Client-Handbuch für Symantec Endpoint Protection und Symantec Network Access Control

Client-Handbuch für Symantec Endpoint Protection und Symantec Network Access Control

Client-Handbuch für Symantec Endpoint Protection und Symantec Network Access Control Die im vorliegenden Handbuch beschriebene Software wird im Rahmen einer Lizenzvereinbarung zur Verfügung gestellt und darf nur im Einklang mit den Bestimmungen dieser Vereinbarung verwendet werden. Dokumentationsversion 11.00.02.01.00 Rechtlicher Hinweis Copyright 2008 Symantec Corporation. Alle Rechte vorbehalten. Symantec, das Symantec Logo, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton und TruScan sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer verbundenen Unternehmen in den USA und anderen Ländern. Andere Namen sind möglicherweise Marken ihrer Hersteller. Dieses Symantec-Produkt kann Software von Drittanbietern enthalten. Symantec ist verpflichtet, auf den jeweiligen Drittanbieter hinzuweisen ("Drittanbieterprogramme"). Manche Software anderer Hersteller ist unter Open Source- oder kostenlosen Lizenzen verfügbar. Die zu dieser Software gehörige Lizenzvereinbarung ändert nichts an den Rechten und Pflichten, die möglicherweise gemäß diesen Open Source- oder kostenlosen Lizenzen für Sie gelten. Weitere Informationen zur Software anderer Hersteller finden Sie im Anhang "Rechtshinweise zu anderen Herstellern" zu diesem Dokument oder in der Datei TPIP ReadMe, die mit diesem Symantec-Produkt geliefert wird. Das in diesem Dokument beschriebene Produkt wird lizenziert vertrieben. Die Lizenzen beschränken die Verwendung, Vervielfältigung, Verteilung und Dekompilierung bzw. Rückentwicklung des Produkts. Kein Teil dieses Dokuments darf ohne vorherige schriftliche Zustimmung von Symantec Corporation und ihrer Lizenzgeber, sofern vorhanden, in irgendeiner Form reproduziert werden. DIE DOKUMENTATION WIRD OHNE MÄNGELGEWÄHR BEREITGESTELLT. ALLE AUSDRÜCKLICHEN UND STILLSCHWEIGENDEN VORAUSSETZUNGEN, DARSTELLUNGEN UND GEWÄHRLEISTUNGEN, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER NICHT-BEEINTRÄCHTIGUNG, SIND AUSGESCHLOSSEN, AUSSER IN DEM UMFANG, IN DEM SOLCHE HAFTUNGSAUSSCHLÜSSE ALS NICHT RECHTSGÜLTIG ANGESEHEN WERDEN. SYMANTEC CORPORATION IST NICHT FÜR BEILÄUFIG ENTSTANDENE SCHÄDEN ODER FÜR FOLGESCHÄDEN VERANTWORTLICH, DIE IN VERBINDUNG MIT DER ERWORBENEN LEISTUNG ODER DER VERWENDUNG DIESER DOKUMENTATION STEHEN. DIE IN DIESER DOKUMENTATION ENTHALTENEN INFORMATIONEN KÖNNEN JEDERZEIT OHNE ANKÜNDIGUNG GEÄNDERT WERDEN. Die lizenzierte Software und die Dokumentation gelten als kommerzielle Computer-Software gemäß FAR 12.212 und unterliegen eingeschränkten Rechten, definiert in FAR Section 52.227-19 "Commercial Computer Software - Restricted Rights" bzw. DFARS 227.7202, "Rights in Commercial Computer Software or Commercial Computer Software

Documentation" und deren Nachfolgevorschriften. Jegliche Nutzung, Änderung, Reproduktion, Vorführung, Vorstellung oder Offenbarung der lizenzierten Software und Dokumentation durch die US-amerikanische Regierung darf ausschließlich in Übereinstimmung mit den Bedingungen dieser Vereinbarung erfolgen. Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.de

Inhalt Abschnitt 1 Einleitung... 11 Kapitel 1 Einführung in den Symantec-Client... 13 Allgemeines zum Client... 13 Allgemeines zu Clients und nicht verwalteten Clients... 14 Allgemeines zum Benachrichtigungsbereichssymbol... 14 Wie bleibt der Schutz Ihres Computers aktuell... 17 Allgemeines zur Rolle von Symantec Security Response... 18 Schutzaktualisierung auf verwalteten Clients... 19 Schutzaktualisierung auf nicht verwalteten Clients... 19 Allgemeines zu Sicherheitsrichtlinien... 19 Aktualisieren der Sicherheitsrichtlinien... 20 Weitere Informationsquellen... 20 Zugriff auf die Online-Hilfe... 20 Zugriff auf die Symantec Security Response-Website... 21 Kapitel 2 Reaktion auf den Client... 23 Allgemeines zur Client-Kommunikation... 23 Aktionen zur Behandlung infizierter Dateien... 24 Allgemeines zu virenbedingten Schäden... 26 Allgemeines zu Benachrichtigungen und Warnungen... 26 Reaktion auf Benachrichtigungen zu Anwendungen... 26 Reaktion auf Sicherheitswarnungen... 29 Reaktion auf Network Access Control-Benachrichtigungen... 30 Kapitel 3 Verwalten des Clients... 31 Allgemeines zu LiveUpdate... 31 Ausführen von LiveUpdate in geplanten Abständen... 32 LiveUpdate manuell ausführen... 33 Prüfen der Sicherheit Ihres Computers... 33 Informationen zu Standorten... 34 Standort ändern... 34 Allgemeines zum Manipulationsschutz... 35

6 Inhalt Manipulationsschutz aktivieren, deaktivieren und konfigurieren... 36 Abschnitt 2 Symantec Endpoint Protection... 37 Kapitel 4 Einführung in Symantec Endpoint Protection... 39 Allgemeines zu Symantec Endpoint Protection... 39 Wie Symantec Endpoint Protection Ihren Computer schützt... 40 Allgemeines zu Virenschutz und Antispyware-Schutz... 40 Allgemeines zum Netzwerkbedrohungsschutz... 41 Informationen zum proaktiven Bedrohungsschutz... 41 Kapitel 5 Kapitel 6 Grundlagen zum Symantec Endpoint Protection-Client... 43 Informationen zu Viren und Sicherheitsrisiken... 43 Reaktion des Client auf Viren und Sicherheitsrisiken... 46 Schutzkomponenten aktivieren und deaktivieren... 48 Virenschutz und Antispyware-Schutz aktivieren und deaktivieren... 48 Netzwerkbedrohungsschutz aktivieren und deaktivieren... 50 Aktivieren und Deaktivieren des proaktiven Bedrohungsschutzes... 51 Verwenden des Client mit Windows Security Center... 51 Unterbrechung und Verschiebung von Prüfungen... 52 Verwalten des Virenschutzes und Antispyware-Schutzes... 57 Allgemeines zum Virenschutz und Antispyware-Schutz... 58 Allgemeines zum Prüfen von Dateien... 58 Wenn der Symantec Endpoint Protection-Client einen Virus oder ein Sicherheitsrisiko erkennt... 61 Allgemeines zu Auto-Protect... 62 Allgemeines zu Auto-Protect und Sicherheitsrisiken... 62 Auto-Protect und E-Mail-Prüfung... 63 Deaktivieren der Verarbeitung verschlüsselter E-Mail-Verbindungen durch Auto-Protect... 65 Anzeigen der Auto-Protect-Prüfungsstatistik... 66 Risikoliste anzeigen... 66 Konfigurieren von Auto-Protect zur Feststellung von Dateitypen... 66

Inhalt 7 Aktivieren und Deaktivieren der Sicherheitsrisikoprüfung und -blockierung in Auto-Protect... 67 Konfigurieren der Netzwerkprüfeinstellungen... 68 Virenschutz- und Antispyware-Prüfungen... 70 Vorgehensweise von Symantec Endpoint Protection zur Erkennung von Viren und Sicherheitsrisiken... 71 Informationen zu Definitionsdateien... 72 Allgemeines zur Prüfung komprimierter Dateien... 73 Starten von Prüfungen auf Anforderung... 73 Konfigurieren der Virenschutz- und Antispyware-Prüfung... 74 Erstellen von geplanten Prüfungen... 74 Erstellen von Prüfungen auf Anforderung und Startprüfungen... 77 Bearbeiten und Löschen von Startprüfungen, benutzerdefinierten Prüfungen und geplanten Prüfungen... 80 Interpretieren von Prüfergebnissen... 80 Allgemeines zur Reaktion auf Prüfergebnisse oder Auto-Protect-Ergebnisse... 81 Senden von Informationen über Virenschutz- und Antispyware-Prüfungen an Symantec Security Response... 83 Konfigurieren von Aktionen für Viren und Sicherheitsrisiken... 84 Tipps für die Auswahl von zweiten Aktionen für Viren... 87 Tipps für die Auswahl von Ersatzaktionen für Sicherheitsrisiken... 88 Allgemeines zur Bewertung von Sicherheitsrisiken... 88 Konfigurieren von Benachrichtigungen für Viren und Sicherheitsrisiken... 89 Konfigurieren von zentralen Ausnahmen für Virenschutz und Antispyware-Prüfungen... 93 Allgemeines zum Quarantänebereich... 95 Allgemeines zu infizierten Dateien in der Quarantäne... 95 Allgemeines zur Behandlung infizierter Dateien in der Quarantäne... 96 Allgemeines zum Bearbeiten der durch Sicherheitsrisiken infizierten Dateien... 97 Umgang mit isolierten Dokumenten... 97 Dateien und Dateiinformationen im Quarantänebereich anzeigen... 98 Dateien im Quarantänebereich erneut auf Viren prüfen... 98 Wiederherstellen von Dateien ist am ursprünglichen Ablageort nicht möglich... 99 Löschen von Backup-Objekten... 99 Dateien aus dem Quarantänebereich löschen... 99

8 Inhalt Dateien automatisch aus der Quarantäne löschen... 100 Potenziell infizierte Dateien an Symantec Security Response senden... 101 Kapitel 7 Verwalten des proaktiven Bedrohungsschutzes... 103 Proaktive TruScan-Bedrohungsprüfungen... 103 Prozesse und Anwendungen, die durch proaktive TruScan-Bedrohungsprüfungen überprüft werden... 104 Allgemeines zu Ausnahmen für proaktive TruScan-Bedrohungsprüfungen... 105 Allgemeines zu den von der proaktiven TruScan-Bedrohungsprüfung erkannten Prozessen... 106 Allgemeines zur Behandlung von Fehlerkennungen... 107 Konfigurieren, wie oft proaktive TruScan-Bedrohungsprüfungen ausgeführt werden sollen... 108 Verwalten der proaktiven TruScan-Bedrohungserkennung... 108 Einstellen der Aktion für die Erkennung kommerzieller Anwendungen... 110 Aktionen und Empfindlichkeitsstufen für das Erkennen von Trojanischen Pferden, Würmern und Keyloggern angeben... 110 Angeben der Prozesstypen, die proaktive TruScan-Bedrohungsprüfungen erkennen... 112 Konfigurieren von Benachrichtigungen über die von der proaktiven TruScan-Bedrohungsprüfung gefundenen Elemente... 112 Senden von Informationen zu TruScan-Bedrohungsprüfungen an Symantec Security Response... 113 Konfigurieren einer zentralen Ausnahme für proaktive TruScan-Bedrohungsprüfungen... 114 Kapitel 8 Verwalten des Netzwerkbedrohungsschutzes... 117 Verwalten des Netzwerkbedrohungsschutzes... 117 Wie der Client vor Netzwerkangriffen schützt... 118 Anzeigen von Netzwerkaktivität... 122 Konfigurieren der Firewall... 124 Allgemeines zu Firewall-Regeln... 125 Hinzufügen von Regeln... 129 Ändern der Reihenfolge von Regeln... 130 Regeln aktivieren und deaktivieren... 131 Regeln exportieren und importieren... 131 Regeln bearbeiten und löschen... 132

