Produkthandbuch. McAfee Endpoint Security 10

Transkript

1 Produkthandbuch McAfee Endpoint Security 10

2 COPYRIGHT Copyright 2014 McAfee, Inc. Keine Vervielfältigung ohne vorherige Zustimmung. MARKEN McAfee, das McAfee-Logo, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure sind Marken oder eingetragene Marken von McAfee, Inc. oder der Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Produktnamen, Funktionsbezeichnungen und Beschreibungen können jederzeit unangekündigt geändert werden. Die jeweils aktuellen Informationen zu Produkten und Funktionen finden Sie unter mcafee.com. INFORMATIONEN ZUR LIZENZ Lizenzvereinbarung HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWAREPAKET ODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN MCAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK. 2 McAfee Endpoint Security 10 Produkthandbuch

3 Inhaltsverzeichnis McAfee Endpoint Security 5 1 Einführung 7 Endpoint Security-Module So schützt Endpoint Security Ihren Computer So bleibt Ihr Schutz auf dem neuesten Stand Interaktion mit Endpoint Security Informationen zum McAfee-System-Taskleistensymbol Informationen zu Benachrichtigungen Informationen zum Endpoint Security Client Verwenden der Endpoint Security Client 17 Öffnen des Endpoint Security Client Hilfe anfordern Reagieren auf Aufforderungen Reagieren auf eine Aufforderung bei erkannter Bedrohung Reagieren auf eine Scan-Aufforderung Informationen zu Ihrem Schutz Verwaltungstypen Manuelles Aktualisieren von Schutz und Software Anzeigen des Ereignisprotokolls Informationen zu Protokolldateien Verwalten von Endpoint Security Anmelden als Administrator Entsperren der Client-Schnittstelle Deaktivieren und Aktivieren von Funktionen Ändern der AMCore Content-Version Verwenden von ETRA.DAT-Dateien Konfigurieren gemeinsamer Einstellungen Verwenden von Threat Prevention 35 Scannen Ihres Computers auf Malware Scan-Typen Ausführen eines vollständigen Scans oder Schnellscans Scannen einer Datei oder eines Ordners Verwalten von erkannten Bedrohungen Verwalten von isolierten Elementen Erkennungsnamen Verwalten von Threat Prevention Ausschließen von Elementen von Scans Erkennen von potenziell unerwünschten Programmen Konfigurieren der Richtlinieneinstellungen für den Konfigurieren der RichtlinieneinstellungenRichtlinieneinstellungenExploit-Schutz- Richtlinieneinstellungen Konfigurieren von Richtlinieneinstellungen für McAfee Endpoint Security 10 Produkthandbuch 3

4 Inhaltsverzeichnis Konfigurieren Sie die für den On-Demand-Scan Planen von Tasks für Vollständiger Scan und Schnellscan Konfigurieren gemeinsamer Scan-Einstellungen Verwenden der Firewall 63 Funktionsweise von Firewall Verwalten der Firewall Ändern von Firewall-Optionen Konfigurieren Sie Firewall-Regeln und -Gruppen Verwenden von Web Control 77 Informationen zu Web Control Funktionen Web Control-Schaltfläche zu Bedrohungsidentifizierung während des Surfens Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen Site-Berichte für Details So werden Sicherheitsbewertungen kompiliert Zugreifen auf Web Control-Funktionen Zugeifen auf Funktionen während des Surfens Site-Bericht während der Suche anzeigen Site-Berichte anzeigen Fehlerbehebung bei Kommunikationsproblemen Verwalten von Web Control Konfigurieren von Web Control-Optionen Angeben von Bewertungsaktionen und Blockieren des Site-Zugriffs basierend auf der Webkategorie Index McAfee Endpoint Security 10 Produkthandbuch

5 McAfee Endpoint Security McAfee Endpoint Security ist eine umfangreiche Sicherheitsverwaltungslösung, die auf Netzwerk-Computern ausgeführt wird, um Bedrohungen zu identifizieren und automatisch zu stoppen. In dieser Hilfe finden Sie Informationen über die Verwendung der grundlegenden Sicherheitsfunktionen und die Fehlerbehebung bei Problemen. Erste Schritte Endpoint Security-Module auf Seite 7 So schützt Endpoint Security Ihren Computer auf Seite 8 Interaktion mit Endpoint Security auf Seite 9 Häufig durchgeführte Tasks Öffnen des Endpoint Security Client auf Seite 17 Manuelles Aktualisieren von Schutz und Software auf Seite 20 Scannen Ihres Computers auf Malware auf Seite 35 Entsperren der Client-Schnittstelle auf Seite 24 Weitere Informationen Zusätzliche Informationen zu diesem Produkt finden Sie hier: McAfee Endpoint Security-Installationshandbuch McAfee Endpoint Security-Versionsinformationen Endpoint Security Firewall-Hilfe Endpoint Security Web Control-Hilfe Endpoint Security Threat Prevention-Hilfe McAfee-Support McAfee Endpoint Security 10 Produkthandbuch 5

6 McAfee Endpoint Security 6 McAfee Endpoint Security 10 Produkthandbuch

7 1 Einführung 1 Endpoint Security ist eine umfassende Lösung zur Sicherheitsverwaltung, die auf Netzwerkcomputern ausgeführt wird, um Bedrohungen automatisch zu identifizieren und zu stoppen. In dieser Hilfe wird erklärt, wie Sie die Basis-Sicherheitsfunktionen verwenden und Fehlerbehebung bei Problemen ausführen. Wenn Ihr Computer verwaltet ist, richtet ein Administrator Endpoint Security ein und konfiguriert es mithilfe eines dieser Management-Servers: McAfee epolicy Orchestrator (McAfee epo ) McAfee epolicy Orchestrator Cloud (McAfee epo Cloud) McAfee SecurityCenter Wenn Ihr Computer selbstverwaltet ist, können Sie (oder Ihr Administrator) die Software mithilfe des Endpoint Security Client konfigurieren. Inhalt Endpoint Security-Module So schützt Endpoint Security Ihren Computer Interaktion mit Endpoint Security Endpoint Security-Module Der Administrator konfiguriert und installiert ein oder mehrere Endpoint Security-Module auf Client-Computern. Threat Prevention Prüft auf Viren, Spyware, unerwünschte Programme und andere Bedrohungen, indem er Elemente automatisch scannt, wenn Benutzer darauf zugreifen oder diese anfordern. Firewall Überwacht die Kommunikation zwischen dem Computer und Ressourcen im Netzwerk und im Internet. Fängt verdächtige Kommunikationsvorgänge ab. Web Control Zeigt während des Browsens und der Suche im Internet Sicherheitsbewertungen und Berichte über Websites an. Mit Web Control kann der Site-Administrator den Zugriff auf Websites blockieren, basierend auf Sicherheitsbewertungen oder Inhalt. Außerdem bietet das Common-Modul Einstellungen für Common-Einstellungen wie Schnittstellensicherheit und Protokollierung. Dieses Modul wird automatisch bei Installation eines anderen Moduls installiert. McAfee Endpoint Security 10 Produkthandbuch 7

8 1 Einführung So schützt Endpoint Security Ihren Computer So schützt Endpoint Security Ihren Computer Typischerweise richtet ein Administrator Endpoint Security ein, installiert die Software auf Client-Computern, überwacht den Sicherheitsstatus und erstellt Sicherheitsregeln, auch Richtliniengenannt. Als Benutzer eines Client-Computers interagieren Sie mit Endpoint Security über eine auf Ihrem Computer installierte Client-Software. Die vom Administrator definierten Richtlinien legen fest, wie die Module und Funktionen auf Ihrem Computer ausgeführt werden und ob Sie sie modifizieren können. Wenn Endpoint Security selbstverwaltet ist, können Sie festlegen, wie die Module und Funktionen ausgeführt werden sollen. Informationen zur Ermittlung Ihres Verwaltungstyps finden Sie auf der Informationsseite. In regelmäßigen Abständen stellt die Client-Software auf Ihrem Computer eine Verbindung mit einer Website her, um ihre Komponenten zu aktualisieren. Gleichzeitig sendet sie Daten über Erkennungen auf Ihrem Computer an den Management-Server. Anhand dieser Daten werden Berichte über Erkennungen und Sicherheitsprobleme auf Ihrem Computer für Ihren Administrator erstellt. In der Regel wird die Client-Software ohne Ihr Zutun im Hintergrund ausgeführt. Es kann jedoch vorkommen, dass Sie eine Auswahl treffen müssen. Beispielsweise könnten Sie unter bestimmten Umständen manuell nach Software-Aktualisierungen suchen oder auf Malware scannen. Abhängig von den Richtlinien, die von Ihrem Administrator festgelegt wurden, können Sie möglicherweise auch die Sicherheitseinstellungen anpassen. Falls Sie ein Administrator sind, können Sie mithilfe von McAfee epo, McAfee epo Cloud oder SecurityCenter die Client-Software zentral verwalten und konfigurieren. Informationen zu Ihrem Schutz auf Seite 19 So bleibt Ihr Schutz auf dem neuesten Stand Regelmäßige Aktualisierungen von Endpoint Security stellen sicher, dass Ihr Computer immer vor den neuesten Bedrohungen geschützt ist. Für Aktualisierungen stellt die Client-Software eine Verbindung zu einem lokalen oder Remote-Server von McAfee epo oder direkt zu einer Site im Internet her. Endpoint Security sucht nach: Aktualisierungen der Content-Dateien, die zur Erkennung von Bedrohungen verwendet werden. Content-Dateien enthalten Definitionen für Bedrohungen wie Viren und Spyware. Diese Definitionen werden aktualisiert, wenn neue Bedrohungen erkannt werden. Upgrades für Software-Komponenten wie Patches und HotFixes. Auf selbstverwalteten Systemen aktualisiert der Task Standard-Client-Aktualisierung sämtlichen Inhalt und die Software. Auf verwalteten Systemen aktualisiert dieser Task nur den Inhalt. Für die vereinfachte Terminologie verwendet diese Hilfe sowohl für Aktualisierungen als auch für Upgrades den Begriff Aktualisierungen. Aktualisierungen werden gewöhnlich automatisch im Hintergrund ausgeführt. Möglicherweise müssen Sie auch manuell nach Aktualisierungen suchen. Je nach Einstellungen können Sie Ihren Schutz manuell vomendpoint Security Client aus aktualisieren, indem Sie auf klicken. Manuelles Aktualisieren von Schutz und Software auf Seite 20 8 McAfee Endpoint Security 10 Produkthandbuch

9 Einführung Interaktion mit Endpoint Security 1 Funktionsweise von Content-Dateien Wenn das Scan-Modul Dateien nach Bedrohungen durchsucht, vergleicht es den Inhalt der gescannten Dateien mit bekannten Bedrohungsinformationen, die in AMCore Content-Dateien gespeichert sind. Der Exploit-Schutz verwendet seine eigenen Content-Dateien als Schutz vor Exploits. AMCore Content McAfee Labs findet Informationen (Signaturen) zu bekannten Bedrohungen und fügt diese den Content-Dateien hinzu. Content-Dateien enthalten neben Signaturen Informationen zum Säubern und Entgegenwirken des vom erkannten Virus verursachten Schadens. Wenn sich die Signatur eines Virus in keiner installierten Content-Datei befindet, kann das Scan-Modul diesen Virus nicht erkennen und säubern. Es treten regelmäßig neue Bedrohungen auf. McAfee Labs veröffentlicht fast jeden Tag gegen 19:00 Uhr (MEZ) Scan-Modul-Aktualisierungen und neue Content-Dateien, die die Ergebnisse der fortlaufenden Bedrohungsforschung beinhalten. Endpoint Security speichert die aktuell geladene Content-Datei und die vorherigen zwei Versionen im Ordner Programme\Gemeinsame Dateien\McAfee\Engine\content. Bei Bedarf können Sie eine frühere Version wiederherstellen. Wenn neue Malware entdeckt wird und eine zusätzliche Erkennung außerhalb des regulären Content-Aktualisierungszeitplan nötig ist, veröffentlicht McAfee Labs eine ETRA.DAT-Datei. Exploit-Schutz-Content-Datei Die Exploit-Schutz-Content-Datei enthält: Speicherschutz-Signaturen Generischer Buffer Overflow-Schutz (GBOP) und Kevlar. Anwendungsschutzliste Prozesse, die der Exploit-Schutz schützt. McAfee veröffentlicht einmal im Monat neue Exploit-Schutz-Content-Dateien. Interaktion mit Endpoint Security Endpoint Security verfügt über zwei visuelle Komponenten zur Interaktion mit dem Endpoint Security Client. McAfee-Symbol in der Windows-Taskleiste Damit können Sie den Endpoint Security Client starten und den Sicherheitsstatus anzeigen. Benachrichtigungen Warnt Sie bei Erkennung von Firewall-Eindringungsversuchen, und fordert Sie zu einem Scan oder einer Eingabe auf. On-Access-Scan-Seite Zeigt die Liste mit erkannten Bedrohungen an, wenn der On-Access-Scanner eine Bedrohung erkannt hat. Endpoint Security Client Zeigt den aktuellen Schutzstatus an und bietet Zugriff auf Funktionen. Für verwaltete Systeme konfiguriert der Administrator Richtlinien, um die angezeigten Komponenten festzulegen und weist diese zu. Informationen zum McAfee-System-Taskleistensymbol auf Seite 10 Informationen zu Benachrichtigungen auf Seite 10 Verwalten von erkannten Bedrohungen auf Seite 39 Informationen zum Endpoint Security Client auf Seite 11 McAfee Endpoint Security 10 Produkthandbuch 9

10 1 Einführung Interaktion mit Endpoint Security Informationen zum McAfee-System-Taskleistensymbol Das McAfee-Symbol in der Windows-Taskleiste bietet Zugriff auf den Endpoint Security Client. Das McAfee-Symbol ist möglicherweise nicht verfügbar, je nach konfigurierten Einstellungen. Verwenden Sie das System-Taskleistensymbol für folgende Aufgaben: Überprüfen des Sicherheitsstatus: Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen Sie Sicherheitsstatus anzeigen, um die Seite McAfee-Sicherheitsstatus anzuzeigen. Öffnen des Endpoint Security Client: Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen Sie McAfee Endpoint Security. So erkennen Sie den Status von Endpoint Security am Symbol Der Status von Endpoint Security lässt sich am Anzeigebild des Symbols ablesen. Bewegen Sie den Cursor über das Symbol, um eine Nachricht mit einer Beschreibung des Status anzuzeigen. Symbol Zeigt Folgendes an... Endpoint Security schützt Ihr System. Es sind keine Probleme vorhanden. Endpoint Security erkennt ein Problem mit Ihrer Sicherheit, etwa dass ein Modul oder eine Technologie deaktiviert ist. Firewall ist deaktiviert. Threat Prevention Exploit-Schutz, On-Access-Scan oder ScriptScan ist deaktiviert. Endpoint Security meldet Probleme auf andere Weise, je nach dem Verwaltungstyp. Selbstverwaltet Verwaltet Eine oder mehrere Technologien sind deaktiviert. Eine oder mehrere Technologien wurde manuell deaktiviert und nicht als Ergebnis einer Richtlinienerzwingung durch den Management-Server. Wenn ein Problem erkannt wird, zeigt die Seite McAfee-Sicherheitsstatus an, welches Modul oder welche Technologie deaktiviert ist. Informationen zu Benachrichtigungen Endpoint Security verwendet zwei Arten von Benachrichtigungen, um Sie über Probleme mit Ihrem Schutz zu informieren oder Eingaben anzufragen. Einige Benachrichtigungen werden möglicherweise nicht angezeigt, je nach Konfiguration. Endpoint Security sendet zwei Arten von Benachrichtigungen: Warnungen erscheinen für fünf Sekunden auf dem McAfee-Symbol. Warnungen benachrichtigen Sie über erkannte Bedrohungen, etwa Firewall-Intrusionsereignisse oder wenn ein On-Demand-Scan angehalten bzw. fortgesetzt wird. Es sind keine Reaktionen Ihrerseits erforderlich. Aufforderungen öffnen eine Seite am unteren Rand Ihres Bildschirms und bleiben solange sichtbar, bis Sie eine Option wählen. Beispiel: Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von Endpoint Security möglicherweise eine Aufforderung, den Scan zu verschieben. Wenn der On-Access-Scanner eine Bedrohung erkennt, erhalten Sie möglicherweise von Endpoint Security die Aufforderung, auf die Erkennung zu reagieren. 10 McAfee Endpoint Security 10 Produkthandbuch

11 Einführung Interaktion mit Endpoint Security 1 Im Metro-Modus in Windows 8 werden Pop-Up-Benachrichtigungen in der rechten oberen Ecke des Bildschirms angezeigt, um Sie über Warnungen und Aufforderungen zu informieren. Klicken Sie auf die Pop-Up-Benachrichtigung, um sie im Desktopmodus anzuzeigen. Der Vorgang "McTray.exe" muss für Endpoint Security ausgeführt werden, um Warnungen und Aufforderungen anzuzeigen. Reagieren auf eine Aufforderung bei erkannter Bedrohung auf Seite 18 Reagieren auf eine Scan-Aufforderung auf Seite 18 Informationen zum Endpoint Security Client Mit dem Endpoint Security Client können Sie den Schutzstatus überprüfen und auf Funktionen auf Ihrem Computer zugreifen. Optionen im Menü Aktionen bieten Zugriff auf Funktionen. Einstellungen Konfiguriert Funktionseinstellungen. Diese Menüoption ist verfügbar, wenn eine der folgenden Möglichkeiten zutrifft: Der Client-Schnittstellen-Modus auf Vollzugriff gesetzt ist. Sie als Administrator angemeldet sind. Extra.DAT-Dateien laden Rollback von AMCore Content Lässt Sie eine heruntergeladene ETRA.DAT-Datei installieren. Setzt den AMCore Content auf eine frühere Version zurück. Diese Menüoption ist verfügbar, wenn eine frühere Version von AMCore Content auf dem System vorhanden ist und wenn eine der folgenden Möglichkeiten zutrifft: Der Client-Schnittstellen-Modus auf Vollzugriff gesetzt ist. Sie als Administrator angemeldet sind. Hilfe Support-Links Administratoranmeldung Informationen Beenden Zeigt Hilfe an. Zeigt eine Seite mit Links zu hilfreichen Seiten an wie das McAfee ServicePortal und das Knowledge Center. Für die Anmeldung als Website-Administrator. (Die Anmeldeinformationen des Administrators sind erforderlich.) Das Standardkennwort ist mcafee. Diese Menüoption ist verfügbar, wenn der Client-Schnittstellen-Modus auf Vollzugriff gesetzt ist. Wenn Sie schon als Administrator angemeldet sind, ist diese Option Administratorabmeldung. Zeigt Informationen zu Endpoint Security an. Beendet den Endpoint Security Client. McAfee Endpoint Security 10 Produkthandbuch 11

12 1 Einführung Interaktion mit Endpoint Security Schaltflächen rechts oben auf der Seite bieten schnellen Zugriff auf häufig verwendete Tasks. Überprüfung Ihres Systems auf Malware mit einem vollständigen Scan oder Schnellscan. Diese Schaltfläche ist nur verfügbar, wenn das Threat Prevention-Modul installiert ist. Aktualisiert Content-Dateien und Software-Komponenten auf Ihrem Computer. Diese Schaltfläche wird möglicherweise nicht angezeigt, je nach Konfiguration. Die Schaltflächen links auf der Seite bieten Informationen zu Ihrem Schutz. Status Ereignisprotokoll Quarantäne Bringt Sie zurück zur Status-Hauptseite. Zeigt das Protokoll aller Schutz- und Bedrohungsereignisse auf diesem Computer an. Öffnet den Quarantäne-Manager. Diese Schaltfläche ist nur verfügbar, wenn das Threat Prevention-Modul installiert ist. Die Bedrohungszusammenfassung bietet Informationen zu Bedrohungen, die Endpoint Security in Ihrem System während der letzten 30 Tage erkannt hat. Laden einer ETRA.DAT-Datei auf Seite 27 Anmelden als Administrator auf Seite 24 Scannen Ihres Computers auf Malware auf Seite 35 Manuelles Aktualisieren von Schutz und Software auf Seite 20 Anzeigen des Ereignisprotokolls auf Seite 21 Verwalten von isolierten Elementen auf Seite 39 Verwalten von Endpoint Security auf Seite 24 Informationen zur Bedrohungszusammenfassung auf Seite 12 Informationen zur Bedrohungszusammenfassung Die Endpoint Security Client-Statusseite bietet eine Zusammenfassung in Echtzeit von allen Bedrohungen, die in Ihrem System während der letzten 30 Tage erkannt wurden. Wenn neue Bedrohungen erkannt werden, aktualisiert die Statusseite dynamisch im unteren Bereich unter Bedrohungszusammenfassung die Daten. 12 McAfee Endpoint Security 10 Produkthandbuch

13 Einführung Interaktion mit Endpoint Security 1 Die Bedrohungszusammenfassung beinhaltet: Datum der letzten eliminierten Bedrohung Die zwei häufigsten Bedrohungsvektoren nach Kategorie: Web Externes Gerät oder Medien Netzwerk Lokales System Dateifreigabe Instant Message Unbekannt Bedrohungen aus Webseiten oder Downloads. Bedrohungen aus externen Geräten, wie USB, Firewire 1394, esata, Band, CD, DVD oder Diskette. Bedrohungen aus dem Netzwerk (nicht aus Netzwerkdateifreigaben). Bedrohungen aus dem Laufwerk des lokalen Startdateisystems (gewöhnlich C:) oder aus anderen Laufwerken, die nicht unter Externes Gerät oder Medien fallen. Bedrohungen aus einer Netzwerkdateifreigabe. Bedrohungen aus -Nachrichten. Bedrohungen durch Instant Messaging. Bedrohungen, wo der Angriffsvektor nicht ermittelt werden kann (aufgrund eines Fehlers oder anderen Versagens). Anzahl der Bedrohungen pro Bedrohungsvektor Wenn der Endpoint Security Client den Ereignis-Manager nicht erreichen kann, zeigt Endpoint Security Client eine Kommunikationsfehlermeldung an. Starten Sie in diesem Fall Ihr System neu, um die Bedrohungszusammenfassung anzuzeigen. Auswirkungen von Einstellungen auf den Client Ihrem Computer zugewiesene Einstellungen für den Client-Schnittstellen-Modus legen fest, auf welche Module und Funktionen Sie zugreifen können. Ändern Sie den Client-Schnittstellen-Modus in den Common-Einstellungen. Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee epo, McAfee epo Cloud oder dem SecurityCenter Änderungen von der Einstellungen-Seite überschreiben. Die Optionen für den Client-Schnittstellen-Modus sind folgende: McAfee Endpoint Security 10 Produkthandbuch 13

14 1 Einführung Interaktion mit Endpoint Security Vollzugriff Standardzugriff Client-Benutzeroberfläche sperren Ermöglicht den Zugriff auf alle Funktionen, darunter: Aktivieren und Deaktivieren einzelner Module und Funktionen. Zugriff auf die Seite Einstellungen, um alle Einstellungen für den Endpoint Security Client anzuzeigen oder zu ändern. Dieser Modus ist die Standardeinstellung für selbstverwaltete Systeme. Zeigt den Schutzstatus an und bietet Zugriff auf die meisten Funktionen: Aktualisiert die Content-Dateien und Software-Komponenten auf Ihrem Computer (wenn vom Administrator aktiviert). Ausführen einer gründlichen Überprüfung aller Bereiche auf Ihrem System (empfohlen, wenn Sie vermuten, dass Ihr Computer infiziert ist). Ausführen einer schnellen (zweiminütigen) Überprüfung der für Infektionen besonders anfälligen Systembereiche. Zugreifen auf das Ereignisprotokoll. Verwalten der Elemente in der Quarantäne. Dieser Modus ist die Standardeinstellung für verwaltete Systeme. Wenn der Schnittstellenmodus auf Standardzugriff gesetzt ist, können Sie sich als Administrator anmelden, um auf alle Funktionen, einschließlich Einstellungen, zuzugreifen. Erfordert ein Kennwort für den Zugriff auf den Client. Das Standardkennwort ist mcafee. Sobald Sie die Client-Schnittstelle entsperrt haben, können Sie auf alle Funktionen zugreifen. Wenn Sie nicht auf den Endpoint Security Client oder bestimmte Tasks und Funktionen zugreifen können, die Sie für Ihre Arbeit benötigen, wenden Sie sich an Ihren Administrator. Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit auf Seite 29 Diese Auswirkungen haben Module auf den Client Einige Aspekte des Clients sind möglicherweise nicht verfügbar, je nach den auf Ihrem Computer installierten Modulen. Diese Funktionen sind nur bei der Installation von Threat Prevention verfügbar: -Schaltfläche Quarantäne-Schaltfläche 14 McAfee Endpoint Security 10 Produkthandbuch

15 Einführung Interaktion mit Endpoint Security 1 Die auf dem System installierten Funktionen entscheiden über die angezeigten Funktionen: Im Dropdown-Menü Ereignisprotokoll Nach Modul filtern. Auf der Seite Einstellungen. Common Threat Prevention Firewall Web Control Wird angezeigt, wenn ein Modul installiert ist. Wird nur angezeigt, wenn Threat Prevention installiert ist. Wird nur angezeigt, wenn Firewall installiert ist. Wird nur angezeigt, wenn Web Control installiert ist. Je nach Client-Schnittstellen-Modus und wie der Administrator Ihren Zugriff konfiguriert hat, sind einige oder alle Funktion möglicherweise nicht verfügbar. Auswirkungen von Einstellungen auf den Client auf Seite 13 McAfee Endpoint Security 10 Produkthandbuch 15

16 1 Einführung Interaktion mit Endpoint Security 16 McAfee Endpoint Security 10 Produkthandbuch

17 2 Verwenden 2 der Endpoint Security Client Verwenden Sie den Client zum Ausführen der meisten Funktionen wie System-Scans und Verwalten von isolierten Elementen im Standardzugriffsmodus. Inhalt Öffnen des Endpoint Security Client Hilfe anfordern Reagieren auf Aufforderungen Informationen zu Ihrem Schutz Manuelles Aktualisieren von Schutz und Software Anzeigen des Ereignisprotokolls Verwalten von Endpoint Security Öffnen des Endpoint Security Client Öffnen Sie den Endpoint Security Client, um den Status der auf dem Computer installierten Schutzfunktionen anzuzeigen. Wenn der Schnittstellenmodus auf Client-Benutzeroberfläche sperren eingestellt ist, müssen Sie das Administratorkennwort eingeben, um den Endpoint Security Client zu öffnen. Vorgehensweise 1 Verwenden Sie eine der folgenden Methoden zur Anzeige von Endpoint Security Client: Klicken Sie mit der rechten Maustaste auf das System-Taskleistensymbol, und wählen Sie dann McAfee Endpoint Security. Wählen Sie Start Alle Programme McAfee McAfee Endpoint Securityaus. Starten Sie Windows 8 die McAfee Endpoint Security-App. 1 Drücken Sie die Windows-Taste, um die Startseite anzuzeigen. 2 Geben Sie McAfee Endpoint Security, und doppelklicken Sie auf die McAfee Endpoint Security-App oder tippen Sie darauf. 2 Geben Sie auf Aufforderung auf der Seite Administratoranmeldung das Administratorkennwort ein, und klicken Sie dann auf Anmelden. Der Endpoint Security Client wird im Schnittstellenmodus geöffnet, den der Administrator konfiguriert hat. Entsperren der Client-Schnittstelle auf Seite 24 McAfee Endpoint Security 10 Produkthandbuch 17

18 2 Verwenden der Endpoint Security Client Hilfe anfordern Hilfe anfordern Bei der Arbeit auf dem Client können Sie Hilfethemen entweder über die Menüoption Hilfe oder über das Symbol? aufrufen. Vorgehensweise 1 Öffnen Sie den Endpoint Security Client. 2 Je nach der Seite, auf der Sie sich befinden: Seiten Status, Ereignisprotokoll und Quarantäne: Wählen Sie im Menü Aktion Hilfe. Seiten Einstellungen, Aktualisierung, System scannen, Roll Back von AMCore Content und ETRA.DAT-Dateien laden: Klicken Sie auf? auf der Benutzeroberfläche. Reagieren auf Aufforderungen Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie je nach Konfigurierung der Einstellungen von Endpoint Security möglicherweise eine Aufforderung, per Eingabe fortzufahren. Aufgaben Reagieren auf eine Aufforderung bei erkannter Bedrohung auf Seite 18 Wenn ein Scanner eine Bedrohung erkennt, werden Sie je nach den konfigurierten Einstellungen möglicherweise von Endpoint Security aufgefordert, per Eingabe fortzufahren. Reagieren auf eine Scan-Aufforderung auf Seite 18 Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von Endpoint Security möglicherweise eine Aufforderung, per Eingabe fortzufahren. Die Aufforderung wird nur angezeigt, wenn der Scan so konfiguriert ist, dass Sie den Scan verschieben, anhalten, fortsetzen oder abbrechen dürfen. Reagieren auf eine Aufforderung bei erkannter Bedrohung Wenn ein Scanner eine Bedrohung erkennt, werden Sie je nach den konfigurierten Einstellungen möglicherweise von Endpoint Security aufgefordert, per Eingabe fortzufahren. Im Metro-Modus in Windows 8 werden Pop-Up-Benachrichtigungen in der rechten oberen Ecke des Bildschirms angezeigt, um Sie über erkannte Bedrohungen zu informieren. Klicken Sie auf die Pop-Up-Benachrichtigung, um die Aufforderung im Desktopmodus anzuzeigen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. Wählen Sie auf der Seite On-Access-Scan Optionen, um erkannte Bedrohungen zu verwalten. Sie können die Scan-Seite erneut, um jederzeit erkannte Bedrohungen zu verwalten. Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der Endpoint Security-Dienst oder das System neu gestartet wird. Verwalten von erkannten Bedrohungen auf Seite 39 Reagieren auf eine Scan-Aufforderung Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von Endpoint Security möglicherweise eine Aufforderung, per Eingabe fortzufahren. Die Aufforderung wird nur angezeigt, 18 McAfee Endpoint Security 10 Produkthandbuch

19 Verwenden der Endpoint Security Client Informationen zu Ihrem Schutz 2 wenn der Scan so konfiguriert ist, dass Sie den Scan verschieben, anhalten, fortsetzen oder abbrechen dürfen. Wenn Sie keine Option auswählen, startet der Scan automatisch. Nur in verwalteten Systemem: Wenn der Scan nur ausgeführt wird, wenn der Computer im Leerlauf ist, zeigt Endpoint Security ein Dialogfeld an, wenn der Scan angehalten wurde. Bei entsprechender Konfiguration können Sie angehaltene Scans auch fortsetzen oder sie zurücksetzen und nur ausführen lassen, wenn sich das System im Leerlauf befindet. Im Metro-Modus in Windows 8 werden Pop-Up-Benachrichtigungen in der rechten oberen Ecke des Bildschirms angezeigt, um Sie zu einer Eingabe aufzufordern. Klicken Sie auf die Pop-Up-Benachrichtigung, um die Aufforderung im Desktopmodus anzuzeigen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. Wählen Sie bei Aufforderung eine der folgenden Optionen aus. Die angezeigten Optionen sind abhängig von der Scan-Konfiguration. Jetzt scannen Scan anzeigen Scan anhalten Scan fortsetzen Scan abbrechen Scan verschieben Startet de Scan sofort. Zeigt Erkennungen für laufende Scans an. Hält den Scan an. Je nach Konfiguration wird der Scan beim Klicken auf Scan anhalten möglicherweise zurückgesetzt und nur ausgeführt, wenn sich das System im Leerlauf befindet. Klicken Sie auf Scan fortsetzen, um den Scan an der Stelle fortzusetzen, an der die Unterbrechung stattgefunden hat. Setzt einen angehaltenen Scan fort. Bricht den Scan ab. Verschiebt den Scan für die festgelegte Anzahl an Stunden. Optionen für den geplanten Scan legen fest, wie oft Sie den Scan eine Stunde lang verschieben können. Sie können den Scan möglicherweise öfter als ein Mal verschieben. Schließen Schließt die Scan-Seite. Wenn der Scanner eine Bedrohung erkennt, werden Sie je nach den konfigurierten Einstellungen möglicherweise von Endpoint Security aufgefordert, per Eingabe fortzufahren. Reagieren auf eine Aufforderung bei erkannter Bedrohung auf Seite 18 Informationen zu Ihrem Schutz Sie können Informationen zu Ihrem Endpoint Security-Schutz abrufen, etwa zu Verwaltungstypen, Schutzmodulen, Funktionen, Status, Versionsnummern und Lizenzen. Vorgehensweise 1 Öffnen Sie den Endpoint Security Client. 2 Wählen Sie im Menü Aktion Informationen. McAfee Endpoint Security 10 Produkthandbuch 19

20 2 Verwenden der Endpoint Security Client Manuelles Aktualisieren von Schutz und Software 3 Klicken Sie links auf den Namen eines Moduls oder einer Funktion, um Informationen zum Element anzuzeigen. 4 Klicken Sie auf die Browser-Schaltfläche Schließen, um die Seite Informationen zu schließen. Verwaltungstypen auf Seite 20 Öffnen des Endpoint Security Client auf Seite 17 Verwaltungstypen Der Verwaltungstyp zeigt an, wie Endpoint Security verwaltet wird. Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee epo, McAfee epo Cloud oder dem SecurityCenter Änderungen von der Einstellungen-Seite überschreiben. Verwaltungstyp McAfee epolicy Orchestrator McAfee epolicy Orchestrator Cloud McAfee SecurityCenter Selbstverwaltet Beschreibung Ein Administrator verwaltet Endpoint Security mithilfe von McAfee epo (lokal). Ein Administrator verwaltet Endpoint Security mithilfe von McAfee epo Cloud. Ein Administrator verwaltet Endpoint Security mithilfe von SecurityCenter. Endpoint Security wird lokal mithilfe von Endpoint Security Client verwaltet. Dieser Modus wird auch als nicht verwaltet oder Standalone bezeichnet. Manuelles Aktualisieren von Schutz und Software Sie können je nach Konfigurierung der Einstellungen manuell nach Aktualisierungen für Content-Dateien und Software-Komponenten suchen und diese auf Ihren Computer herunterladen. Wenn nicht im Client angezeigt wird, können Sie die Schaltfläche in den Einstellungen aktivieren. Weitere Informationen finden Sie unter Konfigurieren des auf Seite 31. Manuelle Aktualisierungen werden auch On-Demand-Aktualisierungengenannt. Auf selbstverwalteten Systemen aktualisiert der Task Standard-Client-Aktualisierung sämtlichen Inhalt und die Software. Auf verwalteten Systemen aktualisiert dieser Task nur den Inhalt. Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. Vorgehensweise 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf. Endpoint Security Client sucht nach Aktualisierungen. Wenn Sie die Aktualisierung abbrechen möchten, wählen Sie Abbrechen. Diese Option ist nur auf selbstverwalteten und von McAfee epo verwalteten Systemen verfügbar. 20 McAfee Endpoint Security 10 Produkthandbuch

