Symantec AntiVirus Update zum Administratorhandbuch

Transkript

1 Symantec AntiVirus Update zum Administratorhandbuch

2 Update zum Symantec AntiVirus Administratorhandbuch Die im vorliegenden Handbuch beschriebene Software wird im Rahmen einer Lizenzvereinbarung zur Verfügung gestellt und darf nur im Einklang mit den Bestimmungen dieser Vereinbarung verwendet werden. Dokumentation Version Rechtlicher Hinweis Copyright 2006 Symantec Corporation. Alle Rechte vorbehalten. Erwerb durch Bundesbehörden: Kommerzielle Software - die Benutzung durch Mitarbeiter der US-Regierung unterliegt den allgemeinen Lizenzbestimmungen und -bedingungen. Symantec, das Symantec-Logo, LiveUpdate, Norton AntiVirus, Symantec AntiVirus, Symantec Client Security, Symantec Security Response und Symantec System Center sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer Tochterfirmen in den USA oder anderen Ländern. Andere Namen können Marken ihrer jeweiligen Inhaber sein. Das in diesem Dokument beschriebene Produkt wird lizenziert vertrieben. Die Lizenzen beschränken die Verwendung, Vervielfältigung, Verteilung und Dekompilierung bzw. Rückentwicklung des Produkts. Kein Teil dieses Dokuments darf ohne vorherige schriftliche Zustimmung von Symantec Corporation und ihrer Lizenzgeber, sofern vorhanden, in irgendeiner Form reproduziert werden. DIE DOKUMENTATION WIRD OHNE MÄNGELGEWÄHR BEREITGESTELLT. ALLE AUSDRÜCKLICHEN UND STILLSCHWEIGENDEN VORAUSSETZUNGEN, DARSTELLUNGEN UND GEWÄHRLEISTUNGEN, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER NICHT-BEEINTRÄCHTIGUNG, SIND AUSGESCHLOSSEN, AUSSER IN DEM UMFANG, IN DEM SOLCHE HAFTUNGSAUSSCHLÜSSE ALS NICHT RECHTSGÜLTIG ANGESEHEN WERDEN. SYMANTEC CORPORATION IST NICHT FÜR BEILÄUFIG ENTSTANDENE SCHÄDEN ODER FÜR FOLGESCHÄDEN VERANTWORTLICH, DIE IN VERBINDUNG MIT DER ERWORBENEN LEISTUNG ODER DER VERWENDUNG DIESER DOKUMENTATION STEHEN. DIE IN DIESER DOKUMENTATION ENTHALTENEN INFORMATIONEN KÖNNEN JEDERZEIT OHNE ANKÜNDIGUNG GEÄNDERT WERDEN. Die lizenzierte Software und die Dokumentation werden gemäß der Definitionen in FAR-Abschnitt und DFARS-Abschnitt als "kommerzielle Computersoftware" and "kommerzielle Softwaredokumentation" erachtet. Symantec Corporation Stevens Creek Blvd. Cupertino, CA USA

3 Lösungen für Service und Unterstützung Registrierung und Lizenzierung Sicherheits-Updates Symantec bemüht sich weltweit um ausgezeichnete Serviceleistungen. Unser Ziel ist, Ihnen professionelle Hilfestellung bei der Anwendung unserer Software zu leisten und professionelle Dienste anzubieten ganz gleich, in welchem Land. Die Angebote für Service und Unterstützung sind von Land zu Land unterschiedlich. Wenn Sie Fragen zu den unten beschriebenen Dienstleistungen haben, lesen Sie bitte den Abschnitt "Alle Kontaktinformationen auf einen Blick". Falls für das von Ihnen installierte Produkt eine Registrierung und/oder ein Lizenzschlüssel erforderlich sind, bietet unsere Lizenz- und Registrierungssite unter (auf Englisch) eine schnelle und einfache Methode zur Registrierung Ihres Dienstes. Sie können aber auch auf der Site das Produkt auswählen, das Sie registrieren möchten, und auf der Produkt-Homepage den Link "Lizenzierung und Registrierung" wählen. Wenn Sie ein Unterstützungsabonnement erworben haben, können Sie technische Unterstützung über Telefon und Internet in Anspruch nehmen. Halten Sie bei der ersten Kontaktaufnahme entweder die Lizenznummer aus Ihrem Lizenzzertifikat oder die bei der Unterstützungsregistrierung erzeugte Kontakt-ID bereit, so dass ein Mitarbeiter der technischen Unterstützung ihre Berechtigung überprüfen kann. Wenn Sie kein Unterstützungsabonnement erworben haben, erfahren Sie Einzelheiten zum Erwerb technischer Unterstützung über Ihren Händler oder den Symantec-Kundenservice. Aktuelle Informationen zu Viren und Sicherheitsbedrohungen finden Sie auf der Symantec Security Response-Website (vormals Antivirus Research Centre) unter folgender Adresse: Diese Site enthält umfassende Online-Informationen zu Sicherheits- und Virenbedrohungen sowie die neuesten Virendefinitionen. Virendefinitionen können außerdem mithilfe der LiveUpdate-Funktion Ihres jeweiligen Produkts heruntergeladen werden. Erneuern des Abonnements für Virendefinitions-Updates Wenn Sie zusammen mit Ihrem Produkt einen Wartungsvertrag erwerben, sind Sie ein Jahr lang zum Bezug kostenloser Virendefinitionen über das Internet

4 Symantec-Websites: berechtigt. Nach Ablauf Ihres Wartungsvertrags erhalten Sie Informationen zur Erneuerung des Vertrags über Ihren Händler oder den Symantec-Kundenservice. Symantec-Homepage (nach Sprache): Deutsch: Englisch: Französisch: Italienisch: Niederländisch: Portugiesisch: Spanisch: Symantec Security Response: Service und Unterstützung für Symantec Enterprise: Produktspezifisches Newsbulletin: USA, Asien - Pazifik/Englisch: Europa, Nahost und Afrika/Englisch: Deutsch: Französisch: Italienisch:

5 Lateinamerika/Englisch: Technische Unterstützung Als Teil von Symantec Security Response verfügt unser globales Team für die technische Unterstützung weltweit über Support-Zentren. Vorrangige Aufgabe ist die Beantwortung von Fragen zu Produktfunktionen, zur Installation und zur Konfiguration sowie die Bereitstellung von aktuellen Informationen in unserer webbasierten Unterstützungsdatenbank. Dabei arbeiten wir eng mit anderen Unternehmensbereichen von Symantec zusammen, um Ihre Fragen schnellstmöglich zu beantworten. In enger Kooperation mit den Product Engineering- und Security Research Center-Experten bieten wir Ihnen umfassende Warndienste und Virendefinitions-Updates für Virenausbrüche und Sicherheitswarnungen. Unser Angebot umfasst u. a.: Zahlreiche Unterstützungsoptionen, mit denen Sie den Umfang des für Ihre Unternehmensgröße benötigten Supports flexibel wählen können. Telefon- und Internetunterstützung, über die Sie schnelle Hilfe und aktuelle Informationen erhalten. Produkt-Updates gewährleisten automatischen Schutz durch Software-Upgrades. Inhalts-Updates für Virendefinitionen und Sicherheits-Signaturen sorgen für optimalen Schutz. Der globale Support durch die Experten von Symantec Security Response steht Ihnen weltweit rund um die Uhr (24x7) in zahlreichen Sprachen zur Verfügung. Erweiterte Funktionen wie beispielsweise der Symantec Alerting Service und der persönliche Technical Account Manager gewährleisten verbesserte Reaktionszeiten und proaktiven Sicherheits-Support. Aktuelle Informationen über unsere Unterstützungsprogramme finden Sie auf unserer Website. Kontakt Kunden mit einem gültigen Unterstützungsvertrag können sich telefonisch oder über das Internet an die technische Unterstützung wenden, entweder unter der nachstehenden URL oder über die weiter hinten in diesem Dokument aufgeführten regionalen Unterstützungssites. Halten Sie dabei die folgenden Informationen bereit: Nummer des Produkt-Release

6 Hardware-Informationen Verfügbarer Arbeitsspeicher, freier Festplattenspeicher, installierte Netzwerkkarte Betriebssystem Versions- und Patch-Nummer Netzwerktopologie Router, Gateway und IP-Adressinformationen Beschreibung des Problems Fehlermeldungen/Protokolldateien Die vor der Kontaktaufnahme mit Symantec durchgeführten Schritte zur Problemlösung Kürzlich durchgeführte Änderungen der Software- und/oder Netzwerkkonfiguration Kundenservice Das Symantec-Kundenservice-Center hilft Ihnen bei nicht-technischen Anfragen, beispielsweise: Allgemeine Produktinformationen (z. B. Leistungsmerkmale, Preise, Sprachverfügbarkeit, Händler in Ihrer Nähe usw.) Hilfe bei einfachen Problemen, z. B. wie Sie Ihre Versionsnummer überprüfen können Neueste Informationen zu Produkt-Updates und -Upgrades Wie Sie Ihr Produkt aktualisieren oder eine neue Version (Upgrade) installieren können Wie Sie Ihr Produkt und/oder Lizenzen registrieren können Informationen zu den Lizenzprogrammen von Symantec Informationen zu Upgrade-Versicherung und Wartungsverträgen Ersatz fehlender CDs und Handbücher Aktualisierung Ihrer Registrierungsdaten bei Adress- und Namensänderungen Beratung zu den Optionen der technischen Unterstützung von Symantec Ausführliche Kundenservice-Informationen erhalten Sie auf der Symantec-Website für Service und Unterstützung oder durch einen Anruf beim Kundenservice-Center von Symantec. Die Webadressen und die Nummer Ihres lokalen

7 Kundenservice-Centers finden Sie unter "Alle Kontaktinformationen auf einen Blick". Alle Kontaktinformationen auf einen Blick Europa, Naher Osten und Lateinamerika Symantec-Websites für Service und Unterstützung Deutsch: Englisch: Französisch: Italienisch: Niederländisch: Portugiesisch: Spanisch: Symantec FTP: ftp.symantec.com (Herunterladen von technischen Hinweisen und neuesten Patches) Besuchen Sie "Symantec Service und Unterstützung" im Internet. Dort finden Sie technische und allgemeine Informationen zu Ihrem Produkt. Symantec Security Response: Produktspezifisches Newsbulletin: USA/Englisch: Europa, Nahost und Afrika/Englisch: Deutsch: Französisch:

8 Italienisch: Lateinamerika/Englisch: Symantec-Kundenservice Bietet allgemeine Produktinformationen und Beratung per Telefon in den folgenden Sprachen: Englisch, Deutsch, Französisch und Italienisch. Belgien: + (32) Dänemark: + (45) Deutschland: + (49) Finnland: + (358) Frankreich: + (33) Großbritannien: + (44) Irland: + (353) Italien: + (39) Luxemburg: + (352) Niederlande: + (31) Norwegen: + (47) Österreich: + (43) Schweden: + (46) Schweiz: + (41)

9 Spanien: + (34) Südafrika: + (27) Andere Länder: + (353) (Nur in englischer Sprache) Symantec-Kundenservice - Korrespondenzadresse Symantec Ltd Customer Service Centre Europe, Middle East and Africa (EMEA) PO Box 5689 Dublin 15 Irland Für Lateinamerika Symantec bietet weltweit technische Unterstützung und Kundenservice. Die Dienstleistungen sind von Land zu Land unterschiedlich und umfassen internationale Partner in Regionen, in denen keine Symantec-Geschäftsstelle vorhanden ist. Bitte wenden Sie sich für allgemeine Informationen an die Symantec-Geschäftsstelle für Service und Unterstützung in Ihrer Region. ARGENTINIEN Pte. Roque Saenz Peña Piso 6 C1035AAQ, Ciudad de Buenos Aires Argentinien Hauptrufnummer: +54 (11) WebSite: Gold Support: VENEZUELA Avenida Francisco de Miranda. Centro Lido Torre D. Piso 4, Oficina 40 Urbanización el Rosal 1050, Caracas D.F. Dong Cheng District Venezuela Hauptrufnummer: +58 (212) Website: Gold Support:

10 COLUMBIEN Carrera 18# 86A-14 Oficina 407, Bogota D.C. Columbien Hauptrufnummer: +57 (1) Website: Gold Support: BRASILIEN Symantec Brasil Market Place Tower Av. Dr. Chucri Zaidan, andar São Paulo - SP CEP: Brasilien, SA Hauptrufnummer: +55 (11) Fax: +55 (11) Website: Gold Support: CHILE Alfredo Barros Errazuriz 1954 Oficina 1403 Providencia, Santiago de Chile Chile Hauptrufnummer: +56 (2) Website: Gold Support: MEXIKO Boulevard Adolfo Ruiz Cortines 3642 Piso 8, Colonia Jardines del Pedregal, 01900, Mexico D.F. Mexiko Hauptrufnummer: +52 (55) Website: Gold Support:

11 ÜBRIGES LATEINAMERIKA 9155 South Dadeland Blvd. Suite 1100, Miami, FL U.S.A Website: Gold Support: Costa Rica: Panama: Puerto Rico: Für Asien-Pazifik Symantec bietet weltweit technische Unterstützung und Kundenservice. Die Dienstleistungen sind von Land zu Land unterschiedlich und umfassen internationale Partner in Regionen, in denen keine Symantec-Geschäftsstelle vorhanden ist. Bitte wenden Sie sich für allgemeine Informationen an die Symantec-Geschäftsstelle für Service und Unterstützung in Ihrer Region. Geschäftsstellen für Service und Unterstützung AUSTRALIEN Symantec Australia Level 2, 1 Julius Avenue North Ryde, NSW 2113 Australien Hauptrufnummer: Fax: Website: Gold Support: gold.au@symantec.com Support Contracts Admin: contractsadmin@symantec.com CHINA Symantec China Unit 1-4, Level 11, Tower E3, The Towers, Oriental Plaza No.1 East Chang An Ave., Dong Cheng District Beijing China P.R.C. Hauptrufnummer: Technische Unterstützung:

12 Fax: Website: HONGKONG Symantec Hong Kong Central Plaza Suite # th Floor, 18 Harbour Road Wanchai HongKong Hauptrufnummer: Technische Unterstützung: Fax: Website: INDIEN Symantec India Suite #801 Senteck Centrako MMTC Building Bandra Kurla Complex Bandra (East) Mumbai , Indien Hauptrufnummer: Technische Unterstützung: Fax: Website: KOREA Symantec Korea 15,16th Floor Dukmyung B/D Samsung-Dong KangNam-Gu Seoul Südkorea Hauptrufnummer: Technische Unterstützung: Fax: Website:

13 MALAYSIA Symantec Corporation (Malaysia) Sdn Bhd 31-3A Jalan SS23/15 Taman S.E.A Petaling Jaya Selangor Darul Ehsan Malaysia Hauptrufnummer: Technische Unterstützung: Enterprise Enterprise gebührenfrei: Website: NEUSEELAND Symantec New Zealand Level 5, University of Otago Building 385 Queen Street Auckland Central 1001 Neuseeland Hauptrufnummer: Fax: Website für Unterstützung: Gold Support: gold.nz@symantec.com Support Contracts Admin: contractsadmin@symantec.com SINGAPUR Symantec Singapore 6 Battery Road #22-01/02/03 Singapur Hauptrufnummer: Fax: Technische Unterstützung: Website:

14 TAIWAN Symantec Taiwan 2F-7, No.188 Sec.5 Nanjing E. Rd., 105 Taipei Taiwan Hauptrufnummer: Corporate Support: Fax: Gold Support: gold.nz@symantec.com Website: Wir haben uns um größtmögliche Genauigkeit der Informationen in diesem Dokument bemüht. Die Informationen unterliegen jedoch gelegentlichen Änderungen. Symantec Corporation behält sich das Recht vor, solche Änderungen ohne vorherige Ankündigung vorzunehmen.

15 Inhalt Lösungen für Service und Unterstützung Kapitel 1 Kapitel 2 Kapitel 3 Einführung in die Aktualisierungen des Administratorhandbuchs Allgemeines zu den Aktualisierungen des Symantec AntiVirus Administratorhandbuchs Allgemeines zu dieser Version von Symantec AntiVirus Aktualisierung des Kapitels "Symantec AntiVirus Grundlagen" Allgemeines zu Symantec AntiVirus Symantec System Center Symbole der Symantec System Center-Konsole Symantec System Center starten Allgemeines zu Konsolenansichten Client-Infektionsstatus anzeigen Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Allgemeines zu Server-Gruppen und Client-Gruppen Informationen zur Verwendung von Server-Gruppen, Client-Gruppen oder beiden Gruppen Grc.dat-Dateien Suchen des Symantec AntiVirus-Programmordners Client-Gruppen und Konfigurationsprioriät Übernehmen von Einstellungen Szenario für Server- und Client-Gruppen Sperren und Entsperren von Server-Gruppen Server-Gruppen und Server-Wurzelzertifikate Best Practice: Aufrechterhalten der Server-Client-Kommunikation Client-Verbindung wiederherstellen, wenn ein Primär-Server verloren gegangen ist Wiederherstellen der Verbindung zu einer Server-Gruppe... 42

16 16 Inhalt Symantec AntiVirus so konfigurieren, dass Windows-Sicherheitscenter deaktiviert wird Überwachung von Clients Deaktivieren der Client-Überwachung Dynamischer Check-in von übergeordneten Servern Verwenden des Manipulationsschutzes Manipulationsschutz aktivieren, deaktivieren und konfigurieren Wiederherstellen der Verbindung zwischen Servern und verwalteten Client-Computern Wiederherstellen der Verbindung nach einer Änderung am Server oder einer Neuinstallation eines Client-Computers Wiederherstellen der Verbindung bei Verwendung eines Laufwerk-Image zum Erstellen von Klonen auf demselben Netzwerk Wiederherstellen der Verbindung, wenn die Client-Computer Definitionsaktualisierungen empfangen können Wiederherstellen der Verbindung, wenn die Client-Computer keine Definitionsaktualisierungen empfangen können Kapitel 4 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Allgemeines zu Symantec AntiVirus -Prüfungen Allgemeines zum automatischen Ausschließen von Microsoft Exchange-Dateien und Verzeichnissen Allgemeines zum globalen Ausschluss von Sicherheitsrisiken bei Prüfungen Wissenswertes zu Auto-Protect-Prüfungen Allgemeines zu Virenensuchaktionen Allgemeines zu in Prüfungen zu berücksichtigenden und auszuschließenden Elementen Einschließen und Ausschließen von Dateien und Ordnern konfigurieren Wenn -Anwendungen eine einzige Posteingangsdatei verwenden Globale Sicherheitsrisikoausschlüsse konfigurieren Konfigurieren von Auto-Protect Auto-Protect für das Dateisystem konfigurieren Auto-Protect- -Prüfung für Groupware-Anwendungen konfigurieren Auto-Protect- -Prüfung für Internet- konfigurieren

17 Inhalt 17 Konfiguration manueller Prüfungen Erstellen und Konfigurieren von geplanten Prüfungen Geplante Prüfungen erstellen Geplante Prüfungen konfigurieren Berechtigungen von Client-Benutzern verwalten Prüfoptionen für Clients ändern Kapitel 5 Kapitel 6 Kapitel 7 Aktualisierung des Kapitels "Aktualisierung der Definitionen" Allgemeines zu Definitionen Aktualisierungsmethoden für Definitionsdateien Server mit dem Transportverfahren für Virendefinitionen aktualisieren und konfigurieren Master-Primär-Management-Server konfigurieren Allgemeines zur Aktualisierung von NetWare-Servern mithilfe des Transportverfahrens für Virendefinitionen Aktualisieren von Virusdefinitionen mithilfe einer.xdb-datei Aktivieren und Konfigurieren von Permanentes LiveUpdate für verwaltete Clients Aktivieren von Permanentes LiveUpdate mithilfe von Symantec System Center Aktivieren und Konfigurieren von Permanentes LiveUpdate durch Ändern der Client-Registrierung Festlegen der LiveUpdate-Verwendungsrichtlinien Aktualisierung des Kapitels "Reaktion auf Vireninfektionen" Neue Berichterstellungsfunktionalität Festlegen eines lokalen Quarantäneverzeichnisses Automatisches Löschen von Daten im Quarantänebereich konfigurieren Registrierungseinstellungen für Optionen zum Löschen von Daten im Quarantäneverzeichnis Aktualisierung des Kapitels "Verlaufs- und Ereignisprotokolle" Sortieren und Filtern von Viren- und Ereignisprotokolldaten Allgemeines zu Symbolen im Ereignisprotokoll Protokolle anzeigen Weiterzuleitende Protokollereignisse festlegen Weiterleitungsstatusdatei prüfen

18 18 Inhalt Index

19 Kapitel 1 Einführung in die Aktualisierungen des Administratorhandbuchs In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu den Aktualisierungen des Symantec AntiVirus Administratorhandbuchs Allgemeines zu dieser Version von Symantec AntiVirus Allgemeines zu den Aktualisierungen des Symantec AntiVirus Administratorhandbuchs In dieser Aktualisierung werden wichtige Änderungen beschrieben, die im Symantec AntiVirus Administratorhandbuch zwischen den Versionen 10.0 und von Symantec AntiVirus vorgenommen wurden. Diese Aktualisierung enthält die neuen Informationen, die in die entsprechenden Abschnitte des vorhergehenden Symantec AntiVirus Administratorhandbuchs eingefügt wurden. Die Informationen, die sich nicht geändert haben, sind immer noch in dem Symantec AntiVirus Administratorhandbuch für Version 10,0 enthalten, das dieser Version beigefügt ist. Die Informationen sind gemäß den jeweiligen Kapiteln im vorhandenen Symantec AntiVirus Administratorhandbuch angeordnet.

20 20 Einführung in die Aktualisierungen des Administratorhandbuchs Allgemeines zu dieser Version von Symantec AntiVirus Allgemeines zu dieser Version von Symantec AntiVirus Informationen über die neuen Funktionen in dieser Version von Symantec AntiVirus sowie eine Beschreibung der Produktkomponenten finden Sie im Symantec AntiVirus Installationshandbuch.

21 Kapitel 2 Aktualisierung des Kapitels "Symantec AntiVirus Grundlagen" In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu Symantec AntiVirus Symantec System Center Symantec System Center starten Allgemeines zu Konsolenansichten Client-Infektionsstatus anzeigen Allgemeines zu Symantec AntiVirus Symantec AntiVirus bietet skalierbaren und plattformübergreifenden Schutz vor Viren und Sicherheitsrisiken auf Arbeitsstationen und Netzwerk-Servern und repariert Nebeneffekte. Mit Symantec AntiVirus haben Sie unter anderem die folgenden Möglichkeiten: Unternehmensrichtlinien zum Schutz vor Viren und Sicherheitsrisiken erstellen und umsetzen. Content-Updates wie Definitionen zu Viren und Sicherheitsrisiken abrufen. Aufgetretene Viren isolieren und löschen. Protokollierte Ereignisse analysieren.

22 22 Aktualisierung des Kapitels "Symantec AntiVirus Grundlagen" Symantec System Center Vordefinierte und benutzerdefinierbare grafische Berichte erstellen, die auf Symantec AntiVirus-Sicherheitsinformationen Ihres Netzwerks basieren. Symantec AntiVirus-Produktkomponenten und Systemanforderungen einschließlich der für Symantec AntiVirus verwendeten Protokolle und Ports werden im Symantec AntiVirus Installationshandbuch beschrieben. Hinweis: Die Client-Software von Symantec AntiVirus bietet Schutz vor Viren und Sicherheitsrisiken für unterstützte Windows -32-Bit- und -64-Bit-Computer. Die Client-Software von Symantec AntiVirus bietet Schutz für vernetzte und nicht vernetzte Computer. Der Begriff "Symantec AntiVirus" wird sowohl für die Symantec AntiVirus-Server-Software als auch für die Symantec AntiVirus-Client-Software verwendet. Ob auf Computern die Server-Software von Symantec AntiVirus installiert werden muss, hängt von den Systemanforderungen ab. Computer mit einer Server-Software-Installation von Symantec AntiVirus müssen jedoch nicht als Management-Server eingesetzt werden. Die Server-Software von Symantec AntiVirus kann andere Computer verwalten, auf denen Symantec AntiVirus und unterstützte Vorgängerversionen von Norton AntiVirus Corporate Edition ausgeführt werden. Sie kann außerdem Konfigurationsaktualisierungen sowie aktualisierte Definitionsdateien zu Viren und Sicherheitsrisiken auf diese Clients verteilen. Darüber hinaus schützt die Server-Software von Symantec AntiVirus die Computer, auf denen sie installiert ist, vor Viren und Sicherheitsrisiken. Hinweis: Die Symantec AntiVirus-Server-Software wird auf 64-Bit-Computern nicht unterstützt. Symantec System Center Mithilfe von Symantec System Center können Sie die Netzwerksicherheit verwalten und die folgenden administrativen Aufgaben ausführen: Virenschutz und Schutz vor Sicherheitsrisiken auf Arbeitsstationen und Netzwerk-Servern installieren. Symantec AntiVirus-Definitionen aktualisieren Symantec AntiVirus-Server und -Clients verwalten Content-Lizenzen verwalten, wenn Sie anstelle einer Site-Lizenz eine Content-Lizenz für Ihre Computer verwenden

23 Aktualisierung des Kapitels "Symantec AntiVirus Grundlagen" Symantec System Center 23 Weitere Informationen zu Content-Lizenzen finden Sie im Symantec AntiVirus Installationshandbuch. Neben Symantec System Center können Sie auch Grc.dat-Konfigurationsdateien zum Konfigurieren von Symantec AntiVirus-Clients verwenden. Sie können diese Dateien verwenden, wenn Sie ein Tool von einem Fremdhersteller einsetzen möchten, um eine Remote-Konfiguration in Ihrem Netzwerk durchzuführen. Folgende Informationen zu Symantec System Center sind in diesem Handbuch nicht enthalten: Informationen zur Konfiguration und Verwendung der Berichterstellung finden Sie im Benutzerhandbuch zur Berichterstellung. Informationen zur Konfiguration und Verwendung der Endpunkt-Richtlinieneinhaltung finden Sie im Endpoint Compliance Implementierungshandbuch. Symbole der Symantec System Center-Konsole Wenn Symantec System Center ausgeführt wird, werden Server-Gruppen, Client-Gruppen und Server in einer Systemhierarchie durch Symbole dargestellt. Die Symbole werden in einer erweiterbaren Hierarchie in der Symantec System Center-Konsole angezeigt. Symantec System Center verwendet Symbole, um den jeweiligen Status der Computer darzustellen, auf denen verwaltete Symantec-Produkte ausgeführt werden. Wenn beispielsweise das Server-Gruppensymbol in der Server-Gruppenansicht mit dem Vorhängeschlosssymbol angezeigt wird, muss die Sperre der Server-Gruppe mit dem entsprechenden Kennwort aufgehoben werden, damit Sie Prüfungen für die Computer in der Server-Gruppe konfigurieren oder durchführen können. In Tabelle 2-1 werden die Symbole für Symantec System Center beschrieben. Tabelle 2-1 Symbol Symantec System Center-Symbole Beschreibung Objekt der obersten Ebene, das die Systemhierarchie darstellt, die alle Server-Gruppen enthält. Nicht gesperrte Server- oder Client-Gruppe. Vergleichen Sie dieses Symbol mit dem Symbol einer gesperrten Server-Gruppe. Aus Sicherheitsgründen sind alle Server-Gruppen standardmäßig gesperrt, wenn Sie Symantec System Center starten.