Inhalt 9 Aktivieren von Einstellungen für Datenverkehr und Web-Browsing im Stealth-Modus... 133 Aktivieren intelligenter Datenverkehrfilter... 135 Aktivieren der Netzwerkdatei- und Druckerfreigabe... 136 Blockieren des Datenverkehrs... 138 Konfigurieren der Intrusion Prevention-Einstellungen... 139 Konfigurieren der Intrusion Prevention-Benachrichtigungen... 140 Blockieren angreifender Computer und Aufhebung der Blockierung... 141 Konfigurieren der anwendungsspezifischen Einstellungen... 142 Entfernen der Einschränkungen aus einer Anwendung... 144 Abschnitt 3 Symantec Network Access Control... 147 Kapitel 9 Grundlagen zu Symantec Network Access Control... 149 Allgemeines zu Symantec Network Access Control... 149 Wie Symantec Network Access Control funktioniert... 150 Allgemeines zum Aktualisieren der Host-Integritätsrichtlinie... 151 Ausführen einer Host-Integritätsprüfung... 151 Bereinigen Ihres Computers... 152 Anzeigen der Symantec Network Access-Protokolle... 152 Allgemeines zur Durchsetzung... 153 Konfigurieren des Clients auf 802.1x-Authentifizierung... 154 Erneutes Authentifizieren Ihres Computers... 157 Abschnitt 4 Überwachung und Protokollierung... 159 Kapitel 10 Protokolle verwenden und verwalten... 161 Allgemeines zu Protokollen... 161 Anzeigen der Protokolle und Protokolldetails... 168 Filtern der Protokollansichten... 169 Verwalten von Protokollgröße... 172 Konfigurieren der Aufbewahrungzeit für die Virenschutz- und Antispyware-Schutz-Protokolleinträge und die Protokolleinträge des proaktiven Bedrohungsschutzes... 172 Konfigurieren der Größe der Netzwerkbedrohungsschutz- und Client-Management-Protokolle... 172

10 Inhalt Konfigurieren der Aufbewahrungsdauer für die Netzwerkbedrohungsschutz- und Client-Management-Protokolleinträge... 173 Allgemeines zum Löschen des Inhalts des Virenschutz- und Antispyware-Systemprotokolls... 173 Löschen des Inhalts der Netzwerkbedrohungsschutz-Protokolle und der Client-Verwaltungsprotokolle... 174 Isolieren von Risiken und Bedrohungen im Risikoprotokoll und Bedrohungsprotokoll... 174 Verwenden der Netzwerkbedrohungsschutz- und Client-Management-Protokolle... 175 Aktualisieren der Netzwerkbedrohungsschutz-Protokolle und der Client-Verwaltungsprotokolle... 176 Aktivieren des Paketprotokolls... 176 Beenden einer aktiven Reaktion... 176 Rückverfolgen protokollierter Ereignisse zu ihrer Quelle... 177 Verwenden der Client-Verwaltungsprotokolle mit Symantec Network Access Control... 178 Exportieren von Protokolldaten... 179 Index... 181

Abschnitt 1 Einleitung Einführung in den Symantec-Client Reaktion auf den Client Verwalten des Clients

12

Kapitel 1 Einführung in den Symantec-Client In diesem Kapitel werden folgende Themen behandelt: Allgemeines zum Client Wie bleibt der Schutz Ihres Computers aktuell Allgemeines zu Sicherheitsrichtlinien Weitere Informationsquellen Allgemeines zum Client Symantec bietet zwei Endpoint Security-Produkte an, die gemeinsam oder separat verwendet werden können: Symantec Endpoint Protection und Symantec Network Access Control. Sie oder Ihr Administrator können entweder ein oder beide Symantec-Client-Softwareprodukte auf Ihrem Computer installieren. Wenn Ihr Administrator den Client installiert, dann legt er die Produkte fest, die auf dem Client aktiviert werden können. Hinweis: Wenn Sie oder Ihr Administrator nur eines dieser Produkte auf Ihrem Computer installiert haben, erscheint der Name des Produkts in der Titelleiste. Wenn beide Schutzprogramme aktiviert sind, wird Symantec Endpoint Protection in der Titelleiste angezeigt. Symantec Endpoint Protection schützt Ihren Computer vor Bedrohungen aus dem Internet und Sicherheitsrisiken. Es kann die folgenden Aktionen durchführen: Prüfen des Computers auf Viren, bekannte Bedrohungen und Sicherheitsrisiken.

14 Einführung in den Symantec-Client Allgemeines zum Client Überwachen von Ports auf bekannte Angriffssignaturen. Überwachen von Programmen auf Ihrem Computer auf verdächtiges Verhalten. Siehe "Allgemeines zu Symantec Endpoint Protection" auf Seite 39. Symantec Network Access Control stellt sicher, dass die Sicherheitseinstellungen Ihres Computers den Netzwerkrichtlinien entsprechen. Die Sicherheitseinstellungen können Software, Software-Konfigurationseinstellungen, Signaturdateien, Patches und andere Elemente umfassen. Siehe "Allgemeines zu Symantec Network Access Control" auf Seite 149. Allgemeines zu Clients und nicht verwalteten Clients Der Administrator Ihres Symantec-Produkts kann den Client entweder als nicht verwalteten Client oder Administrator-verwalteten Client installieren. Ein nicht verwalteter Client bedeutet, dass kein Administrator die Einstellungen und Aktionen im Symantec-Client steuert. In einem nicht verwalteten Client steuern Sie alle Einstellungen und Aktionen im Client. In einer verwalteten Umgebung verwendet Ihr Administrator Symantec Endpoint Protection Manager, um Ihren Client zu überwachen, zu konfigurieren und remote zu aktualisieren. Dieser Management-Server lässt Ihren Administrator den Umfang an Steuerungsmöglichkeiten festlegen, die Sie bezüglich der Einstellungen und Aktionen des Client haben. Ihr Client meldet sich beim Management-Server an, um festzustellen, ob neue Richtlinieninformationen oder Updates verfügbar sind. In einer verwalteten Umgebung können Sie möglicherweise nicht jede Client-Komponente anzeigen oder darauf zugreifen. Die sichtbaren Komponenten und die im Client verfügbaren Aktionen hängen von der Zugriffsstufe ab, die Ihr Administrator Ihrem Computer bewilligt hat. Die Verfügbarkeit der Client-Einstellungen sowie die Werte der Einstellungen selbst können sich regelmäßig ändern. Beispielsweise könnte sich eine Einstellung ändern, wenn Ihr Administrator die Richtlinie aktualisiert, die Ihren Clientschutz steuert. In allen Umgebungen erhalten Sie vom Client Meldungen mit Informationen und Fragen. Sie müssen auf diese Eingabeaufforderungen reagieren. Siehe "Allgemeines zur Client-Kommunikation" auf Seite 23. Allgemeines zum Benachrichtigungsbereichssymbol Der Client verwendet ein Benachrichtigungsbereichssymbol, um anzugeben, ob der Client online oder offline ist und ob der Client-Computer ausreichend geschützt wird. Sie können mit der rechten Maustaste auf dieses Symbol klicken, um häufig verwendete Befehle anzuzeigen. Das Symbol befindet sich in der rechten unteren Ecke des Desktops.

Einführung in den Symantec-Client Allgemeines zum Client 15 Hinweis: Auf verwalteten Clients erscheint dieses Symbol nicht, wenn Ihr Administrator es als nicht verfügbar konfiguriert hat. Tabelle 1-1 zeigt die Symantec Endpoint Protection-Client-Statussymbole an. Tabelle 1-1 Symbol Symantec Endpoint Protection-Statussymbole Beschreibung Der Client wird ohne Probleme ausgeführt. Er ist entweder offline oder nicht verwaltet. Nicht verwaltete Clients sind nicht mit einem Management-Server verbunden. Der Client wird ohne Probleme ausgeführt. Er ist mit dem Management-Server verbunden und kommuniziert mit ihm. Alle Komponenten der Sicherheitsrichtlinie schützen den Computer. Das Symbol zeigt einen grünen Punkt an. Der Client hat ein geringfügiges Problem. Beispielsweise können die Virenschutzdefinitionen veraltet sein. Das Symbol zeigt einen gelben Punkt mit einem schwarzen Ausrufezeichen an. Der Client wird nicht ausgeführt, hat ein schwerwiegendes Problem oder eine seiner Sicherheitsrichtlinien-Schutzkomponenten ist deaktiviert. Beispielsweise kann der Viren- und Antispyware-Schutz deaktiviert sein. Das Symbol zeigt einen weißen Punkt mit roter Umrandung und einer roten Linie auf dem Punkt an. Tabelle 1-2 zeigt die Symantec Network Access Control-Client-Statussymbole an. Tabelle 1-2 Symbol Symantec Network Access Control-Statussymbole Beschreibung Der Client wird ohne Probleme ausgeführt, hat die Host-Integritätsprüfung bestanden und die Sicherheitsrichtlinie aktualisiert. Er ist entweder offline oder nicht verwaltet. Nicht verwaltete Clients sind nicht mit einem Management-Server verbunden. Der Client wird ohne Probleme ausgeführt, hat die Host-Integritätsprüfung bestanden und die Sicherheitsrichtlinie aktualisiert. Er kommuniziert mit dem Management-Server. Das Symbol zeigt einen grünen Punkt an. Die Host-Integritätsprüfung des Clients ist fehlgeschlagen oder die Sicherheitsrichtlinie wurde nicht aktualisiert. Das Symbol zeigt einen roten Punkt mit einem weißen "x." an

16 Einführung in den Symantec-Client Allgemeines zum Client Tabelle 1-3 Beschreibt die Befehle, die über das Benachrichtigungsbereichssymbol aktiviert werden können. Tabelle 1-3 Option Befehle im Benachrichtigungsbereichssymbol Beschreibung Symantec Endpoint Protection öffnen Öffnet das Hauptfenster Symantec Network Access Control öffnen Aktualisierungsrichtlinie Re-Authentifizierung Ruft die neuesten Sicherheitsrichtlinien vom Server ab Hinweis: Dieser Befehl ist nur auf verwalteten Clients verfügbar. Authentifiziert den Client-Computer neu. Hinweis: Dieser Befehl ist nur verfügbar, wenn Ihr Administrator den Client als integrierten 802.1x-Supplicanten konfiguriert. Dieser Befehl ist auf Symantec Endpoint Protection-Clients nicht verfügbar. Siehe "Erneutes Authentifizieren Ihres Computers" auf Seite 157. Symantec Endpoint Protection deaktivieren Deaktiviert die Schutzvorkehrungen, die Sie gemäß Ihren vom Administrator zugeteilten Rechten deaktivieren dürfen. Nach der Deaktivierung des Client-Schutzes wechselt der Befehl von "Deaktivieren" zu "Aktivieren". Sie können diesen Befehl auswählen, um den vollständigen Client-Schutz zu aktivieren. Aus- und Einblenden des Benachrichtigungsbereichssymbols Sie können das Benachrichtigungsbereichssymbol bei Bedarf ausblenden. Sie können es beispielsweise ausblenden, wenn Sie mehr Platz in der Windows-Task-Leiste benötigen. Hinweis: Auf verwalteten Clients können Sie das Benachrichtigungsbereichssymbol nicht ausblenden, wenn Ihr Administrator diese Funktion eingeschränkt hat.

