VirusScan Enterprise Version 8.0i
Transcription
VirusScan Enterprise Version 8.0i
VirusScan® Enterprise Version 8.0i Kurzreferenzkarte VirusScan Enterprise 8.0 vereint Elemente zum Schutz vor Eindringversuchen sowie Firewall-Technologie mit leistungsstarken Scan-Funktionen zum Schutz vor Viren, Würmern, Trojanern und potentiellen unerwünschten Codes und Programmen. VirusScan-Konsole Menüleiste — Mit Hilfe der Menüpunkte können Sie Tasks erstellen, Eigenschaften konfigurieren und auf zusätzliche Informationen zugreifen. 1 Task — Hier können Sie Tasks, wie etwa das Suchen nach Bedrohungen, erstellen und konfigurieren oder die DAT-Dateien aktualisieren. Bearbeiten — Hier können Sie den ausgewählten Task kopieren, einfügen, löschen oder umbenennen. Ansicht — Hier können Sie die Symbolleiste und/oder die Statusleiste anzeigen und die Anzeige aktualisieren. Extras — Hier können Sie die Optionen der Benutzeroberfläche festlegen, die Sicherheitseinstellungen für die Benutzeroberfläche sperren oder entsperren, den Fehlerberichtsdienst aktivieren, Warnungen konfigurieren, auf die Ereignisanzeige zugreifen, eine Remote-Konsole öffnen, die Repository-Liste importieren oder bearbeiten und die DAT-Dateien per Rollback auf eine frühere Version zurückführen. Hilfe — Hier können Sie auf Hilfethemen, die Virusinformationsbibliothek, die Website zum Senden von Beispielen sowie auf die Website des technischen Supports zugreifen. Des Weiteren haben Sie die Möglichkeit, die Produktinstallation zu reparieren und im Info-Dialogfeld Copyright-Informationen sowie Angaben zur Version des Produkts, der Lizenz, der Definitionsdateien, des Scan-Moduls, des Zusatztreibers und des Patches einzusehen. 1 2 3 4 Symbolleiste — Über die hier enthaltenen Symbole können Sie auf die am häufigsten verwendeten Funktionen zugreifen. Dazu gehören: eine Verbindung mit einem Computer herstellen, einen neuen Task für das Scannen auf Anforderung erstellen, die Eigenschaften des ausgewählten Tasks anzeigen, den ausgewählten Task starten oder anhalten, die Ereignisanzeige öffnen oder die Warnoptionen konfigurieren. 2 mcafee.com Taskliste — Zeigt die Standard-Tasks an und alle neuen Tasks, die Sie erstellen, sowie den Status und das letzte Ergebnis der einzelnen Tasks. 3 4 Statusleiste — Zeigt den Status der aktuellen Aktivität an. Vorgehen nach der Installation VirusScan Enterprise Wir empfehlen, dass Sie gleich im Anschluss an die Installation von VirusScan Enterprise (also vor der ersten Verwendung des Produkts) folgendermaßen vorgehen: Zugriffsschutz 1. Sicherheitsfunktionen einrichten Öffnen Sie zur Konfiguration des Zugriffsschutzes die entsprechenden Eigenschaftsseiten in der VirusScan-Konsole. Richten Sie die Anzeige und Kennwortsicherheit für VirusScan Enterprise-Funktionen ein. Wählen Sie zur Konfiguration von Sicherheitsoptionen im Menü Extras der VirusScan-Konsole die Option Benutzeroberflächenoptionen aus. Hierdurch wird der Zugriff auf eingehende und ausgehende Ports sowie auf Dateien, Freigaben und Ordner beschränkt. Tipp 2. VirusScan Enterprise aktualisieren Achten Sie auf der Registerkarte Port-Blockierung auf Folgendes: Erstellen und konfigurieren Sie geplante AutoUpdate-Tasks, um Ihr Produkt, die DAT-Dateien, das Scan-Modul und die Patches auf dem neuesten Stand zu halten. Diese Tasks geben an, welche Objekte zu aktualisieren und wann Updates durchzuführen sind, und welche Programmdateien nach dem Update ausgeführt werden müssen. Außerdem können Sie die RepositoryListe konfigurieren, um die Download-Sites anzugeben, von denen die Updates heruntergeladen werden. Öffnen Sie zum Konfigurieren eines AutoUpdate-Tasks die betreffenden Eigenschaftsseiten in der VirusScan-Konsole. Sie erstellen einen neuen Update-Task, indem Sie im Menü Task der VirusScan-Konsole die Option Neuer Aktualisierungs-Task wählen. Tipp Tipp Wählen Sie dazu Info im Menü Hilfe der VirusScan-Konsole. 