24 24 Aktualisierung des Kapitels "Symantec AntiVirus Grundlagen" Symantec System Center Symbol Beschreibung Gesperrte Server-Gruppe. Sie müssen ein Kennwort eingeben, bevor Sie die Computer in der Server-Gruppe anzeigen können, um sie zu konfigurieren, zu aktualisieren oder nach Viren zu prüfen. In dieser Server-Gruppe ist ein Problem zu beheben. Beispielsweise kann es sein, dass dieser Server-Gruppe kein Primär-Management-Server zugewiesen wurde oder dass auf einem Server ein Virus oder ein anderes Sicherheitsrisiko gefunden wurde. Auf einem Computer dieser Server-Gruppe wurde ein Sicherheitsrisiko wie Adware oder Spyware entdeckt. Hinweis: Wenn Symantec AntiVirus einen Virus oder ein anderes Sicherheitsrisiko auf demselben Computer entdeckt, wird das Virussymbol angezeigt. Symantec AntiVirus-Server, der auf einem unterstützten Computer ausgeführt wird. Vergleichen Sie dieses Symbol mit dem nächsten, das einen Primär-Management-Server für die Server-Gruppe darstellt. Primär-Management-Server von Symantec AntiVirus, der auf einem unterstützten Computer ausgeführt wird. Nicht verfügbarer Symantec AntiVirus-Server. Dieses Symbol wird angezeigt, wenn die Verbindung zwischen dem Symantec AntiVirus-Server und der Symantec System Center-Konsole getrennt wird. Der Kommunikationsfehler kann verschiedene Ursachen haben, z. B. dass das Server-System nicht läuft, die Symantec-Software entfernt wurde, die Server-, Client- und Symantec System Center-Systemzeiten nicht mehr synchron sind oder ein Netzwerkfehler zwischen der Konsole und dem System aufgetreten ist. Es wurde ein Virus auf dem Computer entdeckt, auf dem der Symantec AntiVirus-Server ausgeführt wird. Auf dem Computer, auf dem der Symantec AntiVirus-Server ausgeführt wird, wurde ein Sicherheitsrisiko wie Adware oder Spyware entdeckt. Wenn Symantec AntiVirus einen Virus oder ein anderes Sicherheitsrisiko auf demselben Computer entdeckt, wird das Virussymbol angezeigt.

25 Aktualisierung des Kapitels "Symantec AntiVirus Grundlagen" Symantec System Center 25 Symbol Beschreibung Symantec AntiVirus-Client, der auf einem unterstützten Windows-Computer ausgeführt wird. Wenn Sie die Endpunkt-Richtlinieneinhaltung von Symantec verwenden, weist dieses Symbol auch darauf hin, dass dieser Client-Computer die Richtlinien einhält. Wenn Sie diesen Computer auswählen, können Sie die Optionen nur auf diesem Computer sehen. Es wurde ein Virus auf dem Computer entdeckt, auf dem der Symantec AntiVirus-Client ausgeführt wird. Hinweis: Der Client-Infektionsstatus wird nicht in der Symantec System Center-Konsole angezeigt, es sei denn, Sie aktivieren diese Option unter "Extras > SSC-Konsolenoptionen" auf der Registerkarte "Virenwarnungsfilter". Auf dem Computer, auf dem der Symantec AntiVirus-Client ausgeführt wird, wurde ein Sicherheitsrisiko wie Adware oder Spyware entdeckt. Wenn Symantec AntiVirus einen Virus oder ein anderes Sicherheitsrisiko auf demselben Computer entdeckt, wird das Virussymbol angezeigt. Auf diesem Client ist ein Problem zu beheben. So können beispielsweise die Definitionsdateien für Viren und Sicherheitsrisiken veraltet sein oder die Client-Gruppe, der der Client zugeordnet wurde, ist nicht mehr gültig. Das Statusfeld in der Symantec System Center-Konsole zeigt das aktuelle Problem an. Dieser Computer, auf dem Symantec AntiVirus-Client-Software ausgeführt wird, hat Zugriff auf das Netzwerk, hat jedoch die Endpunkt-Richtlinieneinhaltungsprüfung nicht bestanden. Sie sollten untersuchen, warum er die Prüfung nicht bestanden hat, und entsprechende Maßnahmen ergreifen, um das Problem zu beheben. Der Computer, auf dem die Symantec AntiVirus-Client-Software ausgeführt wird, hat die Endpunkt-Richtlinieneinhaltungsprüfung nicht bestanden.

26 26 Aktualisierung des Kapitels "Symantec AntiVirus Grundlagen" Symantec System Center starten Symbol Beschreibung Der Computer, auf dem die Symantec AntiVirus-Client-Software ausgeführt wird, ist aktuell nicht mit dem Netzwerk verbunden. Dies kann darauf zurückzuführen sein, dass die Server-, Client- und Symantec System Center-Systemzeiten nicht mehr synchron sind. Sie müssen eine Einstellung für die Symantec System Center-Konsole aktivieren, damit angezeigt wird, wenn Clients nicht mit dem Netzwerk verbunden sind. Symantec System Center starten Starten Sie Symantec System Center, wenn Sie Symantec AntiVirus verwalten möchten. Hinweis: Sie können den Befehl "Ausführen" im Startmenü verwenden, um Symantec System Center zu öffnen. Es gibt dabei jedoch eine Einschränkung. Symantec System Center kann nicht geöffnet werden, wenn Sie versuchen, es als aktueller Benutzer auszuführen und das Kontrollkästchen "Computer und Daten vor nicht autorisierter Programmaktivität schützen" aktiviert ist. So starten Sie Symantec System Center Klicken Sie in der Windows-Taskleiste auf "Start > Programme > Symantec System Center-Konsole > Symantec System Center-Konsole". In Symantec System Center wird die Standard-Konsolenansicht geöffnet.

27 Aktualisierung des Kapitels "Symantec AntiVirus Grundlagen" Allgemeines zu Konsolenansichten 27 Abbildung 2-1 Symantec System Center-Konsole Registerkarte für Verzeichnisstruktur Oberste Server- Gruppenebene Inhalt des in der Baumstruktur ausgewählten Objekts Nicht gesperrte Server-Gruppe Client-Gruppen Gesperrte Server- Gruppe Hinweis: Sie können eine Remote-Terminal-Sitzung verwenden, um die Symantec System Center-Konsole und Berichte über diese Konsole anzuzeigen. Allgemeines zu Konsolenansichten Jedes Produkt-Management-Snap-In macht eine neue Produktansicht in der Symantec System Center-Konsole verfügbar. Wenn Sie beispielsweise das Symantec AntiVirus-Management-Snap-In installieren, wird die Symantec AntiVirus-Ansicht hinzugefügt, die die Felder mit Bezug zu Symantec AntiVirus, wie "Letzte Prüfung" und "Definitionen", umfasst. Hinweis: Wenn die Client-Software das erste Mal installiert wird, werden die Informationen zur Anmeldedomäne des Benutzers erst nach einem Neustart des Client-Computers in Symantec System Center angezeigt. Nach einem Neustart sind diese Informationen in der Symantec AntiVirus-Ansicht von Symantec System Center, in den Netzwerküberwachungsergebnissen, im Ereignisprotokoll, im Risikoprotokoll und im Manipulationsprotokoll verfügbar. In der Symantec AntiVirus-Benutzeroberfläche sind sie im Ereignis-, im Risiko- und im Manipulationsprotokoll verfügbar.

28 28 Aktualisierung des Kapitels "Symantec AntiVirus Grundlagen" Client-Infektionsstatus anzeigen Client-Infektionsstatus anzeigen Sie können Symantec System Center so konfigurieren, dass der Client-Infektionsstatus anhand der Client-Check-In Daten in der Symantec System Center-Konsole angezeigt wird. Diese Option ist standardmäßig deaktiviert. So zeigen Sie den Client-Infektionsstatus in der Symantec System Center-Konsole an 1 Klicken Sie im Menü "Tools" auf "SSC-Konsolenoptionen". 2 Aktivieren Sie im Dialogfeld "SSC-Konsolenoptionen - Eigenschaften" auf der Registerkarte "Virenwarnungsfilter" die Option "Infektionsstatus jedes Clients basierend auf den Check-In-Daten des Clients anzeigen". 3 Um festzulegen, wie lange die Informationen angezeigt werden sollen, verwenden Sie die Pfeile oder geben Sie die Anzahl der Tage ein, die die Virusinfektionsdaten in der Symantec System Center-Konsole verbleiben sollen. Standardmäßig zeigt die Konsole keine Infektionen an, die vor mehr als drei Tagen aufgetreten sind. 4 Um die Einstellung in Symantec System Center zurückzusetzen, so dass der Client-Infektionsstatus nur ab dem aktuellen Zeitpunkt angezeigt wird, aktivieren Sie die Option "Keine Virenwarnungen zeigen vor:" und klicken Sie anschließend auf "Aktuelle Zeit einstellen". Hinweis: Verwenden Sie die Berichterstellungskonsole für einen umfassenderen und aktuelleren Infektionsstatus. Informationen über die Berichterstellungskonsole finden Sie im Benutzerhandbuch zur Berichterstellung.

29 Kapitel 3 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu Server-Gruppen und Client-Gruppen Sperren und Entsperren von Server-Gruppen Best Practice: Aufrechterhalten der Server-Client-Kommunikation Client-Verbindung wiederherstellen, wenn ein Primär-Server verloren gegangen ist Wiederherstellen der Verbindung zu einer Server-Gruppe Symantec AntiVirus so konfigurieren, dass Windows-Sicherheitscenter deaktiviert wird Überwachung von Clients Verwenden des Manipulationsschutzes Wiederherstellen der Verbindung zwischen Servern und verwalteten Client-Computern Allgemeines zu Server-Gruppen und Client-Gruppen Mitglieder von Server-Gruppen können eine einzige Symantec AntiVirus-Konfiguration gemeinsam nutzen. Darüber hinaus können Sie einen Symantec AntiVirus-Vorgang für alle Mitglieder einer Server-Gruppe ausführen.

30 30 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Allgemeines zu Server-Gruppen und Client-Gruppen Sie können von der Symantec System Center-Konsole aus eine neue Server-Gruppe erstellen und die Mitglieder verwalten. Server-Gruppen sind unabhängig von Windows-Domänen und anderen Produkten. Sie können NetWare- und Windows-Computer in derselben Server-Gruppe zusammenfassen. Dies ermöglicht Ihnen die gleichzeitige Remote-Konfiguration dieser Systeme. Die Server-Gruppenebene ist die höchste Ebene, auf der Sie Symantec-Produktkonfigurationsänderungen verwalten können. Client-Gruppen sind logische Gruppierungen von Computern, auf denen die Symantec AntiVirus-Client-Software ausgeführt wird. Obwohl Client-Gruppen immer mit einer Server-Gruppe verbunden sind, kann jede Client-Gruppe individuell verwaltet werden. Durch das Festlegen von Client-Gruppen können Sie verschiedene Richtlinien unter einem einzigen übergeordneten Server einrichten und verwalten. Symantec AntiVirus-Clients werden wie folgt kategorisiert: Zugeordnete Clients sind Symantec-Clients, die einer Client-Gruppe zugeordnet wurden. Definitionsdateien zu Viren und Sicherheitsrisiken erhalten sie von dem Server, mit dem sie physisch verbunden sind. Die Konfigurationseinstellungen und Updates stammen jedoch von der Client-Gruppe, auf die die Symantec AntiVirus-Richtlinien angewandt werden. Nicht zugeordnete Clients sind Symantec-Clients, die keiner Client-Gruppe zugeordnet wurden. Ihre Konfigurationseinstellungen und Updates stammen vom übergeordneten Management-Server. Hinweis: Zur Verwaltung von Symantec AntiVirus-Servern und -Clients muss in Ihrer Umgebung eine einfache Host-Namensauflösung konfiguriert sein. Eine Auflösung in den vollständigen Domänennamen ist nicht erforderlich. Informationen zur Verwendung von Server-Gruppen, Client-Gruppen oder beiden Gruppen Jede Symantec AntiVirus-Server-Gruppe unterstützt eine einzige Konfiguration für alle von der Gruppe verwalteten Clients. Für jede zusätzliche Konfiguration muss ein zusätzlicher Server zur Server-Gruppe hinzugefügt werden. Server-Gruppen bieten Ihnen die gewünschte Konfigurationsflexibilität, sofern alle Clients die gleichen Konfigurationsoptionen erfordern. Wenn Sie eine größere Konfigurationsflexibilität benötigen, könnte die Verwendung von Client-Gruppen besser geeignet sein. Bei einer Verwaltung über Client-Gruppen dürfen Clients auf dem gleichen physischen Server nicht die gleiche Konfiguration gemeinsam verwenden wie andere Clients in der gleichen Server-Gruppe. Außerdem kann durch die Verwendung von Client-Gruppen die Anzahl der zum Verwalten von

31 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Allgemeines zu Server-Gruppen und Client-Gruppen 31 Grc.dat-Dateien Symantec AntiVirus benötigten Servern verringert werden. Während jede Server-Gruppe mindestens einen Server pro eindeutiger Konfiguration benötigt, kann eine Server-Gruppe eine beliebige Anzahl von Client-Gruppen mit jeweils einer eigenen Konfiguration enthalten. "Grc.dat"-Dateien sind Textdateien, die Konfigurationsinformationen für die Client-Computer eines Symantec AntiVirus-Servers enthalten. Wenn Sie Client-Optionen mithilfe von Symantec System Center ändern, schreibt der übergeordnete Server die Änderungen in den Schlüssel "HKEY_LOCAL_MACHINE\ SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\ClientConfig" der Windows-Registrierung. Der Server erstellt die Datei "Grc.dat" mit dem Inhalt des "ClientConfig"-Schlüssel bei jeder Änderung an der Client-Konfiguration über Symantec System Center und beim Starten des Symantec AntiVirus-Server-Dienstes neu. Dies bedeutet, dass es nicht sinnvoll ist, die "Grc.dat"-Datei eines übergeordneten Server mithilfe eines Texteditors wie Notepad manuell zu bearbeiten, da jegliche Änderungen an der Datei bei der nächsten Neuerstellung durch den Server verloren gehen. Nach der Neuerstellung der "Grc.dat"-Datei kopiert der übergeordnete Server die aktualisierte Datei auf die Client-Computer. Hinweis: Bei Bedarf können Sie jederzeit eine "Grc.dat"-Datei manuell auf einen Client-Computer kopieren. Das manuelle Kopieren der Datei ist eine effektive Möglichkeit, die Verbindung wiederherzustellen oder beschädigte Einstellungen zurückzusetzen. Informationen zum Wiederherstellen der Verbindung finden Sie unter Wiederherstellen der Verbindung zwischen Servern und verwalteten Client-Computern. Der Client-Computer verarbeitet die "Grc.dat"-Datei indem er den Inhalt der Datei dem Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\ VirusProtect6\CurrentVersion" der Windows-Registrierung hinzufügt. Nach dem Kopieren der "Grc.dat"-Datei auf den Client-Computer können einige Minuten vergehen, bevor der Client-Computer die manuell kopierte Datei verarbeitet. Sie können die Verarbeitung der Datei "Grc.dat" auf einem Client-Computer erzwingen, indem Sie den Symantec AntiVirus-Client-Dienst anhalten und neu starten. Hat der Client-Computer die "Grc.dat"-Datei verarbeitet, löscht er die lokale Kopie der Datei, sodass es verständlich ist, dass diese Datei nicht mehr auf einem Client-Computer gefunden werden kann.

32 32 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Allgemeines zu Server-Gruppen und Client-Gruppen Der Speicherort der "Grc.dat"-Datei auf den Client-Computern hängt standardmäßig vom Betriebssystem ab und davon, ob die Installation von einer älteren Version aktualisiert wurde oder nicht. Je nach Konfiguration des Betriebssystems können auch die Laufwerksbuchstaben und Pfade voneinander abweichen. Für Client-Computer, bei denen die Installation von einer früheren Version aktualisiert wurde, finden Sie Informationen zum Standardspeicherort in einem der folgenden Dokumente der Symantec-Unterstützungsdatenbank: Norton AntiVirus Corporate Edition 7.x: A guide to the Grc.dat file and its uses in Norton AntiVirus Corporate Edition 7 Symantec AntiVirus Corporate Edition 8.x or 9.x: A guide to the Grc.dat file in Symantec AntiVirus Corporate Edition 8.x and 9.x Bei Symantec AntiVirus-Servern, deren Installation keine Aktualisierung war, wird standardmäßig einer der folgenden Speicherorte verwendet: Windows: \Programme\SAV oder \Programme\Symantec AntiVirus NetWare: SYS:\SAV Bei Windows-Computern geben Server die Datei außerdem unter "\\<Server-Name>\VPHOME\Grc.dat" frei. Wenn Sie Ihre Client-Computer mithilfe von Client-Gruppen verwalten, gibt es für jede Client-Gruppe eine eigene "Grc.dat"-Datei, da unterschiedliche Client-Gruppen unterschiedlich konfiguriert sein können. Diese Dateien befinden sich an den folgenden Speicherorten auf dem primären Server der Server-Gruppe: Windows: \Programme\SAV\Groups\<Gruppenname>\ oder \Programme\Symantec AntiVirus\Groups\<Gruppenname>\ NetWare: SYS:\SAV\Groups\<Gruppenname>\ Auf Windows-Computern wird dies in der Freigabe "VPHOME" als "\\<Server-Name>\VPHOME\Groups\<Gruppenname>\Grc.dat" angezeigt. Platzieren Sie die Datei "Grc.dat" für Symantec AntiVirus-Clients der Version 10.x im folgenden Ordner: \Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5 Suchen des Symantec AntiVirus-Programmordners Bei der Suche nach der "Grc.dat"-Datei auf einem Computer müssen Sie den Symantec AntiVirus-Programmordner finden.

33 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Allgemeines zu Server-Gruppen und Client-Gruppen 33 So suchen Sie den Symantec AntiVirus-Programmordner 1 Klicken Sie in der Windows-Taskleiste auf "Start > Ausführen". 2 Geben Sie im Feld "Öffnen" den folgenden Befehl ein: cmd 3 Klicken Sie auf "OK". 4 Geben Sie in der Eingabeaufforderung den folgenden Befehl ein: net share 5 Suchen Sie nach "VPHOME". Bei dem Ordner, der in der Ressourcenspalte angezeigt wird, handelt es sich um den Symantec AntiVirus-Programmordner, der die "Grc.dat"-Datei enthält. Client-Gruppen und Konfigurationsprioriät Bei der Verwaltung mithilfe von Client-Gruppen erhalten Clients, die einer Gruppe zugewiesen sind, ihre Konfiguration von ihrer Gruppe, und nicht vom übergeordneten Management-Server. Auf Server-Ebene vorgenommene Änderungen werden ignoriert und nur auf nicht zugewiesene Clients angewendet. Auf der Ebene der Server-Gruppe oder der Systemhierarchie vorgenommene Konfigurationsänderungen haben jedoch Vorrang vor Einstellungen der Client-Gruppen und haben Vorrang vor Einstellungen, die auf Client-Gruppenebene vorgenommen werden. Um diese Standardpriorität zu ändern, können Sie Client-Gruppen so konfigurieren, dass sie ihre eigenen Einstellungen verwenden, statt Einstellungen von ihrer Server-Gruppe zu übernehmen. Unter Tabelle 3-1 werden alle Elemente aufgeführt, die Sie in Symantec System Center auswählen können, sowie die bei der Auswahl des jeweiligen Elements verfügbaren Konfigurationsmöglichkeiten. Tabelle 3-1 Konfigurationsoptionen für Elemente Ausgewähltes Element Systemhierarchie Server-Gruppe Konfigurationsmöglichkeiten Alle nicht gesperrten Server-Gruppen und die von Ihnen verwalteten Clients, unabhängig davon, zu welcher Client-Gruppe sie gehören Alle Server und Clients in der Server-Gruppe, unabhängig davon, zu welcher Client-Gruppe sie gehören

34 34 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Allgemeines zu Server-Gruppen und Client-Gruppen Ausgewähltes Element Server Konfigurationsmöglichkeiten Server und dessen Clients, unabhängig davon, zu welcher Client-Gruppe sie gehören: Virensuchaktion Definition für Viren und Sicherheitsrisiken jetzt aktualisieren Protokollierungskonfiguration Der Server und/oder dessen zugeordnete Clients: Geplante und manuelle Prüfungen Aktualisierungen der Definitionen für Viren und Sicherheitsrisiken Quarantäneoptionen Client- und Server-Auto-Protect-Optionen Client-Administrator-Optionen Client Roaming-Optionen Optionen für Client- und Server-Manipulationsschutz LiveUpdate Auto-Protect - Status Risikoliste anzeigen Risikostatus löschen Konfiguration von Berichterstellungs-Agenten Client-Gruppe Der Client-Gruppe zugewiesene Clients: Geplante Prüfungen Aktualisierungen der Definitionen für Viren und Sicherheitsrisiken Quarantäneoptionen Protokollierungskonfiguration Client-Auto-Protect-Optionen Optionen für den Client-Manipulationsschutz Client Roaming-Optionen Client-Administrator-Optionen LiveUpdate Client Schreibgeschützt Standardmäßig können mit Symantec System Center nicht einzelne Clients konfiguriert werden. Sie können jedoch die Option "Direkte Konfiguration einzelner Clients zulassen" verwenden, um die Konfiguration einzelner Clients in Symantec System Center zu ermöglichen.

35 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Allgemeines zu Server-Gruppen und Client-Gruppen 35 Übernehmen von Einstellungen Die von Symantec AntiVirus verwendete Methode zum Übernehmen von Einstellungen hängt davon ab, welche Option Sie in der Symantec System Center-Konsole ausgewählt haben. In Tabelle 3-2 wird beschrieben, wie Einstellungen bei der Auswahl von Server-Gruppen, Client-Gruppen und Clients übernommen werden. Tabelle 3-2 Objekt Server-Gruppen Übernehmen von Einstellungen über die Symantec System Center-Konsole Beschreibung Wenn Sie Optionen auf Server-Gruppenebene einstellen und anschließend auf "OK" klicken, kommuniziert Symantec System Center direkt mit jedem Server in der Server-Gruppe. Übergeordnete Management-Server aktualisieren ihre Clients durch Verteilen einer neuen Grc.dat-Datei. Diese Datei ersetzt die vorhandene Grc.dat-Datei. Die benutzerdefinierten Einstellungen in der alten Grc.dat-Datei bleiben nicht erhalten. Wenn Sie auf "Abbrechen" klicken, werden keine Optionen geändert. Wenn Sie auf "Alle zurücksetzen" klicken, überschreibt Symantec AntiVirus alle Einstellungen im Dialogfeld. Server Wenn Sie Optionen auf Server-Ebene einstellen und anschließend auf "OK" klicken, kommuniziert der Symantec System Center-Topologiedienst direkt mit dem ausgewählten Server. Nur der ausgewählte Server ist davon betroffen. Wenn Sie auf "Abbrechen" klicken, werden keine Optionen geändert. Wenn Sie auf "OK" klicken ohne Optionen zu ändern, überschreibt Symantec AntiVirus nicht die aktuellen Optionen des Servers. Client-Gruppen Wenn Sie Optionen auf Client-Gruppenebene einstellen und anschließend auf "OK" klicken, erstellt der Primär-Management-Server eine Grcgrp.dat-Datei und sendet sie an die Sekundär-Management-Server. Die Sekundär-Management-Server aktualisieren ihre Clients durch Verteilen einer neuen Grc.dat-Datei. Diese Datei ersetzt die vorhandene Grc.dat-Datei. Die benutzerdefinierten Einstellungen in der alten Grc.dat-Datei bleiben nicht erhalten. Wenn Sie auf "Abbrechen" klicken, werden keine Optionen geändert.

36 36 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Allgemeines zu Server-Gruppen und Client-Gruppen Objekt Clients Beschreibung Wenn Sie Optionen auf Client-Ebene einstellen und anschließend auf "OK" klicken, kommuniziert der Symantec System Center-Topologiedienst direkt mit dem Client und führt die einzige Änderung in der Registrierung durch. Wenn Sie auf "Abbrechen" klicken, werden keine Optionen geändert. Es werden nur gesperrte Einstellungen an Clients weitergeleitet. Um Einstellungen auf Clients ändern zu können, müssen Sie diese Einstellungen in Symantec System Center sperren. Wenn Sie eine nicht gesperrte Einstellung für Clients ändern, wird diese von den Clients nicht übernommen. Diese Funktion betrifft auch Client-Computer, die durch Verwendung des ClientRemote-Tools in Symantec System Center installiert wurden. Während der Installation auf den Client-Computern werden nur geänderte Einstellungen, die gesperrt sind, konfiguriert. Hinweis: Die Auto-Protect-Prüfeinstellungen müssen gesperrt sein, bevor sie an die Clients weitergeleitet werden. Gruppeneinstellungen werden auf nicht synchrone Clients angewendet Standardmäßig können Administratoren Einstellungen auf Client-Computern, deren Systemuhrzeit mehr als 24 Stunden von der Systemzeit des Primär-Management-Servers abweicht, nicht direkt konfigurieren. Sie können in Symantec System Center beispielsweise nicht mit der rechten Maustaste auf einen nicht synchronen Client-Computer klicken und die Client-Protokolle anzeigen. Nicht synchrone Client-Computer akzeptieren Einstellungen, die Administratoren auf Gruppen anwenden. Wenn Sie beispielsweise in Symantec System Center mit der rechten Maustaste auf eine Gruppe klicken und die Client-Auto-Protect-Einstellung ändern, wird die neue Einstellung von einem nicht synchronen Client-Computer übernommen. Client-Einstellungen können nicht direkt bearbeitet werden, da der Symantec AntiVirus-Client das Client-Anmeldezertifikat verwendet, das nur für einen bestimmten Zeitraum gültig ist. Sie können die Zeiten jedoch in Symantec System Center mit der Einstellung "Einstellungen des Anmeldezertifikats konfigurieren" auf Gruppenebene ändern. Die nicht synchronen Client-Computer übernehmen die Änderungen auf Gruppenebene dann, weil der Symantec AntiVirus-Client das Server-Zertifikat verwendet, das fünf Jahre lang gültig ist.

37 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Sperren und Entsperren von Server-Gruppen 37 Weitere Informationen zu Zertifikaten finden Sie im Symantec AntiVirus-Referenzhandbuch im Docs-Ordner auf der Installations-CD. Neue Grc.dat-Werte überschreiben alte Grc.dat-Werte Neue Grc.dat-Dateien werden weitergeleitet und ihre Werte überschreiben die Werte von alten Grc.dat-Dateien, wenn sie an den Client gesendet werden. Dieses Verhalten gilt auch, wenn Sie ein Symantec AntiVirus-Fenster oder -Dialogfeld öffnen, das Optionen der Symantec System Center-Konsole enthält, und dann auf "OK" klicken, ohne Änderungen vorgenommen zu haben. Wenn die ältere Grc.dat-Version benutzerdefinierte Einstellungen enthielt, die nicht in der neuen Grc.dat enthalten sind, werden die Einstellungen überschrieben. Weitere Informationen zur Verwendung von Grc.dat-Dateien für die Client-Konfiguration finden Sie im Symantec AntiVirus-Installationshandbuch. Szenario für Server- und Client-Gruppen Ein Unternehmen hat eine Telemarketing- und eine Buchhaltungsabteilung. Diesen Abteilungen gehören Mitarbeiter in den Büros in München, Hamburg und Heidelberg an. Alle Computer der beiden Abteilungen wurden derselben Server-Gruppe zugewiesen, sodass sie die Aktualisierungen von Definitionen für Viren- und Sicherheitsrisiken von derselben Quelle erhalten. Die IT-Berichte lassen jedoch erkennen, dass die Telemarketing-Abteilung anfälliger für Risiken ist als die Buchhaltungsabteilung. Der Systemadministrator erstellt daher eine Client-Gruppe für jede der beiden Abteilungen. Die Telemarketing-Clients nutzen Konfigurationsoptionen, die die Interaktion der Benutzer mit dem Schutz vor Viren und Sicherheitsrisiken streng beschränken. Sperren und Entsperren von Server-Gruppen Sie können eine Server-Gruppe durch ein Kennwort sperren, um zu verhindern, dass unbefugte Administratoren Änderungen an der Konfiguration vornehmen. Das Kennwort für die erste Server-Gruppe wurde für den Administratorbenutzer während der Installation erstellt. Sie können das Kennwort jederzeit ändern, indem Sie die Option "Benutzerkontenverwaltung" für jede Server-Gruppe verwenden.