Einführung in den Symantec-Client Wie bleibt der Schutz Ihres Computers aktuell 17 So blenden Sie das Benachrichtigungsbereichssymbol aus 1 Klicken Sie im Hauptfenster in der Seitenleiste auf "Einstellungen ändern". 2 Klicken Sie auf der Seite "Einstellungen ändern" neben "Client-Management" auf "Einstellungen konfigurieren". 3 Deaktivieren Sie im Dialogfeld "Client-Management" auf der Registerkarte "Allgemein" unter "Optionen anzeigen" das Kontrollkästchen "Symantec Security-Symbol im Benachrichtigungsbereich anzeigen". 4 Klicken Sie auf "OK". So zeigen Sie das Benachrichtigungsbereichssymbol an 1 Klicken Sie im Hauptfenster in der Seitenleiste auf "Einstellungen ändern". 2 Klicken Sie auf der Seite "Einstellungen ändern" neben "Client-Management" auf "Einstellungen konfigurieren". 3 Aktivieren Sie im Dialogfeld "Client-Management" auf der Registerkarte "Allgemein" unter "Optionen anzeigen" das Kontrollkästchen "Symantec Security-Symbol im Benachrichtigungsbereich anzeigen". 4 Klicken Sie auf "OK". Wie bleibt der Schutz Ihres Computers aktuell Die Experten von Symantec halten sich bezüglich des Auftretens von Computerviren immer auf dem aktuellsten Stand, um neue Viren identifizieren zu können. Sie überwachen auch komplexe Sicherheitsbedrohungen, Sicherheitsrisiken wie Spyware und andere Schwachstellen, die ausgenutzt werden können, wenn Ihr Computer eine Internetverbindung herstellt. Nachdem sie ein Risiko identifiziert haben, schreiben sie eine Signatur (Informationen über das Risiko) und speichern sie in einer Definitionsdatei. Diese Definitionsdatei enthält die notwendigen Informationen, um die Auswirkungen des Risikos zu erkennen, zu beseitigen und zu reparieren. Wenn Symantec Endpoint Protection Prüfungen auf Viren und Sicherheitsrisiken ausführt, sucht es nach diesen Signaturen. Andere Elemente, die Ihr Client aktuell halten muss, sind die Listen der zugelassenen und eingeschränkten Prozesse und Angriffssignaturen. Die Listen der Prozesse helfen den proaktiven TruScan-Bedrohungsprüfungen beim Identifizieren von verdächtigem Programmverhalten, selbst wenn der Client keine bestimmte Bedrohung erkennt. Angriffssignaturen enthalten die Informationen, mit denen das Intrusion Prevention-System Ihren Computer vor Eindringlingen schützt. Zusätzlich zu den Definitionsdateien, Prozesslisten und Angriffssignaturen muss der Client seine Komponenten gelegentlich aktualisieren. Solche Komponenten

18 Einführung in den Symantec-Client Wie bleibt der Schutz Ihres Computers aktuell können das Virenschutz- und Antispyware-Schutzmodul, das proaktive TruScan-Bedrohungsprüfmodul und die Netzwerkbedrohungsschutz-Firewall umfassen. Diese Updates können Reparaturen kleiner Defekte oder Produktverbesserungen enthalten. Symantec stellt regelmäßig aktualisierte Updates bereit. Definitionen werden täglich auf der Symantec Security Response-Website aktualisiert. Für LiveUpdate werden mindestens einmal wöchentlich und beim Auftreten neuer bösartiger Viren neue Definitionen bereitgestellt. Hinweis: Möglicherweise steuert Ihr Administrator die Intervalle der Definitionsaktualisierung Ihres Client. Siehe "Allgemeines zu LiveUpdate" auf Seite 31. Allgemeines zur Rolle von Symantec Security Response Die Kraft hinter Symantec Endpoint Protection heißt Symantec Security Response. Symantec Security Response-Forscher disassemblieren die gefundenen Viren und Sicherheitsrisiken, um deren individuelle Eigenschaften und Verhaltensweisen zu ermitteln. Mit diesen Informationen entwickeln sie die Definitionen, die Symantec-Produkte verwenden, um die Wirkungen der Viren und Sicherheitsrisiken zu erkennen, zu beseitigen und zu reparieren. Wegen der Geschwindigkeit, mit der neue Viren verbreitet werden, hat Symantec Security Response automatisierte Software-Analyse-Tools entwickelt. Durch Einsendung der infizierten Datei von Ihrem Computer an Symantec Security Response wird die Zeit von der Erkennung zur Analyse bis zum Gegenmittel erheblich reduziert. Symantec Security Response entwickelt und produziert Technologien, die Computer vor anderen Sicherheitsrisiken, z. B. Spyware, Adware und Hacker-Tools, schützen. Symantec Security Response pflegt eine Enzyklopädie, die detaillierte Informationen zu Viren und anderen Sicherheitsrisiken enthält. Falls erforderlich stellt die Enzyklopädie Informationen zur Risikoentfernung bereit. Die Enzyklopädie befindet sich auf der Symantec Security Response-Website unter folgender URL: http://www.symantec.com/de/de/security_response/

Einführung in den Symantec-Client Allgemeines zu Sicherheitsrichtlinien 19 Schutzaktualisierung auf verwalteten Clients Ihr Virenschutzadministrator legt fest, wie die Definitionen für Viren und Sicherheitsrisiken aktualisiert werden. Möglicherweise müssen Sie nichts tun, um neue Definitionen zu empfangen. Ihr Administrator kann die Funktion "LiveUpdate" in Symantec Endpoint Protection einrichten, um sicherzustellen, dass Ihr Viren- und Sicherheitsrisikoschutz aktuell bleibt. LiveUpdate erstellt eine Verbindung zu einem Computer, der die Updates speichert, stellt fest, ob Ihr Client aktualisiert werden muss, lädt die erforderlichen Dateien herunter und installiert sie. Der Computer, der die Updates speichert, kann ein Symantec Endpoint Protection Manager-Server in Ihrem Unternehmen sein. Es kann auch ein Symantec LiveUpdate-Server sein, auf den Sie über das Internet zugreifen. Siehe "Allgemeines zu LiveUpdate" auf Seite 31. Schutzaktualisierung auf nicht verwalteten Clients Der Schutz auf nicht verwalteten Clients wird nicht von Administratoren aktualisiert. Sie können die Software und die Definitionsdateien mithilfe von "LiveUpdate" aktualisieren. Wenn Ihr nicht verwalteter Client die "LiveUpdate"-Standardeinstellungen verwendet, sucht er über das Internet einmal wöchentlich auf einem Symantec-Server nach Updates. Sie können die Häufigkeit ändern, mit der "LiveUpdate" Updates abfragt. Sie können "LiveUpdate" auch manuell ausführen, wenn Sie von einem Virenausbruch oder einem anderen Sicherheitsrisikoausbruch erfahren. Siehe "Allgemeines zu LiveUpdate" auf Seite 31. Allgemeines zu Sicherheitsrichtlinien Sicherheitsrichtlinien sind eine Sammlung von Sicherheitseinstellungen, die der Administrator eines verwalteten Client konfiguriert und auf Clients implementiert. Sicherheitsrichtlinien legen die Einstellungen Ihres Client fest, einschließlich der Optionen, die Sie anzeigen und auf die Sie zugreifen können. Verwaltete Clients sind mit dem Management-Server verbunden und erhalten automatisch die neuesten Sicherheitsrichtlinien. Wenn Sie Schwierigkeiten beim Netzwerkzugriff haben, kann Ihr Administrator Sie anweisen, Ihre Sicherheitsrichtlinien manuell zu aktualisieren. Siehe "Aktualisieren der Sicherheitsrichtlinien" auf Seite 20.

20 Einführung in den Symantec-Client Weitere Informationsquellen Aktualisieren der Sicherheitsrichtlinien Die Einstellungen, die den Schutz auf dem Client steuern, werden auf dem Computer in einer Richtliniendatei gespeichert. Diese Sicherheitsrichtlinien-Datei wird normalerweise automatisch aktualisiert. Ihr Administrator könnte Sie jedoch anweisen, die Sicherheitsrichtlinien unter bestimmten Umständen manuell zu aktualisieren. Hinweis: Sie können das Systemprotokoll anzeigen, um zu überprüfen, ob die Richtlinien erfolgreich aktualisiert wurden. Siehe "Anzeigen der Protokolle und Protokolldetails" auf Seite 168. So aktualisieren Sie die Sicherheitsrichtlinien 1 Klicken Sie im Windows-Benachrichtigungbereich mit der rechten Maustaste auf das Client-Symbol. 2 Klicken Sie im Popup-Menü auf "Richtlinie aktualisieren". Weitere Informationsquellen Zugriff auf die Online-Hilfe Wenn Sie weitere Informationen benötigen, können Sie auf die Online-Hilfe zugreifen. Sie können zusätzliche Informationen über Viren und Sicherheitsrisiken auf der Symantec Security Response-Website unter folgendem URL beziehen: http://www.symantec.com/de/de/security_response/ Das Client-Online-Hilfesystem enthält allgemeine Informationen und Maßnahmen, die Ihnen helfen sollen, Ihren Computer vor Viren und Sicherheitsrisiken zu schützen. Hinweis: Ihr Administrator hat unter Umständen entschieden, die Hilfedateien nicht zu installieren. So rufen Sie die Online-Hilfe auf Führen Sie im Hauptfenster folgende Schritte aus: Klicken Sie auf "Hilfe & Support" und klicken Sie dann auf "Hilfethemen". Klicken Sie in einem der Dialogfelder auf "Hilfe".

Einführung in den Symantec-Client Weitere Informationsquellen 21 Die kontextbezogene Hilfe steht nur in Fenstern zur Verfügung, in denen Sie Aktionen ausführen können. Drücken Sie in einem beliebigen Fenster die Taste "F1". Wenn für dieses Fenster kontextbezogene Hilfe vorhanden ist, wird sie angezeigt. Wenn keine kontextbezogene Hilfe verfügbar ist, erscheint das vollständige Hilfesystem. Zugriff auf die Symantec Security Response-Website Wenn Sie mit dem Internet verbunden sind, können Sie die Symantec Security Response-Website besuchen und Folgendes anzeigen: Die Virenenzyklopädie, die Informationen zu allen bekannten Viren enthält Informationen zu Scherzviren (Hoaxes) White Papers zu Viren und Virenbedrohungen im Allgemeinen Allgemeine und detaillierte Informationen zu Sicherheitsrisiken Um auf die Symantec Security Response-Website zuzugreifen, verwenden Sie den folgenden URL: Geben Sie in Ihrem Internet-Browser folgende Web-Adresse ein: http://www.symantec.com/de/de/security_response/

22 Einführung in den Symantec-Client Weitere Informationsquellen

Kapitel 2 Reaktion auf den Client In diesem Kapitel werden folgende Themen behandelt: Allgemeines zur Client-Kommunikation Aktionen zur Behandlung infizierter Dateien Allgemeines zu Benachrichtigungen und Warnungen Allgemeines zur Client-Kommunikation Der Client arbeitet im Hintergrund, um Ihren Computer vor bösartigen Aktivitäten zu schützen. Manchmal muss der Client Sie über eine Aktivität benachrichtigen oder Sie zu einem Feedback auffordern. Wenn Sie Symantec Endpoint Protection auf dem Client aktiviert haben, treten ggf. folgende Typen der Clientinteraktion auf: Viren- oder Sicherheitsrisikoerkennung Wenn Auto-Protect oder eine Prüfung einen Virus oder ein Sicherheitsrisiko erkennt, erscheint das Symantec Endpoint Protection-Dialogfeld "Gefundene Elemente" mit Einzelheiten über die Infektion. Das Dialogfeld zeigt auch die Aktion an, die Symantec Endpoint Protection am Risiko durchführte. Normalerweise ist es nicht nötig, weitere Aktionen vorzunehmen, als die Aktivität zu überprüfen und das Dialogfeld zu schließen. Sie können bei Bedarf jedoch eingreifen. Siehe "Aktionen zur Behandlung infizierter Dateien" auf Seite 24.

24 Reaktion auf den Client Aktionen zur Behandlung infizierter Dateien Anwendungsbezogene Benachrichtigungen Wenn ein Programm auf Ihrem Computer versucht, auf ein Netzwerk zuzugreifen, fordert Symantec Endpoint Protection Sie möglicherweise auf, die Erlaubnis dazu zu gewähren oder zu verweigern. Siehe "Reaktion auf Benachrichtigungen zu Anwendungen" auf Seite 26. Sicherheitswarnungen Symantec Endpoint Protection informiert Sie, wenn es ein Programm blockiert, oder wenn es einen Angriff gegen Ihren Computer erkennt. Siehe "Reaktion auf Sicherheitswarnungen" auf Seite 29. Wenn Sie Symantec Network Access Control auf dem Client aktiviert haben, sehen Sie möglicherweise eine Network Access Control-Meldung. Diese Meldung erscheint, wenn Ihre Sicherheitseinstellungen nicht den Standards entsprechen, die Ihr Administrator konfiguriert hat. Siehe "Reaktion auf Network Access Control-Benachrichtigungen" auf Seite 30. Aktionen zur Behandlung infizierter Dateien Standardmäßig wird Auto-Protect kontinuierlich auf Ihrem Computer ausgeführt. Bei nicht verwalteten Clients wird beim Starten des Computers ein automatisch generierter Active Scan ausgeführt. Für verwaltete Clients konfiguriert der Administrator gewöhnlich eine vollständige Prüfung, die mindestens einmal wöchentlich ausgeführt wird. Auto-Protect zeigt bei einer positiven Erkennung ein Ergebnisdialogfeld an. Während der Ausführung wird ein Prüfungsdialogfeld eingeblendet, in dem die Ergebnisse der Prüfung angezeigt werden. Bei verwalteten Clients kann der Administrator diese Benachrichtigungstypen deaktivieren. Wenn Sie diese Benachrichtigungstypen erhalten, müssen Sie reagieren und bezüglich der infizierten Datei aktiv werden. Die Standardoption für Auto-Protect und alle Prüfungstypen ist, beim Erkennen eines Virus die infizierte Datei zu bereinigen. Wenn der Client die Datei nicht bereinigen kann, protokolliert er den Fehler und verschiebt die infizierte Datei in die Quarantäne. Die lokale Quarantäne ist ein spezieller Ort, der für infizierte Dateien und damit verbundene Systemauswirkungen reserviert ist. Bei Sicherheitsrisiken isoliert der Client die infizierte Dateien und entfernt oder repariert die damit verbundenen Probleme. Der Client protokolliert die Erkennung, wenn er die Datei nicht reparieren kann.

