Podręcznik klienta Symantec™ Endpoint Protection i ...origin-symwisedownload.symantec.com/.../en_US/Client_Guide_SEP12.1.pdf · umowa licencyjna dołączona do oprogramowania nie

Podręcznik klientaSymantec™ EndpointProtection i SymantecNetwork Access Control

Podręcznik klienta Symantec Endpoint Protection iSymantec Network Access Control

Oprogramowanie opisane w niniejszym podręczniku jest dostarczane w ramach umowylicencyjnej i może być używane jedynie zgodnie z postanowieniami tej umowy.

Wersja dokumentacji 12.01.00.00

Informacje prawneCopyright © 2011 Symantec Corporation. Wszystkie prawa zastrzeżone.

Nazwa i logo Symantec oraz nazwy Bloodhound, Confidence Online, Digital ImmuneSystem,LiveUpdate, Norton, Sygate, i TruScan to znaki towarowe lub zastrzeżone znakitowarowe firmy Symantec Corporation lub jej oddziałów w USA oraz innych krajach. Innenazwy mogą być znakami towarowymi odpowiednich właścicieli.

Niniejszy produkt Symantec może zawierać oprogramowanie innych firm, które musi byćjednoznacznie określone jako takie („programy innych firm”). Niektóre z programów innychfirm są dostępne jako oprogramowanie o jawnym kodzie źródłowym lub bezpłatne. Niniejszaumowa licencyjna dołączona do oprogramowania nie powoduje zmiany jakichkolwiek prawlub zobowiązań wynikających z licencji na program o jawnym kodzie źródłowym lubbezpłatny. Dodatkowe informacje na temat programów innych firm są zawarte wzastrzeżeniach prawnych innych firm w załączniku do niniejszej dokumentacji lub w plikuReadMe dotyczącym praw własności intelektualnej innych firm, dołączonym do niniejszegoproduktu Symantec.

Produkt opisywany w niniejszym dokumencie jest dystrybuowany zgodnie z licencjamiograniczającymi jego użycie, kopiowanie, dystrybucję i dekompilację/odtwarzanie koduźródłowego. Żadna część tego dokumentu nie może być powielana w jakiejkolwiek formie iw jakikolwiek sposób bez uprzedniej pisemnej zgody Symantec Corporation i jegolicencjodawców, jeśli tacy istnieją.

NINIEJSZA DOKUMENTACJA JEST DOSTARCZANA W TAKIM STANIE, W JAKIM SIĘZNAJDUJE W CHWILI UDOSTĘPNIENIA. WYŁĄCZA SIĘ WSZELKIE GWARANCJE WYRAŹNELUB DOROZUMIANE, OŚWIADCZENIA I ZAPEWNIENIA, W TYM DOROZUMIANEGWARANCJE DOTYCZĄCE PRZYDATNOŚCI HANDLOWEJ I UŻYTECZNOŚCI DOOKREŚLONEGO CELU, Z WYJĄTKIEM ZAKRESU, W KTÓRYM TAKIE WYŁĄCZENIA SĄUZNAWANE ZA PRAWNIE NIEWAŻNE. W ŻADNYM WYPADKU FIRMA SYMANTECCORPORATION NIE PONOSI ODPOWIEDZIALNOŚCI ZA JAKIEKOLWIEK SZKODY UBOCZNELUB WTÓRNE ZWIĄZANE Z DOSTARCZENIEM LUB WYKORZYSTANIEM NINIEJSZEJDOKUMENTACJI. INFORMACJE ZAWARTE W NINIEJSZEJ DOKUMENTACJI MOGĄ ZOSTAĆZMIENIONE BEZ UPRZEDZENIA.

Licencjonowane oprogramowanie i dokumentacja są uznawane za komercyjneoprogramowanie komputerowe zgodnie z przepisami FAR 12.212 i podlegają prawomograniczonym, zgodnie z FAR, sekcja 52.227-19 „Commercial Computer Software – RestrictedRights” i DFARS 227.7202 „Rights in Commercial Computer Software or CommercialComputer Software Documentation”, oraz wszelkim późniejszym przepisom. Jakiekolwiek

wykorzystywanie, modyfikowanie, dystrybuowanie kopii, prezentowanie, wyświetlanie lubujawnianie oprogramowania i dokumentacji objętych licencją przez rząd USA musi sięodbywać zgodnie z postanowieniami niniejszej umowy.

Symantec Corporation350 Ellis StreetMountain View, CA 94043

http://www.symantec.pl

http://www.symantec.pl

Pomoc technicznaPomoc techniczna firmy Symantec prowadzi centra obsługi na całym świecie.Podstawowym zadaniem pomocy technicznej jest odpowiadanie na określonepytania dotyczące funkcji produktu oraz jego działania. Grupa pomocy technicznejopracowuje również zawartość naszej internetowej bazy informacyjnej. Grupapomocy technicznej współpracuje z innymi działami firmy Symantec, aby wmożliwie krótkim czasie odpowiadać na pytania użytkowników. Grupa pomocytechnicznej współpracuje na przykład z projektantami produktów oraz z centrumSymantec Security Response, aby udostępniać obsługę alertów i aktualizacjedefinicji wirusów.

Oferta firmy Symantec w zakresie pomocy technicznej obejmuje:

■ Zróżnicowany zakres opcji pomocy technicznej umożliwiających dobraniepoziomu usług do rozmiaru organizacji.

■ Telefoniczną i internetową pomoc techniczną zapewniającą szybką reakcję idostęp do najnowszych informacji.

■ Ubezpieczenie aktualizacyjne, zapewniające uaktualnienia oprogramowania.

■ Płatną globalną pomoc techniczną dostępną w godzinach pracy w regionie lub24 godziny na dobę, 7 dni w tygodniu.

■ Oferty usług typu Premium obejmujące usługi zarządzania kontami.

Informacje na temat oferowanej przez firmę Symantec pomocy technicznej możnaznaleźć w naszej witrynie internetowej pod następującym adresem URL:

www.symantec.com/pl/pl/business/support/

Wszystkie usługi pomocy technicznej będą świadczone zgodnie z odpowiedniąumową o pomocy technicznej i aktualnymi zasadami pomocy technicznej dlaprzedsiębiorstw.

Kontakt z pomocą technicznąKlienci posiadający aktualną umowę pomocy technicznej mogą uzyskać dostępdo informacji pomocy technicznej pod następującym adresem URL:


Przed skontaktowaniem się z pomocą techniczną należy się upewnić, że spełnionesą wymagania systemowe podane w dokumentacji produktu. Ponadto komputer,na którym wystąpił problem powinien być włączony, aby w razie potrzeby możnabyło odtworzyć problem.

Kontaktując się z pomocą techniczną, należy mieć przygotowane następująceinformacje:



■ numer wersji produktu,

■ informacje o sprzęcie,

■ ilość dostępnej pamięci i miejsca na dysku oraz informacje o karcie sieciowej,

■ system operacyjny,

■ numer wersji i poprawki do programu,

■ topologia sieci,

■ informacje o routerze, bramie i adresie IP.

■ Opis problemu:

■ komunikaty o błędach i pliki dziennika,

■ próby rozwiązania problemu podjęte przed skontaktowaniem się z firmąSymantec,

■ ostatnie zmiany w konfiguracji oprogramowania i sieci.

Licencja i rejestracjaJeśli produkt firmy Symantec wymaga rejestracji lub klucza licencji, należyodwiedzić stronę internetową pomocy technicznej pod następującym adresemURL:


Centrum obsługi klientówInformacje na temat centrum obsługi klientów są dostępne pod następującymadresem URL:


Centrum obsługi klientów służy pomocą w następujących kwestiachnietechnicznych, takich jak:

■ pytania dotyczące licencji lub numerów seryjnych produktów,

■ aktualizacje rejestracji produktów, takie jak zmiana adresu lub nazwy,

■ ogólne informacje o produkcie (funkcje, dostępne wersje językowe, miejscowidostawcy),

■ najnowsze informacje o aktualizacjach i uaktualnieniach produktów,

■ informacje dotyczące umów o zabezpieczeniu aktualizacji i pomocy technicznej,

■ informacje o programach Symantec Buying Programs,

■ porady dotyczące opcji pomocy technicznej firmy Symantec,



■ pytania inne niż techniczne, dotyczące sprzedaży produktów,

■ kwestie związane z dyskami CD-ROM, dyskami DVD lub podręcznikami.

Informacje na temat umowy dotyczącej pomocy technicznejW celu uzyskania informacji o istniejącej umowie dotyczącej pomocy technicznejnależy kontaktować się z firmą Symantec przy użyciu następujących adresówregionalnych zespołów administrujących tą umową:

[email protected] Pacyficzna i Japonia

[email protected], Bliski Wschód i Afryka

[email protected] Północna i Ameryka Łacińska

Dodatkowe usługi dla przedsiębiorstwFirma Symantec oferuje pełen zestaw usług umożliwiających zmaksymalizowaniekorzyści z inwestycji w produkty firmy Symantec oraz poszerzanie wiedzy,umiejętności i ogólnego zrozumienia odpowiednich zagadnień w celu aktywnegozarządzania zabezpieczeniami firmy przed zagrożeniami.

Dostępne usługi dla przedsiębiorstw obejmują:

Usługi Managed Services eliminują konieczność zarządzania urządzeniamizabezpieczającymi i zdarzeniami dotyczącymi zabezpieczeń oraz ichmonitorowania, zapewniając szybką odpowiedź na rzeczywiste zagrożenia.

Usługi Managed Services

Usługi doradcze firmy Symantec obejmują analizy techniczne firmy Symanteci jej zaufanych partnerów na miejscu u klienta. W ramach usług doradczychfirmy Symantec oferowane są różne skonfigurowane fabrycznie iniestandardowe opcje umożliwiające ocenianie, projektowanie, wdrażanie,monitorowanie i zarządzanie, pozwalające na uzyskanie i utrzymywanieintegralności i dostępności zasobów informatycznych przedsiębiorstwa.

Usługi doradcze

Usługi szkoleniowe to pełen zestaw szkoleń technicznych i dotyczącychbezpieczeństwa, certyfikowanie w dziedzinie zabezpieczeń i programykomunikacyjne budujące świadomość zagrożeń.

Usługi szkoleniowe

Więcej informacji na temat usług dla przedsiębiorstw można uzyskać w naszejwitrynie internetowej pod następującym adresem URL:

www.symantec.com/business/services/

Z indeksu w witrynie należy wybrać kraj lub język.

mailto:[email protected]



www.symantec.com/business/services/

Pomoc techniczna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Rozdział 1 Rozpoczęcie pracy z klientem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Klient Symantec Endpoint Protection — informacje ... . . . . . . . . . . . . . . . . . . . . . . . . . 11Klient Symantec Network Access Control — informacje ... . . . . . . . . . . . . . . . . . . . . 13Rozpoczęcie pracy na stronie Stan .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Ikony alertów na stronie Stan — informacje ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Natychmiastowe skanowanie komputera .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Wstrzymywanie i odraczanie skanowań . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Dodatkowe źródła informacji .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Rozdział 2 Reagowanie na alerty i powiadomienia . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Typy alertów i powiadomień . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Wyniki skanowania — informacje ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Reagowanie na wykrycie wirusa lub zagrożenia ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Usuwanie wirusa lub zagrożenia z zainfekowanego pliku —informacje ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Reagowanie na komunikaty funkcji Download Insight z monitem ozezwolenie lub zablokowanie pliku, który próbuje pobraćużytkownik .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Reagowanie na komunikaty z monitem o zezwolenie na aplikację lubjej zablokowanie ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Komunikaty o wygaśnięciu ważności licencji — informacje ... . . . . . . . . . . . . . . . . 30Reagowanie na komunikaty dotyczące aktualizowania

oprogramowania klienckiego .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Rozdział 3 Zapewnianie ochrony komputerowi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Zarządzanie systemem ochrony komputera .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Aktualizowanie systemu ochrony komputera .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Natychmiastowa aktualizacja składników oprogramowania ... . . . . . . . . 37Aktualizacja składników oprogramowania według

harmonogramu .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Sposób określania, czy klient jest połączony i chroniony .... . . . . . . . . . . . . . . . . . 38

Ukrywanie i wyświetlanie ikony obszaru powiadomień . . . . . . . . . . . . . . . . . 40

Spis treści

Klienci zarządzani i klienci niezarządzani — informacje ... . . . . . . . . . . . . . . . . . . . 40Sprawdzanie, czy klient jest zarządzany, czy niezarządzany .... . . . . . . . . . . . . 42Włączanie i wyłączanie systemu ochrony — informacje ... . . . . . . . . . . . . . . . . . . . . 43Włączanie lub wyłączanie ochrony na komputerze klienckim .... . . . . . . . . . . . 45Włączanie lub wyłączanie funkcji Automatyczna ochrona .... . . . . . . . . . . . . . . . 46Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed

naruszeniem integralności ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Dzienniki — informacje ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Wyświetlanie dzienników .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Włączanie dziennika pakietów .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Śledzenie wsteczne zarejestrowanych zdarzeń do ich źródła .... . . . . . . . . . . . . 52Eksportowanie danych dziennika .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Rozdział 4 Zarządzanie skanowaniami . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Zarządzanie skanowaniami na komputerze .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Sposób działania skanowań w poszukiwaniu wirusów i programów

typu spyware .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Typy skanowań — informacje ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Typy funkcji Automatyczna ochrona — informacje ... . . . . . . . . . . . . . . . . . . . . 68Wirusy i zagrożenia bezpieczeństwa — informacje ... . . . . . . . . . . . . . . . . . . . . 71Sposób reakcji skanowań na wykrycie wirusa lub

zagrożenia ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Sposób stosowania danych o reputacji w celu podejmowania

decyzji dotyczących plików przez program SymantecEndpoint Protection .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Planowanie skanowania zdefiniowanego przez użytkownika .... . . . . . . . . . . . . 75Planowanie uruchamiania skanowania na żądanie lub przy

uruchomieniu komputera .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Zarządzanie wykryciami funkcji Download Insight na

komputerze .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Dostosowanie ustawień funkcji Download Insight ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i

programów typu spyware .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Konfigurowanie działań podejmowanych w przypadku wykryć

destrukcyjnego oprogramowania i zagrożeńbezpieczeństwa .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Wykluczanie elementów ze skanowań — informacje ... . . . . . . . . . . . . . . . . . . . . . . . . 90Wykluczanie elementów ze skanowań . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Zarządzanie plikami poddanymi kwarantannie na komputerze

klienckim .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Poddawanie plików kwarantannie — informacje ... . . . . . . . . . . . . . . . . . . . . . . . . 95

Spis treści8

Przenoszenie pliku do obszaru kwarantanny za pomocą dziennikazagrożeń lub dziennika skanowania ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

Ręczne przesyłanie potencjalnie zainfekowanych plików docentrum Symantec Security Response w celu poddania ichanalizie ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

Automatyczne usuwanie plików z obszaru kwarantanny .... . . . . . . . . . . . 97Przesyłanie informacji o wykryciach do centrum Symantec Security

Response — informacje ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Przesyłanie informacji o wykryciach do centrum Symantec Security

Response .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Klient i Centrum zabezpieczeń systemu Windows — informacje ... . . . . . . . 101Zarządzanie funkcją SONAR na komputerze klienckim .... . . . . . . . . . . . . . . . . . . 102

Funkcja SONAR — informacje ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104Pliki i aplikacje wykrywane przez funkcję SONAR —

informacje ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104Zmiana ustawień funkcji SONAR .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Rozdział 5 Zarządzanie zaporą i zapobieganiemwłamaniom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Ochrona przed zagrożeniami sieciowymi — informacje ... . . . . . . . . . . . . . . . . . . . 108Zarządzanie zaporą . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Sposób działania zapory .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Konfigurowanie ustawień zapory .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Włączanie ustawień dotyczących ruchu i trybu ukrywaniaprzeglądania Internetu .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Automatyczne zezwalanie na komunikację niezbędnych usługsieciowych .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

Włączanie udostępniania plików i drukarek .... . . . . . . . . . . . . . . . . . . . . . . . . . . . 120Blokowanie i odblokowywanie atakującego komputera .... . . . . . . . . . . . . 122Blokowanie ruchu .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Zezwalanie na aplikacje lub ich blokowanie — informacje ... . . . . . . . . . . . . . . . . 125Zezwalanie na dostęp lub blokowanie dostępu do sieci

aplikacjom .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Konfigurowanie ustawień specyficznych dla aplikacji .. . . . . . . . . . . . . . . . 127Usuwanie ograniczeń dotyczących aplikacji .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Wyświetlanie operacji sieciowych .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Reguły zapory klienckiej — informacje ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131Kolejność przetwarzania reguł zapory, ustawień zapory i ustawień

systemu zapobiegania włamaniom — informacje ... . . . . . . . . . . . . . . . . . . . . . 131Zmiana kolejności reguł zapory .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Jak zapora stosuje stanową analizę pakietów .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Elementy reguły zapory .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

9Spis treści

Konfigurowanie reguł zapory .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137Dodawanie reguły zapory .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138Eksportowanie i importowanie reguł zapory .... . . . . . . . . . . . . . . . . . . . . . . . . . . 139Włączanie i wyłączanie reguł zapory .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

Zarządzanie systemem zapobiegania włamaniom .... . . . . . . . . . . . . . . . . . . . . . . . . . 140Sposób działania funkcji Zapobieganie włamaniom .... . . . . . . . . . . . . . . . . . . . . . . . 141Włączanie lub wyłączanie funkcji zapobiegania włamaniom .... . . . . . . . . . . . 142Konfigurowanie powiadomień funkcji zapobiegania włamaniom .... . . . . . 143

Rozdział 6 Zarządzanie programem Symantec Network AccessControl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Sposób działania programu Symantec Network Access Control ... . . . . . . . . 145Sposób współpracy klienta z modułem Enforcer ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Przeprowadzanie sprawdzania integralności hosta ... . . . . . . . . . . . . . . . . . . . . . . . . 148Przywracanie zgodności komputera .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148Konfigurowanie klienta w celu używania uwierzytelniania

802.1x .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149Ponowne uwierzytelnianie komputera .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

Wyświetlanie dzienników programu Symantec Network AccessControl ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Indeks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Spis treści10

Rozpoczęcie pracy zklientem

Ten rozdział obejmuje następujące zagadnienia:

■ Klient Symantec Endpoint Protection — informacje

■ Klient Symantec Network Access Control — informacje

■ Rozpoczęcie pracy na stronie Stan

■ Ikony alertów na stronie Stan — informacje

■ Natychmiastowe skanowanie komputera

■ Dodatkowe źródła informacji

Klient Symantec Endpoint Protection— informacjeKlient Symantec Endpoint Protection łączy kilka warstw ochrony, aby aktywniechronić komputer przed znanymi i nieznanymi zagrożeniami oraz atakamisieciowymi.

Tabela 1-1 przedstawia poszczególne warstwy ochrony.

1Rozdział

Tabela 1-1 Typy ochrony

OpisWarstwa

Ta warstwa zwalcza przeróżne zagrożenia, w tymprogramy typu spyware, robaki, konie trojańskie,narzędzia typu rootkit i programy typu adware. FunkcjaAutomatyczna ochrona systemu plików stale sprawdzawszystkie pliki na komputerze w poszukiwaniu wirusówi zagrożeń bezpieczeństwa. Funkcja Automatycznaochrona poczty internetowej skanuje przychodzące iwychodzące wiadomości e-mail, przesyłane za pomocąprotokołów komunikacyjnych POP3 i SMTP poprzezprotokół SSL. Funkcja Automatyczna ochrona pocztyMicrosoft Outlook skanuje przychodzące i wychodzącewiadomości e-mail w programie Microsoft Outlook.

Patrz „Zarządzanie skanowaniami na komputerze”na stronie 58

Ochrona przed wirusami iprogramami typu spyware

Technologia zapobiegania zagrożeniom obejmuje funkcjęSONAR, która oferuje ochronę w czasie rzeczywistymprzeciw nowym atakom. Funkcja SONAR możepowstrzymać ataki, zanim tradycyjne metody oparte nadefinicjach i sygnaturach umożliwią wykrywaniezagrożenia. Funkcja SONAR stosuje również analizęheurystyczną oraz dane o reputacji w celu podejmowaniadecyzji dotyczących plików.

Patrz „Zarządzanie funkcją SONAR na komputerzeklienckim” na stronie 102

Zapobieganie zagrożeniom

Ta warstwa składa się z zapory i systemu zapobieganiawłamaniom. Oparta na regułach zapora blokuje dostęp dokomputera nieupoważnionym użytkownikom. Systemzapobiegania włamaniom automatycznie wykrywa iblokuje ataki sieciowe.

Patrz „Zarządzanie zaporą” na stronie 108

Ochrona przed zagrożeniamisieciowymi

Administrator zarządza typami ochrony, które serwer zarządzania powinienprzekazywać do komputerów klienckich. Klient automatycznie pobiera definicjewirusów, definicje systemu zapobiegania włamaniom i aktualizacje produktówna komputer. Użytkownicy komputerów przenośnych mogą w podróży pobieraćdefinicje wirusów i aktualizacje produktów bezpośrednio z serwera LiveUpdate.

Patrz „Aktualizowanie systemu ochrony komputera” na stronie 36

Rozpoczęcie pracy z klientemKlient Symantec Endpoint Protection— informacje

12

Klient Symantec Network Access Control—informacje

Klient Symantec Network Access Control sprawdza, czy komputer jest odpowiedniochroniony i zgodny z zasadą zabezpieczeń, zanim zezwoli mu na połączenie zsiecią firmową.

Program kliencki zapewnia zgodność komputera z zasadą zabezpieczeńskonfigurowaną przez administratora. Zasada zabezpieczeń powoduje sprawdzenie,czy na komputerze zainstalowane jest najnowsze oprogramowanie zabezpieczające,na przykład ochrona przed wirusami i zapora. Jeśli na komputerze nie jestzainstalowane wymagane oprogramowanie, oprogramowanie musi zostaćzaktualizowane ręcznie przez użytkownika albo automatycznie przez klienta.Dopóki oprogramowanie zabezpieczające nie jest aktualne, dostęp komputera dosieci może być blokowany. Klient co pewien czas przeprowadza testy w celusprawdzenia, czy komputer jest nadal zgodny z zasadą zabezpieczeń.

Patrz „Sposób działania programu Symantec Network Access Control”na stronie 145

Rozpoczęcie pracy na stronie StanPo otwarciu klienta wyświetlane jest okno główne i strona Stan.

Tabela 1-2 przedstawia główne zadania, które można wykonać za pomocą paskamenu klienta i opcji Pomoc.

13Rozpoczęcie pracy z klientemKlient Symantec Network Access Control— informacje

Tabela 1-2 Okno główne klienta

Aby wykonać te zadaniaKliknij tę opcję

Otwiera główną Pomoc online i umożliwia wykonanie następujących zadańna kliencie:

■ Wyświetlenie informacji o komputerze, kliencie i systemie ochronyklienta.

■ Wyświetlenie informacji o stanie połączenia klienta z serweremzarządzania. W razie potrzeby można również spróbować nawiązaćpołączenie z serwerem.

■ Zaimportowanie i wyeksportowanie zasad zabezpieczeń i ustawieńkomunikacji na kliencie niezarządzanym.

■ Wyświetlenie i wyeksportowanie dzienników debugowania oraz plikurozwiązywania problemów w celu ułatwienia administratorowizdiagnozowania problemu z klientem lub systemem ochrony klienta.

■ Pobranie narzędzia pomocy technicznej w celu zdiagnozowaniatypowych problemów z klientem.

Pomoc

Przedstawia stan ochrony komputera i licencji klienta. Kolory i ikonyalertów na stronie Stan wskazują, które technologie są włączone i chroniąklienta.

Patrz „Ikony alertów na stronie Stan — informacje” na stronie 16

Możliwe jest:

■ Włączenie lub wyłączenie jednej lub wielu technologii ochrony.

Patrz „Włączanie i wyłączanie systemu ochrony — informacje”na stronie 43

■ Sprawdzenie, czy na komputerze znajdują się najnowsze pliki definicjifunkcji Ochrona przed wirusami i programami typu spyware,Zapobieganie zagrożeniom oraz Ochrona przed zagrożeniamisieciowymi.

■ Uruchomienie skanowania aktywnego.

Patrz „Natychmiastowe skanowanie komputera” na stronie 16

■ Wyświetlenie listy zagrożeń i sprawdzenie wyników ostatniegoskanowania w poszukiwaniu wirusów i programów typu spyware.

Stan

Rozpoczęcie pracy z klientemRozpoczęcie pracy na stronie Stan

14


Umożliwia otwarcie i wykonanie następujących zadań:

■ Natychmiastowe uruchomienie skanowania aktywnego lub pełnego.


■ Utworzenie skanowania zaplanowanego, przy uruchomieniu lub nażądanie.

Patrz „Planowanie skanowania zdefiniowanego przez użytkownika”na stronie 75

Patrz „Planowanie uruchamiania skanowania na żądanie lub przyuruchomieniu komputera” na stronie 79

Skanuj wposzukiwaniuzagrożeń

Umożliwia skonfigurowanie ustawień następujących technologii ochronyi funkcji:

■ Włączenie i skonfigurowanie ustawień funkcji Automatyczna ochrona.

Patrz „Dostosowywanie ustawień skanowań w poszukiwaniu wirusówi programów typu spyware” na stronie 84

■ Skonfigurowanie ustawień zapory i ustawień systemu zapobieganiawłamaniom.


■ Wyświetlenie i dodanie wyjątków do skanowań.

Patrz „Wykluczanie elementów ze skanowań” na stronie 91

■ Wyświetlenie ikony w obszarze powiadomień.

Patrz „Sposób określania, czy klient jest połączony i chroniony”na stronie 38

■ Skonfigurowanie ustawień funkcji Ochrona przed naruszeniemintegralności.

Patrz „Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przednaruszeniem integralności” na stronie 48

■ Utworzenie harmonogramu pobierania składników oprogramowaniai aktualizacji produktu na klienta.

Patrz „Aktualizacja składników oprogramowania wedługharmonogramu” na stronie 37

Patrz „Zarządzanie systemem ochrony komputera” na stronie 34

Zmieńustawienia

Umożliwia sprawdzenie wirusów i zagrożeń bezpieczeństwa wykrytych ipoddanych kwarantannie przez klienta. W kwarantannie możnaprzywrócić, usunąć, wyczyścić, wyeksportować i dodać pliki.

Patrz „Poddawanie plików kwarantannie — informacje” na stronie 95

Wyświetlkwarantannę

Umożliwia wyświetlenie dowolnego dziennika klienta.

Patrz „Wyświetlanie dzienników” na stronie 51

Wyświetldzienniki

15Rozpoczęcie pracy z klientemRozpoczęcie pracy na stronie Stan


Umożliwia natychmiastowe uruchomienie usługi LiveUpdate. UsługaLiveUpdate pobiera najnowsze definicje składników oprogramowania iaktualizacje produktu z serwera zarządzania znajdującego się w siecifirmy.

Patrz „Natychmiastowa aktualizacja składników oprogramowania”na stronie 37

LiveUpdate

Ikony alertów na stronie Stan— informacjeU góry strony Stan wyświetlane są różne ikony alertów, wskazujące stan ochronykomputera.

Tabela 1-3 Ikony alertów na stronie Stan

OpisIkona

Wskazuje, że wszystkie funkcje ochrony są włączone.

Ostrzega, że definicje na komputerze klienckim są nieaktualne W celu otrzymanianajnowszych definicji wirusów można natychmiast uruchomić usługę LiveUpdate.

Na komputerze klienckim mogą również wystąpić następujące problemy:

■ Komputer kliencki nie przeszedł pomyślnie sprawdzania zgodności zwymogami integralności hosta. Informacje o niespełnionych wymaganiachzawiera dziennik zabezpieczeń funkcji Zarządzanie klientami.

■ Moduł sprawdzania integralności hosta nie jest podłączony.


Pokazuje, że co najmniej jedna funkcja ochrony jest wyłączona lub licencja nakliencie utraciła ważność. Aby włączyć ochronę, należy kliknąć przycisk Naprawlub Napraw wszystko.

Patrz „Włączanie i wyłączanie systemu ochrony — informacje” na stronie 43

Natychmiastowe skanowanie komputeraRęczne skanowanie pliku w poszukiwaniu wirusów i zagrożeń bezpieczeństwamożna rozpocząć w dowolnej chwili. Komputer należy przeskanować natychmiastpo zainstalowaniu klienta lub otrzymaniu wirusa.

Do skanowania można wybrać dowolny obiekt, począwszy od jednego pliku,poprzez dyskietkę, a na całym komputerze kończąc. Skanowanie na żądanie

Rozpoczęcie pracy z klientemIkony alertów na stronie Stan— informacje

16

obejmuje skanowanie aktywne i skanowanie pełne. Można również utworzyćskanowanie niestandardowe uruchamiane na żądanie.

Patrz „Planowanie uruchamiania skanowania na żądanie lub przy uruchomieniukomputera” na stronie 79


Więcej informacji na temat opcji dostępnych w poszczególnych oknachdialogowych można uzyskać, klikając pozycję Pomoc.

Aby natychmiast przeprowadzić skanowanie komputera:

◆ Wykonaj jedno z następujących działań:

■ W kliencie, na stronie Stan, obok pozycji Ochrona przed wirusami iprogramamitypuspyware kliknij pozycję Opcje>Uruchomskanowanieaktywne.

■ W programie klienckim kliknij pozycję Skanujwposzukiwaniuzagrożeńna pasku bocznym.Wykonaj jedno z następujących działań:

■ Kliknij pozycję Uruchom skanowanie aktywne.

■ Kliknij pozycję Uruchom skanowanie pełne.

■ Na liście typów skanowania kliknij prawym przyciskiem myszy dowolneskanowanie, a następnie kliknij polecenie Skanuj teraz.Skanowanie zostanie uruchomione.Można wyświetlać postęp skanowania, o ile administrator nie wyłączyłtej opcji. Aby wyświetlić postęp skanowania, kliknij łącze wkomunikacie wyświetlanym dla bieżącego skanowania: skanowaniew toku.Patrz „Wyniki skanowania — informacje” na stronie 23

Można także wstrzymać lub anulować skanowanie.

Patrz „Wstrzymywanie i odraczanie skanowań” na stronie 18

17Rozpoczęcie pracy z klientemNatychmiastowe skanowanie komputera

Aby przeprowadzić skanowanie komputera za pomocą systemu Windows:

◆ W oknie Mój Komputer lub Eksplorator Windows kliknij prawym przyciskiemmyszy plik, folder lub dysk, a następnie kliknij polecenie Skanuj wposzukiwaniu wirusów.

Funkcja ta jest obsługiwana zarówno w 32-bitowych, jak i 64-bitowychsystemach operacyjnych.

Uwaga: Funkcja Wyszukiwanie Insight nie skanuje folderu ani dysku, gdyprzeprowadzany jest ten typ skanowania. Funkcja Wyszukiwanie Insight jesturuchamiana, jeśli do skanowania wybrano plik lub grupę plików.

Wstrzymywanie i odraczanie skanowańFunkcja wstrzymania umożliwia zatrzymanie skanowania w dowolnej chwili iwznowienie go w późniejszym czasie. Można wstrzymywać wszystkie skanowaniazainicjowane przez użytkownika.

Administrator określa, czy użytkownik może wstrzymywać skanowania inicjowaneprzez administratora. Jeśli opcja Wstrzymaj skanowanie jest niedostępna, toznaczy, że administrator wyłączył funkcję wstrzymywania. Jeśli administratorwłączył funkcję odraczania, użytkownik może na określony czas odraczaćwykonanie skanowań zaplanowanych przez administratora.

Wznowione skanowanie rozpoczyna się od miejsca, w którym zostało przerwane.

Uwaga: W przypadku wstrzymania skanowania w chwili, gdy klient skanuje plikskompresowany, klient może zareagować na żądanie wstrzymania dopiero pokilku minutach.

Patrz „Zarządzanie skanowaniami na komputerze” na stronie 58

Aby wstrzymać skanowanie zainicjowane przez użytkownika:

1 W trakcie skanowania, w oknie dialogowym skanowania kliknij pozycjęWstrzymaj skanowanie.

Skanowanie zostanie wstrzymane, a okno dialogowe pozostanie otwarte dochwili wznowienia skanowania.

2 W oknie dialogowym skanowania kliknij pozycję Wznów skanowanie, abykontynuować skanowanie.

Rozpoczęcie pracy z klientemNatychmiastowe skanowanie komputera

18

Aby wstrzymać lub odroczyć skanowanie inicjowane przez administratora:

1 Podczas skanowania inicjowanego przez administratora, w oknie dialogowymskanowania kliknij przycisk Wstrzymaj skanowanie.

2 W oknie dialogowym Wstrzymanie skanowania zaplanowanego wykonajdowolną z poniższych czynności:

■ Aby tymczasowo wstrzymać skanowanie, kliknij pozycję Wstrzymaj.

■ Aby odroczyć skanowanie, kliknij przycisk Odłóż na 1 godzinę lub Odłóżna 3 godziny.Czas, na jaki można odraczać skanowanie, określa administrator.Skanowanie wznowione po upływie czasu wstrzymania rozpoczyna sięod początku. Administrator określa również dopuszczalną liczbę odroczeń,po której osiągnięciu funkcja jest wyłączana.

■ Aby kontynuować skanowanie bez wstrzymywania, kliknij przyciskKontynuuj.

Dodatkowe źródła informacjiProdukt zawiera kilka źródeł informacji:

Tabela 1-4 przedstawia witryny internetowe, w których można uzyskać dodatkoweinformacje ułatwiające używanie produktu.

Tabela 1-4 Witryny internetowe firmy Symantec

Adres internetowyTypy informacji

http://www.symantec.com/business/products/downloads/Oprogramowanie Symantec EndpointProtection

Symantec Endpoint Protection:http://www.symantec.com/business/support/overview.jsp?pid=54619

Symantec Network Access Control:http://www.symantec.com/business/support/overview.jsp?pid=52788

Ogólnodostępna baza wiedzy

Wersje i aktualizacje

Aktualizacje podręczników idokumentacji

Opcje kontaktu

http://www.symantec.com/pl/pl/security_response/Wirusy i inne zagrożenia — informacjei aktualizacje

http://www.symantec.com/pl/pl/business/Wiadomości i aktualizacje dotycząceproduktów

http://go.symantec.com/education_septcBezpłatne szkolenie techniczne online

19Rozpoczęcie pracy z klientemDodatkowe źródła informacji

http://www.symantec.com/business/products/downloads/

http://www.symantec.com/business/support/overview.jsp?pid=54619

http://www.symantec.com/business/support/overview.jsp?pid=52788

http://www.symantec.com/pl/pl/security_response/

http://www.symantec.com/pl/pl/business/

http://go.symantec.com/education_septc

Adres internetowyTypy informacji

http://go.symantec.com/education_sepUsługi edukacyjne firmy Symantec

Symantec Endpoint Protection:

http://www.symantec.com/connect/security/forums/endpoint-protection-antivirus

Symantec Network Access Control:

http://www.symantec.com/connect/security/forums/network-access-control

Fora Symantec Connect:

Rozpoczęcie pracy z klientemDodatkowe źródła informacji

20

http://go.symantec.com/education_sep





Reagowanie na alerty ipowiadomienia


■ Typy alertów i powiadomień

■ Wyniki skanowania — informacje

■ Reagowanie na wykrycie wirusa lub zagrożenia

■ Reagowanie na komunikaty funkcji Download Insight z monitem o zezwolenielub zablokowanie pliku, który próbuje pobrać użytkownik

■ Reagowanie na komunikaty z monitem o zezwolenie na aplikację lub jejzablokowanie

■ Komunikaty o wygaśnięciu ważności licencji — informacje

■ Reagowanie na komunikaty dotyczące aktualizowania oprogramowaniaklienckiego

Typy alertów i powiadomieńProgram kliencki działa w tle, chroniąc komputer przed destrukcyjnymidziałaniami. Czasami klient musi powiadomić użytkownika o takim działaniu lubwyświetlić monit o podjęcie decyzji.

Tabela 2-1 przedstawia typy komunikatów, które mogą wymagać reakcjiużytkownika.

2Rozdział

Tabela 2-1 Typy alertów i powiadomień

OpisAlert

Jeśli skanowanie wykryje wirusa lub zagrożenie bezpieczeństwa,pojawi się okno dialogowe Wyniki wykrywania lub Wynikiwykrywania programu Symantec Endpoint Protection,zawierające szczegółowe informacje na temat infekcji. W oknietym wyświetlane jest również działanie podejmowane przezskanowanie wobec zagrożenia. Zazwyczaj nie ma potrzebypodejmowania żadnych dalszych działań innych niż sprawdzenieinformacji i zamknięcie okna dialogowego. W razie potrzebymożna jednak podjąć działanie.

Patrz „Wyniki skanowania — informacje” na stronie 23<nazwaskanowania>uruchomiono lub WynikiwykrywaniaprogramuSymantec Endpoint Protection

<nazwa skanowania>uruchomiono lub oknodialogowe Wynikiwykrywania programuSymantec EndpointProtection

Komunikaty wyskakujące mogą zostać wyświetlone wnastępujących sytuacjach:

■ Klient automatycznie zaktualizował oprogramowanieklienckie.

Patrz „Reagowanie na komunikaty dotyczące aktualizowaniaoprogramowania klienckiego” na stronie 31

■ Klient wyświetla pytanie, czy użytkownik chce zezwolić naaplikację, czy też ją zablokować.

Patrz „Reagowanie na komunikaty z monitem o zezwoleniena aplikację lub jej zablokowanie” na stronie 29

■ Wygasła ważność licencji na wersję próbną.