3. Eindringversuche verhindern Konfigurieren Sie folgende Features, um Eindringversuche zu unterbinden: Pufferüberlaufschutz Hierdurch wird verhindert, dass zu Angriffszwecken ausgenutzte Überläufe auf Ihrem Computer Code ausführen. Der Pufferüberlaufschutz erkennt Code, dessen Ausführung von Daten in einem Heap oder Stapel aus beginnt, und verhindert die weitere Ausführung. Das Schreiben von Daten auf den Heap oder Stapel wird durch diese Funktion nicht verhindert. Verlassen Sie sich jedoch nicht darauf, dass die ausgenutzte Anwendung anschließend noch stabil ist, selbst wenn der Code durch den Pufferüberlaufschutz an der Ausführung gehindert wird. Öffnen Sie zur Konfiguration des Pufferüberlaufschutzes die entsprechenden Eigenschaftsseiten in der VirusScan-Konsole. Tipp VirusScan Enterprise bietet für ca. 30 der am häufigsten verwendeten und zu Angriffszwecken ausgenutzten Softwareanwendungen und Microsoft Windows-Diensten Schutz vor Pufferüberläufen. Die geschützten Anwendungen sind in einer separaten Datei mit Definitionen für den Pufferüberlaufschutz (DAT-Datei) definiert, die mit der Virusdefinitionsdatei während regulärer Updates heruntergeladen werden kann. Sorgen Sie dafür, dass der Zugriff auf Ihren E-Mail-Client nicht blockiert ist. Beispielsweise liegt eine standardmäßige PortBlockierungsregel vor, durch die Massen-Mailing-Würmer am Senden von E-Mails gehindert werden. Diese Regel ist so konfiguriert, dass ausgehende Vorgänge nicht auf Port 25 im Netzwerk zugreifen können. Nehmen Sie Ihren E-Mail-Client in die Liste der Ausgenommenen Vorgänge auf, so dass der Zugriff dafür nicht blockiert wird. Stellen Sie sicher, dass der Zugriff auf die von Ihnen verwendeten IRC-Kommunikationsvorgänge nicht blockiert wird. Beispielsweise gibt es zwei standardmäßige Port-Blockierungsregeln, durch die der eingehende und ausgehende Zugriff auf die Ports 6666 bis 6669 blockiert wird. Nehmen Sie die verwendeten IRC-Vorgänge in die Liste der Ausgenommenen Vorgänge auf, so dass der Zugriff dafür nicht blockiert wird. Auf der Registerkarte Datei-, Freigabe- und Ordnerschutz sind viele der vorkonfigurierten Regeln auf Warnmodus gesetzt. Wir empfehlen, dass Sie diese Regeln für kurze Zeit im Warnmodus belassen und dann die Protokolldatei zu Rate ziehen, um herauszufinden, ob in einen der Blockierungsmodi gewechselt werden muss. Sie konfigurieren die AutoUpdate-Repository-Liste, indem Sie im Menü Extras der VirusScan-Konsole die Option AutoUpdate-Repository-Liste bearbeiten wählen. Öffnen Sie das Dialogfeld Info, um Angaben zur Version des Produkts, der Lizenz, der Definitionsdateien, des Scan-Moduls, des Zusatztreibers und des Patches einzusehen. VirusScan Enterprise enthält eine Reihe vorkonfigurierter Regeln für Port-Blockierung und Datei-, Freigabe- und Ordnerschutz. Sie sollten sich jede dieser Regeln unbedingt ansehen, um sicherzustellen, dass dadurch keine Ports, Vorgänge, Programme, Dateien, Freigaben oder Ordner eingeschränkt werden, die Sie für Ihre Geschäftsabläufe benötigen. Richtlinie für unerwünschte Programme Mit dieser Funktion erkennen und bekämpfen Sie unerwünschte Programme, wie Spyware, Adware, Dialer, Scherzviren usw. Öffnen Sie zur Konfiguration der Richtlinie für unerwünschte Programme die entsprechenden Eigenschaftsseiten in der VirusScan-Konsole. Die von Ihnen konfigurierte Richtlinie wird standardmäßig in allen Eigenschaftsseiten des Scanners aktiviert. Rufen Sie nach der Konfiguration der Richtlinie für unerwünschte Programme die jeweiligen Eigenschaftsseiten des Scanners auf, und geben Sie die Aktionen an, die der Scanner beim Erkennen eines unerwünschten Programms durchführen soll. Tipp Sie können ganze Programmkategorien oder aber bestimmte Dateien dieser Kategorien aus einer vordefinierten Liste auswählen. Die vordefinierte Liste stammt aus der aktuellen DAT-Datei; die am erkannten Programm durchführbaren Aktionen werden also (wie auch im Fall von Viren) durch die DAT-Datei bestimmt. Wenn Sie beispielsweise ein Programm erkennen und Säubern als primäre Aktion festgelegt wurde, versucht die DAT-Datei, das Programm mit Hilfe der