Reaktion auf den Client Aktionen zur Behandlung infizierter Dateien 25 Hinweis: In der Quarantäne kann sich das Risiko nicht verbreiten. Wenn ein Client eine Datei in die Quarantäne verschiebt, haben Sie keinen Zugriff mehr auf die Datei. Nach der Reparatur einer virusinfizierten Datei durch Symantec Endpoint Protection brauchen Sie keine weiteren Aktionen zum Schutz Ihres Computers ausführen. Nach der Isolierung und anschließender Entfernung oder Reparatur einer von einem Sicherheitsrisiko befallenen Datei brauchen Sie keine weiteren Aktionen zum Schutz Ihres Computers ausführen. Möglicherweise sind aber gewisse Folgeaktionen erforderlich, beispielsweise wenn Sie die bereinigte Datei löschen möchten, um sie durch die ursprüngliche, nicht infizierte Version zu ersetzen. Sie können die Benachrichtigungen verwenden, um direkt zu handeln. Sie können die Protokollansicht oder die Quarantäne auch verwenden, um später zu handeln. Siehe "Interpretieren von Prüfergebnissen" auf Seite 80. Siehe "Isolieren von Risiken und Bedrohungen im Risikoprotokoll und Bedrohungsprotokoll" auf Seite 174. Siehe "Allgemeines zum Quarantänebereich" auf Seite 95. So führen Sie eine Aktion an einer infizierten Datei aus 1 Führen Sie eine der folgenden Aktionen aus: Wählen Sie im Prüfstatusdialogfeld die Dateien aus, die nach Abschluss der Prüfung angezeigt werden sollen. Wählen Sie im Prüfergebnisdialogfeld die gewünschten Dateien. Im Client in der Seitenleiste klicken Sie auf "Protokolle anzeigen" und dann neben "Virenschutz und Antispyware-Schutz" auf "Protokolle anzeigen". Wählen Sie in der Protokollansicht die gewünschten Dateien. 2 Klicken Sie mit der rechten Maustaste auf die Datei(en) und wählen Sie eine der folgenden Optionen. Beachten Sie, dass der Client in einigen Fällen die ausgewählte Aktion möglicherweise nicht ausführen kann. Durchgeführte Aktion rückgängig machen: Stellt den Zustand vor der ausgeführten Aktion wieder her. Bereinigen (nur Viren): Entfernt den Virus aus der Datei. Dauerhaft löschen: Löscht die infizierte Datei und alle anderen betroffenen Elemente. Verwenden Sie diese Aktion bei Sicherheitsrisiken mit Vorsicht. In manchen Fällen kann das Löschen eines Sicherheitsrisikos dazu führen, dass Anwendungen ihre Funktionalität verlieren.

26 Reaktion auf den Client Allgemeines zu Benachrichtigungen und Warnungen In Quarantäne: Platziert die infizierten Dateien in die Quarantäne. Bei Sicherheitsrisiken versucht der Client auch, die Auswirkungen zu entfernen oder zu reparieren. Eigenschaften: Zeigt Informationen über den Virus bzw. das Sicherheitsrisiko an. Allgemeines zu virenbedingten Schäden Wenn Symantec Endpoint Protection eine Infektion gleich nach dem Auftreten findet, kann die infizierte Datei nach dem Bereinigen noch voll funktionsfähig sein. In einigen Fällen jedoch bereinigt Symantec Endpoint Protection eine infizierte Datei, die durch den Virus bereits beschädigt wurde. Beispiel: Symantec Endpoint Protection findet möglicherweise einen Virus in einer Dokumentdatei. Symantec Endpoint Protection entfernt den Virus zwar, kann den Schaden in der infizierten Datei aber nicht mehr reparieren. Allgemeines zu Benachrichtigungen und Warnungen Es können verschiedene Benachrichtigungen auf Ihrem Computer angezeigt werden. Diese Benachrichtigungen beschreiben normalerweise eine Situation und zeigen an, wie der Client versucht, ein Problem zu lösen. Es können folgende Benachrichtigungen angezeigt werden: Anwendungsbezogene Benachrichtigungen Sicherheitswarnungen Reaktion auf Benachrichtigungen zu Anwendungen Es können Benachrichtigungen angezeigt werden, in denen Sie gefragt werden, ob eine Anwendung oder ein Dienst ausgeführt werden soll. Diese Benachrichtigungen erscheinen aus folgenden Gründen: Die Anwendung versucht, auf Ihre Netzwerkverbindung zuzugreifen. Eine Anwendung, die Zugriff auf Ihre Netzwerkverbindung hat, wurde aktualisiert. Auf dem Client wurde der Benutzer mit der Funktion zur schnellen Benutzerumschaltung gewechselt. Ihr Administrator hat die Client-Software aktualisiert. Es könnte folgende Meldung angezeigt werden, wenn eine Anwendung oder ein Dienst versucht, auf Ihren Computer zuzugreifen:

Reaktion auf den Client Allgemeines zu Benachrichtigungen und Warnungen 27 Internet Explorer (IEXPLORE.EXE) versucht über Remote-Port 80 (HTTP - World Wide Web) eine Verbindung mit www.symante Möchten Sie diesem Programm erlauben, auf das Netzwerk zuzugreifen? So reagieren Sie auf Anwendungen, die versuchen auf das Netzwerk zuzugreifen 1 Im Meldungsfeld klicken Sie auf "Details". Sie können weitere Informationen über die Verbindung und die Anwendung, z. B. den Dateinamen, die Versionsnummer und den Pfadnamen, anzeigen. 2 Wenn der Client Ihre Auswahl für diese Anwendung speichern soll, klicken Sie auf "Antwort behalten und Frage für diese Anwendung nicht nochmals anzeigen". 3 Führen Sie einen der folgenden Schritte aus: Um der Anwendung den Zugriff auf die Netzwerkverbindung zu gewähren, klicken Sie auf "Ja". Klicken Sie nur auf "Ja", wenn Sie die Anwendung erkennen und sicher sind, dass sie auf die Netzwerkverbindung zugreifen darf. Wenn Sie nicht sicher sind, ob die Anwendung Zugriff auf die Netzwerkverbindung erhalten soll, fragen Sie Ihren Administrator. Um der Anwendung den Zugriff auf die Netzwerkverbindung zu verweigern, klicken Sie auf "Nein". Tabelle 2-1 zeigt, wie Sie auf Benachrichtigungen reagieren können, in denen Sie gefragt werden, ob Sie eine Anwendung zulassen oder blockieren möchten. Tabelle 2-1 Anwendungszulassungsbenachrichtigungen Auswahl Ja Ja Nein Nein "Antwort behalten..." aktiviert? Ja Nein Ja Nein Client-Aktion Lässt die Anwendung zu und fragt nicht wieder. Lässt die Anwendung zu und fragt Sie jedes Mal. Blockiert die Anwendung und fragt Sie nicht wieder. Blockiert die Anwendung und fragt Sie jedes Mal. Sie können die Aktion der Anwendung im Feld "Ausgeführte Anwendungen" oder in der Liste "Anwendungen" ändern. Siehe "Konfigurieren der anwendungsspezifischen Einstellungen" auf Seite 142.

28 Reaktion auf den Client Allgemeines zu Benachrichtigungen und Warnungen Benachrichtigung zu geänderten Anwendungen Gelegentlich werden Meldungen zu geänderten Anwendungen angezeigt. "Telnet-Programm wurde seit dem letzten Aufruf geändert. Dies könnte an einer kürzlichen Aktualisierung liegen. Möchten Sie den Zugriff auf das Netzwerk zulassen?" Die in der Meldung genannte Anwendung versucht, auf Ihre Netzwerkverbindung zuzugreifen. Der Client erkennt den Namen der Anwendung, aber die Anwendung wurde seit dem letzten Aufruf verändert. Wahrscheinlich haben Sie das Produkt vor kurzem aktualisiert. Jede neue Produktversion verwendet eine andere Dateifingerabdruckdatei als die vorherige Version. Der Client erkennt, dass die Dateifingerabdruckdatei geändert wurde. Benachrichtigungen bei schneller Benutzerumschaltung Wenn Sie Windows Vista/XP verwenden, können Sie eine der folgenden Benachrichtigungen sehen: "Symantec Endpoint Protection ist nicht in der Lage, die Benutzeroberfläche anzuzeigen. Wenn Sie die Windows XP-Funktion zur schnellen Benutzerumschaltung verwenden, sollten Sie sicherstellen, dass alle weiteren Benutzer von Windows abgemeldet wurden Versuchen Sie danach, sich von Windows abzumelden und wieder anzumelden. Wenn Sie Terminaldienste verwenden, wird die Benutzeroberfläche nicht unterstützt." oder Symantec Endpoint Protection wurde nicht ausgeführt, wird aber gestartet. Jedoch ist Symantec Endpoint Protection nicht in der Lage, die Benutzeroberfläche anzuzeigen. Wenn Sie die Windows XP-Funktion zur schnellen Benutzerumschaltung verwenden, sollten Sie sicherstellen, dass alle weiteren Benutzer von Windows abgemeldet wurden Versuchen Sie danach, sich von Windows abzumelden und wieder anzumelden. Wenn Sie Terminaldienste verwenden, wird die Benutzeroberfläche nicht unterstützt." Die schnelle Benutzerumschaltung ist eine Windows-Funktion, mit der Sie schnell zwischen Benutzern wechseln können, ohne dass Sie sich vom Computer abmelden müssen. Mehrere Benutzer können einen Computer gleichzeitig nutzen und sich abwechseln, ohne die laufenden Anwendungen schließen zu müssen. Eines dieser Fenster erscheint, wenn Sie einen Benutzerwechsel mithilfe der Funktion zur schnellen Benutzerumschaltung durchführen.

Reaktion auf den Client Allgemeines zu Benachrichtigungen und Warnungen 29 Befolgen Sie die Anweisungen im Dialogfeld, um auf die Meldung zu reagieren. Reaktion auf automatische Update-Benachrichtigungen Wenn die Client-Software automatisch aktualisiert wird, können Sie die folgende Benachrichtigung sehen: Symantec Endpoint Protection hat erkannt, dass eine neuere Version der Software von Symantec Endpoint Protection Manager verfügbar ist. Soll sie jetzt heruntergeladen werden? So reagieren Sie auf eine Benachrichtigungen zu automatischen Aktualisierungen 1 Führen Sie eine der folgenden Aktionen aus: Um die Software sofort herunterzuladen, klicken Sie auf "Jetzt herunterladen". Um nach einer bestimmen Zeit erinnert zu werden, klicken Sie auf "Später erinnern". 2 Wenn eine Meldung angezeigt wird, nachdem der Installationsprozess für die aktualisierte Software begonnen hat, klicken Sie auf "OK". Reaktion auf Sicherheitswarnungen Sicherheitswarnungen zeigen eine Benachrichtigung mithilfe des Benachrichtigungbereichssymbols an. Sie brauchen die Meldung nur mit "OK" zu bestätigen. Die Benachrichtigungen erscheinen aus folgenden Gründen: Meldungen zu blockierten Anwendungen Eine von Ihrem Computer gestartete Anwendung wurde entsprechend den vom Administrator eingerichteten Regeln blockiert. Beispielsweise können Sie die folgende Meldung sehen: Anwendung Internet Explorer wurde blockiert. Dateiname ist IEXPLORE.EXE. Diese Benachrichtigungen weisen darauf hin, dass Ihr Client den Datenverkehr blockiert, den Sie als nicht vertrauenswürdig eingestuft haben. Wenn der Client so konfiguriert wurde, dass der gesamte Datenverkehr blockiert wird, erscheinen diese Benachrichtigungen häufig. Wenn Ihr Client so konfiguriert wurde, dass aller Datenverkehr zugelassen wird, erscheinen diese Benachrichtigungen nicht.