Patrz „Komunikaty o wygaśnięciu ważności licencji —informacje” na stronie 30

Inne okna dialogowekomunikatów

Reagowanie na alerty i powiadomieniaTypy alertów i powiadomień

22

OpisAlert

Powiadomienia są wyświetlane nad ikoną w obszarzepowiadomień w następujących sytuacjach:

■ Klient zablokował aplikację.

Może zostać wyświetlone na przykład następującepowiadomienie:

Zablokowano ruch z następującej aplikacji:(nazwa aplikacji)

Jeżeli klienta skonfigurowano do blokowania całego ruchu,powiadomienia będą często wyświetlane. Jeżeli klientaskonfigurowano do przepuszczania całego ruchu, tepowiadomienia nie będą wyświetlane.

■ Klient wykrywa atak sieciowy na komputer.

Może zostać wyświetlony następujący typ powiadomienia:

Ruch z adresu IP 192.168.0.3 jest blokowanyod 2/14/2010 15:37:58 do 2/14/2010 15:47:58.Rejestrowany jest atak przy użyciu skanowaniaportów.

■ Sprawdzenie zgodności zabezpieczeń zakończyło sięniepowodzeniem. Na komputerze może być blokowany ruchprzychodzący i wychodzący

Użytkownik nie musi robić niczego oprócz czytaniakomunikatów.


Komunikaty ikonyobszaru powiadomień

Wyniki skanowania— informacjeW przypadku klientów zarządzanych administrator zazwyczaj konfiguruje pełneskanowanie przeprowadzane co najmniej raz w tygodniu. W przypadku klientówniezarządzanych podczas uruchamiania komputera odbywa się automatyczniegenerowane skanowanie aktywne. Funkcja Automatyczna ochrona domyślniedziała na komputerze przez cały czas.

W trakcie skanowania wyświetlane jest okno dialogowe z postępem skanowania,a następnie wynikami skanowania. Po ukończeniu skanowania jego wyniki sąwyświetlane na liście. Jeśli klient nie wykryje żadnych wirusów ani zagrożeńbezpieczeństwa, lista jest pusta, a skanowanie ma stan Zakończone.

23Reagowanie na alerty i powiadomieniaWyniki skanowania— informacje

Jeśli klient wykryje zagrożenia podczas skanowania, w oknie dialogowym wynikówskanowania wyświetlone zostaną wyniki i następujące informacje:

■ Nazwy wirusów lub zagrożeń bezpieczeństwa

■ Nazwy zainfekowanych plików

■ Działania podjęte przez klienta wobec zagrożeń

Jeśli klient wykryje wirusa lub zagrożenie bezpieczeństwa, konieczne może byćpodjęcie przez użytkownika działania wobec zainfekowanego pliku.

Uwaga:W przypadku klientów zarządzanych administrator może wybrać ukrycieokna dialogowego wyników skanowania. Jeśli klient jest niezarządzany, użytkownikmoże wyświetlać lub ukrywać to okno dialogowe.

Jeśli użytkownik lub administrator skonfigurował w oprogramowaniu klienckimwyświetlanie okna dialogowego informującego o wynikach skanowania, to możliwejest wstrzymywanie, ponowne uruchamianie i zatrzymywanie skanowania.

Patrz „Klienci zarządzani i klienci niezarządzani — informacje” na stronie 40

Patrz „Reagowanie na wykrycie wirusa lub zagrożenia” na stronie 24


Reagowanie na wykrycie wirusa lub zagrożeniaPo uruchomieniu skanowania zdefiniowanego przez administratora lubużytkownika albo uruchomieniu funkcji Automatyczna ochrona wyświetlonemoże zostać okno dialogowe z wynikami skanowania. Za pomocą okna dialogowegoz wynikami skanowania można natychmiast podjąć działanie wobeczainfekowanego pliku.

Można na przykład usunąć oczyszczony plik, ponieważ użytkownik woli zastąpićgo plikiem oryginalnym.

Można również podjąć działania wobec pliku później, za pomocą dziennikakwarantanny, zagrożeń lub skanowania.

Patrz „Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim”na stronie 93

Reagowanie na alerty i powiadomieniaReagowanie na wykrycie wirusa lub zagrożenia

24

Aby zareagować na wykrycie wirusa lub zagrożenia z okna dialogowego wynikówskanowania:

1 W oknie dialogowym wyników skanowania zaznacz żądane pliki.

2 Kliknij wybrane pliki prawym przyciskiem myszy, a następnie wybierz jednąz poniższych opcji:

Powoduje usunięcie wirusa z pliku. Ta opcjajest dostępna tylko w przypadku wirusów.

Wyczyść

Powoduje wykluczenie pliku z ponownegoskanowania.

Wyklucz

Powoduje usunięcie zainfekowanego pliku iwszystkich skutków ubocznych. W przypadkuzagrożeń bezpieczeństwa należy stosować todziałanie z dużą ostrożnością. W niektórychprzypadkach usunięcie zagrożeńbezpieczeństwa może uniemożliwićkorzystanie z aplikacji.

Usuń trwale

Powoduje cofnięcie podjętego działania.Cofnij podjęte działanie

Powoduje umieszczenie zainfekowanego plikuw obszarze kwarantanny. W przypadkuzagrożeń bezpieczeństwa klient próbuje takżeusunąć lub naprawić skutki uboczne. Wniektórych przypadkach poddanie zagrożeniabezpieczeństwa kwarantannie możeuniemożliwić korzystanie z aplikacji.

Przenieś do obszaru kwarantanny

Wyświetla informacje o wirusie lub zagrożeniubezpieczeństwa.

Właściwości

W niektórych przypadkach działanie może nie być dostępne.

3 W oknie dialogowym kliknij przycisk Zamknij.

Jeżeli zagrożenia przedstawione na liście wymagają podjęcia działania przezużytkownika, okna tego nie można zamknąć. Może tak być na przykładwówczas, gdy klient musi zakończyć proces lub aplikację albo zatrzymaćusługę. W takim przypadku wyświetlane jest okno dialogowe Usuńzagrożeniateraz.

4 Jeśli wyświetlone zostanie okno dialogowe Usuń zagrożenia teraz, kliknijjedną z poniższych opcji:

■ Tak

25Reagowanie na alerty i powiadomieniaReagowanie na wykrycie wirusa lub zagrożenia

Klient usuwa zagrożenie. Usunięcie zagrożenia może wymagać ponownegouruchomienia komputera. O tym, czy ponowne uruchomienie jestwymagane, informuje okno dialogowe.

■ NieOkno dialogowe wyników przypomina, że nadal potrzebne jest działanie.Okno dialogowe Usuń zagrożenia teraz zostanie jednak wyświetlonedopiero po ponownym uruchomieniu komputera.

5 Jeśli okno dialogowe nie zostanie zamknięte w kroku 3, kliknij przyciskZamknij.

Patrz „Sposób reakcji skanowań na wykrycie wirusa lub zagrożenia” na stronie 73



Usuwanie wirusa lub zagrożenia z zainfekowanego pliku — informacjeJeśli klient musi zakończyć proces albo aplikację lub zatrzymać usługę, aktywnajest opcja Usuń zagrożenie teraz. Jeżeli zagrożenia przedstawione w okniedialogowym wymagają podjęcia działania przez użytkownika, okna tego nie możnazamknąć.

Tabela 2-2 przedstawia opcje w oknie dialogowym wyników.

Reagowanie na alerty i powiadomieniaReagowanie na wykrycie wirusa lub zagrożenia

26

Tabela 2-2 Opcje w oknie dialogowym wyników

OpisOpcja

Powoduje zamknięcie okna dialogowego z wynikami skanowania,jeżeli podjęcie działania w związku z którymkolwiek zagrożeniemnie jest wymagane.

Jeżeli działanie jest potrzebne, wyświetlane jest jedno z poniższychpowiadomień:

■ Wymagane jest usunięcie zagrożeniaWyświetlane, gdy do usunięcia zagrożenia wymagane jestzakończenie procesu. Po usunięciu zagrożenia ponowniewyświetlane jest okno dialogowe z wynikami. Jeśli koniecznejest także ponowne uruchomienie komputera, informacje wwierszu zagrożenia w oknie dialogowym wskazują na tękonieczność.

■ Wymagane ponowne uruchomienie komputeraWyświetlane, gdy do usunięcia zagrożenia wymagane jestponowne uruchomienie komputera.

■ WymaganejestusunięciezagrożeniaiponowneuruchomieniekomputeraWyświetlane, gdy do usunięcia jednego zagrożenia wymaganejest zakończenie procesu, a inne zagrożenie wymagaponownego uruchomienia komputera.

Zamknij

Wyświetla okno dialogowe Usuwanie zagrożenia.

W oknieUsuwanie zagrożeniamożna wybrać jedną z następującychopcji w odniesieniu do każdego zagrożenia:

■ TakKlient usuwa zagrożenie. Usunięcie zagrożenia może wymagaćponownego uruchomienia komputera. O tym, czy ponowneuruchomienie jest wymagane, informuje okno dialogowe.

■ NiePo zamknięciu okna dialogowego z wynikami skanowaniawyświetlane jest okno dialogowe Usuwanie zagrożenia. Oknoto przypomina, że nadal potrzebne jest działanie. Oknodialogowe Usuwaniezagrożenia zostanie jednak wyświetlonedopiero po ponownym uruchomieniu komputera.

Usuńzagrożeniateraz

Jeśli wymagane jest ponowne uruchomienie komputera, to dopiero po dokonaniugo zostanie ukończone usuwanie lub naprawa.

Jeżeli zagrożenie wymaga podjęcia działania, można zdecydować się na nie później.

Zagrożenie można usunąć lub naprawić później następująco:

27Reagowanie na alerty i powiadomieniaReagowanie na wykrycie wirusa lub zagrożenia

■ Można otworzyć dziennik zagrożeń, kliknąć zagrożenie prawym przyciskiemmyszy i wybrać żądane działanie.

■ Można uruchomić skanowanie w celu wykrycia zagrożenia i ponownegootwarcia okna dialogowego z wynikami skanowania.

Można także podjąć działanie, klikając zagrożenie w oknie dialogowym prawymprzyciskiem myszy i wybierając działanie. Działania, które może podjąćużytkownik, zależą od działań skonfigurowanych dla danego typu wykrytegozagrożenia.

Patrz „Reagowanie na wykrycie wirusa lub zagrożenia” na stronie 24

Reagowanie na komunikaty funkcji Download Insightzmonitemo zezwolenie lub zablokowanie pliku, którypróbuje pobrać użytkownik

Gdy włączone są powiadomienia funkcji Download Insight, użytkownikowiwyświetlane są komunikaty dotyczące destrukcyjnych i niepotwierdzonych plikówwykrywanych przez funkcję Download Insight podczas próby ich pobrania.

Uwaga: Bez względu na to, czy powiadomienia są włączone, użytkownikowiwyświetlane są komunikaty, jeśli dla niepotwierdzonych plików ustawionodziałanie Wyświetl monit.

Czułość wykrywania destrukcyjnych lub niepotwierdzonych plików przez funkcjęDownload Insight może zmienić użytkownik lub administrator. Zmiana poziomuczułości może wpłynąć na liczbę wyświetlanych powiadomień.

Funkcja Download Insight używa technologii Symantec Insight, oceniającej plikii wyznaczającej ocenę pliku na podstawie danych od globalnej wspólnoty milionówużytkowników.

Powiadomienie funkcji Download Insight przedstawia następujące informacje owykrytym pliku:

■ Reputacja plikuReputacja pliku wskazuje wiarygodność pliku. Destrukcyjne pliki nie są godnezaufania. Niepotwierdzone pliki mogą, ale nie muszą być godne zaufania.

■ Rozpowszechnienie pliku we wspólnocieRozpowszechnienie pliku jest istotne. Rzadko spotykane pliki częściej bywajązagrożeniami.

■ Wiek pliku

Reagowanie na alerty i powiadomieniaReagowanie na komunikaty funkcji Download Insight z monitem o zezwolenie lub zablokowanie pliku, który próbujepobrać użytkownik

28

Im nowszy jest plik, tym mniej informacji o nim ma firma Symantec.

Informacje te mogą ułatwić decyzję o zezwoleniu na plik lub zablokowaniu go.


Patrz „Sposób stosowania danych o reputacji w celu podejmowania decyzjidotyczących plików przez program Symantec Endpoint Protection” na stronie 74

Aby zareagować na wykrycie funkcji Download Insight z monitem o zezwolenie naplik lub jego zablokowanie:

1 W komunikacie o wykryciu funkcji Download Insight wykonaj jedną znastępujących czynności:

■ Kliknij pozycję Usuń ten plik z mojego komputera.Funkcja Download Insight przeniesie plik do kwarantanny. Opcja ta jestwyświetlana tylko w przypadku plików niepotwierdzonych.

■ Kliknij pozycję Zezwól na ten plik.Wyświetlone może zostać okno dialogowe zezwolenia z pytaniem, czyużytkownik na pewno chce zezwolić na plik.W razie wybrania opcji zezwolenia na niepotwierdzony plik, który niezostał poddany kwarantannie, plik jest uruchamiany automatycznie. Wrazie wybrania opcji zezwolenia na plik poddany kwarantannie plik niejest uruchamiany automatycznie. Plik można uruchomić z folderutymczasowych plików internetowych.Zazwyczaj folder ten znajduje się w lokalizacji \\Documents andSettings\nazwa użytkownika\Local Settings\Temporary Internet Files.

2 W razie zezwolenia na plik na klientach niezarządzanych program SymantecEndpoint Protection automatycznie tworzy wyjątek dla pliku na danymkomputerze. W razie zezwolenia na plik na klientach zarządzanych programSymantec Endpoint Protection automatycznie tworzy wyjątek dla pliku nadanym komputerze, o ile administrator umożliwia użytkownikowi tworzeniewyjątków.

Reagowanie na komunikaty z monitem o zezwoleniena aplikację lub jej zablokowanie

Przy próbie uzyskania przez aplikację na komputerze dostępu do sieci klient możewyświetlić monit o zezwolenie lub zablokowanie aplikacji. Można wybrać opcjęzablokowania aplikacji, aby nie zezwolić jej na dostęp do sieci.

Tego typu powiadomienie może zostać wyświetlone z jednego z następującychpowodów:

29Reagowanie na alerty i powiadomieniaReagowanie na komunikaty z monitem o zezwolenie na aplikację lub jej zablokowanie

■ Aplikacja żąda dostępu do połączenia sieciowego użytkownika.

■ Aplikacja, która miała dostęp do połączenia sieciowego użytkownika, zostałauaktualniona.

■ Administrator zaktualizował oprogramowanie klienckie.

■ Na komputerze klienckim zmieniono użytkownika za pomocą funkcji Szybkieprzełączanie użytkowników.

Gdy aplikacja próbuje uzyskać dostęp do komputera, może zostać wyświetlonepowiadomienie następującego typu:

IEXPLORE.EXE próbuje uzyskać dostęp do sieci.

Czy chcesz zezwolić temu programowi na dostęp do sieci?

Aby zareagować na komunikat z monitem o zezwolenie na aplikację lub jejzablokowanie:

1 Opcjonalnie, aby podczas następnej próby uzyskania dostępu do sieci przeztę samą aplikację pominąć wyświetlanie tego komunikatu, w oknie dialogowymkliknij pozycję Zapamiętaj odpowiedź i nie zadawaj ponownie pytania o tęaplikację.

2 Więcej informacji na temat połączenia i aplikacji można też uzyskać, klikającpozycję Szczegóły>>.

3 Wykonaj jedno z następujących działań:

■ Aby zezwolić aplikacji na dostęp do sieci, kliknij przycisk Tak.

■ Aby zablokować dostęp aplikacji do sieci, kliknij przycisk Nie.

W polu Uruchomione aplikacje lub na liście Aplikacje można również zmienićdziałanie aplikacji.

Patrz „Konfigurowanie ustawień specyficznych dla aplikacji” na stronie 127

Komunikaty o wygaśnięciu ważności licencji—informacje

Klient używa licencji do aktualizowania definicji wirusów używanych podczasskanowań oraz do aktualizowania oprogramowania klienckiego. Klient możeużywać licencji na wersję próbną lub płatną. Gdy ważność licencji wygaśnie, klientprzestaje aktualizować wszelkie składniki oprogramowania i oprogramowanieklienckie.

Reagowanie na alerty i powiadomieniaKomunikaty o wygaśnięciu ważności licencji— informacje

30

Tabela 2-3 Typy licencji

OpisTyp licencji

Gdy licencja na wersję próbną wygaśnie, górna część okienka Stanklienta jest czerwona i wyświetlany jest w niej następujący komunikat:

Ważność licencji na wersję próbną wygasła.

Pobieranie składników zostanie wstrzymane w dniu daty.Skontaktuj się z administratorem, aby zakupić licencjęna programSymantec Endpoint Protection.

Datę ważności można również wyświetlić, klikając pozycję Pomoc >Informacje.

Licencja na wersjępróbną

Gdy licencja na wersję płatną wygaśnie, górna część okienka Stanklienta jest żółta i wyświetlany jest w niej następujący komunikat:

Ochrona przed wirusami i spywarem - definicje sąprzestarzałe.

Licencja na wersjępłatną

W przypadku obu typów licencji należy skontaktować się z administratorem wcelu zaktualizowania lub odnowienia licencji.

Patrz „Typy alertów i powiadomień” na stronie 21


Reagowanienakomunikatydotyczące aktualizowaniaoprogramowania klienckiego

Jeżeli oprogramowanie klienckie jest automatycznie aktualizowane, mogą zostaćwyświetlone następujące powiadomienia:

Symantec Endpoint Protection – wykryto, że dostępna

jest nowsza wersja oprogramowania.

Czy chcesz je pobrać i zainstalować teraz?

Aby zareagować na powiadomienie o automatycznej aktualizacji:


■ Aby natychmiast pobrać oprogramowanie, kliknij pozycję Pobierz teraz.

31Reagowanie na alerty i powiadomieniaReagowanie na komunikaty dotyczące aktualizowania oprogramowania klienckiego

■ Aby po upływie określonego czasu zostało wyświetlone przypomnienie,kliknij pozycję Przypomnij później.

2 Jeżeli po rozpoczęciu instalacji aktualizowanego oprogramowania zostaniewyświetlony komunikat, kliknij przycisk OK.

Reagowanie na alerty i powiadomieniaReagowanie na komunikaty dotyczące aktualizowania oprogramowania klienckiego

32

Zapewnianie ochronykomputerowi


■ Zarządzanie systemem ochrony komputera

■ Aktualizowanie systemu ochrony komputera

■ Sposób określania, czy klient jest połączony i chroniony

■ Klienci zarządzani i klienci niezarządzani — informacje

■ Sprawdzanie, czy klient jest zarządzany, czy niezarządzany

■ Włączanie i wyłączanie systemu ochrony — informacje

■ Włączanie lub wyłączanie ochrony na komputerze klienckim

■ Włączanie lub wyłączanie funkcji Automatyczna ochrona

■ Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed naruszeniemintegralności

■ Dzienniki — informacje

■ Wyświetlanie dzienników

■ Śledzenie wsteczne zarejestrowanych zdarzeń do ich źródła

■ Eksportowanie danych dziennika

3Rozdział

Zarządzanie systemem ochrony komputeraKomputer kliencki jest domyślnie chroniony i konfiguracja klienta jest zazwyczajzbędna. Można jednak monitorować system ochrony w następujących sytuacjach:

■ Na komputerze użytkownika uruchomiony jest klient niezarządzany.Po zainstalowaniu klienta niezarządzanego tylko użytkownik ma kontrolę nadsystemem ochrony komputera. Klient niezarządzany jest domyślnie chroniony.Konieczne może być jednak zmodyfikowanie ustawień systemu ochronykomputera.Patrz „Klienci zarządzani i klienci niezarządzani — informacje” na stronie 40

■ Użytkownik chce włączyć lub wyłączyć jedną lub wiele technologii ochrony.

■ Użytkownik chce się upewnić, czy ma najnowsze definicje wirusów.

■ Użytkownik chce przeprowadzić skanowanie ze względu na pojawienie sięnowego wirusa.

Tabela 3-1 przedstawia proces upewniania się, że komputer jest chroniony.

Tabela 3-1 Proces zarządzania systemem ochrony komputera

OpisKrok

Należy zareagować na wyświetlony komunikat z monitem owprowadzenie danych. Na przykład skanowanie mogło wykryćwirusa lub zagrożenie bezpieczeństwa i wyświetla okno dialogowewyników skanowania z monitem o podjęcie działania wobecwykrycia.


Reagowanie na alertyi powiadomienia

Należy regularnie sprawdzać stronę Stan, aby upewnić się, żewszystkie typy ochrony są włączone.

Patrz „Rozpoczęcie pracy na stronie Stan” na stronie 13

Patrz „Włączanie lub wyłączanie ochrony na komputerzeklienckim” na stronie 45

Sprawdzenie stanusystemu ochrony

Zapewnianie ochrony komputerowiZarządzanie systemem ochrony komputera

34

OpisKrok

Należy sprawdzić, czy na komputerze zainstalowane są najnowszedefinicje wirusów.

■ Należy sprawdzić, czy zainstalowane są najnowsze aktualizacjesystemu ochrony. Datę i numer tych plików definicji możnasprawdzić na stronie Stan klienta, w obszarach poszczególnychtypów ochrony.

■ Należy uzyskać najnowsze aktualizacje systemu ochrony.

Patrz „Aktualizowanie systemu ochrony komputera” na stronie36

Aktualizacja definicjiwirusów

(Tylko klientniezarządzany)

Należy uruchomić skanowanie, aby sprawdzić, czy komputer lubprogram pocztowy są wolne od wirusów. Domyślnie klient skanujekomputer przy uruchomieniu, ale można go przeskanować wkażdej chwili.


Skanowaniekomputera

W większości przypadków domyślne ustawienia zapewniająwystarczającą ochronę komputera. W razie potrzeby możnaobniżyć lub podwyższyć poziom ochrony w następujący sposób:

■ Planując dodatkowe skanowania

Patrz „Zarządzanie skanowaniami na komputerze”na stronie 58

■ Dodając reguły zapory (tylko na kliencie niezarządzanym)


Dostosowanieustawień skanowania

W celu sprawdzenia, czy klient wykrył wirusa lub atak sieciowynależy przejrzeć dzienniki.


Sprawdzanie wykryćlub ataków wdziennikach

Należy sprawdzić, czy klient otrzymał najnowszą zasadęzabezpieczeń. Zasada zabezpieczeń zawiera najnowsze ustawieniatechnologii ochrony stosowanych przez klienta.

Zasada zabezpieczeń jest aktualizowana automatycznie. Abyupewnić się, że stosowana jest najnowsza zasada, możnazaktualizować ją ręcznie, klikając prawym przyciskiem myszyikonę klienta w obszarze powiadomień i wybierając polecenieAktualizuj zasadę.


Aktualizacja zasadyzabezpieczeń

(Tylko klientzarządzany)

35Zapewnianie ochrony komputerowiZarządzanie systemem ochrony komputera

Aktualizowanie systemu ochrony komputeraSkuteczność ochrony zapewnianej przez produkty firmy Symantec jest uzależnionaod aktualności informacji o nowych zagrożeniach. Informacje te są dostępne dopobrania z firmy Symantec za pośrednictwem usługi LiveUpdate.

Aktualizacje składników oprogramowania to pliki, dzięki którym produkty firmySymantec są aktualne i korzystają z najnowszych technologii ochrony przedzagrożeniami. Usługa LiveUpdate pobiera nowe pliki składników oprogramowaniaz internetowej witryny firmy Symantec, a następnie zastępuje nimi stare plikiskładników oprogramowania. Otrzymywane aktualizacje są zależne od produktówzainstalowanych na komputerze. Sposób, w jaki komputer otrzymuje aktualizacje,zależy od tego, czy komputer jest zarządzany czy niezarządzany i od konfiguracjiaktualizacji ustawionej przez administratora.

Poniższe typy plików to przykłady aktualizacji składników oprogramowania:

■ Pliki definicji wirusów dla funkcji Ochrona przed wirusami i programami typuspyware.

■ Sygnatury heurystyczne i listy aplikacji komercyjnych dla funkcji Zapobieganiezagrożeniom.

■ Pliki definicji systemu zapobiegania włamaniom dla funkcji Ochrona przedzagrożeniami sieciowymi.Patrz „Ochrona przed zagrożeniami sieciowymi — informacje” na stronie 108

Usługa LiveUpdate może również dostarczać ulepszenia do zainstalowanegoklienta. Ulepszenia te tworzy się zazwyczaj w celu zapewnienia zgodnościoprogramowania z urządzeniami lub systemami operacyjnymi, zwiększeniawydajności lub usunięcia błędów produktu. Ulepszenia klienta ukazują się, gdypojawi się taka potrzeba. Komputer kliencki może pobierać te ulepszeniabezpośrednio z serwera LiveUpdate. Zarządzany komputer kliencki może takżeodbierać te aktualizacje ulepszające automatycznie z serwera zarządzania wfirmie.

Tabela 3-2 Sposoby aktualizowania składników oprogramowania na komputerze

OpisZadanie

Domyślnie usługa LiveUpdate uruchamiana jestautomatycznie w określonych w harmonogramieodstępach.

Na kliencie niezarządzanym użytkownik może wyłączyćlub zmienić harmonogram usługi LiveUpdate.

Patrz „Aktualizacja składników oprogramowania wedługharmonogramu” na stronie 37

Aktualizacja składnikówoprogramowania wedługharmonogramu

Zapewnianie ochrony komputerowiAktualizowanie systemu ochrony komputera

36

OpisZadanie

W zależności od ustawień zabezpieczeń, usługęLiveUpdate można uruchamiać natychmiast.

Patrz „Natychmiastowa aktualizacja składnikówoprogramowania” na stronie 37

Natychmiastowa aktualizacjaskładników oprogramowania

Natychmiastowa aktualizacja składników oprogramowaniaPliki składników oprogramowania można aktualizować natychmiast za pomocąusługi LiveUpdate. Usługę LiveUpdate należy uruchamiać natychmiast wnastępujących sytuacjach:

■ Po zainstalowaniu oprogramowania klienckiego.

■ Po upływie długiego czasu od ostatniego skanowania.

■ Gdy użytkownik podejrzewa, że na komputerze jest wirus lub inne destrukcyjneoprogramowanie.

Patrz „Aktualizacja składników oprogramowania według harmonogramu”na stronie 37


Aby natychmiast zaktualizować system ochrony:

◆ W programie klienckim kliknij pozycję LiveUpdate na pasku bocznym.

Usługa LiveUpdate łączy się z serwerem firmy Symantec, sprawdza czy sądostępne nowe aktualizacje, a następnie automatycznie je pobiera i instaluje.

Aktualizacja składników oprogramowania według harmonogramuUżytkownik może utworzyć harmonogram automatycznego uruchamiania usługiLiveUpdate. Użytkownik może zaplanować uruchamianie usługi LiveUpdate naczas, w którym nie używa komputera.

Patrz „Natychmiastowa aktualizacja składników oprogramowania” na stronie 37

Uwaga: W przypadku klienta zarządzanego uruchamianie usługi LiveUpdatewedług harmonogramu można skonfigurować, o ile umożliwił to administrator.Jeśli wyświetlana jest ikona kłódki i opcje są nieaktywne, nie można aktualizowaćskładników oprogramowania według harmonogramu.

37Zapewnianie ochrony komputerowiAktualizowanie systemu ochrony komputera

Aby aktualizować system ochrony według harmonogramu:

1 W programie klienckim kliknij pozycję Zmieńustawienia na pasku bocznym.

2 Obok pozycji Zarządzanieklientami kliknij pozycję Konfigurujustawienia.

3 W oknie dialogowym Ustawienia funkcji Zarządzanie klientami kliknijpozycję LiveUpdate.

4 Na karcie LiveUpdate zaznacz opcję Włącz automatyczne aktualizacje.

5 W grupie opcji Częstotliwość i czas wybierz, czy chcesz przeprowadzaćaktualizacje codziennie, raz w tygodniu, czy raz w miesiącu. Następnie wybierzdzień tygodnia i godzinę, o której mają być przeprowadzane aktualizacje.

Ustawienia czasu zależą od opcji wybranej w grupie opcji Częstotliwość.Dostępność innych opcji w tym oknie dialogowym zależy również od wybranejczęstotliwości.

6 W grupie opcji Oknoponawianiaprób zaznacz opcję Ponawiajpróbyprzez,a następnie określ interwał czasowy ponawiania uruchamiania usługiLiveUpdate przez klienta.

7 W grupie opcji Opcje dotyczące działań losowych zaznacz opcję Wybierzlosowo wcześniejszy lub późniejszy czas uruchomienia (w godzinach), anastępnie określ liczbę godzin lub dni.

Opcja ta określa zakres czasu rozpoczęcia pobierania przed lub poplanowanym terminie aktualizacji.

8 W grupie opcji Wykryciebezczynności zaznacz opcję Opóźnijzaplanowanesesje usługi LiveUpdate do chwili bezczynności systemu. Zaległe sesjezostaną w końcu uruchomione bezwarunkowo.

Można również skonfigurować opcje połączenia serwera proxy z wewnętrznymserwerem LiveUpdate. Informacje na temat opcji są dostępne w Pomocyonline.

9 Kliknij przycisk OK.

Sposób określania, czy klient jest połączony ichroniony

Za pomocą ikony na pasku zadań systemu klient wskazuje, czy pracuje w trybieonline, czy też offline i czy komputer kliencki jest wystarczająco chroniony.Kliknięcie tej ikony prawym przyciskiem myszy powoduje wyświetlenie częstoużywanych poleceń. Ikona znajduje się w prawym dolnym rogu pulpitu nakomputerze klienckim.

Zapewnianie ochrony komputerowiSposób określania, czy klient jest połączony i chroniony

38

Uwaga: Ikona nie jest wyświetlana na klientach zarządzanych, jeżeli administratorskonfigurował ją tak, aby była niedostępna.

Tabela 3-3 Ikony stanu klienta Symantec Endpoint Protection

OpisIkona

Klient działa bez żadnych problemów. Pracuje w trybie offline lub jestniezarządzany. Klienci niezarządzani nie są połączeni z serweremzarządzania. Jako ikona wyświetlana jest zwykła żółta tarcza.

Klient działa bez żadnych problemów. Jest połączony i komunikuje się zserwerem. Komputer jest chroniony przy użyciu wszystkich składnikówzasady zabezpieczeń. Jako ikona wyświetlana jest żółta tarcza z zielonąkropką.

Występuje drobny problem z klientem. Na przykład definicje wirusów mogąnie być aktualne. Jako ikona wyświetlana jest żółta tarcza z czarnymwykrzyknikiem na tle jasnożółtej kropki.

Klient nie działa, występuje poważny problem z klientem lub wyłączona jestco najmniej jedna technologia ochrony. Wyłączona jest na przykład funkcjaOchrona przed zagrożeniami sieciowymi. Jako ikona wyświetlana jest żółtatarcza z białą kropką w czerwonej obwódce i czerwoną linią w poprzek kropki.

Tabela 3-4 przedstawia ikony stanu klienta Symantec Network Access Controlwyświetlane w obszarze powiadomień na pasku zadań systemu.

Tabela 3-4 Ikony stanu klienta Symantec Network Access Control

OpisIkona

Klient działa bez żadnych problemów i przeszedł test integralności hostaoraz zaktualizował zasadę zabezpieczeń. Pracuje w trybie offline lub jestniezarządzany. Klienci niezarządzani nie są połączeni z serweremzarządzania. Jako ikona wyświetlany jest złoty klucz.

Klient działa bez żadnych problemów i przeszedł test integralności hostaoraz zaktualizował zasadę zabezpieczeń. Komunikuje się z serwerem. Jakoikona wyświetlany jest złoty klucz z zieloną kropką.

Klient nie przeszedł sprawdzenia integralności hosta lub nie zaktualizowałzasady zabezpieczeń. Jako ikona wyświetlany jest złoty klucz z białymznakiem „x” na tle czerwonej kropki.

Patrz „Ukrywanie i wyświetlanie ikony obszaru powiadomień” na stronie 40

39Zapewnianie ochrony komputerowiSposób określania, czy klient jest połączony i chroniony

Ukrywanie i wyświetlanie ikony obszaru powiadomieńIkonę obszaru powiadomień można w razie potrzeby ukryć. Można ją na przykładukryć, jeżeli potrzebne jest więcej miejsca na pasku zadań systemu Windows.

Patrz „Sposób określania, czy klient jest połączony i chroniony” na stronie 38

Uwaga:W przypadku klientów zarządzanych ikony paska zadań nie można ukryć,jeżeli administrator ograniczył użycie tej funkcji.

Aby ukryć lub wyświetlić ikonę w obszarze powiadomień:

1 W oknie głównym kliknij pozycję Zmień ustawienia na pasku bocznym.

2 Na stronie Zmiana ustawień kliknij pozycję Konfiguruj ustawienia obokpozycji Zarządzanie klientami.

3 W oknie dialogowym Ustawienia funkcji Zarządzanie klientami, na karcieOgólne, w obszarze Opcjewyświetlania wyczyść pole wyboru Pokazuj ikonęprogramu Symantec w obszarze powiadomień.


Klienci zarządzani i klienci niezarządzani—informacje

Administrator może zainstalować klienta jako klienta zarządzanego (instalacjazarządzana przez administratora) lub niezarządzanego (instalacja autonomiczna).

Zapewnianie ochrony komputerowiKlienci zarządzani i klienci niezarządzani— informacje

40

Tabela 3-5 Różnice między klientem zarządzanym a klientem niezarządzanym

OpisTyp klienta

Klient zarządzany komunikuje się z serwerem zarządzania w sieciużytkownika. Administrator konfiguruje system ochrony i ustawieniadomyślne, a serwer zarządzania przekazuje ustawienia klientowi. Jeśliadministrator dokona zmian w systemie ochrony, zmiany te są niemalnatychmiast pobierane przez klienta.

Administratorzy mogą zmienić poziom interakcji użytkownika zklientem na następujące sposoby:

■ Administrator całkowicie zarządza klientem.

Użytkownik nie musi konfigurować klienta. Wszystkie ustawieniasą zablokowane lub niedostępne, ale użytkownik może wyświetlićinformacje na temat operacji klienta na komputerze.

■ Administrator zarządza klientem, ale użytkownik może zmienićniektóre ustawienia klienta i wykonać niektóre zadania. Naprzykład może uruchamiać własne skanowania i ręcznie pobieraćaktualizacje klienta oraz systemu ochrony.

Dostępność ustawień klienta, jak również wartości tych ustawieńmogą okresowo się zmieniać. Ustawienie może się na przykładzmienić, gdy administrator zaktualizuje zasadę sterującą ochronąkomputera klienckiego.

■ Administrator zarządza klientem, ale użytkownik może zmienićwszystkie ustawienia klienta i wykonać wszystkie zadania związanez ochroną.

Klient zarządzany

Klient niezarządzany nie komunikuje się z serwerem zarządzania, aadministrator nie zarządza klientem.

Klient niezarządzany może być klientem jednego z następującychtypów:

■ Autonomicznym komputerem niepodłączonym do sieci, takim jakkomputer domowy lub przenośny. Na komputerze musi byćzainstalowany program Symantec Endpoint Protection zustawieniami domyślnymi lub wstępnie skonfigurowanymi przezadministratora.

■ Zdalnym komputerem łączącym się z siecią firmową, który w celunawiązania połączenia musi spełnić wymagania dotyczącebezpieczeństwa.

Klient po zainstalowaniu ma ustawienia domyślne. Po zainstalowaniuklienta użytkownik może zmienić wszystkie ustawienia klienta iwykonać wszystkie zadania związane z ochroną.

Klientniezarządzany

Patrz „Sprawdzanie, czy klient jest zarządzany, czy niezarządzany” na stronie 42

41Zapewnianie ochrony komputerowiKlienci zarządzani i klienci niezarządzani— informacje

Tabela 3-6 przedstawia różnice w interfejsie użytkownika między klientemzarządzanym a klientem niezarządzanym.

Tabela 3-6 Różnice między klientem zarządzanym a klientem niezarządzanymwedług obszarów funkcji

Klient samozarządzanyKlient centralnie zarządzanyObszar funkcji

Klient nie wyświetla anizamkniętej kłodki, ani otwartejkłódki.

Klient wyświetla ikonęzamkniętej kłódki, a opcje,których nie może skonfigurowaćużytkownik, są nieaktywne.

Ochrona przedwirusami iprogramami typuspyware

Klient nie wyświetla anizamkniętej kłodki, ani otwartejkłódki.

Klient wyświetla ikonęzamkniętej kłódki, a opcje,których nie może skonfigurowaćużytkownik, są nieaktywne.

Zapobieganiezagrożeniom

Wyświetlane są wszystkieustawienia.

Ustawienia kontrolowane przezadministratora nie sąwyświetlane.

Ustawienia funkcjiZarządzanieklientami i Ochronaprzed zagrożeniamisieciowymi


Sprawdzanie, czy klient jest zarządzany, czyniezarządzany

Aby sprawdzić dostępny poziom kontroli nad konfigurowaniem systemu ochronyna kliencie, najpierw należy sprawdzić, czy klient jest zarządzany, czy teżniezarządzany. Na kliencie niezarządzanym można skonfigurować więcej ustawieńniż na kliencie zarządzanym.

Patrz „Klienci zarządzani i klienci niezarządzani — informacje” na stronie 40

Aby sprawdzić, czy klient jest zarządzany, czy niezarządzany:

1 Na stronie Stan kliknij pozycję Pomoc > Rozwiązywanie problemów.

2 W oknie dialogowym Rozwiązywanieproblemów kliknij pozycję Zarządzanie.

3 W okienku Zarządzanie, w obszarze Informacjeogólne, obok pozycji Serwersprawdź następujące informacje:

■ Jeśli klient jest zarządzany, w polu Serwer wyświetlany jest adres serwerazarządzania albo tekst Offline.