21 Verwenden der Endpoint Security Client Anzeigen des Ereignisprotokolls 2 Wenn Ihr System auf dem neuesten Stand ist, wird die Seite Keine Aktualisierungen verfügbar angezeigt sowie das Datum und die Zeit der letzten Aktualisierung. Wenn die Aktualisierung erfolgreich abgeschlossen wird, wird auf der Seite das aktuelle Datum und die Zeit der letzten Aktualisierung angezeigt. Alle Nachrichten oder Fehler werden im Nachrichten-Bereich angezeigt. Zeigen Sie das Protokoll PackageManager_Activity.log oder PackageManager_Debug.log an. 3 Klicken Sie auf Schließen, um die Aktualisierungsseite zu schließen. So bleibt Ihr Schutz auf dem neuesten Stand auf Seite 8 Informationen zu Protokolldateien auf Seite 22 Öffnen des Endpoint Security Client auf Seite 17 Konfigurieren des auf Seite 31 Anzeigen des Ereignisprotokolls In den Aktivitäts- und Fehlerbehebungsprotokollen wird ein Datensatz mit Ereignissen gespeichert, die in Ihrem von McAfee geschützten System auftreten. Sie können das Ereignisprotokoll im Endpoint Security Client anzeigen. Wählen Sie für Hilfe im Menü Aktion Hilfe. Vorgehensweise 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie links auf der Seite auf Ereignisprotokoll. Die Seite zeigt alle Ereignisse an, die von Endpoint Security in den vergangenen 30 Tagen in Ihrem System protokolliert wurden. Wenn der Endpoint Security Client den Ereignis-Manager nicht erreichen kann, wird eine Kommunikationsfehlermeldung angezeigt. Starten Sie in diesem Fall Ihr System neu, um das Ereignisprotokoll anzuzeigen. 3 Wählen Sie aus dem oberen Bereich ein Ereignis aus, um die Details unten anzuzeigen. Klicken Sie auf das Widget zwischen den Bereichen und ziehen Sie daran, um die Größe der Bereiche zu ändern. McAfee Endpoint Security 10 Produkthandbuch 21

22 2 Verwenden der Endpoint Security Client Anzeigen des Ereignisprotokolls 4 Auf der Ereignisprotokoll-Seite können Sie Ereignisse sortieren, suchen, filtern oder erneut laden. Die angezeigten Optionen sind abhängig von der Scan-Konfiguration. Sortieren von Ereignissen nach Datum, Funktionen, Maßnahmen und Schweregrad Durchsuchen des Ereignisprotokolls Klicken Sie auf die Tabellenspaltenüberschrift. Geben Sie den Suchtext in das Suchfeld ein und drücken Sie auf Enter, oder klicken Sie auf Suchen. Bei der Suche muss die Groß-/Kleinschreibung beachtet werden. Es werden alle Felder des Ereignisprotokolls nach dem Suchtext durchsucht. Die Ereignisliste zeigt alle Elemente mit passendem Text an. Zum Abbrechen der Suche und Anzeigen aller Ereignisse klicken Sie im Suchfeld auf das x. Filtern von Ereignissen nach Schweregrad oder Modul Aktualisieren der Ereignisprotokoll -Anzeige mit neuen Ereignissen Öffnen des Folders, der die Protokolldateien enthält Wählen Sie in der Dropdown-Filterliste eine Option. Wählen Sie zum Entfernen des Filters und Anzeigen aller Ereignisse Alle Ereignisse anzeigen aus der Dropdown-Liste. Klicken Sie auf. Klicken Sie auf Protokollordner anzeigen. 5 Navigieren Sie zum Ereignisprotokoll. Anzeigen der vorherigen Seite mit Ereignissen Anzeigen der nächsten Seite mit Ereignissen Zeigt eine bestimmte Seite im Protokoll an Klicken Sie Vorherige Seite. Klicken Sie auf Nächste Seite. Geben Sie eine Seitenzahl ein, und drücken Sie Enter, oder klicken Sie auf Start. Standardmäßig zeigt das Ereignisprotokoll 20 Ereignisse pro Seite an. Zum Anzeigen weiterer Ereignisse pro Seite wählen Sie eine Option aus der Dropdown-Liste Ereignisse pro Seite. Informationen zu Protokolldateien auf Seite 22 Öffnen des Endpoint Security Client auf Seite 17 Informationen zu Protokolldateien Die Aktivitäts-, Fehler- und Fehlerbehebungsprotokolldateien zeichnen Ereignisse auf, die in Systemen mit aktivierter Endpoint Security auftreten. Konfigurieren Sie die Protokollierung in den Common-Einstellungen. Protokolldateien werden immer in der von der Ländereinstellung des Systems festgelegten Sprache angezeigt. Alle Aktivitäts- und Fehlerbehebungsprotokolle werden in Abhängigkeit Ihres Betriebssystems in einem der folgenden Standardverzeichnisse gespeichert. Betriebssystem Standardspeicherort Microsoft Windows 8.1 (Blue) %ProgramData%\McAfee\Endpoint Security\Logs Microsoft Windows 8 %ProgramData%\McAfee\Endpoint Security\Installer\Logs 22 McAfee Endpoint Security 10 Produkthandbuch

23 Verwenden der Endpoint Security Client Anzeigen des Ereignisprotokolls 2 Betriebssystem Microsoft Windows 7 Microsoft Vista Microsoft Windows P Standardspeicherort C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten \McAfee\Endpoint Security\Logs Ordner "McAfee\Endpoint Security\Logs" im Ordner "Anwendungsdaten" Jedes Modul und jede Funktion oder Technologie erstellt für die Aktivitäts- oder Fehlerbehebungsprotokollierung eine separate Datei. Alle Module erstellen für die Fehlerprotokollierung ein einzelne Datei EndpointSecurityPlatform_Errors.log. Das Aktivieren der Protokollierung der Fehlerbehebung für ein Modul aktiviert diese auch für die Common-Modulfunktionen wie den Selbstschutz. Tabelle 2-1 Protokolldateien Modul Funktion oder Technologie Dateiname Common Threat Prevention Selbstschutz Aktualisierungen Fehler Das Aktivieren der Protokollierung der Fehlerbehebung für eine Threat Prevention-Technologie aktiviert diese auch für Endpoint Security Client. EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log SelfProtection_Activity.log SelfProtection_Debug.log PackageManager_Activity.log PackageManager_Debug.log EndpointSecurityPlatform_Errors.log ThreatPrevention_Activity.log ThreatPrevention_Debug.log Firewall Zugriffsschutz Exploit-Schutz On-Access-Scanner On-Demand-Scanner Schnellscan Vollständiger Scan Scan per Kontextmenü Endpoint Security Client AccessProtection_Activity.log AccessProtection_Debug.log ExploitPrevention_Activity.log ExploitPrevention_Debug.log OnAccessScan_Activity.log OnAccessScan_Debug.log OnDemandScan_Activity.log OnDemandScan_Debug.log MFEConsole_Debug.log Firewall_Activity.log Firewall_Debug.log FirewallEventMonitor.log Protokolliert blockierten und zugelassenen Netzwerkverkehr, wenn konfiguriert. McAfee Endpoint Security 10 Produkthandbuch 23

24 2 Verwenden der Endpoint Security Client Verwalten von Endpoint Security Tabelle 2-1 Protokolldateien (Fortsetzung) Modul Funktion oder Technologie Dateiname Web Control WebControl_Activity.log WebControl_Debug.log Verwalten von Endpoint Security Als Administrator können Sie Endpoint Security über den Endpoint Security Client verwalten. Sie können auch Funktionen deaktivieren und aktivieren, Content-Dateien verwalten, das Verhalten der Client-Schnittstelle festlegen und Moduleinstellungen konfigurieren. Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee epo, McAfee epo Cloud oder dem SecurityCenter Änderungen von der Einstellungen-Seite überschreiben. Anmelden als Administrator auf Seite 24 Entsperren der Client-Schnittstelle auf Seite 24 Deaktivieren und Aktivieren von Funktionen auf Seite 25 Ändern der AMCore Content-Version auf Seite 25 Verwenden von ETRA.DAT-Dateien auf Seite 26 Konfigurieren gemeinsamer Einstellungen auf Seite 27 Anmelden als Administrator Wenn der Schnittstellenmodus für Endpoint Security Client auf Standardzugriff gesetzt ist, können Sie sich als Administrator anmelden, um auf alle Einstellungen zuzugreifen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Standardzugriff eingestellt sein. Wählen Sie für Hilfe im Menü Aktion Hilfe. Vorgehensweise 1 Öffnen Sie den Endpoint Security Client. 2 Wählen Sie im Menü Aktion Administratoranmeldung. 3 Geben Sie im Feld Kennwort das Administratorkennwort ein, und klicken Sie dann auf Anmelden. Sie können jetzt auf alle Funktionen des Endpoint Security Client zugreifen. Zum Abmelden wählen Sie Aktion Administratorabmeldung. Der Client kehrt zum SchnittstellenmodusStandardzugriff zurück. Entsperren der Client-Schnittstelle Wenn die Schnittstelle für Endpoint Security Client gesperrt ist, können Sie die Schnittstelle mit dem Administratorkennwort entsperren, um auf alle Einstellungen zuzugreifen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Client-Benutzeroberfläche sperren eingestellt sein. 24 McAfee Endpoint Security 10 Produkthandbuch

25 Verwenden der Endpoint Security Client Verwalten von Endpoint Security 2 Vorgehensweise 1 Öffnen Sie den Endpoint Security Client. 2 Geben Sie auf der Seite Administratoranmeldung im Feld Kennwort das Administratorkennwort ein, und klicken Sie dann auf Anmelden. Endpoint Security Client wird geöffnet, und Sie können jetzt auf alle Funktionen des Clients zugreifen. Wählen Sie zum Abmelden und Schließen des Clients im Menü Aktion Administratorabmeldung. Deaktivieren und Aktivieren von Funktionen Als Administrator können Sie Endpoint Security-Funktionen über den Endpoint Security Client deaktivieren und aktivieren. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Die Status-Seite zeigt den aktivierten Status des Funktionsmoduls, der möglicherweise nicht den tatsächlichen Status der Funktion wiedergibt. Sie können den Status jeder Funktion auf der Einstellungen-Seite. Wenn beispielsweise die Einstellung ScriptScan aktivieren nicht erfolgreich angewendet wird, ist der Status möglicherweise (Status: Deaktiviert). Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf der Status-Hauptseite auf den Modulnamen (wie Threat Prevention oder Firewall). Oder wählen Sie im Menü Aktion Modulnamen. Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf den 3 Wählen Sie die Option Aktivieren für Modul oder Funktion. Das Aktivieren der Threat Prevention-Funktionen aktiviert das Threat Prevention-Modul. Anmelden als Administrator auf Seite 24 Ändern der AMCore Content-Version Verwenden Sie Endpoint Security Client zum Ändern der Version von AMCore Content auf Ihrem System. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Endpoint Security speichert die aktuell geladene Content-Datei und die vorherigen zwei Versionen im Ordner Programme\Gemeinsame Dateien\McAfee\Engine\content. Bei Bedarf können Sie eine frühere Version wiederherstellen. McAfee Endpoint Security 10 Produkthandbuch 25

26 2 Verwenden der Endpoint Security Client Verwalten von Endpoint Security Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Wählen Sie im Menü Aktion Roll Back von AMCore Content. 3 Wählen Sie aus dem Dropdown-Menü die zu ladende Version aus. 4 Klicken Sie auf Übernehmen. Die neuen Informationen zu Erkennungen in der geladenen AMCore Content-Datei werden umgehend wirksam. Funktionsweise von Content-Dateien auf Seite 9 Anmelden als Administrator auf Seite 24 Verwenden von ETRA.DAT-Dateien Sie können eine ETRA.DAT-Datei installieren, um Ihr System vor einem gravierenden Malware-Ausbruch zu schützen, bis die nächste geplante AMCore Content-Aktualisierung veröffentlicht wird. Aufgaben Herunterladen von ETRA.DAT-Dateien auf Seite 27 Um eine ETRA.DAT-Datei herunterzuladen, klicken Sie auf den Download-Link, den Sie von McAfee Labs erhalten haben. Laden einer ETRA.DAT-Datei auf Seite 27 Verwenden Sie zum Installieren der heruntergeladenen ETRA.DAT-Datei Endpoint Security Client. Informationen zu ETRA.DAT-Dateien auf Seite 26 Informationen zu ETRA.DAT-Dateien Wenn neue Malware entdeckt wird und eine zusätzliche Erkennung nötig ist, veröffentlicht McAfee Labs eine ETRA.DAT-Datei. ETRA.DAT-Dateien enthalten Informationen, die Threat Prevention zur Verarbeitung der neuen Malware verwendet wird. Sie können ETRA.DAT-Dateien für bestimmte Bedrohungen von der WebsiteMcAfee Labs Extra.DAT Request Page herunterladen. Threat Prevention unterstützt nur die Verwendung einer ETRA.DAT-Datei zu einer Zeit. Jede ETRA.DAT-Datei hat ein integriertes Ablaufdatum. Wenn die ETRA.DAT-Datei geladen wird, wird das Ablaufdatum mit dem Build-Datum des auf dem System installierten AMCore Content verglichen. Wenn das Build-Datum des AMCore Content neuer ist als das ETRA.DAT-Datei-Ablaufdatum, wird die ETRA.DAT-Datei als abgelaufen angesehen und vom Modul nicht mehr geladen und verwendet. Während der nächsten Aktualisierung wird die ETRA.DAT-Datei vom System entfernt. Wenn die nächste Aktualisierung von AMCore Content die ETRA.DAT-Signatur enthält, wird die ETRA.DAT-Datei entfernt. 26 McAfee Endpoint Security 10 Produkthandbuch

27 Verwenden der Endpoint Security Client Verwalten von Endpoint Security 2 Endpoint Security speichert Extra.DAT-Dateien im Ordner c:\program Files\Common Files\McAfee \Engine\content\avengine\extradat. Herunterladen von ETRA.DAT-Dateien Um eine ETRA.DAT-Datei herunterzuladen, klicken Sie auf den Download-Link, den Sie von McAfee Labs erhalten haben. Vorgehensweise 1 Klicken Sie auf den Download-Link, geben Sie einen Speicherort für die ETRA.DAT-Datei an, und klicken Sie dann auf Speichern. 2 Dekomprimieren Sie gegebenenfalls die ETRA.ZIP-Datei. 3 Laden Sie die ETRA.DAT-Datei mit Endpoint Security Client. Laden einer ETRA.DAT-Datei Verwenden Sie zum Installieren der heruntergeladenen ETRA.DAT-Datei Endpoint Security Client. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Wählen Sie im Menü Aktion ETRA.DAT-Dateien laden. 3 Klicken Sie aufdurchsuchen, navigieren Sie zu dem Speicherort, in den die ETRA.DAT-Datei heruntergeladen wurde, und klicken Sie dann auf Öffnen. 4 Klicken Sie auf Übernehmen. Die neuen Informationen zu Erkennungen in der ETRA.DAT-Datei werden umgehend wirksam. Anmelden als Administrator auf Seite 24 Konfigurieren gemeinsamer Einstellungen Konfigurieren Sie im Common-Modul Einstellungen, die auf alle Module und Funktionen von Endpoint Security zutreffen. Zu diesen Einstellungen gehören Benutzeroberflächensicherheit und McAfee Endpoint Security 10 Produkthandbuch 27

28 2 Verwenden der Endpoint Security Client Verwalten von Endpoint Security Spracheinstellungen für Endpoint Security Client, Protokollierung sowie Einstellungen für den Proxy-Server für McAfee GTI und Aktualisierungskonfigurationen. Aufgaben Schützen von Endpoint Security-Ressourcen auf Seite 28 Malware versucht bei einem Angriff oft zunächst, Ihre Systemsicherheitssoftware zu deaktivieren. Konfigurieren Sie den Endpoint Security-Selbstschutz in den Einstellungen des Common, damit Endpoint Security-Dienste und -Dateien nicht beendet oder geändert werden können. Konfigurieren von Protokollierungseinstellungen auf Seite 29 Konfigurieren Sie die Endpoint Security-Protokollierung in den Common-Einstellungen. Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit auf Seite 29 Konfigurieren Sie das Schnittstellenkennwort und die Anzeigeoptionen für Endpoint Security Client in den Common-Einstellungen. Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI auf Seite 30 Legen Sie Proxy-Server-Optionen für das Abrufen der McAfee GTI-Reputation in den Einstellungen für das Common fest. Konfigurieren des auf Seite 31 Geben Sie in den Common- das Verhalten für Aktualisierungen an, die vom Endpoint Security Client initiiert werden. Konfigurieren von Quellsites für Client-Aktualisierungen auf Seite 32 In selbstverwalteten Systemen können Sie in den Common- die Sites konfigurieren, von denen der Endpoint Security Client aktualisierte Sicherheitsdateien erhält. Planen des Tasks Standard-Client-Aktualisierung auf Seite 33 Sie können den TaskStandard-Client-Aktualisierung über den Endpoint Security Client in den Einstellungen für das Commonändern oder planen. Schützen von Endpoint Security-Ressourcen Malware versucht bei einem Angriff oft zunächst, Ihre Systemsicherheitssoftware zu deaktivieren. Konfigurieren Sie den Endpoint Security-Selbstschutz in den Einstellungen des Common, damit Endpoint Security-Dienste und -Dateien nicht beendet oder geändert werden können. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Für Benutzer, Administratoren, Entwickler oder Sicherheitsexperten sollte es nie notwendig sein, den Endpoint Security-Schutz in ihren Systemen zu deaktivieren. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Wählen Sie im Menü Aktion Einstellungen aus. 3 Klicken Sie auf Erweiterte anzeigen. 4 Prüfen Sie unter Selbstschutz, dass Selbstschutz aktiviert ist. 28 McAfee Endpoint Security 10 Produkthandbuch

29 Verwenden der Endpoint Security Client Verwalten von Endpoint Security 2 5 Legen Sie die Aktion für jede der folgenden Endpoint Security-Ressourcen fest: Dateien und Ordner Verhindert, dass die Benutzer die Datenbanken, Binärdateien, Dateien für die sichere Suche und Konfigurationsdateien von McAfee ändern. Registrierung Verhindert, dass die Benutzer Systeme die Registrierungsstruktur und COM-Komponenten von McAfee ändern oder eine Deinstallation mithilfe des Registrierungswerts durchführen. Prozesse Verhindert, dass McAfee-Prozesse angehalten werden. 6 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Anmelden als Administrator auf Seite 24 Konfigurieren von Protokollierungseinstellungen Konfigurieren Sie die Endpoint Security-Protokollierung in den Common-Einstellungen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Wählen Sie im Menü Aktion Einstellungen aus. 3 Klicken Sie auf Erweiterte anzeigen. 4 Konfigurieren Sie die Einstellungen der Client-Protokollierung auf der Seite. 5 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Informationen zu Protokolldateien auf Seite 22 Anmelden als Administrator auf Seite 24 Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit Konfigurieren Sie das Schnittstellenkennwort und die Anzeigeoptionen für Endpoint Security Client in den Common-Einstellungen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Ändern Sie diese Einstellungen mit Vorsicht, weil Benutzer damit ihre Sicherheitskonfiguration ändern können, sodass Systeme ungeschützt vor Malware-Angriffen sind. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Wählen Sie im Menü Aktion Einstellungen aus. McAfee Endpoint Security 10 Produkthandbuch 29

30 2 Verwenden der Endpoint Security Client Verwalten von Endpoint Security 3 Konfigurieren Sie die Einstellungen für den Client-Schnittstellen-Modus auf der Seite. 4 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Auswirkungen beim Einrichten eines Administratorkennworts auf Seite 30 Anmelden als Administrator auf Seite 24 Auswirkungen beim Einrichten eines Administratorkennworts Wenn Sie den Schnittstellenmodus als Standardzugriff einrichten, müssen Sie auch ein Administratorkennwort festlegen. Das Festlegen eines Administratorkennworts auf dem Endpoint Security Client hat Auswirkungen für folgende Benutzer: Nicht-Administratoren (Benutzer ohne Administratorrechte) Nicht-Administratoren können: Einige Konfigurationsparameter anzeigen. Scans ausführen. Suchen Sie nach Aktualisierungen (wenn aktiviert). Die Quarantäne anzeigen. Das Ereignisprotokoll anzeigen. Zugreifen auf die Seite Einstellungen, um Firewall-Regeln anzuzeigen oder zu ändern (wenn aktiviert). Nicht-Administratoren können nicht: Konfigurationsparameter ändern. anzeigen, erstellen, löschen oder ändern. Eine Ausnahme ist das Anzeigen oder Ändern von Firewall-Regeln (wenn aktiviert). Administratoren (Benutzer mit Administratorrechten) Administratoren müssen das Kennwort eingeben, um auf die geschützten Bereiche zuzugreifen und Einstellungen zu ändern. Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI Legen Sie Proxy-Server-Optionen für das Abrufen der McAfee GTI-Reputation in den Einstellungen für das Common fest. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Wählen Sie im Menü Aktion Einstellungen aus. 3 Klicken Sie auf Erweiterte anzeigen. 30 McAfee Endpoint Security 10 Produkthandbuch

31 Verwenden der Endpoint Security Client Verwalten von Endpoint Security 2 4 Konfigurieren Sie auf der Seite die Proxy-Server für McAfee GTI-Einstellungen. 5 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Funktionsweise von McAfee GTI auf Seite 31 Anmelden als Administrator auf Seite 24 Funktionsweise von McAfee GTI Wenn Sie McAfee GTI für den On-Access- oder On-Demand-Scanner aktivieren, verwendet der Scanner eine Heuristik zur Überprüfung auf verdächtige Dateien. Der McAfee GTI-Server speichert Site-Bewertungen und Berichte für Web Control. Wenn Sie Web Control für den Scan von heruntergeladenen Dateien konfigurieren, wird vom Scanner eine Heuristik zur Überprüfung auf verdächtige Dateien verwendet. Der Scanner sendet Fingerabdrücke von Proben, auch Hashes genannt, an einen zentralen Datenbankserver, der von McAfee Labs gehostet wird, um festzustellen, ob es sich um Malware handelt. Durch Senden der Hashes kann die Erkennung schneller zur Verfügung gestellt werden als in der nächsten Content-Datei-Aktualisierung, wenn McAfee Labs die Aktualisierung veröffentlicht. Sie können die Sensibilitätsstufe konfigurieren, die von McAfee GTI zur Feststellung verwendet werden, ob es sich bei der erkannten Probe um Malware handelt. Je höher die Sensibilitätsstufe, desto höher die Anzahl der Malware-Erkennungen. Bei mehr Erkennungen wird jedoch auch die Anzahl der False-Positives größer. Die McAfee GTI-Sensibilitätsstufe ist standardmäßig auf Mittel eingestellt. Konfigurieren Sie die Sensibilitätsstufe für jeden Scanner in den Einstellungen des Threat Prevention-. Konfigurieren Sie die Sensibilitätsstufe für das Scannen von Datei-Downloads in den Web Control-Optionen. Sie können Endpoint Security in den Einstellungen für das Common konfigurieren, um einen Proxy-Server für das Abrufen von McAfee GTI-Reputationsinformationen zu verwenden. Konfigurieren des Geben Sie in den Common- das Verhalten für Aktualisierungen an, die vom Endpoint Security Client initiiert werden. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Sie können diese Einstellungen nur auf selbstverwalteten und von McAfee epo verwalteten Systemen konfigurieren. Verwenden Sie diese Einstellungen, um zu konfigurieren, ob die -Schaltfläche im Client angezeigt wird, und welche Aktualisierung beim Klicken darauf oder Ausführen des Tasks Standard-Client-Aktualisierung vorgenommen wird. Auf selbstverwalteten Systemen aktualisiert der Task Standard-Client-Aktualisierung sämtlichen Inhalt und die Software. Auf verwalteten Systemen aktualisiert dieser Task nur den Inhalt. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Wählen Sie im Menü Aktion Einstellungen aus. McAfee Endpoint Security 10 Produkthandbuch 31

32 2 Verwenden der Endpoint Security Client Verwalten von Endpoint Security 3 Klicken Sie auf Erweiterte anzeigen. 4 Konfigurieren Sie die Einstellungen für die Standard-Client-Aktualisierung auf der Seite. 5 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Anmelden als Administrator auf Seite 24 Konfigurieren von Quellsites für Client-Aktualisierungen auf Seite 32 Planen des Tasks Standard-Client-Aktualisierung auf Seite 33 Konfigurieren von Quellsites für Client-Aktualisierungen In selbstverwalteten Systemen können Sie in den Common- die Sites konfigurieren, von denen der Endpoint Security Client aktualisierte Sicherheitsdateien erhält. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Sie können diese Einstellungen nur auf selbstverwalteten Systemen konfigurieren. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Wählen Sie im Menü Aktion Einstellungen aus. 3 Klicken Sie auf Erweiterte anzeigen. 4 Konfigurieren Sie Einstellungen der Quellsites für Aktualisierungen auf der Seite. Sie können die zwei Standard-Sicherungs-Quellsite (NAIFtp und NAIHttp) aktivieren und deaktivieren, aber Sie können Sie nicht ändern, löschen oder in der Liste verschieben. Ziel Der Liste eine Site hinzufügen. Befolgen Sie diese Schritte 1 Klicken Sie auf Hinzufügen. 2 Site-Einstellungen festlegen. 3 Klicken Sie auf OK, um Ihre Änderungen zu speichern. Die Regel wird am Anfang der Regelliste angezeigt. Eine Site löschen. Wählen Sie die gewünschte Site aus, und klicken Sie dann auf Löschen. 32 McAfee Endpoint Security 10 Produkthandbuch

33 Verwenden der Endpoint Security Client Verwalten von Endpoint Security 2 Ziel Eine vorhandene Site ändern. Befolgen Sie diese Schritte 1 Doppelklicken Sie auf den Site-Namen. 2 Einstellungen ändern. 3 Klicken Sie auf OK, um Ihre Änderungen zu speichern. Sites in der Liste neu anordnen. Um Elemente zu verschieben: 1 Wählen Sie Elemente zum Verschieben aus. Der Ziehpunkt können. erscheint links von Elementen, die verschoben werden 2 Verschieben Sie per Drag-and-Drop die Elemente an den gewünschten Ort. Eine blaue Linie erscheint zwischen Elementen, wo Sie die gezogenen Elemente ablegen können. Die Reihenfolge legt die Reihenfolge fest, die Endpoint Security bei der Suche nach der Aktualisierungs-Site verwendet. 5 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Funktionsweise des Tasks Standard-Client-Aktualisierung auf Seite 34 Anmelden als Administrator auf Seite 24 Konfigurieren des auf Seite 31 Planen des Tasks Standard-Client-Aktualisierung auf Seite 33 Planen des Tasks Standard-Client-Aktualisierung Sie können den TaskStandard-Client-Aktualisierung über den Endpoint Security Client in den Einstellungen für das Commonändern oder planen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Sie können diese Einstellungen nur auf selbstverwalteten Systemen konfigurieren. Verwenden Sie diese Einstellungen zum Konfigurieren, wenn der Task Standard-Client-Aktualisierung ausgeführt wird. Siehe Konfigurieren des auf Seite 31, um das Standardverhalten für Client-Aktualisierungen zu konfigurieren, die vom Endpoint Security Client gestartet werden. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Wählen Sie im Menü Aktion Einstellungen aus. 3 Klicken Sie auf Erweiterte anzeigen. 4 Klicken Sie auf Tasks. 5 Doppelklicken Sie auf Standard-Client-Aktualisierung, bearbeiten Sie den Plan, und klicken Sie zum Speichern der Änderungen auf OK, oder klicken Sie auf Abbrechen. 6 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. McAfee Endpoint Security 10 Produkthandbuch 33

34 2 Verwenden der Endpoint Security Client Verwalten von Endpoint Security Funktionsweise des Tasks Standard-Client-Aktualisierung auf Seite 34 Konfigurieren des auf Seite 31 Konfigurieren von Quellsites für Client-Aktualisierungen auf Seite 32 Funktionsweise des Tasks Standard-Client-Aktualisierung Der Task Standard-Client-Aktualisierung lädt den aktuellen Schutz für den Endpoint Security Client herunter. Endpoint Security enthält den Task Standard-Client-Aktualisierung, der täglich um 1:00 Uhr ausgeführt wird und alle vier Stunden bis 23:59 Uhr wiederholt wird. Der Task Standard-Client-Aktualisierung: 1 Stellt eine Verbindung mit der ersten aktivierten Quellsite in der Liste her. Wenn diese Site nicht verfügbar ist, kontaktiert der Task die nächste Site bis eine Verbindung hergestellt wird oder das Ende der Liste erreicht ist. 2 Lädt eine verschlüsselte CATALOG.Z-Datei von der Site herunter. Die Datei enthält die für die Aktualisierung benötigten Informationen, darunter verfügbare Dateien und Updates. 3 Vergleicht die in der Datei aufgeführten Softwareversionen mit den Versionen auf dem Computer und lädt neu verfügbare Software-Aktualisierungen herunter. Wenn der Task Standard-Client-Aktualisierung während der Aktualisierung unterbrochen wird: Aktualisierungen von HTTP, UNC oder eine lokale Site FTP-Site (Einzeldatei-Download) Unterbrochener Download Setzt die Aktualisierung bei einem erneuten Start der Aktualisierung an der Stelle der Unterbrechung fort. Wird bei Unterbrechung nicht fortgesetzt. FTP-Site (Download mehrerer Dateien) Beginnend mit der vor der Unterbrechung zuletzt heruntergeladenen Datei wird der Task fortgesetzt. Konfigurieren von Quellsites für Client-Aktualisierungen auf Seite 32 Planen des Tasks Standard-Client-Aktualisierung auf Seite McAfee Endpoint Security 10 Produkthandbuch

35 3 Verwenden 3 von Threat Prevention Threat Prevention prüft auf Viren, Spyware, unerwünschte Programme und andere Bedrohungen durch Scannen von Elementen auf Ihrem Computer. Inhalt Scannen Ihres Computers auf Malware Verwalten von erkannten Bedrohungen Verwalten von isolierten Elementen Verwalten von Threat Prevention Scannen Ihres Computers auf Malware Scannen Sie Ihren Computer auf Malware, indem Sie Optionen im Endpoint Security Client oder Windows Explorer auswählen. Aufgaben Ausführen eines vollständigen Scans oder Schnellscans auf Seite 36 Verwenden Sie Endpoint Security Client zum manuellen Ausführen eines vollständigen Scans oder Schnellscans auf Ihrem Computer. Scannen einer Datei oder eines Ordners auf Seite 38 Falls Sie vermuten, dass eine Datei oder ein Ordner infiziert sein könnte, sollten Sie umgehend einen Scan per Kontextmenü im Windows Explorer durchführen. Scan-Typen auf Seite 35 Scan-Typen Endpoint Security stellt zwei Scan-Typen zur Verfügung: On-Access-Scans und On-Demand-Scans. On-Access-Scan Der Administrator konfiguriert On-Access-Scans für die Ausführung auf verwalteteten Computern. Konfigurieren Sie für selbstverwaltete Computer den On-Access-Scanner auf dereinstellungen-seite. Wenn Sie auf Dateien, Ordner und Programme zugreifen, fängt der On-Access-Scanner den Vorgang ab und scannt das Element basierend auf Kriterien, die vom Administrator konfiguriert wurden. On-Demand-Scan McAfee Endpoint Security 10 Produkthandbuch 35

36 3 Verwenden von Threat Prevention Scannen Ihres Computers auf Malware Manuell Der Administrator (oder Benutzer bei selbstverwalteten Systemen) konfiguriert vordefinierte On-Demand-Scans, die Benutzer auf verwalteten Computern ausführen können. Führen Sie jederzeit einen vordefinierten On-Demand-Scan vom Endpoint Security Client aus, indem Sie auf auswählen: klicken und einen Scan-Typ Der Schnellscan führt eine schnelle Überprüfung der für Infektionen besonders anfälligen Systembereiche aus. Der vollständige Scan führt eine gründliche Überprüfung aller Systembereiche aus. (Empfohlen, wenn Sie vermuten, dass der Computer infiziert ist.) Scannen Sie eine einzelne Datei oder einen Ordner jederzeit im Windows Explorer, indem Sie mit der rechten Maustaste auf die Datei oder den Ordner klicken und Scannen auf Bedrohungen aus dem Pop-Up-Menü auswählen. Geplant Der Administrator (oder Benutzer bei selbstverwalteten Systemen) konfiguriert On-Demand-Scans für die Ausführung auf Computern. Vor dem Start eines geplanten On-Demand-Scans zeigt Endpoint Security unten auf dem Bildschirm eine Scan-Aufforderung an. Sie können den Scan sofort starten oder ihn verschieben, sofern konfiguriert. Zum Konfigurieren und Planen von Schnellscan und vollständigen Scan als vordefinierte On-Demand-Scans: 1 Einstellungen On-Demand-Scan, Registerkarte Vollständiger Scan oderr Schnellscan konfiguriert On-Demand-Scans. 2 Einstellungen Common Tasks Plant On-Demand-Scans. Planen von Tasks für Vollständiger Scan und Schnellscan auf Seite 60 Reagieren auf eine Scan-Aufforderung auf Seite 18 Ausführen eines vollständigen Scans oder Schnellscans Verwenden Sie Endpoint Security Client zum manuellen Ausführen eines vollständigen Scans oder Schnellscans auf Ihrem Computer. Bevor Sie beginnen Das Threat Prevention-Modul muss installiert. Das Verhalten des vollständigen Scans und Schnellscans ist abhängig von der Konfiguration der Einstellungen. Mit Administratoranmeldeinformationen können Sie diese Scans in den On-Demand-Scan-Einstellungen ändern und planen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf. 36 McAfee Endpoint Security 10 Produkthandbuch