38 38 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Sperren und Entsperren von Server-Gruppen Hinweis: Server-Gruppen-Kennwörter werden nicht zum Deinstallieren von Clients und Servern verwendet. Standardmäßig lautet das Kennwort für die Client-Deinstallation "symantec". Sie können das Kennwort ändern, mit dem ein Client-Benutzer Symantec AntiVirus deinstallieren kann. Standardmäßig werden Server-Gruppen automatisch gesperrt, wenn Sie Symantec System Center starten; Sie können jedoch auch festlegen, dass die Server-Gruppe beim Starten von Symantec System Center automatisch entsperrt werden soll. Benutzernamen und Kennwörter werden nicht gesperrt, es sei denn Sie legen dies ausdrücklich in Symantec System Center fest. Sie können Server-Gruppen bei Bedarf sperren und entsperren. So sperren Sie eine Server-Gruppe Klicken Sie mit der rechten Maustaste auf die zu sperrende Server-Gruppe und wählen Sie anschließend "Server-Gruppe sperren". So entsperren Sie eine Server-Gruppe 1 Klicken Sie im linken Teilfenster der Symantec System Center-Konsole mit der rechten Maustaste auf die Server-Gruppe und wählen Sie "Server-Gruppe entsperren". 2 Geben Sie im Dialogfeld "Server-Gruppe entsperren" den Benutzerkontonamen und das Kennwort für die Server-Gruppe ein. 3 Wenn diese Optionen automatisch bei jedem Entsperren dieser Server-Gruppe ausgefüllt werden sollen, aktivieren Sie die Option "Benutzername und Kennwort speichern".

39 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Sperren und Entsperren von Server-Gruppen 39 4 Wenn Symantec System Center den Benutzernamen und das Kennwort für diese Server-Gruppe speichert, können Sie festlegen, dass diese Server-Gruppe beim Starten von Symantec System Center entsperrt wird. Klicken Sie auf "Diese Server-Gruppe beim Starten von Symantec System Center automatisch entsperren". 5 Klicken Sie auf "OK". So verhindern Sie ein Speichern des Benutzernamens und Kennworts und ein automatisches Entsperren 1 Damit der Benutzername und das Kennwort nicht mehr gespeichert werden und beim Öffnen von Symantec System Center nicht mehr diese Server-Gruppe entsperrt wird, klicken Sie mit der rechten Maustaste auf die Server-Gruppe und wählen Sie "Server-Gruppe sperren". 2 Klicken Sie mit der rechten Maustaste erneut auf die Server-Gruppe und wählen Sie "Server-Gruppe entsperren". 3 Deaktivieren Sie im Dialogfeld "Server-Gruppe entsperren" die Optionen "Benutzername und Kennwort speichern" und "Diese Server-Gruppe beim Starten von Symantec System Center automatisch entsperren". 4 Klicken Sie auf "OK". Als Administrator des Primär-Servers in einer Server-Gruppe können Sie das Administratorbenutzerkennwort der Server-Gruppe am Primär-Server zurücksetzen. So setzen Sie das Administratorbenutzerkennwort der Server-Gruppe zurück 1 Starten Sie auf dem Computer mit Symantec System Center den Windows Explorer. 2 Rufen Sie das Verzeichnis "\Programme\Symantec\Symantec System Center\Tools" auf. 3 Doppelklicken Sie im rechten Teilfenster auf die Datei "IFORGOT.exe". 4 Geben Sie im Feld für den Primär-Server den Namen des Primär-Servers der Server-Gruppe ein. 5 Geben Sie im Feld für den Benutzer admin ein. 6 Geben Sie in den Feldern "Neues Kennwort" und "Kennwort bestätigen" das neue Kennwort ein. 7 Klicken Sie auf "Kennwort zurücksetzen". Sie werden möglicherweise zur Eingabe eines Windows-Benutzernamens und -Kennworts aufgefordert, wenn Sie einen Remote-Server angeben.

40 40 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Best Practice: Aufrechterhalten der Server-Client-Kommunikation Server-Gruppen und Server-Wurzelzertifikate Wenn Sie zum ersten Mal versuchen, die Sperre einer Server-Gruppe aufzuheben, deren Wurzelzertifikat sich nicht auf dem Computer befindet, auf dem Symantec System Center installiert ist, wird das folgende Dialogfeld angezeigt: Sie können nun entweder das Wurzelzertifikat von Symantec System Center auf den Symantec System Center-Computer kopieren lassen, wenn Sie sich das erste Mal bei der Server-Gruppe anmelden, oder eine Kopie mithilfe der Windows-Authentifizierung erstellen. Wenn Sie das Wurzelzertifikat kopieren möchten, können Sie diese Meldung beim nächsten Mal unterdrücken. Die Windows-Authentifizierung bietet jedoch ein höheres Maß an Sicherheit. Best Practice: Aufrechterhalten der Server-Client-Kommunikation Symantec AntiVirus verwendet bei der Kommunikation das SSL-Protokoll (Secure Sockets Layer) für sichere Transaktionen zwischen übergeordneten Servern und Clients. SSL basiert auf PKI (Public Key Infrastructure), digitalen Zertifikaten und Verschlüsselung. Dies führt dazu, dass bei Nichtverfügbarkeit des Primär-Servers die Verbindungen zwischen Sekundär-Servern und verwalteten Servern nicht sofort wiederhergestellt werden können, es sei denn, Sie haben die für sichere Verbindungen erforderlichen Informationen gesichert.

41 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Client-Verbindung wiederherstellen, wenn ein Primär-Server verloren gegangen ist 41 Sie sollten diese Schritte immer durchführen, um die Wiederherstellungszeit bei Nichtverfügbarkeit des Primär-Servers zu reduzieren: Installieren Sie in jeder Server-Gruppe einen Sekundär-Management-Server, um die Kommunikation mit Clients aufrechtzuerhalten. Die Verwendung eines Sekundär-Management-Servers verkürzt die Wiederherstellungszeit bei Notfällen. Wenn Sie keinen Sekundär-Management-Server hinzufügen und der Primär-Management-Server ausfällt, ist der Zugriff auf die Server-Gruppe über Symantec System Center nicht mehr möglich. Sichern Sie den "pki"-ordner des Primär-Servers. Suchen Sie den "pki"-ordner unterhalb des Symantec AntiVirus-Programmordners und kopieren Sie ihn an einen sicheren Speicherort, beispielsweise ein Wechsellaufwerk, das an einem sicheren Ort aufbewahrt wird. Informationen zum Symantec AntiVirus-Programmordner finden Sie unter Suchen des Symantec AntiVirus-Programmordners auf Seite 32.. Client-Verbindung wiederherstellen, wenn ein Primär-Server verloren gegangen ist Wenn Sie Ihren Primär-Server verlieren und keinen Sekundär-Management-Server in Ihrer Server-Gruppe erstellt haben, müssen Sie Symantec AntiVirus erneut auf dem Primär-Server installieren. Wenn Sie keine Sicherungskopie des pki-ordners des Primär-Servers angelegt haben, müssen Sie zur Wiederherstellung der Kommunikation mit verwalteten Client-Computern nach der erneuten Installation von Symantec AntiVirus-Server folgende Schritte ausführen: Löschen Sie die alten Zertifikate auf den verwalteten Client-Computern des Servers. Kopieren Sie die neuen Zertifikate und die Grc.dat-Datei des Servers auf die verwalteten Client-Computer. So stellen Sie nach der erneuten Installation von Symantec AntiVirus-Server die Verbindung mit den verwalteten Client-Computern wieder her 1 Beenden Sie auf dem verwalteten Client-Computer den Symantec AntiVirus-Dienst. 2 Löschen Sie alle Zertifikate im Ordner "pki\roots" im Symantec AntiVirus-Programmordner auf dem Client-Computer. Der Standardpfad des Symantec AntiVirus-Programmordners lautet "<Laufwerk>:\Programme\ Symantec Client Security\Symantec AntiVirus".

42 42 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Wiederherstellen der Verbindung zu einer Server-Gruppe 3 Klicken Sie in der Windows-Taskleiste auf "Start > Ausführen". 4 Geben Sie im Dialogfeld "Ausführen" folgenden Text ein: \\<Server-Name>\vphome wobei <Server-Name> der Name des Symantec AntiVirus-Server ist. 5 Klicken Sie auf "OK". 6 Kopieren Sie die Datei "Grc.dat" aus dem vphome-ordner des Servers in folgenden Ordner auf dem Client-Computer: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\ Symantec AntiVirus Corporate Edition\7.5\ 7 Kopieren Sie die Datei "<xxx.x>.servergroupca.cer" aus dem Ordner "vphome\pki\roots" auf dem Server in den Ordner "\pki\roots" auf dem Client-Computer. Der Standardspeicherort des Ordners "\pki\roots" auf dem Client-Computer ist "<Laufwerk>:\Programme\Symantec Client Security\Symantec AntiVirus\ pki\roots\". 8 Setzen Sie den DWORD-Wert des Registrierungsschlüssels HKLM\Software\ Intel\LANdesk\VirusProtect6\CurrentVersion\ProductControl\ ReloadRootCertsNow auf 1. Rtvscan verwendet dann die neuen Pfade. Weitere Informationen zur Wiederherstellung von Verbindungen finden Sie in der Unterstützungsdatenbank von Symantec unter "Step to minimize recovery time in the event of a server failure". Wiederherstellen der Verbindung zu einer Server-Gruppe Für den Verbindungsverlust zu einer Server-Gruppe kann es mehrere Gründe geben: Sie haben beim Versuch, die Server-Gruppe zu entsperren, das Feld für den Benutzernamen oder das Kennwort leer gelassen. Sie verwenden die falsche Version von Symantec System Center. Zur Verwaltung der neuesten Version der Client-Computer-Software ist die neueste Version von Symantec System Center erforderlich. Weitere Informationen finden Sie in der Unterstützungsdatenbank von Symantec unter "Determining the version of Symantec System Center". Auf dem Primär-Server oder dem Computer, auf dem Symantec System Center läuft, ist Windows 2003/XP installiert und die Windows-Firewall ist aktiviert.

43 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Symantec AntiVirus so konfigurieren, dass Windows-Sicherheitscenter deaktiviert wird 43 In diesem Fall können Sie eine oder mehrere der folgenden Aufgaben durchführen: Fügen Sie der Internet-Verbindungs-Firewall von Windows Port-Ausnahmen hinzu. Weitere Informationen finden Sie in der Unterstützungsdatenbank von Symantec unter "Adding port exceptions to Windows Internet Connection Firewall for Symantec AntiVirus Corporate Edition". Fügen Sie der Internet-Verbindungs-Firewall von Windows Dienst-Ausnahmen hinzu. Weitere Informationen finden Sie in der Unterstützungsdatenbank von Symantec unter "Adding service exceptions in Windows Internet Connection Firewall to allow Symantec AntiVirus to communicate". Deaktivieren Sie die Internet-Verbindungs-Firewall von Windows. Weitere Informationen finden Sie in der Unterstützungsdatenbank von Symantec unter "Disabling the Microsoft Internet Connection Firewall". Liegt dem Verbindungsverlust keine dieser Ursachen zugrunde, können Sie durch Durchführen einer oder mehrerer der folgenden Aufgaben die Verbindung wiederherstellen: Starten Sie den Symantec AntiVirus-Dienst neu. Setzen Sie auf dem Primär-Server den Registrierungswert "LoginCaCertIssueSerialNum" zurück. Stellen Sie private Schlüssel wieder her oder erstellen Sie sie erneut, wenn der private Schlüssel "loginca.pvk" oder der private Server-Schlüssel "server.pvk" beschädigt ist oder fehlt. Informationen zu diesen Aufgaben finden Sie in der Unterstützungsdatenbank von Symantec unter "Error: "Can't communicate with the Server Group..."". Symantec AntiVirus so konfigurieren, dass Windows-Sicherheitscenter deaktiviert wird Sie können die Situationen konfigurieren, in denen Symantec AntiVirus das Windows-Sicherheitscenter deaktiviert. So konfigurieren Sie Symantec AntiVirus für die Deaktivierung von WSC 1 Klicken Sie mit der rechten Maustaste auf die zu ändernde Server-Gruppe. 2 Wählen Sie "Alle Tasks > Symantec Antivirus > Client-Administratoroptionen".

44 44 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Überwachung von Clients 3 Wählen Sie im Dialogfeld "Client-Administratoroptionen" unter "Windows-Sicherheitscenter" im Dropdown-Listenfeld "Windows-Sicherheitscenter deaktivieren" eine der folgenden Optionen aus: Niemals Einmal Immer Wiederherstellen wenn deaktiviert WSC niemals deaktivieren. WSC nur einmal deaktivieren. Wenn ein Benutzer es wieder aktiviert, deaktiviert Symantec AntiVirus WSC nicht noch einmal. WSC immer deaktivieren. Wenn ein Benutzer es wieder aktiviert, wird es sofort darauf wieder deaktiviert. WSC nur wieder aktivieren, wenn es von Symantec AntiVirus deaktiviert wurde. 4 Klicken Sie auf "OK". Überwachung von Clients Symantec AntiVirus ermöglicht Ihnen, die wichtigsten Veränderungen im Lebenszyklus eines Client-Computers zu überwachen: erster Kontakt zwischen Client und übergeordnetem Server Anzahl der Wechsel von einem übergeordneten Server zu einem anderen Fehlgeschlagene Eincheckvorgänge eines Clients nach Ablauf eines festgelegten Zeitraums Deinstallation von Symantec AntiVirus von einem Client Um zu protokollieren, ob ein Client beim ihn verwaltenden Server eincheckt, vergleicht Symantec AntiVirus den Zeitpunkt des letzten Eincheckens eines Clients mit einem gespeicherten Wert für diesen Client. Ist ein längerer als der konfigurierte Zeitraum vergangen, wird das Ereignis im Ereignisprotokoll als Systemereignis protokolliert. Sie können festlegen, wie oft Symantec System Center Sie über diese Systemereignisse informiert. Sie können beispielsweise für die Zahl der Minuten von Inaktivität, bevor ein nicht erfolgtes Einchecken protokolliert wird, den Wert (eine Woche) auswählen, sodass Symantec AntiVirus erst nach diesem Zeitraum ein Ereignis für einen Client protokolliert, der sich nicht eincheckt. Sie können die Anzahl der Minuten zwischen "Kein Check-In"-Ereignissen auf 1440 (ein Tag) festlegen und die Höchstzahl zu protokollierender Ereignisse auf 7. Das Ereignisprotokoll informiert Sie nun eine Woche lang jeden Tag, wenn der Client nicht wieder im Netzwerk auftaucht.

45 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Überwachung von Clients 45 Bei besonders großen Umgebungen mit Tausenden Clients, die von einem einzelnen Server verwaltet werden, können Sie die Serverparameter so anpassen, dass die CPU-Auslastung dieses Servers reguliert wird. Hinweis: Diese Änderungen werden erst wirksam, wenn Sie den Symantec AntiVirus-Dienst auf dem entsprechenden Server neu starten. So legen Sie Optionen zum Überwachen von Clients fest 1 Klicken Sie mit der rechten Maustaste auf einen Server oder eine Server-Gruppe und klicken Sie anschließend auf "Alle Tasks > Symantec AntiVirus-Optionen zum Server-Tuning". 2 Geben Sie auf der Registerkarte "Client-Verfolgung" unter "Verarbeitungsparameter" die folgenden Informationen ein: Wie viele Minuten Symantec AntiVirus auf Informationen vom Client warten soll. Wie viele Clients Symantec AntiVirus vor einer Unterbrechung verarbeiten soll. Wie viele Sekunden Symantec AntiVirus bei der Überprüfung von Clients unterbrechen soll. 3 Geben Sie unter "Client-Verhalten protokollieren" Werte für die folgenden Optionen ein: Inaktivität in Minuten, bevor ein "Kein Check-In"-Ereignis protokolliert wird Maximale Anzahl von "Kein Check-In"-Ereignissen pro Client Minuten zwischen "Kein Check-In"-Ereignissen Gibt an, wie viele Minuten ohne Client-Aktivität vergehen dürfen, bevor Symantec AntiVirus die erste Instanz eines fehlgeschlagenen Eincheckversuchs durch einen Client protokolliert. Gibt an, wie viele "Kein Check-In"-Ereignisse pro Client protokolliert werden sollen. Gibt an, wie viele Minuten ohne Client-Aktivität vergehen dürfen, bevor nachfolgende "Kein Check-In"-Ereignisse protokolliert werden. 4 Klicken Sie auf "OK". Deaktivieren der Client-Überwachung Sie können die Client-Überwachung deaktivieren, indem Sie einen neuen DWORD-Wert (HKLM\Software\Intel\LANDesk\VirusProtect6\CurrentVersion\

46 46 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Verwenden des Manipulationsschutzes ClientTrack\ Enabled) in der Registrierungsdatei des Servers hinzufügen. Stellen Sie den Wert auf "0" ein, um die Client-Verfolgung zu deaktivieren, und auf "1", um sie zu aktivieren. Standardmäßig ist die Client-Verfolgung aktiviert. Sie müssen den Server neu starten, damit Änderungen wirksam werden. Dynamischer Check-in von übergeordneten Servern Einige Netzwerkumgebungen enthalten Computer, die nur kurze Zeit mit dem Netzwerk verbunden sind. Symantec AntiVirus-Client-Computer checken bei ihren übergeordneten Servern in regelmäßigen, konfigurierbaren Zeitabständen ein. Wenn sich der Zeitraum, in dem der Client-Computer mit dem Netzwerk verbunden ist, mit dem Zeitraum überschneidet, in dem sich der Client bei seinem übergeordneten Server einzuchecken versucht, checkt der Client-Computer ein. Wenn sich die Zeiträume nicht überschneiden, kann sich der Symantec AntiVirus-Client-Computer während des Check-In-Intervalls nicht bei seinem übergeordneten Server einchecken. Daraufhin beginnt der Client-Computer, IP-Adressänderungen zu überwachen. Wenn der Client-Computer eine neue IP-Adresse entdeckt, versucht er erneut, eine Verbindung zum übergeordneten Server herzustellen. Nach einer erfolgreichen Verbindung werden Konfigurationsdateien und Protokolle entsprechend der Konfiguration ausgetauscht und das Check-In-Intervall des Client-Computers wird zurückgesetzt. Der Client-Computer reagiert erst dann wieder auf IP-Adressänderungen, wenn der Check-In-Zeitraum erneut abgelaufen ist. Wenn der Check-In fehlgeschlagen ist, reagiert der Symantec AntiVirus-Client-Computer weiterhin auf IP-Adressänderungen, bis er eine erfolgreiche Verbindung zum übergeordneten Server herstellen kann. Hinweis: Diese Funktionalität ist nur auf Windows-Client-Computern verfügbar. Sie wird nicht auf NetWare- oder Linux-Computern unterstützt. Verwenden des Manipulationsschutzes Der Manipulationsschutz bietet Echtzeitschutz für Symantec-Anwendungen. Er verhindert, dass Symantec-Prozesse und interne Objekte Opfer von Angriffen werden, und bietet Schutz vor Würmern, Trojanischen Pferden, Viren und Sicherheitsrisiken.

47 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Verwenden des Manipulationsschutzes 47 Hinweis: Wenn Sie Prüfprogramme für Sicherheitsrisiken von Fremdherstellern für die Erkennung und den Schutz vor unerwünschter Adware und Spyware verwenden, wirken sich diese Programme in der Regel auf Symantec-Prozesse aus. Wenn der Manipulationsschutz bei Verwendung eines solchen Prüfprogramms aktiviert ist, generiert der Manipulationsschutz zahlreiche Warnungen und Protokolleinträge. Manipulationsschutz aktivieren, deaktivieren und konfigurieren Wenn der Manipulationsschutz aktiviert ist, können Sie Symantec AntiVirus so konfigurieren, dass Änderungsversuche an Symantec-Prozessen oder internen Software-Objekten, die Symantec-Threads und -Prozesse synchronisieren, blockiert oder protokolliert werden. Interne Objekte koordinieren die Aktivitäten der Programme, die auf einem Computer laufen. Wenn Sie beispielsweise Microsoft Outlook zum Senden einer -Nachricht verwenden, beauftragt das Symantec AntiVirus-Snap-In für Outlook den Symantec AntiVirus-Dienst, die Nachricht zu prüfen. Windows-Computer verwenden verschiedene Arten von internen Objekten. Der Manipulationsschutz schützt interne Objekte, die als benannte Mutexe und benannte Ereignisse klassifiziert sind. Mutexe stellen sicher, dass immer nur ein Programm oder ein Thread dieselbe Ressource, z. B. den Dateizugriff, verwenden kann. Mutexe sind die Synchronisierungsobjekte, die immer nur jeweils einem Thread gehören können. Wenn der Thread, dem der Mutex gehört, die Ressource nicht mehr verwendet, gibt er das Mutex-Objekt frei, so dass ein anderes Programm bzw. ein anderer Thread die Ressource verwenden kann. Prozesse erstellen benannte Ereignisse, die einem anderen Programm oder einem wartenden Thread mitteilen, dass die Verarbeitung abgeschlossen ist. Beispielsweise können Ereignisobjekte von einem Haupt-Thread verwendet werden, um zu verhindern, dass andere Threads einen gemeinsam genutzten Speicherpuffer lesen, während der Haupt-Thread in diesen Puffer schreibt. Wenn der Haupt-Thread das Schreiben in den Puffer beendet hat, kann er ein benanntes Ereignis senden, um den wartenden Threads mitzuteilen, dass sie ihre Lesevorgänge fortsetzen können. Auf der Windows-API-Ebene verhindert der Manipulationsschutz Aufrufe zum Erstellen, Öffnen oder Ändern dieser Objekte, wie z. B. CreateEvent, SetEvent, CreateMutex, ReleaseMutex, usw. Er vergleicht dann den Namen des Objekts mit einer Liste der geschützten Namen, die als "Manifest" bezeichnet wird. Wenn die Namen übereinstimmen, prüft er als Nächstes, ob die Programmdatei, die hinter dem aufrufenden Prozess steht, über eine gültige digitale Signatur von Symantec verfügt. Wenn der Prozess eine gültige Signatur hat, wird die Anforderung zugelassen, andernfalls wird sie mit dem Fehlercode ERROR_ACCESS_DENIED

48 48 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Verwenden des Manipulationsschutzes abgelehnt. Dieser Schutz funktioniert auf Einzelbenutzersystemen und Terminal-Servern. Ferner können Sie eine Meldung erstellen, die auf Ihrem Computer angezeigt wird, wenn Symantec AntiVirus einen Manipulationsversuch erkennt. Standardmäßig werden Benachrichtigungsmeldungen angezeigt, wenn Symantec AntiVirus Manipulationsversuche an internen Objekten feststellt. Wenn Sie festlegen, dass Benachrichtigungen gesendet werden sollen, wenn Symantec AntiVirus Manipulationsversuche an Prozessen feststellt, erhalten die betroffenen Computer möglicherweise Benachrichtigungen sowohl zu Windows- als auch zu Symantec-Prozessen. So aktivieren, deaktivieren und konfigurieren Sie den Manipulationsschutz 1 Führen Sie einen der folgenden Schritte aus: Klicken Sie mit der rechten Maustaste auf einen Server oder eine Server-Gruppe und klicken Sie anschließend auf "Alle Tasks > Symantec AntiVirus > Optionen für Client-Manipulationsschutz". Klicken Sie mit der rechten Maustaste auf einen Server oder eine Server-Gruppe und klicken Sie anschließend auf "Alle Tasks > Symantec AntiVirus > Optionen für Server-Manipulationsschutz".

49 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Verwenden des Manipulationsschutzes 49 2 Aktivieren bzw. deaktivieren Sie "Manipulationsschutz aktivieren". 3 Wenn Sie den Manipulationsschutz aktiviert haben, aktivieren oder deaktivieren Sie unter "Schutz" die Optionen "Prozesse" und "Interne Objekte". Führen Sie im Dropdown-Listenfeld jeder Option einen der folgenden Schritte aus: Um eine unbefugte Aktivität zu blockieren, klicken Sie auf "Blockieren". Um eine unbefugte Aktivität zu protokollieren, deren Ausführung jedoch zuzulassen, klicken Sie auf "Nur protokollieren". 4 Aktivieren oder deaktivieren Sie unter "Benachrichtigungen" die Option "Meldung auf betroffenem Computer anzeigen". 5 Aktivieren oder deaktivieren Sie unter "Benachrichtigungen" die Optionen "Prozesse" und "Interne Objekte".

50 50 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Wiederherstellen der Verbindung zwischen Servern und verwalteten Client-Computern 6 Aktivieren oder deaktivieren Sie unter "Optionen" die Option "Manipulationsschutz aktiviert lassen, auch wenn Symantec AntiVirus beendet wird". 7 Wenn Sie die Optionen für den Client-Manipulationsschutz konfigurieren, können Sie die Einstellungen für Ihr Netzwerk je nach Wunsch sperren oder entsperren. 8 Wenn Sie Optionen für den Client-Manipulationsschutz oder Optionen für den Server-Manipulationsschutz auf Server-Gruppenebene konfigurieren, klicken Sie auf "Alle zurücksetzen", um die Einstellungen auf dieser Registerkarte für jeden Client zu übernehmen, der diesem Server oder dieser Server-Gruppe zugeordnet ist. Wiederherstellen der Verbindung zwischen Servern und verwalteten Client-Computern Verwaltete Client-Computer können in Symantec System Center aus vielerlei Gründen nicht angezeigt werden. In folgenden Fällen können Client-Computer nach Installation von Symantec AntiVirus 10.x nicht mehr über Symantec System Center verwaltet werden: Der Symantec AntiVirus-Server wurde umbenannt oder seine IP-Adresse wurde geändert. Symantec AntiVirus 10.0 oder später wurde deinstalliert und später erneut installiert, ohne den Ordner <Betriebssystem-Laufwerk>:\Programme\SAV\PKI\ kopiert zu haben. Außerdem kann die Verbindung aus folgenden Gründen getrennt werden: Wiederherstellen der Verbindung nach einer Änderung am Server oder einer Neuinstallation eines Client-Computers Wenn die Client-Computer nicht in Symantec System Center angezeigt werden, müssen Sie die "Grc.dat"-Datei und das Wurzelzertifikat der Server-Gruppe vom entsprechenden Server auf den Client-Computer kopieren, um die Verbindung wiederherzustellen. Beim ersten Einchecken des Client-Computers beim übergeordneten Server nach dem Kopieren der neuen "Grc.dat"-Datei auf den Client-Computer wird der Client-Computer in Symantec System Center angezeigt. Sie können das Einchecken erzwingen, indem Sie den Symantec AntiVirus-Dienst auf dem Client-Computer neu starten.

