Endpoint Security 10 Produkthandbuch - Knowledge Center

Transcription

Produkthandbuch
McAfee Endpoint Security 10
COPYRIGHT
Copyright © 2014 McAfee, Inc. Keine Vervielfältigung ohne vorherige Zustimmung.
MARKEN
McAfee, das McAfee-Logo, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, Foundscore, Foundstone, Policy
Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource,
VirusScan, WaveSecure sind Marken oder eingetragene Marken von McAfee, Inc. oder der Tochterunternehmen in den USA und anderen Ländern. Alle
anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.
Produktnamen, Funktionsbezeichnungen und Beschreibungen können jederzeit unangekündigt geändert werden. Die jeweils aktuellen Informationen zu
Produkten und Funktionen finden Sie unter mcafee.com.
INFORMATIONEN ZUR LIZENZ
Lizenzvereinbarung
HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE
ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN
SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER
LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWAREPAKET ODER SEPARAT (ALS BROSCHÜRE,
DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET
HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT
EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN MCAFEE ODER
IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.
2
Produkthandbuch
Inhaltsverzeichnis
1
McAfee Endpoint Security
5
Einführung
7
Endpoint Security-Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
So schützt Endpoint Security Ihren Computer . . . . . . . . . . . . . . . . . . . . . . . 8
So bleibt Ihr Schutz auf dem neuesten Stand . . . . . . . . . . . . . . . . . . . . 8
Interaktion mit Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Informationen zum McAfee-System-Taskleistensymbol . . . . . . . . . . . . . . . . 10
Informationen zu Benachrichtigungen . . . . . . . . . . . . . . . . . . . . . . 10
Informationen zum Endpoint Security Client . . . . . . . . . . . . . . . . . . . . 11
2
Verwenden der Endpoint Security Client
17
Öffnen des Endpoint Security Client . . . . . . . . . . . . . . . . . . . . . . . . . .
Hilfe anfordern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reagieren auf Aufforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reagieren auf eine Aufforderung bei erkannter Bedrohung . . . . . . . . . . . . . .
Reagieren auf eine Scan-Aufforderung . . . . . . . . . . . . . . . . . . . . . .
Informationen zu Ihrem Schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwaltungstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Manuelles Aktualisieren von Schutz und Software . . . . . . . . . . . . . . . . . . . . .
Anzeigen des Ereignisprotokolls . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informationen zu Protokolldateien . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anmelden als Administrator . . . . . . . . . . . . . . . . . . . . . . . . . .
Entsperren der Client-Schnittstelle . . . . . . . . . . . . . . . . . . . . . . . .
Deaktivieren und Aktivieren von Funktionen . . . . . . . . . . . . . . . . . . . .
Ändern der AMCore Content-Version . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von EXTRA.DAT-Dateien . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren gemeinsamer Einstellungen . . . . . . . . . . . . . . . . . . . . .
3
Verwenden von Threat Prevention
35
Scannen Ihres Computers auf Malware . . . . . . . . . . . . . . . . . . . . . . . . .
Scan-Typen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ausführen eines vollständigen Scans oder Schnellscans . . . . . . . . . . . . . . .
Scannen einer Datei oder eines Ordners . . . . . . . . . . . . . . . . . . . . .
Verwalten von erkannten Bedrohungen . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von isolierten Elementen . . . . . . . . . . . . . . . . . . . . . . . . . .
Erkennungsnamen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Threat Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ausschließen von Elementen von Scans . . . . . . . . . . . . . . . . . . . . . .
Erkennen von potenziell unerwünschten Programmen . . . . . . . . . . . . . . . .
Konfigurieren der Richtlinieneinstellungen für den . . . . . . . . . . . . . . . . .
Konfigurieren der RichtlinieneinstellungenRichtlinieneinstellungenExploit-SchutzRichtlinieneinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Richtlinieneinstellungen für . . . . . . . . . . . . . . . . . . .
17
18
18
18
18
19
20
20
21
22
24
24
24
25
25
26
27
35
35
36
38
39
39
41
42
43
44
46
49
50
Produkthandbuch
3
Inhaltsverzeichnis
Konfigurieren Sie die für den On-Demand-Scan . . . . . . . . . . . . . . . . . .
Planen von Tasks für Vollständiger Scan und Schnellscan . . . . . . . . . . . . . .
Konfigurieren gemeinsamer Scan-Einstellungen . . . . . . . . . . . . . . . . . .
4
Verwenden der Firewall
Funktionsweise von Firewall . . . . . . . . . . . .
Verwalten der Firewall . . . . . . . . . . . . . .
Ändern von Firewall-Optionen . . . . . . . .
Konfigurieren Sie Firewall-Regeln und -Gruppen .
5
55
60
60
63
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
.
63
. . 63
. . 64
. 66
Verwenden von Web Control
77
Informationen zu Web Control Funktionen . . . . . . . . . . . . . . . . . . . . . . .
Web Control-Schaltfläche zu Bedrohungsidentifizierung während des Surfens . . . . . .
Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen . . . . . . . . . . . .
Site-Berichte für Details . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So werden Sicherheitsbewertungen kompiliert . . . . . . . . . . . . . . . . . . .
Zugreifen auf Web Control-Funktionen . . . . . . . . . . . . . . . . . . . . . . . . .
Zugeifen auf Funktionen während des Surfens . . . . . . . . . . . . . . . . . . .
Site-Bericht während der Suche anzeigen . . . . . . . . . . . . . . . . . . . . .
Site-Berichte anzeigen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fehlerbehebung bei Kommunikationsproblemen . . . . . . . . . . . . . . . . . .
Verwalten von Web Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Web Control-Optionen . . . . . . . . . . . . . . . . . . . . .
Angeben von Bewertungsaktionen und Blockieren des Site-Zugriffs basierend auf der
Webkategorie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Index
4
77
78
79
79
80
81
81
82
82
83
83
84
87
143
Produkthandbuch
®
McAfee Endpoint Security ist eine umfangreiche Sicherheitsverwaltungslösung, die auf
Netzwerk-Computern ausgeführt wird, um Bedrohungen zu identifizieren und automatisch zu stoppen.
In dieser Hilfe finden Sie Informationen über die Verwendung der grundlegenden
Sicherheitsfunktionen und die Fehlerbehebung bei Problemen.
Erste Schritte
•
Endpoint Security-Module auf Seite 7
•
So schützt Endpoint Security Ihren Computer auf Seite 8
•
Interaktion mit Endpoint Security auf Seite 9
Häufig durchgeführte Tasks
•
Öffnen des Endpoint Security Client auf Seite 17
•
Manuelles Aktualisieren von Schutz und Software auf Seite 20
•
Scannen Ihres Computers auf Malware auf Seite 35
•
Entsperren der Client-Schnittstelle auf Seite 24
Weitere Informationen
Zusätzliche Informationen zu diesem Produkt finden Sie hier:
•
McAfee Endpoint
Security-Installationshandbuch
•
Endpoint Security Firewall-Hilfe
•
McAfee Endpoint
Security-Versionsinformationen
•
Endpoint Security Web Control-Hilfe
•
Endpoint Security Threat Prevention-Hilfe
•
McAfee-Support
Produkthandbuch
5
6
Produkthandbuch
1
Einführung
Endpoint Security ist eine umfassende Lösung zur Sicherheitsverwaltung, die auf Netzwerkcomputern
ausgeführt wird, um Bedrohungen automatisch zu identifizieren und zu stoppen. In dieser Hilfe wird
erklärt, wie Sie die Basis-Sicherheitsfunktionen verwenden und Fehlerbehebung bei Problemen
ausführen.
Wenn Ihr Computer verwaltet ist, richtet ein Administrator Endpoint Security ein und konfiguriert es
mithilfe eines dieser Management-Servers:
•
McAfee ePolicy Orchestrator (McAfee ePO )
•
McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud)
•
McAfee SecurityCenter
®
®
®
™
®
™
®
Wenn Ihr Computer selbstverwaltet ist, können Sie (oder Ihr Administrator) die Software mithilfe des
Endpoint Security Client konfigurieren.
Inhalt
Endpoint Security-Module
So schützt Endpoint Security Ihren Computer
Interaktion mit Endpoint Security
Endpoint Security-Module
Der Administrator konfiguriert und installiert ein oder mehrere Endpoint Security-Module auf
Client-Computern.
•
Threat Prevention – Prüft auf Viren, Spyware, unerwünschte Programme und andere
Bedrohungen, indem er Elemente automatisch scannt, wenn Benutzer darauf zugreifen oder diese
anfordern.
•
Firewall – Überwacht die Kommunikation zwischen dem Computer und Ressourcen im Netzwerk
und im Internet. Fängt verdächtige Kommunikationsvorgänge ab.
•
Web Control – Zeigt während des Browsens und der Suche im Internet Sicherheitsbewertungen
und Berichte über Websites an. Mit Web Control kann der Site-Administrator den Zugriff auf
Websites blockieren, basierend auf Sicherheitsbewertungen oder Inhalt.
Außerdem bietet das Common-Modul Einstellungen für Common-Einstellungen wie
Schnittstellensicherheit und Protokollierung. Dieses Modul wird automatisch bei Installation eines
anderen Moduls installiert.
Produkthandbuch
7
1
Einführung
Typischerweise richtet ein Administrator Endpoint Security ein, installiert die Software auf
Client-Computern, überwacht den Sicherheitsstatus und erstellt Sicherheitsregeln, auch
Richtliniengenannt.
Als Benutzer eines Client-Computers interagieren Sie mit Endpoint Security über eine auf Ihrem
Computer installierte Client-Software . Die vom Administrator definierten Richtlinien legen fest, wie die
Module und Funktionen auf Ihrem Computer ausgeführt werden und ob Sie sie modifizieren können.
Wenn Endpoint Security selbstverwaltet ist, können Sie festlegen, wie die Module und Funktionen
ausgeführt werden sollen. Informationen zur Ermittlung Ihres Verwaltungstyps finden Sie auf der
Informationsseite.
In regelmäßigen Abständen stellt die Client-Software auf Ihrem Computer eine Verbindung mit einer
Website her, um ihre Komponenten zu aktualisieren. Gleichzeitig sendet sie Daten über Erkennungen
auf Ihrem Computer an den Management-Server. Anhand dieser Daten werden Berichte über
Erkennungen und Sicherheitsprobleme auf Ihrem Computer für Ihren Administrator erstellt.
In der Regel wird die Client-Software ohne Ihr Zutun im Hintergrund ausgeführt. Es kann jedoch
vorkommen, dass Sie eine Auswahl treffen müssen. Beispielsweise könnten Sie unter bestimmten
Umständen manuell nach Software-Aktualisierungen suchen oder auf Malware scannen. Abhängig von
den Richtlinien, die von Ihrem Administrator festgelegt wurden, können Sie möglicherweise auch die
Sicherheitseinstellungen anpassen.
Falls Sie ein Administrator sind, können Sie mithilfe von McAfee ePO, McAfee ePO Cloud oder
SecurityCenter die Client-Software zentral verwalten und konfigurieren.
Siehe auch
Informationen zu Ihrem Schutz auf Seite 19
So bleibt Ihr Schutz auf dem neuesten Stand
Regelmäßige Aktualisierungen von Endpoint Security stellen sicher, dass Ihr Computer immer vor den
neuesten Bedrohungen geschützt ist.
Für Aktualisierungen stellt die Client-Software eine Verbindung zu einem lokalen oder Remote-Server
von McAfee ePO oder direkt zu einer Site im Internet her. Endpoint Security sucht nach:
•
Aktualisierungen der Content-Dateien, die zur Erkennung von Bedrohungen verwendet werden.
Content-Dateien enthalten Definitionen für Bedrohungen wie Viren und Spyware. Diese Definitionen
werden aktualisiert, wenn neue Bedrohungen erkannt werden.
•
Upgrades für Software-Komponenten wie Patches und HotFixes.
Auf selbstverwalteten Systemen aktualisiert der Task Standard-Client-Aktualisierung sämtlichen Inhalt
und die Software. Auf verwalteten Systemen aktualisiert dieser Task nur den Inhalt.
Für die vereinfachte Terminologie verwendet diese Hilfe sowohl für Aktualisierungen als auch für
Upgrades den Begriff Aktualisierungen.
Aktualisierungen werden gewöhnlich automatisch im Hintergrund ausgeführt. Möglicherweise müssen
Sie auch manuell nach Aktualisierungen suchen. Je nach Einstellungen können Sie Ihren Schutz
manuell vomEndpoint Security Client aus aktualisieren, indem Sie auf
klicken.
Siehe auch
8
Produkthandbuch
Einführung
1
Funktionsweise von Content-Dateien
Wenn das Scan-Modul Dateien nach Bedrohungen durchsucht, vergleicht es den Inhalt der gescannten
Dateien mit bekannten Bedrohungsinformationen, die in AMCore Content-Dateien gespeichert sind.
Der Exploit-Schutz verwendet seine eigenen Content-Dateien als Schutz vor Exploits.
AMCore Content
McAfee Labs findet Informationen (Signaturen) zu bekannten Bedrohungen und fügt diese den
Content-Dateien hinzu. Content-Dateien enthalten neben Signaturen Informationen zum Säubern und
Entgegenwirken des vom erkannten Virus verursachten Schadens.
Wenn sich die Signatur eines Virus in keiner installierten Content-Datei befindet, kann das Scan-Modul
diesen Virus nicht erkennen und säubern.
Es treten regelmäßig neue Bedrohungen auf. McAfee Labs veröffentlicht fast jeden Tag gegen 19:00
Uhr (MEZ) Scan-Modul-Aktualisierungen und neue Content-Dateien, die die Ergebnisse der
fortlaufenden Bedrohungsforschung beinhalten.
Endpoint Security speichert die aktuell geladene Content-Datei und die vorherigen zwei Versionen im
Ordner Programme\Gemeinsame Dateien\McAfee\Engine\content. Bei Bedarf können Sie eine frühere
Version wiederherstellen.
Wenn neue Malware entdeckt wird und eine zusätzliche Erkennung außerhalb des regulären
Content-Aktualisierungszeitplan nötig ist, veröffentlicht McAfee Labs eine EXTRA.DAT-Datei.
Exploit-Schutz-Content-Datei
Die Exploit-Schutz-Content-Datei enthält:
•
Speicherschutz-Signaturen – Generischer Buffer Overflow-Schutz (GBOP) und Kevlar.
•
Anwendungsschutzliste – Prozesse, die der Exploit-Schutz schützt.
McAfee veröffentlicht einmal im Monat neue Exploit-Schutz-Content-Dateien.
Endpoint Security verfügt über zwei visuelle Komponenten zur Interaktion mit dem Endpoint Security
Client.
•
McAfee-Symbol in der Windows-Taskleiste – Damit können Sie den Endpoint Security Client starten
und den Sicherheitsstatus anzeigen.
•
Benachrichtigungen – Warnt Sie bei Erkennung von Firewall-Eindringungsversuchen, und fordert
Sie zu einem Scan oder einer Eingabe auf.
•
On-Access-Scan-Seite – Zeigt die Liste mit erkannten Bedrohungen an, wenn der
On-Access-Scanner eine Bedrohung erkannt hat.
•
Endpoint Security Client – Zeigt den aktuellen Schutzstatus an und bietet Zugriff auf Funktionen.
Für verwaltete Systeme konfiguriert der Administrator Richtlinien, um die angezeigten Komponenten
festzulegen und weist diese zu.
Siehe auch
Informationen zum McAfee-System-Taskleistensymbol auf Seite 10
Informationen zu Benachrichtigungen auf Seite 10
Verwalten von erkannten Bedrohungen auf Seite 39
Informationen zum Endpoint Security Client auf Seite 11
Produkthandbuch
9
1
Einführung
Informationen zum McAfee-System-Taskleistensymbol
Das McAfee-Symbol in der Windows-Taskleiste bietet Zugriff auf den Endpoint Security Client.
Das McAfee-Symbol ist möglicherweise nicht verfügbar, je nach konfigurierten Einstellungen.
Verwenden Sie das System-Taskleistensymbol für folgende Aufgaben:
•
Überprüfen des Sicherheitsstatus: Klicken Sie mit der rechten Maustaste auf das Symbol, und
wählen Sie Sicherheitsstatus anzeigen, um die Seite McAfee-Sicherheitsstatus anzuzeigen.
•
Öffnen des Endpoint Security Client: Klicken Sie mit der rechten Maustaste auf das Symbol, und
wählen Sie McAfee Endpoint Security.
So erkennen Sie den Status von Endpoint Security am Symbol
Der Status von Endpoint Security lässt sich am Anzeigebild des Symbols ablesen. Bewegen Sie den
Cursor über das Symbol, um eine Nachricht mit einer Beschreibung des Status anzuzeigen.
Symbol Zeigt Folgendes an...
Endpoint Security schützt Ihr System. Es sind keine Probleme vorhanden.
Endpoint Security erkennt ein Problem mit Ihrer Sicherheit, etwa dass ein Modul oder eine
Technologie deaktiviert ist.
• Firewall ist deaktiviert.
• Threat Prevention – Exploit-Schutz, On-Access-Scan oder ScriptScan ist deaktiviert.
Endpoint Security meldet Probleme auf andere Weise, je nach dem Verwaltungstyp.
Selbstverwaltet Eine oder mehrere Technologien sind deaktiviert.
Verwaltet
Eine oder mehrere Technologien wurde manuell deaktiviert und nicht als
Ergebnis einer Richtlinienerzwingung durch den Management-Server.
Wenn ein Problem erkannt wird, zeigt die Seite McAfee-Sicherheitsstatus an, welches Modul oder
welche Technologie deaktiviert ist.
Informationen zu Benachrichtigungen
Endpoint Security verwendet zwei Arten von Benachrichtigungen, um Sie über Probleme mit Ihrem
Schutz zu informieren oder Eingaben anzufragen. Einige Benachrichtigungen werden möglicherweise
nicht angezeigt, je nach Konfiguration.
Endpoint Security sendet zwei Arten von Benachrichtigungen:
•
Warnungen erscheinen für fünf Sekunden auf dem McAfee-Symbol.
Warnungen benachrichtigen Sie über erkannte Bedrohungen, etwa Firewall-Intrusionsereignisse
oder wenn ein On-Demand-Scan angehalten bzw. fortgesetzt wird. Es sind keine Reaktionen
Ihrerseits erforderlich.
•
Aufforderungen öffnen eine Seite am unteren Rand Ihres Bildschirms und bleiben solange
sichtbar, bis Sie eine Option wählen.
Beispiel:
10
•
Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von Endpoint Security
möglicherweise eine Aufforderung, den Scan zu verschieben.
•
Wenn der On-Access-Scanner eine Bedrohung erkennt, erhalten Sie möglicherweise von
Endpoint Security die Aufforderung, auf die Erkennung zu reagieren.
Produkthandbuch
Einführung
1
Im Metro-Modus in Windows 8 werden Pop-Up-Benachrichtigungen in der rechten oberen Ecke des
Bildschirms angezeigt, um Sie über Warnungen und Aufforderungen zu informieren. Klicken Sie auf die
Pop-Up-Benachrichtigung, um sie im Desktopmodus anzuzeigen.
Der Vorgang "McTray.exe" muss für Endpoint Security ausgeführt werden, um Warnungen und
Aufforderungen anzuzeigen.
Siehe auch
Reagieren auf eine Aufforderung bei erkannter Bedrohung auf Seite 18
Reagieren auf eine Scan-Aufforderung auf Seite 18
Informationen zum Endpoint Security Client
Mit dem Endpoint Security Client können Sie den Schutzstatus überprüfen und auf Funktionen auf
Ihrem Computer zugreifen.
•
Optionen im Menü Aktionen
Einstellungen
bieten Zugriff auf Funktionen.
Konfiguriert Funktionseinstellungen.
Diese Menüoption ist verfügbar, wenn eine der folgenden Möglichkeiten
zutrifft:
• Der Client-Schnittstellen-Modus auf Vollzugriff gesetzt ist.
• Sie als Administrator angemeldet sind.
Extra.DAT-Dateien laden
Lässt Sie eine heruntergeladene EXTRA.DAT-Datei installieren.
Rollback von AMCore Content Setzt den AMCore Content auf eine frühere Version zurück.
Diese Menüoption ist verfügbar, wenn eine frühere Version von AMCore
Content auf dem System vorhanden ist und wenn eine der folgenden
Möglichkeiten zutrifft:
• Der Client-Schnittstellen-Modus auf Vollzugriff gesetzt ist.
• Sie als Administrator angemeldet sind.
Hilfe
Zeigt Hilfe an.
Support-Links
Zeigt eine Seite mit Links zu hilfreichen Seiten an wie das McAfee
ServicePortal und das Knowledge Center.
Administratoranmeldung
Für die Anmeldung als Website-Administrator. (Die Anmeldeinformationen
des Administrators sind erforderlich.)
Das Standardkennwort ist mcafee.
Diese Menüoption ist verfügbar, wenn der Client-Schnittstellen-Modus auf
Vollzugriff gesetzt ist. Wenn Sie schon als Administrator angemeldet sind,
ist diese Option Administratorabmeldung.
Informationen
Zeigt Informationen zu Endpoint Security an.
Beenden
Beendet den Endpoint Security Client.
Produkthandbuch
11
1
Einführung
•
Schaltflächen rechts oben auf der Seite bieten schnellen Zugriff auf häufig verwendete Tasks.
Überprüfung Ihres Systems auf Malware mit einem vollständigen Scan
oder Schnellscan.
Diese Schaltfläche ist nur verfügbar, wenn das Threat Prevention-Modul
installiert ist.
Aktualisiert Content-Dateien und Software-Komponenten auf Ihrem
Computer.
Diese Schaltfläche wird möglicherweise nicht angezeigt, je nach
Konfiguration.
•
Die Schaltflächen links auf der Seite bieten Informationen zu Ihrem Schutz.
Status
Bringt Sie zurück zur Status-Hauptseite.
Ereignisprotokoll Zeigt das Protokoll aller Schutz- und Bedrohungsereignisse auf diesem Computer
an.
Quarantäne
Öffnet den Quarantäne-Manager.
Diese Schaltfläche ist nur verfügbar, wenn das Threat Prevention-Modul installiert
ist.
•
Die Bedrohungszusammenfassung bietet Informationen zu Bedrohungen, die Endpoint Security in
Ihrem System während der letzten 30 Tage erkannt hat.
Siehe auch
Laden einer EXTRA.DAT-Datei auf Seite 27
Anmelden als Administrator auf Seite 24
Scannen Ihres Computers auf Malware auf Seite 35
Anzeigen des Ereignisprotokolls auf Seite 21
Verwalten von isolierten Elementen auf Seite 39
Verwalten von Endpoint Security auf Seite 24
Informationen zur Bedrohungszusammenfassung auf Seite 12
Informationen zur Bedrohungszusammenfassung
Die Endpoint Security Client-Statusseite bietet eine Zusammenfassung in Echtzeit von allen
Bedrohungen, die in Ihrem System während der letzten 30 Tage erkannt wurden.
Wenn neue Bedrohungen erkannt werden, aktualisiert die Statusseite dynamisch im unteren Bereich
unter Bedrohungszusammenfassung die Daten.
12
Produkthandbuch
Einführung
1
Die Bedrohungszusammenfassung beinhaltet:
•
Datum der letzten eliminierten Bedrohung
•
Die zwei häufigsten Bedrohungsvektoren nach Kategorie:
Bedrohungen aus Webseiten oder Downloads.
Web
Externes Gerät oder Medien Bedrohungen aus externen Geräten, wie USB, Firewire 1394, eSATA, Band,
CD, DVD oder Diskette.
•
Netzwerk
Bedrohungen aus dem Netzwerk (nicht aus Netzwerkdateifreigaben).
Lokales System
Bedrohungen aus dem Laufwerk des lokalen Startdateisystems (gewöhnlich
C:) oder aus anderen Laufwerken, die nicht unter Externes Gerät oder
Medien fallen.
Dateifreigabe
Bedrohungen aus einer Netzwerkdateifreigabe.
E-Mail
Bedrohungen aus E-Mail-Nachrichten.
Instant Message
Bedrohungen durch Instant Messaging.
Unbekannt
Bedrohungen, wo der Angriffsvektor nicht ermittelt werden kann (aufgrund
eines Fehlers oder anderen Versagens).
Anzahl der Bedrohungen pro Bedrohungsvektor
Wenn der Endpoint Security Client den Ereignis-Manager nicht erreichen kann, zeigt Endpoint Security
Client eine Kommunikationsfehlermeldung an. Starten Sie in diesem Fall Ihr System neu, um die
Bedrohungszusammenfassung anzuzeigen.
Auswirkungen von Einstellungen auf den Client
Ihrem Computer zugewiesene Einstellungen für den Client-Schnittstellen-Modus legen fest, auf welche
Module und Funktionen Sie zugreifen können.
Ändern Sie den Client-Schnittstellen-Modus in den Common-Einstellungen.
Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee ePO, McAfee ePO Cloud oder dem
SecurityCenter Änderungen von der Einstellungen-Seite überschreiben.
Die Optionen für den Client-Schnittstellen-Modus sind folgende:
Produkthandbuch
13
1
Einführung
Ermöglicht den Zugriff auf alle Funktionen, darunter:
Vollzugriff
• Aktivieren und Deaktivieren einzelner Module und Funktionen.
• Zugriff auf die Seite Einstellungen, um alle Einstellungen für den Endpoint
Security Client anzuzeigen oder zu ändern.
Dieser Modus ist die Standardeinstellung für selbstverwaltete Systeme.
Standardzugriff
Zeigt den Schutzstatus an und bietet Zugriff auf die meisten Funktionen:
• Aktualisiert die Content-Dateien und Software-Komponenten auf Ihrem
Computer (wenn vom Administrator aktiviert).
• Ausführen einer gründlichen Überprüfung aller Bereiche auf Ihrem System
(empfohlen, wenn Sie vermuten, dass Ihr Computer infiziert ist).
• Ausführen einer schnellen (zweiminütigen) Überprüfung der für Infektionen
besonders anfälligen Systembereiche.
• Zugreifen auf das Ereignisprotokoll.
• Verwalten der Elemente in der Quarantäne.
Dieser Modus ist die Standardeinstellung für verwaltete Systeme.
Wenn der Schnittstellenmodus auf Standardzugriff gesetzt ist, können Sie sich
als Administrator anmelden, um auf alle Funktionen, einschließlich
Einstellungen, zuzugreifen.
Client-Benutzeroberfläche
sperren
Erfordert ein Kennwort für den Zugriff auf den Client.
Sobald Sie die Client-Schnittstelle entsperrt haben, können Sie auf alle
Funktionen zugreifen.
Wenn Sie nicht auf den Endpoint Security Client oder bestimmte Tasks und Funktionen zugreifen
können, die Sie für Ihre Arbeit benötigen, wenden Sie sich an Ihren Administrator.
Siehe auch
Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit auf Seite 29
Diese Auswirkungen haben Module auf den Client
Einige Aspekte des Clients sind möglicherweise nicht verfügbar, je nach den auf Ihrem Computer
installierten Modulen.
Diese Funktionen sind nur bei der Installation von Threat Prevention verfügbar:
•
-Schaltfläche
•
14
Quarantäne-Schaltfläche
Produkthandbuch
Einführung
1
Die auf dem System installierten Funktionen entscheiden über die angezeigten Funktionen:
•
Im Dropdown-Menü Ereignisprotokoll Nach Modul filtern.
•
Auf der Seite Einstellungen.
Common
Wird angezeigt, wenn ein Modul installiert ist.
Threat Prevention
Wird nur angezeigt, wenn Threat Prevention installiert ist.
Firewall
Wird nur angezeigt, wenn Firewall installiert ist.
Web Control
Wird nur angezeigt, wenn Web Control installiert ist.
