí přístup. Viz „Náprava počítače“ na straně 142.

Klient aktivně monitoruje, zda počítač splňuje zásady.

Klient aktivně sleduje stav splňování zásad u všech klientských počítačů. Pokud se změní stav splňování zásad v počítači, změní se i práva počítače k přístupu do sítě.

Více informací o výsledcích kontroly integrity hostitele naleznete v Protokolu zabezpečení.

Správa aplikace Symantec Network Access Control Jak klient funguje s modulem Enforcer

Jak klient funguje s modulem Enforcer Klient spolupracuje se zařízením Symantec Enforcer. Zařízení Enforcer zajišťuje, aby na všech počítačích, jež se připojují k síti, kterou chrání, běžel klientský software a aby tyto počítače používaly správné zásady bezpečnosti. Viz „Jak pracuje aplikace Symantec Network Access Control“ na straně 139. Zařízení Enforcer musí ověřit uživatele nebo klientský počítač předtím, než mu povolí přístup k síti. Aplikace Symantec Network Access Control na ověřování klientských počítačů spolupracuje s několika typy zařízení Enforcer. Zařízení Symantec Enforcer je síťové hardwarové zařízení, které ověřuje výsledky integrity hostitele a identitu klientského počítače předtím, než povolí počítači přístup k síti. Než klientovi povolí přístup k síti, zkontroluje zařízení Enforcer tyto informace: ■

Verze softwaru klienta používaného v počítači.

■

Klient má přiřazen jedinečný identifikátor (UID).

■

Klient byl aktualizován nejnovější zásadou integrity hostitele.

■

Klientský počítač prošel kontrolou integrity hostitele.

Viz „Konfigurace klienta pro ověřování 802.1x“ na straně 142.

Spuštění kontroly integrity hostitele Správce konfiguruje frekvenci spouštění kontroly integrity hostitele klientem. Může dojít k tomu, že budete potřebovat spustit kontrolu integrity hostitele okamžitě, ne čekat na další kontrolu. Například selhání kontroly integrity hostitele může zjistit, že je v počítači potřeba provést aktualizaci signatur virů. Klient vám může povolit výběr, zda chcete stáhnout požadovaný software okamžitě, nebo stažení odložit. Stáhnete-li software okamžitě, musíte znovu spustit kontrolu integrity hostitele, abyste ověřili, že máte správný software. Můžete počkat na další naplánované spuštění kontroly integrity hostitele, nebo ji můžete spustit okamžitě.

141

142

Správa aplikace Symantec Network Access Control Náprava počítače

Spuštění kontroly integrity hostitele

1


2

U položky Network Access Controlklepněte na položku Možnosti > Zkontrolovat soulad.

3

Zobrazí-li se zpráva potvrzující, že byla kontrola integrity hostitele spuštěna, klepněte na tlačítko OK. Byl-li vám zablokován přístup k síti, měli byste jej opět získat po aktualizaci počítače, kterou se splní zásady zabezpečení.

Náprava počítače Zjistí-li klient, že není splněn požadavek zásad integrity hostitele, zareaguje jedním z následujících způsobů: ■

Klient automaticky stáhne aktualizaci softwaru.

■

Klient požádá o stažení požadované aktualizace softwaru.

Náprava počítače ◆

V dialogovém okně Symantec Endpoint Protection, které se zobrazí, proveďte některou z následujících akcí: ■

Chcete-li zobrazit, které bezpečnostní požadavky nebyly splněny, klepněte na položku Podrobnosti.

■

Chcete-li okamžitě nainstalovat software, klepněte na položku Obnovit. Po zahájení instalace může, ale i nemusí, být k dispozici možnost jejího zrušení.

■

Chcete-li odložit instalaci softwaru, klepněte na položku Upozornit později za a vyberte časový interval v rozevíracím seznamu. Správce může nakonfigurovat maximální počet odložení instalace.

Konfigurace klienta pro ověřování 802.1x Pokud podniková síť používá pro ověřování modul Enforcer, klientský počítač musí být nakonfigurován pro použití ověřování 802.1x. Klienta může konfigurovat uživatel nebo správce. Správce uživateli může nebo nemusí poskytnout oprávnění ke konfiguraci ověřování 802.1x. Proces ověřování 802.1x se skládá z těchto kroků: ■

Neověřený klient nebo žadatel třetích stran zašle informace o uživateli a informace o souladu do spravovaného přepínače sítě 802.1x.