Zapewnianie ochrony komputerowiSprawdzanie, czy klient jest zarządzany, czy niezarządzany

42

Może to być adres IP, nazwa DNS lub nazwa NetBIOS. Nazwa DNS to naprzykład SEPMServer1. Jeśli klient jest zarządzany, ale aktualnie nie jestpołączony z serwerem zarządzania, w polu tym wyświetlany jest tekstOffline.

■ Jeśli klient jest niezarządzany, w polu Serwer wyświetlany jest tekstSamozarządzany.

4 Kliknij przycisk Zamknij.

Włączanie iwyłączanie systemuochrony— informacjeTechnologie ochrony zazwyczaj powinny być stale włączone na komputerzeklienckim.

W razie problemu z komputerem klienckim można tymczasowo wyłączyć wszystkielub wybrane technologie ochrony. Można na przykład wyłączyć funkcję Ochronaprzed zagrożeniami sieciowymi, jeśli aplikacja nie działa lub działa nieprawidłowo.Jeśli po wyłączeniu wszystkich technologii ochrony problem nie ustępuje, wiadomoże problem nie jest związany z klientem.

Ostrzeżenie: Należy pamiętać o włączeniu wszystkich funkcji ochrony powykonaniu zadań, które wymagały jej wyłączenia, aby zapewnić komputerowiochronę.

Tabela 3-7 przedstawia możliwe powody konieczności wyłączenia poszczególnychtechnologii ochrony.

43Zapewnianie ochrony komputerowiWłączanie i wyłączanie systemu ochrony— informacje

Tabela 3-7 Cel wyłączenia technologii ochrony

Cel wyłączenia technologii ochronyTechnologia ochrony

W razie wyłączenia tej funkcji ochrony wyłączana jest jedynie funkcja Automatycznaochrona.

Nie ma to wpływu na uruchamianie innych typów skanowań (zaplanowanych lub przyuruchamianiu) skonfigurowanych przez użytkownika lub administratora.

Funkcja Automatyczna ochrona może zostać włączona albo wyłączona z następującychpowodów:

■ Funkcja Automatyczna ochrona może blokować otwarcie dokumentu. Na przykład, jeślidokument programu Microsoft Word zawiera makro, funkcja Automatyczna ochronamoże nie zezwolić na jego otwarcie. Jeśli wiadomo, że dokument jest bezpieczny, możnawyłączyć funkcję Automatyczna ochrona.

■ Funkcja Automatyczna ochrona może generować ostrzeżenia o działaniach typowychdla wirusów, a które na pewno nie są wynikiem obecności wirusa. Ostrzeżenie możezostać wyświetlone na przykład podczas instalowania nowych aplikacji na komputerze.Aby uniknąć wyświetlania ostrzeżeń podczas instalowania następnych aplikacji, możnatymczasowo wyłączyć funkcję Automatyczna ochrona.

■ Funkcja Automatyczna ochrona może przeszkadzać w zamianie sterownika systemuWindows.

■ Funkcja Automatyczna ochrona może spowalniać komputer kliencki.

Uwaga: Wskutek wyłączenia funkcji Automatyczna ochrona wyłączona zostaje funkcjaDownload Insight, nawet jeśli funkcja Download Insight jest włączona. Funkcja SONAR niemoże również wykrywać heurystycznie zagrożeń. Wykrywanie zmian pliku hosta lub zmianw systemie przez funkcję SONAR nadal jednak działa.

Patrz „Włączanie lub wyłączanie funkcji Automatyczna ochrona” na stronie 46

Jeśli funkcja Automatyczna ochrona powoduje problem z aplikacją, lepiej jest utworzyćwyjątek niż na stałe wyłączyć ochronę.


Ochrona przedwirusami iprogramami typuspyware

Funkcję Zapobieganie zagrożeniom można wyłączyć z następujących przyczyn:

■ Wyświetlanych jest zbyt wiele zbędnych ostrzeżeń o zagrożeniach.

■ Funkcja Zapobieganie zagrożeniom może spowalniać komputer kliencki.

Patrz „Włączanie lub wyłączanie ochrony na komputerze klienckim” na stronie 45

Zapobieganiezagrożeniom

Zapewnianie ochrony komputerowiWłączanie i wyłączanie systemu ochrony— informacje

44

Cel wyłączenia technologii ochronyTechnologia ochrony

Funkcję Ochrona przed zagrożeniami sieciowymi można wyłączyć z następujących przyczyn:

■ Instalacja aplikacji może zostać zablokowana przez zaporę.

■ Reguła zapory lub ustawienie zapory blokuje aplikację z powodu błędu administratora.

■ Zapora lub system zapobiegania włamaniom powodują problemy związane z komunikacjąsieciową.

■ Zapora może spowalniać komputer kliencki.

■ Nie można otworzyć aplikacji.

Patrz „Włączanie lub wyłączanie funkcji zapobiegania włamaniom” na stronie 142


Jeśli nie wiadomo, czy to funkcja Ochrona przed zagrożeniami sieciowymi powoduje problem,konieczne może być wyłączenie wszystkich technologii ochrony.

Na kliencie zarządzanym administrator może całkowicie zablokować funkcję Ochrona przedzagrożeniami sieciowymi, aby użytkownik nie mógł jej włączyć ani wyłączyć.

Ochrona przedzagrożeniamisieciowymi

Funkcji Ochrona przed naruszeniem integralności zazwyczaj nie należy wyłączać.

Funkcję Ochrona przed naruszeniem integralności można tymczasowo wyłączyć, aby niedopuścić do fałszywych alarmów.

Patrz „Włączanie, wyłączanie i konfigurowanie funkcji Ochrona przed naruszeniemintegralności” na stronie 48

Ochrona przednaruszeniemintegralności

Włączanie lub wyłączanie ochrony na komputerzeklienckim

Gdy dowolna z technologii ochrony jest wyłączona na kliencie:

■ Pasek stanu u góry strony Stan jest czerwony.

■ Ikona klienta jest przesłonięta uniwersalnym znakiem zakazu (czerwone kółkoprzecięte ukośną kreską). Ikona klienta wyświetlana jest na pasku zadań wprawym dolnym rogu pulpitu Windows jako pełna tarcza. W przypadkuniektórych konfiguracji ikona ta nie jest wyświetlana.Patrz „Sposób określania, czy klient jest połączony i chroniony” na stronie 38

Na kliencie zarządzanym administrator może w dowolnej chwili włączyć każdąfunkcję ochrony.

Funkcje Automatyczna ochrona, Zapobieganie zagrożeniom lub Ochrona przedzagrożeniami sieciowymi można także wyłączyć w celu rozwiązywania problemów.Na kliencie zarządzanym administrator może zablokować technologię ochrony,aby użytkownik nie mógł jej wyłączyć.

45Zapewnianie ochrony komputerowiWłączanie lub wyłączanie ochrony na komputerze klienckim


Patrz „Włączanie lub wyłączanie funkcji Automatyczna ochrona” na stronie 46

Aby włączyć technologie ochrony za pomocą strony Stan:

◆ Na kliencie, u góry strony Stan kliknij pozycję Napraw lub Naprawwszystko.

Aby włączyć lub wyłączyć technologie ochrony za pomocą paska zadań:

◆ Na pasku zadań systemu Windows kliknij prawym przyciskiem ikonę klienta,a następnie wykonaj jedno z następujących działań:

■ Kliknij polecenie Włącz program Symantec Endpoint Protection.

■ Kliknij polecenie Wyłącz program Symantec Endpoint Protection.

Aby włączyć lub wyłączyć funkcję Zapobieganie zagrożeniom lub funkcję Ochronaprzed zagrożeniami sieciowymi:

◆ W programie klienckim, na stronie Stan, w obszarze Ochrona typ ochronywykonaj jedno z następujących działań:

■ Kliknij pozycję Opcje > Włącz funkcję typ ochrony.

■ Kliknij pozycję Opcje > Wyłącz wszystkie funkcje typ ochrony.

Włączanie lub wyłączanie funkcji Automatycznaochrona

Funkcję Automatyczna ochrona plików i procesów, internetowej poczty e-mailoraz aplikacji e-mail do pracy grupowej można włączać lub wyłączać. Gdywyłączony jest dowolny typ funkcji Automatyczna ochrona, stan funkcji Ochronaprzed wirusami i programami typu spyware jest wyświetlany czerwoną czcionkąna stronie Stan.

Gdy funkcja Automatyczna ochrona systemu plików i procesów jest włączona, pokliknięciu ikony prawym przyciskiem myszy obok polecenia Włącz funkcjęAutomatyczna ochrona wyświetlany jest znacznik wyboru.

Patrz „Ikony alertów na stronie Stan — informacje” na stronie 16


Uwaga: Na kliencie zarządzanym administrator może zablokować funkcjęAutomatyczna ochrona, aby użytkownik nie mógł jej wyłączyć. Administratormoże także ustawić automatyczne włączanie tymczasowo wyłączonej funkcjiAutomatyczna ochrona po upływie określonego czasu.

Zapewnianie ochrony komputerowiWłączanie lub wyłączanie funkcji Automatyczna ochrona

46

Jeśli nie zmieniono domyślnych ustawień opcji, funkcja Automatyczna ochronajest ładowana przy każdym uruchomieniu komputera, zapewniając natychmiastowąochronę systemu przed wirusami i zagrożeniami bezpieczeństwa. Automatycznaochrona sprawdza uruchomiane programy w poszukiwaniu wirusów i zagrożeńbezpieczeństwa. Monitoruje także komputer w celu wykrycia jakichkolwiekoperacji, które mogłyby wskazywać na obecność wirusa lub zagrożeniabezpieczeństwa. W przypadku wykrycia wirusa, działania typowego dla wirusa(zdarzenia, które może być wynikiem działalności wirusa) lub zagrożeniabezpieczeństwa funkcja Automatyczna ochrona generuje alert.

Uwaga: Wskutek wyłączenia funkcji Automatyczna ochrona wyłączona zostajefunkcja Download Insight, nawet jeśli funkcja Download Insight jest włączona.Funkcja SONAR nie może również wykrywać heurystycznie zagrożeń. ale funkcjaSONAR nadal wykrywa zmiany pliku hosta i zmiany w systemie.

Aby włączyć lub wyłączyć funkcję Automatyczna ochrona systemu plików:

◆ W programie klienckim na stronie Stan, obok pozycji Ochronaprzedwirusamii programami typu spyware wykonaj jedno z następujących działań:

■ Kliknij pozycję Opcje > Włącz ochronę przed wirusami i programamitypu spyware.

■ Kliknij pozycję Opcje>Wyłączwszystkiefunkcjeochronyprzedwirusamii programami typu spyware.

Aby włączyć lub wyłączyć funkcję Automatyczna ochrona poczty e-mail:


2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Ustawienia ochronyprzed wirusami i programami typu spyware.


■ Na karcie Automatyczna ochrona poczty internetowej zaznacz lubwyczyść pole wyboru WłączAutomatycznąochronępocztyinternetowej.

■ Na karcie AutomatycznaochronapocztyMicrosoftOutlook zaznacz lubwyczyść pole wyboru Włącz Automatyczną ochronę poczty MicrosoftOutlook.

■ Na karcie AutomatycznaochronapocztyLotusNotes zaznacz lub wyczyśćpole wyboru Włącz Automatyczną ochronę poczty Lotus Notes.


47Zapewnianie ochrony komputerowiWłączanie lub wyłączanie funkcji Automatyczna ochrona

Włączanie, wyłączanie i konfigurowanie funkcjiOchrona przed naruszeniem integralności

Funkcja Ochrona przed naruszeniem integralności zapewnia w czasie rzeczywistymochronę aplikacji firmy Symantec uruchomionych na serwerach i klientach.Funkcja ta chroni zasoby produktów firmy Symantec przed zakłóceniami ze stronyinnych procesów, takich jak robaki, konie trojańskie, wirusy i zagrożeniabezpieczeństwa. Oprogramowanie można skonfigurować do blokowania lubrejestrowania prób modyfikowania zasobów produktów firmy Symantec.

Jeżeli funkcja Ochrona przed naruszeniem integralności jest włączona, możnawybrać działanie podejmowane przez nią po wykryciu próby naruszeniaintegralności oprogramowania firmy Symantec. Funkcja Ochrona przednaruszeniem integralności może także wyświetlać komunikat powiadamiający opróbach naruszenia integralności. Aby dostosować ten komunikat, można użyćpredefiniowanych zmiennych, które funkcja Ochrona przed naruszeniemintegralności zastępuje odpowiednimi informacjami.

Uwaga: Na kliencie zarządzanym administrator może zablokować ustawieniafunkcji Ochrona przed naruszeniem integralności.

Informacje o predefiniowanych zmiennych zawiera Pomoc na karcie Ochronaintegralności.


Aby włączyć lub wyłączyć ochronę przed naruszeniem integralności:



3 Na karcie Ochrona integralności zaznacz lub wyczyść pole wyboru Chrońoprogramowanie zabezpieczające firmy Symantec przed naruszeniemintegralności lub zamknięciem.


Aby skonfigurować funkcję Ochrona przed naruszeniem integralności:



3 Na karcie Ochrona integralności, w polu listy Działanie podejmowane, gdyaplikacja podejmuje próbę naruszenia integralności lub zamknięciaoprogramowaniazabezpieczającegofirmySymantec kliknij pozycję Zablokuji zarejestruj zdarzenie lub Tylko zarejestruj zdarzenie.

Zapewnianie ochrony komputerowiWłączanie, wyłączanie i konfigurowanie funkcji Ochrona przed naruszeniem integralności

48

4 Aby wyświetlać powiadomienia o wykryciu podejrzanego działania przezfunkcję Ochrona przed naruszeniem integralności, zaznacz pole wyboruWyświetlaj powiadomienie, gdy zostanie wykryta próba naruszeniaintegralności.

Po włączeniu tych komunikatów użytkownikowi mogą być wyświetlaniepowiadomienia o procesach systemu Windows oraz procesach programówfirmy Symantec.

5 Aby dostosować wyświetlany komunikat, zaktualizuj tekst w polu komunikatu.


Dzienniki— informacjeDzienniki zawierają informacje o zmianach konfiguracji klienta, operacjachzwiązanych z zabezpieczeniami i błędach. Zapisy te są zwane zdarzeniami.Dzienniki wyświetlają te zdarzenia wraz z wszelkimi powiązanymi dodatkowymiinformacjami.

Operacje związane z zabezpieczeniami obejmują informacje na wykryć wirusów,stanu komputera oraz jego ruchu przychodzącego i wychodzącego. Dziennikiklienta zarządzanego mogą być regularnie przekazywane do serwera zarządzania.Administrator może używać danych z dzienników do analizowania ogólnego stanuzabezpieczeń sieci.

Dzienniki to ważna metoda śledzenia operacji komputera oraz jego interakcji zinnymi komputerami i sieciami. Korzystając z informacji zawartych w dziennikach,można śledzić trendy związane z wirusami, zagrożeniami bezpieczeństwakomputera i atakami na komputer. Jeśli komputer jest używany przez kilka osób,można zidentyfikować osobę wprowadzającą zagrożenia, a następnie wskazać jejskuteczniejsze środki ochrony przed infekcjami.

Aby uzyskać więcej informacji na temat dziennika, można nacisnąć klawisz F1 wcelu wyświetlenia Pomocy dotyczącej danego dziennika.

Tabela 3-8 przedstawia typy zdarzeń wyświetlanych w poszczególnychdziennikach.

Tabela 3-8 Dzienniki klienta

OpisDziennik

Zawiera wpisy dotyczące skanowań przeprowadzanych nakomputerze.

Dziennik skanowania

49Zapewnianie ochrony komputerowiDzienniki— informacje

OpisDziennik

Zawiera wpisy dotyczące wirusów i zagrożeń bezpieczeństwa,takich jak programy typu adware i spyware, które infekowałykomputer. Zagrożenia bezpieczeństwa zawierają łącze do stronyinternetowej centrum Symantec Security Response zawierającejdodatkowe informacje.

Patrz „Przenoszenie pliku do obszaru kwarantanny za pomocądziennika zagrożeń lub dziennika skanowania” na stronie 96

Dziennik zagrożeń

Zawiera informacje dotyczące operacji systemowych nakomputerze, które są powiązane z wirusami i zagrożeniamibezpieczeństwa. Informacje te obejmują zmiany konfiguracji,błędy i dane plików definicji.

Dziennik systemufunkcji Ochrona przedwirusami iprogramami typuspyware

Zawiera informacje o zagrożeniach, które funkcja SONAR wykryłana komputerze. Funkcja SONAR wykrywa wszelkie pliki, któredziałają w podejrzany sposób. Funkcja SONAR wykrywa równieżzmiany w systemie.

Dziennik zagrożeń

Zawiera informacje dotyczące operacji systemowych nakomputerze, związane z funkcją SONAR.

Dziennik systemufunkcji Zapobieganiezagrożeniom

Zawiera zdarzenia dotyczące ruchu sieciowego zapory i atakówsystemu zapobiegania włamaniom. Dziennik zawiera informacjena temat połączeń nawiązanych z komputera przez sieć.

Dzienniki funkcji Ochrona przed zagrożeniami sieciowymiułatwiają wykrywanie niebezpiecznych operacji, takich jakskanowanie portów. Można ich również używać do wstecznegośledzenia ruchu w celu ustalenia jego źródła. Dzienniki ochronysieci ułatwiają także rozwiązywanie problemów związanych zkomunikacją lub możliwymi atakami sieciowymi. Dziennikizawierają informacje na temat czasu i przyczyn zablokowaniakomputerowi dostępu do sieci.

Dziennik ruchu

Zawiera informacje dotyczące pakietów danych przychodzącychlub wychodzących na portach komputera.

Dziennik pakietów jest domyślnie wyłączony. Dziennika pakietównie można włączyć na kliencie zarządzanym. Dziennik pakietówmożna włączyć na kliencie niezarządzanym.

Patrz „Włączanie dziennika pakietów” na stronie 52

Dziennik pakietów

Zapewnianie ochrony komputerowiDzienniki— informacje

50

OpisDziennik

Dziennik kontroli zawiera informacje dotyczące kluczy rejestrusystemu Windows, plików i bibliotek DLL, do których aplikacjauzyskuje dostęp, a także aplikacji uruchamianych na komputerze.

Dziennik kontroli

Zawiera informacje o operacjach, które mogą narażać komputerna zagrożenie. Mogą być wyświetlane informacje na przykład ooperacjach takich, jak ataki typu „odmowa obsługi”, skanowanieportów i zmiany plików wykonywalnych.

Dziennik zabezpieczeń

Zawiera informacje dotyczące wszystkich wykrytych nakomputerze zmian związanych z systemem operacyjnym.

Zmiany mogą obejmować następujące operacje:

■ Uruchomienie lub zatrzymanie usługi

■ Wykrycie aplikacji sieciowych przez komputer

■ Konfigurowanie oprogramowania

■ Stan klienta działającego jako dostawca aktualizacji grupy

Dziennik systemufunkcji Zarządzanieklientami

Zawiera wpisy dotyczące prób naruszenia integralności aplikacjifirmy Symantec na komputerze. Wpisy te zawierają informacjena temat prób wykrytych i udaremnionych przez funkcję Ochronaintegralności.

Dziennik funkcjiOchrona przednaruszeniemintegralności

Zawierają informacje o kliencie, skanowaniach i zaporze używanedo celów rozwiązywania problemów. Administrator może poprosićużytkownika o włączenie lub skonfigurowanie dzienników, anastępnie ich wyeksportowanie.

Dziennikidebugowania


Wyświetlanie dziennikówDzienniki znajdujące się na komputerze można wyświetlać, aby sprawdzićszczegóły zdarzeń.

Uwaga: Jeśli nie jest zainstalowana funkcja Ochrona przed zagrożeniamisieciowymi lub Kontrola dostępu do sieci, nie można wyświetlić dziennikazabezpieczeń, dziennika systemu lub dziennika kontroli.

Aby wyświetlić dziennik:

1 W oknie głównym kliknij pozycję Wyświetl dzienniki na pasku bocznym.

2 Kliknij pozycję Wyświetl dzienniki obok jednej z następujących pozycji:

51Zapewnianie ochrony komputerowiWyświetlanie dzienników

■ Ochrona przed wirusami i programami typu spyware

■ Zapobieganie zagrożeniom

■ Ochrona przed zagrożeniami sieciowymi

■ Zarządzanie klientami

■ Kontrola dostępu do sieci

Niektóre pozycje mogą nie być wyświetlane, w zależności od danej instalacji.

3 W menu rozwijanym wybierz dziennik, który chcesz wyświetlić.

Patrz „Dzienniki — informacje” na stronie 49

Włączanie dziennika pakietówWszystkie dzienniki funkcji Ochrona przed zagrożeniami sieciowymi orazZarządzanie klientami są włączone domyślnie, oprócz dziennika pakietów. Naklientach niezarządzanych można włączać i wyłączać dziennik pakietów.

Na klientach zarządzanych administrator może zezwolić na włączanie lubwyłączanie dziennika pakietów.


Aby włączyć dziennik pakietów:

1 W kliencie, na stronie Stan, z prawej strony pozycji Ochrona przedzagrożeniami sieciowymi kliknij pozycję Opcje, a następnie kliknij pozycjęZmień ustawienia.

2 W oknie dialogowym Ustawienia ochrony przed zagrożeniami sieciowymikliknij pozycję Dzienniki.

3 Zaznacz opcję Włącz dziennik pakietów.


Śledzeniewsteczne zarejestrowanych zdarzeń do ichźródła

Możliwe jest przeprowadzenie śledzenia wstecznego niektórych zarejestrowanychzdarzeń aż do źródła danych z nimi związanych. Mechanizm śledzenia wstecznegowskazuje dokładne kroki, lub inaczej przeskoki, na drodze ruchu przychodzącego.Przeskok jest to punkt przejścia, taki jak router, pokonywany przez pakiet danychna drodze między komputerami w Internecie. Mechanizm śledzenia wstecznegoodtwarza ścieżkę pakietu danych, ustalając routery na drodze tego pakietu dokomputera użytkownika.

Zapewnianie ochrony komputerowiŚledzenie wsteczne zarejestrowanych zdarzeń do ich źródła

52


W przypadku niektórych wpisów dziennika można przeprowadzić śledzeniepakietu danych użytego przy próbie ataku. Każdy router na drodze pakietu danychma ustalony adres IP. Użytkownik może wyświetlić ten adres IP i inne szczegóły.Wyświetlane informacje nie gwarantują ustalenia prawdziwej tożsamości hakera.Adres IP ostatniego przeskoku wskazuje właściciela routera, za pośrednictwemktórego hakerzy nawiązali połączenie i nie musi identyfikować samych hakerów.

Użytkownik może przeprowadzić śledzenie wsteczne niektórych zdarzeńzarejestrowanych w dzienniku zabezpieczeń i dzienniku ruchu.

Aby przeprowadzić śledzenie wsteczne zarejestrowanego zdarzenia:

1 W programie klienckim kliknij pozycję Wyświetldzienniki na pasku bocznym.

2 Po prawej stronie pozycji Ochrona przed zagrożeniami sieciowymi lubZarządzanie klientami kliknij pozycję Wyświetldzienniki. Następnie kliknijdziennik zawierający wpis, który chcesz prześledzić.

3 W oknie widoku dziennika wybierz wiersz zawierający wpis, który chceszprześledzić.

4 Kliknij pozycję Działanie, a następnie kliknij pozycję Śledzenie wsteczne.

5 W oknie dialogowym Informacjeośledzeniuwstecznym kliknij pozycję Whois > >, aby wyświetlić szczegółowe informacje o każdym przeskoku.

Na panelu rozwijanym wyświetlone zostaną informacje o właścicielu adresuIP, z którego pochodzi śledzone zdarzenie ruchu. Używając kombinacjiklawiszy Ctrl+C i Ctrl+V, można wyciąć informacje z panelu i wkleić je wwiadomości e-mail do administratora.

6 Kliknij ponownie pozycję Who is <<, aby ukryć informacje szczegółowe.

7 Po zakończeniu kliknij przycisk OK.

Eksportowanie danych dziennikaInformacje z niektórych dzienników można wyeksportować do pliku wartościrozdzielanych przecinkami (.csv) lub pliku bazy danych programu Access (.mdb).Format .csv to popularny format plików używany do importowania danych przezwiększość arkuszy kalkulacyjnych i baz danych. Dane te można wykorzystać winnym programie do utworzenia prezentacji i wykresów lub połączenia z innymiinformacjami. Informacje z dzienników funkcji Ochrona przed zagrożeniamisieciowymi i Zarządzanie klientami można wyeksportować do plików wartościrozdzielanych tabulatorami.


53Zapewnianie ochrony komputerowiEksportowanie danych dziennika

Uwaga: Jeśli oprogramowanie klienckie działa w instalacji Server Core systemuWindows Server 2008, nie można wyeksportować danych dziennika do pliku .mdb.Format .mdb wymaga aplikacji firmy Microsoft niedostępnych w instalacji ServerCore.

Do pliku .csv lub .mdb można wyeksportować następujące dzienniki:

■ Dziennik systemu funkcji Ochrona przed wirusami i programami typu spyware

■ Dziennik zagrożeń funkcji Ochrona przed wirusami i programami typu spyware

■ Dziennik skanowania funkcji Ochrona przed wirusami i programami typuspyware

■ Dziennik systemu funkcji Zapobieganie zagrożeniom

■ Dziennik zagrożeń funkcji Zapobieganie zagrożeniom

■ Dziennik funkcji Ochrona przed naruszeniem integralności

Uwaga: Po zastosowaniu jakiegokolwiek filtrowania danych dziennikawyeksportowane zostaną tylko dane zgodne z aktualnym filtrem. Ograniczenieto nie dotyczy dzienników eksportowanych do pliku wartości rozdzielanychtabulatorami. W takim przypadku eksportowane są wszystkie dane zawarte wtych dziennikach.

Do pliku wartości rozdzielanych tabulatorami z rozszerzeniem .txt możnawyeksportować następujące dzienniki:

■ Dziennik kontroli funkcji Zarządzanie klientami

■ Dziennik zabezpieczeń funkcji Zarządzanie klientami

■ Dziennik systemu funkcji Zarządzanie klientami

■ Dziennik pakietów funkcji Ochrona przed zagrożeniami sieciowymi

■ Dziennik ruchu funkcji Ochrona przed zagrożeniami sieciowymi

Uwaga: Oprócz pliku tekstowego wartości rozdzielanymi tabulatorami możnatakże wyeksportować dane z dziennika pakietów w formacie monitora sieci lubformacie NetXray.

W instalacji Server Core systemu Windows Server 2008 okna dialogowe interfejsuużytkownika mogą różnić się od okien dialogowych opisanych w tych procedurach.

Zapewnianie ochrony komputerowiEksportowanie danych dziennika

54

Aby wyeksportować dane do pliku .csv:


2 Obok pozycji Ochrona przed wirusami i programami typu spyware lubZapobieganie zagrożeniom kliknij pozycję Wyświetl dzienniki.

3 Kliknij nazwę żądanego dziennika.

4 W oknie dziennika sprawdź, czy wyświetlane są dane, które chcesz zapisać,a następnie kliknij pozycję Eksportuj.

5 Na liście rozwijanej Zapisz w przejdź do katalogu, w którym chcesz zapisaćplik.

6 W polu tekstowym Nazwa pliku wpisz żądaną nazwę pliku.

7 Kliknij przycisk Zapisz.


Aby wyeksportować dane dzienników funkcji Ochrona przed zagrożeniamisieciowymi lub Zarządzanie klientami do pliku tekstowego:


2 Po prawej stronie pozycji Ochrona przed zagrożeniami sieciowymi lubZarządzanie klientami kliknij pozycję Wyświetl dzienniki.

3 Kliknij nazwę dziennika, z którego chcesz wyeksportować dane.

4 Kliknij menu Plik > Eksportuj.

Jeżeli wybrany został dziennik pakietów, można zamiast tego kliknąć polecenieEksportuj do formatu monitora sieci lub Eksportuj do formatu Netxray.

5 Na liście rozwijanej Zapisz w przejdź do katalogu, w którym chcesz zapisaćplik.

6 W polu tekstowym Nazwa pliku wpisz żądaną nazwę pliku.

7 Kliknij przycisk Zapisz.

8 Kliknij pozycję Plik > Zakończ.

55Zapewnianie ochrony komputerowiEksportowanie danych dziennika

Zapewnianie ochrony komputerowiEksportowanie danych dziennika

56

Zarządzanie skanowaniami


■ Zarządzanie skanowaniami na komputerze

■ Sposób działania skanowań w poszukiwaniu wirusów i programów typu spyware

■ Planowanie skanowania zdefiniowanego przez użytkownika

■ Planowanie uruchamiania skanowania na żądanie lub przy uruchomieniukomputera

■ Zarządzanie wykryciami funkcji Download Insight na komputerze

■ Dostosowanie ustawień funkcji Download Insight

■ Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programówtypu spyware

■ Konfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnegooprogramowania i zagrożeń bezpieczeństwa

■ Wykluczanie elementów ze skanowań — informacje

■ Wykluczanie elementów ze skanowań

■ Zarządzanie plikami poddanymi kwarantannie na komputerze klienckim

■ Przesyłanie informacji o wykryciach do centrum Symantec Security Response— informacje

■ Przesyłanie informacji o wykryciach do centrum Symantec Security Response

■ Klient i Centrum zabezpieczeń systemu Windows — informacje

■ Zarządzanie funkcją SONAR na komputerze klienckim

4Rozdział

Zarządzanie skanowaniami na komputerzeKlient zarządzany domyślnie uruchamia skanowanie aktywne codziennie o 12:30.Klient niezarządzany jest instalowany z wyłączonym wstępnie ustawionymskanowaniem aktywnym.

Użytkownik klienta niezarządzanego może zarządzać swoimi skanowaniami. Nakliencie zarządzanym użytkownik może konfigurować swoje skanowania, o ileadministrator udostępnił te ustawienia.

Tabela 4-1 Zarządzanie skanowaniami

OpisKrok

Należy sprawdzić typy skanowań oraz typy wirusów i zagrożeńbezpieczeństwa.

Patrz „Sposób działania skanowań w poszukiwaniu wirusów iprogramów typu spyware” na stronie 64

Zapoznanie się zesposobem działaniaskanowań

Należy się upewnić, że na komputerze zainstalowane sąnajnowsze definicje wirusów.

Patrz „Aktualizowanie systemu ochrony komputera”na stronie 36

Aktualizacja definicjiwirusów

Funkcja Automatyczna ochrona jest domyślnie włączona.Funkcja Automatyczna ochrona powinna być zawsze włączona.Wskutek wyłączenia funkcji Automatyczna ochrona wyłączonazostaje funkcja Download Insight, a funkcja SONAR nie możewykonywać wykrywania heurystycznego.

Patrz „Włączanie lub wyłączanie funkcji Automatyczna ochrona”na stronie 46

Sprawdzenie, czy funkcjaAutomatyczna ochronajest włączona

Komputer należy regularnie skanować w poszukiwaniu wirusówi zagrożeń bezpieczeństwa. Należy się upewnić, że skanowaniasą przeprowadzane regularnie, sprawdzając datę ostatniegoskanowania.


Patrz „Planowanie skanowania zdefiniowanego przezużytkownika” na stronie 75

Skanowanie komputera

Zarządzanie skanowaniamiZarządzanie skanowaniami na komputerze

58

OpisKrok

Podczas skanowań na żądanie, zaplanowanych, przyuruchomieniu oraz zdefiniowanych przez użytkownika programSymantec Endpoint Protection domyślnie wyświetla oknodialogowe przedstawiające postęp skanowania. Ponadto funkcjaAutomatyczna ochrona może wyświetlać okno dialogowewyników skanowania, gdy wykryty zostanie wirus lub zagrożeniebezpieczeństwa. Powiadomienia te można wyłączyć.

Funkcja wstrzymania umożliwia zatrzymanie skanowania wdowolnej chwili i wznowienie go w późniejszym czasie. Możnawstrzymywać wszystkie skanowania zainicjowane przezużytkownika.

W sieci zarządzanej administrator określa, czy użytkownik możewstrzymywać skanowania inicjowane przez administratora.Jeśli opcja Wstrzymaj skanowanie jest niedostępna, to znaczy,że administrator wyłączył funkcję wstrzymywania. Jeśliadministrator włączył funkcję odraczania, użytkownik może naokreślony czas odraczać wykonanie skanowań zaplanowanychprzez administratora.

Wznowione skanowanie rozpoczyna się od miejsca, w którymzostało przerwane.

Uwaga: W przypadku wstrzymania skanowania w chwili, gdyklient skanuje plik skompresowany, klient może zareagować nażądanie wstrzymania dopiero po kilku minutach.


Wstrzymywanie lubodraczanie skanowań

59Zarządzanie skanowaniamiZarządzanie skanowaniami na komputerze

OpisKrok

Gdy uruchomione jest skanowanie, wyświetlane może być oknodialogowe z wynikami skanowania. Za pomocą okna dialogowegoz wynikami skanowania można wykonać działania wobecelementów wykrytych przez skanowanie.

W sieci zarządzanej okno dialogowe postępu skanowania możenie być wyświetlane podczas skanowań inicjowanych przezadministratora. Administrator może wyłączyć opcjęwyświetlania wyników w przypadku wykrycia wirusa lubzagrożenia bezpieczeństwa przez klienta. W niektórychprzypadkach administrator może zezwolić użytkownikowi nawyświetlanie wyników skanowania, ale nie na wstrzymanie aniwznawianie skanowania.

Uwaga: W używanej wersji językowej systemu operacyjnegoniektóre znaki w nazwach wirusów wyświetlanych w okniedialogowym wyników skanowania mogą nie być interpretowanepoprawnie. Jeśli system operacyjny nie może zinterpretowaćznaków, wyświetlane są one w powiadomieniach jako znakizapytania. Na przykład nazwy niektórych wirusów mogązawierać dwubajtowe znaki Unicode. Na komputerach klienckichz systemem operacyjnym w wersji angielskiej znaki te sąwyświetlane jako znaki zapytania.

Patrz „Reagowanie na wykrycie wirusa lub zagrożenia”na stronie 24

Interakcja z wynikamiskanowania


60

OpisKrok

Domyślnie program Symantec Endpoint Protection zapewniawysoki poziom zabezpieczeń, zarazem minimalizującniekorzystny wpływ na wydajność komputera. Ustawienia możnadostosować, aby dodatkowo zwiększyć wydajność komputera.

W przypadku skanowań zaplanowanych i na żądanie możnazmienić następujące opcje:

■ Optymalizacja skanowania

Można ustawić opcję optymalizacji skanowania Najwyższawydajność aplikacji.

■ Pliki skompresowane

Można zmienić liczbę poziomów skanowania plikówskompresowanych.

■ Wznawiane skanowania

Można określić maksymalną długość czasu skanowania.Skanowanie będzie wznawiane podczas bezczynnościkomputera.

■ Skanowania w terminach losowych

Można określić losowy czas uruchamiania skanowania wokreślonym przedziale czasu.

Można również wyłączyć skanowania przy uruchamianiu lubzmienić harmonogram skanowań zaplanowanych.

Patrz „Dostosowywanie ustawień skanowań w poszukiwaniuwirusów i programów typu spyware” na stronie 84

Patrz „Planowanie skanowania zdefiniowanego przezużytkownika” na stronie 75

Dostosowanie skanowańw celu zwiększeniawydajności komputera


OpisKrok

W większości przypadków domyślne ustawienia skanowaniazapewniają wystarczającą ochronę komputera. W niektórychprzypadkach może być konieczne zwiększenie ochrony.Zwiększenie ochrony może mieć negatywny wpływ na wydajnośćkomputera.

W przypadku skanowań zaplanowanych i na żądanie możnazmienić następujące opcje:

■ Wydajność skanowania

Można ustawić opcję optymalizacji skanowania Najwyższawydajność skanowania.

■ Działania skanowania

Zmienić działania naprawcze wykonywane po wykryciuwirusa.

■ Czas trwania skanowania

Domyślnie skanowania zaplanowane są uruchamiane dokońca określonego przedziału czasu, a następnie wznawiane,gdy komputer kliencki jest bezczynny. Użytkownik możeustawić czas trwania skanowania Skanowanie aż dozakończenia.

■ Wyszukiwanie Insight

Funkcja Wyszukiwanie Insight używa najnowszego zestawudefinicji do skanowania i podejmowania decyzji dotyczącychplików. Stosuje również technologię oceny reputacji firmySymantec. Funkcja Wyszukiwanie Insight powinna byćwłączona. Ustawienia funkcji Wyszukiwanie Insight sąpodobne do ustawień funkcji Download Insight.

Można także podwyższyć poziom ochrony przy użyciutechnologii Bloodhound. Technologia Bloodhound wydziela iizoluje logiczne obszary pliku w celu wykrywania sposobudziałania typowego dla wirusów. Automatyczny poziomwykrywania można zmienić na Agresywny, aby podwyższyćpoziom ochrony na komputerze. Ustawienie Agresywnyskutkuje jednak zazwyczaj większą liczbą fałszywych alarmów.


Dostosowanie skanowańw celu zwiększeniaochrony komputera


62

OpisKrok

Można zmienić następujące opcje funkcji Automatycznaochrona:

■ Pamięć podręczna plików

Pamięć podręczna plików powinna być włączona (ustawieniedomyślne). Gdy pamięć podręczna plików jest włączona,funkcja Automatyczna ochrona zapamiętuje przeskanowane,niezainfekowane pliki i nie skanuje ich ponownie.