51 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Wiederherstellen der Verbindung zwischen Servern und verwalteten Client-Computern 51 So kopieren Sie die "Grc.dat"-Datei auf einen Client-Computer 1 Kopieren Sie die Konfigurationsdatei "Grc.dat" auf dem übergeordneten Management-Server vom Symantec AntiVirus-Programmordner an den folgenden Standardspeicherort: Der folgende Pfad ist der Standardspeicherort auf einem Server: <Betriebssystem-Laufwerk>:\Programme\SAV 2 Fügen Sie Sie die "Grc.dat"-Datei im folgenden Ordner auf dem Client-Computer ein: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5 Der Client erkennt die "Grc.dat"-Datei in diesem Ordner nach einigen Minuten, nimmt dann die entsprechenden Änderungen an der Registrierung vor und löscht die Datei "Grc.dat" anschließend. So kopieren Sie das Zertifikat der Server-Gruppe auf den Client-Computer 1 Kopieren Sie die Datei mit dem Zertifikat der Server-Gruppe auf dem gewünschten Management-Server aus dem Symantec AntiVirus-Programmordner. Der Dateiname der zu kopierenden Datei endet mit ".servergroupca.cer". Diese Datei befindet sich auf einem Server standardmäßig im folgenden Pfad: <Betriebssystem-Laufwerk>:\Programme\SAV\PKI\Roots 2 Fügen Sie Sie die Zertifikatsdatei im "Roots"-Ordner auf dem Client-Computer ein: Der folgende Pfad ist der Standardspeicherort auf einem Client-Computer: <Betriebssystem-Laufwerk>:\Programme\Symantec AntiVirus\PKI\Roots So starten Sie den Symantec AntiVirus-Dienst neu 1 Klicken Sie mit der rechten Maustaste auf "Arbeitsplatz" und wählen Sie "Verwalten". 2 Doppelklicken Sie im rechten Bereich auf "Dienste und Anwendungen" und anschließend auf "Dienste". 3 Klicken Sie mit der rechten Maustaste auf "Symantec AntiVirus" und wählen Sie "Neu starten". Stellen Sie sicher, dass Sie den Symantec AntiVirus-Dienst (nicht den Symantec AntiVirus Definition Watcher-Dienst) neu starten.

52 52 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Wiederherstellen der Verbindung zwischen Servern und verwalteten Client-Computern Wiederherstellen der Verbindung bei Verwendung eines Laufwerk-Image zum Erstellen von Klonen auf demselben Netzwerk Für jede Symantec AntiVirus-Installation wird eine global eindeutige Kennung (GUID) beim ersten Ausführen des Rtvscan-Dienstes erstellt. Wenn Sie einen Computer mit Symantec AntiVirus verwenden, um ein Laufwerk-Image zu erstellen und mithilfe dieses Image Klone des Computers auf demselben Netzwerk erstellen, hat jeder Computer dieselbe GUID. In diesem Fall werden verwaltete Client-Computer in Symantec System Center möglicherweise nicht mehr angezeigt, sie sollten jedoch Definitionsaktualisierungen empfangen können. Um dieses Problem zu beheben, löschen Sie den GUID-Registrierungswert auf den Client-Computern und starten Sie den Symantec AntiVirus-Dienst erneut. So löschen Sie den GUID-Registrierungswert auf Client-Computern 1 Navigieren Sie im Registrierungs-Editor zu folgendem Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion 2 Klicken Sie im rechten Teilfenster mit der rechten Maustaste auf "GUID" und klicken Sie anschließend auf "Löschen". 3 Schließen Sie den Registrierungs-Editor. 4 Starten Sie den Symantec AntiVirus-Dienst neu. Weitere Informationen zum Neustarten des Symantec AntiVirus-Dienstes finden Sie unter So starten Sie den Symantec AntiVirus-Dienst neu. Wiederherstellen der Verbindung, wenn die Client-Computer Definitionsaktualisierungen empfangen können Wenn Ihre verwalteten Client-Computer Virendefinitionsaktualisierungen von einem übergeordneten Server empfangen, jedoch in Symantec System Center nicht sichtbar sind, müssen Sie möglicherweise alle entsprechenden Symantec AntiVirus-Dienste auf dem übergeordneten Server in der richtigen Reihenfolge beenden und neu starten. So beenden Sie alle Symantec AntiVirus-Dienste und starten sie neu 1 Beenden Sie Symantec AntiVirus-Dienste in der nachstehenden Reihenfolge: Symantec System Center Discovery-Dienst Intel Alert Handler Intel Alert Originator Intel File Transfer Intel PDS

53 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Wiederherstellen der Verbindung zwischen Servern und verwalteten Client-Computern 53 Symantec AntiVirus In Symantec AntiVirus 8.x und früheren Versionen lautet der Name dieses Dienstes Symantec AntiVirus Server. Symantec Quarantine Agent Symantec Central Quarantine 2 Starten Sie dann die Dienste in der nachstehenden Reihenfolge neu: Symantec AntiVirus In Symantec AntiVirus 8.x und früheren Versionen lautet der Name dieses Dienstes Symantec AntiVirus Server. Intel PDS Intel Alert Handler Intel Alert Originator Intel File Transfer Symantec Quarantine Agent Symantec Central Quarantine Symantec System Center Discovery-Dienst Wiederherstellen der Verbindung, wenn die Client-Computer keine Definitionsaktualisierungen empfangen können Verwaltete Client-Computer können aus vielerlei Gründen in Symantec System Center nicht angezeigt werden. Wenn die betroffenen Client-Computer keine Virendefinitionsaktualisierungen erhalten, kann der Verlust der Verbindung eine der folgenden Gründe haben: Es liegt ein Netzwerkkommunikationsproblem vor. Siehe So vergewissern Sie sich, dass kein Netzwerkkommunikationsproblem vorliegt auf Seite 54. Sie verwenden nicht die korrekte Version von Symantec System Center. Informationen dazu, wie Sie die von Ihnen verwendete Version feststellen können, finden Sie in der Unterstützungsdatenbank von Symantec unter "Determining the version of Symantec System Center". Sie haben Symantec System Center 10.x nicht zur Verwaltung von älteren Client-Computern und -Servern konfiguriert. Das Wurzelzerzifikat der Server-Gruppe des Server- oder Client-Computers ist nicht vorhanden.

54 54 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Wiederherstellen der Verbindung zwischen Servern und verwalteten Client-Computern Die Datei "Grc.dat" des Client-Computers fehlt oder ist beschädigt. Es liegt ein Problem mit dem Dienst für die Symantec-Netzwerktreiber vor. Die Einstellungen der Windows-Firewall wirken sich störend auf die Verbindung aus. Informationen zum Konfigurieren oder Deaktivieren der Windows-Firewall finden Sie in der Unterstützungsdatenbank von Symantec unter "Adding port exceptions to Windows Internet Connection Firewall for Symantec AntiVirus Corporate Edition".Sie finden Informationen auch unter "How to disable the Windows XP firewall". Hinweis: Jeder der möglichen Gründe sollte entsprechend der Reihenfolge, in der sie hier aufgeführt sind, untersucht werden. So vergewissern Sie sich, dass kein Netzwerkkommunikationsproblem vorliegt 1 Öffnen Sie auf dem übergeordneten Server eine Eingabeaufforderung und senden Sie an den Client mithilfe des Computernamens ein Ping-Signal. Geben Sie zum Beispiel Folgendes ein: ping <Client1> Dabei steht <Client1> für den Computernamen des Client-Computers. Dieser Befehl müsste die korrekte IP-Adresse des Client-Computers zurückgeben. 2 Öffnen Sie auf dem übergeordneten Server eine Eingabeaufforderung und verwenden Sie den Befehl "ping -a" in Verbindung mit der IP-Adresse des Clients. Geben Sie zum Beispiel Folgendes ein: ping -a XXX.XXX.X.X Dabei steht XXX.XXX.X.X für die IP-Adresse des Client-Computers. Dieser Befehl müsste den korrekten, vollständig qualifizierten Domänennamen des Client-Computers zurückgeben.

55 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Wiederherstellen der Verbindung zwischen Servern und verwalteten Client-Computern 55 3 Öffnen Sie auf dem Client eine Eingabeaufforderung und senden Sie an den übergeordneten Server mithilfe des Computernamens ein Ping-Signal. Geben Sie zum Beispiel Folgendes ein: ping <Server1> Dabei steht <Server1> für den Computernamen des übergeordneten Servers. Dieser Befehl müsste die korrekte IP-Adresse des übergeordneten Servers zurückgeben. 4 Öffnen Sie auf dem Client eine Eingabeaufforderung und verwenden Sie den Befehl "ping -a" in Verbindung mit der IP-Adresse des übergeordneten Servers. Geben Sie zum Beispiel Folgendes ein: ping -a XXX.XXX.X.X Dabei steht XXX.XXX.X.X für die IP-Adresse des übergeordneten Servers. Dieser Befehl müsste den korrekten, vollständig qualifizierten Domänennamen des übergeordneten Servers zurückgeben. Wenn die Netzwerkkommunikation fehlschlägt, beheben Sie alle DNS- oder auf die Namensauflösung bezogenen Probleme im Netzwerk, bevor Sie andere Lösungen versuchen. Die Kommunikation schlägt fehl, wenn das Wurzelzertifikat der Server-Gruppe auf den Servern, den verwalteten Client-Computern und den Computern, die mit Symantec System Center arbeiten, nicht vorliegt. Ältere Client-Computer und -Server benötigen keine Kopie des Wurzelverzeichnisses. So bestätigen Sie das Vorhandensein des Wurzelverzeichnisses der Server-Gruppe auf übergeordneten Servern und Computern, auf denen Symantec System Center ausgeführt wird 1 Starten Sie Windows Explorer. 2 Öffnen Sie den Symantec AntiVirus-Programmordner. Der Standardspeicherort lautet entweder "<Betriebssystem-Laufwerk>:\Programme\SAV" oder "<Betriebssystem-Laufwerk>:\Programme\SAV\Symantec AntiVirus". 3 Öffnen Sie den Ordner "pki\roots" und suchen Sie die Datei "xxx.x.servergroupca.cer". 4 Führen Sie, falls die Datei "xxx.x.servergroupca.cer" nicht vorhanden ist, einen der folgenden Schritte aus: Kopieren Sie die Datei von einem anderen übergeordneten Server und starten Sie den Symantec AntiVirus-Dienst neu. Weitere Informationen zum Neustarten des Symantec AntiVirus-Dienstes finden Sie unter So starten Sie den Symantec AntiVirus-Dienst neu.

56 56 Aktualisierung des Kapitels "Verwaltung von Symantec Client Security" Wiederherstellen der Verbindung zwischen Servern und verwalteten Client-Computern Stellen Sie eine Sicherungskopie des Ordners "pki" wieder her und starten Sie den Symantec AntiVirus-Dienst neu. Der Ordner "pki" befindet sich im Symantec AntiVirus-Programmordner des primären Servers. Auf Windows-Computern lautet der Speicherort entweder "<Betriebssystem-Laufwerk>:\Programme\SAV" oder "<Betriebssystem-Laufwerk>:\Programme\SAV\Symantec AntiVirus". Wenn Sie keine Sicherungskopie des Ordners "pki" zur Hand haben, befolgen Sie die Anweisungen unter Client-Verbindung wiederherstellen, wenn ein Primär-Server verloren gegangen ist. So bestätigen Sie das Vorhandensein des Zertifikats auf verwalteten Client-Computern 1 Starten Sie Windows Explorer. 2 Wechseln Sie in den Symantec AntiVirus-Programmordner. Der Standardspeicherort lautet "<Betriebssystem-Laufwerk>\Programme\Symantec AntiVirus". 3 Öffnen Sie den Ordner "pki\roots" und suchen Sie die Datei "xxx.x.servergroupca.cer". 4 Stellen Sie sicher, dass die Datei mit der Datei "xxx.x.servergroupca.cer" auf dem übergeordneten Server des Client-Computers übereinstimmt. 5 Falls die Datei "xxx.x.servergroupca.cer" nicht vorhanden ist, kopieren Sie sie vom Ordner "pki\roots" auf dem übergeordneten Server. So bestätigen Sie, dass Symantec AntiVirus ordnungsgemäß auf den Client-Computern funktioniert 1 Starten Sie Symantec AntiVirus. 2 Stellen Sie sicher, dass in der allgemeinen Information der korrekte Name des übergeordneten Servers angezeigt wird. Wird der korrekte Name des übergeordneten Servers nicht angezeigt, kopieren Sie die Datei "Grc.dat" vom übergeordneten Server auf den Client. Weitere Informationen zum Kopieren der Datei "Grc.dat" finden Sie unter So kopieren Sie die "Grc.dat"-Datei auf einen Client-Computer.

57 Kapitel 4 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu Symantec AntiVirus -Prüfungen Konfigurieren von Auto-Protect Konfiguration manueller Prüfungen Erstellen und Konfigurieren von geplanten Prüfungen Berechtigungen von Client-Benutzern verwalten Allgemeines zu Symantec AntiVirus -Prüfungen Sie können folgende Prüfungstypen in der Symantec AntiVirus-Ansicht in der Symantec System Center-Konsole konfigurieren: Auto-Protect-Prüfungen Auto-Protect-Prüfungen des Dateisystems Auto-Protect-Prüfungen von -Anhängen für Lotus Notes, Microsoft Exchange und Outlook (MAPI und Internet) Auto-Protect-Prüfungen für Internet- und -Anhänge, die die Kommunikationsprotokolle POP3 oder SMTP verwenden. Die Auto-Protect-Prüfungen für Internet- schließen zudem eine Prüfheuristik für ausgehende s ein.

58 58 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Allgemeines zu Symantec AntiVirus -Prüfungen Manuelle Prüfungen Prüfungen mithilfe einer Virensuchaktion Geplante Prüfungen Standardmäßig werden bei allen Prüfungen mit Symantec AntiVirus Viren und Sicherheitsrisiken wie Adware und Spyware erkannt und isoliert. Außerdem werden die Nebeneffekte, die durch Viren und Sicherheitsrisiken verursacht werden, entfernt oder repariert. Hinweis: Es kann vorkommen, dass Sie unwissentlich eine Anwendung installieren, die ein Sicherheitsrisiko, z. B. Adware oder Spyware, enthält. Wenn Symantec feststellt, dass das Blockieren des Sicherheitsrisikos dem Computer nicht schadet, wird das Risiko blockiert. Wenn das Blockieren des Risikos den Computer in einen instabilen Zustand versetzen könnte, wartet Symantec AntiVirus, bis die Installation der Anwendung abgeschlossen ist, bevor es das Risiko in den Quarantänebereich verschiebt. Anschließend repariert es die Nebeneffekte des Risikos. Sie können Folgendes prüfen: Einzelne und mehrere Symantec AntiVirus-Server und -Clients Gruppen von Symantec AntiVirus-Servern und -Clients, die in Server-Gruppen zusammengefasst sind Allgemeines zum automatischen Ausschließen von Microsoft Exchange-Dateien und Verzeichnissen Wenn Microsoft Exchange-Server einschließlich Cluster-Servern auf dem Computer installiert werden, auf dem Symantec AntiVirus installiert ist, erkennt Symantec AntiVirus Exchange automatisch und erstellt entsprechende Datei- und Verzeichnisausschlüsse für Auto-Protect und alle anderen Prüfungen. Symantec AntiVirus prüft in regelmäßigen Abständen, ob sich der Ablageort der entsprechenden Exchange-Dateien und Verzeichnisse geändert hat. Wenn Sie Exchange auf einem Computer installieren, auf dem Symantec AntiVirus bereits installiert ist, werden die Ausschlüsse erstellt, wenn Symantec AntiVirus nach Änderungen sucht. Symantec AntiVirus schließt sowohl Dateien als auch Verzeichnisse aus. Wenn also eine einzelne Datei aus einem ausgeschlossenen Verzeichnis verschoben wird, bleibt die Datei ausgeschlossen. Symantec AntiVirus erstellt Ausschlüsse für Dateien und Verzeichnisse für folgende Microsoft Exchange-Versionen: Exchange 5.5

59 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Allgemeines zu Symantec AntiVirus -Prüfungen 59 Exchange 2000 Exchange 2003 Symantec AntiVirus erstellt auch entsprechende Datei- und Verzeichnisausschlüsse für folgende Symantec-Produkte, wenn diese erkannt werden: Symantec Mail Security 4.0, 4.5, 4.6 und 5.0 für Microsoft Exchange Symantec AntiVirus/Filtering 3.0 für Microsoft Exchange Norton AntiVirus 2.x für Microsoft Exchange Hinweis: Welche Ausschlüsse Symantec AntiVirus für Exchange erstellt hat, können Sie im Registrierungsschlüssel "HKLM\Software\Intel\LANdesk\ VirusProtect6\CurrentVersion\Exclusions\Exchange Server" sehen. Bearbeiten Sie diesen Registrierungsschlüssel nicht direkt. Konfigurieren Sie weitere Ausschlüsse über die entsprechenden Symantec System Center-Optionen für Auto-Protect-, manuelle und geplante Prüfungen. Symantec AntiVirus schließt nicht die temporären Systemordner von der Prüfung aus, da dies eine erhebliche Sicherheitslücke für den Computer bedeuten würde. Allgemeines zum globalen Ausschluss von Sicherheitsrisiken bei Prüfungen Wenn es bestimmte Sicherheitsrisiken gibt, die Sie gemäß den Sicherheitsrichtlinien Ihres Unternehmens auf Ihrem Computer belassen dürfen, können Sie Symantec AntiVirus so konfigurieren, dass diese Risiken von allen Prüfungen ausgeschlossen werden. Siehe Globale Sicherheitsrisikoausschlüsse konfigurieren auf Seite 66. Wissenswertes zu Auto-Protect-Prüfungen Auto-Protect durchsucht Dateien und -Daten immer dann nach Viren und Sicherheitsrisiken wie Spyware und Adware, wenn sie auf einem Computer aufgerufen oder gespeichert werden. Auto-Protect prüft -Daten nur auf Symantec AntiVirus-Clients. Symantec AntiVirus erkennt das Vorhandensein von Microsoft Exchange automatisch und erstellt bei der Installation Auto-Protect-Prüfungsausnahmen dafür. Auto-Protect enthält die SmartScan-Funktion. Wenn diese Funktion aktiviert ist, kann ein Dateityp selbst dann ermittelt werden, wenn ein Virus die Dateierweiterung geändert hat.

60 60 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Allgemeines zu Symantec AntiVirus -Prüfungen Mit Symantec AntiVirus können Sie die Auto-Protect-Optionen für Server auf Server-Gruppen- oder Server-Ebene und für Clients auf Server-Gruppen, Serveroder Client-Gruppenebene festlegen. Wenn Sie Auto-Protect konfigurieren, sehen die Konfigurationsfenster unterschiedlich aus, je nachdem, ob Sie Optionen für Server oder für Clients einstellen. Sie können die Auto-Protect-Optionen für Clients bei der Konfiguration sperren, wenn Sie spezielle Sicherheitsrichtlinien Ihres Unternehmens für Viren und Sicherheitsrisiken durchsetzen möchten. Benutzer können von Ihnen gesperrte Optionen nicht ändern. Hinweis: Sie müssen die in der Symantec System Center-Konsole konfigurierten Client-Einstellungen von Auto-Protect sperren, bevor Symantec System Center diese an Clients weiterleiten kann. Wenn Sie eine Änderung vornehmen, ohne die Einstellung zu sperren, wird die Änderung nicht an die Clients weitergeleitet. Siehe Konfigurieren von Auto-Protect auf Seite 68. Auto-Protect ist standardmäßig aktiviert. Sie können den Auto-Protect-Status in Symantec System Center ansehen. So zeigen Sie den Auto-Protect-Status an Klicken Sie mit der rechten Maustaste auf einen Server oder einen Client und anschließend auf "Alle Tasks > Symantec AntiVirus > Auto-Protect-Status". Allgemeines zu Virenensuchaktionen Eine Virensuchaktion durchsucht die Systemhierarchie, die Server-Gruppe oder einzelne Server-Ebenen. Bei Virensuchaktionen werden Viren und Sicherheitsrisiken berücksichtigt. Sie können die Art der Virensuchaktion benennen und den Verlauf in einem Virensuchaktionsprotokoll anzeigen. Warnung: Bei Virenensuchaktionen werden nicht automatisch die Ausschlüsse berücksichtigt, die für andere Prüfungsarten festgelegt wurden. Darüber hinaus können Sie eine Virenensuchaktion nicht anhalten. Wenn sie gestartet wurde, muss sie zu Ende geführt werden. Allgemeines zu in Prüfungen zu berücksichtigenden und auszuschließenden Elementen Anhand von Dateiausschlüssen können Sie den Schutzbedarf des Netzwerks mit dem Zeitaufwand und den Ressourcen in Einklang bringen, die für den angestrebten Schutz benötigt werden. Wenn Sie beispielsweise alle Dateitypen

61 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Allgemeines zu Symantec AntiVirus -Prüfungen 61 prüfen möchten, können Sie bestimmte Ordner ausschließen, die nur Dateien enthalten, die nicht virenanfällig sind. Sie können aber auch nur die Dateien mit Erweiterungen prüfen lassen, die anfällig für Viren oder andere Risiken sind. Wenn Sie nur bestimmte Dateierweiterungen bei der Prüfung berücksichtigen, schließen Sie automatisch alle anderen Dateierweiterungen von der Prüfung aus. Dadurch wird die CPU-Belastung reduziert. Je nach Prüfungsart und den zu prüfenden Objekten können Sie Ausschlüsse anhand von Dateien, Ordnern oder Dateierweiterungen vornehmen. So ist es möglich, nur bestimmte Erweiterungen bei einer Prüfung zu berücksichtigen. Warnung: Da ausgeschlossene Dateien und Ordner nicht geprüft werden, sind sie nicht vor Viren und anderen Sicherheitsrisiken geschützt. Sie können Elemente in Prüfungen berücksichtigen und ausschließen, die vom Symantec AntiVirus-Client oder -Server oder von der Symantec System Center-Konsole gestartet werden. In Tabelle 4-1 werden Ausschlussarten beschrieben, die Sie nach Objekttyp in der Navigationshierarchie von Symantec System Center konfigurieren können. Tabelle 4-1 Objekttyp Server-Gruppe Ausschlüsse nach Objekttyp Mögliche Ausschlüsse Server-Prüfungen: Dateierweiterungen und benannte Ordner Server Server-Prüfungen: Dateierweiterungen, Laufwerke, Dateien und Ordner. Client-Prüfungen: Dateierweiterungen, Laufwerke und benannte Ordner. Client-Gruppe Client-Prüfungen: Dateierweiterungen, Laufwerke und benannte Ordner.

62 62 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Allgemeines zu Symantec AntiVirus -Prüfungen Objekttyp NetWare-Server Mögliche Ausschlüsse Dateien nach Laufwerken und benannten Ordnern; Ausschlüsse nach Dateierweiterungen sind nicht möglich. Hinweis: Wenn Sie bei NetWare 6 die ifolder-funktion verwenden, sollten Sie das ifolder-verzeichnis von der Virenprüfung ausschließen. Der Name des Standard-Verzeichnisses für den Ausschluss lautet "sys:\ifolder". Sie können diese Option im Dialogfeld "Server-Auto-Protect-Optionen" in Symantec System Center konfigurieren. Siehe Einschließen und Ausschließen von Dateien und Ordnern konfigurieren auf Seite 63. Bestimmte Dateien und Ordner von einer Prüfung ausschließen Sie können bestimmte Dateien und Ordner von Auto-Protect, von der Virensuchaktion, von manuellen Prüfungen ("Schnell", "Voll" und "Benutzerdefiniert") und geplanten Prüfungen ausschließen. Dabei kann es sich beispielsweise um einen Pfad (C:\Temp\Install) oder einen Ordner handeln, der ein zulässiges Sicherheitsrisiko enthält, wenn die Sicherheitsrichtlinien Ihres Unternehmens die Ausführung von Programmen zulassen, die ein Sicherheitsrisiko sein könnten. Außerdem können dazu Dateien gehören, die fälschlicherweise Warnmeldungen auslösen. Wenn Sie beispielsweise ein anderes Virenprüfprogramm benutzt haben, um infizierte Dateien zu säubern, und dieses Programm den Virencode nicht vollständig entfernt hat, kann die Datei harmlos sein. Es ist jedoch möglich, dass Symantec AntiVirus durch den deaktivierten Virencode fälschlicherweise eine Warnmeldung ausgibt. Wenden Sie sich an den Technischen Support von Symantec, wenn Sie nicht sicher sind, ob eine Datei infiziert ist. Die Symbole in der Symantec AntiVirus-Hierarchie stellen den Status der auszuschließenden Dateien und Ordner dar. Tabelle 4-2 enthält die Symbole und eine Beschreibung ihrer Bedeutung für die Konfiguration von Ausschlüssen. Tabelle 4-2 Symbol Symbole der Baumstruktur und ihre Bedeutung für Ausschlüsse Beschreibung Schließt alle Dateien in diesem Ordner sowie alle Dateien in den Unterordnern von der Prüfung aus.

63 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Allgemeines zu Symantec AntiVirus -Prüfungen 63 Symbol Beschreibung Schließt ein oder mehrere ausgewählte Elemente in dem Ordner oder in einem der Unterordner aus. Schließt die ausgewählte Datei aus. Diese Option ist nur über die Client- oder Server-Benutzeroberfläche verfügbar. Prüft den Ordner oder Unterelemente. Dateien nach Dateityp oder Dateierweiterung einbeziehen oder ausschließen Standardmäßig prüft Symantec AntiVirus alle Dateien während einer Virenprüfung. Sie können diese Einstellungen jedoch ändern, so dass Symantec AntiVirus wie folgt vorgeht: Es werden nur Dateien mit bestimmten Erweiterungen geprüft. Dateien mit bestimmten Erweiterungen werden von der Prüfung ausgeschlossen. Mit Symantec System Center können Sie Dateierweiterungen festlegen, die berücksichtigt oder ausgeschlossen werden sollen. Prüfungen anhand von Erweiterungen sind verfügbar, wenn Sie die folgenden Objekte und Prüfungstypen auswählen: Client-Objekt: Manuelle Prüfung, geplante Prüfung und Client-Auto-Protect. Server-Objekt: Virensuchaktion, manuelle Prüfung, geplante Server-Prüfung und Server-Auto-Protect (nur Windows). Bei der Prüfung nach Dateinamenerweiterungen liest Symantec AntiVirus nicht die Header-Daten der Datei, um den Dateityp zu ermitteln, sondern prüft die Dateien nur anhand der von Ihnen festgelegten Erweiterungen. Hinweis: Die Option für die Prüfung anhand von Dateitypen ist bei der Konfiguration von Prüfungen nicht verfügbar. Es werden immer alle Dateitypen geprüft. Bei Prüfungen, die in vorherigen Versionen konfiguriert und auf die aktuelle Version migriert wurden, werden alle Dateitypen geprüft. Einschließen und Ausschließen von Dateien und Ordnern konfigurieren Symantec AntiVirus weist folgendes Verhalten für auszuschließende Objekte auf:

64 64 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Allgemeines zu Symantec AntiVirus -Prüfungen Wenn Symantec AntiVirus Ausnahmen anwendet, werden ausgeschlossene Elemente nicht geprüft. Nicht ausgeschlossene Elemente werden geprüft. Ausgeschlossene Dateien werden bei Virensuchaktionen, bei manuellen und geplanten sowie bei Auto-Protect-Prüfungen von Symantec AntiVirus nicht berücksichtigt. Das Aktivieren oder Deaktivieren dieser Option kann die Leistung je nach Situation verbessern. Wenn Sie beispielsweise einen großen Ordner kopieren, der sich in der Ausschlussliste befindet, und die Ausschlussoption aktiviert ist, dauert der Kopierprozess nicht so lange, da der Inhalt des Ordners von der Prüfung ausgeschlossen wird. Ausgeschlossene Dateien werden mit verschiedenen Symbolen in der Symantec AntiVirus-Hierarchie angezeigt. Siehe Tabelle 4-2 auf Seite 62. Sie können die zu prüfenden Dateien für alle Prüfungstypen anhand bestimmter Erweiterungen oder Typen angeben. Bei geplanten und manuellen Prüfungen können Sie die zu prüfenden Dateien auf Ordnerebene anhand der Erweiterung und des Typs auswählen. So konfigurieren Sie Ausschlüsse für Prüfungen 1 Klicken Sie im Dialogfeld "Prüfoptionen" für den zu konfigurierenden Prüfungstyp auf "Auto-Protect", "Manuell", "Virensuchaktion" oder "Geplant". 2 Klicken Sie auf "Dateien und Ordner ausschließen". 3 Klicken Sie auf "Ausschlüsse". 4 Abhängig vom Typ und der Anzahl der zu konfigurierenden Computer können Sie folgende Aktionen ausführen: Klicken Sie auf "Erweiterungen" und wählen Sie die auszuschließenden Dateierweiterungen aus. Wenn Sie einen Ausschluss nach Dateierweiterung definieren, können Sie Platzhalter verwenden. Wählen Sie die Dateien, die innerhalb bestimmter Ordner ausgeschlossen werden sollen, anhand der entsprechenden Erweiterung oder eines Dateityps aus. Klicken Sie auf "Dateien/Ordner" oder "Ordner" und wählen Sie die Ordner aus, die von der Prüfung ausgeschlossen werden sollen. 5 Klicken Sie mehrmals auf "OK", bis die Symantec System Center-Konsole angezeigt wird.