Správa aplikace Symantec Network Access Control Konfigurace klienta pro ověřování 802.1x

■

Síťový přepínač informace předá do zařízení LAN Enforcer. Zařízení LAN Enforcer odešle informace o uživateli na ověřovací server k ověření. Ověřovacím serverem je server RADIUS.

■

Pokud klient neuspěje v ověřování na úrovni uživatele nebo není v souladu se zásadami integrity hostitele, modul Enforcer může zablokovat přístup k síti. Zařízení Enforcer umístí nevyhovující klientský počítač do karanténní sítě, kde může být v počítači provedena náprava.

■

Poté, co klient provede nápravu počítače a zajistí shodu, protokol 802.1x počítač ověří a udělí mu přístupová práva k síti.

Klient použije ke spolupráci se zařízením LAN Enforcer žadatele třetích stran nebo vestavěného žadatele. Tab. 6-2 popisuje typy možností, které lze nakonfigurovat pro ověřování 802.1x. Tab. 6-2

Možnosti ověřování 802.1x

Možnost

Popis

Žadatel třetích stran

Použije žadatele třetích stran o ověření v síti 802.1x. Zařízení LAN Enforcer spolupracuje při ověření uživatele se serverem RADIUS a s žadateli třetích stran o ověření v síti 802.1x. Žadatel o ověření v síti 802.1x zobrazí dotaz na informace o uživateli. Zařízení LAN Enforcer odešle informace o uživateli na server RADIUS pro ověření na úrovni uživatele. Klient odešle profil klienta a stav integrity hostitele do zařízení Enforcer, které pak může počítač prověřit.

Poznámka: Jestliže chcete použít klienta aplikace Symantec Network Access Control s žadatelem třetích stran, musí být nainstalován modul ochrany před síťovými hrozbami klienta aplikace Symantec Endpoint Protection.

143

144


Možnost

Popis

Transparentní režim

Používá klienta spuštěného jako žadatele o ověření v síti 802.1x. Tuto metodu použijete, pokud správce nechce pro ověření uživatele použít server RADIUS. Zařízení LAN Enforcer je spuštěno v transparentním režimu a slouží jako pseudoserver RADIUS. Transparentní režim znamená, že od vás žadatel nepožaduje informace o uživateli. Klient v transparentním režimu funguje jako žadatel o ověření v síti 802.1x. Na výzvu protokolu EAP přepínače odpoví klient profilem klienta a stavem integrity hostitele. Přepínač pak předá informace do zařízení LAN Enforcer, které slouží jako pseudoserver RADIUS. Zařízení LAN Enforcer ověří integritu hostitele a informace o profilu klienta z přepínače a může podle potřeby povolit, zablokovat nebo dynamicky přiřadit síť VLAN.

Poznámka: Chcete-li použít klienta jako žadatele o ověření v síti 802.1x, musíte odinstalovat nebo deaktivovat žadatele třetích stran o ověření v síti 802.1x v klientském počítači. Vestavěný žadatel

Použije vestavěného žadatele o ověření v síti 802.1x v klientském počítači. K vestavěným ověřovacím protokolům patří Smart Card, PEAP a TLS. Po povolení ověřování 802.1x je nutné určit, který protokol se bude používat.

Varování: Před konfigurací klienta pro ověřování 802.1x se obraťte na správce. Je nutné vědět, zda podniková síť používá jako ověřovací server server RADIUS. Pokud ověřování 802.1x nakonfigurujete nesprávně, může dojít k přerušení připojení k síti. Konfigurace klienta pro použití žadatele třetích stran

1


2

Vedle položky Network Access Control klepněte na položku Možnosti>Změnit nastavení > Nastavení ověřování 802.1x.


3

V dialogovém okně Nastavení řízení přístupu do sítě klepněte na položku Povolit ověřování 802.1x.

4

Klepněte na tlačítko OK. Bude rovněž nutné nastavit pravidlo brány firewall, které povolí přístup žadatele třetích stran o ověření 802.1x k síti. Viz „Přidání pravidla brány firewall“ na straně 132. Klienta lze nakonfigurovat pro použití vestavěného žadatele. Klienta povolíte pro ověřování 802.1x i jako žadatele o ověření v síti 802.1x.

Konfigurace klienta pro použití transparentního režimu nebo vestavěného žadatele

1


2

Vedle položky Network Access Control klepněte na položku Možnosti>Změnit nastavení > Nastavení ověřování 802.1x.