30 Reaktion auf den Client Allgemeines zu Benachrichtigungen und Warnungen Unbefugte Zugriffsversuche Es wurde ein Angriff auf Ihren Computer durchgeführt und eine Warnung informiert Sie entweder darüber oder gibt Anweisungen, wie man damit umgehen sollte. Beispielsweise können Sie die folgende Meldung sehen: Datenverkehr von der IP-Adresse 192.168.0.3 wurde blockiert vom 10/10/2006 15:37:58 bis 10/10/2006 15:47:58. Port-Scan-Angriff protokolliert. Ihr Administrator kann Intrusion Prevention-Benachrichtigungen auf dem Client-Computer deaktiviert haben. Um zu sehen, welche Arten von Angriffen Ihr Client erkennt, können Sie den Client aktivieren, um Intrusion Prevention-Benachrichtigungen anzuzeigen. Siehe "Konfigurieren der Intrusion Prevention-Benachrichtigungen" auf Seite 140. Reaktion auf Network Access Control-Benachrichtigungen Wenn der Symantec Network Access Control-Client Sicherheitsrichtlinien nicht einhält, kann er möglicherweise nicht auf das Netzwerk zugreifen. In diesem Fall sehen Sie möglicherweise eine Meldung, die angibt, dass Symantec Enforcer Ihren Datenverkehr blockierte, weil die Host-Integritätsprüfung fehlschlug. Ihr Netzwerkadministrator könnte Text zu dieser Meldung hinzugefügt haben, der mögliche Fehlerbehebungsaktionen vorschlägt. Nach dem Schließen des Meldungsfelds öffnen Sie den Client, um zu sehen, ob er irgendwelche Verfahrensvorschläge, um den Netzwerkzugriff wiederzuherstellen, anzeigt. So reagieren Sie auf Network Access Control-Benachrichtigungen 1 Befolgen Sie alle vorgeschlagenen Verfahren, die im Meldungsfeld erscheinen. 2 Im Meldungsfeld klicken Sie auf "OK".

Kapitel 3 Verwalten des Clients In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu LiveUpdate Ausführen von LiveUpdate in geplanten Abständen LiveUpdate manuell ausführen Prüfen der Sicherheit Ihres Computers Informationen zu Standorten Standort ändern Allgemeines zum Manipulationsschutz Manipulationsschutz aktivieren, deaktivieren und konfigurieren Allgemeines zu LiveUpdate LiveUpdate bezieht Programm- und Schutz-Updates für Ihren Computer über Ihre Internet-Verbindung. Programm-Updates sind kleinere Verbesserungen an dem von Ihnen installierten Produkt. Im Unterschied dazu ist ein Programm-Upgrade eine neue Version des gesamten Produkts. Programm-Updates werden normalerweise erstellt, um die Betriebssystem- oder Hardware-Kompatibilität zu erweitern, ein Leistungsproblem oder Programmfehler zu beheben. Programm-Updates werden nach Bedarf herausgegeben. Hinweis: Bei manchen Programm-Updates kann es erforderlich sein, dass Sie Ihren Computer neu starten, nachdem Sie sie installiert haben.

32 Verwalten des Clients Ausführen von LiveUpdate in geplanten Abständen LiveUpdate automatisiert Programmaktualisierungsbfragen und -installationen. Es sucht und empfängt Dateien von einer Internet-Site, installiert sie und löscht dann die verbliebenen Dateien von Ihrem Computer. Schutz-Updates sind die Dateien, die Ihre Symantec-Produkte auf dem aktuellen Stand der neuesten Bedrohungsschutz-Technologie halten. Die Schutz-Updates, die Sie erhalten, hängen davon ab, welche Produkte auf Ihrem Computer installiert sind. Standardmäßig wird LiveUpdate automatisch in geplanten Abständen ausgeführt. Basierend auf Ihren Sicherheitseinstellungen können Sie "LiveUpdate" manuell ausführen. Möglicherweise können Sie LiveUpdate auch deaktivieren oder den LiveUpdate-Zeitplan ändern. Ausführen von LiveUpdate in geplanten Abständen Sie können einen Zeitplan erstellen, damit LiveUpdate automatisch in geplanten Abständen ausgeführt wird. So führen Sie LiveUpdate in geplanten Abständen aus 1 Klicken Sie im Client in der Seitenleiste auf "Einstellungen ändern". 2 Klicken Sie neben "Client-Management" auf "Einstellungen konfigurieren". 3 Im Dialogfeld "Client-Management-Einstellungen" klicken Sie auf "Geplante Updates". 4 Auf der Registerkarte "Geplante Updates" aktivieren Sie "Automatische Updates aktivieren". 5 Im Bereich "Intervall" wählen Sie aus, ob die Updates täglich, wöchentlich oder monatlich ausgeführt werden sollen. 6 Im Bereich "Wann" wählen Sie den Tag oder die Woche und die Uhrzeit aus, zu denen die Updates ausgeführt werden sollen. 7 Aktivieren Sie im Gruppenfeld "Optionen für verpasstes Ereignis" die Option "Versuch wiederholen", und geben Sie anschließend die Anzahl der Stunden oder Tage an, in/an denen der Client ein verpasstes Ereignis wiederholen sollte. 8 Aktivieren Sie im Gruppenfeld "Zufallsoptionen" die Option "Toleranzbereich für zufällige Bestimmung der Startzeit", und geben Sie anschließend die Anzahl der Stunden oder Tagen vor oder nach der geplanten Aktualisierung an. Dadurch wird eine Zeitspanne festgelegt, innerhalb der die Aktualisierung per Zufallsprinzip gestartet wird. 9 Klicken Sie auf "OK".

Verwalten des Clients LiveUpdate manuell ausführen 33 LiveUpdate manuell ausführen Sie können die Software- und Definitionsdateien mithilfe von "LiveUpdate" aktualisieren. LiveUpdate ruft die neuen Definitionsdateien von einer Symantec-Site ab und ersetzt dann die älteren Definitionsdateien. Symantec-Produkte benötigen stets aktuelle Informationen, um Ihren Computer vor neu auftretenden Bedrohungen zu schützen. Symantec stellt diese Informationen mithilfe von LiveUpdate zur Verfügung. So laden Sie Updates mit LiveUpdate herunter Klicken Sie im Client in der Seitenleiste auf LiveUpdate. LiveUpdate stellt eine Verbindung zum Symantec-Server her, überprüft auf verfügbare Updates, führt den Download aus und installiert sie automatisch. Prüfen der Sicherheit Ihres Computers Sie können prüfen, wie anfällig Ihr Computer für Bedrohungen und Viren ist. Diese Prüfung ist ein wichtiger Schritt, mit dem Sie sicherstellen können, dass Ihr Computer vor möglichen Gefahren geschützt ist. Die Ergebnisse können Ihnen helfen, die verschiedenen Optionen auf dem Client einzustellen, um Ihren Computer vor Angriffen zu schützen. So prüfen Sie die Sicherheit Ihres Computers 1 Klicken Sie im Client in der Seitenleiste auf "Status". 2 Neben Netzwerkbedrohungsschutz klicken Sie auf "Optionen > Netzwerkaktivität anzeigen". 3 Klicken Sie auf "Extras > Netzwerksicherheit prüfen". 4 Auf der Symantec Security Check-Website haben Sie folgende Möglichkeiten: Um auf Online-Bedrohungen zu prüfen, klicken Sie auf "Sicherheitsprüfung". Um auf Viren zu prüfen, klicken Sie auf "Virenerkennung". 5 Klicken Sie im Dialogfeld "Endbenutzer-Lizenzvereinbarung" auf "Ich akzeptiere" und dann auf "Weiter". Wenn Sie im Schritt 4 "Virenerkennung" gewählt haben, klicken Sie auf "Ich stimme zu" und klicken Sie dann auf "Weiter". Wenn Sie die Prüfung beenden möchten, klicken Sie auf "Anhalten". 6 Wenn die Prüfung abgeschlossen ist, schließen Sie das Dialogfeld.

34 Verwalten des Clients Informationen zu Standorten Informationen zu Standorten Ein Standort bezieht sich auf Sicherheitsrichtlinien, die auf Ihrer Netzwerkumgebung basieren. Beispiel: Wenn Sie mit Ihrem Laptop von zuhause aus eine Verbindung zum Büronetzwerk herstellen, kann Ihr Administrator einen Standort namens "Zuhause" einrichten. Wenn Sie den Laptop im Büro verwenden, können Sie einen Standort namens "Büro" verwenden. Andere Standorte können z. B. VPN, Unternehmensniederlassung oder Hotel sein. Der Client wechselt zwischen diesen Standorten, weil Ihre Sicherheits- und Anwendungsbedürfnisse in den Netzwerkumgebungen unterschiedlich sein können. Beispiel: Wenn Ihr Laptop eine Verbindung zu Ihrem Büronetzwerk herstellt, verwendet Ihr Client unter Umständen eingeschränkte Richtlinien, die Ihr Administrator konfiguriert hat. Wenn es jedoch eine Verbindung zu Ihrem Heimnetzwerk herstellt, verwendet Ihr Client möglicherweise eine Richtlinie, die Ihnen Zugriff auf weitere Konfigurationsoptionen ermöglicht. Ihr Administrator plant und konfiguriert Ihren Client dementsprechend, damit der Client diese Unterschiede automatisch für Sie überbrückt. Hinweis: In einer verwalteten Umgebung können Sie Standorte nur ändern, wenn Ihr Administrator den notwendigen Zugang bereitgestellt hat. Standort ändern Sie können einen Standort bei Bedarf ändern. Beispielsweise könnte es nötig sein, zu einem Standort zu wechseln, der einen Kollegen auf Dateien auf Ihrem Computer zugreifen lässt. Die Liste der Standorte, die verfügbar sind, basiert auf Ihren Sicherheitsrichtlinien und auf dem aktivem Netzwerk Ihres Computers. Hinweis: Basierend auf den verfügbaren Sicherheitsrichtlinien, haben Sie ggf. Zugriff auf mehrere Standorte. Möglicherweise stellt sich heraus, dass, wenn Sie auf einen Standort klicken, Sie nicht dorthin wechseln können. Dies heißt, dass Ihre Netzkonfiguration für diesen Standort nicht geeignet ist. Beispielsweise könnte ein Standort, der Büro heißt, nur verfügbar sein, wenn er das Büro-LAN erkennt. Wenn Sie derzeit nicht in diesem Netzwerk sind, können Sie nicht zu diesem Standort wechseln. So ändern Sie einen Standort 1 Klicken Sie im Client in der Seitenleiste auf "Einstellungen ändern". 2 Klicken Sie auf der Seite "Einstellungen ändern" neben der Client-Verwaltung auf "Einstellungen konfigurieren".

Verwalten des Clients Allgemeines zum Manipulationsschutz 35 3 Wählen Sie auf der Registerkarte "Allgemein" unter "Standortoptionen" den Standort aus, zu dem Sie wechseln möchten. 4 Klicken Sie auf "OK". Allgemeines zum Manipulationsschutz Der Manipulationsschutz bietet Echtzeitschutz für Symantec-Anwendungen. Er vereitelt Angriffe durch bösartige Software wie Würmer, Trojanische Pferde, Viren und Sicherheitsrisiken. Sie können folgende Aktionen im Manipulationsschutz festlegen: Manipulationsversuche blockieren und das Ereignis protokollieren Manipulationsversuche protokollieren, aber nicht verhindern Der Manipulationsschutz ist für Clients und verwaltete Clients aktiviert, es sei denn, Ihr Administrator hat die Standardeinstellungen geändert. Wenn der Manipulationsschutz einen Manipulationsversuch erkennt, wird das Ereignis standardmäßig im Manipulationsschutzprotokoll aufgezeichnet. Sie können den Manipulationsschutz so konfigurieren, dass eine Benachrichtigung auf Ihrem Computer angezeigt wird, wenn ein Manipulationsversuch erkannt wurde. Sie können die Meldung anpassen. Der Manipulationsschutz benachrichtigt Sie nicht über Manipulationsversuche, es sei denn, Sie aktivieren diese Funktion. Wenn Sie einen nicht-verwalteten Client verwenden, können Sie Ihre Manipulationsschutzeinstellungen ändern. Wenn Sie einen verwalteten Client verwenden, können Sie diese Einstellungen ändern, wenn Ihr Administrator dies zulässt. Im Allgemeinen sollten Sie die Standard-Aktion von Symantec Endpoint Protection "Nur protokollieren" verwenden und die Protokolle einmal wöchentlich überprüfen. Wenn Sie sicher sind, dass keine fälschlicherweise gemeldeten Versuche vorliegen, können Sie den Manipulationsschutz auf "Blockieren und Protokollieren" setzen. Hinweis: Wenn Sie ein Sicherheitsrisikoprüfprogramm eines anderen Herstellers verwenden, das vor unerwünschter Adware und Spyware schützt, wirkt sich das Prüfprogramm gewöhnlich auf Symantec-Prozesse aus. Wenn Sie den Manipulationsschutz aktivieren, während Sie ein Sicherheitsrisikoprüfprogramm eines anderen Herstellers ausführen, erzeugt der Manipulationsschutz viele Benachrichtigungen und Protokolleinträge. Sie sollten den Manipulationsschutz immer aktiviert lassen und das Protokoll filtern, wenn die Anzahl der erzeugten Ereignisse zu groß wird.