Je nach Client-Schnittstellen-Modus und wie der Administrator Ihren Zugriff konfiguriert hat, sind einige
oder alle Funktion möglicherweise nicht verfügbar.
Siehe auch
Auswirkungen von Einstellungen auf den Client auf Seite 13
Produkthandbuch
15
1
Einführung
16
Produkthandbuch
2
Verwenden Sie den Client zum Ausführen der meisten Funktionen wie System-Scans und Verwalten
von isolierten Elementen im Standardzugriffsmodus.
Inhalt
Öffnen des Endpoint Security Client
Hilfe anfordern
Reagieren auf Aufforderungen
Informationen zu Ihrem Schutz
Manuelles Aktualisieren von Schutz und Software
Anzeigen des Ereignisprotokolls
Verwalten von Endpoint Security
Öffnen des Endpoint Security Client
Öffnen Sie den Endpoint Security Client, um den Status der auf dem Computer installierten
Schutzfunktionen anzuzeigen.
Wenn der Schnittstellenmodus auf Client-Benutzeroberfläche sperren eingestellt ist, müssen Sie das
Administratorkennwort eingeben, um den Endpoint Security Client zu öffnen.
Vorgehensweise
1
Verwenden Sie eine der folgenden Methoden zur Anzeige von Endpoint Security Client:
•
Klicken Sie mit der rechten Maustaste auf das System-Taskleistensymbol, und wählen Sie dann
McAfee Endpoint Security.
•
Wählen Sie Start | Alle Programme | McAfee | McAfee Endpoint Securityaus.
•
2
Starten Sie Windows 8 die McAfee Endpoint Security-App.
1
Drücken Sie die Windows-Taste, um die Startseite anzuzeigen.
2
Geben Sie McAfee Endpoint Security, und doppelklicken Sie auf die McAfee Endpoint
Security-App oder tippen Sie darauf.
Geben Sie auf Aufforderung auf der Seite Administratoranmeldung das Administratorkennwort ein, und
klicken Sie dann auf Anmelden.
Der Endpoint Security Client wird im Schnittstellenmodus geöffnet, den der Administrator konfiguriert
hat.
Siehe auch
Produkthandbuch
17
2
Hilfe anfordern
Hilfe anfordern
Bei der Arbeit auf dem Client können Sie Hilfethemen entweder über die Menüoption Hilfe oder über
das Symbol ? aufrufen.
Vorgehensweise
1
Öffnen Sie den Endpoint Security Client.
2
Je nach der Seite, auf der Sie sich befinden:
•
Seiten Status, Ereignisprotokoll und Quarantäne: Wählen Sie im Menü Aktion
•
Seiten Einstellungen, Aktualisierung, System scannen, Roll Back von AMCore Content und EXTRA.DAT-Dateien laden:
Klicken Sie auf ? auf der Benutzeroberfläche.
Hilfe.
Reagieren auf Aufforderungen
Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie je nach Konfigurierung der
Einstellungen von Endpoint Security möglicherweise eine Aufforderung, per Eingabe fortzufahren.
Aufgaben
•
Wenn ein Scanner eine Bedrohung erkennt, werden Sie je nach den konfigurierten
Einstellungen möglicherweise von Endpoint Security aufgefordert, per Eingabe fortzufahren.
•
Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von Endpoint
Security möglicherweise eine Aufforderung, per Eingabe fortzufahren. Die Aufforderung
wird nur angezeigt, wenn der Scan so konfiguriert ist, dass Sie den Scan verschieben,
anhalten, fortsetzen oder abbrechen dürfen.
Reagieren auf eine Aufforderung bei erkannter Bedrohung
Wenn ein Scanner eine Bedrohung erkennt, werden Sie je nach den konfigurierten Einstellungen
möglicherweise von Endpoint Security aufgefordert, per Eingabe fortzufahren.
Bildschirms angezeigt, um Sie über erkannte Bedrohungen zu informieren. Klicken Sie auf die
Pop-Up-Benachrichtigung, um die Aufforderung im Desktopmodus anzuzeigen.
Vorgehensweise
Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
•
Wählen Sie auf der Seite On-Access-Scan Optionen, um erkannte Bedrohungen zu verwalten.
Sie können die Scan-Seite erneut, um jederzeit erkannte Bedrohungen zu verwalten.
Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der Endpoint Security-Dienst oder das
System neu gestartet wird.
Siehe auch
Reagieren auf eine Scan-Aufforderung
Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von Endpoint Security
möglicherweise eine Aufforderung, per Eingabe fortzufahren. Die Aufforderung wird nur angezeigt,
18
Produkthandbuch
2
wenn der Scan so konfiguriert ist, dass Sie den Scan verschieben, anhalten, fortsetzen oder abbrechen
dürfen.
Wenn Sie keine Option auswählen, startet der Scan automatisch.
Nur in verwalteten Systemem: Wenn der Scan nur ausgeführt wird, wenn der Computer im Leerlauf
ist, zeigt Endpoint Security ein Dialogfeld an, wenn der Scan angehalten wurde. Bei entsprechender
Konfiguration können Sie angehaltene Scans auch fortsetzen oder sie zurücksetzen und nur ausführen
lassen, wenn sich das System im Leerlauf befindet.
Bildschirms angezeigt, um Sie zu einer Eingabe aufzufordern. Klicken Sie auf die
Pop-Up-Benachrichtigung, um die Aufforderung im Desktopmodus anzuzeigen.
Vorgehensweise
•
Wählen Sie bei Aufforderung eine der folgenden Optionen aus.
Die angezeigten Optionen sind abhängig von der Scan-Konfiguration.
Jetzt scannen
Startet de Scan sofort.
Scan anzeigen
Zeigt Erkennungen für laufende Scans an.
Scan anhalten
Hält den Scan an. Je nach Konfiguration wird der Scan beim Klicken auf Scan anhalten
möglicherweise zurückgesetzt und nur ausgeführt, wenn sich das System im
Leerlauf befindet. Klicken Sie auf Scan fortsetzen, um den Scan an der Stelle
fortzusetzen, an der die Unterbrechung stattgefunden hat.
Scan fortsetzen
Setzt einen angehaltenen Scan fort.
Scan abbrechen
Bricht den Scan ab.
Scan verschieben Verschiebt den Scan für die festgelegte Anzahl an Stunden.
Optionen für den geplanten Scan legen fest, wie oft Sie den Scan eine Stunde lang
verschieben können. Sie können den Scan möglicherweise öfter als ein Mal
verschieben.
Schließen
Schließt die Scan-Seite.
Wenn der Scanner eine Bedrohung erkennt, werden Sie je nach den konfigurierten Einstellungen
möglicherweise von Endpoint Security aufgefordert, per Eingabe fortzufahren.
Siehe auch
Sie können Informationen zu Ihrem Endpoint Security-Schutz abrufen, etwa zu Verwaltungstypen,
Schutzmodulen, Funktionen, Status, Versionsnummern und Lizenzen.
Vorgehensweise
1
2
Wählen Sie im Menü Aktion
Informationen.
Produkthandbuch
19
2
3
Klicken Sie links auf den Namen eines Moduls oder einer Funktion, um Informationen zum Element
anzuzeigen.
4
Klicken Sie auf die Browser-Schaltfläche Schließen, um die Seite Informationen zu schließen.
Siehe auch
Verwaltungstypen auf Seite 20
Verwaltungstypen
Der Verwaltungstyp zeigt an, wie Endpoint Security verwaltet wird.
Verwaltungstyp
Beschreibung
McAfee ePolicy Orchestrator
Ein Administrator verwaltet Endpoint Security mithilfe von McAfee
ePO (lokal).
McAfee ePolicy Orchestrator
Cloud
Ein Administrator verwaltet Endpoint Security mithilfe von McAfee
ePO Cloud.
McAfee SecurityCenter
Ein Administrator verwaltet Endpoint Security mithilfe von
SecurityCenter.
Selbstverwaltet
Endpoint Security wird lokal mithilfe von Endpoint Security Client
verwaltet. Dieser Modus wird auch als nicht verwaltet oder
Standalone bezeichnet.
Sie können je nach Konfigurierung der Einstellungen manuell nach Aktualisierungen für
Content-Dateien und Software-Komponenten suchen und diese auf Ihren Computer herunterladen.
nicht im Client angezeigt wird, können Sie die Schaltfläche in den
Wenn
Einstellungen aktivieren. Weitere Informationen finden Sie unter Konfigurieren des auf Seite 31.
Manuelle Aktualisierungen werden auch On-Demand-Aktualisierungengenannt.
Vorgehensweise
1
2
Klicken Sie auf
.
Endpoint Security Client sucht nach Aktualisierungen.
•
Wenn Sie die Aktualisierung abbrechen möchten, wählen Sie Abbrechen.
Diese Option ist nur auf selbstverwalteten und von McAfee ePO verwalteten Systemen verfügbar.
20
Produkthandbuch
2
•
Wenn Ihr System auf dem neuesten Stand ist, wird die Seite Keine Aktualisierungen verfügbar
angezeigt sowie das Datum und die Zeit der letzten Aktualisierung.
•
Wenn die Aktualisierung erfolgreich abgeschlossen wird, wird auf der Seite das aktuelle Datum
und die Zeit der letzten Aktualisierung angezeigt.
Alle Nachrichten oder Fehler werden im Nachrichten-Bereich angezeigt.
Zeigen Sie das Protokoll PackageManager_Activity.log oder PackageManager_Debug.log an.
3
Klicken Sie auf Schließen, um die Aktualisierungsseite zu schließen.
Siehe auch
So bleibt Ihr Schutz auf dem neuesten Stand auf Seite 8
Informationen zu Protokolldateien auf Seite 22
Konfigurieren des auf Seite 31
In den Aktivitäts- und Fehlerbehebungsprotokollen wird ein Datensatz mit Ereignissen gespeichert, die
in Ihrem von McAfee geschützten System auftreten. Sie können das Ereignisprotokoll im Endpoint
Security Client anzeigen.
Wählen Sie für Hilfe im Menü Aktion
Hilfe.
Vorgehensweise
1
2
Klicken Sie links auf der Seite auf Ereignisprotokoll.
Die Seite zeigt alle Ereignisse an, die von Endpoint Security in den vergangenen 30 Tagen in Ihrem
System protokolliert wurden.
Wenn der Endpoint Security Client den Ereignis-Manager nicht erreichen kann, wird eine
Kommunikationsfehlermeldung angezeigt. Starten Sie in diesem Fall Ihr System neu, um das
Ereignisprotokoll anzuzeigen.
3
Wählen Sie aus dem oberen Bereich ein Ereignis aus, um die Details unten anzuzeigen.
Klicken Sie auf das Widget zwischen den Bereichen und ziehen Sie daran, um die Größe der
Bereiche zu ändern.
Produkthandbuch
21
2
4
Auf der Ereignisprotokoll-Seite können Sie Ereignisse sortieren, suchen, filtern oder erneut laden.
Die angezeigten Optionen sind abhängig von der Scan-Konfiguration.
Sortieren von Ereignissen nach
Datum, Funktionen,
Maßnahmen und Schweregrad
Klicken Sie auf die Tabellenspaltenüberschrift.
Durchsuchen des
Ereignisprotokolls
Geben Sie den Suchtext in das Suchfeld ein und drücken Sie
auf Enter, oder klicken Sie auf Suchen.
Bei der Suche muss die Groß-/Kleinschreibung beachtet
werden. Es werden alle Felder des Ereignisprotokolls nach
dem Suchtext durchsucht. Die Ereignisliste zeigt alle
Elemente mit passendem Text an.
Zum Abbrechen der Suche und Anzeigen aller Ereignisse
klicken Sie im Suchfeld auf das x.
5
Filtern von Ereignissen nach
Schweregrad oder Modul
Wählen Sie in der Dropdown-Filterliste eine Option.
Aktualisieren der
Ereignisprotokoll -Anzeige mit
neuen Ereignissen
Klicken Sie auf
Öffnen des Folders, der die
Protokolldateien enthält
Klicken Sie auf Protokollordner anzeigen.
Wählen Sie zum Entfernen des Filters und Anzeigen aller
Ereignisse Alle Ereignisse anzeigen aus der Dropdown-Liste.
.
Navigieren Sie zum Ereignisprotokoll.
Anzeigen der vorherigen Seite mit
Ereignissen
Klicken Sie Vorherige Seite.
Anzeigen der nächsten Seite mit
Ereignissen
Klicken Sie auf Nächste Seite.
Zeigt eine bestimmte Seite im Protokoll
an
Geben Sie eine Seitenzahl ein, und drücken Sie
Enter, oder klicken Sie auf Start.
Standardmäßig zeigt das Ereignisprotokoll 20 Ereignisse pro Seite an. Zum Anzeigen weiterer
Ereignisse pro Seite wählen Sie eine Option aus der Dropdown-Liste Ereignisse pro Seite.
Siehe auch
Informationen zu Protokolldateien
Die Aktivitäts-, Fehler- und Fehlerbehebungsprotokolldateien zeichnen Ereignisse auf, die in Systemen
mit aktivierter Endpoint Security auftreten. Konfigurieren Sie die Protokollierung in den
Common-Einstellungen.
Protokolldateien werden immer in der von der Ländereinstellung des Systems festgelegten Sprache
angezeigt.
Alle Aktivitäts- und Fehlerbehebungsprotokolle werden in Abhängigkeit Ihres Betriebssystems in einem
der folgenden Standardverzeichnisse gespeichert.
Betriebssystem
Standardspeicherort
Microsoft Windows 8.1 (Blue) %ProgramData%\McAfee\Endpoint Security\Logs
%ProgramData%\McAfee\Endpoint Security\Installer\Logs
Microsoft Windows 8
22
Produkthandbuch
Betriebssystem
2
Standardspeicherort
Microsoft Windows 7
Microsoft Vista
C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten
\McAfee\Endpoint Security\Logs
Microsoft Windows XP
Ordner "McAfee\Endpoint Security\Logs" im Ordner
"Anwendungsdaten"
Jedes Modul und jede Funktion oder Technologie erstellt für die Aktivitäts- oder
Fehlerbehebungsprotokollierung eine separate Datei. Alle Module erstellen für die
Fehlerprotokollierung ein einzelne Datei EndpointSecurityPlatform_Errors.log.
Das Aktivieren der Protokollierung der Fehlerbehebung für ein Modul aktiviert diese auch für die
Common-Modulfunktionen wie den Selbstschutz.
Tabelle 2-1 Protokolldateien
Modul
Funktion oder Technologie
Common
Dateiname
EndpointSecurityPlatform_Activity.log
EndpointSecurityPlatform_Debug.log
Selbstschutz
SelfProtection_Activity.log
SelfProtection_Debug.log
Aktualisierungen
PackageManager_Activity.log
PackageManager_Debug.log
Fehler
Threat
Prevention
EndpointSecurityPlatform_Errors.log
Das Aktivieren der
Protokollierung der
Fehlerbehebung für eine Threat
Prevention-Technologie aktiviert
diese auch für Endpoint Security
Client.
Zugriffsschutz
ThreatPrevention_Activity.log
ThreatPrevention_Debug.log
AccessProtection_Activity.log
AccessProtection_Debug.log
Exploit-Schutz
ExploitPrevention_Activity.log
ExploitPrevention_Debug.log
On-Access-Scanner
OnAccessScan_Activity.log
OnAccessScan_Debug.log
On-Demand-Scanner
OnDemandScan_Activity.log
• Schnellscan
OnDemandScan_Debug.log
• Vollständiger Scan
• Scan per Kontextmenü
Endpoint Security Client
Firewall
MFEConsole_Debug.log
Firewall_Activity.log
Firewall_Debug.log
FirewallEventMonitor.log
Protokolliert blockierten und zugelassenen
Netzwerkverkehr, wenn konfiguriert.
Produkthandbuch
23
2
Tabelle 2-1 Protokolldateien (Fortsetzung)
Modul
Funktion oder Technologie
Web Control
Dateiname
WebControl_Activity.log
WebControl_Debug.log
Als Administrator können Sie Endpoint Security über den Endpoint Security Client verwalten. Sie
können auch Funktionen deaktivieren und aktivieren, Content-Dateien verwalten, das Verhalten der
Client-Schnittstelle festlegen und Moduleinstellungen konfigurieren.
Siehe auch
Deaktivieren und Aktivieren von Funktionen auf Seite 25
Ändern der AMCore Content-Version auf Seite 25
Verwenden von EXTRA.DAT-Dateien auf Seite 26
Konfigurieren gemeinsamer Einstellungen auf Seite 27
Anmelden als Administrator
Wenn der Schnittstellenmodus für Endpoint Security Client auf Standardzugriff gesetzt ist, können Sie
sich als Administrator anmelden, um auf alle Einstellungen zuzugreifen.
Bevor Sie beginnen
Der Schnittstellenmodus für den Endpoint Security Client muss auf Standardzugriff eingestellt
sein.
Hilfe.
Vorgehensweise
1
2
3
Geben Sie im Feld Kennwort das Administratorkennwort ein, und klicken Sie dann auf Anmelden.
Administratoranmeldung.
Sie können jetzt auf alle Funktionen des Endpoint Security Client zugreifen.
Zum Abmelden wählen Sie Aktion | Administratorabmeldung. Der Client kehrt zum
SchnittstellenmodusStandardzugriff zurück.
Entsperren der Client-Schnittstelle
Wenn die Schnittstelle für Endpoint Security Client gesperrt ist, können Sie die Schnittstelle mit dem
Administratorkennwort entsperren, um auf alle Einstellungen zuzugreifen.
Bevor Sie beginnen
Der Schnittstellenmodus für den Endpoint Security Client muss auf Client-Benutzeroberfläche
sperren eingestellt sein.
24
Produkthandbuch
2
Vorgehensweise
1
2
Geben Sie auf der Seite Administratoranmeldung im Feld Kennwort das Administratorkennwort ein, und
klicken Sie dann auf Anmelden.
Endpoint Security Client wird geöffnet, und Sie können jetzt auf alle Funktionen des Clients zugreifen.
Wählen Sie zum Abmelden und Schließen des Clients im Menü Aktion
Administratorabmeldung.
Deaktivieren und Aktivieren von Funktionen
Als Administrator können Sie Endpoint Security-Funktionen über den Endpoint Security Client
deaktivieren und aktivieren.
Bevor Sie beginnen
Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein,
oder Sie müssen als Administrator angemeldet sein.
Die Status-Seite zeigt den aktivierten Status des Funktionsmoduls, der möglicherweise nicht den
tatsächlichen Status der Funktion wiedergibt. Sie können den Status jeder Funktion auf der
Einstellungen-Seite. Wenn beispielsweise die Einstellung ScriptScan aktivieren nicht erfolgreich angewendet
wird, ist der Status möglicherweise (Status: Deaktiviert).
Vorgehensweise
1
2
Klicken Sie auf der Status-Hauptseite auf den Modulnamen (wie Threat Prevention oder Firewall).
Oder wählen Sie im Menü Aktion
Modulnamen.
3
Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf den
Wählen Sie die Option Aktivieren für Modul oder Funktion.
Das Aktivieren der Threat Prevention-Funktionen aktiviert das Threat Prevention-Modul.
Siehe auch
Ändern der AMCore Content-Version
Verwenden Sie Endpoint Security Client zum Ändern der Version von AMCore Content auf Ihrem
System.
Bevor Sie beginnen
Endpoint Security speichert die aktuell geladene Content-Datei und die vorherigen zwei Versionen im
Ordner Programme\Gemeinsame Dateien\McAfee\Engine\content. Bei Bedarf können Sie eine frühere
Version wiederherstellen.
Produkthandbuch
25
2
Vorgehensweise
1
2
3
Wählen Sie aus dem Dropdown-Menü die zu ladende Version aus.
4
Klicken Sie auf Übernehmen.
Roll Back von AMCore Content.
Die neuen Informationen zu Erkennungen in der geladenen AMCore Content-Datei werden umgehend
wirksam.
Siehe auch
Funktionsweise von Content-Dateien auf Seite 9
Verwenden von EXTRA.DAT-Dateien
Sie können eine EXTRA.DAT-Datei installieren, um Ihr System vor einem gravierenden
Malware-Ausbruch zu schützen, bis die nächste geplante AMCore Content-Aktualisierung veröffentlicht
wird.
Aufgaben
•
Herunterladen von EXTRA.DAT-Dateien auf Seite 27
Um eine EXTRA.DAT-Datei herunterzuladen, klicken Sie auf den Download-Link, den Sie
von McAfee Labs erhalten haben.
•
Laden einer EXTRA.DAT-Datei auf Seite 27
Verwenden Sie zum Installieren der heruntergeladenen EXTRA.DAT-Datei Endpoint Security
Client.
Siehe auch
Informationen zu EXTRA.DAT-Dateien auf Seite 26
Informationen zu EXTRA.DAT-Dateien
Wenn neue Malware entdeckt wird und eine zusätzliche Erkennung nötig ist, veröffentlicht McAfee Labs
eine EXTRA.DAT-Datei. EXTRA.DAT-Dateien enthalten Informationen, die Threat Prevention zur
Verarbeitung der neuen Malware verwendet wird.
Sie können EXTRA.DAT-Dateien für bestimmte Bedrohungen von der WebsiteMcAfee Labs Extra.DAT
Request Page herunterladen.
Threat Prevention unterstützt nur die Verwendung einer EXTRA.DAT-Datei zu einer Zeit.
Jede EXTRA.DAT-Datei hat ein integriertes Ablaufdatum. Wenn die EXTRA.DAT-Datei geladen wird,
wird das Ablaufdatum mit dem Build-Datum des auf dem System installierten AMCore Content
verglichen. Wenn das Build-Datum des AMCore Content neuer ist als das
EXTRA.DAT-Datei-Ablaufdatum, wird die EXTRA.DAT-Datei als abgelaufen angesehen und vom Modul
nicht mehr geladen und verwendet. Während der nächsten Aktualisierung wird die EXTRA.DAT-Datei
vom System entfernt.
Wenn die nächste Aktualisierung von AMCore Content die EXTRA.DAT-Signatur enthält, wird die
EXTRA.DAT-Datei entfernt.
26
Produkthandbuch
2
Endpoint Security speichert Extra.DAT-Dateien im Ordner c:\Program Files\Common Files\McAfee
\Engine\content\avengine\extradat.
Herunterladen von EXTRA.DAT-Dateien
Um eine EXTRA.DAT-Datei herunterzuladen, klicken Sie auf den Download-Link, den Sie von McAfee
Labs erhalten haben.
Vorgehensweise
1
Klicken Sie auf den Download-Link, geben Sie einen Speicherort für die EXTRA.DAT-Datei an, und
klicken Sie dann auf Speichern.
2
Dekomprimieren Sie gegebenenfalls die EXTRA.ZIP-Datei.
3
Laden Sie die EXTRA.DAT-Datei mit Endpoint Security Client.
Laden einer EXTRA.DAT-Datei
Verwenden Sie zum Installieren der heruntergeladenen EXTRA.DAT-Datei Endpoint Security Client.
Bevor Sie beginnen
Vorgehensweise
1
2
3
Klicken Sie aufDurchsuchen, navigieren Sie zu dem Speicherort, in den die EXTRA.DAT-Datei
heruntergeladen wurde, und klicken Sie dann auf Öffnen.
4
Klicken Sie auf Übernehmen.
EXTRA.DAT-Dateien laden.
Die neuen Informationen zu Erkennungen in der EXTRA.DAT-Datei werden umgehend wirksam.
Siehe auch
Konfigurieren gemeinsamer Einstellungen
Konfigurieren Sie im Common-Modul Einstellungen, die auf alle Module und Funktionen von Endpoint
Security zutreffen. Zu diesen Einstellungen gehören Benutzeroberflächensicherheit und
Produkthandbuch
27
2
Spracheinstellungen für Endpoint Security Client, Protokollierung sowie Einstellungen für den
Proxy-Server für McAfee GTI und Aktualisierungskonfigurationen.
Aufgaben
•
Schützen von Endpoint Security-Ressourcen auf Seite 28
Malware versucht bei einem Angriff oft zunächst, Ihre Systemsicherheitssoftware zu
deaktivieren. Konfigurieren Sie den Endpoint Security-Selbstschutz in den Einstellungen des
Common, damit Endpoint Security-Dienste und -Dateien nicht beendet oder geändert
werden können.
•
Konfigurieren von Protokollierungseinstellungen auf Seite 29
Konfigurieren Sie die Endpoint Security-Protokollierung in den Common-Einstellungen.
•
Konfigurieren Sie das Schnittstellenkennwort und die Anzeigeoptionen für Endpoint Security
Client in den Common-Einstellungen.
•
Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI auf Seite 30
Legen Sie Proxy-Server-Optionen für das Abrufen der McAfee GTI-Reputation in den
Einstellungen für das Common fest.
•
Geben Sie in den Common- das Verhalten für Aktualisierungen an, die vom Endpoint
Security Client initiiert werden.
•
Konfigurieren von Quellsites für Client-Aktualisierungen auf Seite 32
In selbstverwalteten Systemen können Sie in den Common- die Sites konfigurieren, von
denen der Endpoint Security Client aktualisierte Sicherheitsdateien erhält.
•
Planen des Tasks Standard-Client-Aktualisierung auf Seite 33
Sie können den TaskStandard-Client-Aktualisierung über den Endpoint Security Client in
den Einstellungen für das Commonändern oder planen.
Schützen von Endpoint Security-Ressourcen
Malware versucht bei einem Angriff oft zunächst, Ihre Systemsicherheitssoftware zu deaktivieren.
Konfigurieren Sie den Endpoint Security-Selbstschutz in den Einstellungen des Common, damit
Endpoint Security-Dienste und -Dateien nicht beendet oder geändert werden können.
Bevor Sie beginnen
Für Benutzer, Administratoren, Entwickler oder Sicherheitsexperten sollte es nie notwendig sein, den
Endpoint Security-Schutz in ihren Systemen zu deaktivieren.
Vorgehensweise
28
1
2
3
Klicken Sie auf Erweiterte anzeigen.
4
Prüfen Sie unter Selbstschutz, dass Selbstschutz aktiviert ist.
Einstellungen aus.
Produkthandbuch
2
5
6
Legen Sie die Aktion für jede der folgenden Endpoint Security-Ressourcen fest:
•
Dateien und Ordner – Verhindert, dass die Benutzer die Datenbanken, Binärdateien, Dateien für die
sichere Suche und Konfigurationsdateien von McAfee ändern.
•
Registrierung – Verhindert, dass die Benutzer Systeme die Registrierungsstruktur und
COM-Komponenten von McAfee ändern oder eine Deinstallation mithilfe des Registrierungswerts
durchführen.
•
Prozesse – Verhindert, dass McAfee-Prozesse angehalten werden.
Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch
Konfigurieren von Protokollierungseinstellungen
Konfigurieren Sie die Endpoint Security-Protokollierung in den Common-Einstellungen.
Bevor Sie beginnen
Vorgehensweise
1
2
3
4
Konfigurieren Sie die Einstellungen der Client-Protokollierung auf der Seite.
5
Einstellungen aus.
Siehe auch
Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit
Konfigurieren Sie das Schnittstellenkennwort und die Anzeigeoptionen für Endpoint Security Client in
den Common-Einstellungen.
Bevor Sie beginnen
Ändern Sie diese Einstellungen mit Vorsicht, weil Benutzer damit ihre Sicherheitskonfiguration ändern
können, sodass Systeme ungeschützt vor Malware-Angriffen sind.
Vorgehensweise
1
2
Einstellungen aus.
Produkthandbuch
29
2
3
Konfigurieren Sie die Einstellungen für den Client-Schnittstellen-Modus auf der Seite.
4
Siehe auch
Auswirkungen beim Einrichten eines Administratorkennworts auf Seite 30
Auswirkungen beim Einrichten eines Administratorkennworts
Wenn Sie den Schnittstellenmodus als Standardzugriff einrichten, müssen Sie auch ein
Administratorkennwort festlegen.