37 Verwenden von Threat Prevention Scannen Ihres Computers auf Malware 3 3 Klicken Sie auf der Seite System scannen bei dem auszuführenden Scan auf Jetzt scannen. Vollständiger Scan Führt eine gründliche Überprüfung aller Bereiche auf Ihrem System aus (empfohlen, wenn Sie vermuten, dass Ihr Computer infiziert ist). Schnellscan Führt eine schnelle Überprüfung der für Infektionen besonders anfälligen Systembereiche aus. Wenn bereits ein Scan ausgeführt wird, ändert sich die Schaltfläche Jetzt scannen zu Scan anzeigen. Je nach konfigurierten Einstellungen und ob eine Bedrohung erkannt wurde, wird möglicherweise auch die Schaltfläche Erkennungen anzeigen für den On-Access-Scanner angezeigt. Klicken Sie auf diese Schaltfläche, um die Seite On-Access-Scan zu öffnen und jederzeit erkannte Bedrohungen zu verwalten. Siehe Verwalten von erkannten Bedrohungen auf Seite 39. Endpoint Security Client zeigt den Status des Scans auf einer neuen Seite an. Das AMCore Content-Erstellungsdatum zeigt den letzten Zeitpunkt der Content-Aktualisierung an. Wenn der Content älter als zwei Tage ist, empfiehlt Ihnen McAfee, dass Sie vor Ausführen des Scans Ihren Schutz aktualisieren. 4 Klicken Sie oben auf der Statusseite auf die entsprechenden Schaltflächen, um den Scan zu steuern. Scan anhalten Scan fortsetzen Scan abbrechen Pausiert den Scan, bevor er abgeschlossen ist. Setzt einen angehaltenen Scan fort. Bricht einen laufenden Scan ab. 5 Wenn der Scan abgeschlossen ist, zeigt die Seite alle Erkennungen an. Erkennungsname Typ Dateiname Aktion Identifiziert den Namen der erkannten Malware. Zeigt den Bedrohungstyp an. Identifiziert die infizierte Datei. Beschreibt die zuletzt ausgeführte Aktion für die infizierte Datei: Zugriff verweigert Gesäubert Gelöscht Keine Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der nächste On-Demand-Scan startet. 6 Wählen Sie eine Erkennung aus der Tabelle, klicken Sie dann auf Säubern oder Löschen, um die infizierte Datei zu säubern bzw. zu löschen. Je nach Bedrohungstyp und Scan-Einstellungen stehen diese Aktionen möglicherweise nicht zur Verfügung. 7 Klicken Sie auf Schließen, um die Seite zu schließen. Scan-Typen auf Seite 35 Konfigurieren Sie die für den On-Demand-Scan auf Seite 55 Planen von Tasks für Vollständiger Scan und Schnellscan auf Seite 60 Erkennungsnamen auf Seite 41 Manuelles Aktualisieren von Schutz und Software auf Seite 20 Verwalten von erkannten Bedrohungen auf Seite 39 McAfee Endpoint Security 10 Produkthandbuch 37

38 3 Verwenden von Threat Prevention Scannen Ihres Computers auf Malware Scannen einer Datei oder eines Ordners Falls Sie vermuten, dass eine Datei oder ein Ordner infiziert sein könnte, sollten Sie umgehend einen Scan per Kontextmenü im Windows Explorer durchführen. Bevor Sie beginnen Das Threat Prevention-Modul muss installiert. Das Verhalten des Scans per Kontextmenü ist abhängig von der Konfiguration der Einstellungen. Mit Administratoranmeldeinformationen können Sie diese Scans in den On-Demand-Scan-Einstellungen ändern. Vorgehensweise 1 Klicken Sie im Windows Explorer zum Scannen mit der rechten Maustaste auf eine Datei oder einen Ordner, und wählen Sie Scannen auf Bedrohungen aus dem Pop-Up-Menü. Endpoint Security Client zeigt den Scan-Status auf der Seite Scannen auf Bedrohungen an. 2 Klicken Sie oben auf der Seite auf die entsprechenden Schaltflächen, um den Scan zu steuern. Scan anhalten Scan fortsetzen Scan abbrechen Pausiert den Scan, bevor er abgeschlossen ist. Setzt einen angehaltenen Scan fort. Bricht einen laufenden Scan ab. 3 Wenn der Scan abgeschlossen ist, zeigt die Seite alle Erkennungen an. Erkennungsname Typ Dateiname Aktion Identifiziert den Namen der erkannten Malware. Zeigt den Bedrohungstyp an. Identifiziert die infizierte Datei. Beschreibt die zuletzt ausgeführte Aktion für die infizierte Datei: Zugriff verweigert Gesäubert Gelöscht Keine Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der nächste On-Demand-Scan startet. 4 Wählen Sie eine Erkennung aus der Tabelle, klicken Sie dann auf Säubern oder Löschen, um die infizierte Datei zu säubern bzw. zu löschen. Je nach Bedrohungstyp und Scan-Einstellungen stehen diese Aktionen möglicherweise nicht zur Verfügung. 5 Klicken Sie auf Schließen, um die Seite zu schließen. Scan-Typen auf Seite 35 Konfigurieren Sie die für den On-Demand-Scan auf Seite 55 Erkennungsnamen auf Seite McAfee Endpoint Security 10 Produkthandbuch

39 Verwenden von Threat Prevention Verwalten von erkannten Bedrohungen 3 Verwalten von erkannten Bedrohungen Je nach Konfigurierung der Einstellungen können Sie erkannte Bedrohungen über den Endpoint Security Client verwalten. Bevor Sie beginnen Das Threat Prevention-Modul muss installiert. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf Jetzt scannen, um die Seite System scannen zu öffnen. 3 Klicken Sie unter On-Access-Scan auferkennungen anzeigen. Diese Option ist nicht verfügbar, wenn die Liste keine Erkennungen enthält oder Benutzermeldungen deaktiviert sind. Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der Endpoint Security-Dienst oder das System neu gestartet wird. 4 Wählen Sie eine der folgenden Optionen auf der Seite On-Access-Scan. Säubern Versucht, das Element (Datei, Registrierungseintrag) zu säubern und es in die Quarantäne zu verschieben. Endpoint Security verwendet Informationen in der Content-Dateien zur Dateisäuberung. Wenn eine Content-Datei kein Säuberungsprogramm hat oder die Datei unrettbar beschädigt ist, verweigert der Scanner den Zugriff auf die Datei. In diesem Fall wird von McAfee empfohlen, die Datei aus der Quarantäne zu löschen und den Inhalt aus einer sauberen Sicherungskopie wiederherzustellen. Löschen Eintrag entfernen Schließen Löscht das Element mit der Bedrohung. Entfernt den Eintrag aus der Erkennungsliste. Schließt die Scan-Seite. Wenn eine Aktion für die Bedrohung nicht verfügbar ist, ist die entsprechende Option deaktiviert. Beispielsweise ist die Option Säubern nicht verfügbar, wenn die Datei bereits gelöscht wurde. Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der Endpoint Security-Dienst oder das System neu gestartet wird. Verwalten von isolierten Elementen Endpoint Security speichert Elemente, die als Bedrohungen erkannt wurden, in der Quarantäne. Sie können für isolierte Elemente Aktionen ausführen. Bevor Sie beginnen Das Threat Prevention-Modul muss installiert. McAfee Endpoint Security 10 Produkthandbuch 39

40 3 Verwenden von Threat Prevention Verwalten von isolierten Elementen Beispielsweise können Sie ein Element wiederherstellen, nachdem Sie eine aktuellere Version der Content-Datei heruntergeladen haben, die Informationen zum Säubern der Bedrohung enthält. Isolierte Elemente können mehrere Typen gescannter Objekte enthalten: Dateien, Registrierungen oder andere, die Endpoint Security auf Malware scannt. Wählen Sie für Hilfe im Menü Aktion Hilfe. Vorgehensweise 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie links auf der Seite auf Quarantäne. Auf der Seite werden alle Elemente in der Quarantäne angezeigt. Wenn der Endpoint Security Client denquarantäne-manager nicht erreichen kann, wird eine Kommunikationsfehlermeldung angezeigt. Starten Sie in diesem Fall Ihr System neu, um die Quarantäne-Seite anzuzeigen. 3 Wählen Sie aus dem oberen Bereich ein Element aus, um die Details unten anzuzeigen. Ändern der relativen Größen der Bereiche Sortieren von Elementen in der Tabelle nach Bedrohungsname oder -typ Ziehen Sie am Widget, um die Größe der Bereiche zu ändern. Klicken Sie auf die Tabellenspaltenüberschrift. 4 Führen Sie auf der Quarantäne-Seite Aktionen für ausgewählte Elemente aus. Elemente aus der Quarantäne löschen Wählen Sie Elemente, klicken Sie auf Löschen und anschließend zur Bestätigung erneut auf Löschen. Gelöschte Elemente können nicht wiederhergestellt werden. Elemente aus der Quarantäne wiederherstellen Wählen Sie Elemente, klicken Sie auf Wiederherstellen und anschließend zur Bestätigung erneut auf Wiederherstellen. Endpoint Security stellt die Elemente im ursprünglichen Speicherort wieder her und entfernt sie aus der Quarantäne. Wenn ein Element noch immer eine gültige Bedrohung darstellt, wird es von Endpoint Security beim nächsten Zugriff darauf erneut in die Quarantäne verschoben. Elemente erneut scannen Element im Ereignisprotokoll anzeigen Weitere Informationen zu einer Bedrohung Wählen Sie Elemente aus, und klicken Sie dann auf Erneut scannen. Sie könnten beispielsweise ein Element erneut scannen, nachdem Sie Ihren Schutz aktualisiert haben. Wenn das Element keine Bedrohung mehr ist, können Sie es in seinen ursprünglichen Speicherort wiederherstellen und aus der Quarantäne entfernen. Wählen Sie ein Element, und klicken Sie dann auf den Link Im Ereignisprotokoll anzeigen im Detailbereich. Die Seite Ereignisprotokoll wird geöffnet, auf der das zum Ereignis gehörige ausgewählte Element hervorgehoben ist. Wählen Sie ein Element, und klicken Sie dann auf den Link Weitere Informationen zu einer Bedrohung im Detailbereich. Ein neues Browserfenster mit der McAfee Labs-Website wird geöffnet, auf der Sie weitere Informationen zu der Bedrohung finden, die die Ursache für die Isolierung des Elements war. 40 McAfee Endpoint Security 10 Produkthandbuch

41 Verwenden von Threat Prevention Verwalten von isolierten Elementen 3 Erkennungsnamen auf Seite 41 Öffnen des Endpoint Security Client auf Seite 17 Manuelles Aktualisieren von Schutz und Software auf Seite 20 Erkennungsnamen Der Quarantäne-Bericht meldet Bedrohungen mit Erkennungsname. Erkennungsname Adware Dialer Scherzprogramm Keylogger Kennwort-Cracker Potenziell unerwünschtes Programm Remote-Verwaltungstool Spyware Beschreibung Software, die Umsatz erzeugt, indem dem Benutzer Werbung angezeigt wird. Adware erzielt Einkünfte durch den Anbieter oder durch Anbieterpartner. Manche Arten von Adware können persönliche Daten erfassen und weiterzugeben. Software, die Internetverbindungen an einen Dritten weiterleitet, bei dem es sich nicht um den standardmäßigen Internet Service Provider des Benutzers handelt. Durch Dialer sollen zusätzliche Verbindungsgebühren für einen Inhaltsanbieter, Händler oder einen Dritten anfallen. Software, die behauptet, einem Computer Schaden zuzufügen, aber weder schädliche Nutzlast enthält noch zum Schaden verwendet wird. Sie wirkt sich nicht auf den Sicherheits- oder Datenschutzstatus aus, kann aber einen Benutzer alarmieren oder verärgern. Software, die Daten zwischen dem Benutzer, der sie eingibt, und der beabsichtigten Empfängeranwendung abfängt. Trojaner und potenziell unerwünschte Programm-Keylogger können auf identische Weise funktionieren. McAfee-Software erkennt beide Arten und verhindert Intrusionen. Software, die es einem Benutzer oder Administrator gestattet, vergessene Kennwörter für Benutzerkonten oder Datendateien wiederherzustellen. In den Händen eines Angreifers ermöglicht sie Zugriff auf vertrauliche Daten und stellt somit eine Bedrohung für Sicherheit und Datenschutz dar. Enthält häufig an und für sich legitime Software (keine Malware), die jedoch den Sicherheits- oder Datenschutzstatus des Systems ändern können. Diese Software kann mit einem gewünschten Programm zusammen heruntergeladen werden. Dazu gehören beispielsweise Spyware, Adware, Keylogger, Kennwort-Cracker, Hacker-Tools und Dialer-Anwendungen. Software, mit der ein Administrator ein System aus der Ferne steuern kann. Diese Tools stellen eine ernsthafte Sicherheitsbedrohung dar, wenn sie von einem Angreifer gesteuert werden. Spyware übermittelt persönliche Informationen ohne Wissen oder Zustimmung des Benutzers an Dritte. Spyware nutzt infizierte Computer zu Profitzwecken aus, etwa auf folgende Weise: Einblenden unerwünschter Werbe-Pop-Ups Stehlen persönlicher Daten stehlen, z. B. Finanzdaten wie Kreditkartennummern Überwachen von Webaktivitäten zu Marketingzwecken Umleiten von HTTP-Anfragen auf Werbe-Websites Potenziell unerwünschtes Programm. McAfee Endpoint Security 10 Produkthandbuch 41

42 3 Verwenden von Threat Prevention Verwalten von Threat Prevention Erkennungsname Tarnprogramm Trojaner Virus Beschreibung Ein Virentyp, der versucht, der Erkennung durch Virenschutz-Software zu entgehen. Auch bekannt als Unterbrechungsabfänger. Viele Tarnprogramm-Viren fangen Anfragen für den Laufwerkszugriff ab. Wenn eine Virenschutz-Anwendung auf der Suche nach Viren versucht, Dateien oder Boot-Sektoren zu lesen, zeigt der Virus ein "sauberes" Bild des gewünschten Elements. Andere Viren verbergen die tatsächliche Größe einer infizierten Datei und zeigt die Größe der Datei vor der Infektion an. Dies ist ein bösartiges Programm, das als gutartige Anwendung getarnt ist. Ein Trojaner wird nicht repliziert, aber verursacht Schaden oder gefährdet die Sicherheit Ihres Computers. Ein Computer wird oft infiziert: Wenn ein Benutzer einen Trojaner-Anhang in einer öffnet. Wenn ein Benutzer einen Trojaner von einer Website herunterlädt. Durch Peer-to-Peer-Netzwerkdienste. Weil Sie sich nicht selbst replizieren, werden Trojaner nicht als Viren angesehen. Ein Virus hängt sich an Festplatten oder andere Dateien und repliziert sich wiederholt, typischerweise ohne Wissen oder Erlaubnis des Benutzers. Einige Viren heften sich an Dateien, sodass sie bei der Ausführung der infizierten Datei mit ausgeführt werden. Andere nisten sich im Computerspeicher ein und infizieren laufend Dateien, wenn diese vom Rechner geöffnet, verändert und erstellt werden. Einige Viren weisen Symptome auf, andere beschädigen Dateien und Computersysteme. Verwalten von Threat Prevention Als Administrator können Sie Threat Prevention-Einstellungen festlegen, um bösartigen Zugriff zu vermeiden und Scans zu konfigurieren. Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee epo, McAfee epo Cloud oder dem SecurityCenter Änderungen von der Einstellungen-Seite überschreiben. Ausschließen von Elementen von Scans auf Seite 43 Erkennen von potenziell unerwünschten Programmen auf Seite 44 Konfigurieren der Richtlinieneinstellungen für den auf Seite 46 Konfigurieren der RichtlinieneinstellungenRichtlinieneinstellungenExploit-Schutz- Richtlinieneinstellungen. auf Seite 49 Konfigurieren von Richtlinieneinstellungen für auf Seite 50 Konfigurieren Sie die für den On-Demand-Scan auf Seite 55 Planen von Tasks für Vollständiger Scan und Schnellscan auf Seite 60 Konfigurieren gemeinsamer Scan-Einstellungen auf Seite McAfee Endpoint Security 10 Produkthandbuch

43 Verwenden von Threat Prevention Verwalten von Threat Prevention 3 Ausschließen von Elementen von Scans Mit Threat Prevention können Sie die Liste der gescannten Elemente anpassen, indem Sie auszuschließende Elemente festlegen. Es könnte beispielsweise nötig sein, einige Dateitypen auszuschließen, damit ein Scanner keine Datei sperrt, die von einer Datenbank oder einem Server verwendet wird. (Durch eine gesperrte Datei könnten bei der Datenbank oder dem Server Fehler auftreten.) Funktion Zugriffsschutz Auszuschließende Elemente festlegen Prozesse (für alle Regeln oder eine festgelegte Regel) Konfigurationsort Elemente ausschließen nach Zugriffsschutz -Einstellungen Prozessname Nein Exploit-Schutz Prozesse Exploit-Schutz -Einstellungen Prozessname Nein On-Access-Scan Standard Hohes Risiko Niedriges Risiko On-Demand-Scan Schnellscan Vollständiger Scan Scan per Kontextmenü Dateien, Dateitypen und Ordner On-Access-Scan -Einstellungen Muster, Dateityp oder Dateialter ScriptScan-URLs On-Access-Scan -Einstellungen URL-Name Nein Erkennungsnamen Optionen -Einstellungen Erkennungsname (Groß-/ Kleinschreibung wird beachtet) Potenziell unerwünschte Programme Dateien, Ordner und Laufwerke Optionen -Einstellungen Name Ja On-Demand-Scan -Einstellungen Muster, Dateityp oder Dateialter Erkennungsnamen Optionen -Einstellungen Erkennungsname (Groß-/ Kleinschreibung wird beachtet) Potenziell unerwünschte Programme Platzhalter in Scan-Ausschlüssen auf Seite 44 Optionen -Einstellungen Name Ja Platzhalter verwenden? Ja Nein Ja (* und?) Nein McAfee Endpoint Security 10 Produkthandbuch 43

44 3 Verwenden von Threat Prevention Verwalten von Threat Prevention Platzhalter in Scan-Ausschlüssen Sie haben die Möglichkeit, Platzhalter zur Darstellung von Zeichen in Ausschlüssen für das Scannen von Dateien, Ordner, and potenziell unerwünschten Programmen zu verwenden. Tabelle 3-1 Gültige Platzhalter Platzhalterzeichen Name Steht für? Fragezeichen Einzelnes Zeichen. Dieser Platzhalter gilt nur dann, wenn die Anzahl der Zeichen mit denen des Datei- oder Ordnernamens übereinstimmt. Beispiel: Der Ausschluss W?? schließt die Zeichenfolge WWW aus, aber nicht die Zeichenfolgen WW oder WWWW. * Sternchen Mehrere Zeichen. ** Zwei Sternchen Null oder mehr beliebige Zeichen einschließlich des umgekehrten Schrägstriches (\). Dieser Platzhalter stimmt mit null oder mehr Zeichen überein. Beispiel: C:\ABC\**\YZ stimmt überein mit C: \ABC\DEF\YZ und C:\ABC\YZ. In einer Pfadangabe können Platzhalter vor umgekehrten Schrägstrichen (\) eingesetzt werden. Beispielsweise stimmt C:\ABC\*\YZ überein mit C:\ABC\DEF\YZ. Erkennen von potenziell unerwünschten Programmen Wenn Sie den verwalteten Computer vor potenziell unerwünschten Programmen schützen möchten, müssen Sie Dateien und Programme festlegen, die in Ihrer Umgebung erkannt werden sollen und dann die Erkennung aktivieren. Potenziell unerwünschte Programme werden als Softwareprogramme definiert, die als störend empfunden werden oder den Sicherheitsstatus oder die Datenschutzrichtlinien des Systems verändern. Potenziell unerwünschte Programme können in Programmen eingebettet sein, die Benutzer herunterladen. Dazu können auch Spyware, Adware und Dialer zählen. 1 Legen Sie in den Richtlinieneinstellungen benutzerdefinierte Programme fest, die der On-Access-Scanner und der On-Demand-Scanner als unerwünschte Programme behandeln soll. 2 Aktivieren Sie die Erkennung unerwünschter Programme, und legen Sie unter folgenden Einstellungen die Aktionen fest, die bei Erkennungen ausgeführt werden sollen: On-Access-Scan On-Demand-Scan Legen Sie benutzerdefinierte, potenziell unerwünschte Programme für die Erkennung fest auf Seite 45 Aktivieren und Konfigurieren der Erkennung potenziell unerwünschter Programme sowie der folgenden Reaktion auf Seite 45 Konfigurieren von Richtlinieneinstellungen für auf Seite 50 Konfigurieren Sie die für den On-Demand-Scan auf Seite McAfee Endpoint Security 10 Produkthandbuch

45 Verwenden von Threat Prevention Verwalten von Threat Prevention 3 Legen Sie benutzerdefinierte, potenziell unerwünschte Programme für die Erkennung fest Legen Sie in den Richtlinieneinstellungen weitere Programme fest, die der On-Access-Scanner und der On-Demand-Scanner als unerwünschtes Programm behandeln sollen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Die Scanner erkennt die Programme, die Sie festlegen sowie Programme, die in den AMCore Content-Dateien festgelegt sind. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf der Status-Hauptseite auf Threat Prevention. Oder wählen Sie im Menü Aktion Prevention. Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Threat 3 Klicken Sie auf Erweiterte anzeigen. 4 Klicken Sie auf Optionen. 5 In Erkennung von potenziell unerwünschten Programmen: Klicken Sie auf Hinzufügen, um den Namen und die optionale Beschreibung einer Datei oder eines Programms festzulegen, die bzw. das als potenziell unerwünschtes Programm behandelt werden soll. Die Beschreibung wird im Fall einer Erkennung als Erkennungsname angezeigt. Doppelklicken Sie zum Ändern auf den Namen oder die Beschreibung von einem vorhandenen unerwünschten Programm. Wählen Sie ein vorhandenes potenziell unerwünschtes Programm aus, und klicken Sie dann auf Löschen, um es von der Liste zu entfernen. Anmelden als Administrator auf Seite 24 Aktivieren und Konfigurieren der Erkennung potenziell unerwünschter Programme sowie der folgenden Reaktion Aktivieren Sie die Funktionen im On-Access- und On-Demand-Scanner zur Erkennung potenziell unerwünschte Programme, und legen Sie die Reaktion fest, wenn eines erkannt wurde. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. McAfee Endpoint Security 10 Produkthandbuch 45

46 3 Verwenden von Threat Prevention Verwalten von Threat Prevention Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Konfigurieren Sie Richtlinieneinstellungen für den. a Öffnen Sie den Endpoint Security Client. b Klicken Sie auf der Status-Hauptseite auf Threat Prevention. Sie können auch im Menü Aktion Einstellungen auf Threat Prevention. Einstellungen wählen. Klicken Sie dann auf der Seite c d e f Klicken Sie auf Erweiterte anzeigen. Klicken Sie auf On-Access-Scan. WählOn-Access-Scanen Sie für jeden On-Access Scan-Typ unter ProzesseinstellungenUnerwünschte Programme erkennen. Konfigurieren Sie unter Aktionen Reaktionen auf unerwünschte Programme. 2 Konfigurieren Sie die Richtlinieneinstellungen für den. a Öffnen Sie den Endpoint Security Client. b Klicken Sie auf der Status-Hauptseite auf Threat Prevention. Sie können auch im Menü Aktion Einstellungen auf Threat Prevention. Einstellungen wählen. Klicken Sie dann auf der Seite c d e Klicken Sie auf Erweiterte anzeigen. Klicken Sie auf On-Demand-Scan. Für jeden Scan-Typ (Vollständiger Scan, Schnellscan und Scan per Kontextmenü): Wählen Sie Unerwünschte Programme erkennen. Konfigurieren Sie unter Aktionen Reaktionen auf unerwünschte Programme. Konfigurieren von Richtlinieneinstellungen für auf Seite 50 Konfigurieren Sie die für den On-Demand-Scan auf Seite 55 Anmelden als Administrator auf Seite 24 Konfigurieren der Richtlinieneinstellungen für den Verwenden Sie Regeln in den Richtlinieneinstellungen für, um die Zugriffspunkte Ihres Systems zu schützen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Sie können diese Regeln aktivieren, deaktivieren und ändern, aber nicht löschen. 46 McAfee Endpoint Security 10 Produkthandbuch

47 Verwenden von Threat Prevention Verwalten von Threat Prevention 3 Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf der Status-Hauptseite auf Threat Prevention. Oder wählen Sie im Menü Aktion Prevention. Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Threat 3 Klicken Sie auf Erweiterte anzeigen. 4 Klicken Sie auf Zugriffsschutz. 5 Überprüfen Sie, dass der Zugriffsschutz aktiviert ist. Der Zugriffsschutz ist standardmäßig aktiviert. 6 Fügen Sie im AbschnittAusschlüsse Prozesse hinzu, die von allen Regeln ausgeschlossen werden sollen. Verwenden Sie den genauen Prozessnamen. Legen Sie beispielsweise folgende Ausschlüsse fest: Avtask.exe, cfgwiz.exe, fssm32.exe, kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe. Der Zugriffsschutz erlaubt den Zugriff auf die von Ihnen angegebenen Prozesse. 7 Wählen Sie für jede Regel im Bereich Regeln Blockieren, Melden oder beides aus. Wählen Sie in der ersten Zeile Blockieren oder Melden, um alle zu blockieren oder zu melden. Um eine Regel zu deaktivieren, müssen Sie für diese die Aktionen Blockieren und Melden deaktivieren. 8 Wählen Sie eine Regel, klicken Sie auf Hinzufügen, und geben Sie einen Prozess ein, der von der ausgewählten Regel ausgeschlossen werden soll. 9 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Anmelden als Administrator auf Seite 24 Schützen der Systemzugriffspunkte Der Schutz der Zugriffspunkte Ihres Client-Systems vor Bedrohungen stellt Ihre erste Verteidigungslinie gegen Malware. Zugriffsschutz verhindert unerwünschte Änderungen am verwalteten Computer, indem der Zugriff auf bestimmte Ports, Dateien, Freigaben, Registrierungen und Schlüssel eingeschränkt wird. Der Zugriffsschutz verwendet Regeln, um den Zugriff auf Elemente zu melden oder zu blockieren. Der On-Access-Scanner vergleicht eine angeforderte Aktion mit der Regelliste und ergreift eine Maßnahme entsprechend der Regel. Der On-Access-Scanner muss aktiviert sein, damit Zugriffsversuche auf Ports, Dateien, Freigaben, Registrierungsschlüssel und -Werte erkannt werden. McAfee Endpoint Security 10 Produkthandbuch 47

48 3 Verwenden von Threat Prevention Verwalten von Threat Prevention Zugriffsmöglichkeiten für Bedrohungen Bedrohungen dringen über verschiedene Zugriffspunkte in Ihr System ein. Zugriffspunkt Makros Ausführbare Dateien Skripts Internet Relay Chat-Nachrichten (IRC) Browser- und Anwendungshilfedateien Kombinationen aller dieser Zugriffspunkte Beschreibung Als Teil von Textverarbeitungsdokumenten oder Tabellenanwendungen. Scheinbar gutartige Programme können neben dem erwarteten Programm auch Viren enthalten. Einige häufige Dateierweiterungen sind.ee,.com,.vbs,.bat,.hlp und.dll. Verknüpft mit Webseiten und s können Skripte wie Active und JavaScript können Viren enthalten, wenn ihre Ausführung zugelassen wird. Mit diesen Nachrichten gesendete Dateien können leicht Malware als Teil der Nachricht enthalten. Automatische Startprozesse können beispielsweise Bedrohungen in Form von Würmern oder Trojanern enthalten. Beim Herunterladen dieser Hilfedateien ist das System eingebetteten Viren und ausführbaren Dateien ausgesetzt. Scherze, Spiele und Bilder als Teil von s mit Anlagen. Erfahrene Malware-Entwickler kombinieren alle diese Übertragungsmethoden und betten eine Malware in eine andere ein, um auf den Computer zuzugreifen. So werden Bedrohungen mit dem Zugriffsschutz abgewehrt Der Zugriffsschutz stoppt potenzielle Bedrohungen, indem er Aktionen basierend auf vordefinierte Schutzregeln verwaltet. Threat Prevention verwendet zum Bereitstellen des Zugriffsschutzes diesen Basisprozess. Beim Auftreten einer Bedrohung Wenn ein Benutzer oder ein Prozess eine Aktion ausführt: 1 Die Aktion wird gemäß den definierten Regeln vom Zugriffsschutz überprüft. 2 Wenn die Aktion eine Regel bricht, wird sie vom Zugriffsschutz unter Verwendung der Informationen in den konfigurierten Regeln verwaltet. 3 Der Zugriffsschutz aktualisiert die Protokolldatei, generiert ein Ereignis und sendet es bei verwalteten Systemen an den Management-Server. Beispiel für eine Zugriffsbedrohung 1 Ein Benutzer lädt ein zulässiges Programm (keine Malware) namens MyProgram.exe aus dem Internet herunter. 2 Der Benutzer startet MyProgram.exe, und es scheint, dass es wie erwartet gestartet wird. 3 MyProgram.exe startet einen untergeordneten Prozess namens AnnoyMe.exe. 4 AnnoyMe.exe versucht, das Betriebssystem zu ändern, um sicherzustellen, dass dieser Prozess bei jedem Systemstart immer geladen wird. 5 Der Zugriffsschutz verarbeitet die Anfrage und ordnet sie einer vorhandenen Regeln zu, dass die Anfrage blockiert und gemeldet wird. 6 Der Zugriffsschutz hindert AnnoyMe.exe daran, das Betriebssystem zu ändern. Er protokolliert die Details des Zugriffsversuchs. Außerdem wird eine Warnung generiert und an den Management-Server gesendet. 48 McAfee Endpoint Security 10 Produkthandbuch

49 Verwenden von Threat Prevention Verwalten von Threat Prevention 3 Konfigurieren der RichtlinieneinstellungenRichtlinieneinstellungenExploit-Schutz- Richtlinieneinstellungen. Sie müssen die für den Exploit-Schutz konfigurieren, um zu verhindern, dass beliebiger Code von Anwendungen auf dem verwalteten Computer ausgeführt werden kann. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf der Status-Hauptseite auf Threat Prevention. Oder wählen Sie im Menü Aktion Prevention. Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Threat 3 Klicken Sie auf Erweiterte anzeigen. 4 Klicken Sie auf Exploit-Schutz. 5 Konfigurieren Sie die Einstellungen auf der Seite, klicken Sie auf Anwenden, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Anmelden als Administrator auf Seite 24 Blockieren von Buffer Overflow-Exploits Exploit-Schutz verhindert, dass Buffer Overflows zur Ausführung von beliebigem Code ausgenutzt werden können. Diese Funktion überwacht im Benutzermodus ausgeführte API-Aufrufe und erkennt, wenn diese das Ergebnis eines Buffer Overflows sind. Bei einer Erkennung werden die entsprechenden Informationen im Aktivitätsprotokoll aufgezeichnet, im Client-System angezeigt und an den Management-Server gesendet (wenn konfiguriert). Von Threat Prevention wird eine Exploit-Schutz-Content-Datei verwendet, um Anwendungen wie Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word und MSN Messenger zu schützen. Auftreten von Buffer Overflow-Exploits Angreifer verwenden Buffer Overflow-Exploits zum Ausführen von Code, indem die für einen Eingabeprozess reservierten Speicherpuffer mit fester Größe überflutet werden. Mit diesem Code kann der Angreifer den Zielcomputer übernehmen oder seine Dateien schädigen. Über 25 Prozent der Malware-Angriffe sind Buffer Overflow-Angriffe, bei denen benachbarter Speicher im Stack-Frame überschrieben werden soll. Es gibt zwei Typen von Buffer Overflow-Exploits: Stack-basierte Angriffe verwenden die Stack-Speicherobjekte zum Speichern von Benutzereingaben (häufigster Typ). Heap-basierte Angriffe überfluten den für ein Programm reservierten Speicherplatz (seltener Typ). McAfee Endpoint Security 10 Produkthandbuch 49

50 3 Verwenden von Threat Prevention Verwalten von Threat Prevention Das Stack-Speicherobjekt mit fester Größe ist leer und wartet auf Benutzereingaben. Wenn ein Programm Eingaben des Benutzers empfängt, werden die Daten am Anfang des Stacks gespeichert, und ihnen wird eine Absenderspeicheradresse zugewiesen. Beim Verarbeiten des Stacks werden die Eingaben des Benutzers an die vom Programm angegebene Absenderadresse gesendet. Der folgenden Prozess beschreibt einen Stack-basierten Buffer Overflow-Angriff: 1 Überlaufen des Stacks. Beim Schreiben des Programms wird eine bestimmte Menge an Speicherplatz für die Daten reserviert. Der Stack läuft über, wenn die Menge der geschriebenen Daten größer ist als der für sie im Stack-Speicher reservierte Speicherplatz. Diese Situation stellt nur in Kombination mit bösartigen Eingaben ein Problem dar. 2 Ausnutzen des Überlaufs. Das Programm wartet auf eine Benutzereingabe. Wenn der Angreifer einen ausführbaren Befehl eingibt, der die Stack-Größe überschreitet, wird der Befehl außerhalb des reservierten Speicherplatzes gespeichert. 3 Ausführen der Malware. Der Befehl wird nicht automatisch ausgeführt, wenn er den Stack-Pufferspeicherplatz überschreitet. Zunächst stürzt das Programm aufgrund des Buffer Overflow ab. Wenn der Angreifer eine Absenderspeicheradresse verwendet hat, die sich auf den bösartigen Befehl bezieht, versucht das Programm, damit eine Wiederherstellung vorzunehmen. Wenn die Absenderadresse gültig ist, wird der bösartige Befehl ausgeführt. 4 Ausnutzen der Berechtigungen. Die Malware wird nun mit den gleichen Berechtigungen ausgeführt wie die Anwendung, die manipuliert wurde. Da Programme in der Regel im Kernel-Modus oder mit von einem Dienstkonto geerbten Berechtigungen ausgeführt werden, kann der Angreifer jetzt die vollständige Kontrolle über das Betriebssystem erlangen. Konfigurieren von Richtlinieneinstellungen für Mit diesen Einstellungen können Sie On-Access-Scans aktivieren und konfigurieren. Sie können auch Nachrichten festlegen, die bei einer erkannten Bedrohung gesendet werden und verschiedene Einstellungen entsprechend dem Prozesstyp konfigurieren. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Siehe die Common-Einstellungen für weitere Konfigurationsoptionen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf der Status-Hauptseite auf Threat Prevention. Oder wählen Sie im Menü Aktion Prevention. Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Threat 3 Klicken Sie auf Erweiterte anzeigen. 4 Klicken Sie auf On-Access-Scan. 50 McAfee Endpoint Security 10 Produkthandbuch