36 Verwalten des Clients Manipulationsschutz aktivieren, deaktivieren und konfigurieren Manipulationsschutz aktivieren, deaktivieren und konfigurieren Sie können den Manipulationsschutz aktivieren oder deaktivieren. Wenn der Manipulationsschutz aktiviert ist, können Sie die Aktion auswählen, die durchgeführt werden soll, sobald ein Manipulationsversuch an der Symantec-Software erkannt wird. Der Manipulationsschutz kann auch eine Meldung anzeigen, die Sie über Manipulationsversuche informiert. Wenn Sie die Meldung anpassen möchten, können Sie die definierten Variablen verwenden, die der Manipulationsschutz mit den passenden Informationen ausfüllt. Informationen über die definierten Variablen finden Sie in der Hilfe auf der Registerkarte "Manipulationsschutz". So aktivieren oder deaktivieren Sie den Manipulationsschutz 1 Klicken Sie im Hauptfenster in der Seitenleiste auf "Einstellungen ändern". 2 Klicken Sie neben "Client-Management" auf "Einstellungen konfigurieren". 3 Aktivieren oder deaktivieren Sie auf der Registerkarte "Manipulationsschutz" die Option "Hilft, die Symantec-Sicherheitssoftware vor Manipulationen oder unerwünschtem Beenden zu schützen.". 4 Klicken Sie auf "OK". So konfigurieren Sie den Manipulationsschutz 1 Klicken Sie im Hauptfenster in der Seitenleiste auf "Einstellungen ändern". 2 Klicken Sie neben "Client-Management" auf "Einstellungen konfigurieren". 3 Klicken Sie auf der Registerkarte "Manipulationsschutz" im Listenfeld "Durchzuführende Aktion, wenn eine Anwendung versucht, die Symantec-Sicherheitssoftware zu manipulieren oder zu beenden" auf "Blockieren und Ereignis protokollieren" oder "Nur Ereignis protokollieren". 4 Wenn Sie benachrichtigt werden möchten, wenn der Manipulationsschutz verdächtiges Verhalten erkennt, aktivieren Sie "Bei Erkennen einer Manipulation Benachrichtigung anzeigen". Wenn Sie diese Benachrichtigungsmeldungen aktivieren, erhalten Sie evtl. Benachrichtigungen über Windows-Prozesse sowie Symantec-Prozesse. 5 Um die angezeigte Meldung anzupassen, aktualisieren Sie den Text im Meldungsfeld. 6 Klicken Sie auf "OK".

Abschnitt 2 Symantec Endpoint Protection Einführung in Symantec Endpoint Protection Grundlagen zum Symantec Endpoint Protection-Client Verwalten des Virenschutzes und Antispyware-Schutzes Verwalten des proaktiven Bedrohungsschutzes Verwalten des Netzwerkbedrohungsschutzes

38

Kapitel 4 Einführung in Symantec Endpoint Protection In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu Symantec Endpoint Protection Wie Symantec Endpoint Protection Ihren Computer schützt Allgemeines zu Symantec Endpoint Protection Sie können Symantec Endpoint Protection als eigenständige Installation oder als Administrator-verwaltete Installation installieren. Eigenständige Installation bedeutet, dass kein Administrator Ihre Software, Symantec Endpoint Protection, verwaltet, daher ist es ein eigenständiger Client. Wenn Sie Ihren eigenen Computer verwalten, muss es sich um einen der folgenden Typen handeln: Ein eigenständiger Computer, der nicht mit einem Netzwerk verbunden ist, z. B. ein Heimcomputer oder ein Laptop. Der Computer muss eine Symantec Endpoint Protection-Installation enthalten, die entweder die Standard-Optionseinstellungen verwendet oder Voreinstellungen des Administrators. Ein mit Ihrem Unternehmensnetzwerk verbundener Remote-Computer, der vor dem Herstellen der Verbindungen Sicherheitsanforderungen erfüllen muss. Die Standardeinstellungen für Symantec Endpoint Protection bieten Virenschutz und Antispyware-Schutz, proaktiven Bedrohungsschutz und Netzwerkbedrohungschutz. Sie können die Standardeinstellungen anpassen, um den Bedürfnissen Ihres Unternehmens gerecht zu werden, die Systemleistung zu optimieren und die Optionen zu deaktivieren, die nicht zutreffen.

40 Einführung in Symantec Endpoint Protection Wie Symantec Endpoint Protection Ihren Computer schützt Wenn ein Administrator Ihren Computer verwaltet, können einige Optionen, abhängig von den Sicherheitsrichtlinien Ihres Administrators, gesperrt oder nicht verfügbar sein. Der Administrator kann Prüfungen auf Ihrem Computer durchführen und geplante Prüfungen einrichten. Ihr Administrator kann Ihnen mitteilen, welche Schritte Sie mit Symantec Endpoint Protection ausführen sollen. Wie Symantec Endpoint Protection Ihren Computer schützt Symantec Endpoint Protection stellt eine Sicherheitsrichtlinie zur Verfügung, die unterschiedliche Schutzarten für Ihren Computer enthält. Folgende Schutzarten arbeiten zusammen, um Ihren Computer vor Risiken zu schützen: Virenschutz und Antispyware-Schutz Netzwerkbedrohungsschutz Proaktiver Bedrohungsschutz Allgemeines zu Virenschutz und Antispyware-Schutz Virenschutz und Antispyware-Schutz stellt sicher, dass Ihr Computer vor bekannten Viren und Sicherheitsrisiken geschützt ist. Wenn der Virus schnell erkannt und entfernt wird, kann er sich nicht mehr auf andere Dateien übertragen und Schaden anrichten. Die Auswirkungen von Viren und Sicherheitsrisiken können behoben werden. Wenn der Symantec Endpoint Protection-Client einen Virus oder ein Sicherheitsrisiko erkennt, benachrichtigt der Client Sie standardmäßig über die Erkennung. Wenn Sie nicht benachrichtigt werden möchten, können Sie oder Ihr Administrator den Client für die automatische Verarbeitung von Sicherheitsrisiken konfigurieren. Virenschutz und Antispyware-Schutz stellt signaturbasierte Prüfungen zur Verfügung und umfasst Folgendes: Auto-Protect-Prüfungen Auto-Protect wird ständig ausgeführt und stellt Echtzeitschutz für Ihren Computer zur Verfügung durch Überwachung der Aktivitäten auf Ihrem Computer. Auto-Protect sucht nach Viren und Sicherheitsrisiken, wenn eine Datei ausgeführt oder geöffnet wird. Es sucht auch nach Viren und Sicherheitsrisiken, wenn Sie Änderungen an einer Datei vornehmen. Beispielsweise könnten Sie eine Datei umbenennen, speichern, verschieben oder in und aus Ordnern kopieren.

Einführung in Symantec Endpoint Protection Wie Symantec Endpoint Protection Ihren Computer schützt 41 Geplante Prüfungen, Prüfungen beim Systemstart und nach Bedarf Sie oder Ihr Administrator können weitere Prüfungen konfigurieren, die auf Ihrem Computer ausgeführt werden sollen. Diese Prüfungen suchen in den infizierten Dateien nach Rest-Virensignaturen. Diese Prüfungen suchen auch nach den Signaturen von Sicherheitsrisiken in den infizierten Dateien und in der Systeminformation. Sie oder Ihr Administrator können Prüfungen initiieren, um die Dateien auf Ihrem Computer systematisch auf Viren und Sicherheitsrisiken zu prüfen. Die Sicherheitsrisiken können auch Adware oder Spyware umfassen. Allgemeines zum Netzwerkbedrohungsschutz Der Symantec Endpoint Protection-Client stellt eine anpassbare Firewall zur Verfügung, die Ihren Computer vor Angriffsversuchen und Missbrauch schützt, gleich ob bösartig oder unbeabsichtigt. Er erkennt und identifiziert bekannte Port-Scans und andere weit verbreitete Angriffe. Als Reaktion blockiert die Firewall verschiedene Netzwerkdienste, Anwendungen, Ports und Komponenten oder lässt diese selektiv zu. Sie enthält mehrere Arten von Firewall-Schutzregeln und -Sicherheitseinstellungen, um Client-Computer vor Netzwerkverkehr zu schützen, der Schaden verursachen kann. Der Netzwerkbedrohungsschutz stellt eine Firewall und Intrusion Prevention-Signaturen zur Verfügung, um Angriffe und bösartigen Inhalt zu verhindern. Die Firewall erlaubt oder blockiert den Datenverkehr entsprechend verschiedenen Kriterien. Firewall-Regeln bestimmen, ob Ihr Computer eine eingehende oder ausgehende Anwendung oder einen Dienst erlaubt oder blockiert, der versucht, auf Ihren Computer über Ihre Netzwerkverbindung zuzugreifen. Firewall-Regeln erlauben oder blockieren systematisch eingehende oder ausgehende Anwendungen und Datenverkehr von und zu bestimmten IP-Adressen und Ports. Die Sicherheitseinstellungen erkennen und identifizieren weit verbreitete Angriffe, senden E-Mails nach einem Angriff, zeigen anpassbare Meldungen an und führen entsprechende sonstige Sicherheitsaufgaben durch. Informationen zum proaktiven Bedrohungsschutz Der proaktive Bedrohungsschutz enthält proaktive TruScan-Bedrohungsprüfungen, die sicher stellen, dass Ihr Computer vor neuartigen Angriffen durch unbekannte Bedrohungen geschützt ist. Diese Prüfungen verwenden heuristische Techniken, um die Struktur eines Programms, sein Verhalten und andere Attribute auf virenähnliche Merkmale zu analysieren. In vielen Fällen kann er gegen Bedrohungen wie Massen-Mail-Würmer und Makroviren schützen. Möglicherweise treten Würmer und Makroviren bei Ihnen

42 Einführung in Symantec Endpoint Protection Wie Symantec Endpoint Protection Ihren Computer schützt auf, bevor Sie Ihre Viren- und Sicherheitsrisikodefinitionen aktualisiert haben. Proaktive Bedrohungsprüfungen suchen nach skriptbasierten Bedrohungen in HTML, in VBScript und in den JavaScripten Dateien. Proaktive Bedrohungsprüfungen erkennen auch kommerzielle Anwendungen, die zu bösartigen Zwecken verwendet werden können. Zu diesen kommerziellen Anwendungen gehören auch Fernsteuerungsprogramme und Programme zum Aufzeichnen von Tastaturanschlägen. Sie können proaktive Bedrohungsprüfungen konfigurieren, um gefundene Elemente zu isolieren. Sie können Objekte, die durch proaktive Bedrohungsprüfungen isoliert wurden, manuell wiederherstellen. Der Client kann isolierte Objekte auch automatisch wiederherstellen.

Kapitel 5 Grundlagen zum Symantec Endpoint Protection-Client In diesem Kapitel werden folgende Themen behandelt: Informationen zu Viren und Sicherheitsrisiken Reaktion des Client auf Viren und Sicherheitsrisiken Schutzkomponenten aktivieren und deaktivieren Verwenden des Client mit Windows Security Center Unterbrechung und Verschiebung von Prüfungen Informationen zu Viren und Sicherheitsrisiken Der Symantec Endpoint Protection-Client kann auf Viren- und Sicherheitsrisiken wie Spyware oder Adware prüfen. Diese Risiken können Ihren Computer oder ein Netzwerk gefährden. Virenschutz- und Antispyware-Prüfungen erkennen auch Rootkits auf Kernel-Ebene. Rootkits sind Programme, die versuchen, sich vor dem Betriebssystem eines Computers zu verstecken und die zu bösartigen Zwecken verwendet werden können. Bei allen Virenschutz- und Antispyware-Prüfungen, einschließlich Auto-Protect-Prüfungen, wird Ihr Computer standardmäßig auf Viren, Trojanische Pferde, Würmer und alle Kategorien von Sicherheitsrisiken geprüft. Tabelle 5-1 beschreibt die Typen der Viren und der Sicherheitsrisiken.