Das Festlegen eines Administratorkennworts auf dem Endpoint Security Client hat Auswirkungen für
folgende Benutzer:
Nicht-Administratoren
Nicht-Administratoren können:
(Benutzer ohne
Administratorrechte)
• Einige Konfigurationsparameter anzeigen.
• Scans ausführen.
• Suchen Sie nach Aktualisierungen (wenn aktiviert).
• Die Quarantäne anzeigen.
• Das Ereignisprotokoll anzeigen.
• Zugreifen auf die Seite Einstellungen, um Firewall-Regeln
anzuzeigen oder zu ändern (wenn aktiviert).
Nicht-Administratoren können nicht:
• Konfigurationsparameter ändern.
• anzeigen, erstellen, löschen oder ändern.
Eine Ausnahme ist das Anzeigen oder Ändern von Firewall-Regeln
(wenn aktiviert).
Administratoren
(Benutzer mit
Administratorrechten)
Administratoren müssen das Kennwort eingeben, um auf die
geschützten Bereiche zuzugreifen und Einstellungen zu ändern.
Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI
Legen Sie Proxy-Server-Optionen für das Abrufen der McAfee GTI-Reputation in den Einstellungen für
das Common fest.
Bevor Sie beginnen
Vorgehensweise
30
1
2
3
Einstellungen aus.
Produkthandbuch
4
Konfigurieren Sie auf der Seite die Proxy-Server für McAfee GTI-Einstellungen.
5
2
Siehe auch
Funktionsweise von McAfee GTI auf Seite 31
Funktionsweise von McAfee GTI
Wenn Sie McAfee GTI für den On-Access- oder On-Demand-Scanner aktivieren, verwendet der
Scanner eine Heuristik zur Überprüfung auf verdächtige Dateien. Der McAfee GTI-Server speichert
Site-Bewertungen und Berichte für Web Control. Wenn Sie Web Control für den Scan von
heruntergeladenen Dateien konfigurieren, wird vom Scanner eine Heuristik zur Überprüfung auf
verdächtige Dateien verwendet.
Der Scanner sendet Fingerabdrücke von Proben, auch Hashes genannt, an einen zentralen
Datenbankserver, der von McAfee Labs gehostet wird, um festzustellen, ob es sich um Malware
handelt. Durch Senden der Hashes kann die Erkennung schneller zur Verfügung gestellt werden als in
der nächsten Content-Datei-Aktualisierung, wenn McAfee Labs die Aktualisierung veröffentlicht.
Sie können die Sensibilitätsstufe konfigurieren, die von McAfee GTI zur Feststellung verwendet
werden, ob es sich bei der erkannten Probe um Malware handelt. Je höher die Sensibilitätsstufe, desto
höher die Anzahl der Malware-Erkennungen. Bei mehr Erkennungen wird jedoch auch die Anzahl der
False-Positives größer. Die McAfee GTI-Sensibilitätsstufe ist standardmäßig auf Mittel eingestellt.
Konfigurieren Sie die Sensibilitätsstufe für jeden Scanner in den Einstellungen des Threat Prevention-.
Konfigurieren Sie die Sensibilitätsstufe für das Scannen von Datei-Downloads in den Web
Control-Optionen .
Sie können Endpoint Security in den Einstellungen für das Common konfigurieren, um einen
Proxy-Server für das Abrufen von McAfee GTI-Reputationsinformationen zu verwenden.
Konfigurieren des
Geben Sie in den Common- das Verhalten für Aktualisierungen an, die vom Endpoint Security Client
initiiert werden.
Bevor Sie beginnen
Sie können diese Einstellungen nur auf selbstverwalteten und von McAfee ePO verwalteten Systemen
konfigurieren.
Verwenden Sie diese Einstellungen, um zu konfigurieren, ob die
-Schaltfläche
im Client angezeigt wird, und welche Aktualisierung beim Klicken darauf oder Ausführen des Tasks
Standard-Client-Aktualisierung vorgenommen wird.
Vorgehensweise
1
2
Einstellungen aus.
Produkthandbuch
31
2
3
4
Konfigurieren Sie die Einstellungen für die Standard-Client-Aktualisierung auf der Seite.
5
Siehe auch
Konfigurieren von Quellsites für Client-Aktualisierungen
In selbstverwalteten Systemen können Sie in den Common- die Sites konfigurieren, von denen der
Endpoint Security Client aktualisierte Sicherheitsdateien erhält.
Bevor Sie beginnen
Sie können diese Einstellungen nur auf selbstverwalteten Systemen konfigurieren.
Vorgehensweise
1
2
3
4
Konfigurieren Sie Einstellungen der Quellsites für Aktualisierungen auf der Seite.
Einstellungen aus.
Sie können die zwei Standard-Sicherungs-Quellsite (NAIFtp und NAIHttp) aktivieren und deaktivieren,
aber Sie können Sie nicht ändern, löschen oder in der Liste verschieben.
Ziel
Befolgen Sie diese Schritte
Der Liste eine Site
hinzufügen.
1 Klicken Sie auf Hinzufügen.
2 Site-Einstellungen festlegen.
3 Klicken Sie auf OK, um Ihre Änderungen zu speichern.
Die Regel wird am Anfang der Regelliste angezeigt.
Eine Site löschen.
32
Wählen Sie die gewünschte Site aus, und klicken Sie dann auf Löschen.
Produkthandbuch
Ziel
Eine vorhandene
Site ändern.
1 Doppelklicken Sie auf den Site-Namen.
2
2 Einstellungen ändern.
Sites in der Liste
neu anordnen.
Um Elemente zu verschieben:
1 Wählen Sie Elemente zum Verschieben aus.
Der Ziehpunkt
können.
erscheint links von Elementen, die verschoben werden
2 Verschieben Sie per Drag-and-Drop die Elemente an den gewünschten
Ort.
Eine blaue Linie erscheint zwischen Elementen, wo Sie die gezogenen
Elemente ablegen können.
Die Reihenfolge legt die Reihenfolge fest, die Endpoint Security bei der
Suche nach der Aktualisierungs-Site verwendet.
5
Siehe auch
Funktionsweise des Tasks Standard-Client-Aktualisierung auf Seite 34
Planen des Tasks Standard-Client-Aktualisierung
Sie können den TaskStandard-Client-Aktualisierung über den Endpoint Security Client in den
Einstellungen für das Commonändern oder planen.
Bevor Sie beginnen
Verwenden Sie diese Einstellungen zum Konfigurieren, wenn der Task Standard-Client-Aktualisierung
ausgeführt wird. Siehe Konfigurieren des auf Seite 31 , um das Standardverhalten für
Client-Aktualisierungen zu konfigurieren, die vom Endpoint Security Client gestartet werden.
Vorgehensweise
1
2
3
4
Klicken Sie auf Tasks.
5
Doppelklicken Sie auf Standard-Client-Aktualisierung, bearbeiten Sie den Plan, und klicken Sie zum
Speichern der Änderungen auf OK, oder klicken Sie auf Abbrechen.
6
Einstellungen aus.
Produkthandbuch
33
2
Siehe auch
Funktionsweise des Tasks Standard-Client-Aktualisierung auf Seite 34
Funktionsweise des Tasks Standard-Client-Aktualisierung
Der Task Standard-Client-Aktualisierung lädt den aktuellen Schutz für den Endpoint Security Client
herunter.
Endpoint Security enthält den Task Standard-Client-Aktualisierung, der täglich um 1:00 Uhr ausgeführt
wird und alle vier Stunden bis 23:59 Uhr wiederholt wird.
Der Task Standard-Client-Aktualisierung:
1
Stellt eine Verbindung mit der ersten aktivierten Quellsite in der Liste her.
Wenn diese Site nicht verfügbar ist, kontaktiert der Task die nächste Site bis eine Verbindung
hergestellt wird oder das Ende der Liste erreicht ist.
2
Lädt eine verschlüsselte CATALOG.Z-Datei von der Site herunter.
Die Datei enthält die für die Aktualisierung benötigten Informationen, darunter verfügbare Dateien
und Updates.
3
Vergleicht die in der Datei aufgeführten Softwareversionen mit den Versionen auf dem Computer
und lädt neu verfügbare Software-Aktualisierungen herunter.
Wenn der Task Standard-Client-Aktualisierung während der Aktualisierung unterbrochen wird:
Aktualisierungen von
Unterbrochener Download
HTTP, UNC oder eine lokale Site
Setzt die Aktualisierung bei einem erneuten Start der
Aktualisierung an der Stelle der Unterbrechung fort.
FTP-Site (Einzeldatei-Download)
Wird bei Unterbrechung nicht fortgesetzt.
FTP-Site (Download mehrerer Dateien) Beginnend mit der vor der Unterbrechung zuletzt
heruntergeladenen Datei wird der Task fortgesetzt.
Siehe auch
34
Produkthandbuch
3
Threat Prevention prüft auf Viren, Spyware, unerwünschte Programme und andere Bedrohungen durch
Scannen von Elementen auf Ihrem Computer.
Inhalt
Scannen Ihres
Verwalten von
Verwalten von
Verwalten von
Computers auf Malware
erkannten Bedrohungen
isolierten Elementen
Threat Prevention
Scannen Ihres Computers auf Malware
Scannen Sie Ihren Computer auf Malware, indem Sie Optionen im Endpoint Security Client oder
Windows Explorer auswählen.
Aufgaben
•
Ausführen eines vollständigen Scans oder Schnellscans auf Seite 36
Verwenden Sie Endpoint Security Client zum manuellen Ausführen eines vollständigen
Scans oder Schnellscans auf Ihrem Computer.
•
Scannen einer Datei oder eines Ordners auf Seite 38
Falls Sie vermuten, dass eine Datei oder ein Ordner infiziert sein könnte, sollten Sie
umgehend einen Scan per Kontextmenü im Windows Explorer durchführen.
Siehe auch
Scan-Typen auf Seite 35
Scan-Typen
Endpoint Security stellt zwei Scan-Typen zur Verfügung: On-Access-Scans und On-Demand-Scans.
•
On-Access-Scan – Der Administrator konfiguriert On-Access-Scans für die Ausführung auf
verwalteteten Computern. Konfigurieren Sie für selbstverwaltete Computer den On-Access-Scanner
auf derEinstellungen-Seite.
Wenn Sie auf Dateien, Ordner und Programme zugreifen, fängt der On-Access-Scanner den
Vorgang ab und scannt das Element basierend auf Kriterien, die vom Administrator konfiguriert
wurden.
•
On-Demand-Scan
Produkthandbuch
35
3
Manuell Der Administrator (oder Benutzer bei selbstverwalteten Systemen) konfiguriert
vordefinierte On-Demand-Scans, die Benutzer auf verwalteten Computern ausführen
können.
• Führen Sie jederzeit einen vordefinierten On-Demand-Scan vom Endpoint Security
Client aus, indem Sie auf
auswählen:
klicken und einen Scan-Typ
Der Schnellscan führt eine schnelle Überprüfung der für Infektionen besonders
anfälligen Systembereiche aus.
Der vollständige Scan führt eine gründliche Überprüfung aller Systembereiche aus.
(Empfohlen, wenn Sie vermuten, dass der Computer infiziert ist.)
• Scannen Sie eine einzelne Datei oder einen Ordner jederzeit im Windows Explorer,
indem Sie mit der rechten Maustaste auf die Datei oder den Ordner klicken und
Scannen auf Bedrohungen aus dem Pop-Up-Menü auswählen.
Geplant Der Administrator (oder Benutzer bei selbstverwalteten Systemen) konfiguriert
On-Demand-Scans für die Ausführung auf Computern.
Vor dem Start eines geplanten On-Demand-Scans zeigt Endpoint Security unten auf
dem Bildschirm eine Scan-Aufforderung an. Sie können den Scan sofort starten oder ihn
verschieben, sofern konfiguriert.
Zum Konfigurieren und Planen von Schnellscan und vollständigen Scan als vordefinierte
On-Demand-Scans:
1 Einstellungen | On-Demand-Scan, Registerkarte Vollständiger Scan oderr Schnellscan –
konfiguriert On-Demand-Scans.
2 Einstellungen | Common | Tasks – Plant On-Demand-Scans.
Siehe auch
Planen von Tasks für Vollständiger Scan und Schnellscan auf Seite 60
Ausführen eines vollständigen Scans oder Schnellscans
Verwenden Sie Endpoint Security Client zum manuellen Ausführen eines vollständigen Scans oder
Schnellscans auf Ihrem Computer.
Bevor Sie beginnen
Das Threat Prevention-Modul muss installiert.
Das Verhalten des vollständigen Scans und Schnellscans ist abhängig von der Konfiguration der
Einstellungen. Mit Administratoranmeldeinformationen können Sie diese Scans in den
On-Demand-Scan-Einstellungen ändern und planen.
Vorgehensweise
1
2
Klicken Sie auf
36
.
Produkthandbuch
3
3
Klicken Sie auf der Seite System scannen bei dem auszuführenden Scan auf Jetzt scannen.
Vollständiger Scan Führt eine gründliche Überprüfung aller Bereiche auf Ihrem System aus
(empfohlen, wenn Sie vermuten, dass Ihr Computer infiziert ist).
Schnellscan
Führt eine schnelle Überprüfung der für Infektionen besonders anfälligen
Systembereiche aus.
Wenn bereits ein Scan ausgeführt wird, ändert sich die Schaltfläche Jetzt scannen zu Scan anzeigen.
Je nach konfigurierten Einstellungen und ob eine Bedrohung erkannt wurde, wird möglicherweise
auch die Schaltfläche Erkennungen anzeigen für den On-Access-Scanner angezeigt. Klicken Sie auf diese
Schaltfläche, um die Seite On-Access-Scan zu öffnen und jederzeit erkannte Bedrohungen zu
verwalten. Siehe Verwalten von erkannten Bedrohungen auf Seite 39.
Endpoint Security Client zeigt den Status des Scans auf einer neuen Seite an.
Das AMCore Content-Erstellungsdatum zeigt den letzten Zeitpunkt der Content-Aktualisierung an.
Wenn der Content älter als zwei Tage ist, empfiehlt Ihnen McAfee, dass Sie vor Ausführen des Scans
Ihren Schutz aktualisieren.
4
5
Klicken Sie oben auf der Statusseite auf die entsprechenden Schaltflächen, um den Scan zu
steuern.
Scan anhalten
Pausiert den Scan, bevor er abgeschlossen ist.
Scan fortsetzen
Scan abbrechen
Bricht einen laufenden Scan ab.
Wenn der Scan abgeschlossen ist, zeigt die Seite alle Erkennungen an.
Erkennungsname
Identifiziert den Namen der erkannten Malware.
Typ
Zeigt den Bedrohungstyp an.
Dateiname
Identifiziert die infizierte Datei.
Aktion
Beschreibt die zuletzt ausgeführte Aktion für die infizierte Datei:
• Zugriff verweigert
• Gesäubert
• Gelöscht
• Keine
Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der nächste On-Demand-Scan startet.
6
Wählen Sie eine Erkennung aus der Tabelle, klicken Sie dann auf Säubern oder Löschen, um die
infizierte Datei zu säubern bzw. zu löschen.
Je nach Bedrohungstyp und Scan-Einstellungen stehen diese Aktionen möglicherweise nicht zur
Verfügung.
7
Klicken Sie auf Schließen, um die Seite zu schließen.
Siehe auch
Konfigurieren Sie die für den On-Demand-Scan auf Seite 55
Erkennungsnamen auf Seite 41
Produkthandbuch
37
3
Scannen einer Datei oder eines Ordners
Falls Sie vermuten, dass eine Datei oder ein Ordner infiziert sein könnte, sollten Sie umgehend einen
Scan per Kontextmenü im Windows Explorer durchführen.
Bevor Sie beginnen
Das Verhalten des Scans per Kontextmenü ist abhängig von der Konfiguration der Einstellungen. Mit
Administratoranmeldeinformationen können Sie diese Scans in den On-Demand-Scan-Einstellungen
ändern.
Vorgehensweise
1
Klicken Sie im Windows Explorer zum Scannen mit der rechten Maustaste auf eine Datei oder einen
Ordner, und wählen Sie Scannen auf Bedrohungen aus dem Pop-Up-Menü.
Endpoint Security Client zeigt den Scan-Status auf der Seite Scannen auf Bedrohungen an.
2
3
Klicken Sie oben auf der Seite auf die entsprechenden Schaltflächen, um den Scan zu steuern.
Scan anhalten
Pausiert den Scan, bevor er abgeschlossen ist.
Scan fortsetzen
Scan abbrechen
Bricht einen laufenden Scan ab.
Wenn der Scan abgeschlossen ist, zeigt die Seite alle Erkennungen an.
Erkennungsname
Identifiziert den Namen der erkannten Malware.
Typ
Zeigt den Bedrohungstyp an.
Dateiname
Identifiziert die infizierte Datei.
Aktion
Beschreibt die zuletzt ausgeführte Aktion für die infizierte Datei:
• Zugriff verweigert
• Gesäubert
• Gelöscht
• Keine
4
Wählen Sie eine Erkennung aus der Tabelle, klicken Sie dann auf Säubern oder Löschen, um die
infizierte Datei zu säubern bzw. zu löschen.
Je nach Bedrohungstyp und Scan-Einstellungen stehen diese Aktionen möglicherweise nicht zur
Verfügung.
5
Klicken Sie auf Schließen, um die Seite zu schließen.
Siehe auch
38
Produkthandbuch
Verwalten von erkannten Bedrohungen
3
Verwalten von erkannten Bedrohungen
Je nach Konfigurierung der Einstellungen können Sie erkannte Bedrohungen über den Endpoint
Security Client verwalten.
Bevor Sie beginnen
Vorgehensweise
1
2
Klicken Sie auf Jetzt scannen, um die Seite System scannen zu öffnen.
3
Klicken Sie unter On-Access-Scan aufErkennungen anzeigen.
Diese Option ist nicht verfügbar, wenn die Liste keine Erkennungen enthält oder Benutzermeldungen
deaktiviert sind.
4
Wählen Sie eine der folgenden Optionen auf der Seite On-Access-Scan.
Säubern
Versucht, das Element (Datei, Registrierungseintrag) zu säubern und es in die
Quarantäne zu verschieben.
Endpoint Security verwendet Informationen in der Content-Dateien zur
Dateisäuberung. Wenn eine Content-Datei kein Säuberungsprogramm hat oder die
Datei unrettbar beschädigt ist, verweigert der Scanner den Zugriff auf die Datei. In
diesem Fall wird von McAfee empfohlen, die Datei aus der Quarantäne zu löschen
und den Inhalt aus einer sauberen Sicherungskopie wiederherzustellen.
Löschen
Löscht das Element mit der Bedrohung.
Eintrag entfernen Entfernt den Eintrag aus der Erkennungsliste.
Schließen
Schließt die Scan-Seite.
Wenn eine Aktion für die Bedrohung nicht verfügbar ist, ist die entsprechende Option deaktiviert.
Beispielsweise ist die Option Säubern nicht verfügbar, wenn die Datei bereits gelöscht wurde.
Verwalten von isolierten Elementen
Endpoint Security speichert Elemente, die als Bedrohungen erkannt wurden, in der Quarantäne. Sie
können für isolierte Elemente Aktionen ausführen.
Bevor Sie beginnen
Produkthandbuch
39
3
Beispielsweise können Sie ein Element wiederherstellen, nachdem Sie eine aktuellere Version der
Content-Datei heruntergeladen haben, die Informationen zum Säubern der Bedrohung enthält.
Isolierte Elemente können mehrere Typen gescannter Objekte enthalten: Dateien, Registrierungen oder
andere, die Endpoint Security auf Malware scannt.
Hilfe.
Vorgehensweise
1
2
Klicken Sie links auf der Seite auf Quarantäne.
Auf der Seite werden alle Elemente in der Quarantäne angezeigt.
Wenn der Endpoint Security Client denQuarantäne-Manager nicht erreichen kann, wird eine
Kommunikationsfehlermeldung angezeigt. Starten Sie in diesem Fall Ihr System neu, um die
Quarantäne-Seite anzuzeigen.
3
4
Wählen Sie aus dem oberen Bereich ein Element aus, um die Details unten anzuzeigen.
Ändern der relativen Größen der
Bereiche
Ziehen Sie am Widget, um die Größe der Bereiche
zu ändern.
Sortieren von Elementen in der Tabelle
nach Bedrohungsname oder -typ
Klicken Sie auf die Tabellenspaltenüberschrift.
Führen Sie auf der Quarantäne-Seite Aktionen für ausgewählte Elemente aus.
Elemente aus der
Quarantäne löschen
Wählen Sie Elemente, klicken Sie auf Löschen und anschließend zur
Bestätigung erneut auf Löschen.
Gelöschte Elemente können nicht wiederhergestellt werden.
Elemente aus der
Quarantäne
wiederherstellen
Wählen Sie Elemente, klicken Sie auf Wiederherstellen und anschließend
zur Bestätigung erneut auf Wiederherstellen.
Endpoint Security stellt die Elemente im ursprünglichen Speicherort
wieder her und entfernt sie aus der Quarantäne.
Wenn ein Element noch immer eine gültige Bedrohung darstellt, wird
es von Endpoint Security beim nächsten Zugriff darauf erneut in die
Quarantäne verschoben.
Elemente erneut
scannen
Wählen Sie Elemente aus, und klicken Sie dann auf Erneut scannen .
Element im
Ereignisprotokoll anzeigen
Wählen Sie ein Element, und klicken Sie dann auf den Link Im
Ereignisprotokoll anzeigen im Detailbereich.
Sie könnten beispielsweise ein Element erneut scannen, nachdem Sie
Ihren Schutz aktualisiert haben. Wenn das Element keine Bedrohung
mehr ist, können Sie es in seinen ursprünglichen Speicherort
wiederherstellen und aus der Quarantäne entfernen.
Die Seite Ereignisprotokoll wird geöffnet, auf der das zum Ereignis
gehörige ausgewählte Element hervorgehoben ist.
Weitere
Informationen zu
einer Bedrohung
40
Wählen Sie ein Element, und klicken Sie dann auf den Link Weitere
Informationen zu einer Bedrohung im Detailbereich.
Ein neues Browserfenster mit der McAfee Labs-Website wird geöffnet,
auf der Sie weitere Informationen zu der Bedrohung finden, die die
Ursache für die Isolierung des Elements war.
Produkthandbuch
3
Siehe auch
Erkennungsnamen
Der Quarantäne-Bericht meldet Bedrohungen mit Erkennungsname.
Erkennungsname
Beschreibung
Adware
Software, die Umsatz erzeugt, indem dem Benutzer Werbung angezeigt
wird. Adware erzielt Einkünfte durch den Anbieter oder durch
Anbieterpartner. Manche Arten von Adware können persönliche Daten
erfassen und weiterzugeben.
Dialer
Software, die Internetverbindungen an einen Dritten weiterleitet, bei dem
es sich nicht um den standardmäßigen Internet Service Provider des
Benutzers handelt. Durch Dialer sollen zusätzliche Verbindungsgebühren
für einen Inhaltsanbieter, Händler oder einen Dritten anfallen.
Scherzprogramm
Software, die behauptet, einem Computer Schaden zuzufügen, aber
weder schädliche Nutzlast enthält noch zum Schaden verwendet wird. Sie
wirkt sich nicht auf den Sicherheits- oder Datenschutzstatus aus, kann
aber einen Benutzer alarmieren oder verärgern.
Keylogger
Software, die Daten zwischen dem Benutzer, der sie eingibt, und der
beabsichtigten Empfängeranwendung abfängt. Trojaner und potenziell
unerwünschte Programm-Keylogger können auf identische Weise
funktionieren. McAfee-Software erkennt beide Arten und verhindert
Intrusionen.
Kennwort-Cracker
Software, die es einem Benutzer oder Administrator gestattet, vergessene
Kennwörter für Benutzerkonten oder Datendateien wiederherzustellen. In
den Händen eines Angreifers ermöglicht sie Zugriff auf vertrauliche Daten
und stellt somit eine Bedrohung für Sicherheit und Datenschutz dar.
Potenziell unerwünschtes
Programm
Enthält häufig an und für sich legitime Software (keine Malware), die
jedoch den Sicherheits- oder Datenschutzstatus des Systems ändern
können. Diese Software kann mit einem gewünschten Programm
zusammen heruntergeladen werden. Dazu gehören beispielsweise
Spyware, Adware, Keylogger, Kennwort-Cracker, Hacker-Tools und
Dialer-Anwendungen.
Remote-Verwaltungstool
Software, mit der ein Administrator ein System aus der Ferne steuern
kann. Diese Tools stellen eine ernsthafte Sicherheitsbedrohung dar, wenn
sie von einem Angreifer gesteuert werden.
Spyware
Spyware übermittelt persönliche Informationen ohne Wissen oder
Zustimmung des Benutzers an Dritte. Spyware nutzt infizierte Computer
zu Profitzwecken aus, etwa auf folgende Weise:
• Einblenden unerwünschter Werbe-Pop-Ups
• Stehlen persönlicher Daten stehlen, z. B. Finanzdaten wie
Kreditkartennummern
• Überwachen von Webaktivitäten zu Marketingzwecken
• Umleiten von HTTP-Anfragen auf Werbe-Websites
Siehe auch Potenziell unerwünschtes Programm.
Produkthandbuch
41
3
Verwalten von Threat Prevention
Erkennungsname
Beschreibung
Tarnprogramm
Ein Virentyp, der versucht, der Erkennung durch Virenschutz-Software zu
entgehen.
Auch bekannt als Unterbrechungsabfänger.
Viele Tarnprogramm-Viren fangen Anfragen für den Laufwerkszugriff ab.
Wenn eine Virenschutz-Anwendung auf der Suche nach Viren versucht,
Dateien oder Boot-Sektoren zu lesen, zeigt der Virus ein "sauberes" Bild
des gewünschten Elements. Andere Viren verbergen die tatsächliche
Größe einer infizierten Datei und zeigt die Größe der Datei vor der
Infektion an.
Trojaner
Dies ist ein bösartiges Programm, das als gutartige Anwendung getarnt
ist. Ein Trojaner wird nicht repliziert, aber verursacht Schaden oder
gefährdet die Sicherheit Ihres Computers.
Ein Computer wird oft infiziert:
• Wenn ein Benutzer einen Trojaner-Anhang in einer E-Mail öffnet.
• Wenn ein Benutzer einen Trojaner von einer Website herunterlädt.
• Durch Peer-to-Peer-Netzwerkdienste.
Weil Sie sich nicht selbst replizieren, werden Trojaner nicht als Viren
angesehen.
Virus
Ein Virus hängt sich an Festplatten oder andere Dateien und repliziert sich
wiederholt, typischerweise ohne Wissen oder Erlaubnis des Benutzers.
Einige Viren heften sich an Dateien, sodass sie bei der Ausführung der
infizierten Datei mit ausgeführt werden. Andere nisten sich im
Computerspeicher ein und infizieren laufend Dateien, wenn diese vom
Rechner geöffnet, verändert und erstellt werden. Einige Viren weisen
Symptome auf, andere beschädigen Dateien und Computersysteme.
Als Administrator können Sie Threat Prevention-Einstellungen festlegen, um bösartigen Zugriff zu
vermeiden und Scans zu konfigurieren.
Siehe auch
Ausschließen von Elementen von Scans auf Seite 43
Erkennen von potenziell unerwünschten Programmen auf Seite 44
Konfigurieren der Richtlinieneinstellungen für den auf Seite 46
Konfigurieren der RichtlinieneinstellungenRichtlinieneinstellungenExploit-SchutzRichtlinieneinstellungen. auf Seite 49
Konfigurieren von Richtlinieneinstellungen für auf Seite 50
Konfigurieren gemeinsamer Scan-Einstellungen auf Seite 60
42
Produkthandbuch
3
Ausschließen von Elementen von Scans
Mit Threat Prevention können Sie die Liste der gescannten Elemente anpassen, indem Sie
auszuschließende Elemente festlegen.