Informationen in der DAT-Datei zu entfernen. Wenn die für das Säubern des Programms erforderlichen Informationen nicht in der DAT-Datei enthalten sind, schlägt die primäre Aktion fehl und die sekundäre Aktion wird durchgeführt. Wenn Sie als Aktion Löschen auswählen, wird nur die als unerwünscht definierte Datei gelöscht, während geänderte Registrierungsschlüssel intakt belassen werden. Vorgehen nach der Installation VirusScan Enterprise (Fortsetzung) 4. Eindringversuche erkennen Tasks für das Scannen auf Anforderung Konfigurieren Sie die folgenden Features zur Erkennung und Bekämpfung von Eindringversuchen: Hier können Sie geplante Tasks für das Scannen von Dateien und Vorgängen sowie für Maßnahmen bei der Erkennung von Viren erstellen und konfigurieren. Bei-Zugriff-Scanner Konfigurieren Sie den Bei-Zugriff-Scanner, um Dateien und Vorgänge fortlaufend und in Echtzeit zu scannen, während darauf zugegriffen wird, und bei Erkennung von Viren Maßnahmen zu ergreifen. Die nach-Vorgang-Scan-Fähigkeiten ermöglichen Ihnen, bestimmte Vorgänge als standardmäßige oder Vorgänge mit geringem oder hohem Risiko zu klassifizieren und sie dann entsprechend der angegebenen Konfiguration für den jeweiligen Typ zu scannen. Bei der Konfiguration von Tasks für das Scannen auf Anforderung können Sie auch die Optionen auf der Registerkarte Unerwünschte Programme festlegen, um anzugeben, wie bei Erkennung eines unerwünschten Programms durch das Scannen auf Anforderung vorgegangen werden soll. Öffnen Sie zum Konfigurieren eines Tasks für das Scannen auf Anforderung die entsprechenden Eigenschaftsseiten in der VirusScan-Konsole. Beachten Sie folgende Richtlinien, um zu bestimmen, welchem Vorgang welches Risiko zugeordnet werden soll: Tipp Tipp Bestimmen Sie, warum unterschiedliche Scan-Richtlinien gelten sollen. Beim Abwägen der Leistungsaspekte gegen das Risiko lauten die beiden häufigsten Überlegungen: 1) Bestimmte Vorgänge sollen gründlicher gescannt werden, als dies bei den standardmäßigen Scan-Richtlinien der Fall ist, und 2) Bestimmte Vorgänge sollen je nach Risiko und Leistungsbeeinträchtigung durch das Scannen weniger gründlich gescannt werden, als dies die standardmäßige Scan-Richtlinie vorsieht. Dies trifft beispielsweise auf BackupAnwendungen zu. Entscheiden Sie, welche Vorgänge ein geringes und welche Vorgänge ein hohes Risiko darstellen. Vorgänge mit geringem Risiko haben normalerweise weniger Möglichkeiten, einen Virus zu verbreiten bzw. eine Virusinfektion hervorzurufen. Das können Vorgänge sein, die auf viele Dateien zugreifen, aber auf eine Weise, dass nur ein geringes Risiko der Virusverbreitung besteht. Dazu gehören beispielsweise Sicherungsanwendungen und Kompilierungsvorgänge. Vorgänge mit hohem Risiko haben normalerweise mehr Möglichkeiten, einen Virus zu verbreiten bzw. eine Virusinfektion hervorzurufen. Beispielsweise Vorgänge, die andere Vorgänge starten, wie der Microsoft Windows Explorer oder die Eingabeaufforderung. Vorgänge, die Skripts oder Makros ausführen, wie WINWORD oder CSCRIPT. Vorgänge die Daten aus dem Internet herunterladen, wie Browser, Instant Messengers und E-Mail-Clients. Standardvorgänge sind alle Vorgänge, die nicht als Vorgänge mit niedrigem oder hohem Risiko definiert sind. Beim Konfigurieren des Bei-Zugriff-Scanners können Sie auch die Optionen auf den folgenden Registerkarten festlegen: Über ScriptScan können Sie auf Java Script- und VBScript-Skripts prüfen, die vom Windows Scripting Host ausgeführt werden. Ein Beispiel hierfür sind Webseiten-Skripts von Internet Explorer. Über Blockieren können Sie für einen festgelegten Zeitraum Verbindungen von Remote-Computern blockieren, die in einem gemeinsamen Ordner infizierte Dateien aufweisen. Unerwünschte Programme ermöglicht Ihnen anzugeben, welche Maßnahmen ergriffen werden sollen, wenn der Bei-Zugriff-Scanner ein unerwünschtes Programm erkennt. Öffnen Sie zur Konfiguration des Bei-Zugriff-Scanners die entsprechenden Eigenschaftsseiten in der VirusScan-Konsole. Um einen