■ Ustawienia sieci

Gdy funkcja Automatyczna ochrona na komputerachzdalnych jest włączona, opcja Tylko wówczas, gdy pliki sąwykonywane powinna być włączona.

■ Można również określić, że funkcja Automatyczna ochronaufa plikom na komputerach zdalnych i używa pamięcipodręcznej sieci.

Automatyczna ochrona domyślnie skanuje pliki podczas ichzapisywania z komputera użytkownika na komputerzezdalnym. Automatyczna ochrona skanuje także pliki podczasich zapisywania z komputera zdalnego na komputerzeużytkownika.

Pamięć podręczna sieci przechowuje rejestr plików, któreAutomatyczna ochrona przeskanowała z komputerazdalnego. Używając pamięci podręcznej sieci, zapobiega sięskanowaniu przez funkcję Automatyczna ochrona tegosamego pliku więcej niż raz.


Modyfikacja ustawieńfunkcji Automatycznaochrona w celuzwiększenia wydajnościkomputera lubzwiększenia ochrony

Funkcja Download Insight sprawdza pliki, które użytkownikpróbuje pobrać za pomocą przeglądarek internetowych ikomunikatorów internetowych oraz innych portali. FunkcjaDownload Insight stosuje informacje o reputacji z usługiSymantec Insight w celu podejmowania decyzji dotyczącychplików.

Patrz „Zarządzanie wykryciami funkcji Download Insight nakomputerze” na stronie 80

Zarządzanie wykryciamifunkcji Download Insight

Funkcja SONAR jest częścią funkcji Zapobieganie zagrożeniom.

Patrz „Zarządzanie funkcją SONAR na komputerze klienckim”na stronie 102

Zarządzanie funkcjąSONAR

Należy wykluczyć ze skanowania bezpieczne pliki lub procesy.


Identyfikacja wyjątkówskanowania


OpisKrok

Domyślnie komputer kliencki wysyła informacje o wykryciachdo centrum Symantec Security Response. Można wyłączyćwysyłki lub wybrać rodzaje przesyłanych informacji.

Firma Symantec zaleca niewyłączanie wysyłek. Informacje teułatwiają firmie Symantec eliminowanie zagrożeń.

Patrz „Przesyłanie informacji o wykryciach do centrumSymantec Security Response” na stronie 99

Przesyłanie informacji owykryciach do firmySymantec

Program Symantec Endpoint Protection poddaje zainfekowanepliki kwarantannie i przenosi je do lokalizacji, z której nie mogąinfekować innych plików na komputerze.

Jeśli pliku poddanego kwarantannie nie można naprawić,użytkownik musi podjąć decyzję, co zrobić z plikiem.

Można także wykonać następujące działania:

■ Usunięcie pliku poddanego kwarantannie, jeśli dostępna jestkopia zapasowa pliku lub plik zastępczy z zaufanego źródła.

■ Pozostawienie plików z nieznanymi infekcjami w obszarzekwarantanny, dopóki firma Symantec nie wyda nowychdefinicji wirusów.

■ Co pewien czas należy sprawdzić pliki poddanekwarantannie, aby nie dopuścić do nagromadzenia dużejliczby plików. Pliki poddane kwarantannie należy sprawdzać,gdy w sieci pojawi się nowa infekcja wirusowa.

Patrz „Zarządzanie plikami poddanymi kwarantannie nakomputerze klienckim” na stronie 93

Patrz „Poddawanie plików kwarantannie — informacje”na stronie 95

Zarządzanie plikamipoddanymikwarantannie

Sposób działania skanowańwposzukiwaniuwirusówi programów typu spyware

Skanowania w poszukiwaniu wirusów i zagrożeń bezpieczeństwa identyfikują ineutralizują lub eliminują wirusy i zagrożenia bezpieczeństwa znalezione nakomputerach. Skanowanie eliminuje wirusa lub zagrożenie, stosując następującyproces:

■ Mechanizm skanowania przeszukuje pliki i inne składniki na komputerze wposzukiwaniu śladów wirusów. Każdy wirus zawiera rozpoznawalny wzorzec,zwany sygnaturą. Na kliencie zainstalowany jest plik definicji wirusów

Zarządzanie skanowaniamiSposób działania skanowań w poszukiwaniu wirusów i programów typu spyware

64

zawierający znane sygnatury wirusów bez ich destrukcyjnego kodu. Mechanizmskanowania porównuje każdy plik lub składnik z plikiem definicji wirusów.Jeśli mechanizm skanowania znajdzie dopasowanie, plik jest zainfekowany.

■ Mechanizm skanowania używa plików definicji w celu ustalenia, czy doszłodo infekcji wirusem lub zagrożeniem. Następnie mechanizm skanowaniapodejmuje działanie naprawcze wobec zainfekowanego pliku. W celu naprawyzainfekowanego pliku klient oczyszcza lub usuwa plik albo poddaje gokwarantannie.Patrz „Sposób reakcji skanowań na wykrycie wirusa lub zagrożenia”na stronie 73

Tabela 4-2 przedstawia obszary komputera skanowane przez klienta.

Tabela 4-2 Obszary komputera skanowane przez klienta

OpisSkładnik

Klient skanuje wybrane pliki. W większości typów skanowaniażądane pliki wybiera użytkownik.

Oprogramowanie klienckie stosuje skanowanie oparte na wzorcachw celu wyszukania w plikach oznak wirusów. Oznaki wirusów zwanesą wzorcami lub sygnaturami. W celu identyfikacji wirusa każdyplik jest porównywany z nieszkodliwymi sygnaturami zawartymiw pliku definicji wirusów.

Jeśli wirus zostanie wykryty, klient domyślnie próbuje go usunąć zzainfekowanego pliku. Jeśli usunięcie okaże się niemożliwe, klientpoddaje plik kwarantannie w celu uniemożliwienia dalszegoinfekowania komputera.

Klient stosuje również skanowanie oparte na wzorcach w celuwyszukiwania oznak zagrożeń bezpieczeństwa w plikach i kluczachrejestru systemu Windows. W razie znalezienie zagrożeniabezpieczeństwa klient domyślnie poddaje zainfekowane plikikwarantannie i usuwa skutki działania zagrożenia. Jeśli jest toniemożliwe, klient rejestruje próbę.

Wybrane pliki

Klient przeszukuje pamięć komputera. Każdy wirus plików, wirussektora rozruchowego lub wirus makr może być wirusemrezydującym w pamięci. Wirusy rezydentne kopiują się do pamięcikomputera. W pamięci mogą pozostać ukryte, dopóki nie nastąpiuaktywniające je zdarzenie. Następnie wirus może przenieść się nadyskietkę znajdującą się w napędzie lub na dysk twardy. Wirusaznajdującego się w pamięci nie można usunąć. Można jednak usunąćwirusa z pamięci, ponownie uruchamiając komputer w odpowiedzina wyświetlony monit.

Pamięć RAM

65Zarządzanie skanowaniamiSposób działania skanowań w poszukiwaniu wirusów i programów typu spyware

OpisSkładnik

Klient sprawdza sektor rozruchowy komputera w poszukiwaniuwirusów. Sprawdzane są dwa elementy: tablice partycji i głównyrekord rozruchowy.

Sektor rozruchowy

Wirusy często rozprzestrzeniają się na dyskietkach. Dyskietka możepozostać w napędzie podczas uruchamiania lub wyłączaniakomputera. Gdy uruchomione zostaje skanowanie, klient przeszukujesektor rozruchowy i tabele partycji dyskietki znajdującej się wnapędzie. Podczas wyłączania komputera wyświetlany jest monit owyjęcie dyskietki w celu zapobieżenia ewentualnej infekcji.

Dyskietki

Typy skanowań — informacjeProgram Symantec Endpoint Protection oferuje różne typy skanowań w celuzapewnienia ochrony przed różnymi typami wirusów i zagrożeń.

Domyślnie program Symantec Endpoint Protection uruchamia skanowanie aktywnecodziennie o 12:30. Program Symantec Endpoint Protection uruchamia skanowanieaktywne również po nadejściu nowych definicji na komputer kliencki. Nakomputerach niezarządzanych program Symantec Endpoint Protection oferujerównież (wyłączoną) opcję domyślnego skanowania przy uruchamianiu.

Na klientach niezarządzanych należy codziennie uruchamiać na komputerzeskanowanie aktywne. W przypadku podejrzenia, że na komputerze znajduje sięnieaktywne zagrożenie, można zaplanować uruchamianie skanowania pełnegoraz w tygodniu lub raz w miesiącu. Skanowania pełne bardziej obciążają zasobykomputera i mogą obniżyć wydajność komputera.


Tabela 4-3 Typy skanowania

OpisTyp skanowania

Funkcja Automatyczna ochrona nieustannie analizuje pliki i dane wiadomości e-mailpodczas ich zapisywania lub odczytu na komputerze. Funkcja Automatyczna ochronaautomatycznie neutralizuje lub eliminuje wykryte wirusy i zagrożenia bezpieczeństwa.

Funkcja Automatyczna ochrona chroni również wysyłane i odbierane wiadomości e-mail.

Patrz „Typy funkcji Automatyczna ochrona — informacje” na stronie 68

Automatyczna ochrona


66

OpisTyp skanowania

Funkcja Download Insight zwiększa ochronę zapewnianą przez funkcję Automatycznaochrona, sprawdzając pliki, które użytkownicy próbują pobrać za pomocą przeglądareki innych portali.

Funkcja Download Insight używa danych o reputacji w celu podejmowania decyzjidotyczących plików. Wynik reputacji plików jest określany przez technologię firmySymantec o nazwie Insight. Usługa Insight analizuje nie tylko źródło pliku, lecz równieżjego kontekst. Usługa Insight zapewnia ocenę bezpieczeństwa, którą funkcja DownloadInsight stosuje w celu podjęcia decyzji dotyczących plików.

Funkcja Download Insight jest częścią funkcji Automatyczna ochrona i wymaga, abyfunkcja Automatyczna ochrona była włączona. Wskutek wyłączenia funkcji Automatycznaochrona wyłączona zostaje funkcja Download Insight, nawet jeśli funkcja DownloadInsight jest włączona.

Patrz „Sposób stosowania danych o reputacji w celu podejmowania decyzji dotyczącychplików przez program Symantec Endpoint Protection” na stronie 74

Download Insight


OpisTyp skanowania

Dla klientów zarządzanych administrator może tworzyć skanowania zaplanowane luburuchamiać skanowania na żądanie. W przypadku klientów niezarządzanych lub klientówzarządzanych z odblokowanymi ustawieniami skanowania użytkownicy mogą tworzyć iuruchamiać własne skanowania.

Skanowania zdefiniowane przez administratora lub użytkownika wykrywają wirusy izagrożenia bezpieczeństwa, analizując wszystkie pliki oraz procesy na komputerzeklienckim. Te typy skanowania mogą również sprawdzać pamięć i punkty ładowania.

Dostępne są następujące typy skanowań zdefiniowanych przez administratora lubużytkownika:

■ Skanowania zaplanowane

Skanowanie zaplanowane jest uruchamiane na komputerach klienckich wwyznaczonych terminach. Skanowania zaplanowane na ten sam termin są uruchamianepo kolei. Jeśli podczas skanowania zaplanowanego komputer będzie wyłączony,skanowanie nie zostanie wykonane, chyba że jest skonfigurowane do ponawiania wrazie pominięcia. Można zaplanować skanowanie aktywne, pełne lub niestandardowe.

Skonfigurowane ustawienia skanowania zaplanowanego można zapisać jako szablon.Dowolnych ustawień skanowania zapisanych jako szablon można użyć jako podstawyinnego skanowania. Szablony skanowań pozwalają oszczędzić czas podczaskonfigurowania wielu zasad. Szablon skanowania zaplanowanego jest domyślnieuwzględniony w zasadzie. Domyślne skanowanie zaplanowane obejmuje wszystkiepliki i katalogi.

■ Skanowania przy uruchomieniu i skanowania wyzwalane zdarzeniami

Skanowania przy uruchomieniu są uruchamiane po każdym zalogowaniuużytkowników na komputerach. Skanowania wyzwalane zdarzeniami są uruchamianepo pobraniu nowych definicji wirusów na komputery.

■ Skanowania na żądanie

Skanowanie na żądanie to skanowania uruchamiane ręcznie przez użytkownika.Skanowania na żądanie można uruchomić ze strony Skanowanie w poszukiwaniuzagrożeń.

Skanowaniaadministratora iskanowaniazdefiniowane przezużytkownika

Funkcja SONAR która oferuje ochronę w czasie rzeczywistym przeciw nowym atakom.Funkcja SONAR może powstrzymać ataki, zanim tradycyjne metody oparte na definicjachi sygnaturach umożliwią wykrywanie zagrożenia. Funkcja SONAR stosuje również analizęheurystyczną oraz dane o reputacji w celu podejmowania decyzji dotyczących plików.

Podobnie jak prewencyjne skanowania w poszukiwaniu zagrożeń, funkcja SONAR wykrywaprogramy rejestrujące naciśnięcia klawiszy, programy typu spyware i wszelkie inneaplikacje destrukcyjne faktycznie lub potencjalnie.

SONAR

Typy funkcji Automatyczna ochrona — informacjeFunkcja Automatyczna ochrona skanuje pliki oraz określone typy wiadomoście-mail i załączników do wiadomości e-mail.


68

Jeśli na komputerze klienckim stosowane są inne produkty zabezpieczające pocztęe-mail, takie jak program Symantec Mail Security, włączenie funkcji Automatycznaochrona poczty elektronicznej może być zbędne.

Automatyczna ochrona współpracuje tylko z obsługiwanymi klientami pocztowymi.Nie działa na serwerach pocztowych.

Uwaga: W razie wykrycia wirusa otwieranie wiadomości e-mail może zająć kilkasekund, gdyż funkcja Automatyczna ochrona musi ukończyć jej skanowanie.

Tabela 4-4 Typy funkcji Automatyczna ochrona

OpisTyp funkcji Automatycznaochrona

Nieustannie skanuje pliki podczas ich odczytu lub zapisu na komputerze

Funkcja Automatyczna ochrona jest domyślnie włączona dla systemu plików.Ładowana jest przy uruchomieniu systemu komputera. Sprawdza wszystkie plikiw poszukiwaniu wirusów i zagrożeń bezpieczeństwa oraz blokuje instalacjęzagrożeń bezpieczeństwa. Może opcjonalnie skanować pliki według rozszerzeń,skanować pliki na komputerach zdalnych i skanować dyskietki w poszukiwaniuwirusów rekordu rozruchowego. Opcjonalnie może tworzyć kopie zapasoweplików przed podjęciem próby ich naprawy oraz wymuszać zakończenie procesówi zatrzymanie usług.

Funkcję Automatyczna ochrona można skonfigurować do skanowania jedynieplików o wybranych rozszerzeniach. Jeżeli skanowane mają być wybranerozszerzenia plików, funkcja Automatyczna ochrona potrafi ustalić typ pliku,nawet jeżeli wirus zmieni jego rozszerzenie.

Jeśli nie jest uruchomiona Automatyczna ochrona poczty elektronicznej, alewłączona jest funkcja Automatyczna ochrona, komputery klienckie są nadalchronione. Większość aplikacji pocztowych zapisuje załączniki wiadomości e-mailw katalogu tymczasowym, gdy użytkownicy uruchamiają załączniki. FunkcjaAutomatyczna ochrona skanuje plik podczas jego zapisu w katalogu tymczasowymi wykrywa wszelkie wirusy lub zagrożenia bezpieczeństwa. Wirus zostanie równieżwykryty przez funkcję Automatyczna ochrona, jeżeli użytkownik będzie próbowałzapisać zainfekowany załącznik na dysku lokalnym lub sieciowym.

Automatyczna ochrona


OpisTyp funkcji Automatycznaochrona

Skanuje pocztę internetową (POP3 lub SMTP) i załączniki w poszukiwaniu wirusówi zagrożeń bezpieczeństwa, a także przeprowadza skanowanie heurystycznepoczty wychodzącej.

Automatyczna ochrona internetowej poczty e-mail domyślnie obsługujeszyfrowane hasła i wiadomości przesyłane przez połączenia protokołów POP3 iSMTP. Jeżeli używane są protokoły POP3 i SMTP z warstwą SSL (Secure SocketsLayer), klient wykrywa połączenia zabezpieczone, ale nie skanuje szyfrowanychwiadomości.

Uwaga: Z powodu negatywnego wpływu na wydajność Automatyczna ochronainternetowej poczty e-mail dla połączeń POP3 nie jest obsługiwana w systemachoperacyjnych dla serwerów. Skanowanie internetowej poczty e-mail nie jest takżeobsługiwane na komputerach 64-bitowych.

Skanowanie poczty elektronicznej nie obsługuje usług IMAP, AOL ani HTTP,takich jak Hotmail lub Yahoo! Mail.

Automatyczna ochronainternetowej poczty e-mail

Skanuje wiadomości e-mail w programie Microsoft Outlook (MAPI i Internet)oraz załączniki w poszukiwaniu wirusów i zagrożeń bezpieczeństwa

Obsługiwana w programie Microsoft Outlook 98/2000/2002/2003/2007/2010(MAPI i Internet)

Jeżeli program Microsoft Outlook jest już zainstalowany na komputerze podczasinstalacji oprogramowania klienckiego, aplikacja pocztowa zostanie wykrytaprzez oprogramowanie klienckie. Klient automatycznie zainstaluje funkcjęAutomatyczna ochrona poczty Microsoft Outlook.

W razie używania programu Microsoft Outlook z interfejsem MAPI albo klientaMicrosoft Exchange, gdy funkcja Automatyczna ochrona jest włączona dlawiadomości e-mail, załączniki są pobierane natychmiast. Załączniki są skanowanepodczas ich otwierania. Jeżeli za pomocą wolnego połączenia pobierany jest dużyzałącznik, wpływa to negatywnie na szybkość działania poczty. Funkcję tę możnawyłączyć, jeżeli często odbierane są załączniki o dużych rozmiarach.

Uwaga: Na serwerach Microsoft Exchange nie należy instalować składnikaAutomatyczna ochrona poczty Microsoft Outlook.

Automatyczna ochrona pocztyMicrosoft Outlook

Skanuje wiadomości e-mail w programie Lotus Notes oraz załączniki wposzukiwaniu wirusów i zagrożeń bezpieczeństwa

Obsługiwana w programie Lotus Notes 4.5x, 4.6, 5.0 i 6.x

Jeżeli program Lotus Notes jest już zainstalowany na komputerze podczasinstalacji oprogramowania klienckiego, aplikacja pocztowa zostanie wykrytaprzez oprogramowanie klienckie. Klient automatycznie zainstaluje funkcjęAutomatyczna ochrona poczty Lotus Notes.

Automatyczna ochrona pocztyLotus Notes


70

Wirusy i zagrożenia bezpieczeństwa — informacjeProgram Symantec Endpoint Protection przeprowadza skanowania w poszukiwaniuzarówno wirusów, jak i zagrożeń bezpieczeństwa. Zagrożenia bezpieczeństwa toprogramy typu spyware, adware i narzędzia typu rootkit oraz inne pliki, któremogą zagrażać komputerowi lub sieci.

Wirusy i zagrożenia bezpieczeństwa można otrzymać w wiadomościach e-maillub wiadomościach przesłanych za pomocą komunikatorów internetowych. Możnanieświadomie pobrać zagrożenie, akceptując umowę licencyjną innegooprogramowania.

Wiele wirusów i zagrożeń bezpieczeństwa instalowanych jest wskutek ataków„drive-by download”. Do tego typu pobrań dochodzi podczas odwiedzaniadestrukcyjnych lub zainfekowanych witryn internetowych, a program pobierającyaplikację jest instalowany przy użyciu luki zabezpieczeń komputera.

Informacje o poszczególnych zagrożeniach można wyświetlić w witrynieinternetowej centrum Symantec Security Response.

Najnowsze informacje na temat zagrożeń można znaleźć w witrynie internetowejcentrum Symantec Security Response. Witryna zawiera również obszerneinformacje techniczne oraz szczegóły dotyczące wirusów i zagrożeńbezpieczeństwa.

Patrz „Sposób reakcji skanowań na wykrycie wirusa lub zagrożenia” na stronie 73

Ilustracja 4-1 Sposoby atakowania komputera przez wirusy i zagrożeniabezpieczeństwa

Internet Pocztaelektroniczna,komunikatoryinternetowe

Innekomputery,siecioweudziałyplików

Komputer kliencki

Wirusy,destrukcyjne

oprogramowaniei zagrożenia

bezpieczeństwa

Dysk flashUSB

Wirusy,destrukcyjne

oprogramowaniei zagrożenia

bezpieczeństwa

Wirusy, destrukcyjneoprogramowanie i

zagrożeniabezpieczeństwa


Tabela 4-5 przedstawia listę typów wirusów i zagrożeń, mogących atakowaćkomputer.

Tabela 4-5 Wirusy i zagrożenia bezpieczeństwa

OpisZagrożenie

Programy lub kod, który po uruchomieniu dołącza własną kopiędo innego programu lub pliku. Przy uruchomieniuzainfekowanego programu dołączony wirus programu jestuaktywniany i dołącza się do następnych programów i plików.

Do kategorii wirusów zalicza się następujące typy zagrożeń:

■ Destrukcyjne roboty internetowe

Programy uruchamiające zautomatyzowane zadania przezInternet. Roboty mogą być używane do automatyzowaniaataków na komputery w celu zbierania informacji z witryninternetowych.

■ Robaki

Programy powielające się bez infekowania innych programów.Niektóre robaki rozprzestrzeniają się poprzez kopiowanie zdysku na dysk, a inne powielają się w pamięci w celu obniżeniawydajności komputera.

■ Konie trojańskie

Programy ukryte w czymś pozornie niewinnym, takim jak gralub program narzędziowy.

■ Zagrożenia hybrydowe

Są to zagrożenia, które łączą cechy wirusów, robaków, konitrojańskich i kodu ze słabymi punktami serwerów i Internetuw celu inicjowania, przesyłania i rozprzestrzeniania ataków.Zagrożenia hybrydowe wykorzystują wiele metod i technikumożliwiających im błyskawiczne rozprzestrzenianie się ipowodowanie rozległych szkód.

■ Narzędzia typu rootkit

Programy ukrywające się przed systemem operacyjnymkomputera.

Wirusy

Programy wyświetlające treści reklamowe.Adware

Programy powodujące łączenie się komputera z Internetem przeznumery typu 0700 lub witryny FTP, bez wiedzy użytkownika.Zazwyczaj numery te są wybierane w celu naliczenia opłat.

Dialery


72

OpisZagrożenie

Programy używane przez hakerów w celu uzyskanianieautoryzowanego dostępu do komputera użytkownika. Naprzykład jednym z narzędzi hakerskich jest program śledzący izapisujący poszczególne naciśnięcia klawiszy i wysyłający teinformacje do hakera. Za pomocą tych informacji haker możenastępnie wykonać skanowanie portów lub skanowanie wposzukiwaniu luk w zabezpieczeniach. Narzędzia hakerskie mogątakże zostać użyte do tworzenia wirusów.

Narzędzia hakerskie

Programy zmieniające lub przerywające działanie komputera wsposób, który w zamierzeniu ma rozbawić lub przestraszyćużytkownika. Przy próbie usunięcia program–żart może naprzykład odsuwać ikonę Kosza od kursora myszy.

Programy – żarty

Aplikacje celowo błędnie przedstawiające stan zabezpieczeńkomputera. Aplikacje te zazwyczaj wyświetlają fałszywepowiadomienia dotyczące zabezpieczeń, informujące o rzekomychinfekcjach, które trzeba usunąć.

Aplikacjewprowadzające w błąd

Programy monitorujące lub ograniczające użytkowaniekomputera. Programy te mogą działać w sposób niewykrywalnyi zazwyczaj przesyłają dane dotyczące monitorowania na innykomputer.

Programy do kontrolirodzicielskiej

Programy umożliwiające innemu komputerowi zdalny dostępprzez Internet w celu zbierania informacji, zaatakowania albozmodyfikowania zaatakowanego komputera.

Programy do zdalnegodostępu

Programy używane do zbierania informacji w celu uzyskanianieautoryzowanego dostępu do komputera.

Narzędzie ocenyzabezpieczeń

Samodzielne programy niepostrzeżenie monitorujące działaniaw systemie, wykrywające hasła oraz inne poufne informacje iprzesyłające je do innego komputera.

Spyware

Programy samodzielne lub dołączane do innych programów,śledzące działania użytkownika w Internecie i wysyłające teinformacje do systemu kontrolnego lub do hakera.

Program śledzący

Sposób reakcji skanowań na wykrycie wirusa lub zagrożeniaKlient reaguje na zainfekowanie plików przez wirusy i zagrożenia bezpieczeństwana różne sposoby zgodnie z ustawieniami dla danego typu zagrożenia. Wobeckażdego typu zagrożenia podejmowane jest pierwsze działanie, a jeśli zakończysię ono niepowodzeniem — drugie działanie.


Tabela 4-6 Sposoby reagowania skanowania na wirusy i zagrożeniabezpieczeństwa

DziałanieTyp zagrożenia

Gdy klient wykryje wirusa, domyślnie:

■ Najpierw próbuje usunąć wirusa z zainfekowanego pliku.

■ Jeżeli klient wyczyści plik, całkowicie usuwa zagrożenie z komputera.

■ Jeżeli klient nie może wyczyścić pliku, rejestruje niepowodzenie wdzienniku i przenosi zainfekowany plik do obszaru kwarantanny.


Wirus

Gdy klient wykryje zagrożenie bezpieczeństwa, domyślnie:

■ Poddaje zainfekowany plik kwarantannie.

■ Podejmuje próbę usunięcia lub naprawy wszelkich zmian dokonanychprzez to zagrożenie.

■ Jeżeli zagrożenia bezpieczeństwa nie można poddać kwarantannie,jest ono rejestrowane i pozostawiane bez zmian.

Zdarza się, że użytkownik nieświadomie instaluje aplikację zawierającązagrożenie bezpieczeństwa, takie jak program typu adware lub spyware.Jeśli firma Symantec uznaje, że poddanie danego zagrożenia kwarantannienie szkodzi komputerowi, program kliencki podejmie to działanie.Natychmiastowe poddanie zagrożenia kwarantannie może spowodowaćniestabilny stan komputera. Dlatego przed poddaniem zagrożeniakwarantannie klient czeka na ukończenie instalacji aplikacji. Następnienaprawia skutki uboczne zagrożenia.

Zagrożeniebezpieczeństwa

Dla każdego typu skanowania użytkownik może zmienić ustawienia sposobuobsługi wirusów i zagrożeń bezpieczeństwa przez klienta. Można wybrać różnedziałania dla każdej kategorii i dla poszczególnych zagrożeń bezpieczeństwa.

Sposób stosowania danych o reputacji w celu podejmowania decyzjidotyczących plików przez program Symantec Endpoint Protection

Firma Symantec zbiera informacje o plikach z globalnej wspólnoty milionówużytkowników oraz z sieci Global Intelligence Network. Zebrane informacje tworząbazę danych reputacji prowadzoną przez firmę Symantec. Produkty firmySymantec używają tych informacji w celu zapewnienia komputerom klienckimochrony przed nowymi, wyspecjalizowanymi i mutującymi zagrożeniami. Danete są „przetwarzane na serwerach Cloud”, ponieważ nie znajdują się na komputerzeklienckim. Komputer kliencki musi wysłać żądanie lub kwerendę do bazy danychreputacji.


74

Firma Symantec używa technologii o nazwie Insight w celu określenia poziomuzagrożenia każdego pliku, czyli „oceny bezpieczeństwa”.

Usługa Insight określa ocenę bezpieczeństwa pliku, sprawdzając następującecechy pliku i jego kontekstu:

■ Źródło pliku

■ Wiek pliku

■ Rozpowszechnienie pliku we wspólnocie

■ Inne miary bezpieczeństwa, na przykład sposób, w jaki plik może zostaćskojarzony z destrukcyjnym oprogramowaniem

Funkcje skanowania w programie Symantec Endpoint Protection wykorzystująusługę Insight w celu podejmowania decyzji dotyczących plików i aplikacji. Systemochrony przed wirusami i programami typu spyware ma funkcję o nazwieDownload Insight. Funkcja Download Insight używa danych o reputacji w celudokonywania wykryć. W przypadku wyłączenia wyszukiwań Insight funkcjaDownload Insight działa, ale nie może dokonywać wykryć. Inne funkcje ochrony,takie jak Wyszukiwanie Insight i SONAR, stosują informacje o reputacji w celudokonywania wykryć, ale funkcje te mogą w tym celu używać innych technologii.

Domyślnie komputery klienckie wysyłają informacje o wykryciach reputacji docentrum Symantec Security Response w celu analizy. Informacje te umożliwiajądoskonalenie bazy danych reputacji w usłudze Insight. Im więcej klientów przesyłainformacje, tym przydatniejsza staje się baza danych reputacji.

Wysyłki danych dotyczących reputacji można wyłączyć. Firma Symantec zalecajednak niewyłączanie wysyłek.

Komputery klienckie wysyłają również inne typy informacji o wykryciach docentrum Symantec Security Response.

Patrz „Zarządzanie wykryciami funkcji Download Insight na komputerze”na stronie 80

Patrz „Przesyłanie informacji o wykryciach do centrum Symantec SecurityResponse” na stronie 99

Planowanie skanowania zdefiniowanego przezużytkownika

Skanowania zaplanowane są ważnym składnikiem ochrony przed wirusami izagrożeniami bezpieczeństwa. Jako minimum ochrony przed wirusami izagrożeniami bezpieczeństwa należy zaplanować przeprowadzanie skanowania

75Zarządzanie skanowaniamiPlanowanie skanowania zdefiniowanego przez użytkownika

raz w tygodniu. Nowo utworzone skanowanie pojawia się na liście skanowań wokienku Skanowanie w poszukiwaniu zagrożeń.

Uwaga: Jeśli administrator utworzył dla użytkownika skanowanie zaplanowane,będzie ono wyświetlane na liście skanowań w okienku Skanowaniewposzukiwaniuzagrożeń.

Gdy ma się odbyć skanowanie zaplanowane, komputer musi być uruchomiony, ausługi programu Symantec Endpoint Protection muszą być załadowane. Usługiprogramu Symantec Endpoint Protection Services są domyślnie ładowane pouruchomieniu komputera.

W przypadku klientów zarządzanych administrator może ustawić wyższy priorytetdla własnych ustawień.

Jeżeli na tym samym komputerze zaplanuje się kilka skanowań rozpoczynającychsię o tej samej porze, skanowania te są uruchamiane po kolei. Kiedy jednoskanowanie zakończy się, rozpocznie się drugie. Można na przykład zaplanowaćna jednym komputerze trzy różne skanowania na godzinę 13:00. Każde skanowanieobejmuje inny dysk. Jedno skanowanie obejmuje dysk C, drugie — D, a trzecie —E. W tym przykładzie lepszym rozwiązaniem jest zaplanowanie jednegoskanowania dysków C, D i E.




Aby zaplanować skanowanie zdefiniowane przez użytkownika:

1 W programie klienckim kliknij pozycję Skanujwposzukiwaniuzagrożeń napasku bocznym.

2 Kliknij pozycję Utwórz nowe skanowanie.

Zarządzanie skanowaniamiPlanowanie skanowania zdefiniowanego przez użytkownika

76

3 W oknie dialogowym Tworzenienowegoskanowania–skanowaneelementywybierz jeden z poniższych typów skanowania w celu jego zaplanowania:

Skanowanie obszarów komputera najczęściej infekowanych przezwirusy i zagrożenia bezpieczeństwa.

Skanowanie aktywne należy uruchamiać codziennie.

Skanowanieaktywne

Skanowanie całego komputera w poszukiwaniu wirusów izagrożeń bezpieczeństwa.

Skanowanie pełne należy uruchamiać raz w tygodniu lub raz wmiesiącu. Skanowania pełne mogą obniżyć wydajność komputera.

Skanowaniepełne

Skanowanie wybranych obszarów komputera w poszukiwaniuwirusów i zagrożeń bezpieczeństwa.

Skanowanieniestandardowe

4 Kliknij przycisk Dalej.

5 W razie wybrania opcji Skanowanie niestandardowe zaznacz odpowiedniepola wyboru, aby określić skanowane lokalizacje, a następnie kliknij przyciskDalej.

Stosowane symbole mają następujące znaczenie:

Plik, napęd, lub folder nie jest wybrany. Jeśli element jest napędem lubfolderem, znajdujące się w nim foldery i pliki również nie są wybrane.

Wskazany plik lub folder jest wybrany.

Wskazany folder lub napęd jest wybrany. Wszystkie elementy zawarte wtym folderze lub napędzie są również wybrane.

Wskazany folder lub napęd nie jest wybrany, ale wybrany jest jeden lubkilka elementów w tym folderze lub napędzie.

77Zarządzanie skanowaniamiPlanowanie skanowania zdefiniowanego przez użytkownika

6 W oknie dialogowym Tworzenie nowego skanowania – opcje skanowaniamożna zmodyfikować każdą z poniższych opcji:

Umożliwiają zmianę rozszerzeń plików skanowanych przez klienta.Domyślne ustawienie to skanowanie wszystkich plików.

Typy plików

Umożliwiają zmianę działań, które mają być podejmowane jakopierwsze lub drugie działanie w razie znalezienia wirusów izagrożeń bezpieczeństwa.

Działania

Umożliwiają utworzenie komunikatu wyświetlanego w razieznalezienia wirusa lub zagrożenia bezpieczeństwa. Można równieżzadecydować, czy program ma powiadamiać o planowanym podjęciudziałań naprawczych.

Powiadomienia

Umożliwiają zmianę dodatkowych funkcji skanowania, takich jakwyświetlanie okna dialogowego z wynikami skanowania.

Zaawansowane

Umożliwiają zmianę składników komputera skanowanych przezklienta. Dostępne opcje są zależne od opcji wybranej w kroku 3.

Przyspieszanieskanowania


8 W oknie dialogowym Tworzenie nowego skanowania – termin skanowaniakliknij pozycję Wokreślonychterminach, a następnie kliknij przycisk Dalej.

Można również utworzyć skanowanie na żądanie lub skanowanie przyuruchomieniu.

Patrz „Planowanie uruchamiania skanowania na żądanie lub przyuruchomieniu komputera” na stronie 79

9 W oknie dialogowym Tworzenienowegoskanowania–harmonogram określw obszarze Harmonogramskanowania częstotliwość i terminy skanowania,a następnie kliknij przycisk Dalej.

10 W obszarze Czas trwania skanowania można określić czas, w którymskanowanie musi zostać ukończone. Można również skonfigurować losowyczas uruchamiania skanowania.

11 W obszarze Pominięte skanowania zaplanowane można określić interwałponawiania prób skanowania.

12 W oknie dialogowym Tworzenie nowego skanowania – nazwa skanowaniawpisz nazwę i opis skanowania.

Nazwij skanowanie, na przykład: Piątek rano

13 Kliknij przycisk Zakończ.

Zarządzanie skanowaniamiPlanowanie skanowania zdefiniowanego przez użytkownika

78

Planowanie uruchamiania skanowania na żądanie lubprzy uruchomieniu komputera

Skanowanie zaplanowane można uzupełnić automatycznym skanowanieminicjowanym przy każdym uruchomieniu komputera lub zalogowaniu się nakomputerze. Często skanowanie przy uruchamianiu jest ograniczone donajważniejszych folderów narażonych na największe ryzyko, takich jak foldersystemu Windows i foldery zawierające szablony programów Microsoft Word iExcel.

Jeśli zazwyczaj skanowany jest ten sam zestaw plików lub folderów, możnautworzyć skanowanie na żądanie ograniczone tylko do tych elementów. Pozwalato na szybkie sprawdzenie w dowolnej chwili, czy określone pliki i foldery są wolneod wirusów i zagrożeń bezpieczeństwa. Skanowania na żądanie muszą byćuruchamiane ręcznie.

W przypadku utworzenia więcej niż jednego skanowania przy uruchamianiu będąone wykonywane w kolejności utworzenia. Administrator może skonfigurowaćklienta w sposób uniemożliwiający użytkownikowi utworzenie skanowania przyuruchomieniu.



Aby zaplanować uruchamianie skanowania na żądanie lub przy uruchomieniukomputera:


2 Kliknij pozycję Utwórz nowe skanowanie.

3 Określ skanowane elementy i dowolne opcje skanowania zaplanowanego.

Patrz „Planowanie skanowania zdefiniowanego przez użytkownika”na stronie 75

4 W oknie dialogowym Tworzenienowegoskanowania–terminuruchamianiawykonaj jedno z poniższych działań:

■ Kliknij pozycję Przy uruchomieniu.

■ Kliknij pozycję Na żądanie.


79Zarządzanie skanowaniamiPlanowanie uruchamiania skanowania na żądanie lub przy uruchomieniu komputera

6 W oknie dialogowym Tworzenie nowego skanowania – nazwa skanowaniawpisz nazwę i opis skanowania.

Nazwij skanowanie, na przykład: MojeSkanowanie1

7 Kliknij przycisk Zakończ.

Zarządzanie wykryciami funkcji Download Insight nakomputerze

Funkcja Automatyczna ochrona obsługuje funkcję Download Insight, sprawdzającąpliki, które użytkownik próbuje pobrać za pomocą przeglądarek internetowych,programów do komunikacji tekstowej i innych portali. Funkcja Automatycznaochrona musi być włączona, aby funkcja Download Insight mogła działać.