Es könnte beispielsweise nötig sein, einige Dateitypen auszuschließen, damit ein Scanner keine Datei
sperrt, die von einer Datenbank oder einem Server verwendet wird. (Durch eine gesperrte Datei
könnten bei der Datenbank oder dem Server Fehler auftreten.)
Funktion
Auszuschließende Konfigurationsort
Elemente
festlegen
Elemente
ausschließen
nach
Platzhalter
verwenden?
Zugriffsschutz
Prozesse (für alle
Regeln oder eine
festgelegte Regel)
Zugriffsschutz -Einstellungen
Prozessname
Nein
Exploit-Schutz
Prozesse
Exploit-Schutz -Einstellungen
Prozessname
Nein
On-Access-Scan
Dateien, Dateitypen On-Access-Scan -Einstellungen
und Ordner
Muster, Dateityp
oder Dateialter
Ja
ScriptScan-URLs
On-Access-Scan -Einstellungen
URL-Name
Nein
Erkennungsnamen
Optionen -Einstellungen
Erkennungsname Nein
(Groß-/
Kleinschreibung
wird beachtet)
Potenziell
unerwünschte
Programme
Name
• Standard
• Hohes Risiko
• Niedriges Risiko
Ja
On-Demand-Scan Dateien, Ordner
und Laufwerke
• Schnellscan
On-Demand-Scan -Einstellungen Muster, Dateityp
oder Dateialter
• Vollständiger Scan
Erkennungsnamen
Erkennungsname Nein
(Groß-/
Kleinschreibung
wird beachtet)
Potenziell
unerwünschte
Programme
Name
• Scan per
Kontextmenü
Ja
(* und ?)
Ja
Siehe auch
Platzhalter in Scan-Ausschlüssen auf Seite 44
Produkthandbuch
43
3
Platzhalter in Scan-Ausschlüssen
Sie haben die Möglichkeit, Platzhalter zur Darstellung von Zeichen in Ausschlüssen für das Scannen
von Dateien, Ordner, and potenziell unerwünschten Programmen zu verwenden.
Tabelle 3-1 Gültige Platzhalter
Platzhalterzeichen Name
Steht für
?
Einzelnes Zeichen.
Fragezeichen
Dieser Platzhalter gilt nur dann, wenn die Anzahl der
Zeichen mit denen des Datei- oder Ordnernamens
übereinstimmt. Beispiel: Der Ausschluss W?? schließt die
Zeichenfolge WWW aus, aber nicht die Zeichenfolgen WW
oder WWWW.
*
Sternchen
Mehrere Zeichen.
**
Zwei Sternchen Null oder mehr beliebige Zeichen einschließlich des
umgekehrten Schrägstriches (\).
Dieser Platzhalter stimmt mit null oder mehr Zeichen
überein. Beispiel: C:\ABC\**\XYZ stimmt überein mit C:
\ABC\DEF\XYZ und C:\ABC\XYZ.
In einer Pfadangabe können Platzhalter vor umgekehrten Schrägstrichen (\) eingesetzt werden.
Beispielsweise stimmt C:\ABC\*\XYZ überein mit C:\ABC\DEF\XYZ.
Erkennen von potenziell unerwünschten Programmen
Wenn Sie den verwalteten Computer vor potenziell unerwünschten Programmen schützen möchten,
müssen Sie Dateien und Programme festlegen, die in Ihrer Umgebung erkannt werden sollen und
dann die Erkennung aktivieren.
Potenziell unerwünschte Programme werden als Softwareprogramme definiert, die als störend
empfunden werden oder den Sicherheitsstatus oder die Datenschutzrichtlinien des Systems verändern.
Potenziell unerwünschte Programme können in Programmen eingebettet sein, die Benutzer
herunterladen. Dazu können auch Spyware, Adware und Dialer zählen.
1
Legen Sie in den Richtlinieneinstellungen benutzerdefinierte Programme fest, die der
On-Access-Scanner und der On-Demand-Scanner als unerwünschte Programme behandeln soll.
2
Aktivieren Sie die Erkennung unerwünschter Programme, und legen Sie unter folgenden
Einstellungen die Aktionen fest, die bei Erkennungen ausgeführt werden sollen:
•
On-Access-Scan
•
On-Demand-Scan
Siehe auch
Legen Sie benutzerdefinierte, potenziell unerwünschte Programme für die Erkennung fest auf
Seite 45
Aktivieren und Konfigurieren der Erkennung potenziell unerwünschter Programme sowie der
folgenden Reaktion auf Seite 45
44
Produkthandbuch
3
Legen Sie benutzerdefinierte, potenziell unerwünschte Programme für die
Erkennung fest
Legen Sie in den Richtlinieneinstellungen weitere Programme fest, die der On-Access-Scanner und der
On-Demand-Scanner als unerwünschtes Programm behandeln sollen.
Bevor Sie beginnen
Die Scanner erkennt die Programme, die Sie festlegen sowie Programme, die in den AMCore
Content-Dateien festgelegt sind.
Vorgehensweise
1
2
Klicken Sie auf der Status-Hauptseite auf Threat Prevention.
Prevention.
Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Threat
3
4
Klicken Sie auf Optionen.
5
In Erkennung von potenziell unerwünschten Programmen:
•
Klicken Sie auf Hinzufügen, um den Namen und die optionale Beschreibung einer Datei oder eines
Programms festzulegen, die bzw. das als potenziell unerwünschtes Programm behandelt werden
soll.
Die Beschreibung wird im Fall einer Erkennung als Erkennungsname angezeigt.
•
Doppelklicken Sie zum Ändern auf den Namen oder die Beschreibung von einem vorhandenen
unerwünschten Programm.
•
Wählen Sie ein vorhandenes potenziell unerwünschtes Programm aus, und klicken Sie dann auf
Löschen, um es von der Liste zu entfernen.
Siehe auch
Aktivieren und Konfigurieren der Erkennung potenziell unerwünschter
Programme sowie der folgenden Reaktion
Aktivieren Sie die Funktionen im On-Access- und On-Demand-Scanner zur Erkennung potenziell
unerwünschte Programme, und legen Sie die Reaktion fest, wenn eines erkannt wurde.
Bevor Sie beginnen
Produkthandbuch
45
3
Vorgehensweise
1
Konfigurieren Sie Richtlinieneinstellungen für den .
a
b
Sie können auch im Menü Aktion
Einstellungen auf Threat Prevention.
2
Einstellungen wählen. Klicken Sie dann auf der Seite
c
d
Klicken Sie auf On-Access-Scan.
e
WählOn-Access-Scanen Sie für jeden On-Access Scan-Typ unter ProzesseinstellungenUnerwünschte
Programme erkennen.
f
Konfigurieren Sie unter Aktionen Reaktionen auf unerwünschte Programme.
Konfigurieren Sie die Richtlinieneinstellungen für den .
a
b
Sie können auch im Menü Aktion
Einstellungen auf Threat Prevention.
Einstellungen wählen. Klicken Sie dann auf der Seite
c
d
Klicken Sie auf On-Demand-Scan.
e
Für jeden Scan-Typ (Vollständiger Scan, Schnellscan und Scan per Kontextmenü):
•
Wählen Sie Unerwünschte Programme erkennen.
•
Konfigurieren Sie unter Aktionen Reaktionen auf unerwünschte Programme.
Siehe auch
Konfigurieren der Richtlinieneinstellungen für den
Verwenden Sie Regeln in den Richtlinieneinstellungen für , um die Zugriffspunkte Ihres Systems zu
schützen.
Bevor Sie beginnen
Sie können diese Regeln aktivieren, deaktivieren und ändern, aber nicht löschen.
46
Produkthandbuch
3
Vorgehensweise
1
2
Prevention.
3
4
Klicken Sie auf Zugriffsschutz.
5
Überprüfen Sie, dass der Zugriffsschutz aktiviert ist.
Der Zugriffsschutz ist standardmäßig aktiviert.
6
Fügen Sie im AbschnittAusschlüsse Prozesse hinzu, die von allen Regeln ausgeschlossen werden
sollen.
Verwenden Sie den genauen Prozessnamen. Legen Sie beispielsweise folgende Ausschlüsse fest:
Avtask.exe, cfgwiz.exe, fssm32.exe, kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe.
Der Zugriffsschutz erlaubt den Zugriff auf die von Ihnen angegebenen Prozesse.
7
Wählen Sie für jede Regel im Bereich Regeln Blockieren, Melden oder beides aus.
Wählen Sie in der ersten Zeile Blockieren oder Melden, um alle zu blockieren oder zu melden.
Um eine Regel zu deaktivieren, müssen Sie für diese die Aktionen Blockieren und Melden deaktivieren.
8
Wählen Sie eine Regel, klicken Sie auf Hinzufügen, und geben Sie einen Prozess ein, der von der
ausgewählten Regel ausgeschlossen werden soll.
9
Siehe auch
Schützen der Systemzugriffspunkte
Der Schutz der Zugriffspunkte Ihres Client-Systems vor Bedrohungen stellt Ihre erste
Verteidigungslinie gegen Malware. Zugriffsschutz verhindert unerwünschte Änderungen am
verwalteten Computer, indem der Zugriff auf bestimmte Ports, Dateien, Freigaben, Registrierungen
und Schlüssel eingeschränkt wird.
Der Zugriffsschutz verwendet Regeln, um den Zugriff auf Elemente zu melden oder zu blockieren. Der
On-Access-Scanner vergleicht eine angeforderte Aktion mit der Regelliste und ergreift eine Maßnahme
entsprechend der Regel.
Der On-Access-Scanner muss aktiviert sein, damit Zugriffsversuche auf Ports, Dateien, Freigaben,
Registrierungsschlüssel und -Werte erkannt werden.
Produkthandbuch
47
3
Zugriffsmöglichkeiten für Bedrohungen
Bedrohungen dringen über verschiedene Zugriffspunkte in Ihr System ein.
Zugriffspunkt
Beschreibung
Makros
Als Teil von Textverarbeitungsdokumenten oder
Tabellenanwendungen.
Ausführbare Dateien
Scheinbar gutartige Programme können neben dem erwarteten
Programm auch Viren enthalten. Einige häufige Dateierweiterungen
sind .EXE, .COM, .VBS, .BAT, .HLP und .DLL.
Skripts
Verknüpft mit Webseiten und E-Mails können Skripte wie ActiveX und
JavaScript können Viren enthalten, wenn ihre Ausführung zugelassen
wird.
Internet Relay
Chat-Nachrichten (IRC)
Mit diesen Nachrichten gesendete Dateien können leicht Malware als
Teil der Nachricht enthalten. Automatische Startprozesse können
beispielsweise Bedrohungen in Form von Würmern oder Trojanern
enthalten.
Browser- und
Anwendungshilfedateien
Beim Herunterladen dieser Hilfedateien ist das System eingebetteten
Viren und ausführbaren Dateien ausgesetzt.
E-Mail
Scherze, Spiele und Bilder als Teil von E-Mails mit Anlagen.
Kombinationen aller dieser
Zugriffspunkte
Erfahrene Malware-Entwickler kombinieren alle diese
Übertragungsmethoden und betten eine Malware in eine andere ein,
um auf den Computer zuzugreifen.
So werden Bedrohungen mit dem Zugriffsschutz abgewehrt
Der Zugriffsschutz stoppt potenzielle Bedrohungen, indem er Aktionen basierend auf vordefinierte
Schutzregeln verwaltet.
Threat Prevention verwendet zum Bereitstellen des Zugriffsschutzes diesen Basisprozess.
Beim Auftreten einer Bedrohung
Wenn ein Benutzer oder ein Prozess eine Aktion ausführt:
1
Die Aktion wird gemäß den definierten Regeln vom Zugriffsschutz überprüft.
2
Wenn die Aktion eine Regel bricht, wird sie vom Zugriffsschutz unter Verwendung der
Informationen in den konfigurierten Regeln verwaltet.
3
Der Zugriffsschutz aktualisiert die Protokolldatei, generiert ein Ereignis und sendet es bei
verwalteten Systemen an den Management-Server.
Beispiel für eine Zugriffsbedrohung
48
1
Ein Benutzer lädt ein zulässiges Programm (keine Malware) namens MyProgram.exe aus dem
Internet herunter.
2
Der Benutzer startet MyProgram.exe, und es scheint, dass es wie erwartet gestartet wird.
3
MyProgram.exe startet einen untergeordneten Prozess namens AnnoyMe.exe.
4
AnnoyMe.exe versucht, das Betriebssystem zu ändern, um sicherzustellen, dass dieser Prozess bei
jedem Systemstart immer geladen wird.
5
Der Zugriffsschutz verarbeitet die Anfrage und ordnet sie einer vorhandenen Regeln zu, dass die
Anfrage blockiert und gemeldet wird.
6
Der Zugriffsschutz hindert AnnoyMe.exe daran, das Betriebssystem zu ändern. Er protokolliert die
Details des Zugriffsversuchs. Außerdem wird eine Warnung generiert und an den
Management-Server gesendet.
Produkthandbuch
3
Konfigurieren der
RichtlinieneinstellungenRichtlinieneinstellungenExploit-SchutzRichtlinieneinstellungen.
Sie müssen die für den Exploit-Schutz konfigurieren, um zu verhindern, dass beliebiger Code von
Anwendungen auf dem verwalteten Computer ausgeführt werden kann.
Bevor Sie beginnen
Vorgehensweise
1
2
Prevention.
3
4
Klicken Sie auf Exploit-Schutz.
5
Konfigurieren Sie die Einstellungen auf der Seite, klicken Sie auf Anwenden, um Ihre Änderungen zu
speichern, oder klicken Sie auf Abbrechen.
Siehe auch
Blockieren von Buffer Overflow-Exploits
Exploit-Schutz verhindert, dass Buffer Overflows zur Ausführung von beliebigem Code ausgenutzt
werden können. Diese Funktion überwacht im Benutzermodus ausgeführte API-Aufrufe und erkennt,
wenn diese das Ergebnis eines Buffer Overflows sind.
Bei einer Erkennung werden die entsprechenden Informationen im Aktivitätsprotokoll aufgezeichnet,
im Client-System angezeigt und an den Management-Server gesendet (wenn konfiguriert).
Von Threat Prevention wird eine Exploit-Schutz-Content-Datei verwendet, um Anwendungen wie
Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word und MSN Messenger zu
schützen.
Auftreten von Buffer Overflow-Exploits
Angreifer verwenden Buffer Overflow-Exploits zum Ausführen von Code, indem die für einen
Eingabeprozess reservierten Speicherpuffer mit fester Größe überflutet werden. Mit diesem Code kann
der Angreifer den Zielcomputer übernehmen oder seine Dateien schädigen.
Über 25 Prozent der Malware-Angriffe sind Buffer Overflow-Angriffe, bei denen benachbarter Speicher
im Stack-Frame überschrieben werden soll.
Es gibt zwei Typen von Buffer Overflow-Exploits:
•
Stack-basierte Angriffe verwenden die Stack-Speicherobjekte zum Speichern von Benutzereingaben
(häufigster Typ).
•
Heap-basierte Angriffe überfluten den für ein Programm reservierten Speicherplatz (seltener Typ).
Produkthandbuch
49
3
Das Stack-Speicherobjekt mit fester Größe ist leer und wartet auf Benutzereingaben. Wenn ein
Programm Eingaben des Benutzers empfängt, werden die Daten am Anfang des Stacks gespeichert,
und ihnen wird eine Absenderspeicheradresse zugewiesen. Beim Verarbeiten des Stacks werden die
Eingaben des Benutzers an die vom Programm angegebene Absenderadresse gesendet.
Der folgenden Prozess beschreibt einen Stack-basierten Buffer Overflow-Angriff:
1
Überlaufen des Stacks.
Beim Schreiben des Programms wird eine bestimmte Menge an Speicherplatz für die Daten
reserviert. Der Stack läuft über, wenn die Menge der geschriebenen Daten größer ist als der für sie
im Stack-Speicher reservierte Speicherplatz. Diese Situation stellt nur in Kombination mit
bösartigen Eingaben ein Problem dar.
2
Ausnutzen des Überlaufs.
Das Programm wartet auf eine Benutzereingabe. Wenn der Angreifer einen ausführbaren Befehl
eingibt, der die Stack-Größe überschreitet, wird der Befehl außerhalb des reservierten
Speicherplatzes gespeichert.
3
Ausführen der Malware.
Der Befehl wird nicht automatisch ausgeführt, wenn er den Stack-Pufferspeicherplatz überschreitet.
Zunächst stürzt das Programm aufgrund des Buffer Overflow ab. Wenn der Angreifer eine
Absenderspeicheradresse verwendet hat, die sich auf den bösartigen Befehl bezieht, versucht das
Programm, damit eine Wiederherstellung vorzunehmen. Wenn die Absenderadresse gültig ist, wird
der bösartige Befehl ausgeführt.
4
Ausnutzen der Berechtigungen.
Die Malware wird nun mit den gleichen Berechtigungen ausgeführt wie die Anwendung, die
manipuliert wurde. Da Programme in der Regel im Kernel-Modus oder mit von einem Dienstkonto
geerbten Berechtigungen ausgeführt werden, kann der Angreifer jetzt die vollständige Kontrolle
über das Betriebssystem erlangen.
Konfigurieren von Richtlinieneinstellungen für
Mit diesen Einstellungen können Sie On-Access-Scans aktivieren und konfigurieren. Sie können auch
Nachrichten festlegen, die bei einer erkannten Bedrohung gesendet werden und verschiedene
Einstellungen entsprechend dem Prozesstyp konfigurieren.
Bevor Sie beginnen
Siehe die Common-Einstellungen für weitere Konfigurationsoptionen.
Vorgehensweise
1
2
Prevention.
50
3
4
Klicken Sie auf On-Access-Scan.
Produkthandbuch
5
Wählen Sie On-Access-Scan aktivieren, um den On-Access-Scanner zu aktivieren und Optionen zu
ändern.
6
Legen Sie fest, ob Sie Standard-Einstellungen für alle Prozesse verwenden möchten oder
unterschiedliche Richtlinien für Prozesse mit hohem und niedrigem Risiko.
7
3
•
Standard-Einstellungen – Konfigurieren Sie die Scan-Einstellungen auf der Registerkarte
Standard.
•
Unterschiedliche Einstellungen entsprechend dem Prozesstyp – Konfigurieren Sie auf der
Registerkarte (Standard, Hohes Risiko oder Niedriges Risiko) die Scan-Einstellungen für jeden
Prozesstyp.
Siehe auch
Funktionsweise des On-Access-Scans
Der On-Access-Scanner integriert sich in die tiefsten Ebenen des Systems (Dateisystem-Filtertreiber),
und scannt Dateien an der Stelle, an der sie zuerst in das System gelangen.
Der On-Access-Scanner sendet bei Erkennungen Benachrichtigungen über die Benutzeroberfläche des
Systemdiensts.
Wenn versucht wird, eine Datei zu öffnen oder zu schließen, fängt der Scanner den Vorgang ab und
führt die folgenden Aktionen aus:
1
Der Scanner bestimmt, ob das Element aufgrund der folgenden Kriterien gescannt werden soll:
•
Die Dateierweiterung entspricht der Konfiguration.
•
Die Datei befindet sich nicht im Cache, wurde ausgeschlossen oder zuvor nicht gescannt.
Wenn Sie McAfee GTI konfigurieren, wird vom Scanner eine Heuristik zur Überprüfung auf
2
Wenn die Datei die Scan-Kriterien erfüllt, vergleicht sie der Scanner mit den Signaturen in den
aktuell geladenen AMCore Content-Dateien.
•
Wenn die Datei "sauber" ist, wird das Ergebnis in den Cache kopiert und der Zugriff für Leseoder Schreibvorgänge wird erteilt.
•
Enthält die Datei eine Bedrohung, wird der Vorgang verweigert, und der Scanner führt die
konfigurierte Aktion aus.
Wenn die Aktion beispielsweise das Säubern der Datei ist, führt der Scanner folgende Vorgänge
aus:
1
Verwenden der Informationen in der aktuell geladenen AMCore Content-Datei, um die Datei
zu säubern.
2
Aufzeichnen der Ergebnisse im Aktivitätsprotokoll.
3
Benachrichtigen des Benutzers, dass eine Bedrohung in der Datei erkannt wurde und fragt
nach der auszuführenden Aktion (Datei säubern oder löschen).
Produkthandbuch
51
3
Windows 8 – Wenn der Scanner eine Bedrohung im Pfad einer installierten Windows Store-App
erkennt, wird sie vom Scanner als manipuliert markiert. Windows 8 fügt die Kennzeichnung
"manipuliert" der Kachel für die App hinzu. Bei einem Ausführungsversuch benachrichtigt Sie
Windows von dem Problem und leitet sie zum Windows Store weiter, damit Sie die App neu
installieren.
3
Wenn die Datei nicht den Scan-Anforderungen entspricht, kopiert sie der Scanner in den Cache und
genehmigt den Vorgang.
Threat Prevention leert den globalen Scan-Cache und scannt alle Dateien erneut, wenn:
52
•
Die On-Access-Scan-Konfiguration wird geändert.
•
Eine EXTRA.DAT-Datei wird hinzugefügt.
Produkthandbuch
3
Scannen beim Schreiben auf oder Lesen von einem Datenträger oder wenn McAfee
entscheiden soll
Sie können festlegen, wann der On-Access-Scanner Dateien scannt: beim Schreiben auf einen
Datenträger oder beim Lesen von einem Datenträger. Sie können auch McAfee die Entscheidung
überlassen, wann ein Scan ausgeführt wird.
Beim Schreiben von Dateien auf den Datenträger werden vom On-Access-Scanner die folgenden
Dateien gescannt:
•
Eingehende Dateien, die auf die lokale Festplatte geschrieben werden.
•
Dateien, die auf der lokalen Festplatte oder einem zugeordneten Netzwerklaufwerk, wenn aktiviert,
erstellt werden (hierzu gehören neue Dateien, geänderte Dateien und Dateien, die von einem
Laufwerk auf ein anderes kopiert oder verschoben werden).
Beim Lesen von Dateien auf dem Datenträger werden vom Scanner die folgenden Dateien gescannt:
•
Ausgehende Dateien, die von der lokalen Festplatte oder zugeordneten Netzwerklaufwerken (wenn
aktiviert) gelesen werden.
•
Dateien, die versuchen, einen Vorgang auf der lokalen Festplatte auszuführen.
•
Dateien, die auf der lokalen Festplatte geöffnet werden.
Wenn Sie McAfee die Entscheidung überlassen, ob ein Scan für eine Datei nötig ist, verwendet der
On-Access-Scanner Vertrauenslogik für die Scan-Optimierung. Vertrauenslogik verbessert Ihre
Sicherheit und beschleunigt die Leistung durch Vermeidung unnötiger Scans. Beispielsweise
analysiertMcAfee einige Programme, die als vertrauenswürdig angesehen werden. Wenn McAfee
verifiziert, dass diese Programme nicht manipuliert wurden, führt der Scanner einen reduzierten oder
optimierten Scan durch.
Scannen von Skripts
Der Threat Prevention-Skript-Scanner wird als Proxykomponente des nativen Windows Script Host
ausgeführt. Er fängt Skripte vor der Ausführung ab und scannt sie.
Beispiel:
•
Wenn das Skript "sauber" ist, gibt der Skript-Scanner das Skript an den nativen Windows Script
Host weiter.
•
Wenn das Skript eine potenzielle Bedrohung enthält, wird es nicht ausgeführt.
Wenn ScriptScan beim Start von Internet Explorer deaktiviert ist und dann aktiviert wird, erkennt es
keine bösartige Skripte in der Instanz von Internet Explorer.
Nach der Aktivierung von ScriptScan müssen Sie den Internet Explorer neu starten, um
bösartige Skripts zu erkennen.
Deaktivieren Sie diese Option, damit der Client-Computer die Ausschlüsse verwenden kann,
die hier und lokal auf dem Client festgelegt wurden.
Sie können Websites, die Skripts verwenden, von der Überprüfung ausschließen.
Auf Windows Server 2008-Systemen können ScriptScan-URL-Ausschlüsse in Windows Internet Explorer
nur verwendet werden, wenn Sie Browsererweiterungen von Drittanbietern aktivieren und das System
neu starten. Weitere Informationen finden Sie im KnowledgeBase-Artikel KB69526.
Produkthandbuch
53
3
Bestimmen der Scan-Einstellungen für Prozesse
Mit folgendem Verfahren prüfen Sie, ob Sie verschiedene Einstellungen je nach Prozesstyp
konfigurieren sollten.
54
Produkthandbuch
3
Konfigurieren Sie die für den On-Demand-Scan
Diese Einstellungen konfigurieren das Verhalten der drei vordefinierten On-Demand-Scans:
Vollständiger Scan, Schnellscan und Scan per Kontextmenü.
Bevor Sie beginnen
Siehe die Common-Einstellungen für weitere Konfigurationsoptionen.
Vorgehensweise
1
2
Prevention.
3
4
Klicken Sie auf On-Demand-Scan.
5
Klicken Sie auf eine Registerkarte, um Einstellungen für den ausgewählten Scan zu konfigurieren.
6
•
Vollständiger Scan
•
Schnellscan
•
Scan per Kontextmenü
Siehe auch
Funktionsweise von On-Demand-Scans
Der On-Demand-Scanner durchsucht die Dateien, Ordner, den Speicher und die Registrierung auf
Malware, durch die der Computer infiziert sein könnte.
Sie legen fest, wann und wie oft On-Demand-Scans ausgeführt werden. Sie können Ihre Systeme
manuell, zu einer geplanten Zeit oder beim Systemstart scannen.
1
Der On-Demand-Scanner verwendet folgende Kriterien, um festzulegen, ob das Element gescannt
werden muss:
•
Die Dateierweiterung entspricht der Konfiguration.
•
Die Datei befindet sich nicht im Cache, wurde ausgeschlossen oder zuvor nicht gescannt (wenn
der Scanner den Scan-Cache verwendet).
Wenn Sie McAfee GTI konfigurieren, wird vom Scanner eine Heuristik zur Überprüfung auf
Produkthandbuch
55
3
2
Wenn die Datei die Scan-Kriterien erfüllt, vergleicht der Scanner die Informationen im Element mit
den bekannten Malware-Signaturen in den aktuell geladenen AMCore Content-Dateien.
•
Wenn die Datei "sauber" ist, wird das Ergebnis im Cache gespeichert und das nächste Element
überprüft.
•
Enthält die Datei eine Bedrohung, führt der Scanner die konfigurierte Aktion aus.
Wenn die Aktion beispielsweise das Säubern der Datei ist, führt der Scanner folgende Vorgänge
aus:
1
Verwenden der Informationen in der aktuell geladenen AMCore Content-Datei, um die Datei
zu säubern.
2
Aufzeichnen der Ergebnisse im Aktivitätsprotokoll.
3
Benachrichtigen des Benutzers, dass eine Bedrohung in der Datei erkannt wurde, unter
Angabe des Elementnamens und der durchgeführten Aktion.
Windows 8 – Wenn der Scanner eine Bedrohung im Pfad einer installierten Windows Store-App
erkennt, wird sie vom Scanner als manipuliert markiert. Windows 8 fügt die Kennzeichnung
"manipuliert" der Kachel für die App hinzu. Bei einem Ausführungsversuch benachrichtigt Sie
Windows von dem Problem und leitet sie zum Windows Store weiter, damit Sie die App neu
installieren.
3
56
Wenn die Datei nicht den Scan-Anforderungen entspricht, wird Sie vom Scanner nicht überprüft.