65 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Allgemeines zu Symantec AntiVirus -Prüfungen 65 So wählen Sie zu prüfende Dateien anhand von Erweiterungen aus 1 Wählen Sie im Dialogfeld "Prüfoptionen" unter "Dateitypen" den zu konfigurierenden Prüfungstyp unter "Ausgewählte Dateierweiterungen" aus. 2 Klicken Sie auf "Erweiterungen". 3 Im Dialogfeld "Ausgewählte Erweiterungen" haben Sie folgende Möglichkeiten: Um eigene Erweiterungen hinzuzufügen, geben Sie die Erweiterung ein und klicken Sie dann auf "Hinzufügen". Um alle Dokumenterweiterungen hinzuzufügen, klicken Sie auf "Dokumente". Um alle Programmerweiterungen hinzuzufügen, klicken Sie auf "Hinzufügen". Um alle Erweiterungen und Programmtypen hinzuzufügen, klicken Sie auf "Standardeinstellungen verwenden". 4 Klicken Sie mehrmals auf "OK", bis die Symantec System Center-Konsole angezeigt wird. So wählen Sie Dateien für manuelle Prüfungen anhand von Ordnern aus 1 Klicken Sie mit der rechten Maustaste auf das zu prüfende Objekt und dann auf "Alle Tasks > Symantec AntiVirus > Manuelle Prüfung starten". 2 Wählen Sie im Dialogfeld "Komponenten wählen" die zu prüfenden Ordner aus. 3 Klicken Sie auf "Optionen" und wählen Sie die Erweiterungen und Prüfungstypen für die ausgewählten Ordner aus. 4 Klicken Sie mehrmals auf "OK", bis die Symantec System Center-Konsole angezeigt wird. So wählen Sie Dateien für geplante Prüfungen anhand von Ordnern aus 1 Klicken Sie mit der rechten Maustaste auf das zu prüfende Objekt und dann auf "Alle Tasks > Symantec AntiVirus > Geplante Prüfungen". 2 Wählen Sie auf der Registerkarte "Server-Prüfungen" in der Liste der Server-Prüfungen eine Prüfung aus. 3 Klicken Sie auf " Bearbeiten". 4 Klicken Sie im Dialogfeld "Geplante Prüfung" auf "Prüfungseinstellungen". 5 Wählen Sie im Dialogfeld "Komponenten wählen" die zu prüfenden Ordner aus.

66 66 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Allgemeines zu Symantec AntiVirus -Prüfungen 6 Klicken Sie auf "Optionen" und wählen Sie die Erweiterungen und Prüfungstypen für die ausgewählten Ordner aus. 7 Klicken Sie mehrmals auf "OK", bis die Symantec System Center-Konsole angezeigt wird. Wenn -Anwendungen eine einzige Posteingangsdatei verwenden Wenn Ihre Clients -Anwendungen verwenden, die alle -Nachrichten in einer einzelnen Datei speichern, z. B. Outlook Express, Eudora, Mozilla und Netscape, sollten Sie und Ihre Benutzer die Posteingangsdatei möglicherweise von manuellen und geplanten Prüfungen ausschließen. Wenn Symantec AntiVirus während einer manuellen oder geplanten Prüfung einen Virus erkennt und die für den Virus konfigurierte Aktion das Verschieben in den Quarantänebereich ist, isoliert Symantec AntiVirus den gesamten Posteingang und Benutzer können nicht mehr auf ihre s zugreifen. Obwohl das regelmäßige Ausschließen einer Datei von der Prüfung nicht als gängige Praxis empfohlen wird, verhindert das Ausschließen der Posteingangsdatei von der Prüfung, dass sie isoliert wird, während Viren dennoch erkannt werden können. Wenn Symantec AntiVirus einen Virus erkennt, wenn ein Benutzer eine -Nachricht öffnet, und nicht, wenn er die Nachricht herunterlädt oder während einer Prüfung, kann es die Nachricht sicher isolieren oder löschen, ohne ein Problem für den gesamten Posteingang zu verursachen. Globale Sicherheitsrisikoausschlüsse konfigurieren Wenn es Sicherheitsrisiken gibt, die auf den Computern im Netzwerk verbleiben dürfen, können Sie eine Liste dieser Sicherheitsrisiken erstellen, die von allen Prüfungen auf den Servern und Client-Computern ausgeschlossen werden sollen. Globale Sicherheitsrisikoausschlüsse können auf Server-Gruppen-, Client-Gruppen-, Server- und Client-Ebene konfiguriert werden. Wenn ein Benutzer benutzerdefinierte Aktionen für ein Sicherheitsrisiko konfiguriert hat, das Sie zur globalen Ausschlussliste hinzugefügt haben, werden diese benutzerdefinierten Aktionen ignoriert. Hinweis: Wenn Sie ein Sicherheitsrisiko zur globalen Ausschlussliste hinzufügen, protokolliert Symantec AntiVirus keine Ereignisse mehr, die mit diesem Sicherheitsrisiko zusammenhängen. Benutzer werden nicht benachrichtigt, wenn sich das Risiko auf ihrem Computer befindet.

67 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Allgemeines zu Symantec AntiVirus -Prüfungen 67 So konfigurieren Sie globale Sicherheitsrisikoausschlüsse 1 Klicken Sie mit der rechten Maustaste auf den Computer, Server oder die Gruppe, den bzw. die Sie konfigurieren möchten, und klicken Sie anschließend auf "Alle Tasks > Symantec AntiVirus > Globale Sicherheitsrisikoausschlüsse". 2 Klicken Sie im Dialogfeld "Globale Sicherheitsrisikoausschlüsse" auf die Registerkarte "Server" oder "Client". Wenn Sie einen Server ausgewählt haben Verwenden Sie die Registerkarte "Server", um Ausschlüsse zu konfigurieren, die für Prüfungen auf dem Server gelten. Verwenden Sie die Registerkarte "Client", um Ausschlüsse für alle Prüfungen auf allen nicht zugewiesenen Client-Computern zu konfigurieren, die mit diesem Server verbunden sind. Client-Computer sind nicht zugewiesen, wenn sie nicht Teil einer Client-Gruppe sind. Wenn Sie eine Server-Gruppe ausgewählt haben Verwenden Sie die Registerkarte "Server", um Ausschlüsse zu konfigurieren, die für Prüfungen auf den Servern der Server-Gruppe gelten. Verwenden Sie die Registerkarte "Client", um Ausschlüsse für alle Prüfungen auf allen nicht zugewiesenen Client-Computern zu konfigurieren, die mit den Servern der Gruppe verbunden sind. Client-Computer sind nicht zugewiesen, wenn sie nicht Teil einer Client-Gruppe sind. Wenn Sie einen Client-Computer ausgewählt haben Wenn Sie eine Client-Gruppe ausgewählt haben Die Registerkarte "Server" ist nicht verfügbar. Verwenden Sie die Registerkarte "Client", um Ausschlüsse zu konfigurieren, die für alle Prüfungen auf dem Client-Computer gelten. Die Registerkarte "Server" ist nicht verfügbar. Verwenden Sie die Registerkarte "Client", um Ausschlüsse zu konfigurieren, die für Prüfungen auf den Computern der Client-Gruppe gelten. 3 Klicken Sie auf "Hinzufügen". 4 Klicken Sie im Dialogfeld "Sicherheitsrisiken auswählen" auf jedes Sicherheitsrisiko, das Sie von allen Prüfungen ausschließen möchten. Sie können die Strg- und Umschalttaste verwenden, um mehrere Risiken gleichzeitig auszuwählen. 5 Klicken Sie auf "OK".

68 68 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect So entfernen Sie ein Sicherheitsrisiko aus der globalen Ausschlussliste 1 Klicken Sie mit der rechten Maustaste auf den Computer, Server oder die Gruppe, den bzw. die Sie konfigurieren möchten, und klicken Sie anschließend auf "Alle Tasks > Symantec AntiVirus > Globale Sicherheitsrisikoausschlüsse". 2 Klicken Sie im Dialogfeld "Globale Sicherheitsrisikoausschlüsse" auf die Registerkarte "Server" oder "Client". 3 Wählen Sie in der Liste der ausgeschlossenen Sicherheitsrisiken alle Risiken aus, die Symantec AntiVirus prüfen soll, und klicken Sie anschließend auf "Entfernen". Sie können die Strg- und Umschalttaste verwenden, um mehrere Risiken gleichzeitig auszuwählen. 4 Klicken Sie auf "OK". Konfigurieren von Auto-Protect Die Konfiguration von Auto-Protect umfasst folgende Schritte: Auto-Protect für Dateien konfigurieren Auto-Protect für die -Prüfung konfigurieren Auto-Protect für das Dateisystem konfigurieren Wenn Sie Auto-Protect für Dateien konfigurieren, wählen Sie eine Server-Gruppe oder einen Server aus und konfigurieren Sie Prüfungs- und andere Einstellungen, die das Verhalten von Auto-Protect und den zugeordneten Funktionen festlegen. Geben Sie an, ob Sie Diskettenlaufwerke, Netzlaufwerke oder beide prüfen möchten. Hinweis: Wenn Sie die Auto-Protect-Optionen auf Client-Ebene konfigurieren, klicken Sie auf das Sperrsymbol neben den Auto-Protect-Einstellungen, um zu verhindern, dass Benutzer diese Einstellungen ändern können. In Tabelle 4-3 werden die Prüfoptionen von Auto-Protect beschrieben. Tabelle 4-3 Prüfoptionen für Auto-Protect Name des Abschnitts oder der Option Auto-Protect aktivieren Verfügbare Optionen Markieren Sie diese Option, um Auto-Protect zu aktivieren.

69 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 69 Name des Abschnitts oder der Option Dateitypen Verfügbare Optionen Sie können Symantec AntiVirus so konfigurieren, dass entweder alle Dateitypen bzw. nur die Dateien mit den ausgewählten Erweiterungen geprüft werden oder dass SmartScan verwendet wird. Folgende Optionen stehen zur Verfügung: Alle Typen Prüft alle Dateien auf dem Computer ungeachtet des Dateityps. Ausgewählte Erweiterungen Prüft nur die Dateien mit bestimmten Erweiterungen. Weitere Erweiterungen für Programme und Dokumente können ergänzt werden, wenn Sie Dateien verwenden, deren Erweiterungen bisher nicht in der Liste aufgeführt sind. Die Option kann auch auf ihren Standardwert zurückgesetzt werden. SmartScan Prüft eine bestimmte, konfigurierbare Gruppe von Dateierweiterungen, die Dateien mit ausführbarem Code bezeichnen, sowie alle.exe- und.doc-dateien. SmartScan liest die Header der einzelnen Dateien, um den jeweiligen Dateityp zu erkennen. Es prüft.exe- und.doc-dateien auch dann, wenn diese Dateierweiterungen von einem Virus geändert wurden. SmartScan ist standardmäßig aktiviert. Optionen Deaktivieren Sie die Option "Prüfen auf Sicherheitsrisiken", wenn Sie die Überprüfung auf Sicherheitsrisiken durch Auto-Protect beenden möchten. Die Überprüfung auf Sicherheitsrisiken ist standardmäßig aktiviert. Hinweis: Diese Option wirkt sich nicht auf Computer aus, auf denen eine frühere Version von Symantec AntiVirus ausgeführt wird, oder auf NetWare-Computer, auf denen eine beliebige Version von Symantec AntiVirus ausgeführt wird. Wenn Symantec feststellt, dass das Blockieren eines Sicherheitsrisikos einem Computer nicht schaden würde, wird das Risiko standardmäßig blockiert. Deaktivieren Sie die Option zum Blockieren von Sicherheitsrisiken, wenn Auto-Protect die gefundenen Sicherheitsrisiken nicht mehr blockieren soll. Aktivieren Sie die Option "Ausgewählte Dateien und Ordner ausschließen", um bestimmte Dateien und Ordner von der Auto-Protect-Prüfung auszuschließen. Klicken Sie auf "Ausschlüsse", um die Dateierweiterungen und Pfade der auszuschließenden Ordner anzugeben.

70 70 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Name des Abschnitts oder der Option Laufwerkstypen Verfügbare Optionen Folgende Optionen sind verfügbar: CD-ROM Wenn Sie Auto-Protect für CD-ROM-Laufwerke aktivieren, kann Symantec AntiVirus Dateien prüfen, die von CD-ROM gelesen oder auf CD-ROM geschrieben werden. Diskette Symantec AntiVirus kann Dateien prüfen, die von Disketten gelesen oder auf diese geschrieben werden. Vireninfektionen breiten sich häufig über Disketten aus, da Benutzer hin und wieder infizierte Disketten von zu Hause mitbringen.

71 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 71 Name des Abschnitts oder der Option Netzwerkprüfoptionen Verfügbare Optionen Deaktivieren Sie "Prüfung aktivieren", wenn Auto-Protect Netzlaufwerke nicht mehr prüfen soll. Wenn die Prüfung auf Netzlaufwerken aktiviert ist, prüft Symantec AntiVirus Dateien, während ein Client-Computer oder ein anderer Server auf sie zugreift. Wenn die Netzwerkprüfung aktiviert ist, können Sie Auto-Protect auch so einstellen, dass es Remote-Versionen von Auto-Protect vertraut und einen Netzwerk-Cache verwendet. Die Option für das Vertrauen in Remote-Versionen von Auto-Protect verhindert, dass Auto-Protect doppelte Prüfungen ausführt, wenn die Netzwerkprüfung aktiviert ist. Wenn diese Option sowohl auf dem Client als auch auf dem Server aktiviert ist, prüft Auto-Protect auf dem Client, ob die Auto-Protect-Einstellungen auf dem Server mindestens einen ebenso hohen Grad an Sicherheit bieten wie die eigenen Auto-Protect-Einstellungen. Wenn dies der Fall ist, vertraut der lokale Computer der Auto-Protect-Prüfung auf dem Remote-Computer und prüft die Datei nicht erneut. Wenn Client A beispielsweise den Zugriff auf eine Datei auf einem Netzlaufwerk auf Server B anfordert, prüft Auto-Protect auf Client A, ob es der Auto-Protect-Funktion auf Server B vertrauen soll. Wenn die Auto-Protect-Funktion auf Server B vertrauenswürdig ist, wird die Datei von der Auto-Protect-Funktion auf Client A nicht erneut geprüft. Wenn Auto-Protect auf Server B nicht vertrauenswürdig ist, wird die Datei von Auto-Protect auf Client A geprüft. Die Option für das Vertrauen in Remote-Versionen von Auto-Protect ist standardmäßig aktiviert, wenn die Netzwerkprüfung aktiviert ist. Deaktivieren Sie die Option für das Vertrauen in Remote-Auto-Protect-Prüfungen, wenn Sie doppelte Prüfungen zulassen möchten. Für den Schutz ist es nicht unbedingt erforderlich, die Option "Prüfung aktivieren" zu aktivieren, wenn Auto-Protect auf allen Servern aktiviert ist, da die Implementierungen von Auto-Protect auf den Servern die Dateien immer prüft, wenn diese von Clients angefordert werden. Wenn Sie die Netzwerkprüfung jedoch aktivieren und die Option für das Vertrauen in Remote-Versionen von Auto-Protect nicht verwenden, sollten Sie beachten, dass die wiederholte Auto-Protect-Prüfung die Netzwerkleistung des Client-Computers reduziert, da die Client-Computer über das Netzwerk auf die Dateien zugreifen, um sie zu prüfen. Deaktivieren Sie "Dateien auf Remote-Computern vertrauen, auf denen Auto-Protect läuft", wenn Sie doppelte Prüfungen zulassen möchten. Dies kann jedoch zu einer Beeinträchtigung der Netzwerkleistung führen. Aktivieren Sie die Option "Netzwerk-Cache" auf einem Client-Computer, so dass Auto-Protect aufzeichnet, welche Dateien es bereits auf einem Netzwerk-Server geprüft hat. Diese Option verhindert, dass Auto-Protect dieselbe Datei mehrmals prüft. Dies kann zu einer Verbesserung der Systemleistung führen. Sie können die Anzahl der Dateien (Einträge) festlegen, die Auto-Protect prüfen und aufzeichnen soll. Außerdem können Sie das Zeitlimit festlegen, nach dem die Dateien aus dem Cache entfernt werden. Sobald das Zeitlimit abgelaufen ist, werden die Dateien aus dem Cache entfernt und die Netzwerkdateien werden erneut geprüft, wenn der Client sie vom Netzwerk-Server anfordert.

72 72 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Name des Abschnitts oder der Option Erweitert Verfügbare Optionen Klicken Sie auf diese Schaltfläche, um erweiterte Auto-Protect-Prüfoptionen festzulegen, z. B. für den Systemstart, den Datei-Cache, das Backup usw. Siehe Erweiterte Optionen für den Auto-Protect-Dateisystemschutz konfigurieren auf Seite 75. Aktionen Mit dieser Schaltfläche können Sie die Aktionen festlegen, die Symantec AntiVirus ausführen soll, wenn ein Virus oder ein Sicherheitsrisiko erkannt wird. Siehe Aktionen für den Auto-Protect-Dateisystemschutz konfigurieren auf Seite 84. Benachrichtigungen Mit dieser Schaltfläche können Sie festlegen, welche Benachrichtigungen angezeigt werden sollen, wenn Auto-Protect einen Virus oder ein Sicherheitsrisiko gefunden hat. Siehe Benachrichtigungen für den Auto-Protect-Dateisystemschutz konfigurieren auf Seite 94. Alle zurücksetzen Diese Option ist nur für Server-Auto-Protect-Optionen auf Server-Gruppenebene und Client-Auto-Protect-Optionen auf Server-Ebene verfügbar. Wenn Sie sicherstellen möchten, dass alle Computer dieselbe Konfiguration für die Auto-Protect-Prüfung verwenden, die Sie auf einer höheren Ebene eingestellt haben, klicken Sie beim Festlegen der Optionen auf "Alle zurücksetzen". Wenn Sie bei Server-Auto-Protect auf der Server-Gruppenebene auf "Alle zurücksetzen" klicken, werden alle Prüfoptionen, die zuvor auf Server-Ebene festgelegt wurden, mit den Einstellungen der Server-Gruppe überschrieben. Alle Optionen werden an alle Server weitergeleitet, die dieser Server-Gruppe angehören. Wenn Sie bei Client-Auto-Protect auf der Server-Gruppenebene auf "Alle zurücksetzen" klicken, werden alle Prüfoptionen, die zuvor auf Server- und Client-Ebene festgelegt wurden, mit den Einstellungen der Server-Gruppe überschrieben. Wenn Sie auf der Server-Ebene auf "Alle zurücksetzen" klicken, werden alle Prüfoptionen, die zuvor auf Client-Ebene festgelegt wurden, mit den Server-Einstellungen überschrieben. So konfigurieren Sie Auto-Protect für den Dateisystemschutz 1 Führen Sie einen der folgenden Schritte aus: Klicken Sie mit der rechten Maustaste auf die Server-Gruppe oder die Symantec AntiVirus-Server, die konfiguriert werden sollen, und wählen Sie anschließend "Alle Tasks > Symantec AntiVirus > Server-Auto-Protect-Optionen". Wenn Sie eine Server-Gruppe auswählen, konfiguriert Symantec System Center alle Server in dieser Server-Gruppe.

73 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 73 Klicken Sie mit der rechten Maustaste auf einen einzelnen oder mehrere ausgewählte Server und wählen Sie "Alle Tasks > Symantec AntiVirus > Client-Auto-Protect-Optionen". Klicken Sie mit der rechten Maustaste auf die Server-Gruppe oder die Server, die für die Verwaltung der zu konfigurierenden Symantec AntiVirus-Clients zuständig sind, und klicken Sie dann auf "Alle Tasks > Symantec AntiVirus > Client-Auto-Protect-Optionen". Symantec System Center konfiguriert alle Clients, die dem Server oder der Server-Gruppe zugeordnet sind. Klicken Sie mit der rechten Maustaste auf einzelne oder mehrere bereits ausgewählte Clients für einen Server und wählen Sie "Alle Tasks > Symantec AntiVirus > Client-Auto-Protect-Optionen".

74 74 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 2 Im Dialogfeld "Auto-Protect-Optionen" können Sie Auto-Protect aktivieren, die zu berücksichtigenden Dateierweiterungen angeben, die Überprüfung auf Sicherheitsrisiken aktivieren oder deaktivieren, Dateien nach Erweiterung und Ordnern ausschließen, Netzwerkprüfoptionen festlegen und Laufwerkstypen auswählen. Siehe Tabelle 4-3 auf Seite Wenn Sie erweiterte Prüfoptionen einrichten möchten, klicken Sie auf "Erweitert". Siehe Tabelle 4-4 auf Seite Um die Aktionen festzulegen, die Symantec AntiVirus ausführen soll, wenn Makroviren, Nicht-Makroviren, einzelne Sicherheitsrisiken oder bestimmte Kategorien von Sicherheitsrisiken gefunden werden, klicken Sie auf "Aktionen". Siehe Tabelle 4-5 auf Seite 85.

75 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 75 5 Um anzugeben, welche Meldungen auf Computern angezeigt werden sollen, auf denen Sicherheitsrisiken gefunden wurden, klicken Sie auf "Benachrichtigungen". Siehe Tabelle 4-7 auf Seite Wenn Sie Auto-Protect-Optionen auf Client-Ebene konfigurieren, klicken Sie neben der jeweiligen zu sperrenden Option auf das Sperrsymbol, bevor Sie die Option an die Clients weiterleiten. 7 Wenn Sie Auto-Protect-Optionen für eine Server-Gruppe konfigurieren, klicken Sie auf "Alle zurücksetzen", um sicherzugehen, dass alle Computer dieselbe Auto-Protect-Prüfungskonfiguration verwenden. 8 Klicken Sie auf "OK". Erweiterte Optionen für den Auto-Protect-Dateisystemschutz konfigurieren Tabelle 4-4 enthält die erweiterten Prüfoptionen für den Auto-Protect-Dateisystemschutz. Tabelle 4-4 Erweiterte Prüfoptionen für den Auto-Protect-Dateisystemschutz Name des Abschnitts oder der Option Startoptionen Verfügbare Optionen Zu den Optionen gehören folgende: Systemstart Lädt Auto-Protect beim Start des Betriebssystems und beendet es beim Herunterfahren des Systems. Diese Option bietet Schutz vor einigen Viren, beispielsweise "Fun Love". Wenn Auto-Protect beim Herunterfahren einen Virus entdeckt, speichert es die infizierte Datei in einem temporären Quarantäneordner. Auto-Protect erkennt den Virus anschließend beim Systemstart und erzeugt eine Warnmeldung. Starten von Symantec AntiVirus Lädt Auto-Protect beim Starten von Symantec AntiVirus. Hinweis: Wenn Sie Auto-Protect auf einem Computer deaktivieren, auf dem die Option "Systemstart" ausgewählt ist, wird Auto-Protect bei jedem Neustart des Computers kurz ausgeführt, bis der Hauptdienst von Symantec AntiVirus gestartet wird und Auto-Protect deaktiviert.

76 76 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Name des Abschnitts oder der Option Änderungen erfordern Neustart von Auto-Protect Verfügbare Optionen Zu den Optionen gehören folgende: Warten bis zum Neustart des Systems Beendet Auto-Protect und lädt es beim Neustart des Systems erneut. Auto-Protect beenden und neu laden Beendet Auto-Protect und lädt es sofort neu.

77 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 77 Name des Abschnitts oder der Option Optionen für die Dateiprüfung Verfügbare Optionen Bietet die folgenden Optionen für den Dateisystemschutz beim Überwachen und Behandeln von Dateien: Geänderte (Prüfen beim Erstellen) Überprüft Dateien, wenn sie geschrieben, geändert oder kopiert werden. Die Leistung wird bei Verwendung dieser Option geringfügig verbessert, da Auto-Protect Dateien nur beim Schreiben, Ändern oder Kopieren überprüft. Geöffnete oder geänderte (Prüfung beim Erstellen, Öffnen, Verschieben, Kopieren oder Ausführen) Überprüft Dateien, wenn sie geschrieben, geöffnet, verschoben, kopiert oder ausgeführt werden. Verwenden Sie diese Option für einen umfassenden Dateisystemschutz. Diese Option kann sich auf die Leistung auswirken, da Auto-Protect Dateien bei allen Arten von Dateiaktionen prüft. Für Backup geöffnet (nicht unter Windows 9x und NetWare) Überprüft Dateien, wenn bei einem Sicherungsvorgang auf sie zugegriffen wird. Verwenden Sie diese Option, wenn Sie für Dateien, die Sie sichern möchten, noch keine Virenprüfung ausgeführt haben. Aktivieren Sie diese Option nicht, wenn Auto-Protect Dateien beim Sichern nicht überprüfen soll. Ist diese Option ausgewählt, kann sich die Geschwindigkeit von Sicherungsvorgängen deutlich verringern, weil Auto-Protect alle Dateien überprüft, die gesichert werden sollen. Diese Einstellung gilt nur für Dateien, die in einem Backup gesichert werden. Dateien, die aus einem Backup wiederhergestellt werden, werden immer geprüft. Nichts unternehmen, infizierte Dateien beim Erstellen löschen Aktivieren Sie diese Option, wenn die Dateiprüfungsoptionen "Geänderte" oder "Geöffnete oder geänderte" bei aktivierter "Nichts unternehmen"-funktion neu erstellte Dateien löschen sollen, wenn sie infiziert sind. Bereits vorhandene infizierte Dateien werden von der Funktion "Geöffnete oder geänderte" zwar erkannt, aber anschließend wird die Aktion "Nichts unternehmen" angewendet. Der Zugriff auf die Datei wird verweigert und das Ereignis wird protokolliert, die Datei aber nicht gelöscht. Wenn Sie diese Option deaktivieren, lässt Symantec AntiVirus zu, dass eine infizierte Datei erstellt wird. Datei-Zeitstempel erhalten Aktivieren Sie diese Option, wenn das Dateisystem den Zeitpunkt des letzten Zugriffs nicht ändern soll. Indem der Zeitpunkt des letzten Zugriffs erhalten bleibt, wird verhindert, dass Backup-Software unveränderte Dateien unnötig sichert.