Obsługiwane portale to Internet Explorer, Firefox, Microsoft Outlook, OutlookExpress, Windows Live Messenger i Yahoo Messenger.

Uwaga: W dzienniku zagrożeń szczegóły zagrożenia dotyczące wykrycia funkcjiDownload Insight wskazują jedynie pierwszą aplikację portalu, która podjęła próbępobrania. Można na przykład spróbować pobrać za pomocą programu InternetExplorer plik, który wykrywa funkcja Download Insight. Jeśli następnie podjętazostanie próba pobrania pliku za pomocą programu Firefox, w polu Pobraneprzezw szczegółach zagrożenia jako portal wyświetlany będzie program InternetExplorer.

Funkcja Download Insight określa, czy pobrany plik może być zagrożeniem, napodstawie informacji reputacji pliku. Funkcja Download Insight nie stosujesygnatur ani analizy heurystycznej w celu podejmowania decyzji. Jeśli funkcjaDownload Insight zezwala na plik, funkcja Automatyczna ochrona lub SONARskanuje plik, gdy użytkownik go otwiera lub uruchamia.

Uwaga: Funkcja Automatyczna ochrona może także skanować pliki otrzymaneprzez użytkowników jako załączniki wiadomości e-mail.

Zarządzanie skanowaniamiZarządzanie wykryciami funkcji Download Insight na komputerze

80

Tabela 4-7 Zarządzanie wykryciami funkcji Download Insight na komputerze

OpisZadanie

Funkcja Download Insight stosuje informacje o reputacji wyłącznie podczaspodejmowania decyzji dotyczących pobranych plików. Nie stosuje sygnatur anianalizy heurystycznej w celu podejmowania decyzji. Jeśli funkcja DownloadInsight zezwala na plik, funkcja Automatyczna ochrona lub SONAR skanujeplik, gdy użytkownik go otwiera lub uruchamia.


Poznanie sposobu stosowaniaprzez funkcję Download Insightdanych o reputacji w celupodejmowania decyzjidotyczących plików

Wyświetlane mogą być powiadomienia o wykryciach funkcji Download Insight.W przypadku klientów zarządzanych administrator może wyłączyćpowiadomienia o wykryciach funkcji Download Insight.

Gdy powiadomienia są włączone, wyświetlane są komunikaty o wykryciudestrukcyjnego lub niepotwierdzonego pliku przez funkcję Download Insight.W przypadku niepotwierdzonych plików użytkownik musi wybrać, czy zezwolićna plik.

Patrz „Reagowanie na komunikaty funkcji Download Insight z monitem ozezwolenie lub zablokowanie pliku, który próbuje pobrać użytkownik”na stronie 28

Reagowanie na wykrycia funkcjiDownload Insight

Można utworzyć wyjątek dla aplikacji pobieranej przez użytkowników. Możnatakże utworzyć wyjątek dla określonej domeny internetowej, która jestwiarygodna.

Domyślnie funkcja Download Insight nie sprawdza żadnych plików, któreużytkownicy pobierają z zaufanej witryny internetowej lub intranetowej. Zaufanewitryny można skonfigurować na karcie Panel sterowania systemu Windows> Zaufane witryny internetowe > Zabezpieczenia. Gdy opcja Automatycznieufaj wszystkim plikom pobranym z witryny intranetowej jest włączona,program Symantec Endpoint Protection zezwala na każdy plik pobierany przezużytkownika z jednej z zaufanych witryn.

Funkcja Download Insight rozpoznaje jedynie jednoznacznie skonfigurowanewitryny zaufane. Symbole wieloznaczne są dozwolone, ale nieroutowalne zakresyadresów IP nie są obsługiwane. Funkcja Download Insight nie może na przykładrozpoznać adresu 10.*.*.* jako witryny zaufanej. Funkcja Download Insight nieobsługuje również witryn wykrytych przy użyciu opcji Opcje internetowe >Zabezpieczenia > Automatycznie wykryj sieć intranet.


Tworzenie wyjątków dlaokreślonych plików lub domeninternetowych

81Zarządzanie skanowaniamiZarządzanie wykryciami funkcji Download Insight na komputerze

OpisZadanie

Funkcja Download Insight wymaga danych o reputacji w celu podejmowaniadecyzji dotyczących plików. W przypadku wyłączenia wyszukiwań Insight funkcjaDownload Insight działa, ale nie może dokonywać wykryć. Wyszukiwania Insightsą domyślnie włączone.


Należy upewnić się, żewyszukiwania Insight są włączone.

Ustawienia funkcji Download Insight można dostosować z następującychprzyczyn:

■ W celu zwiększenia lub zmniejszenia liczby wykryć funkcji Download Insight.

W celu zwiększenia lub zmniejszenia liczby wykryć można przesunąć suwakczułości wykrywania destrukcyjnych plików. Na niższych poziomach czułościfunkcja Download Insight wykrywa mniej plików jako destrukcyjne, więcejplików jako niepotwierdzone. Mniej jest fałszywych alarmów.

Na wyższych poziomach czułości funkcja Download Insight wykrywa więcejplików jako destrukcyjne, a mniej plików jako niepotwierdzone. Więcej jestfałszywych alarmów.

■ W celu zmiany działania wobec wykryć destrukcyjnych lub niepotwierdzonychplików.

Sposób obsługi plików destrukcyjnych lub niepotwierdzonych przez funkcjęDownload Insight można zmienić. Można zmienić działanie wobec plikówniepotwierdzonych, aby nie otrzymywać powiadomień o tych wykryciach.

■ W celu uzyskiwania alertów dotyczących wykryć funkcji Download Insight.

Gdy funkcja Download Insight wykrywa destrukcyjny plik, wyświetlakomunikat na komputerze klienckim, jeśli ustawione jest działanie Poddajkwarantannie. Działanie Poddaj kwarantannie można cofnąć.

Gdy funkcja Download Insight wykrywa niepotwierdzony plik, wyświetlakomunikat na komputerze klienckim, jeśli dla plików niepotwierdzonychustawione jest działanie Monituj lub Poddaj kwarantannie. Jeśli ustawionejest działanie Monituj, można zezwolić na plik lub zablokować go. Jeśliustawione jest działanie Poddaj kwarantannie, można to działanie cofnąć.

Można wyłączyć powiadamianie użytkownika, aby nie mieć wyboru, gdyfunkcja Download Insight wykryje niepotwierdzony plik. Jeśli powiadomieniapozostają włączone, można dla niepotwierdzonych plików ustawić działanieIgnoruj, aby zawsze zezwalać na takie pliki bez wyświetlania powiadomienia.

Gdy powiadomienia są włączone, ustawienie czułości wykrywaniadestrukcyjnych plików ma wpływ na liczbę wyświetlanych powiadomień.Zwiększenie poziomu czułości skutkuje zwiększeniem liczby powiadomień,ponieważ zwiększa się całkowita liczba wykryć.

Patrz „Dostosowanie ustawień funkcji Download Insight” na stronie 83

Dostosowanie ustawień funkcjiDownload Insight

Zarządzanie skanowaniamiZarządzanie wykryciami funkcji Download Insight na komputerze

82

OpisZadanie

Domyślnie klient przesyła informacje o wykryciach skanowania reputacji dofirmy Symantec.

Firma Symantec zaleca włączenie wysyłek wyników skanowania reputacji.Informacje te ułatwiają firmie Symantec eliminowanie zagrożeń.


Przesyłanie informacji owykryciach skanowania reputacjido firmy Symantec

Dostosowanie ustawień funkcji Download InsightUstawienia funkcji Download Insight można dostosować w celu zmniejszenialiczby fałszywych alarmów na komputerach klienckich. Można zmienić czułośćfunkcji Download Insight na dane dotyczące reputacji plików stosowane dowykrywania destrukcyjnych plików. Można również zmienić powiadomienia owykryciach wyświetlane przez funkcję Download Insight na komputerachklienckich.

Patrz „Zarządzanie wykryciami funkcji Download Insight na komputerze”na stronie 80

Dostosowanie ustawień funkcji Download Insight



3 Na karcie DownloadInsight zaznacz opcję WłączfunkcjęDownloadInsight,aby wykrywać możliwe zagrożenia w pobieranych plikach na podstawiereputacji pliku.

Jeśli funkcja Automatyczna ochrona jest wyłączona, funkcja Download Insightnie może działać, nawet jeśli jest włączona.

4 Przesuń suwak, aby zmienić czułość wykrywania destrukcyjnych plików.

Uwaga: Jeśli zainstalowana została jedynie podstawowa ochrona przedwirusami i programami typu spyware, automatycznie ustawiony jest poziomczułości 1 i nie można go zmienić.

Na wyższych poziomach funkcja Download Insight wykrywa więcej plikówjako destrukcyjne, a mniej plików uznaje za niepotwierdzone. Wyższeustawienia skutkują jednak większą liczbą fałszywych alarmów.

83Zarządzanie skanowaniamiDostosowanie ustawień funkcji Download Insight

5 Zaznacz lub usuń zaznaczenie następujących opcji używanych jako dodatkowekryteria sprawdzania niepotwierdzonych plików:

■ Pliki mające mniej niż x użytkowników

■ Pliki znane użytkownikom krócej niż x dniGdy niepotwierdzone pliki spełniają te kryteria, funkcja Download Insightwykrywa je jako destrukcyjne.

6 Zaznacz opcję Automatycznie ufaj wszystkim plikom pobranym z witrynyintranetowej.

Opcja ta ma zastosowanie także do wykryć funkcji Wyszukiwanie Insight.

7 Kliknij pozycję Działania.

8 W obszarze Destrukcyjne pliki określ pierwsze i drugie działanie.

9 Określ działanie w obszarze Niepotwierdzone pliki.


11 Kliknij pozycję Powiadomienia i określ, czy mają być wyświetlanepowiadomienia o wykryciach funkcji Download Insight.

Można dostosować tekst wyświetlanego komunikatu ostrzegawczego.


Dostosowywanieustawień skanowańwposzukiwaniuwirusów i programów typu spyware

Klient domyślnie zapewnia komputerowi niezbędną ochronę przeciw wirusom izagrożeniom bezpieczeństwa. Na kliencie niezarządzanym użytkownik możeskonfigurować niektóre ustawienia skanowania.


Aby dostosować skanowanie zdefiniowane przez użytkownika:


2 Na stronie Skanowaniewposzukiwaniuzagrożeń kliknij prawym przyciskiemmyszy żądane skanowanie, a następnie kliknij polecenie Edytuj.

3 Na karcie Opcje skanowania wykonaj dowolne z poniższych zadań:

■ Aby zmienić ustawienia funkcji Wyszukiwanie Insight, kliknij pozycjęWyszukiwanie Insight.

Zarządzanie skanowaniamiDostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware

84

Ustawienia funkcji Wyszukiwanie Insight są podobne do ustawień funkcjiDownload Insight.Patrz „Dostosowanie ustawień funkcji Download Insight” na stronie 83

■ Aby zmniejszyć liczbę typów skanowanych plików, kliknij pozycjęWybrane rozszerzenia, a następnie kliknij pozycję Rozszerzenia.

■ Aby określić pierwsze i drugie działanie podejmowane przez klienta wobeczainfekowanego pliku, kliknij pozycję Działania.

■ Aby określić opcje powiadomień, kliknij pozycję Powiadomienia.

■ Aby skonfigurować opcje zaawansowane dotyczące plikówskompresowanych, kopii zapasowych i optymalizacji, kliknij pozycjęZaawansowane.Opcje optymalizacji można zmienić, aby zwiększyć wydajność komputeraklienckiego.



Aby zmienić globalne ustawienia skanowania:


■ W programie klienckim kliknij pozycję Zmień ustawienia na paskubocznym, a następnie obok pozycji Ochrona przed wirusami i programamitypu spyware kliknij pozycję Konfiguruj ustawienia.

■ W programie klienckim kliknij pozycję Skanujwposzukiwaniuzagrożeńna pasku bocznym, a następnie kliknij pozycję Wyświetl globalneustawienia skanowania.

2 Na karcie Ustawienia globalne, w obszarze Opcje skanowania zmieńustawienia funkcji Insight lub Bloodhound.

3 Aby wyświetlić lub utworzyć wyjątki skanowania, kliknij pozycję Wyświetllistę. Po wyświetleniu lub utworzeniu wyjątków kliknij pozycję Zamknij.

4 Wprowadź żądane zmiany w obszarze Przechowywanie dziennika lubOchrona przeglądarki internetowej.


Aby dostosować funkcję Automatyczna ochrona:



85Zarządzanie skanowaniamiDostosowywanie ustawień skanowań w poszukiwaniu wirusów i programów typu spyware

3 Na karcie Automatyczna ochrona wykonaj następujące zadania:

■ Aby zmniejszyć liczbę typów skanowanych plików, kliknij pozycjęWybrane, a następnie kliknij pozycję Rozszerzenia.

■ Aby określić pierwsze i drugie działanie podejmowane przez klienta wobeczainfekowanego pliku, kliknij pozycję Działania.

■ Aby określić opcje powiadomień, kliknij pozycję Powiadomienia.


4 Na karcie Automatyczna ochrona kliknij pozycję Zaawansowane.

Można zmienić opcje dotyczące pamięci podręcznej plików, funkcji Śledzeniezagrożeń i kopii zapasowych. Opcje te można zmienić, aby zwiększyćwydajność komputera klienckiego.

5 Kliknij pozycję Sieć, aby zmienić ustawienia ufania plikom na komputerachzdalnych oraz ustawienie pamięci podręcznej sieci.


Konfigurowaniedziałańpodejmowanychwprzypadkuwykryć destrukcyjnego oprogramowania i zagrożeńbezpieczeństwa

Można skonfigurować działania, które klient Symantec Endpoint Protection mapodjąć po wykryciu destrukcyjnego oprogramowania lub zagrożeniabezpieczeństwa. Można skonfigurować pierwsze działanie i drugie działanie,podejmowane w razie niepowodzenia pierwszego działania.

Uwaga: Jeśli komputerem zarządza administrator, a przy opcjach widnieje ikonakłódki, użytkownik nie może zmienić tych opcji, ponieważ zostały zablokowaneprzez administratora.

Działania związane z każdym typem skanowania konfiguruje się tak samo. Każdytyp skanowania ma własną konfigurację działań. Dla różnych skanowań możnaskonfigurować różne działania.

Uwaga: Działania dla funkcji Download Insight i SONAR należy skonfigurowaćoddzielnie.

Zarządzanie skanowaniamiKonfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnego oprogramowania i zagrożeńbezpieczeństwa

86

Patrz „Dostosowywanie ustawień skanowań w poszukiwaniu wirusów i programówtypu spyware” na stronie 84

Patrz „Dostosowanie ustawień funkcji Download Insight” na stronie 83

Patrz „Zmiana ustawień funkcji SONAR” na stronie 105

Więcej informacji na temat opcji stosowanych w procedurach można uzyskać,klikając pozycję Pomoc.

Aby skonfigurować działania podejmowane w przypadku wykryć destrukcyjnegooprogramowania i zagrożeń bezpieczeństwa:

1 W programie klienckim kliknij pozycję Zmień ustawienia lub Skanuj wposzukiwaniu zagrożeń na pasku bocznym.


■ Kliknij pozycję Konfiguruj ustawienia obok pozycji Ustawienia ochronyprzed wirusami i programami typu spyware, a następnie kliknij pozycjęDziałania na dowolnej karcie Automatyczna ochrona.

■ Zaznacz żądane skanowanie, kliknij je prawym przyciskiem myszy iwybierz polecenie Edytuj, a następnie kliknij pozycję Opcje skanowania.

3 Kliknij pozycję Działania.

4 W oknie dialogowym Działania skanowania kliknij w drzewie kategorię lubpodkategorię w obszarze Destrukcyjne oprogramowanie lub Zagrożeniabezpieczeństwa.

Domyślnie każda podkategoria jest automatycznie konfigurowana do użyciatych samych działań, które skonfigurowano dla całej kategorii.

Kategorie zmieniają się dynamicznie w czasie, gdy firma Symantec uzyskujenowe informacje o zagrożeniach.

5 Aby skonfigurować działania tylko dla żądanej podkategorii, wykonaj jednoz następujących działań:

■ Zaznacz opcję Pomiń działania skonfigurowane dla destrukcyjnegooprogramowania, a następnie ustaw działania tylko dla tej podkategorii.

Uwaga: Kategoria może zawierać jedną podkategorię, w zależności odbieżącej klasyfikacji zagrożeń według firmy Symantec. KategoriaDestrukcyjne oprogramowanie może na przykład zawierać jednąpodkategorię o nazwie Wirusy.

■ Zaznacz opcję Pomiń działania skonfigurowane dla zagrożeńbezpieczeństwa, a następnie ustaw działania tylko dla tej podkategorii.

87Zarządzanie skanowaniamiKonfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnego oprogramowania i zagrożeń

bezpieczeństwa

6 Wybierz pierwsze i drugie działanie spośród następujących opcji:

Usuwa wirusa z zainfekowanego pliku. Jest to domyślnepierwsze działanie w przypadku wirusów.

Wyczyść zagrożenie

Uwaga: To działanie jest dostępne tylko jako pierwszedziałanie dotyczące wirusów. To działanie nie dotyczyzagrożeń bezpieczeństwa.

To ustawienie powinno być zawsze pierwszym działaniemw przypadku wirusów. Jeśli klient skutecznie usunie wirusaz pliku, nie jest konieczne żadne inne działanie. Komputerjest wolny od wirusów i nie zagraża już rozprzestrzenianiesię wirusów do innych obszarów komputera.

Kiedy klient czyści zainfekowany plik, usuwa wirusa z tegopliku, sektora rozruchowego lub tabeli partycji. Uniemożliwiatakże dalsze rozprzestrzenianie się wirusa. Klient jestzazwyczaj w stanie znaleźć i wyczyścić wirusa, zanimuszkodzi on komputer. Klient domyślnie tworzy kopięzapasową pliku.

W niektórych przypadkach wyczyszczony plik może nienadawać się do użytku. Wirus mógł spowodować w nim zbytwiele uszkodzeń.

Z niektórych zainfekowanych plików nie można usunąćwirusa.

Powoduje przeniesienie zainfekowanego pliku z jegooryginalnej lokalizacji do obszaru kwarantanny.

Poddaj zagrożeniekwarantannie

Zainfekowane pliki znajdujące się w obszarze kwarantannynie mogą rozprzestrzeniać wirusów.

W przypadku wirusów — przeniesienie zainfekowanego plikuz jego oryginalnej lokalizacji do obszaru kwarantanny. Toustawienie jest domyślnym drugim działaniem w przypadkuwirusów.

W przypadku zagrożeń bezpieczeństwa klient przenosizainfekowane pliki z ich oryginalnej lokalizacji do obszarukwarantanny i podejmuje próbę usunięcia lub naprawyskutków ubocznych. To ustawienie jest domyślnympierwszym działaniem w przypadku zagrożeńbezpieczeństwa.

Kwarantanna zawiera zapis wszystkich przeprowadzonychdziałań. Umożliwia to przywrócenie stanu komputera sprzedusunięcia zagrożenia przez program kliencki.

Zarządzanie skanowaniamiKonfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnego oprogramowania i zagrożeńbezpieczeństwa

88

Powoduje usunięcie zainfekowanego pliku z dysku twardegokomputera. Jeżeli klient nie może usunąć pliku, informacjeo działaniu wykonywanym przez klienta są wyświetlane woknie dialogowym Powiadamianie. Informacje te są równieżrejestrowane w dzienniku zdarzeń.

Z działania tego należy korzystać jedynie w przypadku, gdymożliwe jest zastąpienie usuniętego pliku kopią zapasowąwolną od wirusów i zagrożeń bezpieczeństwa. Klient usuwazagrożenie bezpowrotnie. Zainfekowanego pliku nie możnaodzyskać z Kosza.

Uwaga: Z działania tego należy korzystać ostrożnie podczaskonfiguracji działań podejmowanych wobec zagrożeńbezpieczeństwa. W niektórych przypadkach usunięciezagrożeń bezpieczeństwa powoduje utratę funkcjonalnościprzez aplikacje.

Usuń zagrożenie

Powoduje pozostawienie pliku bez zmian.

Jeżeli działanie to zostanie zastosowane do wirusów,pozostaną one w zainfekowanych plikach. Wirusy te mogąrozprzestrzenić się na inne obszary komputera. W Historiizagrożeń umieszczany jest wpis, aby pozostał ślad pozainfekowaniu pliku.

Działania Pozostaw bez zmian (tylko rejestruj) można używaćjako drugiego działania zarówno wobec destrukcyjnegooprogramowania, jak i zagrożeń bezpieczeństwa.

Działania tego nie należy wybierać, prowadząc skanowaniaautomatyczne na dużą skalę, na przykład skanowaniazaplanowane. Działania tego warto użyć, zamierzającprzejrzeć wyniki skanowania i podjąć dodatkowe działaniapóźniej. Dodatkowe działanie może polegać na przeniesieniupliku do obszaru Kwarantanny.

W przypadku zagrożeń bezpieczeństwa to działaniepozostawia zainfekowane pliki bez zmian, a w Historiizagrożeń umieszczany jest wpis, aby pozostał ślad pozagrożeniu. Za pomocą tej opcji można ręcznie kontrolowaćsposób obsługi zagrożenia bezpieczeństwa przez klienta. Jestto domyślne drugie działanie w przypadku zagrożeńbezpieczeństwa.

Administrator może także wysłać niestandardową wiadomośćzawierającą instrukcje postępowania.

Pozostaw bez zmian(tylko rejestruj)

7 Powtórz te kroki w przypadku każdej kategorii, dla której chcesz ustawićokreślone działania, a następnie kliknij przycisk OK.

89Zarządzanie skanowaniamiKonfigurowanie działań podejmowanych w przypadku wykryć destrukcyjnego oprogramowania i zagrożeń

bezpieczeństwa

8 Dla jednego lub kilku elementów wybranej kategorii zagrożeń bezpieczeństwamożna wybrać działania niestandardowe. Zagrożenia bezpieczeństwa możnawykluczyć ze skanowania. Można na przykład wykluczyć program typu adwarepotrzebny do pracy.


Wykluczanie elementów ze skanowań — informacjeWyjątki to znane zagrożenia bezpieczeństwa, pliki, rozszerzenia plików lubprocesy, które użytkownik chce wykluczyć ze skanowania. Jeśli użytkownikprzeskanował komputer i wie, że niektóre pliki są bezpieczne, może je wykluczyć.W niektórych przypadkach wyjątki mogą skrócić czas skanowania i zwiększyćwydajność systemu. Tworzenie wyjątków zazwyczaj nie jest potrzebne.

Administrator może utworzyć wyjątki skanowań dla klientów zarządzanych. Jeśliutworzony przez użytkownika wyjątek jest sprzeczny z wyjątkiem zdefiniowanymprzez administratora, stosowany będzie wyjątek zdefiniowany przezadministratora. Administrator może również zablokować użytkownikowimożliwość konfigurowania dowolnych typów wyjątków.

Uwaga: Jeżeli program pocztowy przechowuje całą pocztę e-mail w jednym pliku,należy utworzyć wyjątek pliku, aby wykluczyć plik skrzynki odbiorczej zeskanowania. Domyślnie skanowania poddają wirusy kwarantannie. Jeżeliskanowanie wykryje wirusa w pliku skrzynki odbiorczej, kwarantannie zostajepoddana cała skrzynka odbiorcza. Jeżeli skanowanie doda do obszaru kwarantannyskrzynkę odbiorczą, nie można będzie uzyskać dostępu do poczty.

Tabela 4-8 Typy wyjątków

OpisTyp wyjątku

Dotyczy skanowań w poszukiwaniu wirusów i programówtypu spyware

Skanowania ignorują wybrany plik.

Plik

Dotyczy skanowań w poszukiwaniu wirusów i programówtypu spyware i/lub skanowań funkcji SONAR

Skanowania ignorują wybrany folder.

Folder

Zarządzanie skanowaniamiWykluczanie elementów ze skanowań — informacje

90

OpisTyp wyjątku


Skanowania ignorują każde wybrane przez użytkownikaznane zagrożenie.

Znane zagrożenia


Skanowania ignorują wszystkie pliki o określonychrozszerzeniach.

Rozszerzenia


Funkcja Download Insight ignoruje określoną zaufanądomenę internetową.

Zaufana domena internetowa

Dotyczy skanowań w poszukiwaniu wirusów i programówtypu spyware oraz funkcji SONAR

Skanowania ignorują, rejestrują, poddają kwarantannie lubzamykają aplikację określoną tutaj.

Aplikacja


Wykluczanie elementów ze skanowańWyjątki to znane zagrożenia bezpieczeństwa, pliki, foldery, rozszerzenia plików,domeny internetowe lub aplikacje, które użytkownik chce wykluczyć zeskanowania. Jeśli użytkownik przeskanował komputer i wie, że niektóre pliki sąbezpieczne, może je wykluczyć. W niektórych przypadkach wyjątki mogą skrócićczas skanowania i zwiększyć wydajność systemu. Tworzenie wyjątków zazwyczajnie jest potrzebne.

Administrator może utworzyć wyjątki skanowań dla klientów zarządzanych. Jeśliutworzony przez użytkownika wyjątek jest sprzeczny z wyjątkiem zdefiniowanymprzez administratora, stosowany będzie wyjątek zdefiniowany przezadministratora.

Wyjątki zagrożeń bezpieczeństwa dotyczą wszystkich skanowań w poszukiwaniuzagrożeń bezpieczeństwa. Wyjątki aplikacji także dotyczą wszystkich skanowańw poszukiwaniu zagrożeń bezpieczeństwa. Wyjątki folderów funkcji SONARdotyczą tylko funkcji SONAR.

Funkcja SONAR nie obsługuje wyjątków plików. Aby wykluczyć plik z funkcjiSONAR, należy użyć wyjątku aplikacji.

91Zarządzanie skanowaniamiWykluczanie elementów ze skanowań


Patrz „Wykluczanie elementów ze skanowań — informacje” na stronie 90

Uwaga: W instalacji Server Core systemu Windows Server 2008 okna dialogoweinterfejsu użytkownika mogą różnić się wyglądem od okien dialogowych opisanychw tych procedurach.


Aby wykluczyć elementy ze skanowań w poszukiwaniu zagrożeń bezpieczeństwa:


2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Wyjątki.

3 W oknie dialogowym Wyjątki, w obszarze Wyjątki zdefiniowane przezużytkownika kliknij pozycję Dodaj > Wyjątki zagrożeń bezpieczeństwa.

4 Należy wybrać jeden z następujących typów wyjątków:

■ Znane zagrożenia

■ Plik

■ Folder

■ Rozszerzenia

■ Domena internetowa


■ Zaznacz znane zagrożenia bezpieczeństwa, które mają być wykluczoneze skanowań.Jeżeli chcesz rejestrować zdarzenie związane z wykryciem i zignorowaniemzagrożenia bezpieczeństwa, zaznacz pole wyboru Rejestruj wykryciezagrożenia bezpieczeństwa.

■ Zaznacz plik lub folder, który chcesz wykluczyć, a następnie kliknij pozycjęDodaj.Zaznacz lub wyczyść opcję Uwzględnij podfoldery.

■ Wpisz rozszerzenia, które chcesz wykluczyć.W polu tekstowym można wpisać tylko jedną nazwę rozszerzenia. Wprzypadku wpisania wielu rozszerzeń klient traktuje ten wpis jako jednąnazwę rozszerzenia.

■ Wprowadź witrynę internetową, którą chcesz wykluczyć z wykrywaniaprzez funkcję Download Insight.

Zarządzanie skanowaniamiWykluczanie elementów ze skanowań

92


7 W oknie dialogowym Wyjątki kliknij przycisk Zamknij.

Aby wykluczyć folder z funkcji SONAR:



3 W oknie dialogowym Wyjątki, w obszarze Wyjątki zdefiniowane przezużytkownika kliknij pozycję Dodaj > Wyjątek funkcji SONAR > Folder.

4 Zaznacz folder, który chcesz wykluczyć, zaznacz lub usuń zaznaczenie pozycjiUwzględnij podfoldery, a następnie kliknij pozycję Dodaj.

W razie wybrania pliku, zamiast folderu, klient stosuje folder nadrzędny jakowykluczenie.


Aby zmienić sposób przetwarzania aplikacji przez wszystkie skanowania:



3 W oknie dialogowym Wyjątki, w obszarze Wyjątki zdefiniowane przezużytkownika kliknij pozycję Dodaj > Wyjątek aplikacji.

4 Wybierz nazwę pliku aplikacji.

5 Z listy rozwijanej Działanie wybierz opcję Ignoruj, Tylko rejestruj, Poddajkwarantannie lub Zakończ.

6 Kliknij pozycję Dodaj.


Zarządzanie plikami poddanymi kwarantannie nakomputerze klienckim

Program Symantec Endpoint Protection domyślnie próbuje usunąć wykrytegowirusa z zainfekowanego pliku. Jeśli oczyszczenie pliku okaże się niemożliwe,skanowanie poddaje plik kwarantannie na komputerze. W przypadku zagrożeńbezpieczeństwa skanowania przenoszą zainfekowane pliki do kwarantanny inaprawiają wszelkie skutki uboczne działań zagrożenia bezpieczeństwa. FunkcjaDownload Insight i funkcja SONAR mogą również poddawać pliki kwarantannie.


93Zarządzanie skanowaniamiZarządzanie plikami poddanymi kwarantannie na komputerze klienckim

Tabela 4-9 Zarządzanie plikami poddanymi kwarantannie na komputerzeklienckim

OpisZadanie

Czasami lokalizacja, w której powinien zostaćprzywrócony czysty plik, jest niedostępna. Naprzykład, zainfekowany załącznik mógł zostaćoddzielony od wiadomości e-mail i umieszczonyw obszarze kwarantanny. Plik ten powinien zostaćzwolniony i umieszczony w lokalizacji określonejprzez użytkownika.

Przywrócenie pliku w jego oryginalnejlokalizacji

Plik można ręcznie poddać kwarantannie, dodającgo do obszaru kwarantanny lub wybierając plikw dzienniku ochrony przed wirusami iprogramami typu spyware lub dzienniku funkcjiSONAR.

Patrz „Przenoszenie pliku do obszarukwarantanny za pomocą dziennika zagrożeń lubdziennika skanowania” na stronie 96

Ręczne poddanie elementukwarantannie

Z obszaru kwarantanny można ręcznie usunąćpliki, które nie są już potrzebne. Można równieżokreślić przedział czasu, po jakim pliki mają byćusuwane automatycznie.

Uwaga:Administrator może określić maksymalnąliczbę dni, przez jaką elementy mogą pozostawaćw obszarze kwarantanny. Po tym czasie plikizostaną usunięte automatycznie.

Bezpowrotne usunięcie plików zkwarantanny

Po zaktualizowaniu definicji pliki w kwarantanniemogą zostać ponownie przeskanowane,oczyszczone i automatycznie przywrócone. Wprzypadku niektórych plików wyświetlany jestKreator napraw. Aby ukończyć ponowneskanowanie i naprawę, należy postępować zgodniez instrukcjami wyświetlanymi na ekranie.

Użytkownik może również ręcznie ponownieprzeskanować zainfekowane wirusami plikipoddane kwarantannie.

Ponowne skanowanie plików wkwarantannie po otrzymaniu nowychdefinicji

Zawartość obszaru kwarantanny możnawyeksportować do pliku wartości rozdzielanychprzecinkami (.csv) lub pliku bazy danychprogramu Microsoft Access (.mdb).

Eksportowanie informacji okwarantannie

Zarządzanie skanowaniamiZarządzanie plikami poddanymi kwarantannie na komputerze klienckim

94

OpisZadanie

Po ponownym przeskanowaniu elementów wkwarantannie można wysłać nadal zainfekowanyplik do centrum Symantec Security Response wcelu dalszej analizy.

Patrz „Ręczne przesyłanie potencjalniezainfekowanych plików do centrum SymantecSecurity Response w celu poddania ich analizie”na stronie 96

Przesyłanie zainfekowanych plików zobszaru kwarantanny do centrumSymantec Security Response

Przed podjęciem próby oczyszczenia lubnaprawienia zainfekowanych elementów klientdomyślnie tworzy ich kopie zapasowe. Popomyślnym usunięciu wirusa przez klienta należyręcznie usunąć element z kwarantanny, ponieważkopia zapasowa jest nadal zainfekowana.

Usuwanie kopii zapasowych

Klienta można skonfigurować w taki sposób, abyautomatycznie usuwał elementy z kwarantannypo upływie określonego czasu. Można równieżokreślić, że klient ma usuwać elementy poprzekroczeniu określonego rozmiaru folderu, wktórym są przechowywane. Konfiguracja takazapobiega gromadzeniu się plików, któreużytkownik zapomniał usunąć ręcznie.

Patrz „Automatyczne usuwanie plików z obszarukwarantanny” na stronie 97

Automatyczne usuwanie plików zobszaru kwarantanny

Poddawanie plików kwarantannie — informacjeGdy klient przeniesie zainfekowany plik do obszaru kwarantanny, wirus lubzagrożenie nie może się powielać i infekować innych plików na komputerzeużytkownika ani innych komputerach w sieci. Działanie Poddaj kwarantannie nieusuwa jednak zagrożenia. Zagrożenie pozostaje na komputerze użytkownika dochwili wyczyszczenia lub usunięcia zainfekowanego pliku przez program kliencki.Nie trzeba otwierać pliku. Można jednak usunąć plik z obszaru kwarantanny.

Po aktualizacji komputera przy użyciu nowych definicji wirusów klientautomatycznie sprawdza obszar kwarantanny. Elementy znajdujące się w obszarzekwarantanny można ponownie przeskanować. Najnowsze definicje mogą umożliwićwyczyszczenie lub naprawę poddanych uprzednio kwarantannie plików.

Wirusy można poddać kwarantannie. Wirusy rekordów rozruchowych znajdująsię w sektorze rozruchowym lub w tablicach partycji, a tych elementów nie możnaprzenieść do obszaru kwarantanny. Czasami program kliencki wykrywa nieznanego


wirusa, którego nie można wyeliminować przy użyciu bieżącego zestawu definicjiwirusów. Jeśli plik jest prawdopodobnie zainfekowany, ale skanowania niewykrywają żadnej infekcji, plik należy poddać kwarantannie.

Uwaga:W wersji językowej systemu operacyjnego komputera klienckiego niektóreznaki w nazwach zagrożeń mogą nie być interpretowane poprawnie. Jeśli systemoperacyjny nie może zinterpretować znaków, wyświetlane są one wpowiadomieniach jako znaki zapytania. Na przykład nazwy niektórych zagrożeńmogą zawierać znaki dwubajtowe. Na komputerach klienckich z systememoperacyjnym w wersji angielskiej znaki te są wyświetlane jako znaki zapytania.


Przenoszenie pliku do obszaru kwarantanny za pomocą dziennikazagrożeń lub dziennika skanowania

W zależności od wstępnie ustawionego działania podejmowanego przez programpo wykryciu zagrożenia, wybór dokonany przez użytkownika po wykryciu możeokazać się niemożliwy do zrealizowania. Plik można później poddać kwarantannieprzy użyciu dziennika zagrożeń lub dziennika skanowania.



Aby przenieść plik do obszaru kwarantanny za pomocą dziennika zagrożeń lubdziennika skanowania:

1 Na kliencie kliknij pozycję Wyświetl dzienniki.

2 Obok pozycji Ochrona przed wirusami i programami typu spyware kliknijpozycję Wyświetldziennik, a następnie wybierz pozycję Dziennikzagrożeńlub Dziennik skanowania.

3 Zaznacz plik, który chcesz poddać kwarantannie, a następnie kliknij przyciskPoddaj kwarantannie.

4 Kliknij przycisk OK, a następnie kliknij przycisk Zamknij.

Ręczne przesyłanie potencjalnie zainfekowanych plików do centrumSymantec Security Response w celu poddania ich analizie

Po przesłaniu zainfekowanego elementu z listy kwarantanny do centrum SymantecSecurity Response pracownicy centrum Symantec Security Response mogą

Zarządzanie skanowaniamiZarządzanie plikami poddanymi kwarantannie na komputerze klienckim

96

przeanalizować ten element w celu sprawdzenia, czy jest zainfekowany. CentrumSymantec Security Response używa również tych danych do zapewnienia ochronyprzed nowymi lub powstającymi zagrożeniami.

Uwaga: Opcja wysyłki nie jest dostępna, jeśli administrator wyłączył te typywysyłek.


Aby przesłać plik z obszaru kwarantanny do centrumSymantec Security Response:

1 W programie klienckim kliknij pozycję Wyświetl kwarantannę na paskubocznym.

2 Zaznacz wymagany plik na liście plików znajdujących się w obszarzekwarantanny.

3 Kliknij przycisk Prześlij.

4 Wykonuj instrukcje wyświetlane w kreatorze, niezbędne do zebraniapotrzebnych informacji i przesłania pliku do analizy.

Automatyczne usuwanie plików z obszaru kwarantannyOprogramowanie można skonfigurować w taki sposób, aby automatycznie usuwałoelementy z kwarantanny po upływie określonego czasu. Można również określić,że klient ma usuwać elementy po przekroczeniu określonego rozmiaru folderu,w którym są przechowywane. Konfiguracja taka zapobiega gromadzeniu się plików,które użytkownik zapomniał usunąć ręcznie.


Aby automatycznie usunąć pliki z obszaru kwarantanny:

1 W programie klienckim kliknij pozycję Wyświetl kwarantannę na paskubocznym.

2 Kliknij przycisk Opcje przeczyszczania.

3 W oknie dialogowym Opcje przeczyszczania wybierz jedną z poniższychkart:

■ Elementy poddane kwarantannie

■ Elementy z kopiami zapasowymi

■ Elementy naprawione


4 Zaznacz lub wyczyść pozycję Długość czasu przechowywania przekracza,aby umożliwić lub uniemożliwić klientowi usuwanie plików po upływieskonfigurowanego czasu.