51 Verwenden von Threat Prevention Verwalten von Threat Prevention 3 5 Wählen Sie On-Access-Scan aktivieren, um den On-Access-Scanner zu aktivieren und Optionen zu ändern. 6 Legen Sie fest, ob Sie Standard-Einstellungen für alle Prozesse verwenden möchten oder unterschiedliche Richtlinien für Prozesse mit hohem und niedrigem Risiko. Standard-Einstellungen Konfigurieren Sie die Scan-Einstellungen auf der Registerkarte Standard. Unterschiedliche Einstellungen entsprechend dem Prozesstyp Konfigurieren Sie auf der Registerkarte (Standard, Hohes Risiko oder Niedriges Risiko) die Scan-Einstellungen für jeden Prozesstyp. 7 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Anmelden als Administrator auf Seite 24 Konfigurieren gemeinsamer Scan-Einstellungen auf Seite 60 Funktionsweise des On-Access-Scans Der On-Access-Scanner integriert sich in die tiefsten Ebenen des Systems (Dateisystem-Filtertreiber), und scannt Dateien an der Stelle, an der sie zuerst in das System gelangen. Der On-Access-Scanner sendet bei Erkennungen Benachrichtigungen über die Benutzeroberfläche des Systemdiensts. Wenn versucht wird, eine Datei zu öffnen oder zu schließen, fängt der Scanner den Vorgang ab und führt die folgenden Aktionen aus: 1 Der Scanner bestimmt, ob das Element aufgrund der folgenden Kriterien gescannt werden soll: Die Dateierweiterung entspricht der Konfiguration. Die Datei befindet sich nicht im Cache, wurde ausgeschlossen oder zuvor nicht gescannt. Wenn Sie McAfee GTI konfigurieren, wird vom Scanner eine Heuristik zur Überprüfung auf verdächtige Dateien verwendet. 2 Wenn die Datei die Scan-Kriterien erfüllt, vergleicht sie der Scanner mit den Signaturen in den aktuell geladenen AMCore Content-Dateien. Wenn die Datei "sauber" ist, wird das Ergebnis in den Cache kopiert und der Zugriff für Leseoder Schreibvorgänge wird erteilt. Enthält die Datei eine Bedrohung, wird der Vorgang verweigert, und der Scanner führt die konfigurierte Aktion aus. Wenn die Aktion beispielsweise das Säubern der Datei ist, führt der Scanner folgende Vorgänge aus: 1 Verwenden der Informationen in der aktuell geladenen AMCore Content-Datei, um die Datei zu säubern. 2 Aufzeichnen der Ergebnisse im Aktivitätsprotokoll. 3 Benachrichtigen des Benutzers, dass eine Bedrohung in der Datei erkannt wurde und fragt nach der auszuführenden Aktion (Datei säubern oder löschen). McAfee Endpoint Security 10 Produkthandbuch 51

52 3 Verwenden von Threat Prevention Verwalten von Threat Prevention Windows 8 Wenn der Scanner eine Bedrohung im Pfad einer installierten Windows Store-App erkennt, wird sie vom Scanner als manipuliert markiert. Windows 8 fügt die Kennzeichnung "manipuliert" der Kachel für die App hinzu. Bei einem Ausführungsversuch benachrichtigt Sie Windows von dem Problem und leitet sie zum Windows Store weiter, damit Sie die App neu installieren. 3 Wenn die Datei nicht den Scan-Anforderungen entspricht, kopiert sie der Scanner in den Cache und genehmigt den Vorgang. Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der Endpoint Security-Dienst oder das System neu gestartet wird. Threat Prevention leert den globalen Scan-Cache und scannt alle Dateien erneut, wenn: Die On-Access-Scan-Konfiguration wird geändert. Eine ETRA.DAT-Datei wird hinzugefügt. 52 McAfee Endpoint Security 10 Produkthandbuch

53 Verwenden von Threat Prevention Verwalten von Threat Prevention 3 Scannen beim Schreiben auf oder Lesen von einem Datenträger oder wenn McAfee entscheiden soll Sie können festlegen, wann der On-Access-Scanner Dateien scannt: beim Schreiben auf einen Datenträger oder beim Lesen von einem Datenträger. Sie können auch McAfee die Entscheidung überlassen, wann ein Scan ausgeführt wird. Beim Schreiben von Dateien auf den Datenträger werden vom On-Access-Scanner die folgenden Dateien gescannt: Eingehende Dateien, die auf die lokale Festplatte geschrieben werden. Dateien, die auf der lokalen Festplatte oder einem zugeordneten Netzwerklaufwerk, wenn aktiviert, erstellt werden (hierzu gehören neue Dateien, geänderte Dateien und Dateien, die von einem Laufwerk auf ein anderes kopiert oder verschoben werden). Beim Lesen von Dateien auf dem Datenträger werden vom Scanner die folgenden Dateien gescannt: Ausgehende Dateien, die von der lokalen Festplatte oder zugeordneten Netzwerklaufwerken (wenn aktiviert) gelesen werden. Dateien, die versuchen, einen Vorgang auf der lokalen Festplatte auszuführen. Dateien, die auf der lokalen Festplatte geöffnet werden. Wenn Sie McAfee die Entscheidung überlassen, ob ein Scan für eine Datei nötig ist, verwendet der On-Access-Scanner Vertrauenslogik für die Scan-Optimierung. Vertrauenslogik verbessert Ihre Sicherheit und beschleunigt die Leistung durch Vermeidung unnötiger Scans. Beispielsweise analysiertmcafee einige Programme, die als vertrauenswürdig angesehen werden. Wenn McAfee verifiziert, dass diese Programme nicht manipuliert wurden, führt der Scanner einen reduzierten oder optimierten Scan durch. Scannen von Skripts Der Threat Prevention-Skript-Scanner wird als Proxykomponente des nativen Windows Script Host ausgeführt. Er fängt Skripte vor der Ausführung ab und scannt sie. Beispiel: Wenn das Skript "sauber" ist, gibt der Skript-Scanner das Skript an den nativen Windows Script Host weiter. Wenn das Skript eine potenzielle Bedrohung enthält, wird es nicht ausgeführt. Wenn ScriptScan beim Start von Internet Explorer deaktiviert ist und dann aktiviert wird, erkennt es keine bösartige Skripte in der Instanz von Internet Explorer. Nach der Aktivierung von ScriptScan müssen Sie den Internet Explorer neu starten, um bösartige Skripts zu erkennen. Deaktivieren Sie diese Option, damit der Client-Computer die Ausschlüsse verwenden kann, die hier und lokal auf dem Client festgelegt wurden. Sie können Websites, die Skripts verwenden, von der Überprüfung ausschließen. Auf Windows Server 2008-Systemen können ScriptScan-URL-Ausschlüsse in Windows Internet Explorer nur verwendet werden, wenn Sie Browsererweiterungen von Drittanbietern aktivieren und das System neu starten. Weitere Informationen finden Sie im KnowledgeBase-Artikel KB McAfee Endpoint Security 10 Produkthandbuch 53

54 3 Verwenden von Threat Prevention Verwalten von Threat Prevention Bestimmen der Scan-Einstellungen für Prozesse Mit folgendem Verfahren prüfen Sie, ob Sie verschiedene Einstellungen je nach Prozesstyp konfigurieren sollten. 54 McAfee Endpoint Security 10 Produkthandbuch

55 Verwenden von Threat Prevention Verwalten von Threat Prevention 3 Konfigurieren Sie die für den On-Demand-Scan Diese Einstellungen konfigurieren das Verhalten der drei vordefinierten On-Demand-Scans: Vollständiger Scan, Schnellscan und Scan per Kontextmenü. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Siehe die Common-Einstellungen für weitere Konfigurationsoptionen. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf der Status-Hauptseite auf Threat Prevention. Oder wählen Sie im Menü Aktion Prevention. Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Threat 3 Klicken Sie auf Erweiterte anzeigen. 4 Klicken Sie auf On-Demand-Scan. 5 Klicken Sie auf eine Registerkarte, um Einstellungen für den ausgewählten Scan zu konfigurieren. Vollständiger Scan Schnellscan Scan per Kontextmenü 6 Konfigurieren Sie die Einstellungen auf der Seite, klicken Sie auf Anwenden, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Anmelden als Administrator auf Seite 24 Konfigurieren gemeinsamer Scan-Einstellungen auf Seite 60 Planen von Tasks für Vollständiger Scan und Schnellscan auf Seite 60 Funktionsweise von On-Demand-Scans Der On-Demand-Scanner durchsucht die Dateien, Ordner, den Speicher und die Registrierung auf Malware, durch die der Computer infiziert sein könnte. Sie legen fest, wann und wie oft On-Demand-Scans ausgeführt werden. Sie können Ihre Systeme manuell, zu einer geplanten Zeit oder beim Systemstart scannen. 1 Der On-Demand-Scanner verwendet folgende Kriterien, um festzulegen, ob das Element gescannt werden muss: Die Dateierweiterung entspricht der Konfiguration. Die Datei befindet sich nicht im Cache, wurde ausgeschlossen oder zuvor nicht gescannt (wenn der Scanner den Scan-Cache verwendet). Wenn Sie McAfee GTI konfigurieren, wird vom Scanner eine Heuristik zur Überprüfung auf verdächtige Dateien verwendet. McAfee Endpoint Security 10 Produkthandbuch 55

56 3 Verwenden von Threat Prevention Verwalten von Threat Prevention 2 Wenn die Datei die Scan-Kriterien erfüllt, vergleicht der Scanner die Informationen im Element mit den bekannten Malware-Signaturen in den aktuell geladenen AMCore Content-Dateien. Wenn die Datei "sauber" ist, wird das Ergebnis im Cache gespeichert und das nächste Element überprüft. Enthält die Datei eine Bedrohung, führt der Scanner die konfigurierte Aktion aus. Wenn die Aktion beispielsweise das Säubern der Datei ist, führt der Scanner folgende Vorgänge aus: 1 Verwenden der Informationen in der aktuell geladenen AMCore Content-Datei, um die Datei zu säubern. 2 Aufzeichnen der Ergebnisse im Aktivitätsprotokoll. 3 Benachrichtigen des Benutzers, dass eine Bedrohung in der Datei erkannt wurde, unter Angabe des Elementnamens und der durchgeführten Aktion. Windows 8 Wenn der Scanner eine Bedrohung im Pfad einer installierten Windows Store-App erkennt, wird sie vom Scanner als manipuliert markiert. Windows 8 fügt die Kennzeichnung "manipuliert" der Kachel für die App hinzu. Bei einem Ausführungsversuch benachrichtigt Sie Windows von dem Problem und leitet sie zum Windows Store weiter, damit Sie die App neu installieren. 3 Wenn die Datei nicht den Scan-Anforderungen entspricht, wird Sie vom Scanner nicht überprüft. Stattdessen wird der Scan-Vorgang fortgesetzt, bis alle Daten überprüft wurden. 56 McAfee Endpoint Security 10 Produkthandbuch

57 Verwenden von Threat Prevention Verwalten von Threat Prevention 3 Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der nächste On-Demand-Scan startet. Threat Prevention leert den globalen Scan-Cache und scannt alle Dateien erneut, wenn eine ETRA.DAT-Datei geladen wird. Begrenzen der Auswirkungen von Scans auf Benutzer Um die Auswirkungen von On-Demand-Scans auf ein System zu minimieren, legen Sie bei ihrer Konfiguration die Leistungsoptionen fest. Nur scannen, wenn das System im Leerlauf ist Die einfachste Art, um sicherzustellen, dass der Scan keine Auswirkungen auf Benutzer haben, ist das Ausführen von On-Demand-Scans, wenn der Computer sich im Leerlauf befindet. Bei Auswahl dieser Option hält Threat Prevention den Scan an, wenn Laufwerk- oder Benutzeraktivität erkannt wird, wie Zugriff über die Tastatur oder Maus. Threat Prevention setzt den Scan fort, wenn der Benutzer drei Minuten lang nicht auf das System zugegriffen hat. McAfee Endpoint Security 10 Produkthandbuch 57

58 3 Verwenden von Threat Prevention Verwalten von Threat Prevention Folgende Optionen stehen zur Verfügung: Benutzer können Scans fortsetzen, die aufgrund von Benutzeraktivität angehalten wurden. Scan nur ausführen, wenn der Computer des Systems im Leerlauf ist. McAfee empfiehlt das Deaktivieren dieser Option auf Serversystemen und Systemen, auf die Benutzer nur über die Remote-Desktop-Verbindung (RDP) zugreifen. Threat Prevention stellt mithilfe von McTray fest, ob sich das System im Leerlauf befindet. Auf nur über RDP zugegriffene Systemen startet McTray nicht und der On-Demand-Scanner wird nie ausgeführt. Zur Problemumgehung können Benutzer manuell McTray starten (standardmäßig unter C: \Programme\McAfee\Agent\mctray.exe),wenn Sie sich über RDP anmelden. Wählen Sie im Leistungs-Bereich der On-Demand-Scan Nur scannen, wenn das System im Leerlauf ist. Scans werden automatisch angehalten Zur Verbesserung der Leistung können Sie On-Demand-Scans anhalten, wenn das System im Batteriebetrieb ist. Sie können den Scan auch anhalten, wenn eine Anwendung, wie ein Browser, Media Player oder eine Präsentation im Vollbildmodus ausgeführt wird. Der Scan wird sofort fortgesetzt, wenn das System an die Stromversorgung angeschlossen wird oder sich nicht mehr im Vollbildmodus befindet. Wählen Sie diese Optionen im Leistungs-Bereich der On-Demand-Scan: Keine Scans durchführen, wenn das System mit Batterie betrieben wird Keine Scans durchführen, wenn sich das System im Präsentationsmodus befindet (verfügbar, wenn Jederzeit scannen ausgewählt ist) Benutzern das Verschieben von Scans gestatten Wenn Sie Jederzeit scannen wählen, können Sie Benutzern gestatten, geplante Scans in Schritten von einer Stunde (bis zu 24 Stunden lang oder unbegrenzt) zu verschieben. Jede Benutzerverschiebung dauert eine Stunde an. Wenn beispielsweise die Option Maximale Stundenanzahl, um die ein Scan verschoben werden kann auf 2 festgelegt wurde, kann der Benutzer den Scan zweimal bzw. für zwei Stunden verschieben. Wenn die angegebene maximale Anzahl von Stunden abgelaufen ist, wird der Scan fortgesetzt. Falls Sie unbegrenzte Verschiebungen zulassen, indem Sie die Option auf null (0) festgelegen, kann der Benutzer den Scan auf unbegrenzte Zeit verschieben. Wählen Sie im Leistungs-Bereich der On-Demand-Scan-Client-Task-Einstellungen. Beschränken der Scan-Aktivität mit inkrementellen Scans Verwenden Sie inkrementelle bzw. fortsetzbarescans, um die Häufigkeit der On-Demand-Scan-Aktivität einzuschränken und das gesamte System dennoch in mehreren Sitzungen scannen. Das inkrementelle Scannen kann verwendet werden, indem Sie dem geplanten Scan eine Zeitbeschränkung hinzufügen. Der Scan wird angehalten, sobald die Zeitbeschränkung erreicht wurde. Beim nächsten Start wird der Task an der Stelle in der Datei oder der Ordnerstruktur fortgesetzt, an der der vorherige Scan angehalten wurde. Wählen Sie für den Task On-Demand-Scan in der Kategorie Zeitlimit Diesen Task stoppen, wenn er länger läuft als. Siehe Planen von Tasks für Vollständiger Scan und Schnellscan auf Seite 60. Konfigurieren der Systemauslastung Systemauslastung legt die CPU-Zeit fest, die der Scanner während des Scan-Vorgangs empfängt. Setzen Sie für Systeme mit Endbenutzeraktivität die Systemauslastung auf Niedrig. 58 McAfee Endpoint Security 10 Produkthandbuch

59 Verwenden von Threat Prevention Verwalten von Threat Prevention 3 Wählen Sie im Leistungs-Bereich der On-Demand-Scan-Client-Task-Einstellungen. Konfigurieren Sie die für den On-Demand-Scan auf Seite 55 Planen von Tasks für Vollständiger Scan und Schnellscan auf Seite 60 Funktionsweise der Systemauslastung Der On-Demand-Scanner verwendet die von Windows festgelegte Prioritätseinstellung als Priorität für Scan-Vorgänge und Threads. Mit der Systemauslastungseinstellung (Drosselung) kann das Betriebssystem die CPU-Zeit, die der On-Demand-Scanner empfängt, während des Scan-Vorgangs festlegen. Wenn die Systemauslastung für den Scan auf Niedrig eingestellt wird, wird die Leistung für andere ausgeführte Anwendungen erhöht. Die niedrige Einstellung eignet sich für Systeme mit Endbenutzeraktivität. Umgekehrt wird der Scan-Vorgang schneller abgeschlossen, wenn Sie die Systemauslastung auf Normal einstellen. Die normale Einstellung eignet sich für Systeme mit großen Volumes und wenig Endbenutzeraktivität. Jeder Task wird unabhängig von den Beschränkungen anderer Tasks ausgeführt. Tabelle 3-2 Standardprozesseinstellungen Threat Prevention-Prozesseinstellung Niedrig Niedriger als normal Normal (Standard) Diese Option... Erhöht die Leistung für andere ausgeführte Anwendungen. Wählen Sie diese Option für Systeme mit Endbenutzeraktivität. Legt Systemauslastung für den Scan auf den McAfee epo-standard fest. Damit kann der Scan-Vorgang schneller abgeschlossen werden. Wählen Sie diese Option für Systeme mit großen Datenträgern und wenig Endbenutzeraktivität. Von Windows festgelegte Prioritätseinstellung Niedrig Niedriger als normal Normal Funktionsweise des Scannens vom Remote-Speicher Sie können den On-Demand-Scanner so konfigurieren, dass der Inhalt von Dateien gescannt wird, die der Remote-Speicher verwaltet. Der Remote-Speicher überwacht die Größe des verfügbaren Speicherplatzes auf dem lokalen System. Falls nötig, migriert der Remote-Speicher automatisch den Inhalt (Daten) geeigneter Dateien vom Client-System zu einem Speichergerät, wie etwa eine Bandbibliothek. Wenn ein Benutzer eine Datei öffnet, dessen Daten migriert wurden, ruft der Remote-Speicher automatisch die Daten vom Speichergerät ab. Wählen Sie die Option In den Speicher migrierte Dateien scannen, um den On-Demand-Scanner so zu konfigurieren, dass vom Remote-Speicher verwaltete Dateien gescannt werden. Wenn der Scanner auf eine Datei mit migriertem Inhalt stößt, wird diese vor dem Scannen im lokalen System wiederhergestellt. Weitere Informationen finden Sie unter Was ist ein Remote-Speicher. McAfee Endpoint Security 10 Produkthandbuch 59

60 3 Verwenden von Threat Prevention Verwalten von Threat Prevention Planen von Tasks für Vollständiger Scan und Schnellscan Sie können die Standard-Tasks für Vollständiger Scan und Schnellscan über den Endpoint Security Client im Common-Modul planen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Verwenden Sie diese Einstellungen zum Konfigurieren, wenn die Tasks Vollständiger Scan und Schnellscan ausgeführt werden. Siehe Konfigurieren Sie die für den On-Demand-Scan auf Seite 55, um das Standardverhalten für Scans zu konfigurieren, die vom Endpoint Security Client gestartet werden. Sie können diese Einstellungen nur auf selbstverwalteten Systemen konfigurieren. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Wählen Sie im Menü Aktion Einstellungen aus. 3 Klicken Sie auf Erweiterte anzeigen. 4 Klicken Sie auf Tasks. 5 Doppelklicken Sie auf Vollständiger Scan oder Schnellscan, bearbeiten Sie den Plan, und klicken Sie zum Speichern der Änderungen auf OK, oder klicken Sie auf Abbrechen. 6 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Anmelden als Administrator auf Seite 24 Konfigurieren Sie die für den On-Demand-Scan auf Seite 55 Konfigurieren gemeinsamer Scan-Einstellungen Um Einstellungen festzulegen, die sowohl für On-Access- als auch On-Demand-Scans gelten, konfigurieren Sie die der Threat Prevention-Optionen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Die folgenden Einstellungen gelten für alle Scans: Quarantäne-Speicherort und die Dauer in Tagen, für die isolierte Elemente vor ihrer automatischen Löschung gespeichert werden Erkennungsnamen, die von Scans auszuschließen sind Potenziell unerwünschte Programme für die Erkennung, wie Spyware und Adware 60 McAfee Endpoint Security 10 Produkthandbuch

61 Verwenden von Threat Prevention Verwalten von Threat Prevention 3 Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf der Status-Hauptseite auf Threat Prevention. Oder wählen Sie im Menü Aktion Prevention. Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Threat 3 Klicken Sie auf Erweiterte anzeigen. 4 Klicken Sie auf Optionen. 5 Konfigurieren Sie die Einstellungen auf der Seite, klicken Sie auf Anwenden, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Anmelden als Administrator auf Seite 24 Konfigurieren von Richtlinieneinstellungen für auf Seite 50 Konfigurieren Sie die für den On-Demand-Scan auf Seite 55 McAfee Endpoint Security 10 Produkthandbuch 61

62 3 Verwenden von Threat Prevention Verwalten von Threat Prevention 62 McAfee Endpoint Security 10 Produkthandbuch

63 4 Verwenden 4 der Firewall Die Firewall fungiert als Filter zwischen Ihrem Computer und dem Netzwerk oder dem Internet. Inhalt Funktionsweise von Firewall Verwalten der Firewall Funktionsweise von Firewall Die Firewall scannt allen eingehenden und ausgehenden Datenverkehr. Beim Prüfen des ein- oder ausgehenden Datenverkehrs kontrolliert die Firewall die Liste der Regeln, die einen Satz von Kriterien und zugehörigen Aktionen enthält. Wenn der Datenverkehr allen Kriterien in einer Regel entspricht, handelt die Firewall entsprechend der Regel und blockiert den Datenverkehr über die Firewall oder lässt ihn zu. Informationen zur Erkennung von Bedrohungen werden für Berichte gespeichert, die den Administrator über Sicherheitsprobleme für Ihren Computer benachrichtigen. Firewall-Optionen und -Regeln definieren, wie die Firewall arbeitet. In Regelgruppen werden Firewall-Regeln zur einfachen Verwaltung organisiert. Wenn der Client-Schnittstellenmodus auf Vollzugriff eingestellt ist, oder Sie als Administrator angemeldet sind, können Sie mithilfe des Endpoint Security Client Regeln und Gruppen konfigurieren. In verwalteten Systemen werden Regeln und Gruppen, die Sie erstellen, möglicherweise überschrieben, wenn der Administrator eine aktualisierte Richtlinie bereitstellt. Konfigurieren der Firewall-Optionen auf Seite 64 Funktionsweise von Firewall-Regeln auf Seite 66 Funktionsweise von Firewall-Regelgruppen auf Seite 68 Verwalten der Firewall Als Administrator können Sie Firewall-Optionen konfigurieren und Regeln und Gruppen auf dem Endpoint Security Client erstellen. Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee epo, McAfee epo Cloud oder dem SecurityCenter Änderungen von der Einstellungen-Seite überschreiben. Ändern von Firewall-Optionen auf Seite 64 Erstellen und Verwalten von Firewall-Regeln und -Gruppen auf Seite 72 McAfee Endpoint Security 10 Produkthandbuch 63

64 4 Verwenden der Firewall Verwalten der Firewall Ändern von Firewall-Optionen Als Administrator können Sie Firewall-Optionen über denendpoint Security Client ändern. Aufgaben Konfigurieren der Firewall-Optionen auf Seite 64 Konfigurieren Sie Einstellungen unter Optionen, um den Firewall-Schutz ein- und auszuschalten, den adaptiven Modus zu aktivieren und andere Firewall-Optionen zu konfigurieren. Blockieren des DNS-Datenverkehrs auf Seite 64 Um den Firewall-Schutz zu optimieren, erstellen Sie eine Liste zu blockierender FQDNs. Firewall blockiert Verbindungen zu den IP-Adressen, die in die Domänennamen aufgelöst werden. FAQ McAfee GTI und Firewall auf Seite 65 Konfigurieren der Firewall-Optionen Konfigurieren Sie Einstellungen unter Optionen, um den Firewall-Schutz ein- und auszuschalten, den adaptiven Modus zu aktivieren und andere Firewall-Optionen zu konfigurieren. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf der Status-Hauptseite auf Firewall. Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Firewall. 3 Wählen Sie Firewall aktivieren, um die Firewall zu aktivieren und die Optionen zu ändern. 4 Klicken Sie auf Erweiterte anzeigen. 5 Konfigurieren Sie die Einstellungen auf der Seite, klicken Sie auf Anwenden, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Anmelden als Administrator auf Seite 24 Blockieren des DNS-Datenverkehrs Um den Firewall-Schutz zu optimieren, erstellen Sie eine Liste zu blockierender FQDNs. Firewall blockiert Verbindungen zu den IP-Adressen, die in die Domänennamen aufgelöst werden. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. 64 McAfee Endpoint Security 10 Produkthandbuch

65 Verwenden der Firewall Verwalten der Firewall 4 Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf der Status-Hauptseite auf Firewall. Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Firewall. 3 Klicken Sie unter DNS-Blockierung auf Hinzufügen. 4 Geben Sie den FQDN der zu blockierenden Domänen ein. Sie können * und? als Platzhalterzeichen verwenden. Beispiel: *domain.com. Alle doppelten Einträge werden automatisch entfernt. 5 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. FAQ McAfee GTI und Firewall In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen. FirewallOptionseinstellungen ermöglichen das Blockieren eingehenden und ausgehenden Datenverkehrs von einer Netzwerkverbindung, die McAfee GTI als "hohes Risiko" bewertet hat. In dieser häufig gestellten Frage wird die Funktionsweise von McAfee GTI erläutert und inwiefern sich diese auf die Firewall auswirkt. Was ist McAfee GTI? McAfee GTI ist ein System zur globalen Reputationsanalyse von Internetseiten. Anhand von Echtzeitanalysen der verhaltensbasierten Muster und Versendemuster für s, von Malware, Internetaktivität und des Verhaltens der Systeme untereinander ermittelt McAfee GTI positives und negatives Verhalten im Internet. Mithilfe der Daten, die bei dieser Analyse ermittelt werden, berechnet McAfee GTI dynamisch die Reputationsfaktoren, die die Risikostufe darstellt, mit der das Besuchen einer Webseite für Ihr Netzwerk eingeordnet wird. Das Ergebnis ist eine Datenbank mit Reputationsfaktoren für IP-Adressen, Domänen, spezifische Meldungen, URLs und Bilder. Funktionsweise Wenn die McAfee GTI-Optionen ausgewählt werden, werden zwei Firewall-Regeln erstellt: McAfee GTI Endpoint Security Firewall-Dienst zulassen und McAfee GTI Bewertung anzeigen. Die erste Regel erlaubt eine Verbindung zu McAfee GTI, und die zweite Regel blockiert Datenverkehr oder lässt ihn zu (auf der Grundlage der Reputation einer Verbindung und des festgelegten Blockierungsschwellenwerts). Was bedeutet "Reputation"? Für jede IP-Adresse im Internet berechnet McAfee GTI einen Reputationswert. McAfee GTI basiert den Wert auf dem Sende- oder Hosting-Verhalten und verschiedenen Umgebungsdaten, die von Kunden und Partnern zum Zustand der Bedrohungslandschaft im Internet erfasst werden. Basierend auf unsere Analyse wird die Reputation in vier Klassen angegeben: Minimales Risiko (Nicht blockieren) Es handelt sich um eine zulässige Quelle oder ein zulässiges Ziel für Inhalte/Datenverkehr. Nicht verifiziert Es handelt sich um eine zulässige Quelle oder ein zulässiges Ziel für Inhalte/ Datenverkehr. Offenbar sind auf dieser Site auch bestimmte Merkmale vorhanden, die darauf hinweisen, dass eine genauere Prüfung erforderlich ist. McAfee Endpoint Security 10 Produkthandbuch 65

66 4 Verwenden der Firewall Verwalten der Firewall Mittleres Risiko Diese Quelle/dieses Ziel weist ein Verhalten auf, das wir als verdächtig ansehen. Die Inhalte/der Datenverkehr aus dieser Quelle bzw. an dieses Ziel erfordern besondere Sorgfalt. Hohes Risiko Diese Quelle/dieses Ziel ist bekannt dafür oder es ist wahrscheinlich, dass potenziell bösartiger Inhalt/Datenverkehr von dort gesendet bzw. dort gehostet wird. Unserer Ansicht nach stellt diese Site ein ernsthaftes Risiko dar. Führt McAfee GTI zu Latenz? In welchem Umfang? Wenn McAfee GTI für die Reputations-Suche verwendet wird, ist eine gewisse Latenz unvermeidlich. McAfee hat alle Maßnahmen ergriffen, um diese so gering wie möglich zu halten. McAfee GTI: Überprüfung der Reputationen erfolgt nur, wenn diese Optionen ausgewählt sind. Verwendung einer intelligenten Caching-Architektur. Bei normalen Netzwerknutzungsmustern können die meisten der gewünschten Verbindungen anhand des Caches gelöst werden, ohne dass eine reale Reputationsabfrage erfolgen muss. Wird der Datenverkehr gestoppt, wenn die Firewall keine Verbindung mit McAfee GTI-Servern herstellen kann? Wenn die Firewall keine Verbindung mit McAfee GTI-Servern herstellen kann, werden alle anwendbaren Verbindungen automatisch einer zugelassenen Standardreputation zugeordnet. Im Anschluss setzt die Firewall die Analyse der nächsten Regeln fort. Konfigurieren Sie Firewall-Regeln und -Gruppen Als Administrator können Sie Firewall-Regeln und -Gruppen auf dem Endpoint Security Client konfigurieren. Aufgaben Erstellen und Verwalten von Firewall-Regeln und -Gruppen auf Seite 72 In verwalteten Systemen werden Regeln und Gruppen, die Sie über den Endpoint Security Client konfigurieren, möglicherweise überschrieben, wenn der Administrator eine aktualisierte Richtlinie bereitstellt. Erstellen von Verbindungsisolierungsgruppen auf Seite 74 Um einen Satz an Regeln zu erstellen, die nur bei Verbindung mit einem Netzwerk mit bestimmten Parametern gelten sollen, erstellen Sie eine Firewall-Regelgruppe für Verbindungsisolierung. Funktionsweise von Firewall-Regeln auf Seite 66 Funktionsweise von Firewall-Regelgruppen auf Seite 68 Funktionsweise von Firewall-Regeln Firewall-Regeln bestimmen, wie Netzwerkverkehr verarbeitet wird. Jede Regel bietet einen Satz an Bedingungen, die der Datenverkehr erfüllen muss, sowie eine Maßnahme, mit welcher der Datenverkehr zugelassen oder blockiert wird. Wenn Firewall Datenverkehr findet, der einer Regelbedingung entspricht, dann wird die verknüpfte Aktion durchgeführt. Sie können diese Regeln allgemein definieren (z. B. für alle Arten von IP-basiertem Datenverkehr) oder spezifisch (z. B. durch Ermitteln einer spezifischen Anwendung oder eines spezifischen Dienstes) und dabei Optionen festlegen. Sie können Regeln zur einfacheren Verwaltung nach einer Funktion, einem Dienst oder einer Anwendung gruppieren. Für die Regelgruppen können Sie genau wie bei den Regeln verschiedene Netzwerk-, Datenübertragungs-, Anwendungs-, Zeitplan- und Speicherortoptionen definieren. 66 McAfee Endpoint Security 10 Produkthandbuch

67 Verwenden der Firewall Verwalten der Firewall 4 In Firewall werden Regeln nach Vorrang angewendet: 1 Die am Anfang der Firewall-Regelliste stehenden Regeln werden von Firewall zuerst angewendet. Wenn der Datenverkehr die Bedingungen dieser Regel erfüllt, erlaubt Firewall diesen Datenverkehr oder blockiert ihn. Es werden keine weiteren in der Regelliste enthaltenen Regeln angewendet. 2 Wenn der Datenverkehr die Bedingung der ersten Regel jedoch nicht erfüllt, prüft Firewall die nächste in der Liste enthaltene Regel und so weiter, bis eine passende Regel gefunden wurde. 3 Wenn keine Regel die Bedingung erfüllt, blockiert die Firewall den Datenverkehr automatisch. Abbildung 4-1 Regelvorrang Im adaptiven Modus wird für den Datenverkehr eine Zulassungsregel erstellt. Es kann vorkommen, dass der abgefangene Datenverkehr mehr als eine Regel erfüllt. In diesem Fall sorgt die Vorrangfunktion dafür, dass Firewall nur die erste in der Liste erfüllte Regel anwendet. Empfohlene Vorgehensweisen Stellen Sie die spezifischeren Regeln an den Anfang der Liste und die allgemeineren Regeln ans Ende. Durch diese Reihenfolge wird gewährleistet, dass Firewall den Datenverkehr angemessen filtert. McAfee Endpoint Security 10 Produkthandbuch 67

68 4 Verwenden der Firewall Verwalten der Firewall Um beispielsweise alle HTTP-Anfragen zu blockieren, mit Ausnahme einer spezifischen IP-Adresse (z. B ), müssen Sie zwei Regeln erstellen: Blockierungsregel HTTP-Datenverkehr von Adresse wird blockiert. Diese Regel ist allgemein. Zulassungsregel sämtlicher Datenverkehr wird zugelassen, der den HTTP-Dienst verwendet. Diese Regel ist allgemein. Platzieren Sie die Blockierungsregel in der Firewall-Regelliste vor der Zulassungsregel. Wenn die Firewall eine HTTP-Anfrage von der Adresse abfängt, blockiert die erste passende Regel den Datenverkehr durch die Firewall. Wenn Sie die allgemeinere Zulassungsregel vor der spezifischeren Blockierregel platzieren, werden die Anfragen von Firewall mit der Zulassungsregel abgeglichen, bevor die Blockierungsregel gefunden wird. Auf diese Weise wird der Datenverkehr zugelassen, obwohl Sie die HTTP-Anfrage von einer bestimmten Adresse blockieren wollten. Funktionsweise von Firewall-Regelgruppen Verwenden Sie zur Organisierung von Firewall-Regeln Firewall-Regelgruppen für eine einfache Verwaltung. Firewall -Regelgruppen haben keine Auswirkung, wie Firewall die darin enthaltenen Gruppen behandelt. Die Regeln werden trotzdem von oben nach unten durch Firewall verarbeitet. Firewall verarbeitet die Einstellungen für die Gruppe vor der Verarbeitung der Einstellungen für die Gruppe, die sie enthält. Wenn ein Konflikt zwischen diesen Einstellungen existiert, haben die Gruppeneinstellungen Vorrang. Festlegen von Gruppen als standortabhängige Gruppen Mit Firewall können Sie standortabhängige Regeln für eine Gruppe und Verbindungsisolierung erstellen. Über Ort und Netzwerkoptionen können Sie Gruppen so konfigurieren, dass Netzwerkadapter berücksichtigt werden. Verwenden Sie Netzwerkadaptergruppen, um adapterspezifische Regeln für Computer mit verschiedenen Netzwerkschnittstellen anzuwenden. Nachdem der Speicherortstatus aktiviert und der Speicherort benannt wurden, können die Parameter für zugelassene Verbindungen für jeden Netzwerkadapter folgende Parameter enthalten: Ort: Erforderlich machen, dass McAfee epo erreichbar ist Verbindungsspezifisches DNS-Suffix Standard-Gateway-IP-Adresse IP-Adresse des DHCP-Servers DNS-Server für die Auflösung von URLs IP-Adresse des primären WINS-Servers IP-Adresse des sekundären WINS-Servers Domänenerreichbarkeit Registrierungsschlüssel Netzwerk: Lokale IP-Adresse Medientyp 68 McAfee Endpoint Security 10 Produkthandbuch