78 78 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Name des Abschnitts oder der Option Datei-Cache Verfügbare Optionen Durch Verwendung des Datei-Cache wird die Speicherbelastung durch Auto-Protect reduziert. Außerdem kann die Option hilfreich sein, wenn Sie nach Ursachen für Probleme suchen. Der Datei-Cache enthält einen Index für Dateien, die geprüft und für virenfrei befunden sind. Symantec AntiVirus fügt eine 16 Byte große ID im Cache-Index hinzu. Dieser bleibt bestehen, bis Symantec AntiVirus eine Änderung an der Datei erkennt. Folgende Optionen stehen zur Verfügung: Datei-Cache deaktivieren Deaktiviert den Datei-Cache. Diese Einstellung ist während der Fehlerbehebung hilfreich. Standardgröße für Datei-Cache verwenden Verwenden Sie bei Desktop-Computern die Standardgröße für den Datei-Cache und wählen Sie bei Servern eine Größe, die dem maximalen Wert so nahe wie möglich kommt. Die Standardgröße für den Datei-Cache basiert auf dem Betriebssystem des Computers und auf der Größe des verfügbaren Festplattenspeichers. Benutzerdefinierte Datei-Cache-Einträge Geben Sie an, wie viele benutzerdefinierte Datei-Cache-Einträge vorgenommen werden können. Diese Option ist nützlich für Datei- oder Web-Server, auf denen eine große Anzahl von Dateien im Cache zwischengespeichert werden soll. Risikoverfolgung Die Risikoverfolgung bietet folgende Optionen für das Erkennen von Vireninfektionsquellen, die sich über die Netzwerkfreigabe auf Computern verbreiten, auf denen ein unterstütztes Windows-Betriebssystem ausgeführt wird: Risikoverfolgung aktivieren Diese Option muss aktiviert sein, wenn die Risikoverfolgung verwendet werden soll. IP-Adresse des Quell-Computers auflösen Wenn diese Option aktiviert ist, sucht Symantec AntiVirus nur nach dem NetBIOS-Namen des Computers und zeichnet diesen auf. Wenn sie aktiviert ist, wird auch aufgezeichnet, wer bei dem Computer zum Zeitpunkt der Zustellung angemeldet war. Diese Funktion wird nur auf Windows XP-Systemen unterstützt. Netzwerksitzungen abfragen alle <Anzahl> Millisekunden Symantec AntiVirus führt standardmäßig ein Mal in der Sekunde (alle 1000 Millisekunden) eine Abfrage aus. Bei niedrigeren Werten nimmt die CPU- und Arbeitsspeicherbelastung zu, gleichzeitig nimmt aber die Wahrscheinlichkeit zu, dass Symantec AntiVirus die Daten der Netzwerksitzung aufzeichnen kann, bevor ein Risiko freigegebene Netzlaufwerke sperrt. Höhere Werte führen zwar zu einer geringeren Systembelastung, gleichzeitig nimmt aber auch die Fähigkeit der Risikoverfolgung zum Erkennen von Infektionen ab. Siehe Allgemeines zur Risikoverfolgung auf Seite 82. Automatische Aktivierung Aktivieren Sie diese Option, wenn Auto-Protect nach einer bestimmten Anzahl von Minuten wieder aktiviert werden soll. Gültige Werte liegen zwischen 3 und 60. Diese Option ist sinnvoll, wenn die Endbenutzer Auto-Protect gelegentlich deaktivieren müssen.

79 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 79 Name des Abschnitts oder der Option Bei Prüfung von komprimierten Dateien Verfügbare Optionen Diese Option ist verfügbar, wenn Sie Server-Auto-Protect-Optionen konfigurieren. Wenn Sie diese Option aktivieren, prüft Symantec AntiVirus den Container, z. B. die ZIP-Datei, und den Inhalt des Containers, d. h. die einzelnen, komprimierten Dateien. Symantec AntiVirus unterstützt die Überprüfung eingebetteter komprimierter Dateien auf Netware-Servern bis zu acht Ebenen tief. Symantec AntiVirus prüft komprimierte Dateien während der Auto-Protect-Prüfung und bei geplanten Prüfvorgängen. Damit der Inhalt einer komprimierten Datei gelesen werden kann, dekomprimiert Symantec AntiVirus jede im Container enthaltene Datei und kopiert sie auf das SYS-Volume, auf dem der Prüfvorgang ausgeführt wird. Auf dem SYS-Volume muss ausreichend Speicherplatz verfügbar sein, damit die größte Datei aus dem Container aufgenommen werden kann. Hinweis: Sie können eine Prüfung in einer komprimierten Datei nicht abbrechen. Wenn Sie auf "Prüfung stoppen" klicken, beendet Symantec AntiVirus die Prüfung erst, nachdem die komprimierte Datei vollständig geprüft wurde. Backup-Optionen Als Vorsichtsmaßnahme zur Datensicherheit sollten Sie vor einem Reparaturversuch die Option "Backup-Datei vor einem Reparaturversuch erstellen" aktivieren. Diese Option ist standardmäßig aktiviert. Die vireninfizierte Originaldatei wird verschlüsselt und anschließend in das Quarantäneverzeichnis kopiert. Bei Bedarf kann mit dieser nicht reparierten Backup-Datei die Originaldatei in ihrem infizierten Zustand wiederhergestellt werden. Hinweis: Wenn Sie diese Option deaktivieren, werden Dateien, die Viren enthalten, vor dem Reparaturversuch nicht mehr gesichert. Diese Einstellung gilt nur für virusinfizierte Dateien. Wenn Sie für Sicherheitsrisiken die Aktion "Risiko löschen" konfigurieren, werden keine Backup-Dateien erstellt. Wenn Sie die Aktion "Risiko in Quarantänebereich" konfigurieren, werden die Sicherheitsrisikodateien unabhängig von dieser Einstellung immer im Quarantänebereich gesichert, bevor eine Reparatur versucht wird. Zusätzliche erweiterte Optionen: Heuristik Hiermit erhöhen oder verringern Sie die Schutzwirkung der Bloodhound -Prüfheuristik. Wählen Sie "Minimaler Schutz", "Standardschutz" oder "Maximaler Schutz". Bloodhound entdeckt einen hohen Prozentsatz an unbekannten Viren, indem es die logischen Bereiche einer Datei sucht und isoliert und anschließend die Programmlogik auf virenähnliches Verhalten überprüft.

80 80 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Name des Abschnitts oder der Option Zusätzliche erweiterte Optionen: Disketten Zusätzliche erweiterte Optionen: Überwachen Verfügbare Optionen Für Diskettenprüfungen sind die folgenden Optionen verfügbar: Bei Zugriff Disketten auf Boot-Viren prüfen Symantec AntiVirus prüft die Diskette im Diskettenlaufwerk beim ersten Zugriff auf Boot-Viren. Wenn Symantec AntiVirus einen Boot-Virus findet, wählen Sie, ob der Virus aus dem Boot-Sektor entfernt oder im Moment nichts unternommen werden soll. Wenn Sie "Nichts unternehmen (nur protokollieren)" auswählen, wird nur eine Warnmeldung ausgegeben, wenn ein Virus gefunden wird. Eine Aktion wird nicht ausgeführt. Verwenden Sie diese Option, wenn Sie die Behandlung des Virus selbst vornehmen möchten. Disketten beim Herunterfahren des Systems nicht prüfen Symantec AntiVirus überspringt die Prüfung von Disketten im Diskettenlaufwerk, wenn der Computer normal heruntergefahren wird. Diese Optionen sind verfügbar, wenn Sie Client-Auto-Protect-Optionen konfigurieren. Sie können beispielsweise virenähnliche Aktivitäten überwachen. Hierbei handelt es sich um Aktivitäten, die Viren ausführen, um Dateien zu infizieren. In bestimmten Situationen sind die in der Liste aufgeführten Aktivitäten jedoch zulässig. Sie können jede Aktivität als zulässig oder nicht zulässig definieren oder angeben, dass der Benutzer gewarnt werden soll, bevor die Aktivität ausgeführt wird. Low-Level-Formatierung der Festplatte Alle Informationen auf dem Laufwerk werden gelöscht und können nicht wiederhergestellt werden. Diese Art von Formatierung wird in der Regel nur werkseitig durchgeführt. Wenn eine solche Aktivität festgestellt wird, ist in der Regel ein unbekannter Virus am Werk. Diese Option ist nicht für NEC PC98xx-Computer verfügbar. Schreiben in Boot-Sektoren (Festplatte) Nur wenige Programme schreiben in Boot-Sektoren der Festplatte. Wenn eine solche Aktivität festgestellt wird, ist vermutlich ein unbekannter Virus am Werk. Schreiben in Boot-Sektoren (Diskette) Nur wenige Programme, wie beispielsweise der FORMAT-Befehl des Betriebssystems, schreiben in Boot-Sektoren einer Diskette. Wenn eine solche Aktivität festgestellt wird, ist vermutlich ein unbekannter Virus am Werk. Warnfeld entfernen nach <Anzahl> Sekunden Wenn Sie festgelegt haben, dass der Benutzer bei Aktivitäten dieser Art gewarnt werden soll, können Sie angeben, wie lange die Warnung sichtbar ist. So konfigurieren Sie erweiterte Optionen für den Auto-Protect-Dateisystemschutz 1 Führen Sie einen der folgenden Schritte aus: Klicken Sie mit der rechten Maustaste auf die Server-Gruppe oder die Symantec AntiVirus-Server, die konfiguriert werden sollen, und wählen

81 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 81 Sie anschließend "Alle Tasks > Symantec AntiVirus > Server-Auto-Protect-Optionen". Wenn Sie eine Server-Gruppe auswählen, konfiguriert Symantec System Center alle Server in dieser Server-Gruppe. Klicken Sie mit der rechten Maustaste auf einen einzelnen oder mehrere ausgewählte Server und wählen Sie "Alle Tasks > Symantec AntiVirus > Client-Auto-Protect-Optionen". Klicken Sie mit der rechten Maustaste auf die Server-Gruppe oder die Server, die für die Verwaltung der zu konfigurierenden Symantec AntiVirus-Clients zuständig sind, und klicken Sie dann auf "Alle Tasks > Symantec AntiVirus > Client-Auto-Protect-Optionen". Symantec System Center konfiguriert alle Clients, die dem Server oder der Server-Gruppe zugeordnet sind. 2 Klicken Sie im Dialogfeld "Auto-Protect-Optionen" auf der Registerkarte "Dateisystem" auf "Erweitert". 3 Legen Sie im Dialogfeld "Auto-Protect - Weitere Optionen" die folgenden Optionen fest: Startoptionen Änderungen erfordern Neustart von Auto-Protect Optionen für die Dateiprüfung

82 82 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Datei-Cache Risikoverfolgung Automatische Aktivierung Bei Prüfung von komprimierten Dateien (Konfiguration von Server-Auto-Protect-Optionen) Backup-Optionen (gegebenenfalls zusätzliche erweiterte Optionen) Siehe Tabelle 4-4 auf Seite Wenn Sie Client-Auto-Protect-Optionen konfigurieren, wählen Sie im Dialogfeld "Überwachen" eine der folgenden Optionen für virenähnliche Aktivitäten aus: Low-Level-Formatierung der Festplatte Schreiben in Boot-Sektoren (Festplatte) Schreiben in Boot-Sektoren (Diskette) "Zulassen", "Nachfragen" oder "Nicht zulassen" "Zulassen", "Nachfragen" oder "Nicht zulassen" "Zulassen", "Nachfragen" oder "Nicht zulassen" 5 Wenn Sie für eine der Optionen "Nachfragen" gewählt haben, aktivieren Sie die Option "Warnfeld entfernen nach <Anzahl> Sekunden" und geben Sie an, wie lange die Warnung sichtbar sein soll. 6 Wenn Sie die Konfiguration der erweiterten Auto-Protect-Optionen im Dialogfeld "Auto-Protect - Weitere Optionen" abgeschlossen haben, klicken Sie auf "OK". 7 Wenn Sie alle Einstellungen im Dialogfeld zurücksetzen möchten, unabhängig davon, ob Sie Änderungen vorgenommen haben, klicken Sie auf "Alle zurücksetzen". 8 Klicken Sie im Dialogfeld "Auto-Protect-Optionen" auf "OK". Allgemeines zur Risikoverfolgung Die Risikoverfolgung identifiziert auf Computern, auf denen Windows XP ausgeführt wird, die Quelle von Vireninfektionen, die sich über die Netzwerkfreigabe verbreiten. Wenn Auto-Protect eine Infektion erkennt, sendet es Informationen an Rtvscan, den Hauptdienst von Symantec AntiVirus. Rtvscan ermittelt, ob die Infektion eine lokale Ursache hat oder von einem Remote-Computer stammt. Wenn die Infektion von einem Remote-Computer stammt, kann Rtvscan den entsprechenden

83 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 83 NetBIOS-Computernamen, die zugehörige IP-Adresse und den zum Zeitpunkt der Infektion angemeldeten Benutzer nachschlagen und aufzeichnen. Anschließend werden diese Informationen im Dialogfeld der Risikoeigenschaften angezeigt. Rtvscan führt bei Netzwerksitzungen standardmäßig ein Mal pro Sekunde eine Abfrage aus und speichert diese Informationen als sekundäre Quellenliste für Remote-Computer im Zwischenspeicher. Die Informationen, die im Dialogfeld "Auto-Protect - Weitere Optionen" konfiguriert werden können, minimieren die Zeit, die die Risikoverfolgung benötigt, um den infizierten Remote-Computer erfolgreich zu identifizieren. Wenn beispielsweise ein Risiko die Netzwerkfreigabe schließt, bevor RtvScan die Netzwerksitzung aufzeichnen kann, versucht die Risikoverfolgung, den Remote-Computer mithilfe der sekundären Quellenliste zu identifizieren. Die Risikoverfolgungs-Informationen werden im Dialogfeld der Risikoeigenschaften angezeigt und sind nur für Risikoeinträge verfügbar, die von infizierten Dateien stammen. Wenn die Risikoverfolgung feststellt, dass die Ursache der Infektion eine Aktivität des lokalen Hosts war, wird der lokale Host als Infektionsquelle aufgeführt. Die Risikoverfolgung listet eine Quelle im Dialogfeld der Risikoeigenschaften als "Unbekannt" auf, wenn Folgendes zutrifft: Der Remote-Computer kann nicht identifiziert werden. Der authentifizierte Benutzer einer freigegebenen Datei verweist auf mehrere Computer. Dies kann vorkommen, wenn ein Benutzername mehreren Netzwerksitzungen zugeordnet ist. So können beispielsweise mehrere Computer auf einem Server mit Dateifreigabe unter derselben Server-Benutzer-ID angemeldet sein. Um eine vollständige Liste der Remote-Computer zu erhalten, die den aktuellen Computer infizieren, setzen Sie den Stringwert für "HKEY_LOCAL_MACHINE\Software\Intel\LANDesk \VirusProtect6\CurrentVersion\ProtectControl\Debug" auf dem aktuellen Computer auf "THREATTRACER X". Der THREATTRACER-Wert startet die Debug-Ausgabe und das X stellt sicher, dass nur Debug-Informationen in Zusammenhang mit der Risikoverfolgung ausgegeben werden. Sie können zusätzlich ein L hinzufügen, um sicherzustellen, dass die Protokollierung in der Protokolldatei "<SAV-Programmordner>\vpdebug.log" erfolgt. Wenn das Debug-Fenster nicht angezeigt werden soll, fügen Sie XW hinzu. Sie können diese Funktion mit der hierfür vorgesehenen Virentestdatei "Eicar.com" testen, die Sie von folgender Adresse herunterladen können:

84 84 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Aktionen für den Auto-Protect-Dateisystemschutz konfigurieren Mithilfe von Aktionen können Sie angeben, wie Symantec AntiVirus reagiert, wenn ein Virus oder ein Sicherheitsrisiko erkannt wird. Sie können eine erste Aktion (und eine Ersatzaktion, falls die erste Aktion nicht durchführbar ist) festlegen, die Symantec AntiVirus ausführen soll, wenn es einen Virus oder ein Sicherheitsrisiko, z. B. Adware oder Spyware, erkennt. Die Viren- und Sicherheitsrisikoarten werden in der Hierarchie aufgelistet. Sie können die Optionen auf den Registerkarten rechts konfigurieren. Hinweis: Verwenden Sie die Löschaktion bei Sicherheitsrisiken mit Vorsicht. In manchen Fällen kann das Löschen eines Sicherheitsrisikos dazu führen, dass Anwendungen ihre Funktionalität verlieren. In Tabelle 4-5 werden die konfigurierbaren Optionen für den Auto-Protect-Dateisystemschutz und manuelle Prüfungen beschrieben.

85 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 85 Registerkarte Aktionen Tabelle 4-5 Art des Risikos Makrovirus Nicht-Makrovirus Aktionen für den Auto-Protect-Dateisystemschutz und manuelle Prüfungen Optionen Sie können angeben, welche Aktion zuerst ausgeführt werden soll, und welche zweite Aktion auszuführen ist, falls die erste Aktion fehlschlägt. Die folgenden Aktionen sind für Viren verfügbar: Von Risiko säubern (Vorgabe für erste Aktion): Versucht, die infizierte Datei zu säubern, wenn ein Virus gefunden wird. Risiko in Quarantänebereich (Vorgabe für zweite Aktion): Versucht, die infizierte Datei gleich nach der Erkennung in den Quarantänebereich des infizierten Computers zu verschieben. Nachdem die Datei in den Quarantänebereich verschoben wurde, kann sie nicht ausgeführt werden, bis Sie eine Aktion mit ihr durchführen, beispielsweise Bereinigen, und die Datei zurück an ihren ursprünglichen Speicherort verschieben. Risiko löschen: Versucht, die Datei zu löschen. Wählen Sie diese Option nur, wenn Sie die infizierte Datei durch eine virenfreie Sicherungskopie ersetzen können, da die Datei endgültig gelöscht wird und nicht vom Papierkorb wiederhergestellt werden kann. Wenn Symantec AntiVirus die Datei nicht löschen kann, werden detaillierte Informationen über die von Symantec AntiVirus durchgeführte Aktion im Dialogfeld "Benachrichtigung" angezeigt und im Symantec AntiVirus-Ereignisprotokoll gespeichert. Nichts unternehmen (nur protokollieren): Verhindert den Zugriff auf die Datei, zeigt eine Benachrichtigung an und protokolliert das Ereignis. Mit dieser Option können Sie manuell steuern, wie Symantec AntiVirus einen Virus handhabt. Wenn Sie über das Vorhandensein eines Virus benachrichtigt werden, öffnen Sie das Risikoprotokoll für den entsprechenden Computer, klicken Sie mit der rechten Maustaste auf den Namen der Datei und wählen Sie eine der folgenden Aktionen aus: "Bereinigen" (nur Viren), "Dauerhaft löschen" oder "Quarantäne".

86 86 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Registerkarte Aktionen Art des Risikos Sicherheitsrisiken Optionen Adware Dialer Hacker-Tools Joke-Programme Andere (Programme, die ein Sicherheitsrisiko darstellen, den anderen Kategorien von Sicherheitsrisiken jedoch nicht zugeordnet werden können) Remote-Zugriff Spyware Trackware

87 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 87 Registerkarte Art des Risikos Optionen Sie können die Aktionen zu Sicherheitsrisiken in Symantec AntiVirus wie folgt konfigurieren: Für alle Sicherheitsrisiken dieselben Aktionen festlegen. Für eine bestimmte Kategorie von Sicherheitsrisiken dieselben Aktionen festlegen. Für bestimmte Kategorien von Sicherheitsrisiken Ausnahmen zu den definierten Aktionen festlegen. Sie können angeben, welche Aktion zuerst ausgeführt werden soll, und welche zweite Aktion auszuführen ist, falls die erste Aktion fehlschlägt. Die folgenden Aktionen sind für Sicherheitsrisiken verfügbar: Bedrohung isolieren (Vorgabe für erste Aktion): Sobald ein Sicherheitsrisiko erkannt wird oder seine Installation abgeschlossen ist, versucht das Programm, die infizierten Dateien in den Quarantänebereich des infizierten Computers zu verschieben. Symantec AntiVirus entfernt oder repariert alle Nebeneffekte des Risikos. Dies beinhaltet das Löschen hinzugefügter Registrierungsschlüssel, das Zurücksetzen veränderter Registrierungsschlüsselwerte, das Entfernen von in.bat- oder.ini-dateien eingefügten Zusätzen, das Löschen von Einträgen in Host-Dateien, das Reparieren eines LSP-Systemtreibers (Layered Service Provider) oder die Effekte eines Rootkit. Sie können Elemente, die aufgrund eines Sicherheitsrisikos isoliert wurden, in ihrem Originalzustand auf dem System wiederherstellen. In einigen Fällen müssen Sie den Computer neu starten, um das Entfernen oder Reparieren abzuschließen. Risiko löschen: Versucht, Sicherheitsrisikodateien zu löschen. Wählen Sie diese Option nur, wenn Sie die Dateien durch eine risikofreie Sicherungskopie der Datei ersetzen können, da die Dateien endgültig gelöscht werden und nicht vom Papierkorb wiederhergestellt werden können. Verwenden Sie diese Aktion mit Vorsicht, denn in einigen Fällen kann das Löschen von Sicherheitsrisiken dazu führen, dass Funktionalität in Anwendungen verloren geht. Wenn Symantec AntiVirus die Dateien nicht löschen kann, werden detaillierte Informationen über die von Symantec AntiVirus durchgeführten Aktionen im Dialogfeld "Benachrichtigung" angezeigt und im Symantec AntiVirus-Ereignisprotokoll gespeichert. Nichts unternehmen (Vorgabe für zweite Aktion): Bei einem Risiko wird nichts unternommen, nur seine Entdeckung wird protokolliert. Mit dieser Option können Sie manuell steuern,

88 88 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Registerkarte Art des Risikos Optionen wie Symantec AntiVirus ein Sicherheitsrisiko handhabt. Wenn Sie über das Vorhandensein eines Sicherheitsrisikos benachrichtigt werden, öffnen Sie das Risikoprotokoll für den entsprechenden Computer, klicken Sie mit der rechten Maustaste auf den Namen der infizierten Datei und wählen Sie eine der folgenden Aktionen aus: "Dauerhaft löschen" oder "In Quarantäne". Sie können auch die Ausnahmen auf der Registerkarte "Aktionen" für die Auto-Protect-Funktion des Client-Dateisystems sperren, so dass Benutzer nicht ihre eigenen Sicherheitsrisikoausnahmen für Auto-Protect-Prüfungen erstellen können. Hinweis: Es kann vorkommen, dass Sie unwissentlich eine Anwendung installieren, die ein Sicherheitsrisiko, z. B. Adware oder Spyware, enthält. Wenn Symantec feststellt, dass das Blockieren des Sicherheitsrisikos dem Computer nicht schadet, blockiert Symantec AntiVirus das Risiko standardmäßig. Wenn das Blockieren des Risikos den Computer in einen instabilen Zustand versetzen könnte, wartet Symantec AntiVirus, bis die Installation der Anwendung abgeschlossen ist, bevor es die angegebene Aktion für das Sicherheitsrisiko ausführt, um einen instabilen Zustand des Computers zu verhindern.

89 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 89 Registerkarte Ausnahmen Art des Risikos Nur für Sicherheitsrisiken verfügbar Optionen Sie können für bestimmte Kategorien von Sicherheitsrisiken Ausnahmen zu den definierten Aktionen festlegen. Sie können bestimmte Instanzen einer Kategorie auswählen und diesen Instanzen Aktionen zuweisen, die sich von den Aktionen unterscheiden, die der gesamten Kategorie zugewiesen wurden. Sie können in jeder Kategorienliste die Sicherheitsrisiken auswählen bzw. hinzufügen, für die Sie benutzerdefinierte Aktionen konfigurieren möchten, oder Sie können die Risiken bearbeiten bzw. entfernen, die bereits in der Liste aufgeführt sind. Um die ganze Liste zu sehen und verschiedenen Arten von Sicherheitsrisiken gleichzeitig eine benutzerdefinierte Aktion zuzuweisen, können Sie die Sicherheitsrisiken in der Baumstruktur auswählen, statt jede Sicherheitsrisikokategorie einzeln auszuwählen. Es steht eine weitere benutzerdefinierte Aktion, "Ausschließen", für die Sicherheitsrisiken zur Verfügung, die Sie von Auto-Protect-Prüfungen ausschließen möchten. Hinweis: Ausnahmen, die Sie für Auto-Protect-Prüfungen konfigurieren, werden bei manuellen und geplanten Prüfungen nicht berücksichtigt. Dies gilt auch umgekehrt. Ausnahmen werden separat für manuelle, geplante und Auto-Protect-Prüfungen konfiguriert. Sie können ein Sicherheitsrisiko von allen Prüfungen auf Client-Computern nur ausschließen, indem Sie es global konfigurieren. Siehe Globale Sicherheitsrisikoausschlüsse konfigurieren auf Seite 66. Sie können Ausnahmen auf der Registerkarte "Aktionen" für die Auto-Protect-Funktion des Client-Dateisystems sperren, um Benutzer daran zu hindern, eigene Sicherheitsrisikoausnahmen für Auto-Protect-Prüfungen zu erstellen. Hinweis: Wenn Sie ein Sicherheitsrisiko von Prüfungen ausschließen, wird dieses Risiko weder protokolliert noch gemeldet. Warnung: Wenn Sie Symantec AntiVirus so konfigurieren, dass Dateien, die von Sicherheitsrisiken wie Adware oder Spyware infiziert wurden, gelöscht werden sollen, können diese Dateien nicht wiederhergestellt werden. Um ein Backup von Dateien zu erstellen, die von Sicherheitsrisiken wie Adware oder Spyware betroffen sind, konfigurieren Sie Symantec AntiVirus so, dass die Dateien in den Quarantänebereich verschoben werden.

90 90 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Allgemeines zur Bewertung von Sicherheitsrisiken Symantec bewertet Sicherheitsrisiken, um zu ermitteln, welche Auswirkungen sie auf einen Computer haben. Folgende Faktoren werden als gering, mittel oder hoch eingestuft: Einfluss auf den Datenschutz, Einfluss auf die Leistung, Stealth-Grad und Schwierigkeitsgrad des Entfernens. Ein mit "Gering" bewerteter Faktor bedeutet, dass das Risiko nur minimale Auswirkungen auf den Computer hat. Ein mit "Mittel" bewerteter Faktor weist darauf hin, dass das Risiko gewisse Auswirkungen auf den Computer hat. Ein mit "Hoch" bewerteter Faktor gibt an, dass das Risiko signifikante Auswirkungen auf den entsprechenden Bereich im Computer hat. Wenn ein bestimmtes Sicherheitsrisiko noch nicht bewertet wurde, wird eine Standardbewertung angezeigt. Wenn ein bestimmtes Sicherheitsrisiko bewertet wurde, der bewertete Faktor für dieses spezielle Risiko jedoch nicht anwendbar ist, wird "Kein" für diesen Faktor angezeigt. Diese Bewertungen werden in Symantec System Center angezeigt, wenn Sie in der Registerkarte "Ausnahmen" benutzerdefinierte Aktionen für bestimmte Sicherheitsrisiken festlegen. Ausnahmen zu Standardaktionen sind über die Schaltfläche "Aktionen" verfügbar, wenn Sie Client- und Server-Auto-Protect-Optionen sowie Prüfungsarten konfigurieren. Sie stehen auch Endbenutzern über die Symantec AntiVirus-Benutzeroberfläche zur Verfügung, wenn diese eine Prüfungsart konfigurieren. Sie können anhand dieser Bewertungen festlegen, welche Sicherheitsrisiken Sie von Prüfungen ausschließen möchten, so dass sie auf dem Computer verbleiben können. Wenn Sie auf den Namen eines Faktors klicken, wird die Spalte so sortiert, dass zuerst alle geringen Risiken angezeigt werden. Wenn Sie erneut auf den Faktornamen klicken, werden die hohen Risiken zuoberst angezeigt. In Tabelle 4-6 werden die Bewertungsfaktoren und die Bedeutung einer hohen Bewertung beschrieben. Tabelle 4-6 Bewertungsfaktor Einfluss auf Datenschutz Einfluss auf Leistung Risiko-Bewertungsfaktoren Beschreibung Dieser Faktor misst den Grad an Datenschutz, der durch das Sicherheitsrisiko auf dem Computer verloren geht. Eine hohe Bewertung weist darauf hin, dass vertrauliche und andere wichtige Informationen gestohlen werden könnten. Dieser Faktor misst, wie stark ein Sicherheitsrisiko die Leistung eines Computers herabsetzt. Eine hohe Bewertung weist darauf hin, dass die Leistung stark herabgesetzt wird.