5 W przypadku zaznaczenia opcji Długośćczasuprzechowywaniaprzekraczawpisz żądany czas lub kliknij strzałkę, aby go wprowadzić.

6 Z listy rozwijanej wybierz jednostkę czasu. Domyślne ustawienie to 30 dni.

7 W przypadku zaznaczenia pozycji Łącznyrozmiarfolderówprzekracza podajmaksymalny dozwolony rozmiar folderu w megabajtach. Domyślne ustawienieto 50 megabajtów.

W przypadku zaznaczenia obu pól wyboru w pierwszej kolejności usuwanesą wszystkie pliki starsze niż określony czas. Jeśli rozmiar folderu nadalprzekracza limit ustawiony przez użytkownika, klient będzie pojedynczousuwał najstarsze pliki. Najstarsze pliki będą usuwane dotąd, aż rozmiarfolderu przestanie przekraczać dozwolony limit.

8 Powtórz kroki od 4 do 7 dla każdej z pozostałych kart.


Przesyłanie informacji o wykryciach do centrumSymantec Security Response— informacje

Komputer można skonfigurować do automatycznego przesyłania informacji owykrytych zagrożeniach do centrum Symantec Security Response w celu analizy.

Centrum Symantec Security Response i sieć Global Intelligence Network używająprzesłanych informacji w celu szybkiego formułowania reakcji na nowe i zmienionezagrożenia. Dane przesyłane do firmy Symantec ułatwiają jej reagowanie nazagrożenia i dostosowywanie ochrony. Firma Symantec zaleca niewyłączaniewysyłek.

Patrz „Klient Symantec Endpoint Protection — informacje” na stronie 11

Można wybrać przesyłanie dowolnych z następujących typów danych:

■ Reputacja plikuInformacje o plikach wykrytych na podstawie ich reputacji. Informacje o tychplikach tworzą bazę danych dotyczących reputacji Symantec Insight, używanąw celu ochrony komputerów przed nowymi i zmieniającymi się zagrożeniami.

■ Wykrycia programu antywirusowegoInformacje dotyczące wykryć wirusów i programów typu spyware.

■ Wykrycia zaawansowanego mechanizmu heurystycznego ochrony przedwirusami

Zarządzanie skanowaniamiPrzesyłanie informacji o wykryciach do centrum Symantec Security Response— informacje

98

Informacje o potencjalnych zagrożeniach wykrytych przez funkcję Bloodhoundi inne skanowania heurystyczne w poszukiwaniu wirusów i programów typuspyware.Wykrycia te są wykryciami w trybie dyskretnym, niewyświetlanymi w dziennikuzagrożeń. Informacje o tych wykryciach są stosowane w analizachstatystycznych.

■ Wykrycia funkcji SONARInformacje o zagrożeniach wykrytych przez funkcję SONAR, takich jakwykrycia zagrożeń wysokiego lub niskiego stopnia, zdarzenia zmiany wsystemie i podejrzany sposób działania zaufanych aplikacji.

■ Heurystyka funkcji SONARWykrycia heurystyczne funkcji SONAR są wykryciami w trybie dyskretnym,niewyświetlanymi w dzienniku zagrożeń. Informacje te są stosowane wanalizach statystycznych.

Z kwarantanny można również ręcznie wysłać próbkę do centrum SymantecSecurity Response.



Patrz „Pliki i aplikacje wykrywane przez funkcję SONAR — informacje”na stronie 104

Przesyłanie informacji o wykryciach do centrumSymantec Security Response

Program Symantec Endpoint Protection może chronić komputer, monitorującinformacje, które przychodzą do komputera i wychodzą z niego, a także blokującpróby ataku.

Można włączyć przesyłanie informacji o wykrytych zagrożeniach do centrumSymantec Security Response. Centrum Symantec Security Response używa tychinformacji w celu zapewnienia komputerom klienckim ochrony przed nowymi,wyspecjalizowanymi i mutującymi zagrożeniami. Wszelkie dane przesyłane dofirmy Symantec ułatwiają jej reagowanie na zagrożenia i dostosowywanie ochronykomputera użytkownika. Firma Symantec zaleca przesyłanie jak niewiększej ilościinformacji o wykryciach.

99Zarządzanie skanowaniamiPrzesyłanie informacji o wykryciach do centrum Symantec Security Response

Ze strony Kwarantanna można również ręcznie wysłać próbkę do centrumSymantec Response. Strona Kwarantanna umożliwia również określenie sposobuprzesyłania elementów do centrum Symantec Security Response.


Patrz „Przesyłanie informacji o wykryciach do centrum Symantec SecurityResponse — informacje” na stronie 98

Aby skonfigurować wysyłki do centrum Symantec Security Response:

1 Wybierz pozycję Zmień ustawienia > Zarządzanie klientami.

2 Na karcie Wysyłki zaznacz pozycję Zezwól temu komputerowi naautomatyczne, anonimowe przekazywanie wybranych informacji ozabezpieczeniach do firmy Symantec. Ta opcja umożliwia programowiSymantec Endpoint Protection wysyłanie informacji o zagrożeniachznalezionych na komputerze.

Firma Symantec zaleca włączenie tej opcji.

3 Wybierz przesyłane typy informacji:

■ Reputacja plikuInformacje o plikach wykrytych na podstawie ich reputacji. Informacje otych plikach tworzą bazę danych dotyczących reputacji Symantec Insight,używaną w celu ochrony komputerów przed nowymi i zmieniającymi sięzagrożeniami.

■ Wykrycia programu antywirusowegoInformacje dotyczące wykryć wirusów i programów typu spyware.

■ Wykrycia zaawansowanego mechanizmu heurystycznego ochrony przedwirusamiInformacje o potencjalnych zagrożeniach wykrytych przez funkcjęBloodhound i inne skanowania heurystyczne w poszukiwaniu wirusów iprogramów typu spyware.Wykrycia te są wykryciami w trybie dyskretnym, niewyświetlanymi wdzienniku zagrożeń. Informacje o tych wykryciach są stosowane wanalizach statystycznych.

■ Wykrycia funkcji SONARInformacje o zagrożeniach wykrytych przez funkcję SONAR, takich jakwykrycia zagrożeń wysokiego lub niskiego stopnia, zdarzenia zmiany wsystemie i podejrzany sposób działania zaufanych aplikacji.

■ Heurystyka funkcji SONAR

Zarządzanie skanowaniamiPrzesyłanie informacji o wykryciach do centrum Symantec Security Response

100

Wykrycia heurystyczne funkcji SONAR są wykryciami w trybiedyskretnym, niewyświetlanymi w dzienniku zagrożeń. Informacje te sąstosowane w analizach statystycznych.

4 Opcję ZezwalajnawyszukiwaniaInsightwceluwykrywaniazagrożeń należywłączyć, aby umożliwić programowi Symantec Endpoint Protection używaniebazy danych dotyczących reputacji w celu podejmowania decyzji dotyczącychzagrożeń.

Wyszukiwania Insight są domyślnie włączone. Firma Symantec zalecazezwolenie na wyszukiwania Insight. Wyłączenie tej funkcji wyłącza funkcjęDownload Insight i może zakłócić działanie funkcji SONAR oraz WyszukiwanieInsight.

Można jednak wyłączyć tę opcję, aby nie zezwalać na wysyłanie kwerend dobazy danych Symantec Insight.

Klient i Centrum zabezpieczeń systemu Windows—informacje

W razie używania Centrum zabezpieczeń systemu Windows w systemie WindowsXP z dodatkiem Service Pack 2 w celu monitorowania stanu zabezpieczeń, stanprogramu Symantec Endpoint Protection jest wyświetlany w oknie Centrumzabezpieczeń systemu Windows.

Tabela 4-10 przedstawia raporty o stanie wyświetlane w Centrum zabezpieczeńsystemu Windows.

Tabela 4-10 Raport o stanie ochrony w Centrum zabezpieczeń systemu Windows

Stan systemu ochronyStan produktu firmy Symantec

NIE ZNALEZIONO(czerwony)

Program Symantec Endpoint Protection nie jest zainstalowany

WŁĄCZONA (zielony)Program Symantec Endpoint Protection jest zainstalowany izapewnia pełną ochronę

NIEAKTUALNA(czerwony)

Program Symantec Endpoint Protection jest zainstalowany, adefinicje wirusów i zagrożeń bezpieczeństwa są nieaktualne

WYŁĄCZONA(czerwony)

Program Symantec Endpoint Protection jest zainstalowany, afunkcja Automatyczna ochrona systemu plików nie jest włączona


Program Symantec Endpoint Protection jest zainstalowany,funkcja Automatyczna ochrona systemu plików nie jest włączona,a definicje wirusów i zagrożeń bezpieczeństwa są nieaktualne

101Zarządzanie skanowaniamiKlient i Centrum zabezpieczeń systemu Windows— informacje

Stan systemu ochronyStan produktu firmy Symantec


Program Symantec Endpoint Protection jest zainstalowany, aprogram Rtvscan wyłączono ręcznie

Tabela 4-11 przedstawia raporty o stanie zapory programu Symantec EndpointProtection wyświetlane w Centrum zabezpieczeń systemu Windows.

Tabela 4-11 Raport o stanie zapory w Centrum zabezpieczeń systemu Windows

Stan zaporyStan produktu firmy Symantec

NIE ZNALEZIONO(czerwony)

Zapora firmy Symantec nie jest zainstalowana

WŁĄCZONA (zielony)Zapora firmy Symantec jest zainstalowana i włączona


Zapora firmy Symantec jest zainstalowana, ale nie jest włączona

WŁĄCZONA (zielony)Zapora firmy Symantec nie jest zainstalowana ani włączona, alezainstalowana i włączona jest zapora innej firmy

Uwaga:Program Symantec Endpoint Protection domyślnie wyłącza zaporę systemuWindows.

W razie włączenia więcej niż jednej zapory Centrum zabezpieczeń systemuWindows zgłasza, że zainstalowano i włączono wiele zapór.

Zarządzanie funkcjąSONARnakomputerze klienckimZarządzanie funkcją SONAR to część funkcji Zapobieganie zagrożeniom. Naklientach zarządzanych administrator może zablokować niektóre ustawienia.


Patrz „Typy skanowań — informacje” na stronie 66

Zarządzanie skanowaniamiZarządzanie funkcją SONAR na komputerze klienckim

102

Tabela 4-12 Zarządzanie funkcją SONAR na komputerze klienckim

OpisZadanie

Aby zapewnić najlepszą ochronę komputerowiklienckiemu, należy włączyć funkcję SONAR.Funkcja SONAR jest domyślnie włączona.

Aby włączyć funkcję SONAR, należy włączyćfunkcję Zapobieganie zagrożeniom.

Patrz „Włączanie i wyłączanie systemu ochrony— informacje” na stronie 43

Włączenie funkcji SONAR

Funkcja SONAR używa analizy heurystycznej orazdanych dotyczących reputacji w celupodejmowania decyzji. W przypadku wyłączeniawyszukiwań Insight (kwerend dotyczącychreputacji) funkcja SONAR dokonuje wykryć tylkoprzy użyciu analizy heurystycznej. Liczbafałszywych alarmów może wzrosnąć, a ochronazapewniana przez funkcję SONAR jestograniczona.

Patrz „Przesyłanie informacji o wykryciach docentrum Symantec Security Response”na stronie 99

Należy upewnić się, że wyszukiwaniaInsight są włączone.

Funkcję SONAR można włączać i wyłączać. Możnatakże zmienić działanie w przypadku wykrycianiektórych typów zagrożeń przez funkcję SONAR.Działania dotyczące wykryć można zmienić, abyzmniejszyć liczbę fałszywych alarmów.

Patrz „Zmiana ustawień funkcji SONAR”na stronie 105

Zmiana ustawień funkcji SONAR

Funkcja SONAR może wykrywać pliki lubaplikacje, które mają być uruchamiane nakomputerze. Można utworzyć wyjątki aplikacjilub folderów. Wyjątek można również utworzyćna stronie Kwarantanna.

Patrz „Wykluczanie elementów ze skanowań”na stronie 91

Utworzenie wyjątków dla bezpiecznychaplikacji

103Zarządzanie skanowaniamiZarządzanie funkcją SONAR na komputerze klienckim

OpisZadanie

Firma Symantec zaleca wysyłanie informacji owykryciach do centrum Symantec SecurityResponse. Informacje te ułatwiają firmieSymantec eliminowanie zagrożeń. Wysyłki sądomyślnie włączone.

Patrz „Przesyłanie informacji o wykryciach docentrum Symantec Security Response”na stronie 99

Przesyłanie informacji o wykryciach docentrum Symantec Security Response

Funkcja SONAR — informacjeSONAR to funkcja ochrony w czasie rzeczywistym, która wykrywa potencjalniedestrukcyjne aplikacje podczas ich uruchamiania na komputerach. Funkcja SONARzapewnia ochronę przed nowymi zagrożeniami, ponieważ wykrywa je, zanimutworzone zostaną tradycyjne definicje wirusów i programów typu spyware,umożliwiające eliminację takich zagrożeń.

Funkcja SONAR stosuje również analizę heurystyczną oraz dane o reputacji wcelu wykrywania nowych i nieznanych zagrożeń. Funkcja SONAR zapewniadodatkowy poziom ochrony na komputerach klienckich oraz uzupełnia istniejącąochronę przed wirusami i programami typu spyware, zapobieganie zagrożeniomoraz zaporę.

Uwaga: Funkcja Automatyczna ochrona wykorzystuje również mechanizmheurystyczny o nazwie Bloodhound w celu wykrywania podejrzanego działaniaw plikach.

Patrz „Zarządzanie funkcją SONAR na komputerze klienckim” na stronie 102

Patrz „Pliki i aplikacje wykrywane przez funkcję SONAR — informacje”na stronie 104

Pliki i aplikacje wykrywane przez funkcję SONAR — informacjeFunkcja SONAR używa systemu heurystycznego wykorzystującego sieć wywiaduinternetowego firmy Symantec oraz prewencyjne monitorowanie lokalne nakomputerze w celu wykrywania nowych zagrożeń. Funkcja SONAR wykrywa takżezmiany lub sposób działania na komputerze, który należy monitorować.

Funkcja SONAR nie dokonuje wykryć na podstawie typu aplikacji, tylko napodstawie sposobu działania procesu. Funkcja SONAR podejmuje działanie wobecaplikacji tylko w przypadku, gdy aplikacja działa w sposób destrukcyjny, bez


104

względu na jej typ. Jeśli na przykład koń trojański lub program rejestrującynaciśnięcia klawiszy nie działa w destrukcyjny sposób, funkcja SONAR go niewykrywa.

Funkcja SONAR wykrywa następujące elementy:

Funkcja SONAR stosuje heurystykę w celuokreślenia, czy nieznany plik działa w podejrzanysposób i może stanowić zagrożenie wysokiego lubniskiego stopnia. Stosuje również dane dotyczącereputacji w celu określenia, czy jest to zagrożeniewysokiego, czy niskiego stopnia.

Zagrożenia heurystyczne

Funkcja SONAR wykrywa aplikacje lub pliki, którepróbują zmodyfikować ustawienia usługi DNS lubplik hosta na komputerze klienckim.

Zmiany w systemie

Niektóre prawidłowe, zaufane pliki mogą byćskojarzone z podejrzanym sposobem działania.Funkcja SONAR wykrywa te pliki jako zdarzeniapodejrzanego sposobu działania. Na przykładznana aplikacja udostępniania dokumentów możetworzyć pliki wykonywalne.

Zaufane aplikacje wykazującenieprawidłowy sposób działania

Wyłączenie funkcji Automatyczna ochrona ogranicza funkcji SONAR możliwościwykrywania plików zagrożeń wysokiego i niskiego stopnia. Wyłączenie wyszukiwańInsight (kwerend dotyczących reputacji) również ogranicza możliwości wykrywaniafunkcji SONAR.


Zmiana ustawień funkcji SONARDziałania funkcji SONAR można zmienić, aby zmniejszyć liczbę fałszywychalarmów. Można także zmienić powiadomienia dotyczące wykryć heurystycznychfunkcji SONAR.


Uwaga:Na klientach zarządzanych administrator może zablokować te ustawienia.

Aby zmienić ustawienia funkcji SONAR:


2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Zapobieganiezagrożeniom.

105Zarządzanie skanowaniamiZarządzanie funkcją SONAR na komputerze klienckim

3 Na karcie SONAR, zmień działania dotyczące zagrożeń heurystycznychwysokiego lub niskiego stopnia.

Dla zagrożeń niskiego stopnia można włączyć tryb agresywny wykrywania.To ustawienie zwiększa czułość wykrywania zagrożeń niskiego stopnia przezfunkcję SONAR. Może zwiększyć liczbę fałszywych alarmów.

4 Opcjonalnie zmień ustawienia powiadomień.

5 Na karcie Wykrycie podejrzanego sposobu działania zmień działanie dlawykryć zagrożeń wysokiego stopnia lub niskiego stopnia. Funkcja SONARdokonuje tych wykryć, gdy zaufane pliki są skojarzone z podejrzanymsposobem działania.

6 Na karcie Zdarzenia zmian w systemie zmień działanie skanowania dlawykryć zmian ustawień serwera DNS lub pliku hosts.



106

Zarządzanie zaporą izapobieganiem włamaniom


■ Ochrona przed zagrożeniami sieciowymi — informacje

■ Zarządzanie zaporą

■ Konfigurowanie ustawień zapory

■ Zezwalanie na aplikacje lub ich blokowanie — informacje

■ Wyświetlanie operacji sieciowych

■ Reguły zapory klienckiej — informacje

■ Kolejność przetwarzania reguł zapory, ustawień zapory i ustawień systemuzapobiegania włamaniom — informacje

■ Zmiana kolejności reguł zapory

■ Jak zapora stosuje stanową analizę pakietów

■ Elementy reguły zapory

■ Konfigurowanie reguł zapory

■ Zarządzanie systemem zapobiegania włamaniom

■ Sposób działania funkcji Zapobieganie włamaniom

■ Włączanie lub wyłączanie funkcji zapobiegania włamaniom

■ Konfigurowanie powiadomień funkcji zapobiegania włamaniom

5Rozdział

Ochronaprzedzagrożeniami sieciowymi— informacjeFunkcja klienta Symantec Endpoint Protection Ochrona przed zagrożeniamisieciowymi monitoruje informacje, które przychodzą do komputera i wychodząz niego, a także blokuje próby ataków sieciowych.

Tabela 5-1 przedstawia funkcje programu Symantec Endpoint Protectionumożliwiające zarządzanie funkcją Ochrona przed zagrożeniami sieciowymi.

Tabela 5-1 Funkcje ochrony przed zagrożeniami sieciowymi

OpisNarzędzie

Zapora uniemożliwia nieuprawnionym użytkownikom dostęp dokomputera użytkownika i sieci łączących się z Internetem. Zaporawykrywa prawdopodobne ataki hakerskie, chroni osobisteinformacje użytkownika i eliminuje niepożądane źródła ruchusieciowego. Zapora przepuszcza lub blokuje ruch przychodzący iwychodzący.

Patrz „Sposób działania zapory” na stronie 110


Zapora

System zapobiegania włamaniom (IPS) automatycznie wykrywaataki sieciowe i blokuje je. System zapobiegania włamaniomskanuje każdy pakiet przychodzący i wychodzący na komputerzew poszukiwaniu sygnatur ataków.

System zapobiegania włamaniom korzysta z obszernej listysygnatur ataków, aby wykrywać i blokować podejrzane operacjew sieci. Firma Symantec dostarcza listę znanych zagrożeń, którąmożna aktualizować w programie klienckim za pomocą usługiSymantec LiveUpdate. Mechanizm systemu zapobieganiawłamaniom i odpowiedni zestaw sygnatur tego systemu sąinstalowane na komputerze klienckim domyślnie.

Patrz „Sposób działania funkcji Zapobieganie włamaniom”na stronie 141

Patrz „Zarządzanie systemem zapobiegania włamaniom”na stronie 140

System zapobieganiawłamaniom

Zarządzanie zaporąZapora domyślnie zezwala na cały przychodzący i wychodzący ruch sieciowy.Zaporę można skonfigurować w celu przepuszczania lub blokowania określonychtypów ruchu.

Zarządzanie zaporą i zapobieganiem włamaniomOchrona przed zagrożeniami sieciowymi— informacje

108

Administrator określa poziom interakcji użytkownika z klientem poprzezumożliwienie lub zablokowanie możliwości konfigurowania reguł i ustawieńzapory. Administrator może ograniczyć użytkowanie w taki sposób, że użytkownikmoże pracować z klientem tylko wówczas, gdy klient powiadamia użytkownika onowych połączeniach sieciowych i możliwych problemach. Administrator możeteż zapewnić użytkownikowi pełny dostęp do interfejsu użytkownika.

Tabela 5-2 przedstawia zadania zapory, które można wykonać w celu ochronykomputera. Wszystkie te zadania są opcjonalne i można je wykonać w dowolnejkolejności.

Tabela 5-2 Zarządzanie zaporą

OpisZadanie

Należy poznać sposób, w jaki zapora chroni komputer przed atakamisieciowymi.


Zapoznanie się zesposobem działaniazapory

Użytkownik może nie tylko tworzyć reguły zapory, lecz równieżwłączać i konfigurować ustawienia zapory w celu udoskonaleniaochrony zapewnianej przez zaporę.

Patrz „Konfigurowanie ustawień zapory” na stronie 111

Konfigurowanieustawień zapory

Można regularnie sprawdzać stan zapory na komputerze, abyupewnić się czy:

■ Utworzone reguły zapory działają prawidłowo.

■ Klient zablokował jakiekolwiek ataki sieciowe.

■ Klient zablokował jakiekolwiek aplikacje, które powinny zostaćuruchomione.

Stan zapory można sprawdzić za pomocą dziennika ruchu i dziennikapakietów.


Uwaga: Dziennik pakietów jest domyślnie wyłączony na klientachzarządzanych.

Wyświetlaniedzienników zdarzeń

Ochronę komputera można zwiększyć, dostosowując ustawieniaaplikacji. Aplikacja to oprogramowanie mające na celu ułatwienieużytkownikowi wykonania żądanych zadań. Aplikacją jest naprzykład program Microsoft Internet Explorer. Ustawienia zaporymożna skonfigurować w celu kontrolowania aplikacji mogącychuzyskać dostęp do sieci.

Patrz „Zezwalanie na aplikacje lub ich blokowanie — informacje”na stronie 125

Konfigurowanieustawień aplikacji

109Zarządzanie zaporą i zapobieganiem włamaniomZarządzanie zaporą

OpisZadanie

Można wyświetlić informacje o ruchu przychodzącym i ruchuwychodzącym klienta. Można również wyświetlić listę aplikacji iusług uruchomionych od chwili uruchomienia usługi klienta.

Patrz „Wyświetlanie operacji sieciowych” na stronie 129

Monitorowanieoperacji sieciowych

Użytkownik może nie tylko włączać ustawienia zapory, lecz równieżmodyfikować reguły zapory w celu dodatkowego udoskonaleniaochrony zapewnianej przez zaporę. Można także tworzyć nowereguły zapory. Użytkownik może na przykład zablokować aplikację,której nie chce uruchamiać na komputerze, taką jak program typuadware.

Patrz „Reguły zapory klienckiej — informacje” na stronie 131

Patrz „Konfigurowanie reguł zapory” na stronie 137

Patrz „Włączanie i wyłączanie reguł zapory” na stronie 140

Dodawanie idostosowywaniereguł zapory

Użytkownik może tymczasowo wyłączyć funkcję Ochrona przedzagrożeniami sieciowymi w celu rozwiązywania problemów. Możnają na przykład wyłączyć w celu umożliwienia otwarcia określonejaplikacji.

Patrz „Włączanie lub wyłączanie ochrony na komputerze klienckim”na stronie 45

Włączanie lubwyłączanie zapory

Patrz „Ochrona przed zagrożeniami sieciowymi — informacje” na stronie 108

Sposób działania zaporyZapora wykonuje wszystkie następujące zadania:

■ Uniemożliwia wszystkim nieuprawnionym użytkownikom dostęp do łączącychsię z Internetem komputerów i sieci w organizacji.

■ Monitoruje komunikację między chronionymi komputerami a innymikomputerami w Internecie.

■ Tworzy ochronną powłokę zezwalającą na próby uzyskania dostępu doinformacji na chronionych komputerach lub blokującą je.

■ Ostrzega użytkownika o próbach połączenia z innych komputerów.

■ Ostrzega o próbach połączeń podejmowanych przez programy znajdujące sięna komputerze użytkownika.

Zapora sprawdza pakiety danych przesyłane przez Internet. Pakiet to oddzielnyfragment danych stanowiący część przepływu informacji między dwoma

Zarządzanie zaporą i zapobieganiem włamaniomZarządzanie zaporą

110

komputerami. Pakiety są ponownie składane w lokalizacji docelowej w ciągłystrumień danych.

Pakiety zawierają informacje o:

■ Wysyłających je komputerach

■ Zamierzonych adresatach

■ Sposobie przetwarzania danych pakietu

■ Portach odbierających pakiety

Porty to kanały dzielące strumień danych przychodzący z Internetu. Aplikacjeuruchamiane na komputerze prowadzą nasłuch na portach. Aplikacje odbierajądane wysłane do odpowiednich portów.

Ataki sieciowe wykorzystują luki zabezpieczeń w aplikacjach. Atakujący używajątych luk, aby wysyłać pakiety zawierające destrukcyjny kod programu dookreślonych portów. Gdy aplikacje narażone na atak prowadzą nasłuch na portach,destrukcyjny kod umożliwia atakującym uzyskania dostępu do komputera.

Patrz „Ochrona przed zagrożeniami sieciowymi — informacje” na stronie 108


Konfigurowanie ustawień zaporyTabela 5-3 przedstawia typy ustawień zapory, które użytkownik możeskonfigurować w celu dodatkowego dostosowania zapory.

Jeśli ustawienia nie są wyświetlane w interfejsie użytkownika lub nie można ichzmodyfikować, administrator nie udzielił użytkownikowi uprawnień do ichkonfigurowania. Modyfikacje ustawień zapory są opcjonalne i można je wykonaćw dowolnej kolejności.

111Zarządzanie zaporą i zapobieganiem włamaniomKonfigurowanie ustawień zapory

Tabela 5-3 Ustawienia zapory

OpisKategoria

Możliwe jest włączenie różnych ustawień ruchu i trybuukrywania przeglądania Internetu, zapewniających ochronęprzed pewnymi typami ataków sieciowych na klienta.Ustawienia ruchu można skonfigurować tak, aby wykrywaći blokować ruch odbywający się za pośrednictwemsterowników, protokołu NetBIOS oraz Token Ring. Możnaskonfigurować ustawienia tak, aby był wykrywany ruchwykorzystujący mniej widoczne metody ataku. Można takżesterować sposobem działania wobec ruchu protokołu IP niedopasowanego do żadnej reguły zapory.

Patrz „Włączanie ustawień dotyczących ruchu i trybuukrywania przeglądania Internetu” na stronie 113

Ruch i tryb ukrywaniaprzeglądania Internetu

Program Symantec Endpoint Protection zawiera wbudowanereguły, umożliwiające normalną wymianę międzyokreślonymi niezbędnymi usługami sieciowymi. Wbudowanereguły eliminują konieczność tworzenia reguł zapory jawniezezwalających na te usługi. Podczas przetwarzaniawbudowane reguły są stosowane przed regułami zapory, cooznacza, że pakiety zgodne z aktywnym wystąpieniemreguły wbudowanej są przepuszczane. Reguły wbudowanemożna zdefiniować dla usług DHCP, DNS i WINS.

Patrz „Automatyczne zezwalanie na komunikacjęniezbędnych usług sieciowych” na stronie 120

Wbudowane regułydotyczące niezbędnych usługsieciowych

Klientowi można umożliwić udostępnianie plików i drukareklub przeglądanie sieci lokalnej w poszukiwaniuudostępnionych plików i drukarek. Aby zapobiec atakomsieciowym, można wyłączyć udostępnianie plików i drukarekw sieci.

Patrz „Włączanie udostępniania plików i drukarek”na stronie 120

Udostępnianie plików idrukarek w sieci

Gdy program Symantec Endpoint Protection wykryje ataksieciowy, może automatycznie zablokować połączenie, abyzapewnić bezpieczeństwo komputera klienckiego. Klientwłącza aktywną reakcję. Następnie klient automatycznieblokuje przez określony czas całą komunikację z adresemIP atakującego komputera. Adres IP atakującego komputerajest blokowany dla jednej lokalizacji.

Patrz „Blokowanie i odblokowywanie atakującegokomputera” na stronie 122

Blokowanie atakującegokomputera

Zarządzanie zaporą i zapobieganiem włamaniomKonfigurowanie ustawień zapory

112



Włączanie ustawień dotyczących ruchu i trybu ukrywania przeglądaniaInternetu

Możliwe jest włączenie różnych ustawień ruchu i trybu ukrywania przeglądaniaInternetu, zapewniających ochronę przed pewnymi typami ataków sieciowych naklienta. Ustawienia ruchu można skonfigurować tak, aby wykrywać i blokowaćruch odbywający się za pośrednictwem sterowników, protokołu NetBIOS orazToken Ring. Można skonfigurować ustawienia tak, aby był wykrywany ruchwykorzystujący mniej widoczne metody ataku. Można także sterować sposobemdziałania wobec ruchu protokołu IP nie dopasowanego do żadnej reguły zapory.

Gdy zapora ukończy określone operacje, kontrola jest przekazywana do kilkuskładników. Każdy składnik jest przeznaczony do przeprowadzania innego typuanalizy pakietów.

Aby włączyć ustawienia dotyczące ruchu i przeglądania Internetu w trybie ukrycia:


2 Kliknij pozycję Konfiguruj ustawienia obok pozycji Ochrona przedzagrożeniami sieciowymi.

3 Na karcie Zapora, w obszarze Ustawienia ruchu zaznacz następujące polawyboru funkcji, które chcesz włączyć:


Umożliwia zablokowanie ruchu systemu NetBIOS zzewnętrznej bramy.

Możliwe jest udostępnianie plików i drukarek wotoczeniu sieciowym w sieci LAN i zarazemzabezpieczenie komputera przed atakami z siecizewnętrznych, wykorzystującymi luki wzabezpieczeniach systemu NetBIOS. Włączenie tej opcjipowoduje blokowanie pakietów NetBIOS pochodzącychz adresów IP spoza zakresów wewnętrznychokreślonych przez organizację ICANN. Zakresywewnętrzne określone przez organizację ICANNobejmują adresy 10.x.x.x, 172.16.x.x, 192.168.x.x i169.254.x.x z wyjątkiem podsieci 169.254.0.x i169.254.255.x. Pakiety NetBIOS kierowane są na portyUDP 88, 137, 138 oraz TCP 135, 139, 445 i 1026.

Uwaga: Włączenie funkcji ochrony systemu NetBIOSmoże spowodować problem z programem MicrosoftOutlook, jeżeli komputer kliencki łączy się z serweremMicrosoft Exchange znajdującym się w innej podsieci.W takim przypadku można utworzyć regułę zapory,która zezwoli na dostęp do tego serwera.

Włącz ochronę systemuNetBIOS

Zezwala komputerom klienckim łączącym się z sieciąza pośrednictwem karty Token Ring na dostępniezależnie od reguł zapory na kliencie.

Po wyłączeniu tego ustawienia do sieci firmowej niebędzie dopuszczany jakikolwiek ruch z komputerówłączących się za pośrednictwem karty sieciowej typutoken ring. Zapora nie filtruje ruchu token ring.Możliwe jest tylko całkowite zablokowanie albocałkowite odblokowanie ruchu token ring.

Zezwalaj na ruch Token Ring


114

Zezwala na przychodzący i wychodzący ruch ARP(Address Resolution Protocol) tylko wtedy, gdy dodanego hosta wysłano żądanie ARP. Blokowany jestcały pozostały, nieoczekiwany ruch ARP, który jest teżrejestrowany w dzienniku zabezpieczeń.

Niektórzy hakerzy fałszują adresy MAC w celuprzechwycenia sesji komunikacji między dwomakomputerami. Adresy MAC (Media Access Control) sąadresami sprzętowymi identyfikującymi komputery,serwery, routery itd. Jeżeli komputer A chcekomunikować się z komputerem B, może wysłać doniego pakiet ARP.

Funkcja przeciwdziałania fałszowaniu adresów MACchroni komputer użytkownika przed możliwościązresetowania tabeli adresów MAC przez inny komputer.Po wysłaniu przez komputer komunikatu żądania ARPREQUEST klient zezwala na odbiór związanego z nimkomunikatu odpowiedzi ARP RESPOND w ciągu 10sekund. Wszystkie pozostałe komunikaty odpowiedziARP RESPOND są odrzucane.

Włącz przeciwdziałaniefałszowaniu adresów MAC

Umożliwia klientowi monitorowanie zmian waplikacjach sieciowych uruchomionych na komputerzeklienckim.

Aplikacje sieciowe wysyłają i odbierają ruch. Klientwykrywa, czy składniki aplikacji zmieniają się.

Włącz monitorowanieaplikacji sieciowych

Przy wyłączonej z dowolnego powodu zaporze blokujecały ruch przychodzący i wychodzący z komputeraklienckiego.

Komputer nie jest chroniony w każdej z następującychsytuacji:

■ Po jego włączeniu i przed uruchomieniem zapory

■ Po zatrzymaniu zapory i wyłączeniu komputera

Ten czas to niewielka luka w zabezpieczeniach,umożliwiająca nieautoryzowaną komunikację.Ustawienie to zapobiega komunikacjinieautoryzowanych aplikacji z innymi komputerami.

Uwaga: Jeżeli ochrona przed zagrożeniami sieciowymijest wyłączona, klient ignoruje to ustawienie.

Blokuj cały ruch do chwiliuruchomienia zapory i po jejzatrzymaniu


Gdy to ustawienie jest włączone, program SymantecEndpoint Protection identyfikuje znane ataki napodstawie wielu pakietów, bez względu na numer portui typ protokołu internetowego.

Niezdolność wykrywania tego typu jest ograniczeniemopartych na sygnaturach systemów wykrywaniawłamań i zapobiegania im.

Włącz wykrywanie atakówtypu odmowa obsługi

Gdy to ustawienie jest włączone, program SymantecEndpoint Protection monitoruje wszystkieprzychodzące pakiety blokowane przez dowolne regułyzabezpieczeń. Jeśli reguła blokuje w krótkim czasiekilka różnych pakietów na różnych portach, programSymantec Endpoint Protection tworzy wpis wdzienniku zabezpieczeń.

Wykrywanie skanowania portów nie blokuje żadnychpakietów. Należy utworzyć zasadę zabezpieczeń w celublokowania ruchu w razie skanowania portów.

Włącz wykrywanieskanowania portów


116

4 W obszarze UstawienianiedopasowanegoruchuprotokołuIP zaznacz polawyboru funkcji, które chcesz włączyć.

Opcje te kontrolują przychodzący i wychodzący ruch protokołu IP nie pasującydo żadnej reguły zapory. Ruch protokołu IP obejmuje pakiety danychprzesyłane w sieciach IP przy użyciu protokołów TCP, UDP i ICMP. Do typówruchu IP należy ruch aplikacji, wymiany wiadomości e-mail, transfery plików,pakiety ping i transmisje internetowe.

Można włączyć jedno lub wiele następujących ustawień ruchu protokołu IP:

Zezwala na wszelki ruch przychodzący i wychodzącynieblokowany przez reguły zapory. Jeśli na przykładdodana zostanie reguła blokująca ruch VPN, zaporabędzie zezwalać na wszelki ruch oprócz ruchu VPN.

Zezwalaj na ruch protokołuIP

Zezwala na ruch do i od aplikacji oraz blokuje ruch,który nie jest skojarzony z żadną aplikacją. Zaporazezwala na przykład na ruch programu InternetExplorer, ale blokuje ruch VPN, jeśli nie zezwala naniego reguła.

Zezwalaj tylko na ruchaplikacji

Wyświetla monit o zezwolenie na aplikację lub jejzablokowanie. Użytkownicy mogą na przykład wybrać,czy chcą zablokować pliki multimedialne. Użytkownicymogą też na przykład ukryć emisje procesuNTOSKRNL.DLL. Proces NTOSKRNL.DLL możestanowić wskaźnik obecności programu typu spyware,ponieważ programy typu spyware często pobierają iinstalują proces NTOSKRNL.DLL.

Pytaj przed zezwoleniem naruch aplikacji


5 W obszarze Ustawieniaukrywania zaznacz następujące pola wyboru funkcji,które chcesz włączyć.

Włączenie tej opcji zapobiega fałszowaniu lubpodszywaniu się pod adresy IP przez intruza.

Włącz zmianę sekwencji TCP

Hakerzy fałszują adresy IP w celu przechwytywaniasesji komunikacji między dwoma komputerami (np.komputerami A i B). Haker może na przykład wysłaćpakiet danych, który spowoduje przerwaniekomunikacji z komputerem A. Następnie haker możepodszyć się pod komputer A i nawiązać komunikacjęz komputerem B, a następnie zaatakować go. Abychronić komputer, funkcja zmiany sekwencji TCPpowoduje generowanie losowych numerów sekwencjiTCP.

Uwaga: Funkcja maskowania niepowtarzalnegoidentyfikatora systemu operacyjnego działanajskuteczniej przy włączonym mechanizmie zmianysekwencji TCP.