69 Verwenden der Firewall Verwalten der Firewall 4 Wenn zwei standortabhängige Gruppen für eine Verbindung zutreffen, verwendet Firewall den normalen Vorrang und verarbeitet die erste zutreffende Gruppe in der Regelliste. Wenn in der ersten Gruppe keine Regel übereinstimmt, wird die Regelverarbeitung fortgesetzt. Wenn Firewall die Parameter einer standortabhängigen Gruppe mit einer aktiven Verbindung abgleicht, werden die in der Gruppe enthaltenen Regeln angewendet. Die Regeln werden als kleiner Regelsatz behandelt und der normale Vorrang eingehalten. Wenn der abgefangene Datenverkehr einige Regeln nicht erfüllt, werden diese von der Firewall ignoriert. Bei Auswahl dieser Option... Standortbewusstsein aktivieren Erforderlich machen, dass McAfee epo erreichbar ist Lokales Netzwerk Verbindungsspezifisches DNS-Suffix Standard-Gateway DHCP-Server DNS-Server Primärer WINS-Server Sekundärer WINS-Server Domänenerreichbarkeit (HTTPS) Gilt folgendes... Der Name eines Standorts ist erforderlich. McAfee epo ist erreichbar und der FQDN des Servers wurde aufgelöst. Die IP-Adresse des Adapters muss mit einem der Einträge in der Liste übereinstimmen. Das DNS-Suffix des Adapters muss mit einem der Einträge in der Liste übereinstimmen. Die IP-Adresse des Standard-Gateway-Adapters muss mit mindestens einem der Listeneinträge übereinstimmen. Die IP-Adresse des DHCP-Server-Adapters muss mit mindestens einem der Listeneinträge übereinstimmen. Die IP-Adresse des DNS-Server-Adapters muss mit einem beliebigen der Listeneinträge übereinstimmen. Die IP-Adresse des primären WINS-Server-Adapters muss mit mindestens einem der Listeneinträge übereinstimmen. Die IP-Adresse des sekundären WINS-Server-Adapters muss mit mindestens einem der Listeneinträge übereinstimmen. Die angegebene Domäne muss über HTTPS erreichbar sein. Firewall-Regelgruppen und Verbindungsisolierung Verwenden Sie Verbindungsisolierung für Gruppen, um unerwünschten Datenverkehr daran zu hindern, auf ein ausgewiesenes Netzwerk zuzugreifen. Wenn bei aktivierter Verbindungsisolierung für eine Gruppe eine aktive Netzwerkschnittstellenkarte (NIC) den Gruppenkriterien entspricht, verarbeitet Firewall nur Datenverkehr, der mit Folgendem übereinstimmt: Zulassungsregeln oberhalb der Gruppe in der Firewall-Regelliste Gruppenkriterien McAfee Endpoint Security 10 Produkthandbuch 69

70 4 Verwenden der Firewall Verwalten der Firewall Sonstiger Datenverkehr wird blockiert. Gruppen, für die die Verbindungsisolierung aktiviert ist, können keine verknüpften Datenübertragungsoptionen und ausführbaren Dateien enthalten. Abbildung 4-2 Netzwerkverbindungsisolierung 70 McAfee Endpoint Security 10 Produkthandbuch

71 Verwenden der Firewall Verwalten der Firewall 4 Als Anwendungsbeispiel für die Netzwerkverbindungsisolierung betrachten wir zwei Fälle: Eine Unternehmensumgebung und ein Hotel. Die Liste aktiver Firewall-Regeln enthält Regeln und Gruppen in folgender Reihenfolge: 1 Grundlegende Verbindungsregeln 2 Verbindungsregeln für VPN 3 Gruppe mit Verbindungsregeln für Unternehmensnetzwerke 4 Gruppe mit VPN-Verbindungsregeln Beispiel: Netzwerkverbindungsisolierung im Unternehmensnetzwerk Verbindungsregeln werden abgearbeitet, bis die Gruppe mit Verbindungsregeln für Unternehmensnetzwerke erreicht wird. Diese Gruppe umfasst folgende Einstellungen: Medientyp = Kabelgebunden Verbindungsspezifisches DNS-Suffix = meinunternehmen.de Standard-Gateway Verbindungsisolierung = Aktiviert Der Computer verfügt über kabelgebundene und kabellose Netzwerkadapter. Der Computer ist mit dem Unternehmensnetzwerk über eine kabelgebundene Verbindung verbunden. Die Drahtlosschnittstelle ist aber noch aktiv und verbindet sich daher mit einem Hotspot außerhalb des Betriebsgeländes. Der Computer ist mit beiden Netzwerken verbunden, da die grundlegenden Verbindungsregeln oben an der Liste der Firewall-Regeln angeordnet sind. Die LAN-Kabelverbindung ist aktiv und entspricht den Kriterien der Verbindungsgruppe des Unternehmensnetzwerks. Die Firewall verarbeitet den Netzwerkverkehr durch das LAN, blockiert aber weiteren Netzwerkverkehr außerhalb des LAN aufgrund der aktivierten Netzwerkverbindungsisolierung. Beispiel: Verbindungsisolierung in einem Hotel Verbindungsregeln werden abgearbeitet, bis die Gruppe mit VPN-Verbindungsregeln erreicht wird. Diese Gruppe umfasst folgende Einstellungen: Medientyp = Virtuell Verbindungsspezifisches DNS-Suffix = vpn.meinunternehmen.de IP-Adresse = eine Adresse im Adressbereich des VPN-Konzentrators Verbindungsisolierung = Aktiviert Über allgemeine Verbindungsregeln lässt sich ein zeitlich begrenztes Konto für den Internetzugang in einem Hotel einrichten. Die VPN-Verbindungsregeln ermöglichen die Verbindung mit dem VPN-Tunnel und dessen Nutzung. Nach dem Aufbau des Tunnels erzeugt der VPN-Client einen virtuellen Netzwerkadapter, der den Kriterien der VPN-Gruppe entspricht. Die Firewall beschränkt den zugelassenen Netzwerkverkehr (mit Ausnahme des Basisverkehrs des physischen Adapters selbst) auf den VPN-Tunnel. Versuche anderer Hotelgäste, drahtlos oder per Netzwerkkabel über das Netzwerk auf den Computer zuzugreifen, werden blockiert. McAfee Endpoint Security 10 Produkthandbuch 71

72 4 Verwenden der Firewall Verwalten der Firewall Erstellen und Verwalten von Firewall-Regeln und -Gruppen In verwalteten Systemen werden Regeln und Gruppen, die Sie über den Endpoint Security Client konfigurieren, möglicherweise überschrieben, wenn der Administrator eine aktualisierte Richtlinie bereitstellt. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Die Gruppen und Regeln werden nach Priorität geordnet in der Tabelle Firewall-Regeln angezeigt. Regeln können nicht nach Spalte geordnet werden. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf der Status-Hauptseite auf Firewall. Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Firewall. 3 Verwenden Sie die folgenden Tasks, um Firewall-Regeln und -Gruppen zu verwalten, und klicken Sie dann auf Anwenden, um Änderungen an den Firewall-Regeln zu speichern. Für diese Aktion... Regeln in einer Firewall-Gruppe anzeigen. Befolgen Sie diese Schritte Klicken Sie auf. Eine Firewall-Gruppe reduzieren. Klicken Sie auf. Eine vorhandene Regel ändern. Sie können nur Regeln in der Gruppe Vom Benutzer hinzugefügt ändern. Eine vorhandene Regel in einer Gruppe anzeigen. Eine Regel erstellen. 1 Erweitern Sie die Gruppe Vom Benutzer hinzugefügt. 2 Doppelklicken Sie auf die Richtlinie. 3 Ändern Sie die Regeleinstellungen. 4 Klicken Sie auf OK, um Ihre Änderungen zu speichern. 1 Erweitern Sie die Gruppe. 2 Wählen Sie die Regel aus, um ihre Details unten anzuzeigen. 1 Klicken Sie auf Regel hinzufügen. 2 Legen Sie die Regeleinstellungen fest. 3 Klicken Sie auf OK, um Ihre Änderungen zu speichern. Die Regel wird am Ende der Gruppe Vom Benutzer hinzugefügt angezeigt. Regeln kopieren. 1 Wählen Sie die Regel oder Regeln aus, und klicken Sie auf Duplizieren. Kopierte Regeln werden am Ende der Gruppe Vom Benutzer hinzugefügt angezeigt. 2 Ändern Sie die Regeln, um den Namen und die Einstellungen zu ändern. 72 McAfee Endpoint Security 10 Produkthandbuch

73 Verwenden der Firewall Verwalten der Firewall 4 Für diese Aktion... Regeln löschen. Sie können Regeln nur aus den Gruppen Vom Benutzer hinzugefügt und Adaptiv löschen. Befolgen Sie diese Schritte 1 Erweitern Sie die Gruppe. 2 Wählen Sie die Regel oder Regeln aus, und klicken Sie auf Löschen. Eine Gruppe erstellen. 1 Klicken Sie auf Gruppe hinzufügen. 2 Legen Sie die Gruppeneinstellungen fest. 3 Klicken Sie auf OK, um Ihre Änderungen zu speichern. Die Gruppe wird in der Gruppe Vom Benutzer hinzugefügt angezeigt. Regeln und Gruppen innerhalb und zwischen Gruppen verschieben. Sie können nur Regeln und Gruppen in der Gruppe Vom Benutzer hinzugefügt verschieben. Um Elemente zu verschieben: 1 Wählen Sie Elemente zum Verschieben aus. Der Ziehpunkt erscheint links von Elementen, die verschoben werden können. 2 Verschieben Sie per Drag-and-Drop die Elemente an den gewünschten Ort. Eine blaue Linie erscheint zwischen Elementen, wo Sie die gezogenen Elemente ablegen können. 4 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Platzhalter in Firewall-Regeln auf Seite 73 Zulassen von FTP-Verbindungen auf Seite 74 Anmelden als Administrator auf Seite 24 Erstellen von Verbindungsisolierungsgruppen auf Seite 74 Platzhalter in Firewall-Regeln Sie können Platzhalter verwenden, um Zeichen für einige Werte in Firewall-Regeln darzustellen. Platzhalter in Pfad- und Adresswerten Folgende Platzhalter dürfen in Dateipfaden, Registrierungsschlüsseln, ausführbaren Dateien und URLs verwendet werden. In Registrierungsschlüsselpfaden für Firewall-Gruppenspeicherorte werden keine Platzhalterwerte erkannt.? Fragezeichen Ein einzelnes Zeichen. * Sternchen Mehrere Zeichen, ausgenommen Schrägstrich (/) und umgekehrter Schrägstrich (\). Verwenden Sie dieses Zeichen als Entsprechung der Stammebene eines Ordners ohne Unterordner verwendet. ** zwei Sternchen Mehrere Zeichen, einschließlich Schrägstrich (/) und umgekehrter Schrägstrich (\). Pipe Platzhalter-Escape. Die Escape-Zeichenfolge für ein doppeltes Sternchen (**) lautet " * *". McAfee Endpoint Security 10 Produkthandbuch 73

74 4 Verwenden der Firewall Verwalten der Firewall Platzhalter in allen anderen Werten Für Werte, die normalerweise keine Pfadangaben mit Schrägstrichen enthalten, können folgende Platzhalter verwendet werden.? Fragezeichen Ein einzelnes Zeichen. * Sternchen Mehrere Zeichen, einschließlich Schrägstrich (/) und umgekehrter Schrägstrich (\). Pipe Platzhalter-Escape. Erstellen von Verbindungsisolierungsgruppen Um einen Satz an Regeln zu erstellen, die nur bei Verbindung mit einem Netzwerk mit bestimmten Parametern gelten sollen, erstellen Sie eine Firewall-Regelgruppe für Verbindungsisolierung. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf der Status-Hauptseite auf Firewall. Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Firewall. 3 Klicken Sie unter REGELN auf Gruppe hinzufügen. 4 Geben Sie unter Beschreibung die Optionen für die Gruppe an. 5 Wählen Sie unter Standort die Option Standortbewusstsein aktivieren und Verbindungsisolierung aktivieren. Wählen Sie dann die Standortkriterien für die Zuordnung. 6 Wählen Sie unter Netzwerkoptionen für Medientypen den Typ der Verbindung (Kabelgebunden, Drahtlos, Virtuell) aus, für den die in dieser Gruppe enthaltenen Regeln angewendet werden sollen. Einstellungen für Transport und Ausführbare Dateien sind für Verbindungsisolierungsgruppen nicht verfügbar. 7 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. 8 Erstellen Sie in dieser Gruppe neue Regeln, oder verschieben Sie vorhandene Regeln aus der Firewall-Regelliste in die Gruppe. Firewall-Regelgruppen und Verbindungsisolierung auf Seite 69 Funktionsweise von Firewall-Regelgruppen auf Seite 68 Zulassen von FTP-Verbindungen Um FTP-Verbindungen im aktiven Modus zuzulassen, erstellen Sie Firewall-Regeln, um eingehende und ausgehende Verbindungen an bestimmten Ports zuzulassen. Das FTP-Protokoll nutzt zwei Verbindungen: Steuerung für Befehle und Daten für die Information. Da Firewall keine FTP-Protokolle prüft, werden FTP-Verbindungen nicht standardmäßig zugelassen. Um FTP-Verbindungen zuzulassen, erstellen Sie Firewall-Regeln, um Verbindungen an bestimmten Ports zuzulassen. 74 McAfee Endpoint Security 10 Produkthandbuch

75 Verwenden der Firewall Verwalten der Firewall 4 FTP für aktiven Modus Wenn ein Client eine Verbindung zu einem FTP-Server in aktivem Modus herstellt: Der Steuerungskanal wird am TCP-Port 21 eingerichtet. Der Datenkanal wird am TCP-Port 20 eingerichtet. Um einen FTP-Client im aktiven Modus zum Verbinden sowie zum Herunterladen und Hochladen von Daten von einem bzw. auf einen FTP-Server zu verwenden, erstellen Sie folgende Firewall-Regeln auf dem Client: Ausgehende Verbindungen für TCP-Port 21 auf dem Server zulassen. Eingehende Verbindungen für TCP-Port 20 auf dem Server zulassen. Um einen FTP-Server zum Verbinden sowie zum Herunterladen und Hochladen von Daten über einen FTP-Client einzurichten, erstellen Sie folgende Firewall-Regeln auf dem Server: Eingehende Verbindungen für TCP-Port 21 auf dem Server zulassen. Ausgehende Verbindungen für TCP-Port 20 auf dem Server zulassen. passiver FTP-Modus Im passiven FTP-Modus müssen Sie eine Reihe von Ports für den Datenkanal auf dem FTP-Server öffnen. Wenn ein Client eine Verbindung zu einem FTP-Server im passiven Modus herstellt: Der Steuerungskanal wird am TCP-Port 21 eingerichtet. Der Datenkanal wird an einem TCP-Port im Bereich zwischen 1025 und 5000 eingerichtet. Um einen FTP-Client im passiven Modus zum Verbinden sowie zum Herunterladen und Hochladen von Daten von einem bzw. auf einen FTP-Server zu verwenden, erstellen Sie folgende Firewall-Regeln auf dem Client: Ausgehende Verbindungen für TCP-Port 21 auf dem Server zulassen. Ausgehende und eingehende Verbindungen an TCP-Ports im Bereich zwischen 1025 und 5000 zulassen. Um einen FTP-Server zum Verbinden sowie zum Herunterladen und Hochladen von Daten über einen FTP-Client einzurichten, erstellen Sie folgende Firewall-Regeln auf dem Server: Eingehende Verbindungen für TCP-Port 21 auf dem Server zulassen. Ausgehende und eingehende Verbindungen an TCP-Ports im Bereich zwischen 1025 und 5000 zulassen. Erstellen und Verwalten von Firewall-Regeln und -Gruppen auf Seite 72 McAfee Endpoint Security 10 Produkthandbuch 75

76 4 Verwenden der Firewall Verwalten der Firewall 76 McAfee Endpoint Security 10 Produkthandbuch

77 5 Verwenden 5 von Web Control In Ihrem Browser können Sie auf Web Control-Schutzfunktionen zugreifen, während Sie im Internet surfen oder suchen. Inhalt Informationen zu Web Control Funktionen Zugreifen auf Web Control-Funktionen Verwalten von Web Control Informationen zu Web Control Funktionen Wenn Web Control auf jedem verwalteten System ausgeführt wird, benachrichtigt es Sie über Bedrohungen, während Sie nach Websites suchen oder surfen. Ein McAfee-Team analysiert jede Website und weist ihr eine farbcodierte Sicherheitsbewertung basierend auf den Testergebnissen zu. Die Farbe gibt das Sicherheitslevel der Site wieder. Die Software verwendet die Testergebnisse, um Sie über webbasierte Bedrohungen zu informieren, auf die Sie möglicherweise stoßen können. Auf Suchergebnisseiten: Ein Symbol erscheint neben jeder aufgeführten Site. Die Farbe des Symbols gibt die Sicherheitsbewertung der jeweiligen Site wieder. Sie können über diese Symbole auf zusätzliche Informationen zugreifen. Im Browserfenster: Eine Schaltfläche wird in der rechten oberen Ecke angezeigt. Die Farbe der Schaltfläche gibt die Sicherheitsbewertung der jeweiligen Site wieder. Sie können durch einen Klick auf die Schaltfläche auf zusätzliche Informationen zugreifen. Diese Schaltfläche informiert Sie darüber hinaus über aufgetretene Kommunikationsprobleme und erleichtert den schnellen Zugriff auf Tests, mit denen häufige Probleme identifiziert werden können. In Sicherheitsberichten Gibt detailliert an, wie die Sicherheitsbewertung auf Basis der erkannten Bedrohungsarten, den Testergebnissen und anderen Daten berechnet wurde. Für verwaltete Systeme erstellen Administratoren Richtlinien für folgende Aktionen: Aktivieren und Deaktivieren von Web Control auf Ihrem System; Verhindern oder Zulassen der Deaktivierung von Software und Browser-Plug-In durch die Benutzer. Steuern des Zugriffs auf Websites, Seiten und Downloads, basierend auf deren Sicherheitsbewertung oder Inhaltstyp. Sie können beispielsweise rote Sites blockieren und Benutzer bei einem versuchten Zugriff auf gelbe Sites warnen. Identifizieren von Sites als blockiert oder zugelassen, basierend auf URLs und Domänen. McAfee Endpoint Security 10 Produkthandbuch 77

78 5 Verwenden von Web Control Informationen zu Web Control Funktionen Verhindern, dass Sie Web Control-Dateien, Registrierungsschlüssel, Registrierungswerte, Dienste und Prozesse deinstallieren oder ändern. Anpassen der angezeigten Benachrichtigung, wenn Sie versuchen, auf eine blockierte Website zuzugreifen. Überwachen und steuern Sie die Browser-Aktivitäten auf Netzwerk-Computern, und erstellen Sie detaillierte Berichte zu Websites. Für von Ihnen selbst verwaltete Systeme können Sie die folgenden Einstellungen konfigurieren: Aktivieren und Deaktivieren von Web Control auf Ihrem System; Verhindern oder Zulassen der Deaktivierung von Software und Browser-Plug-In. Steuern des Zugriffs auf Websites, Seiten und Downloads, basierend auf deren Sicherheitsbewertung oder Inhaltstyp. Sie können beispielsweise rote Sites blockieren und Benutzer bei einem versuchten Zugriff auf gelbe Sites warnen. Die Software unterstützt die Browser Microsoft Internet Explorer, Mozilla Firefox und Google Chrome. Firefox gestattet Ihnen nicht, Datei-Downloads zu prüfen oder die Schaltfläche Web Control mit dem Befehl Ansicht Symbolleisten auszublenden. Chrome unterstützt weder die Erzwingung von Datei-Downloads noch die Option Sprechblase anzeigen. Web Control-Schaltfläche zu Bedrohungsidentifizierung während des Surfens auf Seite 78 Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen auf Seite 79 Site-Berichte für Details auf Seite 79 So werden Sicherheitsbewertungen kompiliert auf Seite 80 Web Control-Schaltfläche zu Bedrohungsidentifizierung während des Surfens Wenn Sie zu einer Website navigieren, erscheint eine farbcodierte Schaltfläche in der rechten oberen Ecke des Browsers. Die Farbe der Schaltfläche entspricht der Sicherheitsbewertung der jeweiligen Site. Im Chrome-Browserfenster wird eine kleine Schaltfläche in der Adressleiste angezeigt. Grün Diese Site wird von McAfee SECURE täglich getestet und als sicher zertifiziert. Grün Diese Site ist sicher. Gelb Rot Grau Orange Blau Auf dieser Site könnten einige Probleme auftreten. Auf dieser Site könnten einige ernsthafte Probleme auftreten. Für diese Site ist keine Bewertung verfügbar. Bei der Kommunikation mit dem McAfee GTI-Server, auf dem Bewertungsinformationen vorhanden sind, ist ein Fehler aufgetreten. Es stehen keine Daten zur Bewertung dieser Site zur Verfügung. Die Ursache könnte sein, dass die Site intern ist oder sich in einem privaten IP-Adressbereich befindet. 78 McAfee Endpoint Security 10 Produkthandbuch

79 Verwenden von Web Control Informationen zu Web Control Funktionen 5 Schwarz Diese Site ist eine Phishing-Site. Beim Phishing wird versucht, vertrauliche Daten wie z. B. Benutzernamen, Kennwörter und Kreditkartendaten zu sammeln. Phishing-Sites täuschen vor, eine vertrauenswürdige Entität in einer elektronischen Kommunikation zu sein. Weiß Silber Eine lässt diese Site zu. Eine hat Web Control deaktiviert. Zugeifen auf Funktionen während des Surfens auf Seite 81 Fehlerbehebung bei Kommunikationsproblemen auf Seite 83 Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen Wenn Sie Stichwörter in Suchmaschinen wie Google, Yahoo!, Bing oder Ask eingeben, werden Sicherheitssymbole neben den Sites angezeigt, die auf der Suchergebnisseite aufgeführt sind. Die Farbe der Menüschaltfläche entspricht der Sicherheitsbewertung der Site. Tests haben keine schwerwiegenden Probleme gefunden. Tests ergaben einige Probleme, von denen Sie wissen sollten. Die Website versuchte beispielsweise Änderungen an den Standard-Browsereinstellungen der Tester vorzunehmen, zeigte Pop-Ups an oder verschickte eine signifikante Menge an Non-Spam- s an Tester. Tests ergaben einige ernst zu nehmende Probleme, die Sie vor dem Zugriff auf die Site sorgfältig beachten müssen. Die Website sendete beispielsweise Spam- s an die Tester oder kombinierte Adware mit einem Download. Eine hat diese Site blockiert. Diese Site wurde noch nicht bewertet. Site-Bericht während der Suche anzeigen auf Seite 82 Site-Berichte für Details Im Site-Bericht einer Website können Sie sich Details zu bestimmten Bedrohungen anzeigen lassen. Site-Berichte werden vom Server für die McAfee GTI-Bewertungen bereitgestellt und enthalten die folgenden Informationen. McAfee Endpoint Security 10 Produkthandbuch 79

80 5 Verwenden von Web Control Informationen zu Web Control Funktionen Dieses Element... Überblick Zeigt Folgendes an... Die Gesamtbewertung der Website, erstellt auf Grundlage dieser Tests: Auswertung der - und Download-Praktiken für eine Website mithilfe von Techniken zur Erfassung und Analyse von Daten. Untersuchung der Website selbst, um festzustellen, ob sie störende Praktiken wie übermäßige Pop-Ups verwendet oder Aufforderungen zum Wechseln der Homepage sendet. Analyse der Online-Zugehörigkeiten, um festzustellen, ob die Website mit anderen verdächtigen Sites verknüpft ist. Kombination der McAfee-Überprüfung verdächtiger Sites mit dem Feedback von unseren Threat Intelligence Services. Online-Zugehörigkeiten Wie aggressiv von der Site versucht wird, Sie auf andere Sites umzuleiten, die McAfee mit einer roten Bewertung gekennzeichnet hat. Verdächtige Sites sind oft mit anderen verdächtigen Sites verknüpft. Der wesentliche Zweck von solchen Zubringer -Sites besteht darin, Sie zu dem Besuch der verdächtigen Site zu verleiten. Eine Site kann beispielsweise eine rote Bewertung erhalten, wenn sie zu aggressiv mit anderen roten Sites verknüpft ist. In diesem Fall wird die Site von Web Control als Rot aufgrund von Verknüpfungenbewertet. Web-Spam-Tests Download-Tests Die Gesamtbewertung für die -Praktiken einer Website, basierend auf den Testergebnissen. McAfee bewertet Sites anhand der Menge an s, die wir nach der Eingabe einer Adresse auf der Site erhalten, und der Höhe des Spam-Gehalts der s. Wenn eine dieser Messungen zu einem Wert führt, der höher als akzeptabel ist, bewertet McAfee die Site gelb. Wenn beide Messwerte hoch sind oder einer der Messwerte sehr hoch ausfällt, bewertet McAfee die Site rot. Die Gesamtbewertung der Auswirkung, die die herunterladbare Software einer Site auf unseren Test-Computer hatte, basierend auf den Testergebnissen. Rote Bewertungen ordnet McAfee Sites mit vireninfizierten Downloads zu oder die sachfremde Software hinzufügen, die viele Benutzer als Adware oder Spyware empfinden. Für die Bewertung werden auch die Netzwerk-Server berücksichtigt, die von einem heruntergeladenen Programm bei der Ausführung kontaktiert werden, sowie alle Modifikationen an den Browser-Einstellungen oder den Registrierungsdateien eines Computers. Site-Bericht während der Suche anzeigen auf Seite 82 Site-Berichte anzeigen auf Seite 82 So werden Sicherheitsbewertungen kompiliert Ein McAfee-Team entwickelt Sicherheitsbewertungen anhand von Kriterien für die einzelnen Websites und wertet die Ergebnisse aus, um häufig auftretende Bedrohungen zu erkennen. Automatisierte Tests kompilieren die Sicherheitsbewertung für eine Website, indem sie: heruntergeladene Dateien auf Viren und potenziell unerwünschte Programme prüfen, die mit dem Download gebündelt sind. Kontaktdaten in Anmeldeformulare eingeben und auf nachfolgenden Spam beziehungsweise auf eine hohe Menge an Non-Spam- s achten, die von der Site oder ihren Partnern geschickt wurden. 80 McAfee Endpoint Security 10 Produkthandbuch

81 Verwenden von Web Control Zugreifen auf Web Control-Funktionen 5 Auf eine exzessive Anzahl an Pop-Up-Fenstern prüfen. auf Versuche der Site prüfen, die Schwachstellen des Browsers auszunutzen. auf betrügerische Praktiken der Site prüfen. Das Team fasst die Testergebnisse zu einem Sicherheitsbericht zusammen, der auch Folgendes enthält: Durch Site-Eigentümer eingereichtes Feedback, das Beschreibungen der von der Site verwendeten Sicherheitsmaßnahmen sowie Antworten auf Benutzer-Feedback zur Site enthalten kann Von den Site-Benutzern eingesendetes Feedback, das Berichte zu Phishing-Scams sowie Informationen zu schlechten Einkaufserfahrungen enthalten kann. Zusätzliche Analyse durch McAfee-Experten. Der McAfee GTI-Server speichert Site-Bewertungen und Berichte. Zugreifen auf Web Control-Funktionen Greifen Sie auf Web Control-Funktionen im Browser zu. Aufgaben Zugeifen auf Funktionen während des Surfens auf Seite 81 Greifen Sie auf Web Control-Funktionen mit der Schaltfläche im Browser zu. Die Funktionsweise der Schaltfläche unterscheidet sich je nach Browser. Site-Bericht während der Suche anzeigen auf Seite 82 Das Sicherheitssymbol auf einer Seite mit Suchergebnissen zeigt weitere Informationen zu einer Site an. Site-Berichte anzeigen auf Seite 82 Sie erhalten weitere Informationen zur Sicherheitsbewertung einer Site im Site-Bericht. Fehlerbehebung bei Kommunikationsproblemen auf Seite 83 Führen Sie auf dem Client-Computer Tests im Browser aus, um die Ursache für Kommunikationsprobleme mit dem McAfee GTI-Sicherheitsbewertungs-Server zu ermitteln. Zugeifen auf Funktionen während des Surfens Greifen Sie auf Web Control-Funktionen mit der Schaltfläche im Browser zu. Die Funktionsweise der Schaltfläche unterscheidet sich je nach Browser. Internet Explorer und Firefox Halten Sie den Mauszeiger über diese Schaltfläche, um eine Sprechblase mit einer Zusammenfassung des Sicherheitsberichts für die Site anzuzeigen. Klicken Sie auf die Schaltfläche, um einen ausführlichen Sicherheitsbericht anzuzeigen. Klicken Sie auf die Schaltfläche neben dem Symbol, um ein Menü der Funktionen anzuzeigen. Chrome Klicken Sie auf die Schaltfläche, um ein Menü der Funktionen anzuzeigen. In Chrome ist das Anzeigen von Sprechblasen über die Menüschaltfläche nicht möglich. Sie sind nur von Suchergebnisseiten aus verfügbar. McAfee Endpoint Security 10 Produkthandbuch 81

82 5 Verwenden von Web Control Zugreifen auf Web Control-Funktionen Vorgehensweise 1 Wählen Sie im Menü die Optionen aus. Option Für folgende Aktion... Hinweise Site-Bericht anzeigen Anzeigen des Sicherheitsberichts für die aktuelle Site. Sie können auch in der Sprechblase der Site auf Site-Bericht lesen klicken. Nur verfügbar, wenn Web Control aktiviert ist. Sprechblase anzeigen Anzeigen der Sprechblase für die aktuelle Site. Nur verfügbar, wenn Web Control aktiviert ist und nicht in Chrome verfügbar. 2 Wenn die Schaltfläche für Kommunikationsfehler eingeblendet wird, zeigen Sie die Sprechblase für die Site an, und klicken Sie auf Fehler beheben. Auf der Seite für den Verbindungsstatus wird die mögliche Ursache des Kommunikationsfehlers angezeigt. Web Control-Schaltfläche zu Bedrohungsidentifizierung während des Surfens auf Seite 78 Site-Bericht während der Suche anzeigen Das Sicherheitssymbol auf einer Seite mit Suchergebnissen zeigt weitere Informationen zu einer Site an. Vorgehensweise 1 Halten Sie den Mauszeiger über das Sicherheitssymbol. Eine Sprechblase mit einer Zusammenfassung des Sicherheitsberichts für die Site wird angezeigt. 2 Klicken Sie in der Sprechblase der Site auf Site-Bericht lesen, um einen detaillierten Sicherheitsbericht in einem neuen Browser-Fenster zu öffnen. Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen auf Seite 79 Site-Berichte für Details auf Seite 79 Site-Berichte anzeigen Sie erhalten weitere Informationen zur Sicherheitsbewertung einer Site im Site-Bericht. Vorgehensweise Zeigt den Bericht für eine Site an. Ort Website Suchergebnisseite Vorgehensweise Wählen Sie im Web Control-Menü Site-Bericht anzeigen. Klicken Sie auf die Sprechblase. Klicken Sie in der Sprechblase der Site auf Site-Bericht lesen. Klicken Sie auf das Sicherheitssymbol und folgen Sie dem Webseiten-Link. Site-Berichte für Details auf Seite McAfee Endpoint Security 10 Produkthandbuch

83 Verwenden von Web Control Verwalten von Web Control 5 Fehlerbehebung bei Kommunikationsproblemen Führen Sie auf dem Client-Computer Tests im Browser aus, um die Ursache für Kommunikationsprobleme mit dem McAfee GTI-Sicherheitsbewertungs-Server zu ermitteln. Eine orangefarbene Schaltfläche in der rechten oberen Ecke des Browsers weist auf Kommunikationsprobleme mit dem McAfee GTI-Server hin. Fehlerbehebung für Kommunikationsprobleme ist in Chrome nicht verfügbar. Verwenden Sie zum Ausführen dieser Tests Internet Explorer oder Firefox. Vorgehensweise 1 Halten Sie den Mauszeiger im Internet Explorer oder Firefox über die orangefarbene Schaltfläche, um die Sprechblase anzuzeigen. 2 Klicken Sie auf Fehlerbehebung, um einige Tests durchzuführen und die Ergebnisse anzuzeigen. Nach Abschluss der Tests zeigt eine Verbindungsstatus-Seite den Grund für den Kommunikationsfehler an und bietet mögliche Lösungswege. Test Prüft auf... Ein negativer Test weist darauf hin, dass... Internetzugriff Verfügbarkeit des McAfee GTI-Servers Verfügt Ihr Browser über Internetzugriff? Ist der McAfee GTI-Server nicht erreichbar? Ihr Computer kann nicht auf das Internet zugreifen. Der Fehler könnte darauf hinweisen, dass Ihre Netzwerkverbindung unterbrochen ist oder die Proxy-Einstellungen falsch konfiguriert sind. Wenden Sie sich an Ihren Administrator. Die McAfee GTI-Server sind nicht erreichbar. 3 Überprüfen Sie die Ergebnisse, wenn diese angezeigt werden, und folgen Sie den Anweisungen, um das Problem zu beheben. 4 Testen Sie die Verbindung erneut, indem Sie auf Tests wiederholen klicken. Mit der Schaltfläche Tests wiederholen können Sie bei einer geöffneten Seite überprüfen, ob der Fehler weiter besteht oder behoben wurde. Web Control-Schaltfläche zu Bedrohungsidentifizierung während des Surfens auf Seite 78 Verwalten von Web Control Als Administrator können Sie Web Control-Einstellungen festlegen, um den Schutz zu aktivieren und anzupassen, Sites basierend auf Webkategorien blockieren und Protokollierung konfigurieren. Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee epo, McAfee epo Cloud oder dem SecurityCenter Änderungen von der Einstellungen-Seite überschreiben. Konfigurieren von Web Control-Optionen auf Seite 84 Angeben von Bewertungsaktionen und Blockieren des Site-Zugriffs basierend auf der Webkategorie auf Seite 87 McAfee Endpoint Security 10 Produkthandbuch 83