3

V dialogovém okně Nastavení řízení přístupu do sítě klepněte na položku Povolit ověřování 802.1x.

4

Klepněte na položku Použít klienta jako žadatele o ověření v síti 802.1x.

5


6

■

Chcete-li vybrat transparentní režim, klepněte na položku Použít transparentní režim Symantec.

■

Chcete-li nakonfigurovat vestavěného žadatele, klepněte na položku Povolí uživateli vybrat ověřovací protokol. Pak bude nutné vybrat ověřovací protokol pro síťové připojení.


Výběr ověřovacího protokolu

1

Na klientském počítači klepněte na položky Start > Nastavení > Síťová připojení a poté klepněte na položku Připojení k místní síti. Poznámka: Tyto kroky byly napsány pro počítače se systémem Windows XP. Vlastní postup se může lišit.

2

V dialogovém okně Stav připojení k místní síti klepněte na možnost Vlastnosti.

3

V dialogovém okně Připojení k místní síti – Vlastnosti klepněte na kartu Ověření.

4

Na kartě Ověření klepněte na rozevírací seznam Typ protokolu EAP a vyberte některý z následujících protokolů:

145

146


■

Karta Smart Card nebo jiný certifikát,

■

Chráněný protokol EAP,

■

Transparentní režim Symantec NAC

Ujistěte se, že je zaškrtnuta možnost Povolit ověřování 802.1x v této síti.

5


6


Opětovné ověření počítače Pokud počítač uspěl v kontrole integrity hostitele, ale blokuje jej modul Enforcer, bude potřeba provést jeho opětovné ověření. Za normálních okolností by nikdy nemělo být třeba počítač znovu ověřovat. Modul Enforcer může blokovat počítač, nastane-li jedna z následujících událostí: ■

Selhalo ověření uživatele v klientském počítači, jelikož bylo zadáno špatné uživatelské jméno nebo heslo.

■

Klientský počítač se nachází v nesprávné virtuální místní síti.

■

Klientský počítač nemá připojení k síti. Přerušení síťového připojení většinou nastane, protože přepínač mezi klientským počítačem a aplikací LAN Enforcer neověřil uživatelské jméno nebo heslo.

■

Jste přihlášeni ke klientskému počítači, který ověřil předchozího uživatele.

■

Selhalo ověření souladu klientského počítače.

Opětovné ověření počítače můžete provést pouze v případě, že jste jej vy nebo správce nakonfigurovali s vestavěným žadatelem. Poznámka: Správce možná nenastavil klienta, aby zobrazoval příkaz k opětovnému ověření. Opětovné ověření počítače

1

Klepněte pravým tlačítkem na ikonu v oznamovací oblasti.

2

Klepněte na položku Opakovat ověření.

3

V dialogovém okně Opakovat ověření zadejte své uživatelské jméno a heslo.

4


Správa aplikace Symantec Network Access Control Prohlížení protokolů aplikace Symantec Network Access Control

Prohlížení protokolů aplikace Symantec Network Access Control Klient Symantec Network Access Control používá ke sledování různých aspektů své práce a výsledků kontroly integrity hostitele tyto protokoly: Zabezpečení

Zaznamenává výsledky a stav kontrol integrity hostitele.

Systém

Zaznamenává všechny změny práce klienta, jako je připojení k serveru pro správu nebo aktualizace zásad zabezpečení klienta.

Používáte-li spravovaného klienta, oba protokoly mohou být pravidelně nahrávány na server. Správce může obsah těchto protokolů použít k analýze celkového stavu sítě. Data z těchto protokolů můžete exportovat. Prohlížení protokolů aplikace Symantec Network Access Control

1


2

Chcete-li zobrazit protokol zabezpečení, klepněte u položky Network Access Control na položku Možnosti > Zobrazit protokoly.

3

V Protokolu zabezpečení vyberte horní položku protokolu. V levém dolním rohu se zobrazí výsledky kontroly integrity hostitele. Pokud už byl klient nainstalovaný, proběhne přednastavený požadavek na bránu firewall. Pokud klient nainstalovaný nebyl, předdefinovaný požadavek na bránu firewall selže, ale oznámí se, jako by prošel.

4

Chcete-li zobrazit Systémový protokol, v dialogovém okně Protokol zabezpečení–protokolyaplikaceSymantecNetworkAccessControl klepněte na položku Zobrazit > Systémový protokol.