Ostrzeżenie: Mechanizm zmiany sekwencji TCPpowoduję zmianę numeru sekwencji TCP podczasdziałania usługi na komputerze klienckim. Numersekwencji jest inny podczas działania i niedziałaniausługi. W związku z tym połączenia sieciowe zostająprzerwane wskutek wyłączenia bądź włączenia usługizapory. Pakiety TCP/IP używają sekwencji numerówsesji do komunikacji z innymi komputerami. Kiedyprogram kliencki nie działa, komputer kliencki używaschematu numerowania systemu Windows. Kiedyprogram kliencki działa i włączony jest mechanizmzmiany sekwencji TCP, komputer kliencki używainnego schematu numerowania. Jeżeli usługa działającana kliencie zostanie nagle zatrzymana, przywróconyzostanie schemat numerowania systemu Windows, asystem Windows odrzuci pakiety takiego ruchu.Mechanizm zmiany sekwencji TCP może spowodowaćproblemy ze zgodnością z niektórymi kartamisieciowymi, wskutek których klient blokuje cały ruchprzychodzący i wychodzący.


118

Powoduje wykrywanie ruchu protokołu HTTP zprzeglądarki internetowej na wszystkich portach iusuwanie następujących informacji: nazwy i numeruwersji przeglądarki, systemu operacyjnego i stronyinternetowej, z której nastąpiło przejście do danejstrony. Wskutek tego witryny internetowe nie mogąrozpoznać systemu operacyjnego ani przeglądarkiużywanej na komputerze. Opcja ta nie powodujewykrywania ruchu HTTPS (SSL).

Ostrzeżenie: Tryb ukrywania przeglądania Internetumoże spowodować nieprawidłowe działanie niektórychwitryn internetowych. Niektóre serwery internetowebudują strony na podstawie informacji oprzeglądarkach. Ponieważ opcja ta powoduje usunięcieinformacji o przeglądarce, niektóre strony internetowemogą nie być wyświetlane prawidłowo bądź wcale. Trybukrywania przeglądania Internetu powoduje usunięciesygnatury przeglądarki, HTTP_USER_AGENT, znagłówka żądania HTTP i zastąpienie jej sygnaturąogólną.

Włącz tryb ukrywaniaprzeglądania Internetu

Zapobiega wykrywaniu systemu operacyjnegozainstalowanego na komputerze klienckim. Klientzmienia wartość TTL i wartość identyfikatora pakietówTCP/IP, aby uniemożliwić identyfikację systemuoperacyjnego.

Uwaga: Funkcja maskowania niepowtarzalnegoidentyfikatora systemu operacyjnego działanajskuteczniej przy włączonym mechanizmie zmianysekwencji TCP.

Ostrzeżenie:Mechanizm zmiany sekwencji TCP możespowodować problemy ze zgodnością z niektórymikartami sieciowymi, wskutek których klient blokujecały ruch przychodzący i wychodzący.

Włącz maskowanieniepowtarzalnegoidentyfikatora systemuoperacyjnego



Patrz „Blokowanie ruchu” na stronie 123


Automatyczne zezwalanie na komunikację niezbędnych usługsieciowych

Program Symantec Endpoint Protection zawiera wbudowane reguły, umożliwiającenormalną wymianę między określonymi niezbędnymi usługami sieciowymi.Wbudowane reguły eliminują konieczność tworzenia reguł zapory jawniezezwalających na te usługi. Podczas przetwarzania wbudowane reguły są stosowaneprzed regułami zapory, co oznacza, że pakiety zgodne z aktywnym wystąpieniemreguły wbudowanej są przepuszczane. Reguły wbudowane można zdefiniować dlausług DHCP, DNS i WINS.

Filtry reguł wbudowanych przepuszczają pakiet przychodzący w odpowiedzi nażądanie. Nie blokują one pakietów. O przepuszczaniu lub blokowaniu pakietówdecydują reguły zapory.



3 Na karcie Zapora, w obszarze Reguły wbudowane zaznacz dowolne znastępujących opcji:

■ Włącz Smart DHCP

■ Włącz Smart DNS

■ Włącz Smart WINS


Patrz „Włączanie ustawień dotyczących ruchu i trybu ukrywania przeglądaniaInternetu” na stronie 113


Włączanie udostępniania plików i drukarekKlientowi można umożliwić udostępnianie plików i drukarek lub przeglądaniesieci lokalnej w poszukiwaniu udostępnionych plików i drukarek. Aby zapobiecatakom sieciowym, można wyłączyć udostępnianie plików i drukarek w sieci.

Udostępnianie plików i drukarek w sieci można włączyć na następujące sposoby:

Jeśli reguła zapory blokuje ten ruch, to ma pierwszeństwo.

Aby automatycznie włączyć udostępnianie plików i drukarekw sieci:

Automatycznie włączającustawienia udostępnianiaplików i drukarek na karcieMicrosoft WindowsNetworking.


120

Można dodać reguły zapory precyzujące ustawienia. Możnana przykład utworzyć regułę, aby określić wybranego hostazamiast wszystkie hosty. Reguły zapory umożliwiają dostępdo portów w celu przeglądania i udostępniania plików idrukarek.

Można utworzyć jeden zestaw reguł zapory, umożliwiającyklientowi udostępnianie plików i drugi zestaw reguł zapory,umożliwiający klientowi wyszukiwanie innych plików idrukarek.

Aby ręcznie umożliwić klientom przeglądanie plików iwyszukiwanie drukarek:

Aby ręcznie umożliwić innym komputerom przeglądanieplików na kliencie:

Ręcznie włączającudostępnianie plików idrukarek poprzez dodaniereguł zapory.

Aby automatycznie włączyć udostępnianie plików i drukarek w sieci:



3 Na karcie Microsoft Windows Networking, w obszarze Ustawienia kliknijmenu rozwijane i wybierz kartę sieciową, której dotyczyć mają ustawienia.

4 Kliknij pozycję Przeglądajplikiidrukarkiwsieci, aby umożliwić przeglądanieinnych komputerów i wyszukiwanie drukarek w sieci.

5 Aby umożliwić innym komputerom przeglądanie plików na danymkomputerze, kliknij pozycję Udostępniaj pliki i drukarki innymużytkownikom sieci.


Aby ręcznie umożliwić klientom przeglądanie plików i wyszukiwanie drukarek:

1 W programie klienckim kliknij pozycję Stan na pasku bocznym.

2 Obok pozycji Ochronaprzedzagrożeniamisieciowymi kliknij pozycję Opcje> Skonfiguruj reguły zapory.

3 W oknie dialogowym Konfigurowanie reguł zapory kliknij pozycję Dodaj.

4 Na karcie Ogólne wpisz nazwę reguły i kliknij pozycję Blokuj ten ruch.

5 Na karcie Porty i protokoły, na liście rozwijanej Protokół kliknij pozycjęTCP.

6 W obszarze Porty zdalne wpisz 88, 135, 139, 445.





10 Na karcie Porty i protokoły, na liście rozwijanej Protokół kliknij pozycjęUDP.

11 W obszarze Porty zdalne wpisz 88.

12 W obszarze Porty lokalne wpisz 137, 138.


Aby ręcznie umożliwić innym komputerom przeglądanie plików na kliencie:





5 Na karcie Porty i protokoły, na liście rozwijanej Protokół kliknij pozycjęTCP.

6 W obszarze Porty lokalne wpisz 88, 135, 139, 445.




10 Na karcie Porty i protokoły, na liście rozwijanej Protokół kliknij pozycjęUDP.

11 W obszarze Porty lokalne wpisz 88, 137, 138.



Blokowanie i odblokowywanie atakującego komputeraGdy program Symantec Endpoint Protection wykryje atak sieciowy, możeautomatycznie zablokować połączenie, aby zapewnić bezpieczeństwo komputeraklienckiego. Klient uruchamia aktywną reakcję, która automatycznie blokuje przezokreślony czas całą komunikację z adresem IP atakującego komputera. Adres IPatakującego komputera jest blokowany dla jednej lokalizacji.

Adres IP atakującego komputera można sprawdzić w dzienniku zabezpieczeń.Można również odblokować atak, zatrzymując aktywną reakcję w dziennikuzabezpieczeń.


122

Aby nie czekać na odblokowanie adresu IP przez domyślny okres czasu, możnaodblokować go natychmiast.

Aby zablokować atakujący komputer:



3 Na karcie Zapora, w obszarze Ustawienia aktywnej reakcji zaznacz polewyboru Liczba sekundautomatycznegoblokowaniaadresu IPatakującegoi wprowadź żądaną liczbę sekund.

Wprowadź liczbę sekund z przedziału od 1 do 999 999. Ustawienie domyślneto 600 sekund (10 minut).


Aby odblokować atakujący komputer:


2 Obok pozycji Zarządzanie klientami kliknij pozycję Wyświetl dzienniki >Dziennik zabezpieczeń.

3 W dziennikuzabezpieczeń zaznacz wiersz, w którym kolumnie Typzdarzeniaznajduje się pozycja Aktywna reakcja, a następnie kliknij pozycję Działanie> Zatrzymaj aktywną reakcję.

Aby odblokować zablokowane adresy IP, kliknij pozycję Działanie>Zatrzymajwszystkie aktywne reakcje. Po zablokowaniu aktywnej reakcji w kolumnieTyp zdarzenia wyświetlana jest pozycja Aktywna reakcja anulowana. Poupływie ustawionego czasu reakcji w kolumnie Typ zdarzenia wyświetlanajest pozycja Aktywna reakcja wyłączona.

4 W wyświetlonym oknie komunikatu kliknij przycisk OK.

5 Kliknij menu Plik > Zakończ.



Blokowanie ruchuMożna skonfigurować komputer tak, aby blokować ruch przychodzący iwychodzący w następujących sytuacjach:


Komputer można skonfigurować tak, aby blokować całyruch przychodzący i wychodzący z otoczenia sieciowego pouruchomieniu wygaszacza ekranu na komputerze.Natychmiast po wyłączeniu wygaszacza ekranu nakomputerze przywrócony zostanie poprzednio przypisanypoziom zabezpieczeń.

Aby blokować ruch po uruchomieniu wygaszacza ekranu:

Gdy na komputerzeuruchomiony zostajewygaszacz ekranu.

Komputer nie jest chroniony przed uruchomieniem usługizapory po włączeniu komputera klienckiego lub pozatrzymaniu usługi zapory przed wyłączeniem komputera.Ten czas to niewielka luka w zabezpieczeniach,umożliwiająca nieautoryzowaną komunikację.

Aby blokować ruch, gdy zapora nie jest uruchomiona:

Gdy zapora nie jesturuchomiona.

Zablokowanie całego ruchu może być pożądane, gdy siećlub podsieć firmowa została zaatakowana przez szczególnieniszczycielskiego wirusa. W normalnych okolicznościachnie jest wskazane blokowanie całego ruchu.

Uwaga: Administrator może skonfigurować tę opcję tak,aby nie była dostępna. Nie można blokować ruchu na kliencieniezarządzanym.

Aby zablokować cały ruch w dowolnej chwili:

Gdy ruch wychodzący iprzychodzący ma byćblokowany przez cały czas.

Wyłączając funkcję Ochrona przed zagrożeniami sieciowymi, można zezwolić nacały ruch.


Aby blokować ruch po uruchomieniu wygaszacza ekranu:



3 Na karcie Usługa Microsoft Windows Networking, w obszarze Trybwygaszacza ekranu kliknij pozycję Blokuj ruch usługi Microsoft WindowsNetworking, gdy wygaszacz ekranu jest uruchomiony.


Aby blokować ruch, gdy zapora nie jest uruchomiona:




124

3 Na karcie Zapora, w obszarze Ustawienia ruchu kliknij pozycję Blokuj całyruch do chwili uruchomienia zapory i po jej zatrzymaniu.

4 Opcjonalnie kliknij pozycję Zezwalaj na początkowy ruch DHCP i NetBIOS.


Aby zablokować cały ruch w dowolnej chwili:


2 Obok pozycji Ochronaprzedzagrożeniamisieciowymi kliknij pozycję Opcje> Wyświetl operacje sieciowe.

3 Kliknij pozycję Narzędzia > Blokuj cały ruch.

4 Aby potwierdzić, kliknij przycisk Tak.

5 Aby przywrócić poprzednie ustawienia zapory klienta, usuń zaznaczenieopcji Narzędzia > Blokuj cały ruch.

Patrz „Blokowanie i odblokowywanie atakującego komputera” na stronie 122


Zezwalanie na aplikacje lub ich blokowanie—informacje

Aplikacja to oprogramowanie używane przez użytkownika w celu wykonaniaokreślonych zadań. Aplikacją jest na przykład program Microsoft Internet Explorerlub iTunes. Użytkownik może dostosować klienta w celu kontrolowaniaokreślonych aplikacji, aby chronić sieć przed atakami.

Poniżej przedstawiono zadania, które można wykonać w celu dostosowania ochronyaplikacji za pomocą zapory. Wszystkie te zadania są opcjonalne i można je wykonaćw dowolnej kolejności:

■ Na kliencie można włączyć funkcję zezwalania lub blokowania dostępu aplikacjido sieci.Patrz „Zezwalanie na dostęp lub blokowanie dostępu do sieci aplikacjom”na stronie 126

■ Można skonfigurować ustawienia dotyczące aplikacji uruchamianej pouruchomieniu usługi klienckiej lub próbującej uzyskać dostęp do sieci. Możnateż skonfigurować ograniczenia dotyczące aplikacji, na przykład określić adresyIP i porty, których dana aplikacja może używać. Można wyświetlić i zmienićdziałanie podejmowane przez klienta wobec każdej aplikacji próbującej uzyskaćdostęp za pośrednictwem połączenia sieciowego. Konfigurując ustawienia dlaokreślonej aplikacji, tworzy się regułę zapory dotyczącą tej aplikacji.

125Zarządzanie zaporą i zapobieganiem włamaniomZezwalanie na aplikacje lub ich blokowanie— informacje


■ Administrator może usunąć ograniczenia dotyczące aplikacji, takie jak poradnia, o której zapora blokuje aplikację. W przypadku usunięcia ograniczeńdziałanie podejmowane przez klienta wobec aplikacji również jest wymazywane.Gdy aplikacja lub usługa spróbuje ponownie połączyć się z siecią, może zostaćwyświetlone pytanie, czy zezwolić jej na to, czy ją zablokować. Uruchomienieaplikacji lub usługi można także zatrzymać do chwili, gdy spróbuje onaponownie uzyskać dostęp do komputera, na przykład przy ponownymuruchamianiu komputera.Patrz „Usuwanie ograniczeń dotyczących aplikacji” na stronie 129


Zezwalanie na dostęp lub blokowanie dostępu do sieci aplikacjomNa kliencie można włączyć funkcję zezwalania lub blokowania dostępu aplikacjido sieci.

Tabela 5-4 przedstawia działania podejmowane przez klienta wobec ruchusieciowego.

Tabela 5-4 Działania podejmowane przez zaporę, gdy aplikacje uzyskują dostępdo klienta lub sieci

OpisDziałanie

Zezwala ruchowi przychodzącemu na dostęp do komputera klienckiego, aruchowi wychodzącemu na dostęp do sieci.

Gdy klient odbiera ruch, ikona wyświetla małą niebieską kropkę w lewymdolnym rogu. Gdy klient wysyła ruch, ikona wyświetla kropkę w prawymdolnym rogu.

Zezwalaj

Blokuje ruchowi przychodzącemu i wychodzącemu dostęp do sieci lubpołączenia internetowego.

Blokuj

Przy następnej próbie uruchomienia aplikacji użytkownikowi wyświetlanejest pytanie, czy zezwolić aplikacji na dostęp do sieci.

Pytaj

Zatrzymuje proces.Zakończ

Aby zezwalać na dostęp lub blokować dostęp do sieci aplikacjom:



Zarządzanie zaporą i zapobieganiem włamaniomZezwalanie na aplikacje lub ich blokowanie— informacje

126

3 W oknie dialogowym Operacje sieciowe, w polu Uruchomione aplikacjekliknij prawym przyciskiem myszy żądaną aplikację lub usługę, a następniekliknij żądaną opcję.




Patrz „Zezwalanie na aplikacje lub ich blokowanie — informacje” na stronie 125

Konfigurowanie ustawień specyficznych dla aplikacjiMożna skonfigurować ustawienia dotyczące aplikacji uruchamianej pouruchomieniu usługi klienckiej lub próbującej uzyskać dostęp do sieci.

Można skonfigurować ograniczenia dotyczące aplikacji, na przykład określićadresy IP i porty, których dana aplikacja może używać. Można wyświetlić i zmienićdziałanie podejmowane przez klienta wobec każdej aplikacji próbującej uzyskaćdostęp za pośrednictwem połączenia sieciowego. Konfigurując ustawienia dlaokreślonej aplikacji, tworzy się regułę zapory dotyczącą tej aplikacji.

Uwaga:W przypadku konfliktu między regułą zapory a ustawieniem dla określonejaplikacji priorytet ma reguła zapory. Jeżeli na przykład skonfigurowano regułęzapory blokującą cały ruch od godziny 01:00 do 08:00, ustawienie to zastępujeharmonogram dla określonej gry sieciowej.

Aplikacje wyświetlane w oknie dialogowym Operacjesieciowe to aplikacje i usługiuruchomione od momentu uruchomienia usługi klienckiej.

Aby skonfigurować ustawienia specyficzne dla aplikacji:


2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje> Wyświetl ustawienia aplikacji.

3 W oknie dialogowym Wyświetlustawieniaaplikacji wybierz aplikację, którąchcesz skonfigurować, a następnie kliknij pozycję Konfiguruj.

4 W oknie dialogowym Konfigurowanieustawieńaplikacji, w polu tekstowymZaufane adresy IP aplikacji wpisz adres IP lub zakres adresów IP.

5 W grupie opcji Porty serwera zdalnego lub Porty lokalne wybierz port TCPlub UDP.

127Zarządzanie zaporą i zapobieganiem włamaniomZezwalanie na aplikacje lub ich blokowanie— informacje

6 Aby określić kierunek ruchu, kliknij jeden lub oba następujące elementy:

Kliknij pozycję Zezwalaj na połączenia wychodzące.Aby zezwolić na ruchwychodzący:

Kliknij pozycję Zezwalajnapołączeniaprzychodzące.Aby zezwolić na ruchprzychodzący:

7 Aby reguła była stosowana, gdy uruchomiony zostanie wygaszacz ekranu,kliknij pozycję Zezwalaj, gdy wygaszacz ekranu jest włączony.

8 Aby skonfigurować harmonogram włączania i wyłączania ograniczeń, kliknijpozycję Włącz harmonogramy.

9 Wybierz jedną z następujących opcji:

Kliknij pozycję W poniższym okresie.Aby określić czasobowiązywania ograniczeń:

Kliknij pozycję Z wykluczeniem poniższego okresu.Aby określić czasnieobowiązywaniaograniczeń:

10 Skonfiguruj harmonogram.


12 W celu zmiany działania podejmowanego wobec danej aplikacji, w okniedialogowym Wyświetl ustawienia aplikacji kliknij prawym przyciskiemmyszy żądaną aplikację, a następnie kliknij polecenie Zezwalaj lub Blokuj.


Aby zatrzymać aplikację lub usługę:


2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje> Wyświetl operacje sieciowe.

3 W polu Uruchomione aplikacje kliknij prawym przyciskiem myszy żądanąaplikację, a następnie kliknij polecenie Zakończ.

4 Aby potwierdzić, kliknij przycisk Tak, a następnie kliknij przycisk Zamknij.

Patrz „Dodawanie reguły zapory” na stronie 138



Zarządzanie zaporą i zapobieganiem włamaniomZezwalanie na aplikacje lub ich blokowanie— informacje

128

Usuwanie ograniczeń dotyczących aplikacjiAdministrator może usunąć ograniczenia dotyczące aplikacji, takie jak pora dnia,o której zapora blokuje aplikację. W przypadku usunięcia ograniczeń działaniepodejmowane przez klienta wobec aplikacji również jest wymazywane. Gdyaplikacja lub usługa spróbuje ponownie połączyć się z siecią, może zostaćwyświetlone pytanie, czy zezwolić jej na to, czy ją zablokować.

Uruchomienie aplikacji lub usługi można zatrzymać do chwili, gdy spróbuje onaponownie uzyskać dostęp do komputera, na przykład przy ponownymuruchamianiu komputera.

Aby usunąć ograniczenia dotyczące aplikacji:


2 Obok pozycji Ochronaprzedzagrożeniamisieciowymi kliknij pozycję Opcje> Wyświetl ustawienia aplikacji.

3 W oknie dialogowym Wyświetlanie ustawień aplikacji wykonaj jedno zponiższych działań:

Zaznacz aplikację, a następnie kliknij pozycję Usuń.Aby usunąć aplikację z listy.

Kliknij pozycję Usuń wszystkie.Aby usunąć wszystkieaplikacje z listy.

4 Kliknij przycisk Tak.




Wyświetlanie operacji sieciowychMożna wyświetlić informacje o ruchu przychodzącym i ruchu wychodzącymkomputera. Można również wyświetlić listę aplikacji i usług uruchomionych odchwili uruchomienia usługi klienta.

Uwaga: Klient nie wykrywa ruchu sieciowego z urządzeń PDA.

Ruch sieciowy można wyświetlić jako ruch emisji albo multiemisji. Ruch emisjito ruch sieciowy wysyłany do każdego komputera w danej podsieci, a nie jedyniedo konkretnego komputera. Ruch emisji pojedynczej to ruch skierowany konkretniedo komputera użytkownika.

129Zarządzanie zaporą i zapobieganiem włamaniomWyświetlanie operacji sieciowych

Aby wyświetlić historię operacji sieciowych:




Aby pokazać lub ukryć usługi systemu Windows i ruch emisji:



3 W oknie dialogowym Operacje sieciowe kliknij prawym przyciskiem myszypozycję Uruchomione aplikacje i wykonaj dowolną z poniższych czynności:

Zaznacz lub wyczyść pole wyboru Pokażusługi systemu Windows.

Aby pokazać lub ukryć usługi systemuWindows:

Zaznacz pozycję Pokaż ruch emisji.Aby wyświetlić ruch emisji:

Usuń zaznaczenie pozycji Pokaż ruchemisji.

Aby wyświetlić ruch emisji pojedynczej:


Aby zmienić sposób wyświetlania informacji aplikacji:



3 W polu Uruchomione aplikacje kliknij prawym przyciskiem myszy żądanąaplikację, a następnie kliknij żądany widok. Można na przykład kliknąć pozycjęSzczegóły.



Patrz „Zezwalanie na dostęp lub blokowanie dostępu do sieci aplikacjom”na stronie 126



Zarządzanie zaporą i zapobieganiem włamaniomWyświetlanie operacji sieciowych

130

Reguły zapory klienckiej— informacjeTabela 5-5 przedstawia niezbędne informacje na temat reguł zapory klienckiej.

Tabela 5-5 Tematy dotyczące reguł zapory klienckiej

OpisTemat

Zrozumienie sposobów przetwarzania reguł, ustawieńzapory i ustawień systemu zapobiegania włamaniom ułatwiatworzenie skutecznych reguł zapory. Zrozumienie sposobuprzetwarzania reguł i ustawień ułatwia odpowiednieustawienie kolejności reguł.

Patrz „Kolejność przetwarzania reguł zapory, ustawieńzapory i ustawień systemu zapobiegania włamaniom —informacje” na stronie 131

Patrz „Zmiana kolejności reguł zapory” na stronie 133

Zrozumienie sposobówprzetwarzania reguł zapory,ustawień oraz ustawieńsystemu zapobieganiawłamaniom

Program Symantec Endpoint Protection stosuje analizęstanową. To znaczy, że dla ruchu inicjowanego w jednymkierunku nie trzeba tworzyć reguł zezwalających na ruchw drugim kierunku. Zrozumienie sposobu działania analizystanowej eliminuje konieczność tworzenia reguł.

Patrz „Jak zapora stosuje stanową analizę pakietów”na stronie 133

Zapoznanie się ze sposobem,w jaki klient stosuje stanowąanalizę pakietów, aby niemusieć tworzyć specjalnychreguł

W celu tworzenia skutecznych reguł zapory należyzrozumieć składniki, z których składa się reguła.

Patrz „Elementy reguły zapory” na stronie 134

Poznanie elementów regułyzapory


Kolejność przetwarzania reguł zapory, ustawieńzapory i ustawień systemu zapobiegania włamaniom— informacje

Reguły zapory ułożone są w kolejności od reguły z najwyższym priorytetem doreguły z najniższym priorytetem, odpowiednio od góry do dołu na liście reguł.Jeśli pierwsza reguła nie określi, jak należy postąpić z pakietem, zapora przetwarzadrugą regułę. Proces ten jest powtarzany aż do znalezienia dopasowania. Poznalezieniu dopasowania zapora podejmuje działanie określone w regule. Kolejnereguły o niższym priorytecie nie są przetwarzane. Jeśli na przykład na liście

131Zarządzanie zaporą i zapobieganiem włamaniomReguły zapory klienckiej— informacje

najpierw znajduje się reguła blokująca cały ruch, a za nią reguła zezwalająca nacały ruch, klient zablokuje cały ruch.

Kolejność reguł można ustawić według ograniczeń. Najpierw przetwarzane sąreguły z największymi ograniczeniami, a na końcu najbardziej ogólne. Na przykładreguły blokujące ruch należy umieścić w pobliżu początku listy reguł. Reguły niżejna liście mogą zezwalać na ruch.

Sprawdzone metody tworzenia bazy reguł przewidują następującą kolejność reguł:

Reguły blokujące cały ruch.1

Reguły zezwalające na cały ruch.2

Reguły zezwalające na określone komputery lub blokujące je.3

Reguły zezwalające na określone aplikacje, usługi sieciowe i porty lub blokująceje.

4

Tabela 5-6 przedstawia kolejność przetwarzania reguł, ustawień zapory i ustawieńsystemu zapobiegania włamaniom przez zaporę.

Tabela 5-6 Kolejność przetwarzania

UstawieniePriorytet

Sygnatury niestandardowego systemu zapobiegania włamaniomPierwszy

Ustawienia systemu zapobiegania włamaniom, ruchu i trybu ukrywaniaDrugi

Reguły wbudowaneTrzeci

Reguły zaporyCzwarty

Sprawdzanie skanowania portówPiąty

Sygnatury systemu zapobiegania włamaniom pobierane zapośrednictwem usługi LiveUpdate

Szósty

Patrz „Zmiana kolejności reguł zapory” na stronie 133


Patrz „Sposób działania funkcji Zapobieganie włamaniom” na stronie 141


Zarządzanie zaporą i zapobieganiem włamaniomKolejność przetwarzania reguł zapory, ustawień zapory i ustawień systemu zapobiegania włamaniom— informacje

132

Zmiana kolejności reguł zaporyZapora przetwarza listę reguł zapory w kolejności od góry do dołu. Zmieniająckolejność reguł na liście, można wpływać na sposób ich przetwarzania przezzaporę. Zmiana kolejności dotyczy tylko aktualnie wybranej lokalizacji.

Uwaga:Aby uzyskać lepszą ochronę, należy reguły z największymi ograniczeniamiumieścić na początku listy, a na jej końcu reguły najmniej restrykcyjne.

Aby zmienić kolejność reguł zapory:



3 W oknie dialogowym Konfigurowanie reguł zapory wybierz regułę, którąchcesz przenieść.


■ Aby zapora przetwarzała tę regułę przed regułą ją poprzedzającą, kliknijstrzałkę w górę.

■ Aby zapora przetwarzała tę regułę po regule znajdującą się za nią, kliknijstrzałkę w dół.

5 Po zakończeniu przenoszenia reguł kliknij przycisk OK.

Patrz „Kolejność przetwarzania reguł zapory, ustawień zapory i ustawień systemuzapobiegania włamaniom — informacje” na stronie 131


Jak zapora stosuje stanową analizę pakietówZapora stosuje analizę stanową do śledzenia bieżących połączeń. Analiza stanowaśledzi źródłowe i docelowe adresy IP, porty, aplikacje oraz inne informacje opołączeniu. Zanim klient sprawdzi reguły zapory, podejmuje decyzje dotycząceprzepływu ruchu na podstawie informacji o połączeniu.

Na przykład, jeśli reguła zapory zezwala na połączenie komputera z serwereminternetowym, zapora rejestruje informacje o połączeniu. Gdy serwer odpowiada,zapora odkrywa, że na komputerze spodziewana jest odpowiedź z serwerainternetowego. Zezwala na przepływ ruchu z serwera internetowego do inicjującegokomputera bez sprawdzania bazy reguł. Reguła musi zezwalać na początkowyruch wychodzący, zanim zapora zarejestruje informacje o połączeniu.

133Zarządzanie zaporą i zapobieganiem włamaniomZmiana kolejności reguł zapory

Stanowa analiza pakietów eliminuje konieczność tworzenia nowych reguł. Dlaruchu inicjowanego w jednym kierunku nie trzeba tworzyć reguł zezwalającychna ruch w obu kierunkach. Ruch klienta inicjowany w jednym kierunku to ruchprotokołów Telnet (port 23), HTTP (port 80) i HTTPS (port 443). Ruch wychodzącyinicjują komputery klienckie. Należy utworzyć regułę zezwalającą na ruchwychodzący tych protokołów. Stanowa analiza pakietów automatycznie zezwalana ruch zwrotny przesyłany w odpowiedzi na ruch wychodzący. Ponieważ zaporaz natury przeprowadza analizę stanową, należy jedynie utworzyć reguły inicjującepołączenie, a nie charakterystyki poszczególnych pakietów. Wszystkie pakietynależące do dozwolonego połączenia są automatycznie przepuszczane jako częśćtego samego połączenia.

Stanowa analiza pakietów obsługuje wszystkie reguły kierujące ruchem TCP.

Stanowa analiza pakietów nie obsługuje reguł filtrowania ruchu protokołu ICMP.Dla ruchu protokołu ICMP należy utworzyć reguły dopuszczające ruch w obukierunkach. Na przykład, jeśli klienci mają mieć możliwość używania poleceniaping i otrzymywania odpowiedzi, należy utworzyć regułę dopuszczającą ruchprotokołu ICMP w obu kierunkach.



Elementy reguły zaporyReguły zapory sterują sposobem, w jaki klient chroni komputer użytkownika przeddestrukcyjnym ruchem sieciowym. Gdy komputer próbuje nawiązać połączeniez innym komputerem, zapora porównuje typ tego połączenia z regułami zapory.Zapora automatycznie sprawdza zgodność wszystkich pakietów ruchuprzychodzącego i ruchu wychodzącego z regułami. Zapora przepuszcza lub blokujepakiety zgodnie z regułami.

W celu definiowania reguł zapory można używać wyzwalaczy takich jak aplikacje,hosty i protokoły. Reguła może na przykład identyfikować protokół w odniesieniudo adresu docelowego. Gdy zapora analizuje regułę, wszystkie wyzwalacze muszązwracać wartość true, aby dopasowanie było pozytywne. Jeśli którykolwiek zwyzwalaczy jest fałszywy w odniesieniu do bieżącego pakietu, zapora nie stosujereguły.

Po uruchomieniu reguły zapory nie są przetwarzane żadne inne reguły zapory.Jeśli nie zostanie uruchomiona żadna reguła, pakiet jest automatycznie blokowanyi zdarzenie nie jest rejestrowane.

Reguła zapory opisuje warunki, w jakich połączenie sieciowe może zostaćdozwolone lub zablokowane. Reguła może na przykład zezwalać na ruch sieciowy

Zarządzanie zaporą i zapobieganiem włamaniomElementy reguły zapory

134

między zdalnym portem numer 80 i adresem IP 192.58.74.0 codziennie w godzinachod 9 do 17.

Tabela 5-7 przedstawia kryteria używane do definiowania reguły zapory.

135Zarządzanie zaporą i zapobieganiem włamaniomElementy reguły zapory

Tabela 5-7 Warunki reguły zapory

OpisWarunek

Dostępne są następujące wyzwalacze reguł zapory:

■ Aplikacje

Gdy aplikacja jest jedynym wyzwalaczem zdefiniowanym w regulezezwalającej na ruch, zapora zezwala aplikacji na wykonywaniewszystkich operacji sieciowych. Wartością znaczącą jest aplikacja,a nie wykonywane przez nią operacje sieciowe. Przyjmijmy naprzykład, że reguła zezwala na aplikację Internet Explorer i niedefiniuje żadnych innych wyzwalaczy. Użytkownicy mogą uzyskaćdostęp do zdalnych witryn przy użyciu protokołu HTTP, HTTPS,FTP, Gopher lub dowolnego innego protokołu obsługiwanego przezprzeglądarkę internetową. Można zdefiniować dodatkowe wyzwalaczeopisujące konkretne protokoły sieciowe i hosty, z którymikomunikacja jest dozwolona.

■ Hosty

Host lokalny to zawsze lokalny komputer kliencki, a host zdalny tozawsze komputer zdalny znajdujący się w innym miejscu w sieci.Takie wyrażenie relacji hosta jest niezależne od kierunku ruchu.Definiując wyzwalacze hosta, określa się hosta po zdalnej stronieopisanego połączenia sieciowego.

■ Protokoły

Wyzwalacz protokołu identyfikuje co najmniej jeden protokółsieciowy, który ma znaczenie w odniesieniu do opisywanego ruchu.

Lokalny komputer hosta zawsze jest właścicielem portu lokalnego,a zdalny komputer jest zawsze właścicielem portu zdalnego. Takiewyrażenie relacji portu jest niezależne od kierunku ruchu.

■ Karty sieciowe

W przypadku zdefiniowania wyzwalacza karty sieciowej reguła mazastosowanie tylko do ruchu przesyłanego lub odbieranego przyużyciu określonego typu karty sieciowej. Można określić dowolnąkartę sieciową lub kartę aktualnie skojarzoną z komputeremklienckim.

Definicje wyzwalające można łączyć, aby utworzyć bardziej złożonereguły, na przykład w celu identyfikowania określonego protokołu wodniesieniu do określonego adresu docelowego. Kiedy zapora analizujeregułę, wszystkie wyzwalacze muszą zwracać wartość true, abydopasowanie było pozytywne. Jeśli którykolwiek z wyzwalaczy nie zwróciwartości true w odniesieniu do bieżącego pakietu, zapora nie możezastosować reguły.

Wyzwalacze

Zarządzanie zaporą i zapobieganiem włamaniomElementy reguły zapory

136

OpisWarunek

Harmonogram i stan wygaszacza ekranu.

Parametry warunkowe nie opisują aspektu połączenia sieciowego.Parametry warunkowe określają natomiast aktywny stan reguły.Parametry warunkowe są opcjonalne, i jeśli nie zostały zdefiniowane,nie mają znaczenia. Można skonfigurować harmonogram lub określićstan wygaszacza ekranu, który będzie określał, kiedy dana reguła mabyć uważana za aktywną lub nieaktywną. Zapora nie analizujenieaktywnych reguł, gdy odbiera pakiety.

Warunki

Zezwól lub zablokuj i zarejestruj lub nie zarejestruj.

Parametry działania określają działania, które ma podjąć zapora popomyślnym dopasowaniu reguły. Jeśli reguła zostanie wybrana wodpowiedzi na odebrany pakiet, zapora wykona wszystkie działania.Zapora przepuszcza albo blokuje pakiet i rejestruje go w dzienniku lubnie rejestruje.

Jeśli zapora przepuszcza ruch, zezwala ruchowi określonemu przezregułę na dostęp do sieci.

Jeśli zapora blokuje ruch, blokuje ruch określony przez regułę, dziękiczemu nie uzyska on dostępu do sieci użytkownika.

Działania

Patrz „Jak zapora stosuje stanową analizę pakietów” na stronie 133



Konfigurowanie reguł zaporyTabela 5-8 przedstawia sposób konfigurowania nowych reguł zapory.

137Zarządzanie zaporą i zapobieganiem włamaniomKonfigurowanie reguł zapory

Tabela 5-8 Sposób konfigurowania reguł zapory

OpisZadanieKrok

Program Symantec Endpoint Protection jest instalowany zdomyślnymi regułami zapory. Można jednak utworzyć własnereguły.


Inną metodą dodawania reguły zapory jest wyeksportowanieistniejących reguł zapory z innej zasady zapory. Reguły iustawienia zapory można następnie zaimportować, dzięki czemunie trzeba ich ponownie tworzyć.

Patrz „Eksportowanie i importowanie reguł zapory” na stronie 139

Dodaj nowąregułę zapory

1

Po utworzeniu nowej reguły lub w celu dostosowania regułydomyślnej można zmodyfikować dowolne kryteria reguły zapory.


(Opcjonalnie)Dostosujkryteria regułyzapory

2



Dodawanie reguły zaporyDodając regułę zapory, użytkownik musi podjąć decyzję dotyczącą działania reguły.Można na przykład zezwalać na cały ruch z określonego źródła lub blokowaćpakiety UDP z określonej witryny internetowej.

Utworzone reguły zapory są włączane automatycznie.

Aby dodać regułę zapory:




4 Na karcie Ogólne wpisz nazwę reguły i kliknij pozycję Blokuj ten ruch alboZezwalaj na ten ruch.

5 Aby zdefiniować wyzwalacze reguły, klikaj karty i konfiguruj niezbędneustawienia.

6 Aby określić przedziały czasu aktywności lub nieaktywności reguły, na karciePlanowanie kliknij pozycję Włącz harmonogramy, a następnie skonfigurujharmonogram.