84 5 Verwenden von Web Control Verwalten von Web Control Konfigurieren von Web Control-Optionen Sie können vom Endpoint Security Client aus Web Control aktivieren und Optionen konfigurieren. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf der Status-Hauptseite auf Web Control. Oder wählen Sie im Menü Aktion Control. Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Web 3 Klicken Sie auf Erweiterte anzeigen. 4 Klicken Sie auf Optionen. 5 Wählen Sie Web Control aktivieren, um Web Control zu aktivieren und die Optionen zu ändern. Ziel Vorgehensweise Hinweise Blenden Sie die Symbolleiste von Web Control im Browser aus, ohne den Schutz zu deaktivieren. Verfolgen Sie Browser-Ereignisse für die Berichterstellung. Blockieren Sie unbekannte URLs oder lassen Sie eine Warnung anzeigen. Scannen Sie Dateien vor dem Download. Blockieren Sie die Anzeige riskanter Websites in Suchergebnissen. Wählen Sie Symbolleiste im Client-Browser ausblenden. Konfigurieren Sie Einstellungen unter Ereignisprotokoll. Wählen Sie unter Erzwingung von Aktionen die Aktion (Blockieren, Zulassen oder Warnen) für Sites aus, die noch nicht von McAfee GTI überprüft wurden. Wählen Sie Datei-Scan bei Datei-Downloads aktivieren, und wählen Sie dann die McAfee GTI-Risikostufe für die Blockierung. Wählen Sie unter Sichere Suche Sichere Suche aktivieren und anschließend die Suchmaschine aus, und legen Sie dann fest, ob Sie Links für riskante Sites blockieren möchten. Verwenden Sie diese Einstellung, um Kompatibilitätsprobleme mit Drittanbieterprodukten zu lösen. Konfigurieren Sie Web Control-Ereignisse, die von Client-Systemen an den Management-Server für Abfragen und Berichte gesendet werden. Die sichere Suche filtert die bösartigen Websites in den Suchergebnissen anhand ihrer Sicherheitsbewertungen. Web Control nutzt Yahoo als Standard-Suchmaschine. Wenn Sie die Standard-Suchmaschine ändern, starten Sie den Browser neu, damit die Änderungen wirksam werden. 84 McAfee Endpoint Security 10 Produkthandbuch

85 Verwenden von Web Control Verwalten von Web Control 5 6 Konfigurieren Sie andere Optionen nach Bedarf. 7 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Wie Datei-Downloads gescannt werden auf Seite 86 Anmelden als Administrator auf Seite 24 McAfee Endpoint Security 10 Produkthandbuch 85

86 5 Verwenden von Web Control Verwalten von Web Control Wie Datei-Downloads gescannt werden Web Control sendet Anfragen für Datei-Downloads an Threat Prevention, damit sie vor dem Herunterladen gescannt werden. 86 McAfee Endpoint Security 10 Produkthandbuch

87 Verwenden von Web Control Verwalten von Web Control 5 Angeben von Bewertungsaktionen und Blockieren des Site- Zugriffs basierend auf der Webkategorie Konfigurieren Sie Einstellungen für Inhaltsaktionen-Richtlinien, um die Aktionen für Sites und Datei-Downloads basierend auf den Sicherheitsbewertungen festzulegen. Optional können Sie festlegen, ob Sites in der jeweiligen Webkategorie blockiert oder zugelassen werden sollen. Bevor Sie beginnen Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Web Control wendet die Bewertungsaktionen auf die Sites in den nicht blockierten Kategorien an wie im Abschnitt Webkategorie-Blockierung unter Erweitert festgelegt. Mithilfe der Einstellungen unter Erzwingungsmeldungen können Sie die angezeigte Meldung für Sites und Datei-Downloads anpassen, je nachdem, ob sie blockiert sind oder eine Warnung dafür ausgegeben wird, oder ob es sich um blockierte Phishing-Seiten handelt. Vorgehensweise Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf? klicken. 1 Öffnen Sie den Endpoint Security Client. 2 Klicken Sie auf der Status-Hauptseite auf Web Control. Oder wählen Sie im Menü Aktion Control. Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Web 3 Klicken Sie auf Erweiterte anzeigen. 4 Klicken Sie auf Inhaltsaktionen. 5 Aktivieren oder deaktivieren Sie unter Webkategorie-Blockierung für jede Webkategorie die Option Blockieren. Für Sites in den nicht blockierten Kategorien wendet Web Control außerdem die Bewertungsaktionen an. 6 Legen Sie unter Bewertungsaktionen die anzuwendenden Aktionen für Sites und Datei-Downloads basierend auf den von McAfee definierten Sicherheitsbewertungen fest. Diese Aktionen gelten auch für Sites, die nicht basierend auf Webkategorie-Blockierung blockiert sind. 7 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen. Verwenden von Webkategorien zur Zugriffssteuerung auf Seite 87 Verwenden von Sicherheitsbewertungen zum Kontrollieren des Zugriffs auf Seite 88 Anmelden als Administrator auf Seite 24 Verwenden von Webkategorien zur Zugriffssteuerung Webkategorien ermöglichen Ihnen die Steuerung des Zugriffs auf Sites basierend auf Kategorien, die von McAfee festgelegt werden. Sie können Optionen angeben, um den Zugriff auf Websites ausgehend von der enthaltenen Inhaltskategorie zuzulassen oder zu blockieren. Wenn Sie die Webkategorie-Blockierung in den Richtlinieneinstellungen für aktivieren, werden Website-Kategorien von der Software blockiert oder zugelassen. Zu diesen Webkategorien gehören Glücksspiel, Spiele und Instant Messaging. Die Liste der etwa 105 Webkategorien wird von McAfee definiert und gewartet. McAfee Endpoint Security 10 Produkthandbuch 87

88 5 Verwenden von Web Control Verwalten von Web Control Standardmäßig werden die meisten Webkategorien, denen McAfee eine grüne Bewertung zuweist, zugelassen, bei einer gelben Bewertung wird eine Warnung ausgegeben und Inhaltskategorien mit roten Bewertungen werden blockiert. Einige nicht bewertete Inhaltskategorien werden jedoch entsprechend McAfee GTI-Empfehlungen blockiert bzw. es wird für sie eine Warnung ausgegeben. Verwenden Sie die für Inhaltsaktionen, um Webkategorien zu blockieren oder zuzulassen. Mit den Einstellungen für Bewertungsaktionen legen Sie die Aktionen für Sites und Downloads in den nicht blockierten Kategorien fest. Wenn ein Client-Benutzer auf eine Site zugreift, überprüft die Software die Webkategorie für die Site. Wenn die Site zu einer definierten Kategorie gehört, wird der Zugriff basierend auf den Richtlinieneinstellungen für oder zugelassen. Die Software wendet die angegebenen Bewertungsaktionen für Sites und Datei-Downloads in den nicht blockierten Kategorien an. Verwenden von Sicherheitsbewertungen zum Kontrollieren des Zugriffs Konfigurieren Sie Aktionen anhand von Sicherheitsbewertungen, um zu entscheiden, ob Benutzer auf eine Site oder auf Ressourcen einer Site zugreifen können. Legen Sie für jede Site oder jeden Datei-Download fest, ob diese oder dieser je nach Bewertung zugelassen, blockiert oder eine Warnung dafür generiert werden soll. Auf diese Weise kann genauer festgelegt werden, wie Benutzer vor Dateien geschützt werden sollen, die auf Sites mit insgesamt grüner Bewertung eine Bedrohung darstellen können. 88 McAfee Endpoint Security 10 Produkthandbuch

89 6 Client-Schnittstellenreferenz Die Hilfethemen der Referenz für die Benutzeroberfläche bieten eine kontextbezogene Hilfe für Seiten auf der Client-Benutzeroberfläche. Inhalt Seite Ereignisprotokoll Seite Quarantäne Common Optionen Common Tasks Threat Prevention Zugriffsschutz Threat Prevention Exploit-Schutz Threat Prevention On-Access Scan Threat Prevention On-Demand-Scan Scan-Speicherorte McAfee GTI Aktionen Hinzufügen oder Bearbeiten von Ausschlüssen Threat Prevention Optionen Rollback von AMCore Content Seite Firewall Optionen Seite Firewall Regeln Web Control Optionen Web Control Inhaltsaktionen Seite Ereignisprotokoll Zeigt die Aktivität und Debug-Ereignisse im Ereignisprotokoll an. Option Anzahl der Ereignisse Protokollordner anzeigen Alle Ereignisse anzeigen Beschreibung Zeigt alle Ereignisse an, die von Endpoint Security in den vergangenen 30 Tagen im System protokolliert wurden. Aktualisiert die Ereignisprotokoll -Anzeige mit neuen Ereignissen. Öffnet den Ordner, der die Protokolldateien in Windows Explorer enthält. Entfernt alle Filter. McAfee Endpoint Security 10 Produkthandbuch 89

90 6 Client-Schnittstellenreferenz Seite Ereignisprotokoll Option Nach Schweregrad filtern Beschreibung Filtert Ereignisse nach einem Schweregrad filtert: Kritisch Wichtig und höher Unwichtig und höher Warnung und höher Zeigt nur Ereignisse des Schweregrads 1 an. Zeigt nur Ereignisse des Schweregrads 1 und 2 an. Zeigt nur Ereignisse des Schweregrads 1, 2 und 3 an. Zeigt Ereignisse des Schweregrads 1, 2, 3 und 4 an. Nach Modul filtern Filtert Ereignisse nach Modul: Common Threat Prevention Firewall Web Control Zeigt nur Common-Ereignisse an. Zeigt nur Threat Prevention-Ereignisse an. Zeigt nur Firewall-Ereignisse an. Zeigt nur Web Control-Ereignisse an. Die Funktionen in der Dropdown-Liste hängen von den Funktionen ab, die im System installiert sind, wenn Sie das Ereignisprotokoll öffnen. Suche Ereignisse pro Seite Vorherige Seite Nächste Seite Seite x von x Durchsucht das Ereignisprotokoll nach einer Zeichenfolge. Legt die Anzahl der Ereignisse fest, die auf einer Seite angezeigt werden sollen. (Standardmäßig 20 Ereignisse pro Seite) Zeigt die vorherige Seite im Ereignisprotokoll an. Zeigt die nächste Seite im Ereignisprotokoll an. Wählt eine bestimmte Seite im Ereignisprotokoll aus. Geben Sie eine Zahl in das Feld Seite ein, und drücken Sie die Eingabetaste, oder klicken Sie auf Start, um zur Seite zu navigieren. Spaltenüberschrift Sortiert die Ereignisliste nach... Datum Datum, an dem das Ereignis stattfand. Funktion Funktion, für die das Ereignis protokolliert wurde. 90 McAfee Endpoint Security 10 Produkthandbuch

91 Client-Schnittstellenreferenz Seite Quarantäne 6 Spaltenüberschrift Sortiert die Ereignisliste nach... Aktion Aktion, die gegebenenfalls von Endpoint Security als Reaktion auf das Ereignis ausgeführt wurde. Die Aktion wird in den Einstellungen konfiguriert. Zugelassen Zugriff verweigert Gelöscht Fortsetzen Gesäubert Verschoben Blockiert Würde blockiert Der Zugriff auf Dateien wurde zugelassen. Der Zugriff auf die Datei wurde verhindert. Die Datei wurde automatisch gelöscht. Die Bedrohung wurde automatisch aus der Datei entfernt. Die Datei wurde in den Quarantäne-Ordner verschoben. Der Zugriff auf die Datei wurde blockiert. Eine Zugriffsschutzregel hätte den Zugriff auf die Datei blockiert, wäre die Regel erzwungen worden. Schweregrad Schweregrad des Ereignisses. Kritisch 1 Hoch 2 Gering 3 Warnung 4 Information 5 Anzeigen des Ereignisprotokolls auf Seite 21 Seite Quarantäne Verwaltet Elemente in der Quarantäne. Option Löschen Beschreibung Löscht ausgewählte Elemente aus der Quarantäne. Gelöschte Elemente können nicht wiederhergestellt werden. Wiederherstellen Stellt Elemente aus der Quarantäne wieder her. Endpoint Security stellt die Elemente im ursprünglichen Speicherort wieder her und entfernt sie aus der Quarantäne. Wenn ein Element noch immer eine gültige Bedrohung darstellt, wird es von Endpoint Security sofort zurück in die Quarantäne verschoben. Erneut scannen Scannt ausgewählte Elemente in der Quarantäne erneut. Wenn das Element keine Bedrohung mehr ist, stellt es Endpoint Security wieder in seinen ursprünglichen Speicherort her und entfernt es aus der Quarantäne. McAfee Endpoint Security 10 Produkthandbuch 91

92 6 Client-Schnittstellenreferenz Common Optionen Spaltenüberschrift Erkennungsname Typ Quarantäne-Zeit Anzahl der Objekte AMCore Content-Version Sortiert die Quarantäne-Liste nach... Name der Erkennung. Bedrohungstyp, zum Beispiel: Trojaner oder Adware. Die Zeitdauer, die das Element isoliert wurde. Die Anzahl der erkannten Objekte. Die Versionsnummer von AMCore Content, die die Bedrohung erkannt hat. Verwalten von isolierten Elementen auf Seite 39 Erkennungsnamen auf Seite 41 Common Optionen Konfiguriert Einstellungen fürendpoint Security Client-Benutzeroberfläche, Selbstschutz, Protokollierung von Aktivität und Fehlerbehebung sowie Einstellungen für den Proxy-Server. Tabelle 6-1 Abschnitt Option Beschreibung Client-Schnittstellen-Modus Vollzugriff Ermöglicht den Zugriff auf alle Funktionen. (Standard für selbstverwaltete Systeme) Standardzugriff Zeigt den Schutzstatus an und bietet Zugriff auf die meisten Funktionen, beispielsweise das Durchführen von Aktualisierungen und Scans. Für den Modus Standardzugriff ist ein Kennwort erforderlich, um auf der Seite Endpoint Security Client-Einstellungen anzuzeigen und zu ändern. Das Standardkennwort ist mcafee. (Standard für verwaltete Systeme) Client-Benutzeroberfläche sperren Erfordert ein Kennwort zum Zugriff auf Endpoint Security Client. 92 McAfee Endpoint Security 10 Produkthandbuch

93 Client-Schnittstellenreferenz Common Optionen 6 Tabelle 6-1 (Fortsetzung) Abschnitt Option Beschreibung Administratorkennwort festlegen Legt bei Standardzugriff und Client-Benutzeroberfläche sperren das Administratorkennwort zum Zugriff auf alle Funktionen der Endpoint Security Client-Benutzeroberfläche fest. Kennwort Kennwort bestätigen Legt das Administratorkennwort fest. Bestätigt das Administratorkennwort. Deinstallation Kennwort zum Deinstallieren des Clients erforderlich machen Erfordert ein Kennwort für die Deinstallation von Endpoint Security Client und legt das Kennwort fest. (Standardmäßig deaktiviert für selbstverwaltete Systeme) Das Standardkennwort ist mcafee. Kennwort Kennwort bestätigen Legt das Deinstallationskennwort fest. Legt das Deinstallationskennwort fest. Tabelle 6-2 Erweiterte Optionen Abschnitt Option Beschreibung Sprache der Client-Benutzeroberfläche Automatisch Sprache Wählt automatisch die für Text in der Endpoint Security Client-Benutzeroberfläche zu verwendende Sprache basierend auf der Sprache des Client-Systems. Legt die für Text in der Endpoint Security Client-Benutzeroberfläche zu verwendende Sprache fest. Bei verwalteten Systemen wirken sich am Client-System vorgenommene Änderungen auf die Endpoint Security Client-Benutzeroberfläche aus. Die Sprachänderung wird nach dem Neustart von Endpoint Security Client übernommen. Die Client-Sprache hat keine Auswirkung auf die Protokolldateien. Protokolldateien werden immer in der von der Ländereinstellung des Systems festgelegten Sprache angezeigt. Selbstschutz Selbstschutz aktivieren Schützt Endpoint Security-Systemressourcen vor schädlichen Aktivitäten. Aktion Legt die Aktion fest, die beim Auftreten schädlicher Aktivitäten ausgeführt werden soll: Blockieren und melden: Blockiert und meldet an McAfee epo. (Standard) Nur blockieren: Blockiert, aber meldet nicht an McAfee epo. Nur melden: Meldet an McAfee epo, blockiert die Aktion aber nicht. McAfee Endpoint Security 10 Produkthandbuch 93

94 6 Client-Schnittstellenreferenz Common Optionen Tabelle 6-2 Erweiterte Optionen (Fortsetzung) Abschnitt Option Beschreibung Dateien und Ordner Registrierung Prozesse Diese Prozesse ausschließen Verhindert, dass McAfee-Systemdateien und -ordner geändert oder gelöscht werden. Verhindert, dass McAfee-Registrierungsschlüssel und -werte geändert oder gelöscht werden. Verhindert, dass McAfee-Prozesse angehalten werden. Erlaubt den Zugriff auf die angegebenen Prozesse. Hinzufügen Löschen Fügt der Ausschlussliste einen Prozess hinzu. Klicken Sie auf Hinzufügen, und geben Sie den genauen Ressourcennamen an, z. B. avtask.exe. Löscht einen Prozess aus der Ausschlussliste. Wählen Sie die gewünschte Ressource aus, und klicken Sie dann auf Löschen. Client-Protokollierung Speicherort der Protokolldateien Gibt den Speicherort der Protokolldateien an. Der Standardpfad lautet: <SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint \Logs Aktivitätsprotokollierung Aktivitätsprotokollierung aktivieren Größe (MB) jeder Aktivitätsprotokolldatei beschränken Geben Sie den Speicherort ein, oder klicken Sie auf Durchsuchen, um zum Speicherort zu navigieren. Aktiviert die Protokollierung aller Endpoint Security-Aktivitäten. Beschränkt die Größe der Aktivitätsprotokoll auf die festgelegte Maximalgröße (zwischen 1 MB und 999 MB). Die Standardeinstellung ist 10 MB. Deaktivieren Sie diese Option, damit Protokolldateien auf eine beliebige Größe wachsen können. Wenn die Protokolldatei die festgelegte Dateigröße überschreitet, werden die ältesten 25 Prozent der Einträge in der Datei gelöscht. Protokollierung der Fehlerbehebung Das Aktivieren der Protokollierung der Fehlerbehebung für ein Modul aktiviert diese auch für die Common-Modulfunktionen wie den Selbstschutz. 94 McAfee Endpoint Security 10 Produkthandbuch

95 Client-Schnittstellenreferenz Common Optionen 6 Tabelle 6-2 Erweiterte Optionen (Fortsetzung) Abschnitt Option Beschreibung Für Threat Prevention aktivieren Aktiviert eine ausführliche Protokollierung für Threat Prevention und individuelle Technologien: Für Zugriffsschutz aktivieren Für Exploit-Schutz aktivieren Für On-Access-Scanner aktivieren Für On-Demand Scanner aktivieren Schreibt in AccessProtection_Debug.log Schreibt in ExploitPrevention_Debug.log Schreibt in OnAccessScan_Debug.log Schreibt in OnDemandScan_Debug.log Das Aktivieren der Protokollierung der Fehlerbehebung für eine Threat Prevention-Technologie aktiviert diese auch für Endpoint Security Client. Für Firewall aktivieren Für Web Control aktivieren Größe (MB) jeder Debug-Protokolldatei beschränken Aktiviert eine ausführliche Protokollierung von Firewall-Aktivitäten. Aktiviert eine ausführliche Protokollierung von Web Control-Aktivitäten. Beschränkt die Größe der Debug-Protokolldatei auf die festgelegte Maximalgröße (zwischen 1 MB und 999 MB). Die Standardeinstellung ist 50 MB. Deaktivieren Sie diese Option, damit Protokolldateien auf eine beliebige Größe wachsen können. Wenn die Protokolldatei die festgelegte Dateigröße überschreitet, werden die ältesten 25 Prozent der Einträge in der Datei gelöscht. Ereignisprotokollierung Ereignisse an McAfee epo senden Sendet alle im Ereignisprotokoll protokollierten Ereignisse vom Endpoint Security Client zu McAfee epo. Diese Option ist nur auf von McAfee epound von McAfee epo Cloud verwalteten Systemen verfügbar. Ereignisse in Windows-Anwendungsprotokoll schreiben Sendet alle im Ereignisprotokoll protokollierten Ereignisse vom Endpoint Security Client zum Windows-Ereignisprotokoll. Das Windows-Anwendungsprotokoll kann unter Ereignisanzeige Windows-Protokolle Anwendungaufgerufen werden. McAfee Endpoint Security 10 Produkthandbuch 95

96 6 Client-Schnittstellenreferenz Common Optionen Tabelle 6-2 Erweiterte Optionen (Fortsetzung) Abschnitt Option Beschreibung Schweregrade Gibt den Schweregrad von Ereignissen an, die auf dem Endpoint Security Client in das Ereignisprotokoll protokolliert werden sollen: Keine Sendet keine Warnungen Nur kritische Sendet nur Warnstufe 1 Wichtige und kritische Unwichtige, wichtige und kritische Sendet Warnstufen 1 und 2 Sendet Warnstufen 1 3 Alle außer Informationen Sendet Warnstufen 1 4 Alle Sendet Warnstufen Kritisch 2 Hoch 3 Gering 4 Warnung 5 Information Zu protokollierende Threat Prevention-Ereignisse Gibt für jede Funktion den Schweregrad von Ereignissen an, die an Threat Prevention gesendet werden sollen: Zugriffsschutz Exploit-Schutz On-Access-Scanner On-Demand-Scanner Zu protokollierende Firewall-Ereignisse Zu protokollierendeweb Control-Ereignisse Gibt den Schweregrad von Firewall-Ereignissen an, die protokolliert werden sollen. Gibt den Schweregrad von Web Control-Ereignissen an, die protokolliert werden sollen. Proxy-Server für McAfee GTI Kein Proxy-Server Gibt an, dass die verwalteten Systeme McAfee GTI-Reputationsinformationen direkt über das Internet abrufen, nicht über einen Proxy-Server. (Standard) System-Proxy-Einstellungen verwenden Gibt an, dass die Proxy-Einstellungen des Client-Systems verwendet und optional HTTP-Proxy-Authentifizierung aktiviert werden soll. 96 McAfee Endpoint Security 10 Produkthandbuch

97 Client-Schnittstellenreferenz Common Optionen 6 Tabelle 6-2 Erweiterte Optionen (Fortsetzung) Abschnitt Option Beschreibung Proxy-Server konfigurieren Passt die Proxy-Einstellungen an. Adresse: Gibt die IP-Adresse oder den vollständig qualifizierten Domänen-Namen des HTTP-Proxy-Servers an. Port: Begrenzt den Zugriff über den angegebenen Port. Diese Adressen ausschließen: Verwenden Sie den HTTP-Proxy-Server nicht für Websites oder IP-Adressen, die mit den festgelegten Angaben beginnen. Klicken Sie auf Hinzufügen, und geben Sie dann den auszuschließenden Adressnamen ein. HTTP-Proxy-Authentifizierung aktivieren Gibt an, dass eine Authentifizierung für den HTTP-Proxy-Server erforderlich ist. (Diese Option ist nur verfügbar, wenn Sie einen HTTP-Proxy-Server gewählt haben.) Geben Sie die Anmeldeinformationen des HTTP-Proxys ein: Benutzername: Gibt das Benutzerkonto an, das Berechtigungen für den HTTP-Proxy-Server besitzt. Kennwort: Gibt das Kennwort für den Benutzernamen an. Kennwort bestätigen: Bestätigt das angegebene Kennwort. Standard-Client-Aktualisierung Schaltfläche Jetzt aktualisieren im Client aktivieren Aktiviert die -Schaltfläche auf der Hauptseite des Endpoint Security Client. Klicken Sie auf diese Schaltfläche, um manuell nach Aktualisierungen für Content-Dateien und Software-Komponenten zu suchen und auf den Client-System herunterladen. Sie können diese Einstellungen nur auf selbstverwalteten und von McAfee epo verwalteten Systemen konfigurieren. McAfee Endpoint Security 10 Produkthandbuch 97

98 6 Client-Schnittstellenreferenz Common Optionen Tabelle 6-2 Erweiterte Optionen (Fortsetzung) Abschnitt Option Beschreibung Aktualisierende Elemente Legt die Elemente fest, die beim Klicken auf die Schaltfläche werden. Sicherheitsinhalte, HotFixes und Patches Sicherheitsinhalte HotFixes und Patches aktualisiert Aktualisiert sämtlichen Sicherheitsinhalt (einschließlich Modul, AMCore und Exploit-Schutz-Content-Datei) sowie alle HotFixes und Patches auf die neuesten Versionen. Aktualisiert nur Sicherheitsinhalte (Standard). Aktualisiert nur HotFixes und Patches. Quellsites für Aktualisierungen Konfiguriert Sites, von denen Aktualisierungen für Content-Dateien und Software-Komponenten abgerufen werden. Sie können diese Einstellungen nur auf selbstverwalteten Systemen konfigurieren. Hinzufügen Importieren Löschen Fügt eine Site zur Quellsite-Liste hinzu. Weitere Informationen finden Sie unter Quellsites hinzufügen oder bearbeiten auf Seite 99. Importiert eine Liste von Sites aus einer ML-Datei. Löscht die ausgewählte Site aus der Quellsite-Liste. Gibt Elemente an, die in der Liste verschoben werden können. Wählen Sie Elemente aus, und verschieben Sie sie durch Ziehen und Ablegen an ihren neuen Standort. Eine blaue Linie erscheint zwischen Elementen, wo Sie die gezogenen Elemente ablegen können. Sie können die zwei Standard-Sicherungs-Quellsite (NAIFtp und NAIHttp) aktivieren und deaktivieren, aber Sie können Sie nicht ändern, löschen oder in der Liste verschieben. Proxy-Server für Quellsites Kein Proxy-Server Gibt an, dass die verwalteten Systeme McAfee GTI-Reputationsinformationen direkt über das Internet abrufen, nicht über einen Proxy-Server. (Standard) 98 McAfee Endpoint Security 10 Produkthandbuch

99 Client-Schnittstellenreferenz Common Optionen 6 Tabelle 6-2 Erweiterte Optionen (Fortsetzung) Abschnitt Option Beschreibung System-Proxy-Einstellungen verwenden Proxy-Server konfigurieren Gibt an, dass die Proxy-Einstellungen des Client-Systems verwendet und optional HTTPoder FTP-Proxy-Authentifizierung aktiviert werden soll. Passt die Proxy-Einstellungen an. HTTP-/FTP-Adresse Legt die DNS-, IPv4- oder IPv6-Adresse des HTTP- oder FTP-Proxy-Servers. Port: Begrenzt den Zugriff über den angegebenen Port. Diese Adressen ausschließen Legt die Adressen für Endpoint Security Client-Systeme, die der Proxy-Server nicht für das Abrufen von McAfee GTI-Bewertungen verwenden. Klicken Sie auf Hinzufügen, und geben Sie dann den Erkennungsnamen ein. HTTP-/ FTP-Proxy-Authentifizierung aktivieren Gibt an, dass eine Authentifizierung für den HTTP- oder FTP-Proxy-Server erforderlich ist. (Diese Option ist nur verfügbar, wenn Sie einen HTTP- oder FTP-Proxy-Server gewählt haben.) Geben Sie die Proxy-Anmeldeinformationen ein: Benutzername: Gibt das Benutzerkonto an, das Berechtigungen für den Proxy-Server besitzt. Kennwort: Gibt das Kennwort für den angegebenen Benutzernamen an. Kennwort bestätigen: Bestätigt das angegebene Kennwort. Schützen von Endpoint Security-Ressourcen auf Seite 28 Konfigurieren von Protokollierungseinstellungen auf Seite 29 Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit auf Seite 29 Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI auf Seite 30 Konfigurieren des auf Seite 31 Konfigurieren von Quellsites für Client-Aktualisierungen auf Seite 32 Quellsites hinzufügen oder bearbeiten auf Seite 99 Quellsites hinzufügen oder bearbeiten Fügt eine Site in der Quellsite-Liste hinzu oder bearbeitet diese. Tabelle 6-3 Optionsbeschreibungen Option Name Aktivieren Dateien abrufen von Beschreibung Gibt den Namen der Quellsite an, die die Aktualisierungsdateien enthält. Aktiviert oder deaktiviert die Verwendung der Quellsite für das Herunterladen von Aktualisierungsdateien. Legt fest, woher die Dateien abgerufen werden sollen. McAfee Endpoint Security 10 Produkthandbuch 99

100 6 Client-Schnittstellenreferenz Common Optionen Tabelle 6-3 Optionsbeschreibungen (Fortsetzung) Option HTTP-Repository Beschreibung Ruft die Dateien von dem festgelegten Speicherort für das HTTP-Repository ab. HTTP bietet Aktualisierungen ohne Berücksichtigung der Netzwerksicherheit, unterstützt jedoch eine größere Menge gleichzeitiger Verbindungen als FTP. URL Authentifizierung verwenden DNS-Name: Zeigt an, dass die URL ein Domänenname ist. IPv4: Zeigt an, dass die URL eine IPv4-Adresse ist. IPv6: Zeigt an, dass die URL eine IPv6-Adresse ist. Legt die Adresse des HTTP-Servers und des Ordners fest, in dem sich die Aktualisierungsdateien befinden. Port Gibt die Portnummer für den HTTP-Server an. Bei Auswahl wird Authentifizierung mit anschließend festgelegten Anmeldeinformationen für den Zugriff auf den Ordner der Aktualisierungsdatei verwendet. Benutzername: Gibt das Benutzerkonto an, das Leseberechtigungen für den Ordner der Aktualisierungsdatei hat. Kennwort: Gibt das Kennwort für den angegebenen Benutzernamen an. Kennwort bestätigen: Bestätigt das angegebene Kennwort. 100 McAfee Endpoint Security 10 Produkthandbuch

101 Client-Schnittstellenreferenz Common Optionen 6 Tabelle 6-3 Optionsbeschreibungen (Fortsetzung) Option FTP-Repository Beschreibung Ruft die Dateien von dem festgelegten Speicherort für das FTP-Repository ab. Eine FTP-Website bietet Flexibilität, da keine Netzwerksicherheitsberechtigungen berücksichtigt werden müssen. Da FTP weniger anfällig für Angriffe durch unerwünschten Code als HTTP ist, bietet es möglicherweise eine bessere Toleranz. URL Anonyme Anmeldung verwenden DNS-Name: Zeigt an, dass die URL ein Domänenname ist. IPv4: Zeigt an, dass die URL eine IPv4-Adresse ist. IPv6: Zeigt an, dass die URL eine IPv6-Adresse ist. ftp:// Legt die Adresse des FTP-Servers und des Ordners fest, in dem sich die Aktualisierungsdateien befinden. Port Gibt die Portnummer für den FTP-Server an. Bei Auswahl wird anonymer FTP für den Zugriff auf den Ordner der Aktualisierungsdatei verwendet. Heben Sie die Auswahl der Option auf, um Anmeldeinformationen für den Zugriff festzulegen. Benutzername: Gibt das Benutzerkonto an, das Leseberechtigungen für den Ordner der Aktualisierungsdatei hat. Kennwort: Gibt das Kennwort für den angegebenen Benutzernamen an. Kennwort bestätigen: Bestätigt das angegebene Kennwort. UNC-Pfad oder Lokaler Pfad Ruft Dateien von einem UNC-Pfad oder lokalen Pfad ab. UNC-Websites lassen sich äußerst schnell und einfach einrichten. Domänenübergreifende UNC-Aktualisierungen erfordern Sicherheitsberechtigungen für jede Domäne, was die Konfiguration des Aktualisierungsprozesses etwas komplexer macht. Pfad Angemeldetes Konto verwenden UNC-Pfad: Gibt den Pfad in UNC-Schreibweise an (\\servername \path\). Lokaler Pfad: Gibt den Pfad eines Ordners auf einem lokalen oder Netzwerklaufwerk an. Greift auf die Aktualisierungsdatei mit dem angemeldeten Konto zu. Dieses Konto muss Leseberechtigungen für die Ordner mit den Aktualisierungsdateien haben. Heben Sie die Auswahl der Option auf, um Anmeldeinformationen für den Zugriff festzulegen. Domäne: Gibt die Domäne für das Benutzerkonto an. Benutzername: Gibt das Benutzerkonto an, das Leseberechtigungen für den Ordner der Aktualisierungsdatei hat. Kennwort: Gibt das Kennwort für den angegebenen Benutzernamen an. Kennwort bestätigen: Bestätigt das angegebene Kennwort. McAfee Endpoint Security 10 Produkthandbuch 101

102 6 Client-Schnittstellenreferenz Common Tasks Common Tasks Plant Endpoint Security Client-Tasks. Abschnitt Option Tasks Beschreibung Zeigt die derzeit definierten und geplanten Tasks an. Doppelklicken Sie auf die Zeile mit den Tasks, um einen vorhandenen Task zu bearbeiten. Name Funktion Zeitplan Status Namen des geplanten Tasks. Modul oder Feature, mit dem der Task verknüpft ist. Wann der Task planmäßig ausgeführt wird und ob er deaktiviert ist. Status bei der letzten Ausführung des Tasks: (kein Status) Niemals ausgeführt Wird ausgeführt Wird derzeit ausgeführt oder fortgesetzt Angehalten Wurde vom Benutzer angehalten (etwas ein Scan) Verschoben Wurde vom Benutzer verschoben (etwas ein Scan) Abgeschlossen Ausführung abgeschlossen ohne Fehler Abgeschlossen (Fehler) Ausführung abgeschlossen mit Fehlern Fehlgeschlagen Nicht erfolgreich abgeschlossen Zuletzt ausgeführt Das Datum und der Zeitpunkt, zu dem der Task zuletzt ausgeführt wurde. Jetzt ausführen Öffnet das Dialogfeld, das mit dem ausgewählten Task verknüpft ist. Schnellscan Öffnet das Dialogfeld Schnellscan und startet den Scan. Vollständiger Scan Standard-Client-Aktualisierung Öffnet das Dialogfeld Vollständiger Scan und startet den Scan. Öffnet das Dialogfeld Aktualisierung und startet die Aktualisierung. Löschen Hinzufügen Löscht den ausgewählten Task. Fügt einen neuen geplanten Task hinzu. Ausführen eines vollständigen Scans oder Schnellscans auf Seite 36 Manuelles Aktualisieren von Schutz und Software auf Seite 20 Tasks Vollständigen Scanbearbeiten oder Schnellscan bearbeiten auf Seite 102 TaskStandard-Client-Aktualisierung bearbeiten auf Seite 104 Tasks Vollständigen Scanbearbeiten oder Schnellscan bearbeiten Plant und bearbeitet den Task Vollständigen Scan oder Schnellscan. Siehe Konfigurieren Sie die für den On-Demand-Scan auf Seite 55 für Informationen zum Konfigurieren der Einstellungen für Vollständiger Scan und Schnellscan. 102 McAfee Endpoint Security 10 Produkthandbuch