Stattdessen wird der Scan-Vorgang fortgesetzt, bis alle Daten überprüft wurden.
Produkthandbuch
3
Threat Prevention leert den globalen Scan-Cache und scannt alle Dateien erneut, wenn eine
EXTRA.DAT-Datei geladen wird.
Begrenzen der Auswirkungen von Scans auf Benutzer
Um die Auswirkungen von On-Demand-Scans auf ein System zu minimieren, legen Sie bei ihrer
Konfiguration die Leistungsoptionen fest.
Nur scannen, wenn das System im Leerlauf ist
Die einfachste Art, um sicherzustellen, dass der Scan keine Auswirkungen auf Benutzer haben, ist das
Ausführen von On-Demand-Scans, wenn der Computer sich im Leerlauf befindet.
Bei Auswahl dieser Option hält Threat Prevention den Scan an, wenn Laufwerk- oder Benutzeraktivität
erkannt wird, wie Zugriff über die Tastatur oder Maus. Threat Prevention setzt den Scan fort, wenn der
Benutzer drei Minuten lang nicht auf das System zugegriffen hat.
Produkthandbuch
57
3
Folgende Optionen stehen zur Verfügung:
•
Benutzer können Scans fortsetzen, die aufgrund von Benutzeraktivität angehalten wurden.
•
Scan nur ausführen, wenn der Computer des Systems im Leerlauf ist.
McAfee empfiehlt das Deaktivieren dieser Option auf Serversystemen und Systemen, auf die Benutzer
nur über die Remote-Desktop-Verbindung (RDP) zugreifen. Threat Prevention stellt mithilfe von McTray
fest, ob sich das System im Leerlauf befindet. Auf nur über RDP zugegriffene Systemen startet McTray
nicht und der On-Demand-Scanner wird nie ausgeführt.
Zur Problemumgehung können Benutzer manuell McTray starten (standardmäßig unter C:
\Programme\McAfee\Agent\mctray.exe),wenn Sie sich über RDP anmelden.
Wählen Sie im Leistungs-Bereich der On-Demand-Scan Nur scannen, wenn das System im Leerlauf ist.
Scans werden automatisch angehalten
Zur Verbesserung der Leistung können Sie On-Demand-Scans anhalten, wenn das System im
Batteriebetrieb ist. Sie können den Scan auch anhalten, wenn eine Anwendung, wie ein Browser,
Media Player oder eine Präsentation im Vollbildmodus ausgeführt wird. Der Scan wird sofort
fortgesetzt, wenn das System an die Stromversorgung angeschlossen wird oder sich nicht mehr im
Vollbildmodus befindet.
Wählen Sie diese Optionen im Leistungs-Bereich der On-Demand-Scan:
•
Keine Scans durchführen, wenn das System mit Batterie betrieben wird
•
Keine Scans durchführen, wenn sich das System im Präsentationsmodus befindet (verfügbar, wenn Jederzeit scannen
ausgewählt ist)
Benutzern das Verschieben von Scans gestatten
Wenn Sie Jederzeit scannen wählen, können Sie Benutzern gestatten, geplante Scans in Schritten von
einer Stunde (bis zu 24 Stunden lang oder unbegrenzt) zu verschieben. Jede Benutzerverschiebung
dauert eine Stunde an. Wenn beispielsweise die Option Maximale Stundenanzahl, um die ein Scan verschoben
werden kann auf 2 festgelegt wurde, kann der Benutzer den Scan zweimal bzw. für zwei Stunden
verschieben. Wenn die angegebene maximale Anzahl von Stunden abgelaufen ist, wird der Scan
fortgesetzt. Falls Sie unbegrenzte Verschiebungen zulassen, indem Sie die Option auf null (0)
festgelegen, kann der Benutzer den Scan auf unbegrenzte Zeit verschieben.
Wählen Sie im Leistungs-Bereich der On-Demand-Scan-Client-Task-Einstellungen .
Beschränken der Scan-Aktivität mit inkrementellen Scans
Verwenden Sie inkrementelle bzw. fortsetzbareScans, um die Häufigkeit der
On-Demand-Scan-Aktivität einzuschränken und das gesamte System dennoch in mehreren Sitzungen
scannen. Das inkrementelle Scannen kann verwendet werden, indem Sie dem geplanten Scan eine
Zeitbeschränkung hinzufügen. Der Scan wird angehalten, sobald die Zeitbeschränkung erreicht wurde.
Beim nächsten Start wird der Task an der Stelle in der Datei oder der Ordnerstruktur fortgesetzt, an
der der vorherige Scan angehalten wurde.
Wählen Sie für den Task On-Demand-Scan in der Kategorie Zeitlimit Diesen Task stoppen, wenn er länger läuft als.
Siehe Planen von Tasks für Vollständiger Scan und Schnellscan auf Seite 60.
Konfigurieren der Systemauslastung
Systemauslastung legt die CPU-Zeit fest, die der Scanner während des Scan-Vorgangs empfängt.
Setzen Sie für Systeme mit Endbenutzeraktivität die Systemauslastung auf Niedrig.
58
Produkthandbuch
3
Wählen Sie im Leistungs-Bereich der On-Demand-Scan-Client-Task-Einstellungen .
Siehe auch
Funktionsweise der Systemauslastung
Der On-Demand-Scanner verwendet die von Windows festgelegte Prioritätseinstellung als Priorität für
Scan-Vorgänge und Threads. Mit der Systemauslastungseinstellung (Drosselung) kann das
Betriebssystem die CPU-Zeit, die der On-Demand-Scanner empfängt, während des Scan-Vorgangs
festlegen.
Wenn die Systemauslastung für den Scan auf Niedrig eingestellt wird, wird die Leistung für andere
ausgeführte Anwendungen erhöht. Die niedrige Einstellung eignet sich für Systeme mit
Endbenutzeraktivität. Umgekehrt wird der Scan-Vorgang schneller abgeschlossen, wenn Sie die
Systemauslastung auf Normal einstellen. Die normale Einstellung eignet sich für Systeme mit großen
Volumes und wenig Endbenutzeraktivität.
Jeder Task wird unabhängig von den Beschränkungen anderer Tasks ausgeführt.
Tabelle 3-2 Standardprozesseinstellungen
Threat
Prevention-Prozesseinstellung
Diese Option...
Von Windows
festgelegte
Prioritätseinstellung
Niedrig
Erhöht die Leistung für andere
Niedrig
ausgeführte Anwendungen.
Wählen Sie diese Option für
Systeme mit Endbenutzeraktivität.
Niedriger als normal
Legt Systemauslastung für den
Scan auf den McAfee
ePO-Standard fest.
Normal (Standard)
Damit kann der Scan-Vorgang
Normal
schneller abgeschlossen werden.
Wählen Sie diese Option für
Systeme mit großen Datenträgern
und wenig Endbenutzeraktivität.
Niedriger als normal
Funktionsweise des Scannens vom Remote-Speicher
Sie können den On-Demand-Scanner so konfigurieren, dass der Inhalt von Dateien gescannt wird, die
der Remote-Speicher verwaltet.
Der Remote-Speicher überwacht die Größe des verfügbaren Speicherplatzes auf dem lokalen System.
Falls nötig, migriert der Remote-Speicher automatisch den Inhalt (Daten) geeigneter Dateien vom
Client-System zu einem Speichergerät, wie etwa eine Bandbibliothek. Wenn ein Benutzer eine Datei
öffnet, dessen Daten migriert wurden, ruft der Remote-Speicher automatisch die Daten vom
Speichergerät ab.
Wählen Sie die Option In den Speicher migrierte Dateien scannen, um den On-Demand-Scanner so zu
konfigurieren, dass vom Remote-Speicher verwaltete Dateien gescannt werden. Wenn der Scanner auf
eine Datei mit migriertem Inhalt stößt, wird diese vor dem Scannen im lokalen System
wiederhergestellt.
Weitere Informationen finden Sie unter Was ist ein Remote-Speicher.
Produkthandbuch
59
3
Planen von Tasks für Vollständiger Scan und Schnellscan
Sie können die Standard-Tasks für Vollständiger Scan und Schnellscan über den Endpoint Security Client im
Common-Modul planen.
Bevor Sie beginnen
Verwenden Sie diese Einstellungen zum Konfigurieren, wenn die Tasks Vollständiger Scan und Schnellscan
ausgeführt werden. Siehe Konfigurieren Sie die für den On-Demand-Scan auf Seite 55 , um das
Standardverhalten für Scans zu konfigurieren, die vom Endpoint Security Client gestartet werden.
Vorgehensweise
1
2
3
4
Klicken Sie auf Tasks.
5
Doppelklicken Sie auf Vollständiger Scan oder Schnellscan, bearbeiten Sie den Plan, und klicken Sie zum
Speichern der Änderungen auf OK, oder klicken Sie auf Abbrechen.
6
Einstellungen aus.
Siehe auch
Konfigurieren gemeinsamer Scan-Einstellungen
Um Einstellungen festzulegen, die sowohl für On-Access- als auch On-Demand-Scans gelten,
konfigurieren Sie die der Threat Prevention-Optionen.
Bevor Sie beginnen
Die folgenden Einstellungen gelten für alle Scans:
60
•
Quarantäne-Speicherort und die Dauer in Tagen, für die isolierte Elemente vor ihrer automatischen
Löschung gespeichert werden
•
Erkennungsnamen, die von Scans auszuschließen sind
•
Potenziell unerwünschte Programme für die Erkennung, wie Spyware und Adware
Produkthandbuch
3
Vorgehensweise
1
2
Prevention.
3
4
5
Siehe auch
Produkthandbuch
61
3
62
Produkthandbuch
4
Die Firewall fungiert als Filter zwischen Ihrem Computer und dem Netzwerk oder dem Internet.
Inhalt
Funktionsweise von Firewall
Verwalten der Firewall
Funktionsweise von Firewall
Die Firewall scannt allen eingehenden und ausgehenden Datenverkehr.
Beim Prüfen des ein- oder ausgehenden Datenverkehrs kontrolliert die Firewall die Liste der Regeln,
die einen Satz von Kriterien und zugehörigen Aktionen enthält. Wenn der Datenverkehr allen Kriterien
in einer Regel entspricht, handelt die Firewall entsprechend der Regel und blockiert den Datenverkehr
über die Firewall oder lässt ihn zu.
Informationen zur Erkennung von Bedrohungen werden für Berichte gespeichert, die den
Administrator über Sicherheitsprobleme für Ihren Computer benachrichtigen.
Firewall-Optionen und -Regeln definieren, wie die Firewall arbeitet. In Regelgruppen werden
Firewall-Regeln zur einfachen Verwaltung organisiert.
Wenn der Client-Schnittstellenmodus auf Vollzugriff eingestellt ist, oder Sie als Administrator angemeldet
sind, können Sie mithilfe des Endpoint Security Client Regeln und Gruppen konfigurieren. In
verwalteten Systemen werden Regeln und Gruppen, die Sie erstellen, möglicherweise überschrieben,
wenn der Administrator eine aktualisierte Richtlinie bereitstellt.
Siehe auch
Konfigurieren der Firewall-Optionen auf Seite 64
Funktionsweise von Firewall-Regeln auf Seite 66
Funktionsweise von Firewall-Regelgruppen auf Seite 68
Als Administrator können Sie Firewall-Optionen konfigurieren und Regeln und Gruppen auf dem
Endpoint Security Client erstellen.
Siehe auch
Ändern von Firewall-Optionen auf Seite 64
Erstellen und Verwalten von Firewall-Regeln und -Gruppen auf Seite 72
Produkthandbuch
63
4
Ändern von Firewall-Optionen
Als Administrator können Sie Firewall-Optionen über denEndpoint Security Client ändern.
Aufgaben
•
Konfigurieren Sie Einstellungen unter Optionen , um den Firewall-Schutz ein- und
auszuschalten, den adaptiven Modus zu aktivieren und andere Firewall-Optionen zu
konfigurieren.
•
Blockieren des DNS-Datenverkehrs auf Seite 64
Um den Firewall-Schutz zu optimieren, erstellen Sie eine Liste zu blockierender FQDNs.
Firewall blockiert Verbindungen zu den IP-Adressen, die in die Domänennamen aufgelöst
werden.
Siehe auch
FAQ – McAfee GTI und Firewall auf Seite 65
Konfigurieren der Firewall-Optionen
Konfigurieren Sie Einstellungen unter Optionen , um den Firewall-Schutz ein- und auszuschalten, den
adaptiven Modus zu aktivieren und andere Firewall-Optionen zu konfigurieren.
Bevor Sie beginnen
Vorgehensweise
1
2
Klicken Sie auf der Status-Hauptseite auf Firewall.
Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Firewall.
3
Wählen Sie Firewall aktivieren, um die Firewall zu aktivieren und die Optionen zu ändern.
4
5
Siehe auch
Blockieren des DNS-Datenverkehrs
Um den Firewall-Schutz zu optimieren, erstellen Sie eine Liste zu blockierender FQDNs. Firewall
blockiert Verbindungen zu den IP-Adressen, die in die Domänennamen aufgelöst werden.
Bevor Sie beginnen
64
Produkthandbuch
4
Vorgehensweise
1
2
3
Klicken Sie unter DNS-Blockierung auf Hinzufügen.
4
Geben Sie den FQDN der zu blockierenden Domänen ein.
Sie können * und ? als Platzhalterzeichen verwenden. Beispiel: *domain.com.
Alle doppelten Einträge werden automatisch entfernt.
5
FAQ – McAfee GTI und Firewall
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen.
FirewallOptionseinstellungen ermöglichen das Blockieren eingehenden und ausgehenden
Datenverkehrs von einer Netzwerkverbindung, die McAfee GTI als "hohes Risiko" bewertet hat. In
dieser häufig gestellten Frage wird die Funktionsweise von McAfee GTI erläutert und inwiefern sich
diese auf die Firewall auswirkt.
Was ist McAfee GTI?
McAfee GTI ist ein System zur globalen Reputationsanalyse von Internetseiten. Anhand von
Echtzeitanalysen der verhaltensbasierten Muster und Versendemuster für E-Mails, von Malware,
Internetaktivität und des Verhaltens der Systeme untereinander ermittelt McAfee GTI positives
und negatives Verhalten im Internet. Mithilfe der Daten, die bei dieser Analyse ermittelt werden,
berechnet McAfee GTI dynamisch die Reputationsfaktoren, die die Risikostufe darstellt, mit der
das Besuchen einer Webseite für Ihr Netzwerk eingeordnet wird. Das Ergebnis ist eine
Datenbank mit Reputationsfaktoren für IP-Adressen, Domänen, spezifische Meldungen, URLs
und Bilder.
Funktionsweise
Wenn die McAfee GTI-Optionen ausgewählt werden, werden zwei Firewall-Regeln erstellt: McAfee
GTI – Endpoint Security Firewall-Dienst zulassen und McAfee GTI – Bewertung anzeigen. Die erste Regel erlaubt
eine Verbindung zu McAfee GTI, und die zweite Regel blockiert Datenverkehr oder lässt ihn zu
(auf der Grundlage der Reputation einer Verbindung und des festgelegten
Blockierungsschwellenwerts).
Was bedeutet "Reputation"?
Für jede IP-Adresse im Internet berechnet McAfee GTI einen Reputationswert. McAfee GTI
basiert den Wert auf dem Sende- oder Hosting-Verhalten und verschiedenen Umgebungsdaten,
die von Kunden und Partnern zum Zustand der Bedrohungslandschaft im Internet erfasst
werden. Basierend auf unsere Analyse wird die Reputation in vier Klassen angegeben:
•
Minimales Risiko (Nicht blockieren) – Es handelt sich um eine zulässige Quelle oder ein zulässiges
Ziel für Inhalte/Datenverkehr.
•
Nicht verifiziert – Es handelt sich um eine zulässige Quelle oder ein zulässiges Ziel für Inhalte/
Datenverkehr. Offenbar sind auf dieser Site auch bestimmte Merkmale vorhanden, die darauf
hinweisen, dass eine genauere Prüfung erforderlich ist.
Produkthandbuch
65
4
•
Mittleres Risiko – Diese Quelle/dieses Ziel weist ein Verhalten auf, das wir als verdächtig
ansehen. Die Inhalte/der Datenverkehr aus dieser Quelle bzw. an dieses Ziel erfordern
besondere Sorgfalt.
•
Hohes Risiko – Diese Quelle/dieses Ziel ist bekannt dafür oder es ist wahrscheinlich, dass
potenziell bösartiger Inhalt/Datenverkehr von dort gesendet bzw. dort gehostet wird. Unserer
Ansicht nach stellt diese Site ein ernsthaftes Risiko dar.
Führt McAfee GTI zu Latenz? In welchem Umfang?
Wenn McAfee GTI für die Reputations-Suche verwendet wird, ist eine gewisse Latenz
unvermeidlich. McAfee hat alle Maßnahmen ergriffen, um diese so gering wie möglich zu halten.
McAfee GTI:
•
Überprüfung der Reputationen erfolgt nur, wenn diese Optionen ausgewählt sind.
•
Verwendung einer intelligenten Caching-Architektur. Bei normalen Netzwerknutzungsmustern
können die meisten der gewünschten Verbindungen anhand des Caches gelöst werden, ohne
dass eine reale Reputationsabfrage erfolgen muss.
Wird der Datenverkehr gestoppt, wenn die Firewall keine Verbindung mit McAfee
GTI-Servern herstellen kann?
Wenn die Firewall keine Verbindung mit McAfee GTI-Servern herstellen kann, werden alle
anwendbaren Verbindungen automatisch einer zugelassenen Standardreputation zugeordnet. Im
Anschluss setzt die Firewall die Analyse der nächsten Regeln fort.
Konfigurieren Sie Firewall-Regeln und -Gruppen
Als Administrator können Sie Firewall-Regeln und -Gruppen auf dem Endpoint Security Client
konfigurieren.
Aufgaben
•
In verwalteten Systemen werden Regeln und Gruppen, die Sie über den Endpoint Security
Client konfigurieren, möglicherweise überschrieben, wenn der Administrator eine
aktualisierte Richtlinie bereitstellt.
•
Erstellen von Verbindungsisolierungsgruppen auf Seite 74
Um einen Satz an Regeln zu erstellen, die nur bei Verbindung mit einem Netzwerk mit
bestimmten Parametern gelten sollen, erstellen Sie eine Firewall-Regelgruppe für
Verbindungsisolierung.
Siehe auch
Funktionsweise von Firewall-Regeln auf Seite 66
Funktionsweise von Firewall-Regeln
Firewall-Regeln bestimmen, wie Netzwerkverkehr verarbeitet wird. Jede Regel bietet einen Satz an
Bedingungen, die der Datenverkehr erfüllen muss, sowie eine Maßnahme, mit welcher der
Datenverkehr zugelassen oder blockiert wird.
Wenn Firewall Datenverkehr findet, der einer Regelbedingung entspricht, dann wird die verknüpfte
Aktion durchgeführt.
Sie können diese Regeln allgemein definieren (z. B. für alle Arten von IP-basiertem Datenverkehr)
oder spezifisch (z. B. durch Ermitteln einer spezifischen Anwendung oder eines spezifischen Dienstes)
und dabei Optionen festlegen. Sie können Regeln zur einfacheren Verwaltung nach einer Funktion,
einem Dienst oder einer Anwendung gruppieren. Für die Regelgruppen können Sie – genau wie bei
den Regeln – verschiedene Netzwerk-, Datenübertragungs-, Anwendungs-, Zeitplan- und
Speicherortoptionen definieren.
66
Produkthandbuch
4
In Firewall werden Regeln nach Vorrang angewendet:
1
Die am Anfang der Firewall-Regelliste stehenden Regeln werden von Firewall zuerst angewendet.
Wenn der Datenverkehr die Bedingungen dieser Regel erfüllt, erlaubt Firewall diesen Datenverkehr
oder blockiert ihn. Es werden keine weiteren in der Regelliste enthaltenen Regeln angewendet.
2
Wenn der Datenverkehr die Bedingung der ersten Regel jedoch nicht erfüllt, prüft Firewall die
nächste in der Liste enthaltene Regel und so weiter, bis eine passende Regel gefunden wurde.
3
Wenn keine Regel die Bedingung erfüllt, blockiert die Firewall den Datenverkehr automatisch.
Abbildung 4-1 Regelvorrang
Im adaptiven Modus wird für den Datenverkehr eine Zulassungsregel erstellt. Es kann vorkommen,
dass der abgefangene Datenverkehr mehr als eine Regel erfüllt. In diesem Fall sorgt die
Vorrangfunktion dafür, dass Firewall nur die erste in der Liste erfüllte Regel anwendet.
Empfohlene Vorgehensweisen
Stellen Sie die spezifischeren Regeln an den Anfang der Liste und die allgemeineren Regeln ans Ende.
Durch diese Reihenfolge wird gewährleistet, dass Firewall den Datenverkehr angemessen filtert.
Produkthandbuch
67
4
Um beispielsweise alle HTTP-Anfragen zu blockieren, mit Ausnahme einer spezifischen IP-Adresse
(z. B. 10.10.10.1), müssen Sie zwei Regeln erstellen:
•
Blockierungsregel – HTTP-Datenverkehr von Adresse 10.10.10.1 wird blockiert. Diese Regel ist
allgemein.
•
Zulassungsregel – sämtlicher Datenverkehr wird zugelassen, der den HTTP-Dienst verwendet.
Diese Regel ist allgemein.
Platzieren Sie die Blockierungsregel in der Firewall-Regelliste vor der Zulassungsregel. Wenn die
Firewall eine HTTP-Anfrage von der Adresse 10.10.10.1 abfängt, blockiert die erste passende Regel
den Datenverkehr durch die Firewall.
Wenn Sie die allgemeinere Zulassungsregel vor der spezifischeren Blockierregel platzieren, werden die
Anfragen von Firewall mit der Zulassungsregel abgeglichen, bevor die Blockierungsregel gefunden
wird. Auf diese Weise wird der Datenverkehr zugelassen, obwohl Sie die HTTP-Anfrage von einer
bestimmten Adresse blockieren wollten.
Funktionsweise von Firewall-Regelgruppen
Verwenden Sie zur Organisierung von Firewall-Regeln Firewall-Regelgruppen für eine einfache
Verwaltung. Firewall -Regelgruppen haben keine Auswirkung, wie Firewall die darin enthaltenen
Gruppen behandelt. Die Regeln werden trotzdem von oben nach unten durch Firewall verarbeitet.
Firewall verarbeitet die Einstellungen für die Gruppe vor der Verarbeitung der Einstellungen für die
Gruppe, die sie enthält. Wenn ein Konflikt zwischen diesen Einstellungen existiert, haben die
Gruppeneinstellungen Vorrang.
Festlegen von Gruppen als standortabhängige Gruppen
Mit Firewall können Sie standortabhängige Regeln für eine Gruppe und Verbindungsisolierung
erstellen. Über Ort und Netzwerkoptionen können Sie Gruppen so konfigurieren, dass Netzwerkadapter
berücksichtigt werden. Verwenden Sie Netzwerkadaptergruppen, um adapterspezifische Regeln für
Computer mit verschiedenen Netzwerkschnittstellen anzuwenden. Nachdem der Speicherortstatus
aktiviert und der Speicherort benannt wurden, können die Parameter für zugelassene Verbindungen
für jeden Netzwerkadapter folgende Parameter enthalten:
Ort:
•
Erforderlich machen, dass McAfee ePO erreichbar ist
•
Verbindungsspezifisches DNS-Suffix
•
Standard-Gateway-IP-Adresse
•
IP-Adresse des DHCP-Servers
•
DNS-Server für die Auflösung von URLs
•
IP-Adresse des primären WINS-Servers
•
IP-Adresse des sekundären WINS-Servers
•
Domänenerreichbarkeit
•
Registrierungsschlüssel
Netzwerk:
68
•
Lokale IP-Adresse
•
Medientyp
Produkthandbuch
4
Wenn zwei standortabhängige Gruppen für eine Verbindung zutreffen, verwendet Firewall den
normalen Vorrang und verarbeitet die erste zutreffende Gruppe in der Regelliste. Wenn in der ersten
Gruppe keine Regel übereinstimmt, wird die Regelverarbeitung fortgesetzt.
Wenn Firewall die Parameter einer standortabhängigen Gruppe mit einer aktiven Verbindung abgleicht,
werden die in der Gruppe enthaltenen Regeln angewendet. Die Regeln werden als kleiner Regelsatz
behandelt und der normale Vorrang eingehalten. Wenn der abgefangene Datenverkehr einige Regeln
nicht erfüllt, werden diese von der Firewall ignoriert.
Bei Auswahl dieser Option...
Gilt folgendes...
Standortbewusstsein aktivieren
Der Name eines Standorts ist erforderlich.
Erforderlich machen, dass McAfee
ePO erreichbar ist
McAfee ePO ist erreichbar und der FQDN des Servers wurde
aufgelöst.
Lokales Netzwerk
Die IP-Adresse des Adapters muss mit einem der Einträge in der
Liste übereinstimmen.
Verbindungsspezifisches
DNS-Suffix
Das DNS-Suffix des Adapters muss mit einem der Einträge in der
Liste übereinstimmen.
Standard-Gateway
Die IP-Adresse des Standard-Gateway-Adapters muss mit
mindestens einem der Listeneinträge übereinstimmen.
DHCP-Server
Die IP-Adresse des DHCP-Server-Adapters muss mit mindestens
einem der Listeneinträge übereinstimmen.
DNS-Server
Die IP-Adresse des DNS-Server-Adapters muss mit einem
beliebigen der Listeneinträge übereinstimmen.
Primärer WINS-Server
Die IP-Adresse des primären WINS-Server-Adapters muss mit
Sekundärer WINS-Server
Die IP-Adresse des sekundären WINS-Server-Adapters muss mit
Domänenerreichbarkeit (HTTPS)
Die angegebene Domäne muss über HTTPS erreichbar sein.
Firewall-Regelgruppen und Verbindungsisolierung
Verwenden Sie Verbindungsisolierung für Gruppen, um unerwünschten Datenverkehr daran zu
hindern, auf ein ausgewiesenes Netzwerk zuzugreifen.
Wenn bei aktivierter Verbindungsisolierung für eine Gruppe eine aktive Netzwerkschnittstellenkarte
(NIC) den Gruppenkriterien entspricht, verarbeitet Firewall nur Datenverkehr, der mit Folgendem
übereinstimmt:
•
Zulassungsregeln oberhalb der Gruppe in der Firewall-Regelliste
•
Gruppenkriterien
Produkthandbuch
69
4
Sonstiger Datenverkehr wird blockiert.
Gruppen, für die die Verbindungsisolierung aktiviert ist, können keine verknüpften
Datenübertragungsoptionen und ausführbaren Dateien enthalten.
Abbildung 4-2 Netzwerkverbindungsisolierung
70
Produkthandbuch
4
Als Anwendungsbeispiel für die Netzwerkverbindungsisolierung betrachten wir zwei Fälle: Eine
Unternehmensumgebung und ein Hotel. Die Liste aktiver Firewall-Regeln enthält Regeln und Gruppen
in folgender Reihenfolge:
1
Grundlegende Verbindungsregeln
2
Verbindungsregeln für VPN
3
Gruppe mit Verbindungsregeln für Unternehmensnetzwerke
4
Gruppe mit VPN-Verbindungsregeln
Beispiel: Netzwerkverbindungsisolierung im Unternehmensnetzwerk
Verbindungsregeln werden abgearbeitet, bis die Gruppe mit Verbindungsregeln für
Unternehmensnetzwerke erreicht wird. Diese Gruppe umfasst folgende Einstellungen:
•
Medientyp = Kabelgebunden
•
Verbindungsspezifisches DNS-Suffix = meinunternehmen.de
•
Standard-Gateway
•
Verbindungsisolierung = Aktiviert
Der Computer verfügt über kabelgebundene und kabellose Netzwerkadapter. Der Computer ist mit
dem Unternehmensnetzwerk über eine kabelgebundene Verbindung verbunden. Die
Drahtlosschnittstelle ist aber noch aktiv und verbindet sich daher mit einem Hotspot außerhalb des
Betriebsgeländes. Der Computer ist mit beiden Netzwerken verbunden, da die grundlegenden
Verbindungsregeln oben an der Liste der Firewall-Regeln angeordnet sind. Die LAN-Kabelverbindung
ist aktiv und entspricht den Kriterien der Verbindungsgruppe des Unternehmensnetzwerks. Die
Firewall verarbeitet den Netzwerkverkehr durch das LAN, blockiert aber weiteren Netzwerkverkehr
außerhalb des LAN aufgrund der aktivierten Netzwerkverbindungsisolierung.