91 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 91 Bewertungsfaktor Stealth-Bewertung Entfernen - Bewertung Gesamtbewertung Abhängiges Programm Beschreibung Dieser Faktor misst, wie einfach es ist, das Sicherheitsrisiko auf dem Computer zu finden. Eine hohe Bewertung weist darauf hin, dass sich das Sicherheitsrisiko zu verbergen versucht, so dass es auf dem Computer nur schwer zu finden ist. Dieser Faktor misst, wie schwer es ist, ein Sicherheitsrisiko von einem Computer zu entfernen. Eine hohe Bewertung weist darauf hin, dass sich das Risiko nur schwer entfernen lässt. Die Gesamtbewertung ist der Durchschnittswert aus allen Faktoren. Dieser Faktor zeigt an, ob es eine andere Anwendung gibt, für deren ordnungsgemäße Funktionsweise das Sicherheitsrisiko erforderlich ist. So konfigurieren Sie Aktionen für den Auto-Protect-Dateisystemschutz 1 Führen Sie einen der folgenden Schritte aus: Klicken Sie mit der rechten Maustaste auf die Server-Gruppe oder die Symantec AntiVirus-Server, die konfiguriert werden sollen, und wählen Sie anschließend "Alle Tasks > Symantec AntiVirus > Server-Auto-Protect-Optionen". Wenn Sie eine Server-Gruppe auswählen, konfiguriert Symantec System Center alle Server in dieser Server-Gruppe. Klicken Sie mit der rechten Maustaste auf einen einzelnen oder mehrere ausgewählte Server und wählen Sie "Alle Tasks > Symantec AntiVirus > Client-Auto-Protect-Optionen". Klicken Sie mit der rechten Maustaste auf die Server-Gruppe oder die Server, die für die Verwaltung der zu konfigurierenden Symantec AntiVirus-Clients zuständig sind, und klicken Sie dann auf "Alle Tasks > Symantec AntiVirus > Client-Auto-Protect-Optionen".

92 92 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Symantec System Center konfiguriert alle Clients, die dem Server oder der Server-Gruppe zugeordnet sind. 2 Klicken Sie im Dialogfeld "Auto-Protect-Optionen" auf der Registerkarte "Dateisystem" auf "Aktionen". 3 Wählen Sie in der Hierarchie des Dialogfelds "Aktionen" einen Viren- oder Sicherheitsrisikotyp aus. Standardmäßig werden für jede einzelne Sicherheitsrisiko-Unterkategorie, z. B. Spyware, automatisch die Aktionen übernommen, die auf der obersten Ebene der Kategorie "Sicherheitsrisiken" festgelegt wurden. Wenn Sie für eine Kategorie oder bestimmte Instanzen unterschiedliche Aktionen verwenden möchten, aktivieren Sie die Option "Für Sicherheitsrisiken konfigurierte Aktionen überschreiben" und legen Sie dann die Aktionen für die gewünschte Kategorie bzw. Instanz fest. Siehe Tabelle 4-5 auf Seite Wählen Sie die erste Aktion und die zweite Aktion aus, die Symantec AntiVirus ausführen soll, wenn ein Virus oder Sicherheitsrisiko der genannten Kategorie erkannt wird. Verwenden Sie die Löschaktion bei Sicherheitsrisiken mit Vorsicht. In manchen Fällen kann das Löschen eines Sicherheitsrisikos dazu führen, dass Anwendungen ihre Funktionalität verlieren.

93 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 93 5 Wenn Sie Sicherheitsrisiken oder eine einzelne Sicherheitsrisikokategorie ausgewählt haben, können Sie über die Registerkarte "Ausnahmen" benutzerdefinierte Aktionen für bestimmte Instanzen dieser Sicherheitsrisikokategorie konfigurieren. Eine zusätzliche Aktion, "Ausschließen", steht für die von Ihnen konfigurierten Ausnahmen zur Verfügung. Sie können bei Bedarf mehrere Sicherheitsrisiken auswählen und ihnen dieselben Aktionen gleichzeitig zuweisen. Wenn Sie Client-Auto-Protect-Optionen konfigurieren, können Sie die auf der Registerkarte "Aktionen" konfigurierten Ausnahmen sperren, so dass Benutzer keine Sicherheitsrisikoausnahmen für Auto-Protect-Prüfungen festlegen können. 6 Klicken Sie auf "Hinzufügen".

94 94 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 7 Wählen Sie im Dialogfeld "Sicherheitsrisiken auswählen" die Risiken aus, für die Sie benutzerdefinierte Aktionen definieren möchten, und klicken Sie auf "Weiter". 8 Wählen Sie im Dialogfeld "Sicherheitsrisiken konfigurieren" die erste und die zweite Aktion aus, die Symantec AntiVirus ausführen soll, wenn die von Ihnen angegebenen Risiken erkannt werden. Klicken Sie anschließend auf "Fertig stellen". 9 Wiederholen Sie Schritt 4 für jede Kategorie, für die Sie Aktionen konfigurieren möchten (Viren und Sicherheitsrisiken). 10 Wiederholen Sie die Schritte 5 bis 8 für jede Sicherheitsrisikokategorie, für die benutzerdefinierte Aktionen für einzelne Risiken eingerichtet werden sollen. 11 Klicken Sie auf "OK". Benachrichtigungen für den Auto-Protect-Dateisystemschutz konfigurieren Wenn Sie Benachrichtigungen konfigurieren, können Sie festlegen, wie Symantec AntiVirus Benutzer in den folgenden Fällen benachrichtigt: Symantec AntiVirus findet einen Virus oder ein Sicherheitsrisiko. Symantec AntiVirus muss einen Prozess oder Dienst beenden, um die Nebeneffekte, die von einem Virus oder Sicherheitsrisiko verursacht wurden, zu entfernen oder zu reparieren.

95 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 95 Sie können alle oder einzelne Benutzerbenachrichtigungen unterdrücken. Wenn es sich um nicht verwaltete Clients handelt, werden Benutzer benachrichtigt und Prozesse und Dienste standardmäßig nicht automatisch beendet. Auf diese Weise können Benutzer ihre Daten speichern, bevor Symantec AntiVirus Aktionen in Gang setzt, um Viren oder Sicherheitsrisiken zu entfernen bzw. deren Nebeneffekte zu reparieren. Wenn es sich um Server und verwaltete Clients handelt, werden die Benachrichtigungen deaktiviert und Prozesse und Dienste standardmäßig automatisch beendet. Hinweis: Die Benachrichtigungsoptionen für den Auto-Protect-Dateisystemschutz und für alle manuellen Prüfungen sind identisch, einzige Ausnahme: die Option "Dialogfeld 'Auto-Protect-Ergebnisse' auf infiziertem Computer anzeigen" ist nur für den Auto-Protect-Dateisystemschutz verfügbar. Tabelle 4-7 enthält die Benachrichtigungsoptionen für den Auto-Protect-Dateisystemschutz und manuelle Prüfungen. Tabelle 4-7 Benachrichtigungsoptionen für den Auto-Protect-Dateisystemschutz und manuelle Prüfungen Option Erkennungsoptionen Beschreibung Aktivieren Sie die Option "Benachrichtigungsmeldung auf infiziertem Computer anzeigen", um eine Meldung auf dem Computer anzeigen zu lassen, wenn ein Virus oder ein Sicherheitsrisiko gefunden wird. Klicken Sie mit der rechten Maustaste in das Textfeld, um neue Felder einzufügen, oder bearbeiten Sie die Meldung direkt im Textfeld. Siehe Tabelle 4-8 auf Seite 96. Deaktivieren Sie die Option "Dialogfeld 'Auto-Protect-Ergebnisse' auf infiziertem Computer anzeigen", wenn das Dialogfeld mit den Ergebnissen zu gefundenen Viren und Sicherheitsrisiken nicht sichtbar sein soll. Diese Option ist nur verfügbar, wenn Sie Auto-Protect für den Dateisystemschutz konfigurieren.

96 96 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Option Fehlerbehebungsoptionen Beschreibung Wenn Sie beide Fehlerbehebungsoptionen aktivieren, werden Benutzer nicht benachrichtigt, falls Symantec AntiVirus einen Prozess, einen Dienst oder eine Anwendung, z. B. einen Web-Browser, auf dem Computer des Benutzers beenden muss, um ein Risiko zu entfernen bzw. das betreffende Element zu reparieren. Symantec AntiVirus führt die erforderliche Aktion automatisch und ohne Benachrichtigung des Benutzers aus. Prozesse automatisch beenden Aktivieren Sie diese Option, wenn Benutzer nicht benachrichtigt werden sollen, falls Symantec AntiVirus einen Prozess beenden muss, um ein Risiko zu entfernen oder das betreffende Element zu reparieren. Dienste automatisch beenden Aktivieren Sie diese Option, wenn Benutzer nicht benachrichtigt werden sollen, falls Symantec AntiVirus einen Dienst beenden muss, um ein Risiko zu entfernen oder das betreffende Element zu reparieren. Hinweis: Wenn ein Neustart erforderlich ist, werden Benutzer immer benachrichtigt. Sie haben die Möglichkeit, Daten zu speichern und offene Anwendungen zu schließen oder sich gegen einen Neustart zu entscheiden. Sie können eine benutzerdefinierte Meldung erstellen, die auf infizierten Computern angezeigt werden soll, nachdem ein Virus oder Sicherheitsrisiko gefunden wurde. Dies ist durch die direkte Eingabe von eigenem Text in das Meldungsfeld möglich oder indem Sie mit der rechten Maustaste in das Feld klicken und bestimmte Variablen auswählen. In Tabelle 4-8 werden die Variablenfelder beschrieben, die für Benachrichtigungsmeldungen des Auto-Protect-Dateisystemschutzes und für manuelle Prüfungen verfügbar sind. Tabelle 4-8 Feld Name des Sicherheitsrisikos Aktion Meldungsfelder für den Auto-Protect-Dateisystemschutz und manuelle Prüfungen Beschreibung Der Name des gefundenen Virus oder Sicherheitsrisikos. Die Aktion, die als Reaktion auf einen erkannten Virus oder ein erkanntes Sicherheitsrisiko ausgeführt wurde. Dabei kann es sich um eine der Aktionen halten, die als erste bzw. als zweite Aktion konfiguriert wurden.

97 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 97 Feld Status Beschreibung Der Status der Datei: "Infiziert", "Nicht infiziert" oder "Gelöscht". Diese Meldungsvariable wird nicht standardmäßig verwendet. Wenn Sie diese Informationen anzeigen möchten, müssen Sie die Variable manuell zur Warnmeldung hinzufügen. Dateiname Pfad und Dateiname Ablageort Computer Benutzer Ereignis Protokolliert von Gefunden am Name des Speichers Aktionsbeschreibung Der Name der Datei, die von dem Virus oder dem Sicherheitsrisiko infiziert wurde. Der vollständige Pfad und der Name der Datei, die von dem Virus oder dem Sicherheitsrisiko betroffen ist. Das Computerlaufwerk, auf dem sich der Virus oder das Sicherheitsrisiko befindet. Der Name des Computers, auf dem der Virus oder das Sicherheitsrisiko gefunden wurde. Der Name des Benutzers, der bei Auftreten des Virus oder Sicherheitsrisikos angemeldet war. Ereignistyp, beispielsweise Sicherheitsrisiko gefunden. Der Prüfungstyp, bei dem der Virus oder das Sicherheitsrisiko erkannt wurde: "Manuell", "Geplant" usw. Das Datum, an dem der Virus oder das Sicherheitsrisiko gefunden wurde. Der betroffene Bereich der Anwendung, z. B. Dateisystem-Auto-Protect oder Lotus Notes-Auto-Protect. Eine vollständige Beschreibung der Aktionen, die als Reaktion auf einen erkannten Virus oder ein erkanntes Sicherheitsrisiko ausgeführt wurden. So konfigurieren Sie Benachrichtigungen für den Auto-Protect-Dateisystemschutz 1 Führen Sie einen der folgenden Schritte aus: Klicken Sie mit der rechten Maustaste auf die Server-Gruppe oder die Symantec AntiVirus-Server, die konfiguriert werden sollen, und wählen Sie anschließend "Alle Tasks > Symantec AntiVirus > Server-Auto-Protect-Optionen". Wenn Sie eine Server-Gruppe auswählen, konfiguriert Symantec System Center alle Server in dieser Server-Gruppe.

98 98 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Klicken Sie mit der rechten Maustaste auf eine Server-Gruppe, einen einzelnen Server oder mehrere ausgewählte Server, die für die Verwaltung der zu konfigurierenden Symantec AntiVirus-Clients zuständig sind, und wählen Sie anschließend "Alle Tasks > Symantec AntiVirus > Client-Auto-Protect-Optionen". 2 Klicken Sie im Dialogfeld "Client-Auto-Protect-Optionen" oder "Server-Auto-Protect-Optionen" auf der Registerkarte "Dateisystem" auf "Benachrichtigungen". 3 Aktivieren Sie unter "Erkennungsoptionen" im Dialogfeld "Benachrichtigungsoptionen" die Option "Benachrichtigungsmeldung auf infiziertem Computer anzeigen", um eine Meldung auf dem infizierten Computer anzuzeigen, wenn ein Virus oder Sicherheitsrisiko gefunden wird. 4 Führen Sie im Meldungsfeld einen oder alle der folgenden Schritte aus, um die gewünschte Meldung zu erstellen: Klicken Sie in das Meldungsfeld, um den Text einzugeben oder zu bearbeiten. Klicken Sie mit der rechten Maustaste, wählen Sie "Feld einfügen" und wählen Sie das Variablenfeld aus, das Sie einfügen möchten. Siehe Tabelle 4-8 auf Seite 96. Klicken Sie mit der rechten Maustaste und wählen Sie anschließend "Ausschneiden", "Kopieren", "Einfügen", "Löschen" oder "Rückgängig".

99 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 99 5 Deaktivieren Sie unterhalb des Meldungsfelds die Option "Dialogfeld 'Auto-Protect-Ergebnisse' auf infiziertem Computer anzeigen", wenn das Dialogfeld mit den Ergebnissen zu gefundenen Viren und Sicherheitsrisiken nicht angezeigt werden soll. 6 Aktivieren Sie unter "Fehlerbehebungsoptionen" die gewünschte Option. Es stehen folgende Optionen zur Verfügung: Prozesse automatisch beenden Dienste automatisch anhalten Wenn diese Option aktiviert ist, beendet Symantec AntiVirus automatisch Prozesse, wenn es einen Virus oder ein Sicherheitsrisiko entfernen oder eine Datei reparieren muss. Benutzer werden nicht aufgefordert, die Daten zu speichern, bevor Symantec AntiVirus die Prozesse beendet. Wenn diese Option aktiviert ist, stoppt Symantec AntiVirus automatisch alle Dienste, um einen Virus oder ein Sicherheitsrisiko zu entfernen oder zu reparieren. Benutzer werden nicht aufgefordert, die Daten zu speichern, bevor Symantec AntiVirus die Dienste beendet. Verwenden Sie diese Optionen bei Clients mit Vorsicht, da es zu einem Datenverlust kommen kann, wenn Symantec AntiVirus Prozesse, Anwendungen oder Dienste beendet. 7 Klicken Sie auf "OK". Benutzerinteraktion bei Prüfergebnissen Wenn Benutzer benachrichtigt werden sollen, falls Symantec AntiVirus einen Virus oder ein Sicherheitsrisiko erkennt, wird das Dialogfeld mit den Auto-Protect-Ergebnissen angezeigt.

100 100 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Abbildung 4-1 Dialogfeld "Auto-Protect-Ergebnisse" Hinweis: Wenn bei einer Prüfung auf einem nicht verwalteten Client-Computer ein Sicherheitsrisiko gefunden wird, kann ein Benutzer das Kontrollkästchen in der Spalte "Ausschließen" des Dialogfelds "Auto-Protect-Ergebnisse" oder "Prüfergebnisse" markieren, damit das Risiko von allen künftigen Prüfungen ausgeschlossen wird. Dies gilt jedoch nur für die Art der Prüfung, mit der das Risiko gefunden wurde. Auf verwalteten Client-Computern dürfen Benutzer keine Risiken über diese Dialogfelder ausschließen. Wenn Symantec AntiVirus einen Prozess, eine Anwendung oder einen Dienst beenden muss, um ein Risiko zu beseitigen, das bei der Prüfung gefunden wurde, ist die Schaltfläche "Risiken jetzt entfernen" aktiv. Tabelle 4-9 Schaltfläche Risiken jetzt entfernen Schaltflächen im Dialogfeld "Ergebnisse" Beschreibung Wenn Benutzer auf "Risiken jetzt entfernen" klicken, wird das Dialogfeld "Risiko entfernen" angezeigt. Folgende Aktionen sind möglich: Wenn Benutzer auf "Ja" klicken, wird das Risiko entfernt. Falls anschließend ein Neustart erforderlich ist, wird die Information in der Zeile mit dem Risiko aktualisiert und zeigt an, dass ein Neustart erforderlich ist. Wenn Benutzer auf "Nein" klicken, wird beim Schließen des Dialogfelds mit den Ergebnissen erneut ein Dialogfeld angezeigt, das daran erinnert, dass noch eine Aktion ausgeführt werden muss.

101 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 101 Schaltfläche Schließen Beschreibung Wenn keine Aktion erforderlich ist, wird das Dialogfeld mit den Ergebnissen beim Klicken auf "Schließen" geschlossen. Wenn eine Aktion erforderlich ist, wird beim Klicken auf "Schließen" eine der folgenden Meldungen angezeigt: Entfernung des Risikos erforderlich Wird angezeigt, wenn für ein Risiko eine Prozess-Beendigung erforderlich ist. Wenn Benutzer das Risiko entfernen, wird anschließend wieder das Dialogfeld mit den Ergebnissen angezeigt. Wenn auch ein Neustart erforderlich ist, wird die Information in der Zeile mit dem Risiko entsprechend aktualisiert. Neustart erforderlich Wird angezeigt, wenn bei einem Risiko ein Neustart erforderlich ist. Entfernung des Risikos und Neustart erforderlich Wird angezeigt, wenn für ein Risiko eine Prozess-Beendigung und für ein anderes Risiko ein Neustart erforderlich ist. Wenn ein Neustart erforderlich ist, der Benutzer diesen jedoch nicht ausführt, wird das Entfernen oder Reparieren des Risikos erst beim nächsten Neustart des Computers vollständig abgeschlossen. Mögliche Gründe hierfür sind: Die Reparatur beinhaltet das Ausführen von Prozessen, die nicht beendet werden können, wodurch deren Programmdateien auf dem Datenträger gesperrt werden. Das Risiko hat Dateien zum exklusiven Lesen oder Schreiben oder zum Löschen von Rechten geöffnet. Diese Dateien können nur durch einen Neustart des Computers gelöscht werden. Die Reparatur wirkt sich auf einen Layered Service Provider (LSP) aus. Bei einem LSP handelt es sich um einen Systemtreiber, der typischerweise direkt in die TCP/IP-Schicht integriert ist und die zu übertragenden Daten manipuliert. So kann ein LSP beispielsweise zum Verschlüsseln der Daten verwendet werden. Ergebnisse der Reparaturen werden im Ereignisprotokoll aufgezeichnet. Benutzer können die Ergebnisse der Reparaturen im Prüfstatusfenster oder im Risikoprotokollfenster prüfen und mit der rechten Maustaste auf die Risiken klicken, um Reparaturdetails anzuzeigen. Wenn Benutzer eine Aktion für ein Risiko durchführen müssen, die Aktion jedoch nicht sofort ausführen möchten, kann das Risiko wie folgt zu einem späteren Zeitpunkt entfernt oder repariert werden:

102 102 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Der Benutzer kann das Dialogfeld "Risikoprotokoll" öffnen, mit der rechten Maustaste auf das Risiko klicken und eine Aktion wählen. Der Benutzer kann eine Prüfung ausführen, um das Risiko erneut zu erkennen, und das Dialogfeld "Ergebnisse" öffnen. Welche Aktionen verfügbar sind, ist abhängig von den Aktionen, die für den entsprechenden Virus- oder Sicherheitsrisikotyp konfiguriert wurden. Hinweis: Die Interaktionen der Benutzer bei Prüfungsergebnisbenachrichtigungen sind bei manuellen, geplanten und Auto-Protect-Prüfungen identisch. Auto-Protect- -Prüfung für Groupware-Anwendungen konfigurieren Mit Auto-Protect können die Anhänge der folgenden -Anwendungen geprüft werden: Lotus Notes 4.5x, 4.6, 5.0 und 6.x Microsoft Outlook 98/2000/2002/2003 (MAPI und Internet) Microsoft Exchange 5.0 und 5.5 (Client-Version) Wenn Sie Microsoft Outlook über MAPI oder Microsoft Exchange verwenden und Auto-Protect für s aktiviert haben, werden Anhänge sofort auf den Computer heruntergeladen, auf dem der -Client läuft, und geprüft, wenn der Benutzer die Nachricht öffnet. Wenn Sie große Anhänge über eine langsame Verbindung herunterladen, wird die Arbeitsgeschwindigkeit der -Anwendung beeinträchtigt. Sie sollten diese Funktion bei Benutzern deaktivieren, die regelmäßig große Anhänge erhalten. Symantec AntiVirus unterstützt die -Prüfung nur für Symantec AntiVirus-Clients. Sie kann zwar auf Microsoft Exchange Server 5.0 und 5.5 ausgeführt werden, prüft aber nicht die Exchange Server-Dateien. Weitere Informationen finden Sie im Symantec AntiVirus Referenzhandbuch. Hinweis: Wenn Lotus Notes oder Microsoft Outlook bereits auf dem Computer installiert ist, wenn Sie die Client-Software von Symantec System Center installieren, erkennt Symantec AntiVirus die -Anwendung und installiert das richtige Auto-Protect-Plug-In automatisch. Es werden beide Plug-Ins installiert, wenn Sie bei einer manuellen Installation von Symantec AntiVirus die vollständige Installation wählen.

103 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 103 So konfigurieren Sie die -Prüfung 1 Klicken Sie mit der rechten Maustaste auf die Server-Gruppe oder die Server, die konfiguriert werden sollen, und klicken Sie dann auf "Alle Tasks > Symantec AntiVirus > Client-Auto-Protect-Optionen". 2 Aktivieren Sie im Dialogfeld "Client-Auto-Protect-Optionen" auf der Registerkarte "Lotus Notes" oder "Microsoft Exchange" die Option "Auto-Protect aktivieren". Die Registerkarte "Microsoft Exchange" kann zur Konfiguration der Auto-Protect-Optionen von Microsoft Exchange und Microsoft Outlook verwendet werden. 3 Führen Sie einen oder mehrere der folgenden Schritte aus, um die Auto-Protect-Optionen festzulegen: Wählen Sie alle zu prüfenden Dateitypen oder Erweiterungen aus. Fügen Sie Warnmeldungen in -Nachrichten ein. Senden Sie -Nachrichten an die Absender von infizierten Anhängen. Senden Sie -Nachrichten an ausgewählte Empfänger, wenn ein Virus gefunden wird. 4 Klicken Sie auf "Erweitert", um die Prüfung von komprimierten Dateien zu deaktivieren oder die Ebenentiefe für die Prüfung komprimierter Dateien innerhalb von komprimierten Dateien zu ändern. Klicken Sie anschließend auf "OK". 5 Klicken Sie auf "Aktionen", um die Aktionen für die Erkennung und Fehlerbehebung anzugeben, die Symantec AntiVirus ausführen soll, wenn ein Virus oder ein Sicherheitsrisiko erkannt wird. Klicken Sie anschließend auf "OK". Es sind dieselben Aktionsoptionen verfügbar wie für den Auto-Protect-Dateisystemschutz. Verwenden Sie die Löschaktion bei Sicherheitsrisiken mit Vorsicht, denn in einigen Fällen kann das Löschen von Sicherheitsrisiken dazu führen, dass Funktionalität in Anwendungen verloren geht. Siehe Aktionen für den Auto-Protect-Dateisystemschutz konfigurieren auf Seite 84.

104 104 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 6 Klicken Sie auf "Benachrichtigungen", um die Benachrichtigung zu konfigurieren, die der Benutzer von Symantec AntiVirus erhalten soll, wenn ein Virus oder ein Sicherheitsrisiko erkannt wird. Klicken Sie anschließend auf "OK". Die Benachrichtigungsoptionen sind mit den Optionen für den Auto-Protect-Dateisystemschutz identisch. Nur die Option "Dialogfeld 'Auto-Protect-Ergebnisse' auf infiziertem Computer anzeigen" ist nicht verfügbar. Siehe Benachrichtigungen für den Auto-Protect-Dateisystemschutz konfigurieren auf Seite Sperren Sie Optionen oder heben Sie die Sperrung von Optionen auf. 8 Klicken Sie auf "Alle zurücksetzen", um sicherzustellen, dass die von Ihnen festgelegte Konfiguration sofort auf allen Computern für die Auto-Protect-Prüfung übernommen wird. Was Sie tun können, wenn Ihr -Programm nicht unterstützt wird Falls das von Ihnen verwendete -Programm keinem der unterstützten Datenformate entspricht, können Sie Ihr Netzwerk dennoch schützen, indem Sie Auto-Protect für das Dateisystem aktivieren. Wenn Sie beispielsweise mit dem -System Novell GroupWise arbeiten und ein Benutzer eine Nachricht mit einem infizierten Anhang erhält, findet Symantec AntiVirus den Virus, sobald der Benutzer den Anhang zu öffnen versucht. Ermöglicht wird dies dadurch, dass die meisten -Programme, z. B. GroupWise, angehängte Dateien in einem temporären Verzeichnis speichern, wenn der Benutzer sie aus dem -Programm heraus öffnet. Wenn Auto-Protect für das Dateisystem aktiviert ist, findet Symantec AntiVirus den Virus, sobald die infizierte Datei in das temporäre Verzeichnis geschrieben wird. Symantec AntiVirus findet den Virus aber auch dann, wenn der Benutzer den infizierten Anhang auf einem lokalen oder Netzlaufwerk zu speichern versucht. Auto-Protect- -Prüfung für Internet- konfigurieren Die Auto-Protect-Prüfung für Internet- schützt sowohl eingehende als auch ausgehende -Nachrichten, die die Kommunikationsprotokolle POP3 oder SMTP verwenden. Wenn die Auto-Protect-Prüfung für Internet- aktiviert ist, prüft Symantec AntiVirus den Nachrichtentext und alle vorhandenen Anhänge. Wenn Sie Auto-Protect aktivieren, um verschlüsselte s über POP3- und SMTP-Verbindungen zu unterstützen, werden sichere Verbindungen erkannt und die verschlüsselten Nachrichten ohne Prüfung weitergeleitet.