44 Grundlagen zum Symantec Endpoint Protection-Client Informationen zu Viren und Sicherheitsrisiken Tabelle 5-1 Viren und Sicherheitsrisiken Risiko Viren Beschreibung Programme oder Codes, die eine Kopie von sich selbst an andere Programme oder Dokumente anhängen, wenn diese ausgeführt bzw. geöffnet werden. Wann immer das infizierte Programm ausgeführt wird oder ein Benutzer ein Dokument öffnet, das einen Makrovirus enthält, wird das angehängte Virenprogramm aktiviert. Der Virus kann sich dann an andere Programme und Dokumente anhängen. Viren haben üblicherweise eine schädliche Wirkung, z. B. können sie an einem bestimmten Tag eine Nachricht anzeigen. Einige Viren sind speziell dafür programmiert, Daten durch Zerstörung von Programmen, Löschen von Dateien oder Neuformatierung von Datenträgern zu beschädigen. Bösartige Internet-Bots Würmer Trojanische Pferde Komplexe Bedrohungen Adware Programme, die über Internet automatische Aufgaben zu bösartigen Zwecken ausführen. Bots können verwendet werden, um Angriffe auf Computer zu automatisieren oder Informationen von Websites zu sammeln. Programme, die sich vervielfältigen, ohne andere Programme zu infizieren. Einige Würmer verbreiten sich, indem sie sich selbst von Datenträger zu Datenträger kopieren, während sich andere nur im Arbeitsspeicher reproduzieren, um die Leistung eines Computers zu beeinträchtigen. Programme, die Code enthalten, der sich als gutartiger Code tarnt oder sich in diesem versteckt, z. B. Spiele oder Dienstprogramme. Hier handelt es sich um Bedrohungen, die die Merkmale von Viren, Würmern, Trojanischen Pferden und bösartigem Code mit Server- und Internet-Anfälligkeiten kombinieren, um einen Angriff zu initiieren, zu übertragen und zu verbreiten. Komplexe Bedrohungen verwenden mehrere Methoden und Techniken, um sich schnell auszubreiten, und verursachen umfangreiche Schäden innerhalb des Netzwerks. Unabhängige oder angehängte Programme, die unbemerkt persönliche Daten über das Internet sammeln und an einen anderen Computer übertragen. Adware kann beispielsweise Surf-Gewohnheiten für Werbezwecke protokollieren. Adware kann außerdem Werbematerial auf Ihren Rechner übertragen. Adware wird möglicherweise unbemerkt über Shareware oder Freeware von Websites heruntergeladen oder kann über E-Mail-Nachrichten oder Instant-Messenger-Programme auf den Computer gelangen. Häufig laden Benutzer Adware unwissentlich herunter, indem sie eine Endbenutzer-Lizenzvereinbarung für ein Programm akzeptieren. Dialer Programme, die einen Computer ohne Kenntnis des Benutzers dazu verwenden, eine gebührenpflichtige Nummer oder FTP-Site anzuwählen. Diese Programme verursachen gewöhnlich hohe Gebühren.

Grundlagen zum Symantec Endpoint Protection-Client Informationen zu Viren und Sicherheitsrisiken 45 Risiko Hacker-Tools Joke-Programme Andere Beschreibung Programme, die von einem Hacker verwendet werden, um nicht autorisierten Zugriff zum Computer eines Benutzers zu erhalten. So gibt es beispielsweise ein Hacker-Tool, das einzelne Tastaturanschläge erkennt und aufzeichnet, um die Daten anschließend zurück an den Hacker zu senden. Der Hacker kann anschließend Port-Scans ausführen oder nach Schwachstellen suchen. Mit Hacker-Tools können außerdem Viren erstellt werden. Programme, die den Betrieb des Computers auf eine Art und Weise ändern oder unterbrechen, die lustig sein oder Angst machen soll. Beispiel: Ein Programm wird von einer Website, mit einer E-Mail oder über ein Instant-Messenger-Programm heruntergeladen. Es kann dann den Papierkorb von der Maus wegbewegen, wenn der Benutzer versucht, es zu löschen. Es könnte auch die Tastaturbelegung der Maus umkehren. Andere Sicherheitsrisiken, die nicht in die strengen Definitionen der Viren, Trojanischen Pferde, Würmer oder anderer Sicherheitsrisikokategorien passen. Remote- Zugriffsprogramme Programme, die den Zugriff auf einen Computer über das Internet ermöglichen, um Daten zu sammeln oder den Computer des Benutzers anzugreifen bzw. zu verändern. Sie können ein legitimes Remote-Zugriffsprogramm installieren. Ein Prozess kann diese Art einer Anwendung ohne Ihre Kenntnis installieren. Derartige Programme können für bösartige Zwecke mit oder ohne Änderung des ursprünglichen Remote-Zugriffsprogramms verwendet werden. Spyware Unabhängige Programme, die die Systemaktivität unerkannt überwachen und Kennwörter und andere vertrauliche Informationen erkennen und an einen anderen Computer übertragen. Spyware wird möglicherweise unbemerkt über Shareware oder Freeware von Websites heruntergeladen oder kann über E-Mail-Nachrichten oder Instant-Messenger-Programme auf den Computer gelangen. Häufig laden Benutzer Spyware unwissentlich herunter, indem sie eine Endbenutzer-Lizenzvereinbarung für ein Programm akzeptieren. Trackware Eigenständige oder angehängte Anwendungen, die den "Weg" eines Benutzers durch das Internet verfolgen und diese Informationen an ein Zielsystem senden. Eine solche Anwendung kann beispielsweise von einer Website, per E-Mail oder per Instant-Messenger-Programm heruntergeladen werden. Anschließend sammelt sie möglicherweise vertrauliche Informationen über das Verhalten des Benutzers. Standardmäßig führen Virenschutz- und Antispyware-Prüfungen folgende Schritte durch: Erkennen, Entfernen und Reparieren der Nebeneffekte von Viren, Würmern, Trojanischen Pferden und komplexen Bedrohungen. Erkennen, Entfernen und Reparieren der Nebeneffekte von Sicherheitsrisiken wie Adware, Dialer, Hacker-Tools, Joke-Programmen, Remote-Zugriffsprogrammen, Spyware, Trackware usw. Auf der Website von Symantec Security Response finden Sie die aktuellsten Informationen zu Bedrohungen und Sicherheitsrisiken. Darüber hinaus enthält

46 Grundlagen zum Symantec Endpoint Protection-Client Reaktion des Client auf Viren und Sicherheitsrisiken sie ausführliche Referenzinformationen, z. B. White Papers und detaillierte Informationen zu Viren und Sicherheitsrisiken. Abbildung 5-1 zeigt Informationen zu einem Hacker-Tool und die Vorgehensweise, die Symantec Security Response vorschlägt, um diese Bedrohung zu beseitigen. Abbildung 5-1 Symantec Security Response Sicherheitsrisikobeschreibung Reaktion des Client auf Viren und Sicherheitsrisiken Der Client schützt Computer vor Viren und Sicherheitsrisiken, unabhängig von der Quelle der Infektion. Computer werden vor Viren und Sicherheitsrisiken geschützt, die sich über Festplatten, Disketten und Netzwerke verbreiten.

Grundlagen zum Symantec Endpoint Protection-Client Reaktion des Client auf Viren und Sicherheitsrisiken 47 Computer werden auch vor Viren und Sicherheitsrisiken geschützt, die sich über E-Mail-Anhänge oder anderweitig verbreiten. Sicherheitsrisiken können sich beispielsweise ohne Ihr Wissen selbst auf Ihrem Computer installieren, wenn Sie auf das Internet zugreifen. Dateien in komprimierten Dateiarchiven werden geprüft, Viren und Sicherheitsrisiken werden bereinigt. Für aus dem Internet stammende Viren sind weder separate Programme noch Änderungen der Optionen erforderlich. Auto-Protect prüft unkomprimierte Programm- und Dokumentdateien automatisch, wenn diese heruntergeladen werden. Wenn der Client einen Virus erkennt, versucht er standardmäßig, die vireninfizierte Datei zu bereinigen. Der Client versucht auch, die Auswirkungen des Virus zu reparieren. Wenn der Client die Datei bereinigt, entfernt er das Risiko vollständig von Ihrem Computer. Wenn der Client die Datei nicht bereinigen kann, verschiebt er die infizierte Datei in den Quarantänebereich. Der Virus kann sich vom Quarantänebereich aus nicht verbreiten. Wenn Sie Ihren Computer mit neuen Virendefinitionen aktualisieren, überprüft der Client automatisch den Quarantänebereich. Sie können die Objekte im Quarantänebereich erneut prüfen. Mit den neuesten Definitionen können die isolierten Dateien möglicherweise bereinigt oder repariert werden. Hinweis: Der Administrator kann festlegen, dass die Dateien im Quarantänebereich automatisch geprüft werden. Bei Sicherheitsrisiken isoliert der Client die infizierten Dateien standardmäßig. Der Client zeigt auch die Systeminformation an, dass das Sicherheitsrisiko zu seinem vorherigen Status geändert wurde. Einige Sicherheitsrisiken können nicht vollständig gelöscht werden, ohne dass andere Programme auf Ihrem Computer, wie zum Beispiel ein Web-Browser, beschädigt werden. Möglicherweise können Ihre Virenschutz- und Antispyware-Einstellungen das Risiko nicht automatisch bearbeiten. In diesem Fall fordert Sie der Client zur Eingabe einer Antwort auf, ehe er einen Prozess beendet oder Ihren Computer neu startet. Alternativ können Sie Ihre Einstellungen auch so konfigurieren, dass bei Sicherheitsrisiken die Aktion "Nur protokollieren" ausgeführt wird. Wenn die Client-Software Sicherheitsrisiken erkennt, platziert sie im Prüfungsfenster einen Link zu Symantec Security Response. Auf der Symantec Security Response-Website erhalten Sie nähere Informationen über das Sicherheitsrisiko. Zudem kann Ihnen Ihr Administrator in einer Nachricht mitteilen, wie Sie reagieren sollen.

48 Grundlagen zum Symantec Endpoint Protection-Client Schutzkomponenten aktivieren und deaktivieren Schutzkomponenten aktivieren und deaktivieren Sie können den Schutz auf Ihrem Computer aktivieren oder deaktivieren. Wenn ein beliebiger Schutz deaktiviert ist, weist die Statusleiste oben auf der Statusseite darauf hin, dass der Schutz ausgeschaltet ist. Sie können auf die Option "Beheben" klicken, um alle deaktivierten Schutzoptionen zu aktivieren. Oder Sie können die einzelnen Schutzoptionen separat aktivieren. Virenschutz und Antispyware-Schutz aktivieren und deaktivieren Wenn Sie die Standardeinstellungen der Optionen nicht verändert haben, wird Auto-Protect beim Starten Ihres Computers automatisch geladen und schützt ihn vor Viren und Sicherheitsrisiken. Auto-Protect prüft Programme auf Viren und Sicherheitsrisiken, während sie ausgeführt werden. Es überwacht Ihren Computer auch auf Aktivitäten, die auf das Vorhandensein eines Virus oder Sicherheitsrisikos hinweisen könnten. Wenn ein Virus, eine virenähnliche Aktivität (ein Ereignis, das von einem Virus verursacht worden sein könnte) oder ein Sicherheitsrisiko erkannt wird, warnt Sie Auto-Protect. Sie können Auto-Protect für Dateien und Prozesse aktivieren oder deaktivieren. Sie können auch Auto-Protect für Internet-E-Mail und Auto-Protect für E-Mail Groupware-Anwendungen aktivieren oder deaktivieren. In verwalteten Umgebungen kann Ihr Administrator diese Einstellungen sperren. Wann es empfehlenswert ist, Auto-Protect zu deaktivieren Auto-Protect kann Sie vor einer virusähnlichen Aktivität warnen, von der Sie wissen, dass sie nicht durch einen Virus verursacht ist. Beispielsweise könnten Sie eine Warnung erhalten, wenn Sie neue Computerprogramme installieren. Wenn Sie planen, mehrere Anwendungen zu installieren und die Warnung unterdrücken möchten, können Sie Auto-Protect vorübergehend deaktivieren. Denken Sie daran, Auto-Protect wieder zu aktivieren, wenn Sie Ihre Aktivität ausgeführt haben, damit Ihr Computer wieder geschützt ist. Wenn Sie Auto-Protect deaktivieren, werden andere Prüfungstypen (geplant oder beim Systemstart) weiterhin ausgeführt, wenn sie von Ihnen oder Ihrem Administrator entsprechend konfiguriert wurden. Ihr Administrator kann Auto-Protect sperren, damit Sie die Funktion nicht versehentlich deaktivieren können. Stattdessen könnte Ihr Administrator festlegen, dass Sie Auto-Protect zwar vorübergehend deaktivieren können, aber dass die Funktion nach einer bestimmten Zeit automatisch wieder aktiviert wird.