5

Klepněte na možnost Soubor > Konec. Viz „Informace o protokolech“ na straně 47.

147

148

Správa aplikace Symantec Network Access Control Prohlížení protokolů aplikace Symantec Network Access Control

Rejstřík

Symboly

C

64bitové počítače 17

červi 69 činnost v síti zobrazování 124

A adware 69 Aktivní ochrana před hrozbami povolení nebo zakázání 44 aktivní ochrana před hrozbami informace 12 povolení nebo zakázání 43 aktivní odpověď informace 117 aktivní prověřování spuštění 73 aktualizace definice 35–37 aplikace 120 povolení nebo blokování 121, 132 vyloučení z prověřování 87

D data s hodnocením 71 definice aktualizace 35–37 informace 62 definice virů aktualizace 35–37 informace 62 Download Insight data s hodnocením 71 interakce s funkcí Auto-Protect 42 odpověď na upozornění 27 přizpůsobení 79 správa zjištění 76

B

E

bezpečnostní rizika jak klient reaguje 63 jak klient reaguje na zjištění 71 konfigurace akcí pro zjišťování 82 vyloučení z prověřování 87 zjišťování klientem 62 blokovat provoz 118, 121 pravidla brány firewall 132 reakce na zprávy 29 blokovat útočící počítač 117 brána firewall aplikace 120 definice 104 kontrola stavu 128 nastavení 107 povolení nebo zakázání 44 správa 104

e-mail vyloučení souboru s příchozí poštou z prověřování 86

F funkce Auto-Protect Download Insight 42 e-mailoví klienti s programovým vybavením pro práci ve skupině 65 povolení nebo zakázání 42, 44 pro internetovou poštu 65 pro Lotus Notes 67 pro souborový systém 44 v aplikaci Microsoft Outlook 65

H hackerské nástroje 69 hrozby kombinované 69

150

Rejstřík

I ikona na hlavním panelu 38 informace 38 skrytí a zobrazení 39 ikona štítu 38 ikony na stránce Stav 15 visací zámek 41 štít 38 infikované soubory postup 23 Insight 71 IPS aktualizace definic 35–36 informace 104

K karanténa odesílání souborů do systému Symantec Security Response 92 odstraňování souborů 93 přesunutí souborů do 91 ruční umístění souboru do karantény 92 správa souborů 89 zobrazování infikovaných souborů 91 klienti jak chránit počítače 33 spravovaná vs. nespravovaná 39, 41 zakázání ochrany na 42 kombinované hrozby 69 Kontrola integrity hostitele spuštění 141 kontrola stavu 128

L licence reakce na zprávy o 30 LiveUpdate okamžité spuštění 36 přehled 35 příkaz 15 vytvoření plánu pro 37

M malware konfigurace akcí pro zjišťování 82 možnost Nápověda 13

možnosti nedostupné 40

N nastavení prevence narušení 137 nastavení provozu a režimu Skrytí 108 nástroj pro hodnocení zabezpečení 70 nespravovaní klienti informace 39 kontrola 41 správa ochrany 33

O ochrana aktualizace 35–37 jak 33 povolení nebo zakázání 42 ochrana na úrovni ovladače povolení 108 ochrana NetBIOS povolení 108 Ochrana před síťovými hrozbami povolení nebo zakázání 44 ochrana před síťovými hrozbami povolení nebo zakázání 43 správa 104 ochrana před síťovými hrozbami, informace 104 protokoly 48 ochrana před viry a spywarem informace 12 systémový protokol 48 ochrana před změnami konfigurace 46 povolení a zakázání 46 zakázání 43 ochranu před síťovými hrozbami informace 12 odeslání 93, 95 odstranění virů 24 opatření proti falšování adresy MAC povolení 108 opětovné ověření 146 Ověřování 802.1x informace 142 konfigurace 144