neuen Task für das Scannen auf Anforderung zu erstellen, wählen Sie im Menü Task der VirusScan-Konsole die Option Neuer Anforderungsscan-Task aus. Sie können einen sofortigen Scan-Task durchführen, indem Sie in der Taskleiste auf das Vshield-Symbol klicken und Scannen auf Anforderung auswählen. E-Mail-Scanner Sie können den E-Mail-Empfangsscanner und den E-MailAnforderungsscanner so konfigurieren, dass Lotus Notes-E-Mail-Clients oder MAPI-basierte E-Mail-Clients, wie Microsoft Outlook, gescannt und bei Virenerkennung Maßnahmen ergriffen werden. Der E-MailEmpfangsscanner scannt E-Mails bei deren Eingang, während der E-MailAnforderungsscanner E-Mails auf Anforderung aus dem E-Mail-Client heraus scannt. Öffnen Sie zur Konfiguration des E-Mail-Empfangsscanners die entsprechenden Eigenschaftsseiten in der VirusScan-Konsole. Öffnen Sie zur Konfiguration des E-Mail-Anforderungsscanners die entsprechenden Eigenschaftsseiten im E-Mail-Client. Bei der Konfiguration des E-Mail-Empfangsscanners oder des E-MailAnforderungsscanners können Sie auch die Optionen auf der Registerkarte Unerwünschte Programme festlegen, um anzugeben, welche Maßnahmen ergriffen werden sollen, wenn ein unerwünschtes Programm vom E-Mail-Scanner erkannt wird. Warnungen Hier können Sie festlegen, wie und wann Sie über eine Virenerkennung benachrichtigt werden wollen. Wählen Sie zur Konfiguration von Warnungen diese Option im Menü Extras in der VirusScan-Konsole aus. Informationsquellen Produktdokumentation Die Produktdokumentation mit den Versionshinweisen und Informationen zur Installation und Konfiguration steht im PDF-Format auf der Produkt-CD sowie auf der McAfee-Download-Website zur Verfügung. Links in der VirusScan-Konsole Im Menü Hilfe der VirusScan-Konsole finden Sie Verknüpfungen zu nützlichen Ressourcen: Hilfethemen Wählen Sie im Menü Hilfe die Option Hilfethemen, um die Online-Hilfethemen für das Produkt zu öffnen. Virusinformationsbibliothek Wählen Sie im Menü Hilfe die Option Virusinformationen, um auf die AVERT-Virusinformationsbibliothek von McAfee zuzugreifen. Auf dieser Website sind genaue Informationen über den Ursprungsort von Viren, die Art und Weise, in der sie das System infizieren, und Vorgehensweisen zum Entfernen der Viren gespeichert. Neben echten Viren enthält die Virusinformationsbibliothek auch nützliche Informationen zu Scherzviren, beispielweise Virenwarnungen, die per E-Mail eingehen. Zwei besonders bekannte Scherzviren sind A Virtual Card For You und SULFNBK, aber natürlich gibt es unzählige weitere Viren dieser Art. Wenn Sie das nächste Mal eine gut gemeinte Virenwarnung erhalten, sollten Sie, bevor Sie die Warnung an Ihren gesamten Freundeskreis weiterleiten, die Authentizität des Virus auf unserer Scherzvirenseite prüfen. Senden von Beispielen Wählen Sie Beispiel senden im Menü Hilfe, um auf die AVERT WebImmune-Website von McAfee zuzugreifen. Wenn Sie eine verdächtige Datei haben, von der Sie annehmen, dass sie einen Virus enthält, oder das Verhalten des Systems auf eine Infektion hinweist, empfiehlt Ihnen McAfee, ein Beispiel zur Analyse an das Anti-Virus-Forschungsteam zu senden. Die Einsendung eines Virus zieht nicht nur eine Analyse, sondern ggf. auch eine Virenbeseitigung nach sich. Technischer Support Wählen Sie im Menü Hilfe die Option Technischer Support, um auf die PrimeSupport KnowledgeCenter Service Portal-Website von McAfee zuzugreifen. Durchsuchen Sie die Site, und sehen Sie sich die häufig gestellten Fragen (FAQs) sowie die Dokumentation an. Sie können auch eine geführte Suche in der Wissensdatenbank durchführen. Info Wählen Sie im Menü Hilfe die Option Info, um Angaben zur Version des Produkts, der Lizenz, der Definitionsdateien, des Scan-Moduls, des Zusatztreibers und des Patches einzusehen. Copyright © 2004 Networks Associates Technology, Inc. Alle Rechte vorbehalten. Dokumentversion 02-DE McAfee, International B.V. | Gatwickstraat 25 | 1043 GL Amsterdam | Netherlands | Phone.: +31 20 586 61 00 | Fax: +31 20 586 61 01 | mcafee.com