103 Client-Schnittstellenreferenz Common Tasks 6 Standardmäßig werden der vollständige Scan und der Schnellscan täglich um 23:59 ausgeführt zu werden. Die Zeitpläne sind deaktiviert. Tabelle 6-4 Sie können diese Einstellungen nur auf selbstverwalteten Systemen konfigurieren. Kategorie Option Beschreibung Zeitplan Zeitplan aktivieren Plant die Ausführung des Tasks zu einem bestimmten Zeitpunkt. (Standardmäßig deaktiviert) Diese Option muss ausgewählt sein, um den Task zu planen. Wiederholungen Gibt die Häufigkeit des Tasks an. Täglich Wöchentlich Monatlich Führt den Task täglich zur festgelegten Startzeit aus. Führt den Task wöchentlich aus: In den unter Häufigkeit festgelegten Wochen An den unter Ausführen an festgelegten Tagen Führt den Task monatlich zu einem der folgenden Zeitpunkte aus: Der festgelegte Tag des Monats Die festgelegten Tage der Woche: Erster, zweiter, dritter, vierter oder letzter Startzeit Legt die Zeit fest, wenn der Task gestartet wird. Einmal zu diesem Zeitpunkt ausführen Zu diesem Zeitpunkt ausführen und dann wiederholen bis Zu diesem Zeitpunkt ausführen und dann wiederholen für Führt den Task einmal zur festgelegten Startzeit aus. Führt den Task zur festgelegten Startzeit aus. Anschließend wird der Task zu jeder festgelegten Stunde/Minute bis zur angegebenen Endzeit ausgeführt. Führt den Task zur festgelegten Startzeit aus. Anschließend wird der Task zu jeder festgelegten Stunde/Minute für die angegebene Zeitdauer ausgeführt. Zeitlimit Konto Diesen Task stoppen, wenn er länger läuft als Stoppt den Task nach der festgelegten Anzahl an Stunden und Minuten. Wenn der Task vor Abschluss unterbrochen wird, wird der Task beim nächsten Start an der Stelle fortgesetzt, an der die Unterbrechung stattgefunden hat. Legt die Anmeldeinformationen für das Ausführen des Tasks fest. Wenn keine Anmeldeinformationen festgelegt wurden, wird der Task mit den Anmeldeinformationen des lokalen Systemadministratorkontos ausgeführt. Benutzername Kennwort Kennwort bestätigen Domäne Gibt das Benutzerkonto an. Gibt das Kennwort für das angegebene Benutzerkonto an. Bestätigt das Kennwort für das angegebene Benutzerkonto. Gibt die Domäne für das angegebene Benutzerkonto an. McAfee Endpoint Security 10 Produkthandbuch 103

104 6 Client-Schnittstellenreferenz Common Tasks Konfigurieren Sie die für den On-Demand-Scan auf Seite 55 Ausführen eines vollständigen Scans oder Schnellscans auf Seite 36 Planen von Tasks für Vollständiger Scan und Schnellscan auf Seite 60 TaskStandard-Client-Aktualisierung bearbeiten Der Task Standard-Client-Aktualisierung wird geplant und bearbeitet. Siehe Konfigurieren des auf Seite 31 für Informationen zum Konfigurieren der Einstellungen für die Standard-Standard-Client-Aktualisierung. Standardmäßig wird der Task Standard-Client-Aktualisierung täglich um 1:00 Uhr ausgeführt und alle vier Stunden bis 23:59 Uhr wiederholt. Tabelle 6-5 Sie können diese Einstellungen nur auf selbstverwalteten Systemen konfigurieren. Kategorie Option Beschreibung Zeitplan Zeitplan aktivieren Plant die Ausführung des Tasks zu einem bestimmten Zeitpunkt. (Standardmäßig aktiviert) Diese Option muss ausgewählt sein, um den Task zu planen. Wiederholungen Gibt die Häufigkeit des Tasks an. Täglich Wöchentlich Monatlich Führt den Task täglich zur festgelegten Startzeit aus. Führt den Task wöchentlich aus: Die unter Häufigkeit festgelegten Wochen Die unter Ausführen an festgelegten Tage Führt den Task monatlich zu einem der folgenden Zeitpunkte aus: Der festgelegte Tag des Monats Die festgelegten Tage der Woche: Erster, zweiter, dritter, vierter oder letzter Startzeit Legt die Zeit fest, wenn der Task gestartet wird. Einmal zu diesem Zeitpunkt ausführen Zu diesem Zeitpunkt ausführen und dann wiederholen bis Zu diesem Zeitpunkt ausführen und dann wiederholen für Führt den Task einmal zur festgelegten Startzeit aus. Führt den Task zur festgelegten Startzeit aus. Anschließend wird der Task zu jeder festgelegten Stunde/Minute bis zur angegebenen Endzeit ausgeführt. Führt den Task zur festgelegten Startzeit aus. Anschließend wird der Task zu jeder festgelegten Stunde/Minute für die angegebene Zeitdauer ausgeführt. Zeitlimit Diesen Task stoppen, wenn er länger läuft als Stoppt den Task nach der festgelegten Anzahl an Stunden und Minuten. Wenn der Task vor Abschluss unterbrochen wird, wird der Task beim nächsten Start an der Stelle fortgesetzt, an der die Unterbrechung stattgefunden hat. 104 McAfee Endpoint Security 10 Produkthandbuch

105 Client-Schnittstellenreferenz Threat Prevention Zugriffsschutz 6 Tabelle 6-5 (Fortsetzung) Kategorie Option Konto Beschreibung Legt die Anmeldeinformationen für das Ausführen des Tasks fest. Wenn keine Anmeldeinformationen festgelegt wurden, wird der Task mit den Anmeldeinformationen des lokalen Systemadministratorkontos ausgeführt. Benutzername Kennwort Kennwort bestätigen Domäne Gibt das Benutzerkonto an. Gibt das Kennwort für das angegebene Benutzerkonto an. Bestätigt das Kennwort für das angegebene Benutzerkonto. Gibt die Domäne für das angegebene Benutzerkonto an. Konfigurieren des auf Seite 31 Planen des Tasks Standard-Client-Aktualisierung auf Seite 33 Common Tasks auf Seite 102 Threat Prevention Zugriffsschutz Schützt die Zugriffspunkte Ihres Systems, basierend auf konfigurierte Regeln. Siehe Common Optionen auf Seite 92-Einstellungen für Protokollierungskonfiguration. Der Zugriffsschutz vergleicht eine angeforderte Aktion mit der Liste konfigurierter Regeln und handelt entsprechend der Regel. Tabelle 6-6 Abschnitt Option Beschreibung ZUGRIFFSSCHUTZ Zugriffsschutz aktivieren Aktiviert die Zugriffsschutz-Funktion. McAfee Endpoint Security 10 Produkthandbuch 105

106 6 Client-Schnittstellenreferenz Threat Prevention Zugriffsschutz Tabelle 6-7 Erweiterte Optionen Abschnitt Option Ausschlüsse Diese Prozesse für alle Regeln ausschließen Beschreibung Erlaubt den Zugriff auf die angegebenen Prozesse für alle Regeln. Hinzufügen Löschen Fügt der Ausschlussliste einen Prozess hinzu. Klicken Sie auf Hinzufügen, und geben Sie den genauen Prozessnamen an, z. B. avtask.exe. Löscht einen Prozess aus der Ausschlussliste. Wählen Sie den Prozess aus, und klicken Sie dann auf Löschen. Regeln Legt Aktionen für Zugriffsschutzregeln fest. Blockieren (nur) Melden (nur) Blockieren und Melden Blockiert Zugriffsversuche ohne Protokollierung. Warnt Zugriffsversuche ohne sie zu blockieren. Diese Einstellung ist dann nützlich, wenn die volle Auswirkung einer Regel unbekannt ist. Überwachen Sie die Protokolle und Berichte, um besser festzulegen, ob der Zugriff blockiert werden soll. Blockiert und protokolliert Zugriffsversuche. Wählen Sie in der ersten Zeile Blockieren oder Melden, um alle zu blockieren oder zu melden. Das Aufheben der Aktionen Blockieren und Melden deaktiviert die Regel. Diese Prozesse für die ausgewählte Regel ausschließen Installieren neuer CLSIDs, APPIDs und TYPELIBs Ändert die Ausschlüsse für die ausgewählte Regel. Wählen Sie eine Regel, klicken Sie auf Hinzufügen, und geben Sie einen Prozess ein, der von der ausgewählten Regel ausgeschlossen werden soll. Um einen Ausschluss zu löschen, wählen Sie ihn aus, und klicken Sie auf Löschen. Verhindert die Installation oder Registrierung neuer COM-Server. Diese Regel schützt vor Adware- und Spyware-Programmen, die sich als COM-Add-On in Internet Explorer oder in Microsoft Office-Anwendungen installieren. Fügen Sie legitime Anwendungen, die COM-Add-Ons registrieren (einschließlich häufige Anwendungen wie Macromedia Flash), zur Ausschlussliste hinzu, damit sie nicht blockiert werden. 106 McAfee Endpoint Security 10 Produkthandbuch

107 Client-Schnittstellenreferenz Threat Prevention Zugriffsschutz 6 Tabelle 6-7 Erweiterte Optionen (Fortsetzung) Abschnitt Option Deaktivieren von Registrierungseditor und Task Manager Beschreibung Schützt Registrierungseinträge in Windows und verhindert das Deaktivieren von Registrierungseditor und Task Manager. Deaktivieren Sie bei einem Virenausbruch diese Regel, um die Registrierung zu ändern, oder öffnen Sie den Task Manager, um aktive Prozesse zu beenden. Ändern von Benutzerrechten für Richtlinien Ändern der Registrierung aller Dateierweiterungen Schützt Registrierungswerte mit Windows-Sicherheitsinformationen. Diese Regel verhindert, dass durch Würmer Konten geändert werden, die Administratorrechte haben. Schützt die Registrierungsschlüssel unter "HKEY_CLASSES_ROOT", wo Dateierweiterungen registriert werden. Diese Regel verhindert, dass Malware die Dateierweiterungsregistrierungen ändert, damit sie unbemerkt ausgeführt werden kann. Deaktivieren Sie diese Regel, wenn Sie gültige Anwendungen installieren, die Dateierweiterungsregistrierungen in der Registrierung ändern. Diese Regel ist eine einschränkendere Alternative als Missbrauch von.ee und andere Erweiterungen für ausführbare Dateien. Remote-Erstellen oder -Ändern von übertragbaren ausführbaren Dateien,.INI- und.pif-dateitypen sowie Core-Systemspeicherorten Verhindert, dass andere Computer eine Verbindung herstellen und ausführbare Dateien ändern, wie etwa Dateien im Windows-Ordner. Diese Regel gilt nur für Dateitypen, die häufig von Viren infiziert werden. Diese Regel schützt vor der schnellen Ausbreitung von Würmern oder Viren, die ein Netzwerk durch offene oder administrative Freigaben. Diese Regel ist eine weniger sichere Alternative zu Alle Freigaben mit Schreibschutz versehen. Remote-Erstellen von Dateien mit automatischer Ausführung Verhindert, dass andere Computer eine Verbindung herstellen und automatisch ausführbare Dateien (autorun.inf) erstellen oder ändern. Diese Dateien werden zum automatischen Starten von Programmdateien, typischerweise Setup-Dateien von CDs, verwendet. Diese Regel verhindert, dass Spyware und Adware von CDs ausgeführt werden. Für die Regel sind standardmäßig die Aktionen Blockieren und Melden ausgewählt. McAfee Endpoint Security 10 Produkthandbuch 107

108 6 Client-Schnittstellenreferenz Threat Prevention Zugriffsschutz Tabelle 6-7 Erweiterte Optionen (Fortsetzung) Abschnitt Option Ausführen von Dateien im Temp-Ordner Ausführen von Skripten durch Windows Skript Host (CScript.exe oder Wscript.exe) aus einem Temp-Ordner Zugreifen auf oder Ändern von Remote-Zugriff-Telefonbuchdateien Ausführen und Lesen von tftp.exe Beschreibung Blockiert alle ausführbare Dateien, sodass sie nicht in einem Ordner ausgeführt oder gestartet werden, dessen Name "temp" enthält. Diese Regel verhindert, dass Malware im Temp-Ordner des Benutzers oder Systems gespeichert und ausgeführt wird, beispielsweise ausführbare Anhänge in s und heruntergeladenen Programmen. Obwohl die Regel den höchsten Schutz bietet, könnte die Installation legitimer Anwendungen blockiert werden. Verhindert das Ausführen von VBScript- und JavaScript-Skripten durch den Windows Scripting Host in einem Ordner, dessen Name "temp" enthält. Die Regel schützt vor vielen Trojanern und fragwürdigen Webinstallationsmechanismen, die von Adware- und Spyware-Anwendungen verwendet werden. Sie könnte allerdings die Installation oder Ausführung legitimer Skripts und Drittanbieter-Anwendungen blockieren. Für die Regel ist standardmäßig die Aktion Bericht ausgewählt. Verhindert, dass Malware die Kontaktlisten der Benutzer liest, die in rasphone.pbk-dateien in Benutzerprofilordnern gespeichert sind. Verhindert die Verwendung von TFTP (Trivial File Transfer Protocol), ein Dateitransferprotokoll ohne Benutzerauthentifizierung. Diese Regel blockiert das Verwenden von TFTP durch Malware, um weitere Malware auf das System herunterzuladen, und verhindert so weitere Infektion. Da Windows Zugriff beim Installieren von Windows Service Packs Zugriff auf tftp.exe benötigt, sollten Sie diese Regel beim Installieren von Patches und Service Packs deaktivieren. Lesen von Dateien im Cache von Internet Explorer Beschränkt den Zugriff auf Elemente im Internet Explorer-Cache auf den Internet Explorer. Diese Regel verhindert, dass Malware den Internet Explorer-Cache nach -Adressen und Website-Kennwörtern durchsucht. Ein Prozess, der die WinInet-Library verwendet oder ein Internet Explorer-Steuerelement in einem Fenster hostet, hat Zugriff auf den Cache. Wenn aktiviert, müssen Sie möglicherweise Prozesse zu dieser Regel hinzufügen. 108 McAfee Endpoint Security 10 Produkthandbuch

109 Client-Schnittstellenreferenz Threat Prevention Zugriffsschutz 6 Tabelle 6-7 Erweiterte Optionen (Fortsetzung) Abschnitt Option Remote-Zugreifen auf lokale Dateien oder Ordner Beschreibung Verhindert den Lese- und Schreibzugriff von Remote-Computern auf den Computer. Die Regel schützt vor dem Ausbreiten eines Wurms von einer Freigabe zur nächsten. In einer typischen Umgebung ist die Regel für Workstations geeignet, aber nicht für Server, und nur dann sinnvoll, wenn Computer tatsächlich angegriffen werden. Wenn ein Computer mithilfe von Push-Dateien verwaltet wird, verhindert die Regel, dass Aktualisierungen oder Patches installiert werden. Diese Regel hat keine Auswirkungen auf die Verwaltungsfunktionen von McAfee epo. Remote-Erstellen oder -Ändern von Dateien oder Ordnern Blockiert den Schreibzugriff auf alle Freigaben. Diese Regel ist bei einem Virenausbruch hilfreich, weil sie den Schreibzugriff verhindert und somit das Ausbreiten der Infektion begrenzt. Sie blockiert Malware, die andernfalls die Verwendung des Computers oder Netzwerks ernsthaft einschränken würde. In einer typischen Umgebung ist die Regel für Workstations geeignet, aber nicht für Server, und nur dann sinnvoll, wenn Computer tatsächlich angegriffen werden. Wenn ein Computer mithilfe von Push-Dateien verwaltet wird, verhindert die Regel, dass Aktualisierungen oder Patches installiert werden. Diese Regel hat keine Auswirkungen auf die Verwaltungsfunktionen von McAfee epo. Missbrauch von.ee und andere Erweiterungen für ausführbare Dateien Schützt.EE,.BAT und andere ausführbare Registrierungsschlüssel unter "HKEY_CLASSES_ROOT". Diese Regel verhindert, dass Malware Registrierungsschlüssel ändert, sodass der Virus gemeinsam mit einer anderen ausführbaren Datei ausgeführt wird. Diese Regel ist eine weniger restriktive Alternative zu Ändern der Registrierung aller Dateierweiterungen. Ausführen von potenziell bösartigen ausführbaren Dateien durch Svchost Ändern von Windows-Kernprozessen Verhindert, dass svchost.exe andere DLLs lädt als Windows-Dienst-DLLs. Diese Regel verhindert, dass Malware svchost.exe verwendet, um DLLs zu registrieren, die nicht zu Windows gehören. Verhindert, dass Dateien mit den häufigsten Spoof-Namen erstellt oder ausgeführt werden. Diese Regel verhindert, dass Viren und Trojaner mit dem Namen eines Windows-Prozesses ausgeführt werden. Authentische Windows-Dateien werden ausgeschlossen. McAfee Endpoint Security 10 Produkthandbuch 109

110 6 Client-Schnittstellenreferenz Threat Prevention Exploit-Schutz Tabelle 6-7 Erweiterte Optionen (Fortsetzung) Abschnitt Option Ändern von Mozilla-Dateien und -Einstellungen Ändern von Internet Explorer-Einstellungen Installieren von Browser Helper Objects oder Shell-Erweiterungen Beschreibung Blockiert Prozesse, die Änderungen an Favoriten und Einstellungen in Firefox vornehmen. Diese Regel hindert Startseiten-Trojaner, -Adware und -Spyware, Browser-Einstellungen zu ändern, beispielsweise die Startseite, oder Favoriten zu installieren. Blockiert Prozesse, die Änderungen an Einstellungen in Internet Explorer vornehmen. Diese Regel hindert Startseiten-Trojaner, -Adware und -Spyware, Browser-Einstellungen zu ändern, beispielsweise die Startseite, oder Favoriten zu installieren. Verhindert, dass Adware, Spyware und Trojaner als Browser Helper Objects auf dem Host-Computer installiert werden. Diese Regel verhindert, dass Adware und Spyware auf Systemen installiert wird. Damit legitime Kunden- oder Drittanbieter-Anwendungen diese Objekte installieren können, fügen Sie sie der Ausschlussliste hinzu. Nach der Installation können Sie die Regel wieder aktivieren, weil das Funktionieren installierter Browser Helper Objects nicht behindert wird. Ausführen von URLs von Windows Help and Support Center (HCP) in Internet Explorer oder Windows Media Player Ändern von Internet Explorer-Favoriten oder -Einstellungen Verhindert, dass Internet Explorer und Media Player URLs vom Hilfe- und Supportcenter (hcp://) ausführen. Diese Regel verhindert, dass ein Angreifer hcp://-urls verwendet, um beliebigen Code auf dem Computer mit der Benutzerberechtigung auszuführen. Blockiert Prozesse, die Änderungen an Konfigurationen und Dateien in Internet Explorer vornehmen. Diese Regel hindert Startseiten-Trojaner, -Adware und -Spyware, Browser-Einstellungen zu ändern, beispielsweise die Startseite, oder Favoriten zu installieren. Konfigurieren der Richtlinieneinstellungen für den auf Seite 46 Threat Prevention Exploit-Schutz Aktiviert und konfiguriert den Exploit-Schutz, dass über Buffer Overflow-Exploits kein beliebiger Code auf Ihrem Computer ausgeführt wird. Siehe Common Optionen auf Seite 92-Einstellungen für Protokollierungskonfiguration. 110 McAfee Endpoint Security 10 Produkthandbuch

111 Client-Schnittstellenreferenz Threat Prevention Exploit-Schutz 6 Tabelle 6-8 Abschnitt Option Beschreibung EPLOIT-SCHUTZ Exploit-Schutz aktivieren Aktiviert die Exploit-Schutz-Funktion. Wird diese Funktion nicht aktiviert, ist das System vor Malware-Angriffen nicht geschützt. Tabelle 6-9 Erweiterte Optionen Abschnitt Option Beschreibung Windows-Datenausführungsverhinderung Windows-Datenausführungsverhinderung verwenden Aktiviert Windows-Datenausführungsverhinderung (DEP). (Standardmäßig deaktiviert) Deaktivieren dieser Option hat keine Auswirkung auf die Prozesse, bei denen DEP als Ergebnis der Windows-DEP-Richtlinie aktiviert ist. Schutzebene Standard Maximal Legt die Ebene des Exploit-Schutzes fest. Erkennt und blockiert nur Buffer Overflow-Exploits mit hohem Schweregrad, die in der Exploit-Schutz-Content-Datei identifiziert werden und stoppt die erkannte Bedrohung. Verwenden Sie die Funktion für kurze Zeit im Standard-Modus. Überprüfen Sie die Protokolldatei für diesen Zeitraum, um herauszufinden, ob in den Maximalen Schutzmodus gewechselt werden muss. Erkennt und blockiert Buffer Overflow-Exploits mit hohem und mittlerem Schweregrad, die in der Exploit-Schutz-Content-Datei identifiziert werden, und stoppt die erkannte Bedrohung. Diese Einstellung kann zu False-Positives führen. Ausschlüsse Diese Prozesse ausschließen Gibt den Namen des Prozesses an, zu dem der beschreibbare Speicher gehört, über den der Aufruf ausgeführt wird. Geben Sie den Prozessnamen für den Ausschluss ein. Der Exploit-Schutz schließt den Prozess aus, egal, wo er sich befindet. Bei Ausschlüssen muss die Groß-/ Kleinschreibung beachtet werden. Platzhalter sind nicht erlaubt. McAfee Endpoint Security 10 Produkthandbuch 111

112 6 Client-Schnittstellenreferenz Threat Prevention On-Access Scan Tabelle 6-9 Erweiterte Optionen (Fortsetzung) Abschnitt Option Beschreibung Hinzufügen Löschen Fügt der Ausschlussliste einen Prozess hinzu. Geben Sie den Prozessnamen bzw. den Prozessnamen und seinen Pfad ein. Löscht einen ausgewählten Prozess aus der Ausschlussliste. Konfigurieren der RichtlinieneinstellungenRichtlinieneinstellungenExploit-Schutz- Richtlinieneinstellungen. auf Seite 49 Threat Prevention On-Access Scan Aktiviert und konfiguriert die Einstellungen für den On-Access-Scan. Tabelle 6-11 Siehe Common Optionen auf Seite 92-Einstellungen für Protokollierungskonfiguration. Abschnitt Option Beschreibung ON-ACCESS-SCAN On-Access-Scan aktivieren Aktiviert die On-Access-Scan-Funktion. Standardmäßig aktiviert. On-Access-Scan während des Systemstarts aktivieren Höchstdauer (in Sekunden) für jeden Datei-Scan angeben Aktiviert die On-Access-Scan-Funktion jedes Mal, wenn Sie den Computer hochfahren. Standardmäßig aktiviert. Begrenzt jeden Datei-Scan auf die angegebene Höchstdauer in Sekunden. Standardmäßig aktiviert. Wenn ein Scan-Vorgang das Zeitlimit überschreitet, wird der Scan fehlerfrei beendet und eine Meldung protokolliert. Boot-Sektoren scannen Überprüft den Boot-Sektor der Festplatte. Standardmäßig aktiviert. Wenn eine Festplatte einen speziellen oder anormalen Boot-Sektor besitzt, der nicht gescannt werden kann, deaktivieren Sie das Scannen des Boot-Sektors. 112 McAfee Endpoint Security 10 Produkthandbuch

113 Client-Schnittstellenreferenz Threat Prevention On-Access Scan 6 Tabelle 6-11 (Fortsetzung) Abschnitt Option Beschreibung Prozesse bei Aktivierung scannen Scannt jedes Mal alle Prozesse, die sich derzeit im Speicher befinden: Sie deaktivieren die On-Access-Scans, und aktivieren sie anschließend erneut. Das System wird gestartet. Da einige Programme oder ausführbare Dateien automatisch gestartet werden, wenn Sie Ihr System starten, kann die Aktivierung dieser Option Ihr System verlangsamen und die benötigte Zeit des Systemstarts verlängern. Standardmäßig deaktiviert. Wenn der On-Access-Scanner aktiviert ist, werden immer alle Prozesse bei der Ausführung gescannt. Vertrauenswürdige Installationsprogramme scannen Scannt MSI-Dateien (die über msiexec.exe installiert wurden und eine McAfee- oder Microsoft-Signatur aufweisen) oder Dienstdateien von vertrauenswürdigen Windows-Installationsprogrammen. Standardmäßig deaktiviert. Deaktivieren Sie diese Option, um die Leistung von Installationsprogrammen für große Microsoft-Anwendungen zu verbessern. McAfee GTI Bei Kopieren in lokalen Ordnern scannen Scannt Dateien, wenn der Benutzer innerhalb lokaler Ordner kopiert. Wenn diese Option folgenden Status hat: Deaktiviert Nur Elemente im Zielordner werden gescannt. Aktiviert Elemente im Quellordner (lesen) und im Zielordner (schreiben) werden gescannt. Standardmäßig deaktiviert. Weitere Informationen finden Sie unter McAfee GTI auf Seite 121. McAfee Endpoint Security 10 Produkthandbuch 113

114 6 Client-Schnittstellenreferenz Threat Prevention On-Access Scan Tabelle 6-12 Erweiterte Optionen Abschnitt Option Beschreibung Benutzermeldungen bei Erkennung von Bedrohungen Bei Erkennung einer Bedrohung das On-Access-Scan-Fenster für Benutzer anzeigen Zeigt bei einer Erkennung die On-Access-Scan-Seite mit der festgelegten Nachricht für Client-Benutzer an. Standardmäßig aktiviert. Wenn diese Option ausgewählt ist, können Benutzer diese Seite über die Seite Jetzt scannen öffnen, wenn die Erkennungsliste mindestens eine Bedrohung enthält. Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der Endpoint Security-Dienst oder das System neu gestartet wird. Nachricht Zeigt die Nachricht an, die Client-Benutzern bei Erkennungen angezeigt wird. Die Standardnachricht lautet: McAfee Endpoint Security hat eine Bedrohung erkannt. Prozesseinstellungen Standard-Einstellungen für alle Prozesse verwenden Verschiedene Einstellungen für Prozesse mit hohem Risiko und niedrigem Risiko konfigurieren Wendet die gleichen konfigurierten Einstellungen auf alle Prozesse an, wenn ein On-Access-Scan ausgeführt wird. Konfiguriert verschiedene Scan-Einstellungen für jeden Prozesstyp, den Sie identifizieren. Standard Prozesse, die nicht als hohes oder niedriges Risiko identifiziert werden. Standardmäßig aktiviert. Hohes Risiko Prozesse mit hohem Risiko. Niedriges Risiko Prozesse, die ein niedriges Risiko darstellen. Hinzufügen Löschen Fügt der Liste Hohes Risiko oder Niedriges Risiko einen Prozess hinzu. Entfernt einen Prozess aus der Liste Hohes Risiko oder Niedriges Risiko. Scan wird ausgeführt Scan-Zeitpunkt angeben Beim Schreiben auf einen Datenträger Beim Lesen von einem Datenträger McAfee entscheiden lassen Nicht scannen bei Lesen oder Schreiben auf die Festplatte Auf Netzlaufwerken Scannt alle Dateien, wenn sie auf den Computer oder ein anderes Speichersystem geschrieben oder darauf geändert werden. Scannt die Dateien, wenn sie auf dem Computer oder einem anderen Speichersystem gelesen werden. Die Aktivierung dieser Option wird von McAfee dringend empfohlen. Mit dieser Option wird die EntscheidungMcAfee überlassen, ob eine Datei gescannt werden muss, wobei Vertrauenslogik für optimiertes Scannen verwendet wird. Vertrauenslogik verbessert Ihre Sicherheit und beschleunigt die Leistung durch Vermeidung unnötiger Scans. Legt fest, nur Prozesses mitniedrigem Risiko nicht zu scannen. Scannt Ressourcen auf zugeordneten Netzwerklaufwerken. Das Scannen von Netzwerkressourcen kann die Leistung beeinträchtigen. Zur Sicherung geöffnet Scannt Dateien gescannt, die für Sicherungsvorgänge geöffnet wurden. 114 McAfee Endpoint Security 10 Produkthandbuch

115 Client-Schnittstellenreferenz Threat Prevention On-Access Scan 6 Tabelle 6-12 Erweiterte Optionen (Fortsetzung) Abschnitt Option Beschreibung Zu scannende Dateitypen Alle Dateien Scannt alle Dateien unabhängig von ihrer Dateierweiterung. Die Aktivierung dieser Option wird von McAfee dringend empfohlen. Wird diese Option nicht aktiviert, ist das System vor Malware-Angriffen nicht geschützt. Standardmäßige und angegebene Dateitypen Nur angegebene Dateitypen Zu scannende Elemente Komprimierte Archivdateien Komprimierte MIME-verschlüsselte Dateien Unerwünschte Programme erkennen Scannt: Die Standardliste der Erweiterungen in der aktuellen AMCore Content-Datei. (Optional) Bekannte Makrobedrohungen. Alle zusätzlichen Erweiterungen, die Sie angeben. (Optional) Dateien ohne Erweiterung. Scannt nur Dateien mit den von Ihnen angegebenen Erweiterungen und, optional, Dateien ohne Erweiterung. Überprüft die Inhalte von (komprimierten) Archivdateien, einschließlich JAR-Dateien. Da das Scannen komprimierter Dateien negative Auswirkungen auf die Systemleistung hat, empfiehlt McAfee das Ausführen von Archiv-Scans in nicht verwendeten Systemen. Erkannt, dekodiert und scannt MIME-codierte (Multipurpose Internet Mail Extensions) Dateien. Legt fest, dass der On-Access-Scanner potenziell unerwünschte Programme erkennt. Der Scanner verwendet die Informationen, die Sie in den Optionen-Einstellungen konfiguriert haben, um potenziell unerwünschte Programme zu erkennen. Aktionen Ausschlüsse Weitere Informationen finden Sie unter Aktionen auf Seite 123. Legt Dateien, Ordner und Laufwerke fest, die vom Scan ausgeschlossen werden. Weitere Informationen finden Sie unter Hinzufügen oder Bearbeiten von Ausschlüssen auf Seite 124. Hinzufügen Löschen Fügt der Ausschlussliste Standard, Hohes Risiko oder Niedriges Risiko Elemente hinzu. Entfernt ein Element von der Ausschlussliste Standard, Hohes Risiko oder Niedriges Risiko. McAfee Endpoint Security 10 Produkthandbuch 115

116 6 Client-Schnittstellenreferenz Threat Prevention On-Demand-Scan Tabelle 6-12 Erweiterte Optionen (Fortsetzung) Abschnitt Option Beschreibung ScriptScan ScriptScan aktivieren Ermöglicht das Scannen von JavaScript- und VBScript-Skripts, damit unerwünschte Skripts nicht ausgeführt werden. Standardmäßig aktiviert. Wenn ScriptScan beim Start von Internet Explorer deaktiviert ist und dann aktiviert wird, erkennt es keine bösartige Skripte in der Instanz von Internet Explorer. Nach der Aktivierung von ScriptScan müssen Sie den Internet Explorer neu starten, um bösartige Skripts zu erkennen. Deaktivieren Sie diese Option, damit der Client-Computer die Ausschlüsse verwenden kann, die hier und lokal auf dem Client festgelegt wurden. Diese URLs ausschließen Gibt die ScriptScan-Ausschlüsse anhand der URL an. Hinzufügen Löschen Fügt der Ausschlussliste eine URL hinzu. Entfernt eine URL von der Ausschlussliste URLs dürfen keine Platzhalter enthalten. Eine URL mit einem String aus einer ausgeschlossenen URL wird ebenfalls ausgeschlossen. Wenn beispielsweise die URL msn.com ausgeschlossen wird, werden die folgenden URLs ebenfalls ausgeschlossen: Konfigurieren von Richtlinieneinstellungen für auf Seite 50 McAfee GTI auf Seite 121 Aktionen auf Seite 123 Hinzufügen oder Bearbeiten von Ausschlüssen auf Seite 124 Auf Windows Server 2008 können ScriptScan-URL-Ausschlüsse in Windows Internet Explorer nur verwendet werden, wenn Sie Browsererweiterungen von Drittanbietern aktivieren wählen und das System neu starten. Einzelheiten finden Sie im KB-Artikel ScriptScan-URL-Ausschlüsse. Threat Prevention On-Demand-Scan Konfiguriert die Einstellungen des On-Demand-Scans für die vorkonfigurierten Scans, die auf dem Ihrem System ausgeführt werden. Siehe Common Optionen auf Seite 92-Einstellungen für Protokollierungskonfiguration. 116 McAfee Endpoint Security 10 Produkthandbuch

117 Client-Schnittstellenreferenz Threat Prevention On-Demand-Scan 6 Diese Einstellungen legen das Scanner-Verhalten fest, wenn: Vollständiger Scan und Schnellscan auf der Seite Jetzt scannen im Endpoint Security Client ausgewählt wird. Mit der rechten Maustaste auf eine Datei oder einen Ordner geklickt und Scannen auf Bedrohungen aus dem Popup-Menü ausgewählt wird. Tabelle 6-14 Abschnitt Option Beschreibung Scan-Typ Boot-Sektoren scannen Überprüft den Boot-Sektor der Festplatte. Wenn eine Festplatte einen speziellen oder anormalen Boot-Sektor besitzt, der nicht gescannt werden kann, ist es ratsam, das Scannen des Boot-Sektors zu deaktivieren. Unerwünschte Programme erkennen MIME-codierte Dateien decodieren Archivinhalte scannen Damit kann der Scanner potenziell unerwünschte Programme erkennen. Der Scanner verwendet die Informationen, die Sie in den Common-Einstellungen konfiguriert haben, um potenziell unerwünschte Programme zu erkennen. Erkannt, dekodiert und scannt MIME-codierte (Multipurpose Internet Mail Extensions) Dateien. Überprüft die Inhalte von (komprimierten) Archivdateien, einschließlich JAR-Dateien. Da das Scannen komprimierter Dateien negative Auswirkungen auf die Systemleistung hat, empfiehlt McAfee diese Option für Scans, die bei nicht verwendeten Systemen ausgeführt werden. In den Speicher migrierte Dateien scannen Unbekannte Programmbedrohungen suchen Unbekannte Makrobedrohungen suchen Unterordner scannen Scannt Dateien, die vom Remote-Speicher verwaltet werden. Wenn der Scanner auf eine Datei mit migriertem Inhalt stößt, wird diese vor dem Scannen im lokalen System wiederhergestellt. Verwendet McAfee GTI, um ausführbare Dateien zu erkennen, in denen sich Malware-ähnlicher Code befindet. Verwendet McAfee GTI, um unbekannte Makroviren zu suchen. Überprüft alle Unterordner des angegebenen Ordners. Diese Option gilt nur für die Einstellungen des Scans per Kontextmenü. Scan-Speicherorte Weitere Informationen finden Sie unter Scan-Speicherorte auf Seite 120. Diese Optionen gelten nur für Vollständiger Scan und Schnellscan. Zu scannende Dateitypen Alle Dateien Scannt alle Dateien unabhängig von ihrer Dateierweiterung. Die Aktivierung von Alle Dateien wird von McAfee dringend empfohlen. Wird diese Option nicht aktiviert, ist das System vor Malware-Angriffen nicht geschützt. McAfee Endpoint Security 10 Produkthandbuch 117