Grundlagen zum Symantec Endpoint Protection-Client Schutzkomponenten aktivieren und deaktivieren 49 Allgemeines zu Auto-Protect und zum Virenschutz-/Antispyware-Schutz-Status Ihre Auto-Protect-Einstellungen bestimmen den Virenschutz- und Antispywareschutz-Status im Client und im Windows-Benachrichtigungbereich. Wenn Auto-Protect vollständig deaktiviert ist, erscheint der Virenschutz- und Antispyware-Status auf der Status-Seite rot. Das Client-Symbol erscheint als volles Schutzschild in der Taskleiste in der unteren rechten Ecke Ihres Windows-Desktops. In einigen Konfigurationen wird das Symbol nicht angezeigt. Beim Klicken mit der rechten Maustaste auf das Symbol erscheint neben "Auto-Protect aktivieren" ein Häkchen, wenn Auto-Protect für Dateien und Prozesse aktiviert ist. Wenn Sie Auto-Protect für Dateien und Prozesse deaktivieren, erscheint das Client-Symbol mit einem universellen Nein-Zeichen (ein roter Kreis, der diagonal durchgestrichen ist). Ein grüner Punkt erscheint mit dem Symbol, wenn " Auto-Protect für Dateisystem" aktiviert ist. Dies gilt auch dann, wenn "Auto-Protect für E-Mail" deaktiviert ist. Aktivieren/Deaktivieren der Option "Auto-Protect für Dateisystem" Sie können Auto-Protect zur Überwachung des Dateisystems aktivieren oder deaktivieren, es sei denn, Ihr Administrator sperrt die Einstellung. So aktivieren bzw. deaktivieren Sie "Auto-Protect für Dateisystem" in der Taskleiste Klicken Sie auf dem Windows-Desktop im Benachrichtigungbereich mit der rechten Maustaste auf das Client-Symbol und führen Sie dann eine der folgenden Aktionen aus: Klicken Sie auf "Symantec Endpoint Protection aktivieren". Klicken Sie auf "Symantec Endpoint Protection deaktivieren". So aktivieren bzw. deaktivieren Sie "Auto-Protect für Dateisystem" im Client Führen Sie im Client auf der Statusseite neben Virenschutz und Antispyware-Schutz eine der folgenden Aktionen aus: Klicken Sie auf "Optionen" > "Virenschutz und Antispyware-Schutz aktivieren". Klicken Sie auf "Optionen" > "Virenschutz und Antispyware-Schutz deaktivieren".

50 Grundlagen zum Symantec Endpoint Protection-Client Schutzkomponenten aktivieren und deaktivieren Aktivieren bzw. Deaktivieren von Auto-Protect für E-Mail Sie können Auto-Protect für Internet-E-Mail, Microsoft Outlook-E-Mail oder Lotus Notes-E-Mail aktivieren oder deaktivieren. Möglicherweise hat Ihr Administrator diese Einstellungen gesperrt. So aktivieren Sie Auto-Protect für E-Mail 1 Klicken Sie im Client in der Seitenleiste auf "Einstellungen ändern". 2 Klicken Sie neben "Virenschutz- und Antispyware-Schutz" auf "Einstellungen konfigurieren". 3 Führen Sie einen der folgenden Schritte aus: Aktivieren oder deaktivieren Sie auf der Registerkarte "Auto-Protect für Internet-E-Mail aktivieren" die Option "Auto-Protect für Internet-E-Mail aktivieren". Aktivieren oder deaktivieren Sie auf der Registerkarte "Microsoft Outlook Auto-Protect" die Option "Auto-Protect für Microsoft Outlook aktivieren". Aktivieren oder deaktivieren Sie auf der Registerkarte "Lotus Notes Auto-Protect" die Option "Auto-Protect für Lotus Notes aktivieren". 4 Klicken Sie auf "OK". Netzwerkbedrohungsschutz aktivieren und deaktivieren Unter bestimmten Umständen empfiehlt es sich, den Netzwerkbedrohungsschutz zu deaktivieren. Beispiel: Möglicherweise möchten Sie eine Anwendung installieren, die sonst dazu führen kann, dass sie vom Client blockiert wird. Ihr Administrator kann die folgenden Limits dafür eingestellt haben, wann und wie lange Sie den Schutz deaktivieren können: Ob der Client entweder allen Datenverkehr oder nur allen ausgehenden Datenverkehr erlaubt. Der Zeitraum, über den der Schutz deaktiviert ist. Wie oft Sie den Schutz deaktivieren können, bevor Sie den Client neu starten. Wenn Sie den Schutz deaktivieren können, können Sie ihn jederzeit wieder aktivieren. Der Administrator kann den Schutz auch jederzeit aktivieren und deaktivieren, selbst wenn er den Status aufhebt, den Sie für den Schutz festgelegt haben. Siehe "Verwalten des Netzwerkbedrohungsschutzes" auf Seite 117. Siehe "Blockieren angreifender Computer und Aufhebung der Blockierung" auf Seite 141.

Grundlagen zum Symantec Endpoint Protection-Client Verwenden des Client mit Windows Security Center 51 So aktivieren oder deaktivieren Sie Netzwerkbedrohungsschutz Wählen Sie im Client auf der Status-Seite, neben Netzwerkbedrohungsschutz, eine der folgenden-aktionen: Klicken Sie auf "Optionen > Netzwerkbedrohungsschutz aktivieren". Klicken Sie auf "Optionen > Netzwerkbedrohungsschutz deaktivieren". Aktivieren und Deaktivieren des proaktiven Bedrohungsschutzes Der proaktive Bedrohungsschutz ist aktiviert, wenn sowohl die Einstellung für die Prüfung auf Trojaner und Würmer als auch jene für die Prüfung auf Keylogger aktiviert wird. Ist eine der beiden Einstellungen deaktiviert, zeigt der Client den Bedrohungsschutzsstatus als deaktiviert an. Siehe "Proaktive TruScan-Bedrohungsprüfungen" auf Seite 103. Sie können auf "Hilfe" klicken, um weitere Informationen über die Optionen zu erhalten, die im Verfahren verwendet werden. So aktivieren oder deaktivieren Sie den proaktiven Bedrohungsschutz Wählen Sie im Client auf der Seite "Status" neben "Proaktiver Bedrohungsschutz" eine der folgenden-aktionen: Klicken Sie auf "Optionen > Proaktiven Bedrohungsschutz aktivieren". Klicken Sie auf "Optionen > Proaktiven Bedrohungsschutz deaktivieren". Verwenden des Client mit Windows Security Center Wenn Sie Windows Security Center (WSC) unter Windows XP mit Service Pack 2 verwenden, um den Sicherheitsstatus zu überwachen, können Sie den Symantec Endpoint Protection-Status im WSC sehen. In Tabelle 5-2 wird der im WSC angezeigte Schutzstatus beschrieben. Tabelle 5-2 Status des Schutzes im WSC Status des Symantec-Produkts Symantec Endpoint Protection ist nicht installiert Symantec Endpoint Protection ist mit vollem Schutz installiert Symantec Endpoint Protection ist installiert und die Definitionen für Viren und Sicherheitsrisiken sind veraltet Status des Schutzes NICHT GEFUNDEN (rot) AKTIV (grün) VERALTET (rot)

52 Grundlagen zum Symantec Endpoint Protection-Client Unterbrechung und Verschiebung von Prüfungen Status des Symantec-Produkts Symantec Endpoint Protection ist installiert und Auto-Protect für Dateisystem ist nicht aktiviert Symantec Endpoint Protection ist installiert, Auto-Protect für Dateisystem ist deaktiviert und die Definitionen für Viren und Sicherheitsrisiken sind veraltet Symantec Endpoint Protection ist installiert und Rtvscan wurde manuell ausgeschaltet Status des Schutzes INAKTIV (rot) INAKTIV (rot) INAKTIV (rot) In Tabelle 5-3 wird der im WSC angezeigte Symantec Endpoint Protection-Firewall-Status beschrieben. Tabelle 5-3 Firewall-Status im WSC Status des Symantec-Produkts Symantec-Firewall ist nicht installiert Symantec-Firewall ist installiert und aktiviert Symantec-Firewall ist installiert, aber nicht aktiviert Symantec-Firewall ist nicht installiert oder aktiviert, aber eine Firewall anderer Hersteller ist installiert und aktiviert Firewall-Status NICHT GEFUNDEN (rot) AKTIV (grün) INAKTIV (rot) AKTIV (grün) Hinweis: In Symantec Endpoint Protection ist die Windows-Firewall standardmäßig deaktiviert. Falls mehrere Firewalls aktiviert sind, wird vom Windows-Sicherheitscenter eine entsprechende Meldung ausgegeben. Unterbrechung und Verschiebung von Prüfungen Die Option "Unterbrechen" bietet Ihnen die Möglichkeit, einen Prüfvorgang zu einem beliebigen Zeitpunkt zu unterbrechen und die Ausführung später fortzusetzen. Sie können alle Prüfvorgänge unterbrechen, die Sie selbst gestartet haben. Der Netzwerkadministrator legt fest, ob Sie von ihm geplante Prüfungen unterbrechen können. Der Netzwerkadministrator legt außerdem fest, ob Sie die Ausführung der von ihm geplanten Prüfungen hinausschieben können. Wenn eine der Verschiebungsfunktionen aktiviert ist, haben Sie die Möglichkeit, den

Grundlagen zum Symantec Endpoint Protection-Client Unterbrechung und Verschiebung von Prüfungen 53 Ausführungsbeginn um eine vorgegebene Zeitspanne zu verzögern. Bei Wiederaufnahme des Prüfvorgangs beginnt die Prüfung von vorne. Unterbrechen Sie die Prüfung, um Sie nach einer temporären Unterbrechung wieder aufzunehmen. Verwenden Sie die Funktion zum Verschieben von Prüfungen, um die Prüfung während eines längeren Zeitraums zu verzögern. Verwenden Sie die folgenden Verfahren, um eine Prüfung zu unterbrechen, die Sie oder Ihr Administrator initiiert haben. Falls die Option "Prüfung unterbrechen" nicht verfügbar ist, hat Ihr Netzwerkadministrator die Funktion deaktiviert. Hinweis: Wenn Sie eine Prüfung unterbrechen, während der Client eine komprimierte Datei prüft, kann es einige Minuten dauern, bis der Client auf die Unterbrechungsanfrage reagiert.

54 Grundlagen zum Symantec Endpoint Protection-Client Unterbrechung und Verschiebung von Prüfungen So unterbrechen Sie eine Prüfung 1 Klicken Sie während des Prüfvorgangs im Dialogfeld "Prüfung" auf das Symbol "Unterbrechen". Wenn Sie die Prüfung initiiert haben, endet die Prüfung, wo sie ist und das Prüfungsdialogfeld bleibt geöffnet, bis Sie die Prüfung wieder starten. Wenn Ihr Administrator die Prüfung initiierte, erscheint das Dialogfeld "Unterbrechung einer geplanten Prüfung". 2 Klicken Sie im Dialogfeld "Unterbrechung einer geplanten Prüfung" auf "Unterbrechen". Der Prüfvorgang wird sofort unterbrochen und das Dialogfeld bleibt so lange geöffnet, bis Sie den Vorgang fortsetzen. 3 Klicken Sie auf die Schaltfläche "Fortfahren", um den Prüfvorgang fortzusetzen.