Zarządzanie zaporą i zapobieganiem włamaniomKonfigurowanie reguł zapory

138

7 Po zakończeniu wprowadzania zmian kliknij przycisk OK.





Eksportowanie i importowanie reguł zaporyReguły można udostępniać innym klientom, dzięki czemu nie trzeba ich ponownietworzyć. Reguły można wyeksportować z innego komputera i zaimportować dowłasnego. Importowane reguły są dodawane na końcu listy reguł zapory.Importowane reguły nie zastępują istniejących reguł, nawet jeśli są z nimiidentyczne.

Eksportowane i importowane reguły są zapisywane w pliku .sar.

Aby wyeksportować reguły zapory:


2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje> Skonfiguruj reguły zapory.

3 W oknie dialogowym Konfigurowanie reguł zapory wybierz reguły, którechcesz wyeksportować.

4 Kliknij te reguły prawym przyciskiem myszy, a następnie kliknij pozycjęWyeksportuj wybrane reguły.

5 W oknie dialogowym Eksport wpisz nazwę pliku, a następnie kliknij pozycjęZapisz.


Aby zaimportować reguły zapory:


2 Obok pozycji Ochrona przed zagrożeniami sieciowymi kliknij pozycję Opcje> Skonfiguruj reguły zapory.

3 W oknie dialogowym Konfigurowanie reguł zapory kliknij prawymprzyciskiem myszy listę reguł zapory, a następnie kliknij pozycję Zaimportujregułę.

4 W oknie dialogowym Import znajdź plik o rozszerzeniu .sar zawierającyreguły, które chcesz zaimportować.

139Zarządzanie zaporą i zapobieganiem włamaniomKonfigurowanie reguł zapory

5 Kliknij przycisk Otwórz.



Włączanie i wyłączanie reguł zaporyAby zapora przetwarzała reguły, muszą one zostać włączone. Dodawane regułyzapory są włączane automatycznie.

Jeśli trzeba zezwolić na komunikację z konkretnym komputerem albo aplikacją,można wyłączyć regułę zapory.

Aby włączyć i wyłączyć reguły zapory:



3 W oknie dialogowym Konfigurowanieregułzapory, w kolumnie Nazwa regułyzaznacz lub wyczyść pole wyboru wyświetlane obok reguły, którą chceszwłączyć lub wyłączyć.



Zarządzanie systemem zapobiegania włamaniomZarządzanie systemem zapobiegania włamaniom to część funkcji Ochrona przedzagrożeniami sieciowymi.

Tabela 5-9 Zarządzanie systemem zapobiegania włamaniom

OpisDziałanie

Należy zapoznać się ze sposobem, w jaki sposóbsystem zapobiegania włamaniom wykrywa atakisieciowe i ataki na przeglądarkę.

Patrz „Sposób działania funkcji Zapobieganiewłamaniom” na stronie 141

Zapoznanie się z systememzapobiegania włamaniom

Domyślnie najnowsze sygnatury są pobierane naklienta. Sygnatury można jednak pobraćnatychmiast.

Patrz „Aktualizowanie systemu ochronykomputera” na stronie 36

Pobranie najnowszych sygnatursystemu zapobiegania włamaniom

Zarządzanie zaporą i zapobieganiem włamaniomZarządzanie systemem zapobiegania włamaniom

140

OpisDziałanie

Ustawienia systemu zapobiegania włamaniommożna wyłączyć w celu rozwiązywania problemówlub gdy komputery klienckie zgłaszają nadmiernąliczbę fałszywych alarmów. Zazwyczaj nie należywyłączać funkcji zapobiegania włamaniom.

Można włączyć lub wyłączyć następujące typyfunkcji zapobiegania włamaniom:

■ Zapobieganie włamaniom sieciowym

■ Zapobieganie włamaniom do przeglądarki

Patrz „Włączanie lub wyłączanie funkcjizapobiegania włamaniom” na stronie 142

Zapobieganie włamaniom można również włączyćlub wyłączyć, włączając lub wyłączając funkcjęOchrona przed zagrożeniami sieciowymi.

Patrz „Włączanie i wyłączanie systemu ochrony— informacje” na stronie 43

Włączenie lub wyłączenie zapobieganiawłamaniom sieciowym lub włamaniomdo przeglądarki

Można skonfigurować powiadomienia, które będąwyświetlane, gdy program Symantec EndpointProtection wykryje włamanie do sieci lub doprzeglądarki.

Patrz „Konfigurowanie powiadomień funkcjizapobiegania włamaniom” na stronie 143

Konfigurowanie powiadomień funkcjizapobiegania włamaniom

Sposób działania funkcji Zapobieganie włamaniomFunkcja Zapobieganie włamaniom to część funkcji Ochrona przed zagrożeniamisieciowymi.

Funkcja Zapobieganie włamaniom automatycznie wykrywa ataki sieciowe orazataki na przeglądarkę i blokuje je. Funkcja Zapobieganie włamaniom to druga pozaporze warstwa ochrony komputerów klienckich. Funkcja Zapobieganiewłamaniom jest zwana również systemem zapobiegania włamaniom (IntrusionPrevention System, IPS).

Patrz „Zarządzanie systemem zapobiegania włamaniom” na stronie 140

Funkcja Zapobieganie włamaniom przechwytuje dane w warstwie sieci. Skanujepakiety lub strumienie pakietów przy użyciu sygnatur. Skanuje każdy pakiet zosobna, szukając wzorców odpowiadających atakom sieciowym lub atakom na

141Zarządzanie zaporą i zapobieganiem włamaniomSposób działania funkcji Zapobieganie włamaniom

przeglądarkę. Funkcja Zapobieganie włamaniom stosuje sygnatury w celuwykrywania ataków składniki systemu operacyjnego i warstwę aplikacji.

Funkcja Zapobieganie włamaniom zapewnia dwa typy ochrony.

Funkcja Zapobieganie włamaniom sieciowym zapomocą sygnatur identyfikuje ataki na komputeryklienckie. W przypadku znanych ataków systemzapobiegania włamaniom automatycznie odrzucapakiety dopasowane do sygnatur.

Sygnatur niestandardowych nie można utworzyć nakliencie. Można jednak zaimportować na klientasygnatury niestandardowe utworzone przezużytkownika lub administratora w programie SymantecEndpoint Protection Manager.

Zapobieganie włamaniomsieciowym

Funkcja Zapobieganie włamaniom do przeglądarkimonitoruje ataki na przeglądarki Internet Explorer iFirefox. Funkcja Zapobieganie włamaniom doprzeglądarki nie jest obsługiwana w żadnych innychprzeglądarkach.

Ten typ zapobiegania włamaniom stosuje sygnaturyataków oraz analizę heurystyczną w celuidentyfikowania ataków na przeglądarki.

W przypadku niektórych ataków na przeglądarkifunkcja zapobiegania włamaniom wymaga, aby klientzamknął przeglądarkę. Na komputerze klienckimwyświetlane jest powiadomienie.

Zapobieganie włamaniom doprzeglądarki

Włączanie lub wyłączanie funkcji zapobieganiawłamaniom

Zazwyczaj po wyłączeniu systemu zapobiegania włamaniom na komputerze stajesię on mniej bezpieczny. Wyłączenie tych ustawień może być jednak konieczne,aby zapobiec fałszywym alarmom lub rozwiązać problemy z komputerem.

Program Symantec Endpoint Protection rejestruje próby i zdarzenia włamań wdzienniku zabezpieczeń. Program Symantec Endpoint Protection może rejestrowaćwłamania również w dzienniku pakietów, o ile administrator skonfigurował go wten sposób.



Zarządzanie zaporą i zapobieganiem włamaniomWłączanie lub wyłączanie funkcji zapobiegania włamaniom

142

Można włączyć lub wyłączyć dwa typy funkcji zapobiegania włamaniom:

■ Zapobieganie włamaniom sieciowym

■ Zapobieganie włamaniom do przeglądarki

Uwaga: Administrator może zablokować dostęp do tych opcji.


Aby włączyć lub wyłączyć ustawienia systemu zapobiegania włamaniom:



3 Na karcie Zapobieganie włamaniom zaznacz lub usuń zaznaczenienastępujących ustawień:

■ Włącz funkcję Zapobieganie włamaniom sieciowym

■ Włącz funkcję Zapobieganie włamaniom do przeglądarki

Aby uzyskać dodatkowe informacje o ustawieniach, kliknij pozycję Pomoc.


Konfigurowanie powiadomień funkcji zapobieganiawłamaniom

Użytkownik może skonfigurować powiadomienia wyświetlane w przypadkuwykrycia ataku sieciowego na komputer lub zablokowania przez klienta aplikacjipróbującej uzyskać dostęp do komputera. Można ustawić czas wyświetlaniapowiadomień i włączyć lub wyłączyć odtwarzanie sygnału dźwiękowego.

Aby wyświetlane były powiadomienia funkcji zapobiegania włamaniom, funkcjata musi być włączona.

Uwaga: Administrator może zablokować dostęp do tych opcji.


143Zarządzanie zaporą i zapobieganiem włamaniomKonfigurowanie powiadomień funkcji zapobiegania włamaniom

Aby skonfigurować powiadomienia funkcji zapobiegania włamaniom:



3 W oknie dialogowym Ustawienia ochrony przed zagrożeniami sieciowymikliknij pozycję Powiadomienia.

4 Zaznacz pole wyboru Wyświetlaj powiadomienia systemu zapobieganiawłamaniom.

5 Aby w momencie wyświetlenia powiadomienia odtwarzany był sygnałdźwiękowy, zaznacz pole wyboru Odtwarzajdźwiękpodczaspowiadamianiaużytkowników.


Zarządzanie zaporą i zapobieganiem włamaniomKonfigurowanie powiadomień funkcji zapobiegania włamaniom

144

Zarządzanie programemSymantec Network AccessControl


■ Sposób działania programu Symantec Network Access Control

■ Sposób współpracy klienta z modułem Enforcer

■ Przeprowadzanie sprawdzania integralności hosta

■ Przywracanie zgodności komputera

■ Konfigurowanie klienta w celu używania uwierzytelniania 802.1x

■ Wyświetlanie dzienników programu Symantec Network Access Control

SposóbdziałaniaprogramuSymantecNetworkAccessControl

Program Symantec Network Access Control sprawdza i wymusza zgodność zzasadą komputerów próbujących połączyć się z siecią. Proces sprawdzania iwymuszania zaczyna się, zanim komputer zostanie połączony z siecią i trwa przezcały czas połączenia. Zasada integralności hosta to zasada zabezpieczeń, którasłuży jako podstawa wszystkich ocen i działań. Funkcja Integralność hosta jestrównież zwana „zgodnością zabezpieczeń”.

Tabela 6-1 przedstawia proces stosowany przez program Symantec NetworkAccess Control w celu egzekwowania zgodności zasady na komputerze klienckim.

6Rozdział

Tabela 6-1 Opis działania programu Symantec Network Access Control

OpisDziałanie

Użytkownik włącza komputer kliencki. Klient uruchamiasprawdzanie integralności hosta w celu porównaniakonfiguracji komputera z zasadą integralności hostapobraną z serwera zarządzania.

Podczas sprawdzania integralności hosta oceniana jestzgodność komputera z zasadą integralności hosta podwzględem oprogramowania antywirusowego, poprawekoprogramowania i systemu operacyjnego oraz innychwymagań dotyczących zabezpieczeń. Zasada może naprzykład wymagać sprawdzenia daty ostatniej aktualizacjidefinicji wirusów oraz ostatnich poprawek zastosowanychdo systemu operacyjnego.

Klient ocenia swoją zgodnośćw trybie ciągłym.

Komputer przechodzi pomyślnie sprawdzanie integralnościhosta, jeśli spełnia wszystkie wymagania zasady. ModułEnforcer udziela pełnego dostępu do sieci komputerom,które mają prawidłowy wynik sprawdzania integralnościhosta.

Jeśli komputer nie spełnia wymagań zasady, nie przechodzitestu integralności hosta. W przypadku nieprawidłowegowyniku sprawdzania integralności hosta klient luburządzenie Symantec Enforcer blokuje komputerużytkownika lub poddaje kwarantannie do chwiliprzywrócenia jego zgodności. Komputery poddanekwarantannie mają ograniczony dostęp lub nie mają dostępudo sieci.

Patrz „Sposób współpracy klienta z modułem Enforcer”na stronie 147

Urządzenie SymantecEnforcer uwierzytelniakomputer kliencki i albozezwala mu na dostęp dosieci, albo blokuje i poddajekwarantannie jakoniezgodny.

Klient może wyświetlać powiadomienie za każdym razem,gdy przejdzie test integralności hosta.


Administrator może takskonfigurować zasadę, żewynik sprawdzaniaintegralności hosta będzieprawidłowy nawet wtedy, gdyniektóre określonewymagania nie zostanąspełnione.

Zarządzanie programem Symantec Network Access ControlSposób działania programu Symantec Network Access Control

146

OpisDziałanie

Jeśli klient wykryje, że wymaganie zasady integralnościhosta nie jest spełnione, instaluje lub żąda zainstalowaniawymaganego oprogramowania. Po przywróceniu zgodnościkomputer ponawia próbę dostępu do sieci. Jeśli komputerjest w pełni zgodny, uzyskuje zezwolenie na dostęp do sieci.

Patrz „Przywracanie zgodności komputera” na stronie 148

Klient przywraca zgodnośćniezgodnych komputerów.

Klient aktywnie monitoruje stan zgodności wszystkichkomputerów klienckich. Jeśli stan zgodności komputerazmieni się, zmianie ulegną także jego uprawnienia dostępudo sieci.

Klient prewencyjniemonitoruje zgodność.

Więcej informacji na temat wyników sprawdzania integralności hosta możnaznaleźć w dzienniku zabezpieczeń.

Sposób współpracy klienta z modułem EnforcerKlient komunikuje się z urządzeniem Symantec Enforcer. Moduł Enforcer sprawdzana wszystkich łączących się z chronioną siecią komputerach, czy jest na nichuruchomione oprogramowanie klienckie i stosowana jest prawidłowa zasadazabezpieczeń.

Patrz „Sposób działania programu Symantec Network Access Control”na stronie 145

Moduł Enforcer musi uwierzytelnić użytkownika lub komputer kliencki przedzezwoleniem komputerowi klienckiemu na dostęp do sieci. Program SymantecNetwork Access Control uwierzytelnia komputery klienckie, współpracując zkilkoma typami modułów Enforcer. Symantec Enforcer to sprzętowe urządzeniesieciowe, które weryfikuje wyniki sprawdzania integralności hosta i tożsamośćkomputera klienckiego przed zezwoleniem komputerowi na dostęp do sieci.

Przed zezwoleniem klientowi na dostęp do sieci moduł Enforcer sprawdza, czy:

■ Dozwolona jest wersja oprogramowania uruchomionego na komputerze.

■ Klient ma niepowtarzalny identyfikator (UID).

■ Klient został zaktualizowany przy użyciu najnowszej zasady integralnościhosta.

■ Komputer kliencki przeszedł pomyślnie sprawdzanie integralności hosta.

Patrz „Konfigurowanie klienta w celu używania uwierzytelniania 802.1x”na stronie 149

147Zarządzanie programem Symantec Network Access ControlSposób współpracy klienta z modułem Enforcer

Przeprowadzanie sprawdzania integralności hostaAdministrator ustawia częstotliwość, z jaką klient uruchamia sprawdzanieintegralności hosta. Konieczne może być natychmiastowe przeprowadzaniesprawdzania integralności hosta, zamiast oczekiwania na następny termin. Naprzykład sprawdzanie integralności hosta może wykazać, że należy zaktualizowaćsygnatury ochrony przed wirusami na komputerze. Klient może zezwolićużytkownikowi na wybranie, czy wymagane oprogramowanie ma zostać pobranenatychmiast, czy później. W przypadku natychmiastowego pobraniaoprogramowania konieczne jest ponowne przeprowadzenie sprawdzaniaintegralności hosta w celu potwierdzenia, że na komputerze klienckimzainstalowane jest odpowiednie oprogramowanie. Można zaczekać nauruchomienie następnego zaplanowanego testu integralności hosta lub uruchomićsprawdzanie natychmiast.

Aby uruchomić sprawdzanie integralności hosta:


2 Obok pozycji Symantec Network Access Control kliknij pozycję Opcje >Sprawdź zgodność.

3 Jeśli pojawi się komunikat potwierdzający, że test integralności hosta zostałuruchomiony, kliknij przycisk OK.

Jeśli dostęp do sieci był zablokowany, powinien zostać przywrócony pozaktualizowaniu komputera zgodnie z najnowszymi zasadami zabezpieczeń.

Przywracanie zgodności komputeraJeśli klient wykryje, że wymaganie zasady integralności hosta nie jest spełnione,reaguje na jeden z poniższych sposobów:

■ Klient automatycznie pobiera aktualizację oprogramowania.

■ Klient wyświetla monit o pobranie wymaganej aktualizacji oprogramowania.

Aby przywrócić zgodność komputera:

◆ W wyświetlonym oknie dialogowym programu Symantec Endpoint Protectionwykonaj jedno z poniższych działań:

■ Aby sprawdzić, których wymagań zabezpieczeń komputer nie spełnia,kliknij pozycję Szczegóły.

■ Aby natychmiast zainstalować oprogramowanie, kliknij pozycję Przywróćteraz.Dostępna może być opcja anulowania instalacji po jej rozpoczęciu.

Zarządzanie programem Symantec Network Access ControlPrzeprowadzanie sprawdzania integralności hosta

148

■ Aby przełożyć instalację na później, kliknij pozycję Przypomnij późnieji wybierz odstęp czasu z listy rozwijanej.Administrator może określić dozwoloną maksymalną liczbę odroczeńinstalacji przez użytkownika.

Konfigurowanie klienta w celu używaniauwierzytelniania 802.1x

Jeżeli w danej sieci firmowej uwierzytelnianie jest przeprowadzane za pomocąmodułu LAN Enforcer, komputer kliencki musi być skonfigurowany doprzeprowadzania uwierzytelniania 802.1x. Klienta może skonfigurować użytkowniklub administrator. Administrator może, ale nie musi udzielić uprawnień dokonfigurowania uwierzytelniania 802.1x.

Proces uwierzytelniania 802.1x obejmuje następujące kroki:

■ Nieuwierzytelniony klient lub suplikant innej firmy wysyła informacje oużytkowniku i informacje dotyczące zgodności do zarządzanego przełącznikasieciowego obsługującego standard 802.1x.

■ Przełącznik sieciowy przekazuje te informacje do modułu LAN Enforcer. ModułLAN Enforcer wysyła informacje o użytkowniku do serwera uwierzytelnianiaw celu ich uwierzytelnienia. Serwerem uwierzytelniania jest serwer RADIUS.

■ Jeżeli uwierzytelnienie na poziomie użytkownika nie powiedzie się lub klientnie spełnia zasady integralności hosta, urządzenie Enforcer może zablokowaćdostęp do sieci. Moduł Enforcer umieszcza niezgodny komputer kliencki wsieci kwarantanny, gdzie może on zostać poddany działaniom naprawczym.

■ Po naprawie i zapewnieniu zgodności komputera z obowiązującymi zasadamijest on ponownie uwierzytelniany przy użyciu protokołu 802.1x i urządzeniezezwala na dostęp do sieci.

Aby klient mógł współpracować z modułem LAN Enforcer, może używać suplikantawbudowanego lub suplikanta innej firmy.

Tabela 6-2 przedstawia opcje, które umożliwiają skonfigurowanie uwierzytelniania802.1x.

149Zarządzanie programem Symantec Network Access ControlKonfigurowanie klienta w celu używania uwierzytelniania 802.1x

Tabela 6-2 Opcje uwierzytelniania 802.1x

OpisOpcja

Używany jest suplikant protokołu 802.1x innej firmy.

Moduł LAN Enforcer współpracuje z serwerem RADIUS isuplikantami protokołu 802.1x w celu uwierzytelnianiaużytkowników. Suplikant protokołu 802.1x wyświetla monito podanie informacji o użytkowniku. Moduł LAN Enforcerprzekazuje te informacje o użytkowniku do serwera RADIUSw celu przeprowadzenia uwierzytelniania na poziomieużytkownika. Klient wysyła do modułu Enforcer informacjeo profilu klienta i stanie integralności hosta, a moduł Enforceruwierzytelnia komputer.

Uwaga: Aby klienta programu Symantec Network AccessControl można było używać z suplikantem innej firmy,zainstalowany musi być moduł ochrony przed zagrożeniamisieciowymi klienta programu Symantec Endpoint Protection.

Zużyciemsuplikantainnejfirmy

Klient działa jako suplikant protokołu 802.1x.

Z tej metody należy korzystać, jeżeli administrator nie chceprzeprowadzać uwierzytelniania przy użyciu serweraRADIUS. Moduł LAN Enforcer pracuje wtedy w trybieprzeźroczystym i działa jako pseudoserwer RADIUS.

Tryb przeźroczysty oznacza, że suplikant nie wyświetlamonitu o podanie informacji o użytkowniku. W trybie tymklient działa jako suplikant protokołu 802.1x. Klientodpowiada na żądanie EAP przełącznika, wysyłając informacjeo profilu klienta i stanie integralności hosta. Przełącznikprzekierowuje te informacje do modułu LAN Enforcer, którydziała jako pseudoserwer RADIUS. Moduł LAN Enforcersprawdza odebrane z przełącznika informacje o integralnościhosta i profilu klienta, a następnie odpowiednio zezwala nadostęp do sieci, blokuje go lub dynamicznie przypisuje siećVLAN.

Uwaga:Aby używać klienta jako suplikanta protokołu 802.1x,na komputerze klienckim należy odinstalować lub wyłączyćsuplikantów protokołu 802.1x innych firm.

Tryb przeźroczysty

Zarządzanie programem Symantec Network Access ControlKonfigurowanie klienta w celu używania uwierzytelniania 802.1x

150

OpisOpcja

Używany jest wbudowany suplikant protokołu 802.1xkomputera klienckiego.

Wbudowane protokoły uwierzytelniania to: Kartainteligentna, PEAP i TLS. Po włączeniu uwierzytelniania802.1x należy wybrać protokół uwierzytelniania, który mabyć używany.

Z użyciem suplikantawbudowanego

Ostrzeżenie:Przed skonfigurowaniem klienta do używania uwierzytelniania 802.1xnależy skontaktować się z administratorem. Konieczne jest uzyskanie informacji,czy w sieci firmowej jako serwer uwierzytelniania używany jest serwer RADIUS.Jeżeli uwierzytelnianie 802.1x zostanie skonfigurowane nieprawidłowo, utraconemoże zostać połączenie z siecią.

Aby skonfigurować klienta do używania suplikanta innej firmy:


2 Obok pozycji Kontrola dostępu do sieci kliknij pozycję Opcje > Zmieńustawienia > Ustawienia 802.1x.

3 W oknie dialogowym Ustawienia funkcji Kontrola dostępu do sieci kliknijpozycję Włącz uwierzytelnianie 802.1x.


Musisz też utworzyć regułę zapory, która zezwoli sterownikom suplikantaprotokołu 802.1x innej firmy na dostęp do sieci.


Klienta można skonfigurować do używania suplikanta wbudowanego. Klientmoże używać uwierzytelniania 802.1x i jednocześnie działać jako suplikantprotokołu 802.1x.

Aby skonfigurować klienta do używania trybu przeźroczystego lub suplikantawbudowanego:


2 Obok pozycji Kontrola dostępu do sieci kliknij pozycję Opcje > Zmieńustawienia > Ustawienia 802.1x.

3 W oknie dialogowym Ustawienia funkcji Kontrola dostępu do sieci kliknijpozycję Włącz uwierzytelnianie 802.1x.

4 Kliknij pozycję Użyj klienta jako suplikanta protokołu 802.1x.


151Zarządzanie programem Symantec Network Access ControlKonfigurowanie klienta w celu używania uwierzytelniania 802.1x

■ Aby wybrać tryb przeźroczysty, zaznacz pole wyboru Stosuj trybprzeźroczysty firmy Symantec.

■ Aby skonfigurować suplikanta wbudowanego, kliknij pozycję Umożliwiawybór protokołu uwierzytelniania.Użytkownik musi wybrać protokół uwierzytelniania dla połączeniasieciowego.


Aby wybrać protokół uwierzytelniania:

1 Na komputerze klienckim kliknij przycisk Start > Ustawienia > Połączeniasieciowe, a następnie kliknij ikonę Połączenie lokalne.

Uwaga: Te kroki dotyczą komputerów z systemem Windows XP. Właściwaprocedura może być inna.

2 W oknie dialogowym Stan:Połączenie lokalne kliknij przycisk Właściwości.

3 W oknie dialogowym Właściwości: Połączenie lokalne kliknij kartęUwierzytelnianie.

4 Na karcie Uwierzytelnianie kliknij listę rozwijaną Typ protokołu EAP iwybierz jeden z następujących protokołów uwierzytelniania:

■ Karta inteligentna lub inny certyfikat

■ Chroniony protokół EAP (PEAP)

■ Tryb przeźroczysty Symantec NAC

Upewnij się, że pole wyboru WłączuwierzytelnianieIEEE802.1xdlatejsiecijest zaznaczone.



Ponowne uwierzytelnianie komputeraJeśli komputer przeszedł test integralności hosta, ale blokuje go moduł Enforcer,konieczne może być ponowne uwierzytelnienie komputera. W normalnychwarunkach ponowne uwierzytelniania komputera nie powinno być nigdykonieczne.

Moduł Enforcer może zablokować komputer po wystąpieniu jednego znastępujących zdarzeń:

Zarządzanie programem Symantec Network Access ControlKonfigurowanie klienta w celu używania uwierzytelniania 802.1x

152

■ Komputer kliencki nie przeszedł uwierzytelniania użytkownika, ponieważpodana została nieprawidłowa nazwa użytkownika lub hasło.

■ Komputer kliencki znajduje się w niewłaściwej sieci VLAN.

■ Komputer kliencki nie uzyskał połączenia z siecią. Do zerwania połączeniasieciowego dochodzi zazwyczaj wtedy, gdy przełącznik znajdujący się międzykomputerem klienckim a modułem LAN Enforcer nie uwierzytelnił podanejnazwy użytkownika i hasła.

■ Użytkownik zalogował się do komputera klienckiego, który uwierzytelniłpoprzedniego użytkownika.

■ Komputer kliencki nie przeszedł testu zgodności.

Komputer można ponownie uwierzytelnić tylko pod warunkiem, że użytkowniklub administrator skonfigurował go przy użyciu wbudowanego suplikanta.

Uwaga:Administrator mógł nie skonfigurować klienta do wyświetlania poleceniaPonowne uwierzytelnianie.

Aby ponownie uwierzytelnić komputer:

1 Kliknij prawym przyciskiem myszy ikonę w obszarze powiadomień.

2 Kliknij pozycję Ponowne uwierzytelnianie.

3 W oknie dialogowym Ponowne uwierzytelnianie wpisz swoją nazwęużytkownika i hasło.


Wyświetlanie dzienników programu SymantecNetwork Access Control

Klient Symantec Network Access Control monitoruje różne aspekty swojegodziałania oraz wyniki sprawdzania integralności hosta przy użyciu następującychdzienników:

Rejestruje wyniki i stan testów integralności hosta.Zabezpieczenia

Rejestruje wszystkie zmiany operacyjne klienta, takie jak połączeniez serwerem zarządzania i aktualizacje zasad zabezpieczeń klienta.

System

Dzienniki klienta zarządzanego mogą być regularnie przekazywane do serwera.Administrator może używać danych z dzienników do analizowania ogólnego stanuzabezpieczeń sieci.

153Zarządzanie programem Symantec Network Access ControlWyświetlanie dzienników programu Symantec Network Access Control

Dane zawarte w dzienniku można eksportować.

Aby wyświetlić dzienniki programu Symantec Network Access Control:


2 Aby wyświetlić dziennik zabezpieczeń, obok pozycji Kontrola dostępu dosieci kliknij pozycję Opcje > Wyświetl dzienniki.

3 W dzienniku zabezpieczeń zaznacz pierwszy wpis dziennika.

W lewym dolnym rogu okna wyświetlone zostaną wyniki sprawdzaniaintegralności hosta. Jeśli klient był już zainstalowany, predefiniowany wymógzapory został spełniony. Jeśli klient nie był zainstalowany, predefiniowanywymóg zapory nie został spełniony, ale wyświetlany jest wynik prawidłowy.

4 Aby wyświetlić dziennik systemu, w oknie dialogowym Dziennikzabezpieczeń— Dzienniki programu Symantec Network Access Control kliknij pozycjęWidok > Dziennik systemu.

5 Kliknij menu Plik > Zakończ.


Zarządzanie programem Symantec Network Access ControlWyświetlanie dzienników programu Symantec Network Access Control

154

Aadware 72aktualizacja

definicji 36–37aktywna reakcja

informacje 122alerty

ikony 16reagowanie 21

aplikacje 125wykluczanie ze skanowań 91zezwalanie lub blokowanie 127, 138

aplikacje wprowadzające w błąd 73Automatyczna ochrona

dla klientów poczty e-mail stanowiącychskładnik oprogramowania do pracygrupowej 68

dla programu Lotus Notes 70Download Insight 44internetowej poczty e-mail 68programu Microsoft Outlook 68systemu plików 46włączanie lub wyłączanie 44, 46

Bblokowanie atakującego komputera 122blokowanie ruchu 123, 127

reagowanie na komunikaty 29reguły zapory 138

CCentrum zabezpieczeń systemu Windows

wyświetlanie stanu ochrony antywirusowej 101wyświetlanie stanu zapory 102

czyszczenie wirusów 24, 74

Ddane dotyczące reputacji 74definicje

aktualizowanie 36–37

informacje 65definicje wirusów

aktualizowanie 36–37informacje 65

destrukcyjne oprogramowaniekonfigurowanie działań wobec wykryć 86

dialery 72domena internetowa

wykluczanie ze skanowań 91Download Insight

dane dotyczące reputacji 74dostosowywanie 83interakcja z funkcją Automatyczna ochrona 44reagowanie na powiadomienia 28zarządzanie wykryciami 80

Dziennik debugowania 51Dziennik funkcji Ochrona przed naruszeniem

integralności 51Dziennik kontroli 51Dziennik pakietów 50dziennik pakietów

włączanie 52Dziennik ruchu 50Dziennik skanowania 49dziennik skanowania

poddawanie pliku kwarantannie 96Dziennik systemu

Ochrona przed wirusami i programami typuspyware 50

Zapobieganie zagrożeniom 50Zarządzanie klientami 51

Dziennik zabezpieczeń 51Dziennik zagrożeń 50dziennik zagrożeń

poddawanie pliku kwarantannie 96dzienniki

eksportowanie danych 53eksportowanie filtrowanych wpisów

dziennika 54formaty eksportu 53–54informacje 49kontroli dostępu do sieci 153

Indeks

wyświetlanie 51włączanie dziennika pakietów 52śledzenie wsteczne wpisów 52

Eegzekwowanie

informacje 147

Ffoldery

wykluczanie ze skanowań 91

Iikona paska zadań 38ikona tarczy 38ikona w obszarze powiadomień

informacje 38ukrywanie i wyświetlanie 40

ikonykłódka 42na stronie Stan 16tarcza 38

Insight 74

Kklienci

sposób ochrony komputerów 34wyłączanie systemu ochrony 43zarządzani i niezarządzani 40, 42

klienci autonomiczni 40klienci niezarządzani

informacje 40sprawdzanie 42zarządzanie ochroną 34

klienci zarządzaniinformacje 40sprawdzanie 42zarządzanie ochroną 34

komputeryaktualizowanie systemu ochrony 36skanowanie 58sposób ochrony komputerów 34

komputery 64-bitowe 18komunikaty

reagowanie 21, 29–31zapobieganie włamaniom 143

konie trojańskie 72

kontrola dostępu do sieciegzekwowanie 147informacje 13, 145przywracanie zgodności komputera 148

kwarantannaprzenoszenie plików 95przesyłanie plików do centrum Symantec

Security Response 97ręczne poddawanie pliku kwarantannie 96usuwanie plików 97wyświetlanie zainfekowanych plików 95zarządzanie plikami 93

Llicencje

reagowanie na komunikaty 30LiveUpdate

bezzwłoczne uruchamianie 37opis ogólny 36polecenie 16tworzenie harmonogramu funkcji 37

Nnarzędzia hakerskie 73narzędzia typu rootkit 72narzędzie oceny zabezpieczeń 73

Oochrona na poziomie sterowników

włączanie 113Ochrona przed naruszeniem integralności

konfigurowanie 48wyłączanie 45włączanie i wyłączanie 48

Ochrona przed wirusami i programami typu spywareDziennik systemu 50informacje 12

Ochrona przed zagrożeniami sieciowymidzienniki 50informacje 12, 108włączanie lub wyłączanie 45–46zarządzanie 108

ochrona systemu NetBIOSwłączanie 113

odblokowanie atakującego komputera 122opcja Pomoc 14opcje

niedostępne 41

Indeks156

operacje sieciowewyświetlanie 129

Ppliki

działanie po wykryciu 24przesyłanie do centrum Symantec Security

Response 97udostępnianie 120wykluczanie ze skanowań 91

poczta e-mailwykluczanie pliku skrzynki odbiorczej ze

skanowania 90poddawanie wirusów kwarantannie 24ponowne uwierzytelnianie 152powiadomienia

Download Insight 28reagowanie 21zapobieganie włamaniom 143

programy do kontroli rodzicielskiej 73programy do zdalnego dostępu 73programy śledzące 73programy – żarty 73przeciwdziałanie fałszowaniu adresów MAC

włączanie 113

Rreguły zapory 133

dodawanie 138eksportowanie 139importowanie 139informacje 134kolejność przetwarzania

informacje 131zmiana 133

konfigurowanie 137włączanie i wyłączanie 140

robaki 72roboty 72roboty internetowe 72rozwiązywanie problemów

za pomocą strony Stan 14ruch

blokowanie 123wyświetlanie 129zezwalanie lub blokowanie 127

ruch emisjipokazywanie 129

ruch token ringwłączanie 113

Sserwer

klienci zarządzani 41łączenie 38

skanowaniadostosowywanie ustawień 84działania naprawcze 84działania powiadomień 84informacje 66interpretowanie wyników 23konfigurowanie wyjątków 84na żądanie i przy uruchomieniu 79odraczanie 18opcje odraczania 19reagowanie na wykrycie 24skanowane składniki 64sposób działania 64typy 66uruchamianie 16wstrzymywanie 18wykluczanie elementów 91zaplanowane 75zarządzanie 58zdefiniowane przez użytkownika 84

skanowania aktywneuruchamianie 77

skanowania na żądanietworzenie 79uruchamianie 16

skanowania niestandardoweuruchamianie 77

skanowania pełneuruchamianie 77

skanowania przy uruchamianiutworzenie 79

skanowania zaplanowanetworzenie 75wiele 76

skanowanie poczty e-mail. Patrz Automatycznaochrona

skanowanie za pomocą kliknięcia prawymprzyciskiem myszy 16

Smart DHCP 120Smart DNS 120Smart WINS 120

157Indeks

SONARdzienniki 50informacje 12, 104informacje o wykrywaniu 105zarządzanie 102zmienianie ustawień 105

sprawdzanie integralności hostauruchamianie 148

spyware 73stanowa analiza pakietów 133strona Skanowanie w poszukiwaniu zagrożeń 15strona Stan 14

ikony alertów 16rozwiązywanie problemów 14

strona Wyświetlanie kwarantanny 15strona Zmiana ustawień 15Symantec Security Response

przesyłanie plików 97system ochrony

aktualizowanie 36–37używanie 34włączanie lub wyłączanie 43

system zapobiegania włamaniomaktualizowanie definicji 36informacje 108

Ttryb ukrywania przeglądania Internetu

włączanie 113

Uudostępnianie drukowania 120udostępnianie plików i drukarek 120ustawienia

zapobieganie włamaniom 143ustawienia ruchu i trybu ukrywania 113usuwanie wirusów 24usługi systemu Windows

pokazywanie 129uwierzytelnianie 802.1x

informacje 149konfigurowanie 151

Wwirus

usuwanie z zainfekowanego pliku 26wirusy 72

konfigurowanie działań wobec wykryć 86

nierozpoznawane 97sposób wykrywania przez klienta 65sposoby reagowania klienta 66sposoby reagowania klienta na wykrycie 74

wyjątkiinformacje 90–91tworzenie 91

wyjątki skanowania. Patrz wyjątkiwysyłki 98–99Wyszukiwanie Insight

zaufane witryny intranetowe 83wyłączanie

Automatyczna ochrona 44, 46Ochrona przed zagrożeniami sieciowymi 45–46Zapobieganie zagrożeniom 44, 46

włączanieAutomatyczna ochrona 46Ochrona przed zagrożeniami sieciowymi 46Zapobieganie zagrożeniom 46

Zzagrożenia

hybrydowe 72zagrożenia bezpieczeństwa

konfigurowanie działań wobec wykryć 86sposób wykrywania przez klienta 65sposoby reagowania klienta 66sposoby reagowania klienta na wykrycie 74wykluczanie ze skanowań 91

zagrożenia hybrydowe 72zagrożenie

usuwanie z zainfekowanego pliku 26zainfekowane pliki

podejmowanie działań 23zapobieganie włamaniom. Patrz system zapobiegania

włamaniompowiadomienia 143sposób działania 141włączanie lub wyłączanie 143zarządzanie 140

zapobieganie włamaniom do przeglądarkiinformacje 141

zapobieganie włamaniom sieciowyminformacje 141

Zapobieganie zagrożeniominformacje 12włączanie lub wyłączanie 44, 46

zaporaaplikacje 125

Indeks158

definicja 108stanowa analiza pakietów 133ustawienia 111włączanie lub wyłączanie 46zarządzanie 108

zezwalanie na ruch 127reagowanie na komunikaty 29reguły zapory 138

159Indeks