118 6 Client-Schnittstellenreferenz Threat Prevention On-Demand-Scan Tabelle 6-14 (Fortsetzung) Abschnitt Option Beschreibung Standardmäßige und angegebene Dateitypen Scannt: Die Standardliste der Erweiterungen in der aktuellen AMCore Content-Datei. (Optional) Bekannte Makrobedrohungen. Alle zusätzlichen Erweiterungen, die Sie angeben. (Optional) Dateien ohne Erweiterung. McAfee GTI Nur angegebene Dateitypen Ausschlüsse Scannt nur Dateien mit den von Ihnen angegebenen Erweiterungen und, optional, Dateien ohne Erweiterung. Weitere Informationen finden Sie unter McAfee GTI auf Seite 121. Legt Dateien, Ordner und Laufwerke fest, die vom Scan ausgeschlossen werden. Weitere Informationen finden Sie unter Hinzufügen oder Bearbeiten von Ausschlüssen auf Seite 124. Hinzufügen Löschen Fügt ein Element zur Ausschlussliste hinzu. Entfernt ein Element aus der Ausschlussliste. Wählen Sie das Element aus der Tabelle, und klicken Sie auf Entfernen. Aktionen Weitere Informationen finden Sie unter Aktionen auf Seite 123. Leistung Scan-Cache verwenden Damit kann der On-Demand-Scanner die vorhandenen sauberen Scan-Ergebnisse verwenden. Wählen Sie diese Option, um doppelte Scan-Vorgänge zu vermeiden und die Leistung zu verbessern. Systemauslastung Damit kann vom Betriebssystem die CPU-Zeit, die der Scanner empfängt, während des Scan-Vorgangs festgelegt werden. Jeder Task wird unabhängig von den Beschränkungen anderer Tasks ausgeführt. Normal Niedriger als normal Niedrig Damit kann der Scan-Vorgang schneller abgeschlossen werden. Wählen Sie diese Option für Systeme mit großen Datenträgern und wenig Endbenutzeraktivität. Legt Systemauslastung für den Scan auf den McAfee epo-standard fest. Erhöht die Leistung für andere ausgeführte Anwendungen. Wählen Sie diese Option für Systeme mit Endbenutzeraktivität. Optionen für geplanten Scan Diese Optionen gelten nur für Vollständiger Scan und Schnellscan. 118 McAfee Endpoint Security 10 Produkthandbuch

119 Client-Schnittstellenreferenz Threat Prevention On-Demand-Scan 6 Tabelle 6-14 (Fortsetzung) Abschnitt Option Beschreibung Nur scannen, wenn das System im Leerlauf ist Führt den Scan nur aus, wenn der Computer des Systems im Leerlauf ist. Threat Prevention hält den Scan an, wenn Laufwerk- oder Benutzeraktivität erkannt wird, wie Zugriff über die Tastatur oder Maus. Threat Prevention setzt den Scan fort, wenn der Benutzer drei Minuten lang nicht auf das System zugegriffen hat. McAfee empfiehlt das Deaktivieren dieser Option auf Serversystemen und Systemen, auf die Benutzer nur über die Remote-Desktop-Verbindung (RDP) zugreifen. Threat Prevention stellt mithilfe von McTray fest, ob sich das System im Leerlauf befindet. Auf nur über RDP zugegriffene Systemen startet McTray nicht und der On-Demand-Scanner wird nie ausgeführt. Zur Problemumgehung können Benutzer manuell McTray starten (standardmäßig unter C:\Programme \McAfee\Agent\mctray.exe),wenn Sie sich über RDP anmelden. Jederzeit scannen Führt den Scan auch dann aus, wenn der Computer des Benutzers aktiv ist und legt Scan-Optionen fest. Benutzer darf geplante Scans verschieben Der Benutzer kann geplante Scans verschieben und Optionen für Scan-Verschiebungen festlegen. Benutzer darf Scans so oft eine Stunde lang verschieben Benutzernachricht Anzeigedauer der Nachricht (Sekunden) Legt fest, wie oft (1-23) der Benutzer den Scan für eine Stunde verschieben darf. Legt die Nachricht fest, die vor dem Start eines Scans angezeigt wird. Die Standardnachricht lautet: McAfee Endpoint Security wird in Kürze Ihr System scannen. Legt fest, wie lange (in Sekunden) die Benutzernachricht vor dem Start eines Scans angezeigt wird. Der gültige Bereich für die Dauer beträgt ; die Standarddauer ist 45 Sekunden. Keine Scans durchführen, wenn das System mit Akku betrieben wird Keine Scans durchführen, wenn sich das System im Präsentationsmodus befindet Verschiebt den Scan, wenn das System im Präsentationsmodus ist. Verschiebt den Scan, wenn das System mit Batteriestrom betrieben wird. Konfigurieren Sie die für den On-Demand-Scan auf Seite 55 Ausführen eines vollständigen Scans oder Schnellscans auf Seite 36 Scannen einer Datei oder eines Ordners auf Seite 38 Scan-Speicherorte auf Seite 120 McAfee GTI auf Seite 121 Aktionen auf Seite 123 Hinzufügen oder Bearbeiten von Ausschlüssen auf Seite 124 McAfee Endpoint Security 10 Produkthandbuch 119

120 6 Client-Schnittstellenreferenz Scan-Speicherorte Scan-Speicherorte Legt die zu scannenden Speicherorte fest. Tabelle 6-15 Diese Optionen gelten nur für Vollständiger Scan und Schnellscan. Abschnitt Option Beschreibung Scan-Speicherorte Unterordner scannen Prüft alle Unterordner auf den angegebenen Datenträgern, wenn einer der folgenden Optionen ausgewählt wurde: Basisordner Benutzerprofilordner Programmdateien-Ordner Temp-Ordner Laufwerk oder Ordner Um nur die Stammebene der Datenträger zu scannen, deaktivieren Sie diese Option. Speicherorte angeben Legt die zu scannenden Speicherorte fest. Hinzufügen Löschen Fügt einen Speicherort für den Scan hinzu. Klicken Sie auf Hinzufügen, und wählen Sie den Speicherort aus der Dropdown-Liste. Entfernt einen Speicherort vom Scannen. Wählen Sie den Speicherort aus, und klicken Sie auf Löschen. Speicher für Rootkits Scannt den Systemspeicher auf installierte Rootkits, versteckte Prozesse und anderes Verhalten, das auf Malware hinweisen kann, der versucht, sich zu verstecken. Dieser Scan-Vorgang wird vor allen weiteren Scan-Vorgängen ausgeführt. Wird diese Option nicht aktiviert, ist das System vor Malware-Angriffen nicht geschützt. Laufende Prozesse Der Speicher aller aktuell ausgeführten Prozesse wird gescannt. Alle anderen Aktionen, außer Dateien säubern, werden als Scan-Vorgang fortsetzen behandelt. Wird diese Option nicht aktiviert, ist das System vor Malware-Angriffen nicht geschützt. Registrierte Dateien Arbeitsplatz Alle lokalen Laufwerke Scannt Dateien, auf die die Windows-Registrierung verweist. Der Scanner analysiert zunächst die Registrierung auf Dateinamen, ermittelt, ob die Dateien vorhanden sind, erstellt eine Liste der zu scannenden Dateien und scannt dann die entsprechenden Dateien. Scannt alle Laufwerke, die physisch an den Computer angeschlossen oder einem Laufwerksbuchstaben auf dem Computer logisch zugeordnet sind. Scannt alle Laufwerke und deren Unterordner auf Ihrem Computer. 120 McAfee Endpoint Security 10 Produkthandbuch

121 Client-Schnittstellenreferenz McAfee GTI 6 Tabelle 6-15 (Fortsetzung) Abschnitt Option Beschreibung Alle fest installierten Laufwerke Alle Wechseldatenträger Alle zugeordneten Laufwerke Basisordner Benutzerprofilordner Windows-Ordner Programmdateien-Ordner Temp-Ordner Papierkorb Datei oder Ordner Threat Prevention On-Demand-Scan auf Seite 116 Scannt alle physisch mit dem Computer verbundenen Laufwerke. Scannt alle Wechsellaufwerke und andere Speichergeräte, die mit dem Computer verbunden sind. Scannt Netzwerklaufwerke, die einem Netzwerklaufwerk auf dem Computer logisch zugeordnet sind. Scannt den Basisordner des Benutzers, der den Scanvorgang startet. Scannt das Profil des Benutzers, der den Scan startet, einschließlich des Ordners "Eigene Dokumente" des Benutzers. Scannt den Inhalt des Windows-Ordners. Scannt den Inhalt des Ordners "Programme". Scannt den Inhalt des Temp-Ordners. Scannt den Inhalt des Papierkorbs. Scannt eine bestimmte Datei oder einen Ordner. McAfee GTI Aktiviert und konfiguriert McAfee GTI-Einstellungen. Tabelle 6-16 Abschnitt Option Beschreibung McAfee GTI aktivieren Aktiviert und deaktiviert heuristische Überprüfungen. Bei Aktivierung werden Fingerabdrücke von Proben, auch Hashes genannt, anmcafee Labs gesendet, um eine Prüfung auf Malware vorzunehmen. Durch Senden der Hashes kann die Erkennung schneller zur Verfügung gestellt werden als in der nächsten AMCore Content-Datei-Version, wenn McAfee Labs die Aktualisierung veröffentlicht. Bei Deaktivierung werden keine Fingerabdrücke oder Daten an McAfee Labs gesendet. Sensibilitätsstufe Konfiguriert die Sensibilitätsstufe, mit der die Prüfung einer erkannten Probe auf Malware durchgeführt werden soll. Je höher die Sensibilitätsstufe, desto höher die Anzahl der Malware-Erkennungen. Bei mehr Erkennungen wird jedoch auch die Anzahl der False-Positives größer. Risikostufe McAfee Endpoint Security 10 Produkthandbuch 121

122 6 Client-Schnittstellenreferenz McAfee GTI Tabelle 6-16 (Fortsetzung) Abschnitt Option Beschreibung Sehr niedrig Die Erkennungen und Risiken für False-Positives sind dieselben wie für reguläre AMCore Content-Dateien. Im Falle einer Veröffentlichung durch McAfee Labs steht Threat Prevention eine Erkennung bereits vor der nächsten AMCore Content-Datei-Aktualisierung zur Verfügung. Verwenden Sie diese Einstellung für Desktops und Server mit beschränkten Benutzerrechte und einem großen Sicherheits-Speicherbedarf. Mit dieser Einstellung werden durchschnittlich Abfragen pro Tag und Computer ausgeführt. Niedrig Mittel Hoch Sehr hoch Diese Einstellung sind die empfohlenen Mindesteinstellungen für Laptops oder Desktop- und Server-Computer mit einem großen Sicherheits-Speicherbedarf. Mit dieser Einstellung werden durchschnittlich Abfragen pro Tag und Computer ausgeführt. Nutzen Sie diese Stufe, wenn die Möglichkeit einer Infektion mit Malware wahrscheinlicher ist als ein False-Positive. Die von McAfee Labs entwickelte interne heuristische Überprüfung führt zu Erkennungen, die mit hoher Wahrscheinlichkeit Malware sind. Einige Erkennungen können jedoch zu False-Positives führen. Bei dieser Einstellung überprüft McAfee Labs, dass für beliebte Anwendungen und Dateien des Betriebssystems keine False-Positive-Erkennungen stattfinden. Diese Einstellung sind die empfohlenen Mindesteinstellungen für Laptops oder Desktop- und Server-Computer. Mit dieser Einstellung werden durchschnittlich Abfragen pro Tag und Computer ausgeführt. Verwenden Sie diese Einstellung für die Bereitstellung für Systeme oder Bereiche, die regelmäßig infiziert werden. Mit dieser Einstellung werden durchschnittlich Abfragen pro Tag und Computer ausgeführt. McAfee empfiehlt diese Stufe nur für das Scannen von Laufwerken und Verzeichnissen, in denen keine ausführbaren Programme oder Betriebssysteme unterstützt werden. Erkennungen auf dieser Stufe werden als bösartiger Code angesehen, sind aber bisher nicht vollständig auf diese Eigenschaft hin geprüft worden, um sie als False-Positives auszuschließen. Verwenden Sie diese Einstellung für On-Demand-Scans, die nicht für Betriebsystemvolumes ausgeführt werden. Mit dieser Einstellung werden durchschnittlich Abfragen pro Tag und Computer ausgeführt. Threat Prevention On-Access Scan auf Seite 112 Threat Prevention On-Demand-Scan auf Seite 116 Web Control Optionen auf Seite McAfee Endpoint Security 10 Produkthandbuch

123 Client-Schnittstellenreferenz Aktionen 6 Aktionen Legt fest, wie der Scanner bei Erkennung einer Bedrohung reagieren soll. Tabelle 6-17 Abschnitt Option Beschreibung Scan-Typ Erste Reaktion bei Erkennung einer Bedrohung Zugriff auf Dateien verweigern Scan fortsetzen Dateien säubern Dateien löschen Wenn erste Reaktion fehlschlägt Zugriff auf Dateien verweigern Scan fortsetzen Dateien löschen Erste Reaktion bei unerwünschten Programmen On-Access-Scan On-Demand-Scan Legt die erste Aktion fest, die der Scanner durchführen soll, wenn eine Bedrohung erkannt wird. Verhindert, dass Benutzer auf Dateien mit potenziellen Bedrohungen zugreifen können. Setzt den Datei-Scan fort, wenn eine Bedrohung erkannt wurde. Der Scanner verschiebt keine Elemente in die Quarantäne. Entfernt die Bedrohung aus der erkannten Datei, wenn möglich. Löscht Dateien mit potenziellen Bedrohungen. Legt die erste Aktion fest, die der Scanner durchführen soll, wenn eine Bedrohung erkannt wird und die erste Aktion fehlschlägt. Verhindert, dass Benutzer auf Dateien mit potenziellen Bedrohungen zugreifen können. Setzt den Datei-Scan fort, wenn eine Bedrohung erkannt wurde. Der Scanner verschiebt keine Elemente in die Quarantäne. Löscht Dateien mit potenziellen Bedrohungen. Legt die erste Aktion fest, die der Scanner durchführen soll, wenn ein potenziell unerwünschtes Programm erkannt wird. Diese Option ist nur verfügbar, wenn Unerwünschte Programme erkennen ausgewählt wurde. Zugriff auf Dateien verweigern Zugriff auf Dateien zulassen Scan fortsetzen Dateien säubern Dateien löschen Verhindert, dass Benutzer auf Dateien mit potenziellen Bedrohungen zugreifen können. Lässt Benutzer auf Dateien mit potenziellen Bedrohungen zugreifen. Setzt den Datei-Scan fort, wenn eine Bedrohung erkannt wurde. Der Scanner verschiebt keine Elemente in die Quarantäne. Entfernt die Bedrohung aus dem potenziell unerwünschten Programm, wenn möglich. Löscht potenziell unerwünschte Programmdateien. McAfee Endpoint Security 10 Produkthandbuch 123

124 6 Client-Schnittstellenreferenz Hinzufügen oder Bearbeiten von Ausschlüssen Tabelle 6-17 (Fortsetzung) Abschnitt Option Beschreibung Scan-Typ Wenn erste Reaktion fehlschlägt On-Access-Scan On-Demand-Scan Legt die Aktion fest, die der Scanner durchführen soll, wenn ein unerwünschtes Programm erkannt wurde und die erste Reaktion fehlschlägt. Diese Option ist nur verfügbar, wenn Unerwünschte Programme erkennen ausgewählt wurde. Zugriff auf Dateien verweigern Zugriff auf Dateien zulassen Scan fortsetzen Dateien löschen Verhindert, dass Benutzer auf Dateien mit potenziellen Bedrohungen zugreifen können. Lässt Benutzer auf Dateien mit potenziellen Bedrohungen zugreifen. Setzt den Datei-Scan fort, wenn eine Bedrohung erkannt wurde. Der Scanner verschiebt keine Elemente in die Quarantäne. Löscht automatisch potenziell unerwünschte Programmdateien. Threat Prevention On-Access Scan auf Seite 112 Threat Prevention On-Demand-Scan auf Seite 116 Hinzufügen oder Bearbeiten von Ausschlüssen Fügt eine Ausschlussdefinition hinzu oder bearbeitet diese. Tabelle 6-18 Abschnitt Option Beschreibung Scan-Typ Auszuschließende Elemente Muster Bei Zugriff Auf Anforderung Legt den Ausschlusstyp und die Ausschlussdetails fest. Legt das Muster für den Ausschluss fest. Wählen Sie, falls erforderlich, Unterordner ebenfalls ausschließen aus. Zeitpunkt für Ausschluss Dateityp Dateialter Legt die auszuschließenden Dateitypen (Dateierweiterungen) fest. Legt den Zugriffstyp (GeändertZugriff am oder Erstellt) der auszuschließenden Dateien fest und das Mindestalter in Tagen. Legt fest, wann das ausgewählte Element ausgeschlossen werden soll. 124 McAfee Endpoint Security 10 Produkthandbuch

125 Client-Schnittstellenreferenz Threat Prevention Optionen 6 Tabelle 6-18 (Fortsetzung) Abschnitt Option Beschreibung Scan-Typ Beim Schreiben auf oder Lesen von einem Datenträger Beim Lesen von einem Datenträger Beim Schreiben auf einen Datenträger Schließt Dateien vom Scannen aus, wenn sie auf einen Datenträger geschrieben oder von einem Datenträger (oder einem anderen Datenspeichergerät) gelesen werden. Schließt Dateien vom Scannen aus, wenn sie vom Computer (oder einem anderen Datenspeichergerät) gelesen werden. Schließt alle Dateien vom Scan aus, wenn sie auf den Datenträger (oder ein anderes Datenspeichergerät) geschrieben oder darauf geändert werden. Threat Prevention On-Access Scan auf Seite 112 Threat Prevention On-Demand-Scan auf Seite 116 Bei Zugriff Auf Anforderung Threat Prevention Optionen Konfiguriert die Einstellungen für die Threat Prevention-Funktion, einschließlich Quarantäne, potenziell unerwünschte Programme und Ausschlüsse. Siehe Common Optionen auf Seite 92-Einstellungen für Protokollierungskonfiguration. Tabelle 6-19 Dieser Abschnitt diese enthält nur Erweiterten Optionen. Abschnitt Option Beschreibung Quarantäne-Manager Quarantäne-Verzeichnis Geben Sie einen Speicherort für den Quarantäne-Ordner an, oder akzeptieren Sie den Standardspeicherort: c:\quarantine Maximale Speicherdauer der Quarantänedaten in Tagen festlegen Legt die Dauer in Tagen (1 999) fest, für die isolierte Elemente vor ihrer automatischen Löschung gespeichert werden. Die Standardeinstellung ist 30 Tage. McAfee Endpoint Security 10 Produkthandbuch 125

126 6 Client-Schnittstellenreferenz Rollback von AMCore Content Tabelle 6-19 (Fortsetzung) Abschnitt Option Beschreibung Ausschluss nach Erkennungsname Diese Erkennungsnamen ausschließen Gibt Erkennungsausschlüsse nach Erkennungsname an. Um beispielsweise festzulegen, dass der On-Access-Scanner und der On-Demand-Scanner keine Bedrohungen bei Installationsüberprüfungen erkennt, geben Sie Installationsüberprüfung ein. Hinzufügen Löschen Fügt der Ausschlussliste einen Erkennungsnamen hinzu. Klicken Sie auf Hinzufügen, und geben Sie dann den Erkennungsnamen ein. Entfernt einen Erkennungsnamen von der Ausschlussliste. Wählen Sie den Namen aus, und klicken Sie dann auf Löschen. Erkennung von potenziell unerwünschten Programmen Schließen Sie benutzerdefinierte unerwünschte Programme aus Legt bestimmte Dateien oder Programme fest, die als potenziell unerwünschte Programme behandelt werden sollen. Die Scanner erkennt die Programme, die Sie festlegen sowie Programme, die in den AMCore Content-Dateien festgelegt sind. Der Scanner berücksichtigt keine benutzerdefinierten unerwünschten Programme mit einer Dateigröße von 0 Byte. Hinzufügen Löschen Definiert ein benutzerdefiniertes unerwünschtes Programm. Klicken Sie auf Hinzufügen, geben Sie den Namen ein, und drücken Sie dann die Tab-Taste, um die Beschreibung einzugeben. Name Gibt den Dateinamen des potenziell unerwünschten Programms an. Beschreibung Gibt die Informationen an, die im Fall einer Erkennung als Erkennungsname angezeigt werden. Entfernt ein potenziell unerwünschtes Programm von der Liste. Wählen Sie das Programm aus der Tabelle, und klicken Sie auf Entfernen. Konfigurieren gemeinsamer Scan-Einstellungen auf Seite 60 Rollback von AMCore Content Ändert den AMCore Content auf eine frühere Version. 126 McAfee Endpoint Security 10 Produkthandbuch

127 Client-Schnittstellenreferenz Seite Firewall Optionen 6 Option Zu ladende Version auswählen Beschreibung Legt die Versionsnummern einer früheren AMCore Content-Datei fest, die geladen werden soll. Endpoint Security speichert die letzten zwei Versionen auf dem Client-System. Wenn Sie auf eine frühere Version ändern, entfernt Endpoint Security die aktuelle Version von AMCore Content vom System. Ändern der AMCore Content-Version auf Seite 25 Seite Firewall Optionen Aktiviert und deaktiviert das Firewall-Modul und legt Schutzoptionen fest. Siehe Common Optionen auf Seite 92-Einstellungen für Protokollierungskonfiguration. Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie müssen als Administrator angemeldet sein. Tabelle 6-21 Abschnitt Option Beschreibung Schutzoptionen Firewall aktivieren Datenverkehr für nicht unterstützte Protokolle zulassen Nur ausgehenden Datenverkehr bis zum Start der Firewall-Dienste zulassen Aktiviert und deaktiviert das Firewall-Modul. Lässt allen Datenverkehr zu, bei dem nicht unterstützte Protokolle verwendet werden. Bei Deaktivierung wird der Datenverkehr für nicht unterstützte Protokolle vollständig blockiert. Lässt ausgehenden Datenverkehr zu, jedoch keinen eingehenden, der Firewall-Dienst gestartet wird. Wenn diese Option deaktiviert ist, lässt Firewall sämtlichen Datenverkehr vor Starten der Dienste zu. Datenverkehr über Bridge zulassen IP-Spoofing-Schutz aktivieren Lässt Datenverkehr mit einer lokalen MAC-Adresse zu. Die MAC-Adresse ist eine Adresse aus der Liste der VMs, die Firewall unterstützt (nicht die MAC-Adresse des lokalen Systems). Mit dieser Option lassen Sie den Datenverkehr über eine Bridge-Umgebung mit virtuellen Maschinen zu. Blockiert Netzwerkverkehr von nicht lokalen Host-IP-Adressen oder lokalen Prozessen, die versuchen, ihre IP zu fälschen. McAfee Endpoint Security 10 Produkthandbuch 127

128 6 Client-Schnittstellenreferenz Seite Firewall Optionen Tabelle 6-21 (Fortsetzung) Abschnitt Option Beschreibung Firewall-Eindringungswarnungen aktivieren Zeigt automatisch Warnungen an, wenn Firewall einen potenziellen Angriff erkennt. DNS-Blockierung Domänenname Definiert zu blockierende Domänennamen. Diese -Einstellung fügt eine Regel am Anfang der Firewall-Regelliste hinzu, die Verbindungen zu den IP-Adressen, die in die Domänennamen aufgelöst werden, blockiert. Hinzufügen Fügt der Sperrliste einen Domänennamen hinzu. Sie können * und? als Platzhalterzeichen verwenden. Beispiel: *domain.com. Trennen Sie mehrere Domänen durch ein Komma (,) oder den Wagenrücklauf. Alle doppelten Einträge werden automatisch entfernt. Löschen Entfernt den ausgewählten Domänennamen aus der Liste. Tabelle 6-22 Erweiterte Optionen Abschnitt Option Beschreibung Optimierungsoptionen Adaptiven Modus aktivieren Erstellt automatisch Regeln zum Zulassen von Datenverkehr. Aktivieren Sie diese Option kurzzeitig, während Sie eine Bereitstellung optimieren. Allen blockierten Datenverkehr protokollieren Allen zugelassenen Datenverkehr protokollieren Protokolliert allen blockierten Datenverkehr im Firewall-Ereignisprotokoll (FirewallEventMonitor.log) auf dem Endpoint Security Client. (Standardmäßig aktiviert) Protokolliert allen zugelassenen Datenverkehr im Firewall-Ereignisprotokoll (FirewallEventMonitor.log) auf dem Endpoint Security Client. (Standardmäßig deaktiviert) Die Aktivierung dieser Option kann sich negativ auf die Leistung auswirken. Netzwerkreputation für McAfee GTI McAfee GTI-Ereignisse an Server senden Sendet Ereignisse an den McAfee epo-server, wenn McAfee GTI die Schwellenwerteinstellung zum Blockieren von eingehendem oder ausgehendem Datenverkehr erreicht. (Standardmäßig deaktiviert) Sämtliche IP-Adressen für vertrauenswürdige Netzwerke sind von McAfee GTI-Suchen ausgeschlossen. 128 McAfee Endpoint Security 10 Produkthandbuch

129 Client-Schnittstellenreferenz Seite Firewall Regeln 6 Tabelle 6-22 Erweiterte Optionen (Fortsetzung) Abschnitt Option Beschreibung Reputationsschwellenwert des eingehenden/ausgehenden Netzwerks Legt den Bewertungsschwellenwert von McAfee GTI fest, ab dem ein- oder ausgehender Datenverkehr über eine Netzwerkverbindung blockiert werden soll. Nicht blockieren Hohes Risiko Mittleres Risiko Nicht verifiziert Bei dieser Site handelt es sich um eine zulässige Quelle oder ein zulässiges Ziel für Inhalte/Datenverkehr. Diese Quelle bzw. dieses Ziel sendet oder hostet potenziell bösartigen Inhalt/Datenverkehr, den McAfee als riskant einstuft. Diese Quelle bzw. dieses Ziel weist Verhalten auf, das McAfee als verdächtig einstuft. Inhalte oder Datenverkehr von der Site sind genau zu prüfen. Bei dieser Site handelt es sich offenbar um eine zulässige Quelle oder ein zulässiges Ziel für Inhalte/ Datenverkehr, allerdings weisen mehrere Eigenschaften darauf hin, dass eine weitere Untersuchung erforderlich ist. Statusbehaftete Firewall Zeitlimit für TCP-Verbindung (in Sekunden, 1-240) UDP- und ICMP-Echo-Zeitlimit für virtuelle Verbindungen (in Sekunden, 1-300) Legt die Zeit in Sekunden fest, während der eine nicht hergestellte TCP-Verbindung aktiv bleibt, wenn keine weiteren mit der Verbindung übereinstimmenden Pakete gesendet oder empfangen werden. Der Standardwert ist 30; der gültige Bereich liegt zwischen 1 und 240. Legt die Zeit in Sekunden fest, während der eine virtuelle UDP- oder ICMP-Echo-Verbindung aktiv bleibt, wenn keine weiteren mit der Verbindung übereinstimmenden Pakete gesendet oder empfangen werden. Die Option setzt die Zeit jedes Mal auf den konfigurierten Wert zurück, wenn ein Paket, das mit der virtuellen Verbindung übereinstimmt, gesendet oder empfangen wird. Der Standardwert ist 30; der gültige Bereich liegt zwischen 1 und 300. Konfigurieren der Firewall-Optionen auf Seite 64 Seite Firewall Regeln Verwaltet Firewall-Regeln und -Gruppen. Sie können nur Regeln und Gruppen in der Gruppe User added hinzufügen und löschen. McAfee Endpoint Security 10 Produkthandbuch 129

130 6 Client-Schnittstellenreferenz Seite Firewall Regeln Tabelle 6-23 Abschnitt Option Beschreibung Regel Gruppe REGELN Regel hinzufügen Fügt eine Firewall-Regel hinzu. Unter Seite Regeln und Gruppen hinzufügen oder auf Seite 130 finden Sie weitere Informationen. Gruppe hinzufügen Fügt eine Firewall-Gruppe hinzu. Duplizieren Erstellt eine Kopie des ausgewählten Elements. Löschen Entfernt ein ausgewähltes Firewall-Element. Gibt Elemente an, die in der Liste verschoben werden können. Wählen Sie Elemente aus, und verschieben Sie sie durch Ziehen und Ablegen an ihren neuen Standort. Eine blaue Linie erscheint zwischen Elementen, wo Sie die gezogenen Elemente ablegen können. Erstellen und Verwalten von Firewall-Regeln und -Gruppen auf Seite 72 Seite Regeln und Gruppen hinzufügen oder auf Seite 130 Seite Regeln und Gruppen hinzufügen oder Zum Hinzufügen oder Bearbeiten von Firewall-Regeln und -Gruppen. Tabelle 6-24 Abschnitt Option Beschreibung Regel Gruppe Beschreibung Name Legt den beschreibenden Namen des Elements fest (erforderlich). Status Aktiviert oder deaktiviert das Element. Aktionen festlegen Richtung Zulassen Zeigt Datenverkehr über die Firewall an, wenn das Element übereinstimmt. Blockieren Stoppt Datenverkehr über die Firewall, wenn das Element übereinstimmt. Regelübereinstimmung als Intrusion behandeln Behandelt Datenverkehr, der der Regel entspricht, als Angriff und erstellt ein Ereignis, das an den McAfee epo-server gesendet wird. Für die Regel muss die Aktion Blockieren ausgewählt werden, damit ein Ereignis erstellt werden kann. Übereinstimmenden Verkehr protokollieren Speichert einen Datensatz des übereinstimmenden Datenverkehrs im Firewall-Aktivitätsprotokoll auf dem Endpoint Security Client. Legt die Richtung fest: Ein Überwacht eingehenden Datenverkehr. Aus Überwacht ausgehenden Datenverkehr. Beide Überwacht ein- und ausgehenden Datenverkehr. Speicherort Hinweise Bietet weitere Informationen über das Element. Standortbewusstsein aktivieren Aktiviert oder deaktiviert die Speicherortinformationen für die Gruppe. 130 McAfee Endpoint Security 10 Produkthandbuch

131 Client-Schnittstellenreferenz Seite Firewall Regeln 6 Tabelle 6-24 (Fortsetzung) Abschnitt Option Beschreibung Regel Gruppe Name Verbindungsisolierung aktivieren Legt den Namen des Speicherorts fest (erforderlich). Blockiert Datenverkehr auf nicht mit der Gruppe übereinstimmenden Netzwerkadaptern, falls ein mit der Gruppe übereinstimmender Adapter zur Verfügung steht. Einstellungen für Transport und Ausführbare Dateien sind für Verbindungsisolierungsgruppen nicht verfügbar. Eine mögliche Anwendung dieser Option ist das Blockieren von Netzwerkverkehr potenziell unerwünschten Ursprungs von außerhalb des Unternehmensnetzwerks in das Unternehmen hinein. Ein solches Blockieren ist nur dann möglich, wenn der Netzwerkverkehr nicht bereits durch eine vor der Gruppe gelegene Regel der Firewall zugelassen wurde. Wenn die Verbindungsisolierung aktiviert ist und ein Netzwerkadapter (NIC) mit der Gruppe übereinstimmt, wird nur in folgenden Fällen Datenverkehr zugelassen: Der Datenverkehr stimmt mit einer Zulassungsregel überein, die vor der Gruppe liegt. Der durch einen Netzwerkadapter verlaufende Datenverkehr stimmt mit der Gruppe überein, und es ist eine Regel in oder unterhalb der Gruppe vorhanden, die den Datenverkehr zulässt. Falls kein Netzwerkadapter mit der Gruppe übereinstimmt, wird diese ignoriert, und die Regelübereinstimmung wird fortgesetzt. Erforderlich machen, dass epolicy Orchestrator erreichbar ist Lässt die Gruppenübereinstimmung nur bei Kommunikation mit dem McAfee epo-server und nach Auflösung des Server-FQDN zu. McAfee Endpoint Security 10 Produkthandbuch 131

132 6 Client-Schnittstellenreferenz Seite Firewall Regeln Tabelle 6-24 (Fortsetzung) Abschnitt Option Beschreibung Regel Gruppe Standortkriterien Verbindungsspezifisches DNS-Suffix Standard-Gateway DHCP-Server DNS-Server Primärer WINS Sekundärer WINS Domänenerreichbarkeit Beispiel: IPv Legt ein verbindungsspezifisches DNS-Suffix im Format beispiel.com fest. Gibt eine einzelne IP-Adresse für ein Standard-Gateway im IPv4- oder IPv6-Format an. Gibt eine einzelne IP-Adresse für einen DHCP-Server im IPv4- oder IPv6-Format an. Gibt eine einzelne IP-Adresse für einen DNS im IPv4- oder IPv6-Format an: Gibt eine einzelne IP-Adresse für einen primären WINS-Server im IPv4- oder IPv6-Format an. Gibt eine einzelne IP-Adresse für einen sekundären WINS-Server im IPv4- oder IPv6-Format an. Überprüft, ob die angegebene Domäne erreichbar ist. IPv6 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 132 McAfee Endpoint Security 10 Produkthandbuch

133 Client-Schnittstellenreferenz Seite Firewall Regeln 6 Tabelle 6-24 (Fortsetzung) Abschnitt Option Beschreibung Regel Gruppe Registrierungsschlüssel Legt den Registrierungsschlüssel und Schlüsselwert fest. 1 Geben Sie im ersten Feld einen Registrierungsschlüssel im Format <ROOT>\<KEY>\[VALUE_NAME] ein. Unter <ROOT> muss der ganze Stammname angegeben werden, wie beispielsweise HKEY_LOCAL_MACHINE, und nicht der gekürzte HKLM. <KEY> ist der Schlüsselname im Stamm. [VALUE_NAME] ist der Name des Schlüsselwerts. Wird kein Wertname angegeben, wird der Standardwert verwendet. 2 Im zweiten Feld nach dem Gleichheitszeichen geben Sie die Daten für den Schlüsselwert ein. Um einen Registrierungsschlüssel zum Einfügen zu kopieren, klicken Sie im Registrierungs-Editor (führen Sie regedit aus) mit der rechten Maustaste auf einen Schlüssel, und wählen Sie Schlüsselnamen kopieren aus. Netzwerke Legt die geltenden Netzwerk-Host-Optionen für das Element fest. Netzwerkprotokoll Legt das geltende Netzwerkprotokoll für das Element fest. Beliebiges Protokoll Lässt sowohl IP- als auch Nicht-IP-Protokolle zu. Ist ein Transportprotokoll oder eine Anwendung angegeben, sind nur IP-Protokolle zulässig. IP-Protokoll Schließt Nicht-IP-Protokolle aus. IPv4-Protokoll IPv6-Protokoll Wird keines der Kontrollkästchen aktiviert, gilt ein beliebiges IP-Protokoll. Sie können auch IPv4 und IPv6 gemeinsam auswählen. Nicht-IP-Protokoll Schließt nur Nicht-IP-Protokolle ein. ethertype in der Liste auswählen Legt einen ethertype fest. Benutzerdefinierten ethertype festlegen Gibt den vierstelligen ethertype des Nicht-IP-Protokolls im Hexadezimalformat ein. ethertype-werte finden Sie unter Ethernet-Nummern. Beispiel: Für AppleTalk lautet der Wert 809B, für NetBEUI 8191 und für IP McAfee Endpoint Security 10 Produkthandbuch 133