Rejstřík

P plánovaná prověřování více 73 vytvoření 72 povolit Aktivní ochrana před hrozbami 44 funkci Auto-Protect 44 Ochrana před síťovými hrozbami 44 povolit provoz 121 pravidla brány firewall 132 reakce na zprávy 29 počítače aktualizace ochrany na 35 jak chránit počítače 33 prověřování 56 pravidla brány firewall 127 export 133 import 133 informace 129 nastavení 131 povolení a zakázání 133 pořadí zpracování informace 126 změna 127 přidání 132 prevence narušení. Viz IPS jak funguje 135 oznámení pro 137 povolení nebo zakázání 137 správa 134 prevence narušení v prohlížeči informace 135 prevence narušení v síti informace 135 procházení webu v režimu stealth povolení 108 programy pro telefonické připojení 69 programy pro vzdálený přístup 70 programy rodičovského zámku 70 programy typu bot 69 programy typu Internet bot 69 protokol hrozeb 48 protokol ladění 49 protokol ochrany před změnami 49 protokol paketů 48 povolení 49–50 protokol provozu 48 protokol prověřování 47 umístění souboru do karantény 92

protokol rizik 47 umístění souboru do karantény 92 protokol zabezpečení 48 protokol řízení 48 protokoly export dat 51 export filtrovaných položek 51 formáty pro export 51–52 informace 47 povolení protokolu paketů 50 zobrazení 49 zpětné trasování položek 50 řízení přístupu do sítě 147 provoz blokování 118 povolení nebo blokování 121 zobrazování 124 provoz token ring povolení 108 prověřování informace 63 jak fungují 61 konfigurace výjimek 80 možnosti odložení 18 na požádání a při spuštění 75 nápravné akce 80 oznamovací akce 80 plánovaná 72 pozastavení 17 reakce na zjištění 24 součásti, které prověřují 61 správa 56 spuštění 16 typy 63 úpravy nastavení 80 uživatelem definované 80 vyloučení položek z 87 vysvětlení výsledků 23 zpoždění 17 prověřování e-mailů. Viz funkce Auto-Protect prověřování na požádání spuštění 16 vytvoření 75 prověřování pravým tlačítkem 16 prověřování při spuštění vytvoření 75

151

152

Rejstřík

R riziko odstranění z infikovaného souboru 26 rootkity 69 řešení potíží ze stránky Stav 13 řízení přístupu do sítě informace 13, 139 náprava počítače 142 vynucování 141

S samostatní klienti 39 sdílení souborů a tiskáren 115 sdílení tiskáren 115 server připojování k 38 spravovaní klienti 40 složky vyloučení z prověřování 87 služby systému Windows zobrazení 124 Smart DHCP 114 Smart DNS 114 Smart WINS 114 SONAR informace 12, 99 informace o zjišťování 99 protokoly 48 správa 97 změna nastavení 100 soubory jednání při zjištění 24 odesílání do systému Symantec Security Response 92 sdílení 115 vyloučení z prověřování 87 spravovaní klienti informace 39 kontrola 41 správa ochrany 33 spyware 70 stránka Prověřování hrozeb 14 stránka Stav 14 ikony výstrah 15 řešení potíží 13 stránka Změnit nastavení 15 Středisko zabezpečení systému Windows zobrazení stavu antivirového programu v 96

zobrazení stavu brány firewall v 97 Symantec Security Response odesílání souborů 92 Systémový protokol ochrana před viry a spywarem 48 systémový protokol aktivní ochrana před hrozbami 48 správa klientů 48

T trackware 70 trojští koně 69

U umístění virů do karantény 24 úplná prověřování spuštění 73 upozornění Download Insight 27 prevence narušení 137 reakce 21

V virus odstranění z infikovaného souboru 26 viry 69 jak klient reaguje 63 jak klient reaguje na zjištění 70 konfigurace akcí pro zjišťování 82 nerozpoznané 92 zjišťování klientem 62 vlastní prověřování spuštění 73 Vyhledávání Insight důvěryhodné intranetové stránky 79 výjimky informace 86–87 vytvoření 87 výjimky prověřování. Viz výjimky vynucování informace 141 výstrahy ikony 15 reakce 21 vyčistit viry 24, 70 všesměrové vysílání zobrazení 124

Rejstřík

W Webová doména vyloučení z prověřování 87

Z zakázat Aktivní ochrana před hrozbami 44 aktivní ochranu před hrozbami 43 funkce Auto-Protect 42 funkci Auto-Protect 44 Ochrana před síťovými hrozbami 44 ochranu před síťovými hrozbami 43 zavádějící aplikace 70 zobrazit stránku karantény 15 zprávy prevence narušení 137 reakce 21, 29–30

Ž žertovné programy 70

153

Průvodce pro klienty aplikace Symantec Endpoint Protection a Symantec Network Access Control

Recommend Documents