Beispiel: Verbindungsisolierung in einem Hotel
Verbindungsregeln werden abgearbeitet, bis die Gruppe mit VPN-Verbindungsregeln erreicht wird.
Diese Gruppe umfasst folgende Einstellungen:
•
Medientyp = Virtuell
•
Verbindungsspezifisches DNS-Suffix = vpn.meinunternehmen.de
•
IP-Adresse = eine Adresse im Adressbereich des VPN-Konzentrators
•
Verbindungsisolierung = Aktiviert
Über allgemeine Verbindungsregeln lässt sich ein zeitlich begrenztes Konto für den Internetzugang in
einem Hotel einrichten. Die VPN-Verbindungsregeln ermöglichen die Verbindung mit dem VPN-Tunnel
und dessen Nutzung. Nach dem Aufbau des Tunnels erzeugt der VPN-Client einen virtuellen
Netzwerkadapter, der den Kriterien der VPN-Gruppe entspricht. Die Firewall beschränkt den
zugelassenen Netzwerkverkehr (mit Ausnahme des Basisverkehrs des physischen Adapters selbst) auf
den VPN-Tunnel. Versuche anderer Hotelgäste, drahtlos oder per Netzwerkkabel über das Netzwerk auf
den Computer zuzugreifen, werden blockiert.
Produkthandbuch
71
4
Erstellen und Verwalten von Firewall-Regeln und -Gruppen
In verwalteten Systemen werden Regeln und Gruppen, die Sie über den Endpoint Security Client
konfigurieren, möglicherweise überschrieben, wenn der Administrator eine aktualisierte Richtlinie
bereitstellt.
Bevor Sie beginnen
Die Gruppen und Regeln werden nach Priorität geordnet in der Tabelle Firewall-Regeln angezeigt. Regeln
können nicht nach Spalte geordnet werden.
Vorgehensweise
1
2
3
Verwenden Sie die folgenden Tasks, um Firewall-Regeln und -Gruppen zu verwalten, und klicken
Sie dann auf Anwenden, um Änderungen an den Firewall-Regeln zu speichern.
Für diese Aktion...
Regeln in einer Firewall-Gruppe
anzeigen.
Klicken Sie auf
.
Eine Firewall-Gruppe reduzieren. Klicken Sie auf
.
Eine vorhandene Regel ändern.
Sie können nur Regeln in
der Gruppe Vom Benutzer
hinzugefügt ändern.
1 Erweitern Sie die Gruppe Vom Benutzer hinzugefügt.
2 Doppelklicken Sie auf die Richtlinie.
3 Ändern Sie die Regeleinstellungen.
Eine vorhandene Regel in einer
Gruppe anzeigen.
1 Erweitern Sie die Gruppe.
Eine Regel erstellen.
1 Klicken Sie auf Regel hinzufügen.
2 Wählen Sie die Regel aus, um ihre Details unten anzuzeigen.
2 Legen Sie die Regeleinstellungen fest.
Die Regel wird am Ende der Gruppe Vom Benutzer hinzugefügt
angezeigt.
Regeln kopieren.
1 Wählen Sie die Regel oder Regeln aus, und klicken Sie auf
Duplizieren.
Kopierte Regeln werden am Ende der Gruppe Vom Benutzer
hinzugefügt angezeigt.
2 Ändern Sie die Regeln, um den Namen und die Einstellungen
zu ändern.
72
Produkthandbuch
Für diese Aktion...
Regeln löschen.
1 Erweitern Sie die Gruppe.
Sie können Regeln nur aus
den Gruppen Vom Benutzer
hinzugefügt und Adaptiv
löschen.
Eine Gruppe erstellen.
4
2 Wählen Sie die Regel oder Regeln aus, und klicken Sie auf
Löschen.
1 Klicken Sie auf Gruppe hinzufügen.
2 Legen Sie die Gruppeneinstellungen fest.
Die Gruppe wird in der Gruppe Vom Benutzer hinzugefügt angezeigt.
Regeln und Gruppen innerhalb
und zwischen Gruppen
verschieben.
Sie können nur Regeln und
Gruppen in der Gruppe Vom
Benutzer hinzugefügt
verschieben.
Um Elemente zu verschieben:
1 Wählen Sie Elemente zum Verschieben aus.
Der Ziehpunkt
erscheint links von Elementen, die
verschoben werden können.
2 Verschieben Sie per Drag-and-Drop die Elemente an den
gewünschten Ort.
Eine blaue Linie erscheint zwischen Elementen, wo Sie die
gezogenen Elemente ablegen können.
4
Siehe auch
Platzhalter in Firewall-Regeln auf Seite 73
Zulassen von FTP-Verbindungen auf Seite 74
Erstellen von Verbindungsisolierungsgruppen auf Seite 74
Platzhalter in Firewall-Regeln
Sie können Platzhalter verwenden, um Zeichen für einige Werte in Firewall-Regeln darzustellen.
Platzhalter in Pfad- und Adresswerten
Folgende Platzhalter dürfen in Dateipfaden, Registrierungsschlüsseln, ausführbaren Dateien und URLs
verwendet werden.
In Registrierungsschlüsselpfaden für Firewall-Gruppenspeicherorte werden keine Platzhalterwerte
erkannt.
?
Fragezeichen
Ein einzelnes Zeichen.
*
Sternchen
Mehrere Zeichen, ausgenommen Schrägstrich (/) und umgekehrter Schrägstrich
(\). Verwenden Sie dieses Zeichen als Entsprechung der Stammebene eines
Ordners ohne Unterordner verwendet.
** zwei Sternchen Mehrere Zeichen, einschließlich Schrägstrich (/) und umgekehrter Schrägstrich
(\).
|
Pipe
Platzhalter-Escape.
Die Escape-Zeichenfolge für ein doppeltes Sternchen (**) lautet "|*|*".
Produkthandbuch
73
4
Platzhalter in allen anderen Werten
Für Werte, die normalerweise keine Pfadangaben mit Schrägstrichen enthalten, können folgende
Platzhalter verwendet werden.
? Fragezeichen Ein einzelnes Zeichen.
* Sternchen
Mehrere Zeichen, einschließlich Schrägstrich (/) und umgekehrter Schrägstrich (\).
| Pipe
Platzhalter-Escape.
Erstellen von Verbindungsisolierungsgruppen
Um einen Satz an Regeln zu erstellen, die nur bei Verbindung mit einem Netzwerk mit bestimmten
Parametern gelten sollen, erstellen Sie eine Firewall-Regelgruppe für Verbindungsisolierung.
Bevor Sie beginnen
Vorgehensweise
1
2
3
Klicken Sie unter REGELN auf Gruppe hinzufügen.
4
Geben Sie unter Beschreibung die Optionen für die Gruppe an.
5
Wählen Sie unter Standort die Option Standortbewusstsein aktivieren und Verbindungsisolierung aktivieren.
Wählen Sie dann die Standortkriterien für die Zuordnung.
6
Wählen Sie unter Netzwerkoptionen für Medientypen den Typ der Verbindung (Kabelgebunden, Drahtlos,
Virtuell) aus, für den die in dieser Gruppe enthaltenen Regeln angewendet werden sollen.
Einstellungen für Transport und Ausführbare Dateien sind für Verbindungsisolierungsgruppen nicht
verfügbar.
7
8
Erstellen Sie in dieser Gruppe neue Regeln, oder verschieben Sie vorhandene Regeln aus der
Firewall-Regelliste in die Gruppe.
Siehe auch
Firewall-Regelgruppen und Verbindungsisolierung auf Seite 69
Zulassen von FTP-Verbindungen
Um FTP-Verbindungen im aktiven Modus zuzulassen, erstellen Sie Firewall-Regeln, um eingehende und
ausgehende Verbindungen an bestimmten Ports zuzulassen.
Das FTP-Protokoll nutzt zwei Verbindungen: Steuerung für Befehle und Daten für die Information.
Da Firewall keine FTP-Protokolle prüft, werden FTP-Verbindungen nicht standardmäßig zugelassen. Um
FTP-Verbindungen zuzulassen, erstellen Sie Firewall-Regeln, um Verbindungen an bestimmten Ports
zuzulassen.
74
Produkthandbuch
4
FTP für aktiven Modus
Wenn ein Client eine Verbindung zu einem FTP-Server in aktivem Modus herstellt:
•
Der Steuerungskanal wird am TCP-Port 21 eingerichtet.
•
Der Datenkanal wird am TCP-Port 20 eingerichtet.
Um einen FTP-Client im aktiven Modus zum Verbinden sowie zum Herunterladen und
Hochladen von Daten von einem bzw. auf einen FTP-Server zu verwenden, erstellen Sie
folgende Firewall-Regeln auf dem Client:
•
Ausgehende Verbindungen für TCP-Port 21 auf dem Server zulassen.
•
Eingehende Verbindungen für TCP-Port 20 auf dem Server zulassen.
Um einen FTP-Server zum Verbinden sowie zum Herunterladen und Hochladen von Daten
über einen FTP-Client einzurichten, erstellen Sie folgende Firewall-Regeln auf dem Server:
•
•
– passiver FTP-Modus
Im passiven FTP-Modus müssen Sie eine Reihe von Ports für den Datenkanal auf dem FTP-Server
öffnen.
Wenn ein Client eine Verbindung zu einem FTP-Server im passiven Modus herstellt:
•
Der Steuerungskanal wird am TCP-Port 21 eingerichtet.
•
Der Datenkanal wird an einem TCP-Port im Bereich zwischen 1025 und 5000 eingerichtet.
Um einen FTP-Client im passiven Modus zum Verbinden sowie zum Herunterladen und
Hochladen von Daten von einem bzw. auf einen FTP-Server zu verwenden, erstellen Sie
folgende Firewall-Regeln auf dem Client:
•
•
Ausgehende und eingehende Verbindungen an TCP-Ports im Bereich zwischen 1025 und 5000
zulassen.
Um einen FTP-Server zum Verbinden sowie zum Herunterladen und Hochladen von Daten
über einen FTP-Client einzurichten, erstellen Sie folgende Firewall-Regeln auf dem Server:
•
•
Ausgehende und eingehende Verbindungen an TCP-Ports im Bereich zwischen 1025 und 5000
zulassen.
Siehe auch
Produkthandbuch
75
4
76
Produkthandbuch
5
In Ihrem Browser können Sie auf Web Control-Schutzfunktionen zugreifen, während Sie im Internet
surfen oder suchen.
Inhalt
Informationen zu Web Control Funktionen
Zugreifen auf Web Control-Funktionen
Verwalten von Web Control
Wenn Web Control auf jedem verwalteten System ausgeführt wird, benachrichtigt es Sie über
Bedrohungen, während Sie nach Websites suchen oder surfen.
Ein McAfee-Team analysiert jede Website und weist ihr eine farbcodierte Sicherheitsbewertung
basierend auf den Testergebnissen zu. Die Farbe gibt das Sicherheitslevel der Site wieder.
Die Software verwendet die Testergebnisse, um Sie über webbasierte Bedrohungen zu informieren, auf
die Sie möglicherweise stoßen können.
Auf Suchergebnisseiten: Ein Symbol erscheint neben jeder aufgeführten Site. Die Farbe des
Symbols gibt die Sicherheitsbewertung der jeweiligen Site wieder. Sie können über diese Symbole auf
zusätzliche Informationen zugreifen.
Im Browserfenster: Eine Schaltfläche wird in der rechten oberen Ecke angezeigt. Die Farbe der
Schaltfläche gibt die Sicherheitsbewertung der jeweiligen Site wieder. Sie können durch einen Klick auf
die Schaltfläche auf zusätzliche Informationen zugreifen.
Diese Schaltfläche informiert Sie darüber hinaus über aufgetretene Kommunikationsprobleme und
erleichtert den schnellen Zugriff auf Tests, mit denen häufige Probleme identifiziert werden können.
In Sicherheitsberichten – Gibt detailliert an, wie die Sicherheitsbewertung auf Basis der erkannten
Bedrohungsarten, den Testergebnissen und anderen Daten berechnet wurde.
Für verwaltete Systeme erstellen Administratoren Richtlinien für folgende Aktionen:
•
Aktivieren und Deaktivieren von Web Control auf Ihrem System; Verhindern oder Zulassen der
Deaktivierung von Software und Browser-Plug-In durch die Benutzer.
•
Steuern des Zugriffs auf Websites, Seiten und Downloads, basierend auf deren
Sicherheitsbewertung oder Inhaltstyp.
Sie können beispielsweise rote Sites blockieren und Benutzer bei einem versuchten Zugriff auf
gelbe Sites warnen.
•
Identifizieren von Sites als blockiert oder zugelassen, basierend auf URLs und Domänen.
Produkthandbuch
77
5
•
Verhindern, dass Sie Web Control-Dateien, Registrierungsschlüssel, Registrierungswerte, Dienste
und Prozesse deinstallieren oder ändern.
•
Anpassen der angezeigten Benachrichtigung, wenn Sie versuchen, auf eine blockierte Website
zuzugreifen.
•
Überwachen und steuern Sie die Browser-Aktivitäten auf Netzwerk-Computern, und erstellen Sie
detaillierte Berichte zu Websites.
Für von Ihnen selbst verwaltete Systeme können Sie die folgenden Einstellungen konfigurieren:
•
Aktivieren und Deaktivieren von Web Control auf Ihrem System; Verhindern oder Zulassen der
Deaktivierung von Software und Browser-Plug-In.
•
Steuern des Zugriffs auf Websites, Seiten und Downloads, basierend auf deren
Sicherheitsbewertung oder Inhaltstyp.
Sie können beispielsweise rote Sites blockieren und Benutzer bei einem versuchten Zugriff auf
gelbe Sites warnen.
Die Software unterstützt die Browser Microsoft Internet Explorer, Mozilla Firefox und Google Chrome.
Firefox gestattet Ihnen nicht, Datei-Downloads zu prüfen oder die Schaltfläche Web Control mit dem
Befehl Ansicht | Symbolleisten auszublenden.
Chrome unterstützt weder die Erzwingung von Datei-Downloads noch die Option Sprechblase
anzeigen.
Siehe auch
Web Control-Schaltfläche zu Bedrohungsidentifizierung während des Surfens auf Seite 78
Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen auf Seite 79
Site-Berichte für Details auf Seite 79
So werden Sicherheitsbewertungen kompiliert auf Seite 80
Web Control-Schaltfläche zu Bedrohungsidentifizierung
während des Surfens
Wenn Sie zu einer Website navigieren, erscheint eine farbcodierte Schaltfläche
in der rechten oberen Ecke des Browsers. Die Farbe der Schaltfläche
entspricht der Sicherheitsbewertung der jeweiligen Site.
Im Chrome-Browserfenster wird eine kleine Schaltfläche
78
in der Adressleiste angezeigt.
Grün
Diese Site wird von McAfee SECURE täglich getestet und als
sicher zertifiziert.
Grün
Diese Site ist sicher.
Gelb
Auf dieser Site könnten einige Probleme auftreten.
Rot
Auf dieser Site könnten einige ernsthafte Probleme auftreten.
Grau
Für diese Site ist keine Bewertung verfügbar.
Orange
Bei der Kommunikation mit dem McAfee GTI-Server, auf dem
Bewertungsinformationen vorhanden sind, ist ein Fehler
aufgetreten.
Blau
Es stehen keine Daten zur Bewertung dieser Site zur Verfügung.
Die Ursache könnte sein, dass die Site intern ist oder sich in
einem privaten IP-Adressbereich befindet.
™
Produkthandbuch
5
Schwarz Diese Site ist eine Phishing-Site.
Beim Phishing wird versucht, vertrauliche Daten wie z. B.
Benutzernamen, Kennwörter und Kreditkartendaten zu
sammeln. Phishing-Sites täuschen vor, eine vertrauenswürdige
Entität in einer elektronischen Kommunikation zu sein.
Weiß
Eine lässt diese Site zu.
Silber
Eine hat Web Control deaktiviert.
Siehe auch
Zugeifen auf Funktionen während des Surfens auf Seite 81
Fehlerbehebung bei Kommunikationsproblemen auf Seite 83
Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen
Wenn Sie Stichwörter in Suchmaschinen wie Google, Yahoo!, Bing oder Ask eingeben, werden
Sicherheitssymbole neben den Sites angezeigt, die auf der Suchergebnisseite aufgeführt sind. Die
Farbe der Menüschaltfläche entspricht der Sicherheitsbewertung der Site.
Tests haben keine schwerwiegenden Probleme gefunden.
Tests ergaben einige Probleme, von denen Sie wissen sollten. Die Website versuchte
beispielsweise Änderungen an den Standard-Browsereinstellungen der Tester vorzunehmen,
zeigte Pop-Ups an oder verschickte eine signifikante Menge an Non-Spam-E-Mails an Tester.
Tests ergaben einige ernst zu nehmende Probleme, die Sie vor dem Zugriff auf die Site
sorgfältig beachten müssen. Die Website sendete beispielsweise Spam-E-Mails an die Tester
oder kombinierte Adware mit einem Download.
Eine hat diese Site blockiert.
Diese Site wurde noch nicht bewertet.
Siehe auch
Site-Bericht während der Suche anzeigen auf Seite 82
Site-Berichte für Details
Im Site-Bericht einer Website können Sie sich Details zu bestimmten Bedrohungen anzeigen lassen.
Site-Berichte werden vom Server für die McAfee GTI-Bewertungen bereitgestellt und enthalten die
folgenden Informationen.
Produkthandbuch
79
5
Dieses Element...
Zeigt Folgendes an...
Überblick
Die Gesamtbewertung der Website, erstellt auf Grundlage dieser Tests:
• Auswertung der E-Mail- und Download-Praktiken für eine Website mithilfe
von Techniken zur Erfassung und Analyse von Daten.
• Untersuchung der Website selbst, um festzustellen, ob sie störende
Praktiken wie übermäßige Pop-Ups verwendet oder Aufforderungen zum
Wechseln der Homepage sendet.
• Analyse der Online-Zugehörigkeiten, um festzustellen, ob die Website mit
anderen verdächtigen Sites verknüpft ist.
• Kombination der McAfee-Überprüfung verdächtiger Sites mit dem
Feedback von unseren Threat Intelligence Services.
Online-Zugehörigkeiten Wie aggressiv von der Site versucht wird, Sie auf andere Sites umzuleiten,
die McAfee mit einer roten Bewertung gekennzeichnet hat.
Verdächtige Sites sind oft mit anderen verdächtigen Sites verknüpft. Der
wesentliche Zweck von solchen Zubringer -Sites besteht darin, Sie zu dem
Besuch der verdächtigen Site zu verleiten. Eine Site kann beispielsweise
eine rote Bewertung erhalten, wenn sie zu aggressiv mit anderen roten Sites
verknüpft ist. In diesem Fall wird die Site von Web Control als Rot aufgrund
von Verknüpfungenbewertet.
Web-Spam-Tests
Die Gesamtbewertung für die E-Mail-Praktiken einer Website, basierend auf
den Testergebnissen.
McAfee bewertet Sites anhand der Menge an E-Mails, die wir nach der
Eingabe einer Adresse auf der Site erhalten, und der Höhe des
Spam-Gehalts der E-Mails. Wenn eine dieser Messungen zu einem Wert
führt, der höher als akzeptabel ist, bewertet McAfee die Site gelb. Wenn
beide Messwerte hoch sind oder einer der Messwerte sehr hoch ausfällt,
bewertet McAfee die Site rot.
Download-Tests
Die Gesamtbewertung der Auswirkung, die die herunterladbare Software
einer Site auf unseren Test-Computer hatte, basierend auf den
Testergebnissen.
Rote Bewertungen ordnet McAfee Sites mit vireninfizierten Downloads zu
oder die sachfremde Software hinzufügen, die viele Benutzer als Adware
oder Spyware empfinden. Für die Bewertung werden auch die
Netzwerk-Server berücksichtigt, die von einem heruntergeladenen
Programm bei der Ausführung kontaktiert werden, sowie alle Modifikationen
an den Browser-Einstellungen oder den Registrierungsdateien eines
Computers.
Siehe auch
Site-Berichte anzeigen auf Seite 82
So werden Sicherheitsbewertungen kompiliert
Ein McAfee-Team entwickelt Sicherheitsbewertungen anhand von Kriterien für die einzelnen Websites
und wertet die Ergebnisse aus, um häufig auftretende Bedrohungen zu erkennen.
Automatisierte Tests kompilieren die Sicherheitsbewertung für eine Website, indem sie:
80
•
heruntergeladene Dateien auf Viren und potenziell unerwünschte Programme prüfen, die mit dem
Download gebündelt sind.
•
Kontaktdaten in Anmeldeformulare eingeben und auf nachfolgenden Spam beziehungsweise auf
eine hohe Menge an Non-Spam-E-Mails achten, die von der Site oder ihren Partnern geschickt
wurden.
Produkthandbuch
•
Auf eine exzessive Anzahl an Pop-Up-Fenstern prüfen.
•
auf Versuche der Site prüfen, die Schwachstellen des Browsers auszunutzen.
•
auf betrügerische Praktiken der Site prüfen.
5
Das Team fasst die Testergebnisse zu einem Sicherheitsbericht zusammen, der auch Folgendes
enthält:
•
Durch Site-Eigentümer eingereichtes Feedback, das Beschreibungen der von der Site verwendeten
Sicherheitsmaßnahmen sowie Antworten auf Benutzer-Feedback zur Site enthalten kann
•
Von den Site-Benutzern eingesendetes Feedback, das Berichte zu Phishing-Scams sowie
Informationen zu schlechten Einkaufserfahrungen enthalten kann.
•
Zusätzliche Analyse durch McAfee-Experten.
Der McAfee GTI-Server speichert Site-Bewertungen und Berichte.
Greifen Sie auf Web Control-Funktionen im Browser zu.
Aufgaben
•
Zugeifen auf Funktionen während des Surfens auf Seite 81
Greifen Sie auf Web Control-Funktionen mit der Schaltfläche im Browser zu. Die
Funktionsweise der Schaltfläche unterscheidet sich je nach Browser.
•
Das Sicherheitssymbol auf einer Seite mit Suchergebnissen zeigt weitere Informationen zu
einer Site an.
•
Site-Berichte anzeigen auf Seite 82
Sie erhalten weitere Informationen zur Sicherheitsbewertung einer Site im Site-Bericht.
•
Fehlerbehebung bei Kommunikationsproblemen auf Seite 83
Führen Sie auf dem Client-Computer Tests im Browser aus, um die Ursache für
Kommunikationsprobleme mit dem McAfee GTI-Sicherheitsbewertungs-Server zu ermitteln.
Zugeifen auf Funktionen während des Surfens
Greifen Sie auf Web Control-Funktionen mit der Schaltfläche im Browser zu. Die Funktionsweise der
Schaltfläche unterscheidet sich je nach Browser.
Internet Explorer und Firefox
•
Halten Sie den Mauszeiger über diese Schaltfläche, um eine Sprechblase mit einer
Zusammenfassung des Sicherheitsberichts für die Site anzuzeigen.
•
Klicken Sie auf die Schaltfläche, um einen ausführlichen Sicherheitsbericht anzuzeigen.
•
Klicken Sie auf die Schaltfläche neben dem Symbol
Funktionen anzuzeigen.
, um ein Menü der
Chrome – Klicken Sie auf die Schaltfläche, um ein Menü der Funktionen anzuzeigen.
In Chrome ist das Anzeigen von Sprechblasen über die Menüschaltfläche nicht möglich. Sie sind nur von
Suchergebnisseiten aus verfügbar.
Produkthandbuch
81
5
Vorgehensweise
1
Wählen Sie im Menü die Optionen aus.
Option
Für folgende Aktion...
Hinweise
Site-Bericht
anzeigen
Anzeigen des Sicherheitsberichts für die
aktuelle Site.
Nur verfügbar, wenn Web
Control aktiviert ist.
Sie können auch in der Sprechblase der
Site auf Site-Bericht lesen klicken.
Sprechblase
anzeigen
2
Anzeigen der Sprechblase für die aktuelle Site. Nur verfügbar, wenn Web
Control aktiviert ist und nicht in
Chrome verfügbar.
Wenn die Schaltfläche für Kommunikationsfehler
eingeblendet wird,
zeigen Sie die Sprechblase für die Site an, und klicken Sie auf Fehler beheben.
Auf der Seite für den Verbindungsstatus wird die mögliche Ursache des Kommunikationsfehlers
angezeigt.
Siehe auch
Site-Bericht während der Suche anzeigen
Das Sicherheitssymbol auf einer Seite mit Suchergebnissen zeigt weitere Informationen zu einer Site
an.
Vorgehensweise
1
Halten Sie den Mauszeiger über das Sicherheitssymbol. Eine Sprechblase mit einer
Zusammenfassung des Sicherheitsberichts für die Site wird angezeigt.
2
Klicken Sie in der Sprechblase der Site auf Site-Bericht lesen, um einen detaillierten Sicherheitsbericht
in einem neuen Browser-Fenster zu öffnen.
Siehe auch
Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen auf Seite 79
Site-Berichte anzeigen
Sie erhalten weitere Informationen zur Sicherheitsbewertung einer Site im Site-Bericht.
Vorgehensweise
•
Zeigt den Bericht für eine Site an.
Ort
Vorgehensweise
Website
• Wählen Sie im Web Control-Menü Site-Bericht anzeigen.
• Klicken Sie auf die Sprechblase.
• Klicken Sie in der Sprechblase der Site auf Site-Bericht lesen.
Suchergebnisseite
Klicken Sie auf das Sicherheitssymbol und folgen Sie dem Webseiten-Link.
Siehe auch
82
Produkthandbuch
5
Fehlerbehebung bei Kommunikationsproblemen
Führen Sie auf dem Client-Computer Tests im Browser aus, um die Ursache für
Kommunikationsprobleme mit dem McAfee GTI-Sicherheitsbewertungs-Server zu ermitteln.
Eine orangefarbene Schaltfläche
in der rechten oberen Ecke des Browsers
weist auf Kommunikationsprobleme mit dem McAfee GTI-Server hin.
Fehlerbehebung für Kommunikationsprobleme ist in Chrome nicht verfügbar. Verwenden Sie zum
Ausführen dieser Tests Internet Explorer oder Firefox.
Vorgehensweise
1
Halten Sie den Mauszeiger im Internet Explorer oder Firefox über die orangefarbene Schaltfläche,
um die Sprechblase anzuzeigen.
2
Klicken Sie auf Fehlerbehebung, um einige Tests durchzuführen und die Ergebnisse anzuzeigen.
Nach Abschluss der Tests zeigt eine Verbindungsstatus-Seite den Grund für den
Kommunikationsfehler an und bietet mögliche Lösungswege.
Test
Prüft auf...
Ein negativer Test weist darauf hin, dass...
Internetzugriff
Verfügt Ihr Browser über
Internetzugriff?