105 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect 105 Obwohl Auto-Protect keine s prüft, die POP3 oder SMTP über den Secure Sockets Layer (SSL) verwenden, schützt der Auto-Protect-Dateisystemschutz Computer weiterhin vor Viren und Sicherheitsrisiken in Anhängen. Er prüft -Anhänge, wenn Sie diese auf der Festplatte speichern. Hinweis: Die -Prüfung wird auf 64-Bit-Computern nicht unterstützt. Symantec AntiVirus bietet außerdem eine Prüfheuristik für ausgehende s, die die Bloodhound-Virenerkennung verwendet, um eventuell vorhandene Risiken in den ausgehenden s zu identifizieren. Das Prüfen ausgehender -Nachrichten trägt zur Eindämmung von Risiken wie Würmern bei, die sich über -Clients replizieren und in einem Netzwerk verteilen können. Die -Prüfung unterstützt die folgenden -Clients nicht: IMAP-Clients AOL -Clients HTTP-basierte , z. B. Hotmail - und Yahoo! -Mail So konfigurieren Sie die Auto-Protect- -Prüfung für Internet- 1 Klicken Sie mit der rechten Maustaste auf die Server-Gruppe oder die Server, die konfiguriert werden sollen, und klicken Sie dann auf "Alle Tasks > Symantec AntiVirus > Client-Auto-Protect-Optionen". 2 Aktivieren Sie im Dialogfeld "Client-Auto-Protect-Optionen" auf der Registerkarte "Internet- " die Option "Internet- -Auto-Protect aktivieren". Die von Ihnen gewählten Einstellungen gelten für das POP3- und das SMTP-Protokoll. 3 Führen Sie einen oder mehrere der folgenden Schritte aus, um die Auto-Protect-Optionen festzulegen: Wählen Sie alle zu prüfenden Dateitypen oder Erweiterungen aus. Fügen Sie Warnmeldungen in -Nachrichten ein. Senden Sie -Nachrichten an die Absender von infizierten Anhängen. Senden Sie -Nachrichten an ausgewählte Empfänger, wenn ein Virus gefunden wird. 4 Klicken Sie auf "Erweitert" und führen Sie die folgenden Schritte aus: Aktivieren Sie die Prüfung komprimierter Dateien.

106 106 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfigurieren von Auto-Protect Ändern Sie die Ebenentiefe für die Prüfung von komprimierten Dateien, wenn Sie komprimierte Dateien innerhalb von komprimierten Dateien prüfen möchten. Ändern Sie die zu prüfenden POP3- und SMTP-Ports. Aktivieren oder deaktivieren Sie die Verarbeitung von verschlüsselten POP3- oder SMTP-Verbindungen. Legen Sie die Heuristik für ausgehende Mail fest. Wählen Sie aus, ob beim Senden von ein Statusfenster und ein Symbol in der Taskleiste angezeigt werden sollen. 5 Wenn Sie die erweiterten Optionen wie gewünscht festgelegt haben, klicken Sie auf "OK". 6 Klicken Sie auf "Aktionen", um die Aktionen für die Erkennung und Fehlerbehebung anzugeben, die Symantec AntiVirus ausführen soll, wenn ein Virus oder ein Sicherheitsrisiko erkannt wird. Klicken Sie anschließend auf "OK". Es sind dieselben Aktionsoptionen verfügbar wie für den Auto-Protect-Dateisystemschutz. Siehe Aktionen für den Auto-Protect-Dateisystemschutz konfigurieren auf Seite Klicken Sie auf "Benachrichtigungen", um die Benachrichtigung zu konfigurieren, die der Benutzer von Symantec AntiVirus erhalten soll, wenn ein Virus oder ein Sicherheitsrisiko erkannt wird. Klicken Sie anschließend auf "OK". Die Benachrichtigungsoptionen sind mit den Optionen für den Auto-Protect-Dateisystemschutz identisch. Nur die Option "Dialogfeld 'Auto-Protect-Ergebnisse' auf infiziertem Computer anzeigen" ist nicht verfügbar. Siehe Benachrichtigungen für den Auto-Protect-Dateisystemschutz konfigurieren auf Seite Sperren bzw. entsperren Sie die gewünschten Optionen auf der Registerkarte "Internet- ". 9 Klicken Sie auf "Alle zurücksetzen", um sicherzustellen, dass die von Ihnen festgelegte Konfiguration für die Auto-Protect-Prüfung auf allen Computern sofort gilt.

107 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfiguration manueller Prüfungen 107 Konfiguration manueller Prüfungen Manuelle Prüfungen können für Symantec AntiVirus-Server oder -Clients konfiguriert werden. Tabelle 4-10 enthält die von Ihnen konfigurierbaren manuellen Prüfungstypen. Tabelle 4-10 Typ Schnellprüfung Manuelle Prüfungstypen Beschreibung Führt eine schnelle Überprüfung des Arbeitsspeichers und anderer Speicherorte durch, die anfällig für Infektionen durch Viren und Sicherheitsrisiken sind. Hinweis: Schnellprüfungen werden auf NetWare-Servern nicht unterstützt. Vollständige Prüfung Benutzerdefinierte Prüfung Prüft den gesamten Computer auf Viren und Sicherheitsrisiken, einschließlich Boot-Sektoren und Arbeitsspeicher. Prüft die von Ihnen ausgewählten Dateien und Ordner auf Viren und Sicherheitsrisiken. Hinweis: Wenn Sie alle Server und Clients in einer Server-Gruppe prüfen möchten, führen Sie stattdessen eine Virensuchaktion durch oder erstellen Sie eine geplante Prüfung. Siehe Erstellen und Konfigurieren von geplanten Prüfungen auf Seite 116. Einige der Optionen für die manuelle Prüfung entsprechen den Prüfoptionen für Auto-Protect-Prüfungen. In Tabelle 4-11 werden die Optionen für manuelle Prüfungen beschrieben.

108 108 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfiguration manueller Prüfungen Tabelle 4-11 Optionen für die manuelle Prüfung Abschnitt oder Option Dateitypen Verfügbare Optionen Sie können Symantec AntiVirus so konfigurieren, dass alle oder nur ausgewählte Dateitypen geprüft werden. Folgende Optionen stehen zur Verfügung: Alle Typen Wenn Sie diese Option auswählen, werden alle auf dem Computer gefundenen Dateien geprüft, ungeachtet des Dateityps. Ausgewählte Erweiterungen Wählen Sie diese Option, wenn nur Dateien mit bestimmten Erweiterungen geprüft werden sollen. Weitere Erweiterungen für Programme und Dokumente können ergänzt werden, wenn Sie Dateien verwenden, deren Erweiterungen bisher nicht in der Liste aufgeführt sind. Die Option kann auch auf ihren Standardwert zurückgesetzt werden. Prüfungsoptimierung Wählen Sie die folgenden Optionen, um Viren und Sicherheitsrisiken noch schneller zu erkennen. Diese häufig infizierten Speicherorte werden vor den von Ihnen ausgewählten Dateien und Ordnern geprüft. Folgende Optionen stehen zur Verfügung: Prüfen von Programmdateien, die sich im Arbeitsspeicher befinden Prüfen von gängigen Infektionsorten (Ladepunkte) Suchen nach Spuren häufig auftretender Viren und Sicherheitsrisiken Erkennung von Sicherheitsrisiken aktivieren Diese Option betrifft nur das Erkennen von Sicherheitsrisiken auf Clients der Version 9.x. Hinweis: Risiken auf veralteten Clients werden erkannt, eine Reparatur erfolgt jedoch nicht.

109 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfiguration manueller Prüfungen 109 Abschnitt oder Option Dateien und Ordner ausschließen Verfügbare Optionen Aktivieren Sie diese Option, um bestimmte Dateien oder Ordner von der Auto-Protect-Prüfung auszuschließen. Klicken Sie auf "Ausschlüsse" und wählen Sie dann eine der folgenden Optionen aus: Erweiterungen: Dateien anhand ihrer Erweiterung ausschließen. Dateien/Ordner: Ordner anhand ihrer Pfade ausschließen. Bei mehreren Clients oder Servern müssen Sie die Pfade der auszuschließenden Verzeichnisse und Dateien eingeben. Hinweis: Wenn Sie einen Ordner ausschließen, kann Symantec AntiVirus den infizierten Computer nicht vor infizierten Dateien in diesem Ordner schützen. Erweitert Klicken Sie auf diese Schaltfläche, um erweiterte Prüfoptionen festzulegen, z. B. für Backup-Dateien, Remote-Dateien und komprimierte Dateien etc. Siehe Tabelle 4-12 auf Seite 111. Aktionen Klicken Sie hier, um die Erkennungs- und Fehlerbehebungsaktionen zu konfigurieren, die Symantec AntiVirus ausführen soll, wenn es Makroviren, Nicht-Makroviren und Sicherheitsrisiken findet. Siehe Tabelle 4-5 auf Seite 85.

110 110 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfiguration manueller Prüfungen Abschnitt oder Option Begrenzung Verfügbare Optionen Mit dieser Schaltfläche können Sie die Optionen für die CPU-Nutzung festlegen. Bewegen Sie die Schieberegler, um die Prüfpriorität für inaktive bzw. aktive Phasen der Computer einzurichten. Aktivieren Sie die Option "NetWare-Belastung begrenzen" und bewegen Sie bei Bedarf den Schieberegler. Symantec AntiVirus ermöglicht Ihnen bei geplanten und manuellen Prüfungen, die CPU-Priorität der Prüfung festzulegen. Wenn eine Prüfung eine niedrigere Priorität erhält, dauert es länger, bis sie beendet ist, aber es wird mehr CPU-Zeit für andere Aufgaben frei. In manchen Situationen ist es sinnvoll, eine niedrigere Priorität festzulegen. Wenn Sie beispielsweise in der Arbeitswoche Prüfungen zur Mittagszeit durchführen, sollten Sie die Prüfpriorität verringern, um die Auswirkungen auf die Benutzerproduktivität so gering wie möglich zu halten. Sie können eine Prüfpriorität für folgende Computer festlegen: Windows-Computer: Die Priorität ist abhängig davon, ob der Computer aktiv oder inaktiv ist. Die Einstellung für Inaktivität gibt die Priorität an, die Prüfungen erhalten, wenn der Computer inaktiv ist. Die Einstellung für Aktivität gibt die Priorität an, die Prüfungen erhalten, wenn der Computer aktiv ist. NetWare-Computer: Symantec AntiVirus kann seine Belastung auf Netware-Servern begrenzen. Eine niedrigere Belastungseinstellung bedeutet, dass die Server-Prüfung länger dauert. Benachrichtigungen Mit dieser Schaltfläche können Sie die Erkennungs- und Fehlerbehebungsoptionen für Benachrichtigungen festlegen, die auf dem infizierten Computer angezeigt werden sollen, wenn bei der manuellen Prüfung ein Virus oder ein Sicherheitsrisiko gefunden wurde. Siehe Tabelle 4-7 auf Seite 95. In Tabelle 4-12 werden die erweiterten Optionen für manuelle Prüfungen beschrieben.

111 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfiguration manueller Prüfungen 111 Tabelle 4-12 Erweiterte Optionen für die manuelle Prüfung Abschnitt oder Option Bei Prüfung von komprimierten Dateien Verfügbare Optionen Dateien in komprimierten Dateien prüfen Wenn Sie diese Option aktivieren, prüft Symantec AntiVirus den Container, z. B. die ZIP-Datei, und den Inhalt des Containers, d. h. die einzelnen, komprimierten Dateien. Wenn sich eine komprimierte Datei innerhalb einer komprimierten Datei befindet, erweitern Sie die Ebenentiefe auf N. Symantec AntiVirus unterstützt die Überprüfung verschachtelter komprimierter Dateien auf Windows-Computern bis zu zehn Ebenen tief. Bei NetWare-Servern ist die Überprüfung auf acht Ebenen begrenzt. Komprimierte Dateien werden wie folgt geprüft: Windows Symantec AntiVirus prüft komprimierte Dateien während manueller Prüfungen, - und geplanter Prüfungen. Aufgrund der starken CPU-Belastung prüft Auto-Protect auf Windows-Computern keine Dateien innerhalb komprimierter Dateien. Jedoch werden die Dateien geprüft, die aus den komprimierten Dateien extrahiert werden. NetWare Symantec AntiVirus prüft komprimierte Dateien während der Auto-Protect-Prüfung und bei geplanten Prüfvorgängen. Damit der Inhalt einer komprimierten Datei gelesen werden kann, dekomprimiert Symantec AntiVirus jede im Container enthaltene Datei und kopiert sie auf das SYS-Volume, auf dem der Prüfvorgang ausgeführt wird. Auf dem SYS-Volume muss ausreichend Speicherplatz verfügbar sein, damit die größte Datei aus dem Container aufgenommen werden kann. Hinweis: Sie können eine Prüfung in einer komprimierten Datei nicht abbrechen. Wenn Sie auf "Prüfung stoppen" klicken, beendet Symantec AntiVirus die Prüfung erst, nachdem die komprimierte Datei vollständig geprüft wurde.

112 112 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfiguration manueller Prüfungen Abschnitt oder Option Backup-Optionen Verfügbare Optionen Als Vorsichtsmaßnahme zur Datensicherheit sollten Sie vor einem Reparaturversuch die Option "Backup-Datei vor einem Reparaturversuch erstellen" aktivieren. Die Option ist standardmäßig aktiviert. Die vireninfizierte Originaldatei wird verschlüsselt und anschließend in das Quarantäneverzeichnis kopiert. Bei Bedarf kann mit dieser nicht reparierten Backup-Datei die Originaldatei in ihrem infizierten Zustand wiederhergestellt werden. Wenn Sie diese Option deaktivieren, werden Dateien, die Viren enthalten, vor dem Reparaturversuch nicht mehr gesichert. Aus Gründen der Leistungssteigerung, z. B. bei einem Datei-Server, auf dem Dateien regelmäßig auf andere Weise gesichert werden, kann es sich lohnen, diese Option zu deaktivieren. Hinweis: Diese Einstellung gilt nur für virusinfizierte Dateien. Wenn Sie für Sicherheitsrisiken die Aktion "Risiko löschen" konfigurieren, werden keine Backup-Dateien erstellt. Wenn Sie die Aktion "Risiko in Quarantänebereich" konfigurieren, werden die Sicherheitsrisikodateien unabhängig von dieser Einstellung immer im Quarantänebereich gesichert, bevor eine Reparatur versucht wird. Dialogfeldoptionen Verwenden Sie diese Option, wenn auf dem Computer während jeder Prüfung, während Prüfungen mit Risikoerkennung oder wenn überhaupt kein Statusdialogfeld angezeigt werden soll. Außerdem haben Sie die folgenden Möglichkeiten: Sie können dieses Dialogfeld so konfigurieren, dass es nach Abschluss der Prüfung automatisch geschlossen wird. Sie können das Anhalten von Prüfungen durch den Benutzer zulassen. Wenn diese Option aktiviert ist, wird auf dem Remote-Computer eine Schaltfläche zum Stoppen der Prüfung eingeblendet. Ist diese Option deaktiviert, kann die Prüfung vom Remote-Computer aus nicht abgebrochen werden.

113 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfiguration manueller Prüfungen 113 Abschnitt oder Option Verfügbare Optionen Speichermigrationsoptionen Hinweis: Diese Option ist für Windows 2000 und höher nicht verfügbar. Wenden Sie sich an Ihren HSM-Lieferanten, wenn Sie diese Systeme einsetzen.

114 114 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfiguration manueller Prüfungen Abschnitt oder Option Verfügbare Optionen Sie können Prüfungen von Dateien, die von HSM-Systemen (Hierarchical Storage Management) und Offline-Sicherungssystemen verwaltet werden, differenzierter gestalten. Ein HSM-System ermöglicht die Migration von Dateien auf sekundäre Speichermedien wie CDs, Magnetbänder, SAN-Speichermedien usw., hinterlässt aber möglicherweise Teile der Originaldatei auf dem Datenträger. Wenn Symantec AntiVirus alle Stubs öffnet und das HSM-System die Dateien wieder auf den Originaldatenträger stellt, können während des Prüfvorgangs Leistungs- und Speicherplatzprobleme auftreten. Informieren Sie sich bei Ihrem HSM-Lieferanten oder dem Lieferanten Ihres Backup-Mediums, damit Sie die geeigneten Einstellungen auswählen können. Folgende Optionen stehen für die Speichermigration zur Verfügung: Dateien mit Backup-Semantik öffnen. Offline-Dateien übergehen: Wenn das Offline-Bit gesetzt ist, überspringt Symantec AntiVirus die Datei. Eine kleine Uhr über dem Dateisymbol im Windows-Explorer zeigt an, dass das Offline-Bit gesetzt wurde. Jede Anwendung kann dieses Offline-Bit setzen, ohne dass die Datei dadurch tatsächlich offline gesetzt wird. Offline- und Sparse-Dateien übergehen (Vorgabe): Einige Anwendungen setzen das Sparse-Bit, um anzugeben, dass sich ein Teil der Datei nicht auf dem Datenträger befindet. Dieses Bit wird jedoch nicht von allen HSM-Produkten gesetzt. Bei einer Sparse-Datei verbleibt ein Dateirumpf auf dem Datenträger, während der größere Teil der Datei auf ein Offline-Speichermedium ausgelagert wird. Offline- und Sparse-Dateien mit Analysepunkt übergehen: Einige Hersteller verwenden so genannte Analysepunkte (Reparse Points). Anwendungen, die Analysepunkte verwenden, nutzen zusätzlich einen entsprechenden Gerätetreiber, um die Analysepunkte in den Dateien zu verwalten. Wenn Analysepunkte verwendet werden, verbleibt ein Teil der Datei auf dem Datenträger. Auf den anderen Teil der Datei kann über den Gerätetreiber transparent zugegriffen werden. Residente Teile von Offline- und Sparse-Dateien prüfen: Symantec AntiVirus ermittelt residente Teile

115 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Konfiguration manueller Prüfungen 115 Abschnitt oder Option Verfügbare Optionen einer Datei. Wenn es sich um eine Sparse-Datei handelt, prüft Symantec AntiVirus nur den residenten Teil. Der nicht-residente Teil verbleibt auf einem sekundären Speichermedium. Diese Funktion wird von einigen Herstellern unterstützt. Alle Dateien prüfen, Demigration erzwingen (schreibt Daten auf Platte): Symantec AntiVirus überprüft die gesamte Datei und erzwingt gegebenenfalls die Demigration vom sekundären Speichermedium. Da das sekundäre Speichermedium in der Regel größer ist als das lokale Volume, kann es vorkommen, dass so viele Daten auf das lokale Volume geschrieben werden, dass keine weiteren geöffneten Dateien geprüft werden können. Alle Dateien prüfen, ohne Demigration zu erzwingen (langsam): Symantec AntiVirus kopiert eine Datei von dem sekundären Speichermedium und speichert sie als temporäre Datei auf die Festplatte. Die HSM-Anwendung veranlasst jedoch, dass die Originaldatei auf dem sekundären Speichermedium verbleibt. Diese Methode ist langsam und wird nicht von allen HSM-Herstellern unterstützt. Da für den Prüfvorgang Dateien von dem sekundären Speichermedium auf den Datenträger kopiert werden, werden viele Ressourcen gebraucht. Die Prozessor- und die Netzwerkleistung kann weiter vermindert werden, wenn Symantec AntiVirus infizierten Inhalt findet und eine Reparaturoder Löschaktion an das sekundäre Speichermedium zurückgegeben wird.

116 116 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Erstellen und Konfigurieren von geplanten Prüfungen Abschnitt oder Option Verfügbare Optionen Kürzlich verwendete Dateien prüfen, ohne Demigration zu erzwingen: Um der hohen Ressourcenbelastung entgegenzuwirken, die bei Verwendung der Option "Alle Dateien prüfen, ohne Demigration zu erzwingen" auftritt, können Sie mit dieser Option angeben, dass nur die Dateien geprüft werden, die vor kurzem migriert wurden und sich möglicherweise noch auf einem schnelleren sekundären Speichermedium befinden. Es kann vorteilhaft sein, Dateien auf dem schnelleren sekundären Datenträger zu prüfen, die Demigration zu übergehen und den Prüfvorgang nicht auszuführen, wenn sich die Dateien auf einem langsameren Langzeitspeichermedium befinden. Dateien können beispielsweise auf einen Remote-Datenträger migriert werden, nachdem über 30 Tage kein Zugriff darauf erfolgt ist. Nach 60 Tagen ohne Zugriff erfolgt die Migration auf CD oder ein Remote-SAN-Speichermedium. In vielen Fällen ist diese Methode langsam, da der Dateizugriff langsamer ist, wenn die Demigration nicht erzwungen wird. Wählen Sie den Zugriffstyp aus und geben Sie die Anzahl der Tage ein. Speichermigrationsoptionen (NetWare) Aktivieren Sie die Option "NetWare-komprimierte oder migrierte Dateien prüfen", um mit NetWare komprimierte oder migrierte Dateien zu prüfen. Erstellen und Konfigurieren von geplanten Prüfungen Sie können Prüfungen für eine oder mehrere Server-Gruppen sowie für einzelne Symantec AntiVirus-Server planen. Prüfungen können aber auch für einzelne Server oder Clients geplant werden. Zudem haben Sie die Möglichkeit, Symantec AntiVirus-Client-Prüfungen auf Symantec AntiVirus-Server- oder -Client-Ebene zu planen. Die Einstellungen für geplante Prüfungen sind den Auto-Protect-Einstellungen ähnlich, es wird dabei jedoch jeder Prüfungstyp einzeln konfiguriert. Ausschlüsse, die für Auto-Protect-Prüfungen festgelegt wurden, beziehen sich auch nur auf die Auto-Protect-Prüfung. Sie gelten nicht für geplante Prüfungen. Bei geplanten Prüfungen werden nur solche Sicherheitsrisiken ausgeschlossen, die global konfiguriert wurden. Siehe Globale Sicherheitsrisikoausschlüsse konfigurieren auf Seite 66.

117 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Erstellen und Konfigurieren von geplanten Prüfungen 117 Geplante Prüfungen erstellen In Tabelle 4-13 werden die Optionen für geplante Prüfungen beschrieben. Tabelle 4-13 Optionen für geplante Prüfungen Optionskategorie Name Prüfungseinstellungen Verfügbare Optionen Geben Sie einen Namen für die Prüfung ein. Klicken Sie auf "Prüfungseinstellungen", um eine der folgenden zu planenden Prüfungsarten festzulegen: Die Schnellprüfung führt eine schnelle Überprüfung des Arbeitsspeichers und anderer Speicherorte durch, die für Infektionen durch Viren und Sicherheitsrisiken anfällig sind. Die vollständige Prüfung prüft den gesamten Computer auf Viren und Sicherheitsrisiken, einschließlich Boot-Sektoren und Arbeitsspeicher. Bei der benutzerdefinierten Prüfung werden die von Ihnen ausgewählten Laufwerke und Ordner überprüft. Eine Auswahl einzelner Dateien und Ordner ist bei der Konfiguration von Client-Prüfungen nicht möglich. Prüfung aktivieren Intervall Wann Stellen Sie sicher, dass diese Option aktiviert ist und die Prüfung entsprechend der Konfiguration ausgeführt werden kann. Legt fest, wie häufig die Prüfung ausgeführt wird. Wählen Sie "Täglich","Wöchentlich" oder "Monatlich". Gibt die Uhrzeit für die Ausführung der Prüfung an. Sie können die Uhrzeit in Abständen von einer Minute eingeben oder im Dropdown-Listenfeld die Uhrzeit in 15-Minuten-Abständen auswählen. Wenn die Häufigkeit auf "Wöchentlich" eingestellt ist, wählen Sie im Dropdown-Listenfeld den Wochentag, bei monatlichen Prüfungen den Tag des Monats aus, an dem die Prüfungen stattfinden sollen.

118 118 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Erstellen und Konfigurieren von geplanten Prüfungen Optionskategorie Erweitert Verfügbare Optionen Klicken Sie auf "Erweitert", wenn Sie erweiterte Prüfoptionen festlegen möchten. Aktivieren Sie unter "Optionen für verpasste Ereignisse" die Option "Geplante Prüfung erneut versuchen innerhalb von <Anzahl> <Stunden oder Tagen> nach dem geplanten Zeitpunkt". Geben Sie anschließend die Anzahl der Stunden an, innerhalb derer die Prüfung ausgeführt werden soll. Beispielsweise können Sie festlegen, dass eine tägliche Prüfung nur dann nachgeholt wird, wenn sie innerhalb von acht Stunden nach dem geplanten Zeitpunkt stattfindet. Hinweis: Wenn die Prüfung wöchentlich oder monatlich stattfindet, sollte das festgelegte Zeitintervall eher Tage statt Stunden betragen. Siehe Geplante Prüfungen konfigurieren auf Seite 121. So erstellen Sie geplante Prüfungen 1 Wählen Sie mehrere Server, Gruppen oder Clients aus. 2 Führen Sie einen der folgenden Schritte aus: Klicken Sie mit der rechten Maustaste auf eine Server-Gruppe oder mehrere Server-Gruppen und klicken Sie dann auf "Alle Tasks > Symantec AntiVirus > Vom Server geplante Prüfungen". Klicken Sie mit der rechten Maustaste auf einen einzelnen Server oder Client und klicken Sie dann auf Alle Tasks > Symantec AntiVirus > Geplante Prüfungen. 3 Führen Sie einen der folgenden Schritte aus: Klicken Sie im Dialogfeld <Server-Name> Geplante Prüfungen auf der Registerkarte Server-Gruppen-Prüfungen auf Neu. Klicken Sie im Dialogfeld <Server-Name> Geplante Prüfungen auf der Registerkarte Server-Prüfungen oder Client-Prüfungen auf Neu.

119 Aktualisierung des Kapitels "Prüfung auf Viren und andere Sicherheitsrisiken" Erstellen und Konfigurieren von geplanten Prüfungen Geben Sie im Dialogfeld <Server-Name> Geplante Prüfung den Namen der Prüfung ein, stellen Sie sicher, dass die Option Prüfung aktivieren ausgewählt ist, und geben Sie an, wann und wie oft die Prüfung ausgeführt werden soll. Siehe Tabelle 4-13 auf Seite Klicken Sie auf Erweitert, um anzugeben, wie verpasste Ereignisse gehandhabt werden sollen, und klicken Sie auf OK. Siehe Tabelle 4-13 auf Seite Klicken Sie im Dialogfeld <Server-Name> Geplante Prüfung auf Prüfungseinstellungen. 7 Wählen Sie den zu planenden Prüfungstyp aus: Schnell, Voll oder Benutzerdefiniert. 8 Führen Sie im Dialogfeld Komponenten wählen einen der folgenden Schritte aus: Wenn Sie mehrere Server, Clients oder eine Server-Gruppe ausgewählt haben, klicken Sie auf Optionen. Wenn Sie einen einzelnen Server ausgewählt haben, wählen Sie die zu prüfenden Laufwerke oder Ordner aus und klicken Sie auf Optionen. Dateien und Ordner werden in der Verzeichnisstruktur mit verschiedenen Symbolen angezeigt.