Ihr Computer kann nicht auf das Internet
zugreifen. Der Fehler könnte darauf hinweisen,
dass Ihre Netzwerkverbindung unterbrochen ist
oder die Proxy-Einstellungen falsch konfiguriert
sind. Wenden Sie sich an Ihren Administrator.
Verfügbarkeit des
McAfee
GTI-Servers
Ist der McAfee
GTI-Server nicht
erreichbar?
Die McAfee GTI-Server sind nicht erreichbar.
3
Überprüfen Sie die Ergebnisse, wenn diese angezeigt werden, und folgen Sie den Anweisungen, um
das Problem zu beheben.
4
Testen Sie die Verbindung erneut, indem Sie auf Tests wiederholen klicken.
Mit der Schaltfläche Tests wiederholen können Sie bei einer geöffneten Seite überprüfen, ob der Fehler
weiter besteht oder behoben wurde.
Siehe auch
Als Administrator können Sie Web Control-Einstellungen festlegen, um den Schutz zu aktivieren und
anzupassen, Sites basierend auf Webkategorien blockieren und Protokollierung konfigurieren.
Siehe auch
Konfigurieren von Web Control-Optionen auf Seite 84
Webkategorie auf Seite 87
Produkthandbuch
83
5
Konfigurieren von Web Control-Optionen
Sie können vom Endpoint Security Client aus Web Control aktivieren und Optionen konfigurieren.
Bevor Sie beginnen
Vorgehensweise
1
2
Klicken Sie auf der Status-Hauptseite auf Web Control.
Control.
Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Web
3
4
5
Wählen Sie Web Control aktivieren, um Web Control zu aktivieren und die Optionen zu ändern.
Ziel
Vorgehensweise
Blenden Sie die
Symbolleiste von Web
Control im Browser aus,
ohne den Schutz zu
deaktivieren.
Wählen Sie Symbolleiste im
Client-Browser ausblenden.
Verfolgen Sie
Konfigurieren Sie
Browser-Ereignisse für die Einstellungen unter
Berichterstellung.
Ereignisprotokoll.
Hinweise
Verwenden Sie diese Einstellung,
um Kompatibilitätsprobleme mit
Drittanbieterprodukten zu lösen.
Konfigurieren Sie Web
Control-Ereignisse, die von
Client-Systemen an den
Management-Server für Abfragen und
Berichte gesendet werden.
Blockieren Sie unbekannte Wählen Sie unter Erzwingung von
URLs oder lassen Sie eine Aktionen die Aktion (Blockieren,
Warnung anzeigen.
Zulassen oder Warnen) für Sites
aus, die noch nicht von
McAfee GTI überprüft wurden.
Scannen Sie Dateien vor
dem Download.
Wählen Sie Datei-Scan bei
Datei-Downloads aktivieren, und
wählen Sie dann die McAfee
GTI-Risikostufe für die
Blockierung.
Blockieren Sie die Anzeige Wählen Sie unter Sichere Suche
riskanter Websites in
Sichere Suche aktivieren und
Suchergebnissen.
anschließend die
Suchmaschine aus, und legen
Sie dann fest, ob Sie Links für
riskante Sites blockieren
möchten.
Die sichere Suche filtert die
bösartigen Websites in den
Suchergebnissen anhand ihrer
Sicherheitsbewertungen. Web Control
nutzt Yahoo als
Standard-Suchmaschine.
Wenn Sie die
Standard-Suchmaschine ändern,
starten Sie den Browser neu,
damit die Änderungen wirksam
werden.
84
Produkthandbuch
6
Konfigurieren Sie andere Optionen nach Bedarf.
7
5
Siehe auch
Wie Datei-Downloads gescannt werden auf Seite 86
Produkthandbuch
85
5
Wie Datei-Downloads gescannt werden
Web Control sendet Anfragen für Datei-Downloads an Threat Prevention, damit sie vor dem
Herunterladen gescannt werden.
86
Produkthandbuch
5
Angeben von Bewertungsaktionen und Blockieren des SiteZugriffs basierend auf der Webkategorie
Konfigurieren Sie Einstellungen für Inhaltsaktionen-Richtlinien, um die Aktionen für Sites und
Datei-Downloads basierend auf den Sicherheitsbewertungen festzulegen. Optional können Sie
festlegen, ob Sites in der jeweiligen Webkategorie blockiert oder zugelassen werden sollen.
Bevor Sie beginnen
Web Control wendet die Bewertungsaktionen auf die Sites in den nicht blockierten Kategorien an wie
im Abschnitt Webkategorie-Blockierung unter Erweitert festgelegt.
Mithilfe der Einstellungen unter Erzwingungsmeldungen können Sie die angezeigte Meldung für Sites
und Datei-Downloads anpassen, je nachdem, ob sie blockiert sind oder eine Warnung dafür ausgegeben
wird, oder ob es sich um blockierte Phishing-Seiten handelt.
Vorgehensweise
1
2
Klicken Sie auf der Status-Hauptseite auf Web Control.
Control.
Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Web
3
4
Klicken Sie auf Inhaltsaktionen.
5
Aktivieren oder deaktivieren Sie unter Webkategorie-Blockierung für jede Webkategorie die Option Blockieren.
Für Sites in den nicht blockierten Kategorien wendet Web Control außerdem die Bewertungsaktionen
an.
6
Legen Sie unter Bewertungsaktionen die anzuwendenden Aktionen für Sites und Datei-Downloads
basierend auf den von McAfee definierten Sicherheitsbewertungen fest.
Diese Aktionen gelten auch für Sites, die nicht basierend auf Webkategorie-Blockierung blockiert
sind.
7
Siehe auch
Verwenden von Webkategorien zur Zugriffssteuerung auf Seite 87
Verwenden von Sicherheitsbewertungen zum Kontrollieren des Zugriffs auf Seite 88
Verwenden von Webkategorien zur Zugriffssteuerung
Webkategorien ermöglichen Ihnen die Steuerung des Zugriffs auf Sites basierend auf Kategorien, die
von McAfee festgelegt werden. Sie können Optionen angeben, um den Zugriff auf Websites ausgehend
von der enthaltenen Inhaltskategorie zuzulassen oder zu blockieren.
Wenn Sie die Webkategorie-Blockierung in den Richtlinieneinstellungen für aktivieren, werden
Website-Kategorien von der Software blockiert oder zugelassen. Zu diesen Webkategorien gehören
Glücksspiel, Spiele und Instant Messaging. Die Liste der etwa 105 Webkategorien wird von McAfee
definiert und gewartet.
Produkthandbuch
87
5
Standardmäßig werden die meisten Webkategorien, denen McAfee eine grüne Bewertung zuweist,
zugelassen, bei einer gelben Bewertung wird eine Warnung ausgegeben und Inhaltskategorien mit
roten Bewertungen werden blockiert. Einige nicht bewertete Inhaltskategorien werden jedoch
entsprechend McAfee GTI-Empfehlungen blockiert bzw. es wird für sie eine Warnung ausgegeben.
Verwenden Sie die für Inhaltsaktionen, um Webkategorien zu blockieren oder zuzulassen. Mit den
Einstellungen für Bewertungsaktionen legen Sie die Aktionen für Sites und Downloads in den nicht
blockierten Kategorien fest.
Wenn ein Client-Benutzer auf eine Site zugreift, überprüft die Software die Webkategorie für die Site.
Wenn die Site zu einer definierten Kategorie gehört, wird der Zugriff basierend auf den
Richtlinieneinstellungen für oder zugelassen. Die Software wendet die angegebenen
Bewertungsaktionen für Sites und Datei-Downloads in den nicht blockierten Kategorien an.
Verwenden von Sicherheitsbewertungen zum Kontrollieren des Zugriffs
Konfigurieren Sie Aktionen anhand von Sicherheitsbewertungen, um zu entscheiden, ob Benutzer auf
eine Site oder auf Ressourcen einer Site zugreifen können.
Legen Sie für jede Site oder jeden Datei-Download fest, ob diese oder dieser je nach Bewertung
zugelassen, blockiert oder eine Warnung dafür generiert werden soll. Auf diese Weise kann genauer
festgelegt werden, wie Benutzer vor Dateien geschützt werden sollen, die auf Sites mit insgesamt
grüner Bewertung eine Bedrohung darstellen können.
88
Produkthandbuch
6
Client-Schnittstellenreferenz
Die Hilfethemen der Referenz für die Benutzeroberfläche bieten eine kontextbezogene Hilfe für Seiten
auf der Client-Benutzeroberfläche.
Inhalt
Seite Ereignisprotokoll
Seite Quarantäne
Common – Optionen
Common – Tasks
Threat Prevention – Zugriffsschutz
Threat Prevention – Exploit-Schutz
Threat Prevention – On-Access Scan
Threat Prevention – On-Demand-Scan
Scan-Speicherorte
McAfee GTI
Aktionen
Hinzufügen oder Bearbeiten von Ausschlüssen
Threat Prevention – Optionen
Rollback von AMCore Content
Seite Firewall – Optionen
Seite Firewall – Regeln
Web Control – Optionen
Web Control – Inhaltsaktionen
Zeigt die Aktivität und Debug-Ereignisse im Ereignisprotokoll an.
Option
Beschreibung
Anzahl der Ereignisse
Zeigt alle Ereignisse an, die von Endpoint Security in den vergangenen 30 Tagen
im System protokolliert wurden.
Aktualisiert die Ereignisprotokoll -Anzeige mit neuen Ereignissen.
Protokollordner anzeigen Öffnet den Ordner, der die Protokolldateien in Windows Explorer enthält.
Alle Ereignisse anzeigen Entfernt alle Filter.
Produkthandbuch
89
6
Option
Beschreibung
Nach Schweregrad filtern Filtert Ereignisse nach einem Schweregrad filtert:
Nach Modul filtern
Kritisch
Zeigt nur Ereignisse des Schweregrads 1 an.
Wichtig und höher
Zeigt nur Ereignisse des Schweregrads 1 und 2 an.
Unwichtig und höher
Zeigt nur Ereignisse des Schweregrads 1, 2 und 3 an.
Warnung und höher
Zeigt Ereignisse des Schweregrads 1, 2, 3 und 4 an.
Filtert Ereignisse nach Modul:
Common
Zeigt nur Common-Ereignisse an.
Threat Prevention
Zeigt nur Threat Prevention-Ereignisse an.
Firewall
Zeigt nur Firewall-Ereignisse an.
Web Control
Zeigt nur Web Control-Ereignisse an.
Die Funktionen in der Dropdown-Liste hängen von den Funktionen ab, die im
System installiert sind, wenn Sie das Ereignisprotokoll öffnen.
Suche
Durchsucht das Ereignisprotokoll nach einer Zeichenfolge.
Ereignisse pro Seite
Legt die Anzahl der Ereignisse fest, die auf einer Seite angezeigt werden sollen.
(Standardmäßig 20 Ereignisse pro Seite)
Vorherige Seite
Zeigt die vorherige Seite im Ereignisprotokoll an.
Nächste Seite
Zeigt die nächste Seite im Ereignisprotokoll an.
Seite x von x
Wählt eine bestimmte Seite im Ereignisprotokoll aus.
Geben Sie eine Zahl in das Feld Seite ein, und drücken Sie die Eingabetaste,
oder klicken Sie auf Start, um zur Seite zu navigieren.
Spaltenüberschrift Sortiert die Ereignisliste nach...
90
Datum
Datum, an dem das Ereignis stattfand.
Funktion
Funktion, für die das Ereignis protokolliert wurde.
Produkthandbuch
Seite Quarantäne
6
Spaltenüberschrift Sortiert die Ereignisliste nach...
Aktion, die gegebenenfalls von Endpoint Security als Reaktion auf das Ereignis
ausgeführt wurde.
Aktion
Die Aktion wird in den Einstellungen konfiguriert.
Zugelassen
Der Zugriff auf Dateien wurde zugelassen.
Zugriff verweigert Der Zugriff auf die Datei wurde verhindert.
Gelöscht
Die Datei wurde automatisch gelöscht.
Fortsetzen
Gesäubert
Die Bedrohung wurde automatisch aus der Datei entfernt.
Verschoben
Die Datei wurde in den Quarantäne-Ordner verschoben.
Blockiert
Der Zugriff auf die Datei wurde blockiert.
Würde blockiert
Eine Zugriffsschutzregel hätte den Zugriff auf die Datei
blockiert, wäre die Regel erzwungen worden.
Schweregrad des Ereignisses.
Schweregrad
Kritisch
1
Hoch
2
Gering
3
Warnung
4
Information
5
Siehe auch
Anzeigen des Ereignisprotokolls auf Seite 21
Seite Quarantäne
Verwaltet Elemente in der Quarantäne.
Option
Beschreibung
Löschen
Löscht ausgewählte Elemente aus der Quarantäne.
Gelöschte Elemente können nicht wiederhergestellt werden.
Wiederherstellen Stellt Elemente aus der Quarantäne wieder her.
Endpoint Security stellt die Elemente im ursprünglichen Speicherort wieder her und
entfernt sie aus der Quarantäne.
Wenn ein Element noch immer eine gültige Bedrohung darstellt, wird es von Endpoint
Security sofort zurück in die Quarantäne verschoben.
Erneut scannen
Scannt ausgewählte Elemente in der Quarantäne erneut.
Wenn das Element keine Bedrohung mehr ist, stellt es Endpoint Security wieder in
seinen ursprünglichen Speicherort her und entfernt es aus der Quarantäne.
Produkthandbuch
91
6
Common – Optionen
Spaltenüberschrift
Sortiert die Quarantäne-Liste nach...
Erkennungsname
Name der Erkennung.
Typ
Bedrohungstyp, zum Beispiel: Trojaner oder Adware.
Quarantäne-Zeit
Die Zeitdauer, die das Element isoliert wurde.
Anzahl der Objekte
Die Anzahl der erkannten Objekte.
AMCore Content-Version
Die Versionsnummer von AMCore Content, die die Bedrohung erkannt hat.
Siehe auch
Verwalten von isolierten Elementen auf Seite 39
Common – Optionen
Konfiguriert Einstellungen fürEndpoint Security Client-Benutzeroberfläche, Selbstschutz,
Protokollierung von Aktivität und Fehlerbehebung sowie Einstellungen für den Proxy-Server.
Tabelle 6-1
Abschnitt
Option
Client-Schnittstellen-Modus Vollzugriff
Beschreibung
Ermöglicht den Zugriff auf alle Funktionen.
(Standard für selbstverwaltete Systeme)
Standardzugriff
Zeigt den Schutzstatus an und bietet Zugriff auf die
meisten Funktionen, beispielsweise das Durchführen
von Aktualisierungen und Scans.
Für den Modus Standardzugriff ist ein Kennwort
erforderlich, um auf der Seite Endpoint Security
Client-Einstellungen anzuzeigen und zu ändern.
(Standard für verwaltete Systeme)
sperren
92
Erfordert ein Kennwort zum Zugriff auf Endpoint
Security Client.
Produkthandbuch
6
Common – Optionen
Tabelle 6-1
(Fortsetzung)
Abschnitt
Deinstallation
Option
Beschreibung
Administratorkennwort
festlegen
Legt bei Standardzugriff und Client-Benutzeroberfläche sperren
das Administratorkennwort zum Zugriff auf alle
Funktionen der Endpoint Security
Client-Benutzeroberfläche fest.
Kennwort zum Deinstallieren
des Clients erforderlich
machen
Kennwort
Legt das Administratorkennwort
fest.
Kennwort
bestätigen
Bestätigt das
Administratorkennwort.
Erfordert ein Kennwort für die Deinstallation von
Endpoint Security Client und legt das Kennwort fest.
(Standardmäßig deaktiviert für selbstverwaltete
Systeme)
Kennwort
Legt das Deinstallationskennwort
fest.
Kennwort
bestätigen
Legt das Deinstallationskennwort
fest.
Tabelle 6-2 Erweiterte Optionen
Abschnitt
Option
Beschreibung
Sprache der
Automatisch
Wählt automatisch die für Text in der Endpoint
Security Client-Benutzeroberfläche zu
verwendende Sprache basierend auf der Sprache
des Client-Systems.
Sprache
Legt die für Text in der Endpoint Security
Client-Benutzeroberfläche zu verwendende
Sprache fest.
Bei verwalteten Systemen wirken sich am
Client-System vorgenommene Änderungen auf
die Endpoint Security Client-Benutzeroberfläche
aus. Die Sprachänderung wird nach dem Neustart
von Endpoint Security Client übernommen.
Die Client-Sprache hat keine Auswirkung auf
die Protokolldateien. Protokolldateien werden
immer in der von der Ländereinstellung des
Systems festgelegten Sprache angezeigt.
Selbstschutz
Selbstschutz aktivieren
Schützt Endpoint Security-Systemressourcen vor
schädlichen Aktivitäten.
Aktion
Legt die Aktion fest, die beim Auftreten
schädlicher Aktivitäten ausgeführt werden soll:
• Blockieren und melden: Blockiert und meldet an
McAfee ePO. (Standard)
• Nur blockieren: Blockiert, aber meldet nicht an
McAfee ePO.
• Nur melden: Meldet an McAfee ePO, blockiert die
Aktion aber nicht.
Produkthandbuch
93
6
Common – Optionen
Tabelle 6-2 Erweiterte Optionen (Fortsetzung)
Abschnitt
Option
Beschreibung
Dateien und Ordner
Verhindert, dass McAfee-Systemdateien
und -ordner geändert oder gelöscht werden.
Registrierung
Verhindert, dass McAfee-Registrierungsschlüssel
und -werte geändert oder gelöscht werden.
Prozesse
Verhindert, dass McAfee-Prozesse angehalten
werden.
Diese Prozesse ausschließen
Erlaubt den Zugriff auf die angegebenen
Prozesse.
Hinzufügen Fügt der Ausschlussliste einen
Prozess hinzu.
Klicken Sie auf Hinzufügen, und geben
Sie den genauen Ressourcennamen
an, z. B. avtask.exe.
Löschen
Löscht einen Prozess aus der
Ausschlussliste.
Wählen Sie die gewünschte
Ressource aus, und klicken Sie dann
auf Löschen.
Client-Protokollierung
Speicherort der
Protokolldateien
Gibt den Speicherort der Protokolldateien an.
Der Standardpfad lautet:
<SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint
\Logs
Geben Sie den Speicherort ein, oder klicken Sie
auf Durchsuchen, um zum Speicherort zu
navigieren.
Aktivitätsprotokollierung
Aktivitätsprotokollierung
aktivieren
Aktiviert die Protokollierung aller Endpoint
Security-Aktivitäten.
Größe (MB) jeder
Aktivitätsprotokolldatei
beschränken
Beschränkt die Größe der Aktivitätsprotokoll auf
die festgelegte Maximalgröße (zwischen 1 MB und
999 MB). Die Standardeinstellung ist 10 MB.
Deaktivieren Sie diese Option, damit
Protokolldateien auf eine beliebige Größe
wachsen können.
Wenn die Protokolldatei die festgelegte
Dateigröße überschreitet, werden die ältesten
25 Prozent der Einträge in der Datei gelöscht.
Protokollierung der
Fehlerbehebung
94
Das Aktivieren der Protokollierung der
Fehlerbehebung für ein Modul aktiviert diese
auch für die Common-Modulfunktionen wie
den Selbstschutz.
Produkthandbuch
Common – Optionen
6
Abschnitt
Option
Beschreibung
Für Threat Prevention aktivieren Aktiviert eine ausführliche Protokollierung für
Threat Prevention und individuelle Technologien:
Für Zugriffsschutz
aktivieren
Schreibt in
AccessProtection_Debug.log
Für Exploit-Schutz
aktivieren
Schreibt in
ExploitPrevention_Debug.log
Für
On-Access-Scanner
aktivieren
Schreibt in
OnAccessScan_Debug.log
Für On-Demand
Scanner aktivieren
Schreibt in
OnDemandScan_Debug.log
Das Aktivieren der Protokollierung der
Fehlerbehebung für eine Threat
Prevention-Technologie aktiviert diese auch
für Endpoint Security Client.
Für Firewall aktivieren
Aktiviert eine ausführliche Protokollierung von
Firewall-Aktivitäten.
Für Web Control aktivieren
Aktiviert eine ausführliche Protokollierung von
Web Control-Aktivitäten.
Größe (MB) jeder
Debug-Protokolldatei
beschränken
Beschränkt die Größe der Debug-Protokolldatei
auf die festgelegte Maximalgröße (zwischen 1 MB
und 999 MB). Die Standardeinstellung ist 50 MB.
Deaktivieren Sie diese Option, damit
Protokolldateien auf eine beliebige Größe
wachsen können.
Wenn die Protokolldatei die festgelegte
Dateigröße überschreitet, werden die ältesten
25 Prozent der Einträge in der Datei gelöscht.
Ereignisprotokollierung
Ereignisse an McAfee ePO
senden
Sendet alle im Ereignisprotokoll protokollierten
Ereignisse vom Endpoint Security Client zu
McAfee ePO.
Diese Option ist nur auf von McAfee ePOund
von McAfee ePO Cloud verwalteten Systemen
verfügbar.
Ereignisse in
Sendet alle im Ereignisprotokoll protokollierten
Windows-Anwendungsprotokoll Ereignisse vom Endpoint Security Client zum
schreiben
Windows-Ereignisprotokoll.
Das Windows-Anwendungsprotokoll kann unter
Ereignisanzeige | Windows-Protokolle |
Anwendungaufgerufen werden.
Produkthandbuch
95
6
Common – Optionen
Abschnitt
Option
Beschreibung
Schweregrade
Gibt den Schweregrad von Ereignissen an, die auf
dem Endpoint Security Client in das Ereignisprotokoll
protokolliert werden sollen:
Zu protokollierende Threat
Prevention-Ereignisse
Keine
Sendet keine Warnungen
Nur kritische
Sendet nur Warnstufe 1
Wichtige und kritische
Sendet Warnstufen 1 und
2
Unwichtige, wichtige und
kritische
Sendet Warnstufen 1–3
Alle außer Informationen
Alle
1
Kritisch
2
Hoch
3
Gering
4
Warnung
5
Information
Gibt für jede Funktion den Schweregrad von
Ereignissen an, die an Threat Prevention
gesendet werden sollen:
• Zugriffsschutz
• Exploit-Schutz
• On-Access-Scanner
• On-Demand-Scanner
Proxy-Server für McAfee GTI
96
Zu protokollierende
Firewall-Ereignisse
Gibt den Schweregrad von Firewall-Ereignissen
an, die protokolliert werden sollen.
Zu protokollierendeWeb
Control-Ereignisse
Gibt den Schweregrad von Web
Control-Ereignissen an, die protokolliert werden
sollen.
Kein Proxy-Server
Gibt an, dass die verwalteten Systeme McAfee
GTI-Reputationsinformationen direkt über das
Internet abrufen, nicht über einen Proxy-Server.
(Standard)
System-Proxy-Einstellungen
verwenden
Gibt an, dass die Proxy-Einstellungen des
Client-Systems verwendet und optional
HTTP-Proxy-Authentifizierung aktiviert werden
soll.
Produkthandbuch
Common – Optionen
6
Abschnitt
Option
Beschreibung
Proxy-Server konfigurieren
Passt die Proxy-Einstellungen an.
• Adresse: Gibt die IP-Adresse oder den
vollständig qualifizierten Domänen-Namen des
HTTP-Proxy-Servers an.
• Port: Begrenzt den Zugriff über den
angegebenen Port.
• Diese Adressen ausschließen: Verwenden Sie den
HTTP-Proxy-Server nicht für Websites oder
IP-Adressen, die mit den festgelegten Angaben
beginnen.
Klicken Sie auf Hinzufügen, und geben Sie dann
den auszuschließenden Adressnamen ein.
HTTP-Proxy-Authentifizierung
aktivieren
Gibt an, dass eine Authentifizierung für den
HTTP-Proxy-Server erforderlich ist. (Diese Option
ist nur verfügbar, wenn Sie einen
HTTP-Proxy-Server gewählt haben.) Geben Sie
die Anmeldeinformationen des HTTP-Proxys ein:
• Benutzername: Gibt das Benutzerkonto an, das
Berechtigungen für den HTTP-Proxy-Server
besitzt.
• Kennwort: Gibt das Kennwort für den
Benutzernamen an.
• Kennwort bestätigen: Bestätigt das angegebene
Kennwort.
Standard-Client-Aktualisierung Schaltfläche Jetzt aktualisieren
im Client aktivieren
Aktiviert die
-Schaltfläche
auf der Hauptseite des Endpoint Security Client.
Klicken Sie auf diese Schaltfläche, um manuell
nach Aktualisierungen für Content-Dateien und
Software-Komponenten zu suchen und auf den
Client-System herunterladen.
Sie können diese Einstellungen nur auf
selbstverwalteten und von McAfee ePO
verwalteten Systemen konfigurieren.
Produkthandbuch
97
6
Common – Optionen
Abschnitt
Option
Beschreibung
Aktualisierende Elemente
Legt die Elemente fest, die beim Klicken auf die
Schaltfläche
werden.
aktualisiert
Sicherheitsinhalte,
HotFixes und
Patches
Aktualisiert sämtlichen
Sicherheitsinhalt
(einschließlich Modul, AMCore
und
Exploit-Schutz-Content-Datei)
sowie alle HotFixes und
Patches auf die neuesten
Versionen.
Sicherheitsinhalte
Aktualisiert nur
Sicherheitsinhalte (Standard).
HotFixes und
Patches
Aktualisiert nur HotFixes und
Patches.
Konfiguriert Sites, von denen Aktualisierungen für
Content-Dateien und Software-Komponenten
abgerufen werden.
Quellsites für
Aktualisierungen
Sie können diese Einstellungen nur auf
selbstverwalteten Systemen konfigurieren.
Hinzufügen
Fügt eine Site zur Quellsite-Liste
hinzu.
Weitere Informationen finden Sie
unter Quellsites hinzufügen oder
bearbeiten auf Seite 99.
Importieren Importiert eine Liste von Sites aus
einer XML-Datei.
Löschen
Löscht die ausgewählte Site aus der
Quellsite-Liste.
Gibt Elemente an, die in der Liste
verschoben werden können.
Wählen Sie Elemente aus, und
verschieben Sie sie durch Ziehen
und Ablegen an ihren neuen
Standort. Eine blaue Linie erscheint
zwischen Elementen, wo Sie die
gezogenen Elemente ablegen
können.
Sie können die zwei
Standard-Sicherungs-Quellsite (NAIFtp und
NAIHttp) aktivieren und deaktivieren, aber Sie
können Sie nicht ändern, löschen oder in der
Liste verschieben.
Proxy-Server für Quellsites
98
Kein Proxy-Server
Gibt an, dass die verwalteten Systeme McAfee
GTI-Reputationsinformationen direkt über das
Internet abrufen, nicht über einen Proxy-Server.
(Standard)
Produkthandbuch
Common – Optionen
6
Abschnitt
Option
Beschreibung
System-Proxy-Einstellungen
verwenden
Gibt an, dass die Proxy-Einstellungen des
Client-Systems verwendet und optional HTTPoder FTP-Proxy-Authentifizierung aktiviert werden
soll.
Proxy-Server konfigurieren
Passt die Proxy-Einstellungen an.
• HTTP-/FTP-Adresse – Legt die DNS-, IPv4- oder
IPv6-Adresse des HTTP- oder
FTP-Proxy-Servers.
• Port: Begrenzt den Zugriff über den
angegebenen Port.
• Diese Adressen ausschließen – Legt die Adressen für
Endpoint Security Client-Systeme, die der
Proxy-Server nicht für das Abrufen von McAfee
GTI-Bewertungen verwenden.
Klicken Sie auf Hinzufügen, und geben Sie dann
den Erkennungsnamen ein.
HTTP-/
FTP-Proxy-Authentifizierung
aktivieren
Gibt an, dass eine Authentifizierung für den
HTTP- oder FTP-Proxy-Server erforderlich ist.
(Diese Option ist nur verfügbar, wenn Sie einen
HTTP- oder FTP-Proxy-Server gewählt haben.)
Geben Sie die Proxy-Anmeldeinformationen ein:
Berechtigungen für den Proxy-Server besitzt.
• Kennwort: Gibt das Kennwort für den
angegebenen Benutzernamen an.
• Kennwort bestätigen: Bestätigt das angegebene
Kennwort.
Siehe auch
Schützen von Endpoint Security-Ressourcen auf Seite 28
Konfigurieren von Protokollierungseinstellungen auf Seite 29
Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI auf Seite 30
Quellsites hinzufügen oder bearbeiten auf Seite 99
Quellsites hinzufügen oder bearbeiten
Fügt eine Site in der Quellsite-Liste hinzu oder bearbeitet diese.
Tabelle 6-3 Optionsbeschreibungen
Option
Beschreibung
Name
Gibt den Namen der Quellsite an, die die Aktualisierungsdateien enthält.
Aktivieren
Aktiviert oder deaktiviert die Verwendung der Quellsite für das Herunterladen von
Aktualisierungsdateien.
Dateien abrufen von
Legt fest, woher die Dateien abgerufen werden sollen.
Produkthandbuch
99
6
Common – Optionen
Tabelle 6-3 Optionsbeschreibungen (Fortsetzung)
Option
Beschreibung
HTTP-Repository
Ruft die Dateien von dem festgelegten Speicherort für das HTTP-Repository ab.
HTTP bietet Aktualisierungen ohne Berücksichtigung der Netzwerksicherheit,
unterstützt jedoch eine größere Menge gleichzeitiger Verbindungen als FTP.
URL
• DNS-Name: Zeigt an, dass die URL ein Domänenname ist.
• IPv4: Zeigt an, dass die URL eine IPv4-Adresse ist.
http:// – Legt die Adresse des HTTP-Servers und des Ordners fest,
in dem sich die Aktualisierungsdateien befinden.
Port – Gibt die Portnummer für den HTTP-Server an.
Authentifizierung
verwenden
Bei Auswahl wird Authentifizierung mit anschließend
festgelegten Anmeldeinformationen für den Zugriff auf den
Ordner der Aktualisierungsdatei verwendet.
Leseberechtigungen für den Ordner der Aktualisierungsdatei
hat.
• Kennwort: Gibt das Kennwort für den angegebenen Benutzernamen
an.
• Kennwort bestätigen: Bestätigt das angegebene Kennwort.
100
Produkthandbuch
6
Common – Optionen
Tabelle 6-3 Optionsbeschreibungen (Fortsetzung)
Option
Beschreibung
FTP-Repository
Ruft die Dateien von dem festgelegten Speicherort für das FTP-Repository ab.
Eine FTP-Website bietet Flexibilität, da keine Netzwerksicherheitsberechtigungen
berücksichtigt werden müssen. Da FTP weniger anfällig für Angriffe durch
unerwünschten Code als HTTP ist, bietet es möglicherweise eine bessere Toleranz.
URL
• DNS-Name: Zeigt an, dass die URL ein Domänenname ist.
ftp:// – Legt die Adresse des FTP-Servers und des Ordners fest, in
dem sich die Aktualisierungsdateien befinden.
Port – Gibt die Portnummer für den FTP-Server an.
Anonyme
Anmeldung
verwenden
Bei Auswahl wird anonymer FTP für den Zugriff auf den Ordner der
Aktualisierungsdatei verwendet.
Heben Sie die Auswahl der Option auf, um Anmeldeinformationen
für den Zugriff festzulegen.
• Benutzername: Gibt das Benutzerkonto an, das Leseberechtigungen
für den Ordner der Aktualisierungsdatei hat.
• Kennwort: Gibt das Kennwort für den angegebenen Benutzernamen an.
UNC-Pfad oder
Lokaler Pfad
Ruft Dateien von einem UNC-Pfad oder lokalen Pfad ab.
UNC-Websites lassen sich äußerst schnell und einfach einrichten.
Domänenübergreifende UNC-Aktualisierungen erfordern Sicherheitsberechtigungen
für jede Domäne, was die Konfiguration des Aktualisierungsprozesses etwas
komplexer macht.
Pfad
• UNC-Pfad: Gibt den Pfad in UNC-Schreibweise an (\\servername
\path\).
• Lokaler Pfad: Gibt den Pfad eines Ordners auf einem lokalen oder
Netzwerklaufwerk an.
Angemeldetes
Konto
verwenden
Greift auf die Aktualisierungsdatei mit dem angemeldeten Konto
zu. Dieses Konto muss Leseberechtigungen für die Ordner mit den
Aktualisierungsdateien haben.
Heben Sie die Auswahl der Option auf, um Anmeldeinformationen
für den Zugriff festzulegen.
• Domäne: Gibt die Domäne für das Benutzerkonto an.
Leseberechtigungen für den Ordner der Aktualisierungsdatei
hat.
• Kennwort: Gibt das Kennwort für den angegebenen Benutzernamen
an.
Produkthandbuch
101
6
Common – Tasks
Common – Tasks
Plant Endpoint Security Client-Tasks.
Abschnitt Option
Beschreibung
Tasks
Zeigt die derzeit definierten und geplanten Tasks an.
Doppelklicken Sie auf die Zeile mit den Tasks, um einen vorhandenen Task zu
bearbeiten.
Name
Namen des geplanten Tasks.
Funktion
Modul oder Feature, mit dem der Task verknüpft ist.
Zeitplan
Wann der Task planmäßig ausgeführt wird und ob er
deaktiviert ist.
Status
Status bei der letzten Ausführung des Tasks:
• (kein Status) – Niemals ausgeführt
• Wird ausgeführt – Wird derzeit ausgeführt oder fortgesetzt
• Angehalten – Wurde vom Benutzer angehalten (etwas ein
Scan)
• Verschoben – Wurde vom Benutzer verschoben (etwas ein
Scan)
• Abgeschlossen – Ausführung abgeschlossen ohne Fehler
• Abgeschlossen (Fehler) – Ausführung abgeschlossen mit
Fehlern
• Fehlgeschlagen – Nicht erfolgreich abgeschlossen
Zuletzt
ausgeführt
Jetzt
ausführen
Das Datum und der Zeitpunkt, zu dem der Task zuletzt
ausgeführt wurde.
Öffnet das Dialogfeld, das mit dem ausgewählten Task verknüpft ist.
Schnellscan
Öffnet das Dialogfeld Schnellscan und startet den
Scan.
Vollständiger Scan
Öffnet das Dialogfeld Vollständiger Scan und startet
den Scan.
Standard-Client-Aktualisierung Öffnet das Dialogfeld Aktualisierung und startet die
Aktualisierung.
Löschen
Löscht den ausgewählten Task.
Hinzufügen
Fügt einen neuen geplanten Task hinzu.
Siehe auch
Tasks Vollständigen Scanbearbeiten oder Schnellscan bearbeiten auf Seite 102
TaskStandard-Client-Aktualisierung bearbeiten auf Seite 104
Tasks Vollständigen Scanbearbeiten oder Schnellscan
bearbeiten
Plant und bearbeitet den Task Vollständigen Scan oder Schnellscan.
Siehe Konfigurieren Sie die für den On-Demand-Scan auf Seite 55 für Informationen zum Konfigurieren
der Einstellungen für Vollständiger Scan und Schnellscan.
102
Produkthandbuch
6
Common – Tasks
Standardmäßig werden der vollständige Scan und der Schnellscan täglich um 23:59 ausgeführt zu werden.
Die Zeitpläne sind deaktiviert.
Tabelle 6-4
Kategorie Option
Beschreibung
Zeitplan
Plant die Ausführung des Tasks zu einem bestimmten Zeitpunkt.
(Standardmäßig deaktiviert)
Zeitplan aktivieren
Diese Option muss ausgewählt sein, um den Task zu planen.
Wiederholungen
Gibt die Häufigkeit des Tasks an.
Täglich
Führt den Task täglich zur festgelegten Startzeit aus.
Wöchentlich
Führt den Task wöchentlich aus:
• In den unter Häufigkeit festgelegten Wochen
• An den unter Ausführen an festgelegten Tagen
Monatlich
Führt den Task monatlich zu einem der folgenden
Zeitpunkte aus:
• Der festgelegte Tag des Monats
• Die festgelegten Tage der Woche: Erster, zweiter,
dritter, vierter oder letzter
Startzeit
Zeitlimit
Diesen Task stoppen,
wenn er länger läuft
als
Legt die Zeit fest, wenn der Task gestartet wird.
Einmal zu diesem Zeitpunkt
ausführen
Führt den Task einmal zur festgelegten
Startzeit aus.
Zu diesem Zeitpunkt
ausführen und dann
wiederholen bis
Führt den Task zur festgelegten Startzeit aus.
Anschließend wird der Task zu jeder
festgelegten Stunde/Minute bis zur
angegebenen Endzeit ausgeführt.
Zu diesem Zeitpunkt
ausführen und dann
wiederholen für
festgelegten Stunde/Minute für die
angegebene Zeitdauer ausgeführt.
Stoppt den Task nach der festgelegten Anzahl an Stunden und Minuten.
Wenn der Task vor Abschluss unterbrochen wird, wird der Task beim
nächsten Start an der Stelle fortgesetzt, an der die Unterbrechung
stattgefunden hat.
Legt die Anmeldeinformationen für das Ausführen des Tasks fest.
Konto
Wenn keine Anmeldeinformationen festgelegt wurden, wird der Task
mit den Anmeldeinformationen des lokalen
Systemadministratorkontos ausgeführt.
Benutzername
Gibt das Benutzerkonto an.
Kennwort
Gibt das Kennwort für das angegebene Benutzerkonto an.
Kennwort bestätigen
Bestätigt das Kennwort für das angegebene Benutzerkonto.
Domäne
Gibt die Domäne für das angegebene Benutzerkonto an.
Produkthandbuch
103
6
Common – Tasks
Siehe auch
TaskStandard-Client-Aktualisierung bearbeiten
Der Task Standard-Client-Aktualisierung wird geplant und bearbeitet.
Siehe Konfigurieren des auf Seite 31 für Informationen zum Konfigurieren der Einstellungen für die
Standard-Standard-Client-Aktualisierung.
Standardmäßig wird der Task Standard-Client-Aktualisierung täglich um 1:00 Uhr ausgeführt und alle vier
Stunden bis 23:59 Uhr wiederholt.
Tabelle 6-5
Kategorie Option
Beschreibung
Zeitplan
Plant die Ausführung des Tasks zu einem bestimmten Zeitpunkt.
(Standardmäßig aktiviert)
Zeitplan aktivieren
Diese Option muss ausgewählt sein, um den Task zu planen.
Wiederholungen
Gibt die Häufigkeit des Tasks an.
Täglich
Führt den Task täglich zur festgelegten Startzeit aus.
Wöchentlich
Führt den Task wöchentlich aus:
• Die unter Häufigkeit festgelegten Wochen
• Die unter Ausführen an festgelegten Tage
Monatlich
Führt den Task monatlich zu einem der folgenden
Zeitpunkte aus:
• Der festgelegte Tag des Monats
• Die festgelegten Tage der Woche: Erster, zweiter,
dritter, vierter oder letzter
Startzeit
Zeitlimit
104
Diesen Task stoppen,
wenn er länger läuft
als
Legt die Zeit fest, wenn der Task gestartet wird.
Einmal zu diesem Zeitpunkt
ausführen
Führt den Task einmal zur festgelegten
Startzeit aus.
Zu diesem Zeitpunkt
ausführen und dann
wiederholen bis
festgelegten Stunde/Minute bis zur
angegebenen Endzeit ausgeführt.
Zu diesem Zeitpunkt
ausführen und dann
wiederholen für
festgelegten Stunde/Minute für die
angegebene Zeitdauer ausgeführt.
Stoppt den Task nach der festgelegten Anzahl an Stunden und Minuten.
Wenn der Task vor Abschluss unterbrochen wird, wird der Task beim
nächsten Start an der Stelle fortgesetzt, an der die Unterbrechung
stattgefunden hat.
Produkthandbuch
6
Tabelle 6-5
(Fortsetzung)
Kategorie Option
Beschreibung
Konto
Legt die Anmeldeinformationen für das Ausführen des Tasks fest.
Wenn keine Anmeldeinformationen festgelegt wurden, wird der Task
mit den Anmeldeinformationen des lokalen
Systemadministratorkontos ausgeführt.
Benutzername
Gibt das Benutzerkonto an.
Kennwort
Gibt das Kennwort für das angegebene Benutzerkonto an.
Kennwort bestätigen
Bestätigt das Kennwort für das angegebene Benutzerkonto.
Domäne
Gibt die Domäne für das angegebene Benutzerkonto an.
Siehe auch
Common – Tasks auf Seite 102
Schützt die Zugriffspunkte Ihres Systems, basierend auf konfigurierte Regeln.
Siehe Common – Optionen auf Seite 92-Einstellungen für Protokollierungskonfiguration.
Der Zugriffsschutz vergleicht eine angeforderte Aktion mit der Liste konfigurierter Regeln und handelt
entsprechend der Regel.
Tabelle 6-6
Abschnitt
Option
Beschreibung
ZUGRIFFSSCHUTZ
Zugriffsschutz aktivieren
Aktiviert die Zugriffsschutz-Funktion.
Produkthandbuch
105
6
Abschnitt Option
Beschreibung
Ausschlüsse Diese Prozesse für alle Regeln
ausschließen
Erlaubt den Zugriff auf die angegebenen Prozesse für alle
Regeln.
Hinzufügen Fügt der Ausschlussliste einen Prozess
hinzu.
Klicken Sie auf Hinzufügen, und geben Sie den
genauen Prozessnamen an, z. B. avtask.exe.
Löscht einen Prozess aus der
Ausschlussliste.
Löschen
Wählen Sie den Prozess aus, und klicken Sie
dann auf Löschen.
Legt Aktionen für Zugriffsschutzregeln fest.
Regeln
Blockieren
(nur)
Blockiert Zugriffsversuche ohne
Protokollierung.
Melden (nur)
Warnt Zugriffsversuche ohne sie zu
blockieren.
Diese Einstellung ist dann nützlich,
wenn die volle Auswirkung einer Regel
unbekannt ist. Überwachen Sie die
Protokolle und Berichte, um besser
festzulegen, ob der Zugriff blockiert
werden soll.
Blockieren und
Melden
Blockiert und protokolliert
Zugriffsversuche.
Wählen Sie in der ersten Zeile Blockieren oder Melden, um
alle zu blockieren oder zu melden.
Das Aufheben der Aktionen Blockieren und Melden
deaktiviert die Regel.
Diese Prozesse für die ausgewählte
Regel ausschließen
Ändert die Ausschlüsse für die ausgewählte Regel.
Installieren neuer CLSIDs, APPIDs und
TYPELIBs
Verhindert die Installation oder Registrierung neuer
COM-Server.
Wählen Sie eine Regel, klicken Sie auf Hinzufügen, und
geben Sie einen Prozess ein, der von der ausgewählten
Regel ausgeschlossen werden soll. Um einen Ausschluss
zu löschen, wählen Sie ihn aus, und klicken Sie auf
Löschen.
Diese Regel schützt vor Adware- und
Spyware-Programmen, die sich als COM-Add-On in
Internet Explorer oder in Microsoft Office-Anwendungen
installieren.
Fügen Sie legitime Anwendungen, die COM-Add-Ons
registrieren (einschließlich häufige Anwendungen wie
Macromedia Flash), zur Ausschlussliste hinzu, damit
sie nicht blockiert werden.
106
Produkthandbuch
6
Abschnitt Option
Deaktivieren von Registrierungseditor
und Task Manager
Beschreibung
Schützt Registrierungseinträge in Windows und
verhindert das Deaktivieren von Registrierungseditor und
Task Manager.
Deaktivieren Sie bei einem Virenausbruch diese Regel,
um die Registrierung zu ändern, oder öffnen Sie den
Task Manager, um aktive Prozesse zu beenden.
Ändern von Benutzerrechten für
Richtlinien
Schützt Registrierungswerte mit
Windows-Sicherheitsinformationen.
Diese Regel verhindert, dass durch Würmer Konten
geändert werden, die Administratorrechte haben.
Ändern der Registrierung aller
Dateierweiterungen
Schützt die Registrierungsschlüssel unter
"HKEY_CLASSES_ROOT", wo Dateierweiterungen
registriert werden.
Diese Regel verhindert, dass Malware die
Dateierweiterungsregistrierungen ändert, damit sie
unbemerkt ausgeführt werden kann.
Deaktivieren Sie diese Regel, wenn Sie gültige
Anwendungen installieren, die
Dateierweiterungsregistrierungen in der Registrierung
ändern.
Diese Regel ist eine einschränkendere Alternative als
Missbrauch von .EXE und andere Erweiterungen für ausführbare
Dateien.
Remote-Erstellen oder -Ändern von
übertragbaren ausführbaren
Dateien, .INI- und .PIF-Dateitypen sowie
Core-Systemspeicherorten
Verhindert, dass andere Computer eine Verbindung
herstellen und ausführbare Dateien ändern, wie etwa
Dateien im Windows-Ordner. Diese Regel gilt nur für
Dateitypen, die häufig von Viren infiziert werden.
Diese Regel schützt vor der schnellen Ausbreitung von
Würmern oder Viren, die ein Netzwerk durch offene oder
administrative Freigaben.
Diese Regel ist eine weniger sichere Alternative zu Alle
Freigaben mit Schreibschutz versehen.
Remote-Erstellen von Dateien mit
automatischer Ausführung
Verhindert, dass andere Computer eine Verbindung
herstellen und automatisch ausführbare Dateien
(autorun.inf) erstellen oder ändern.
Diese Dateien werden zum automatischen Starten von
Programmdateien, typischerweise Setup-Dateien von
CDs, verwendet.
Diese Regel verhindert, dass Spyware und Adware von
CDs ausgeführt werden.
Für die Regel sind standardmäßig die Aktionen Blockieren
und Melden ausgewählt.
Produkthandbuch
107
6
Abschnitt Option
Beschreibung
Ausführen von Dateien im Temp-Ordner Blockiert alle ausführbare Dateien, sodass sie nicht in
einem Ordner ausgeführt oder gestartet werden, dessen
Name "temp" enthält.
Diese Regel verhindert, dass Malware im Temp-Ordner
des Benutzers oder Systems gespeichert und ausgeführt
wird, beispielsweise ausführbare Anhänge in E-Mails und
heruntergeladenen Programmen.
Obwohl die Regel den höchsten Schutz bietet, könnte die
Installation legitimer Anwendungen blockiert werden.
Ausführen von Skripten durch
Windows Skript Host (CScript.exe oder
Wscript.exe) aus einem Temp-Ordner
Verhindert das Ausführen von VBScript- und
JavaScript-Skripten durch den Windows Scripting Host in
einem Ordner, dessen Name "temp" enthält.
Die Regel schützt vor vielen Trojanern und fragwürdigen
Webinstallationsmechanismen, die von Adware- und
Spyware-Anwendungen verwendet werden.
Sie könnte allerdings die Installation oder Ausführung
legitimer Skripts und Drittanbieter-Anwendungen
blockieren.
Für die Regel ist standardmäßig die Aktion Bericht
ausgewählt.
Zugreifen auf oder Ändern von
Remote-Zugriff-Telefonbuchdateien
Verhindert, dass Malware die Kontaktlisten der Benutzer
liest, die in rasphone.pbk-Dateien in
Benutzerprofilordnern gespeichert sind.
Ausführen und Lesen von tftp.exe
Verhindert die Verwendung von TFTP (Trivial File Transfer
Protocol), ein Dateitransferprotokoll ohne
Benutzerauthentifizierung.
Diese Regel blockiert das Verwenden von TFTP durch
Malware, um weitere Malware auf das System
herunterzuladen, und verhindert so weitere Infektion.
Da Windows Zugriff beim Installieren von Windows
Service Packs Zugriff auf tftp.exe benötigt, sollten Sie
diese Regel beim Installieren von Patches und Service
Packs deaktivieren.
Lesen von Dateien im Cache von
Internet Explorer
Beschränkt den Zugriff auf Elemente im Internet
Explorer-Cache auf den Internet Explorer.
Diese Regel verhindert, dass Malware den Internet
Explorer-Cache nach E-Mail-Adressen und
Website-Kennwörtern durchsucht.
Ein Prozess, der die WinInet-Library verwendet oder
ein Internet Explorer-Steuerelement in einem Fenster
hostet, hat Zugriff auf den Cache. Wenn aktiviert,
müssen Sie möglicherweise Prozesse zu dieser Regel
hinzufügen.
108
Produkthandbuch
6
Abschnitt Option
Remote-Zugreifen auf lokale Dateien
oder Ordner
Beschreibung
Verhindert den Lese- und Schreibzugriff von
Remote-Computern auf den Computer.
Die Regel schützt vor dem Ausbreiten eines Wurms von
einer Freigabe zur nächsten.
In einer typischen Umgebung ist die Regel für
Workstations geeignet, aber nicht für Server, und nur
dann sinnvoll, wenn Computer tatsächlich angegriffen
werden.
Wenn ein Computer mithilfe von Push-Dateien
verwaltet wird, verhindert die Regel, dass
Aktualisierungen oder Patches installiert werden. Diese
Regel hat keine Auswirkungen auf die
Verwaltungsfunktionen von McAfee ePO.
Remote-Erstellen oder -Ändern von
Dateien oder Ordnern
Blockiert den Schreibzugriff auf alle Freigaben.
Diese Regel ist bei einem Virenausbruch hilfreich, weil sie
den Schreibzugriff verhindert und somit das Ausbreiten
der Infektion begrenzt. Sie blockiert Malware, die
andernfalls die Verwendung des Computers oder
Netzwerks ernsthaft einschränken würde.
In einer typischen Umgebung ist die Regel für
Workstations geeignet, aber nicht für Server, und nur
dann sinnvoll, wenn Computer tatsächlich angegriffen
werden.
Wenn ein Computer mithilfe von Push-Dateien
verwaltet wird, verhindert die Regel, dass
Aktualisierungen oder Patches installiert werden. Diese
Regel hat keine Auswirkungen auf die
Verwaltungsfunktionen von McAfee ePO.
Missbrauch von .EXE und andere
Erweiterungen für ausführbare Dateien
Schützt .EXE, .BAT und andere ausführbare
Registrierungsschlüssel unter "HKEY_CLASSES_ROOT".
Diese Regel verhindert, dass Malware
Registrierungsschlüssel ändert, sodass der Virus
gemeinsam mit einer anderen ausführbaren Datei
ausgeführt wird.
Diese Regel ist eine weniger restriktive Alternative zu
Ändern der Registrierung aller Dateierweiterungen.
Ausführen von potenziell bösartigen
ausführbaren Dateien durch Svchost
Verhindert, dass svchost.exe andere DLLs lädt als
Windows-Dienst-DLLs.
Diese Regel verhindert, dass Malware svchost.exe
verwendet, um DLLs zu registrieren, die nicht zu
Windows gehören.
Ändern von Windows-Kernprozessen
Verhindert, dass Dateien mit den häufigsten
Spoof-Namen erstellt oder ausgeführt werden.
Diese Regel verhindert, dass Viren und Trojaner mit dem
Namen eines Windows-Prozesses ausgeführt werden.
Authentische Windows-Dateien werden ausgeschlossen.
Produkthandbuch
109
6
Abschnitt Option
Ändern von Mozilla-Dateien
und -Einstellungen
Beschreibung
Blockiert Prozesse, die Änderungen an Favoriten und
Einstellungen in Firefox vornehmen.
Diese Regel hindert Startseiten-Trojaner, -Adware
und -Spyware, Browser-Einstellungen zu ändern,
beispielsweise die Startseite, oder Favoriten zu
installieren.
Ändern von Internet
Explorer-Einstellungen
Blockiert Prozesse, die Änderungen an Einstellungen in
Internet Explorer vornehmen.
installieren.
Installieren von Browser Helper Objects Verhindert, dass Adware, Spyware und Trojaner als
oder Shell-Erweiterungen
Browser Helper Objects auf dem Host-Computer
installiert werden.
Diese Regel verhindert, dass Adware und Spyware auf
Systemen installiert wird.
Damit legitime Kunden- oder
Drittanbieter-Anwendungen diese Objekte installieren
können, fügen Sie sie der Ausschlussliste hinzu. Nach
der Installation können Sie die Regel wieder
aktivieren, weil das Funktionieren installierter Browser
Helper Objects nicht behindert wird.
Ausführen von URLs von Windows
Help and Support Center (HCP) in
Internet Explorer oder Windows Media
Player
Verhindert, dass Internet Explorer und Media Player URLs
vom Hilfe- und Supportcenter (hcp://) ausführen.
Diese Regel verhindert, dass ein Angreifer hcp://-URLs
verwendet , um beliebigen Code auf dem Computer mit
der Benutzerberechtigung auszuführen.
Ändern von Internet Explorer-Favoriten Blockiert Prozesse, die Änderungen an Konfigurationen
oder -Einstellungen
und Dateien in Internet Explorer vornehmen.
installieren.
Siehe auch
Konfigurieren der Richtlinieneinstellungen für den auf Seite 46
Aktiviert und konfiguriert den Exploit-Schutz, dass über Buffer Overflow-Exploits kein beliebiger Code
auf Ihrem Computer ausgeführt wird.
110
Produkthandbuch
6
Tabelle 6-8
Abschnitt
Option
Beschreibung
– EXPLOIT-SCHUTZ Exploit-Schutz aktivieren Aktiviert die Exploit-Schutz-Funktion.
Wird diese Funktion nicht aktiviert, ist das System vor
Malware-Angriffen nicht geschützt.
Abschnitt
Option
Beschreibung
Windows-Datenausführungsverhinderung Windows-Datenausführungsverhinderung Aktiviert
verwenden
Windows-Datenausführungsverhinderung
(DEP) . (Standardmäßig deaktiviert)
Deaktivieren dieser Option hat keine
Auswirkung auf die Prozesse, bei
denen DEP als Ergebnis der
Windows-DEP-Richtlinie aktiviert ist.
Legt die Ebene des Exploit-Schutzes fest.
Schutzebene
Standard
Erkennt und blockiert nur Buffer
Overflow-Exploits mit hohem
Schweregrad, die in der
Exploit-Schutz-Content-Datei identifiziert
werden und stoppt die erkannte
Bedrohung.
Verwenden Sie die Funktion für kurze
Zeit im Standard-Modus. Überprüfen Sie
die Protokolldatei für diesen Zeitraum,
um herauszufinden, ob in den Maximalen
Schutzmodus gewechselt werden muss.
Maximal
Erkennt und blockiert Buffer
Overflow-Exploits mit hohem und
mittlerem Schweregrad, die in der
Exploit-Schutz-Content-Datei identifiziert
werden, und stoppt die erkannte
Bedrohung.
Diese Einstellung kann zu
False-Positives führen.
Ausschlüsse
Diese Prozesse ausschließen
Gibt den Namen des Prozesses an, zu
dem der beschreibbare Speicher gehört,
über den der Aufruf ausgeführt wird.
Geben Sie den Prozessnamen für den
Ausschluss ein. Der Exploit-Schutz
schließt den Prozess aus, egal, wo er
sich befindet.
Bei Ausschlüssen muss die Groß-/
Kleinschreibung beachtet werden.
Platzhalter sind nicht erlaubt.
Produkthandbuch
111
6
Abschnitt
Option
Beschreibung
Hinzufügen
Fügt der
Ausschlussliste einen
Prozess hinzu.
Geben Sie den
Prozessnamen bzw.
den Prozessnamen und
seinen Pfad ein.
Löschen
Löscht einen
ausgewählten Prozess
aus der
Ausschlussliste.
Siehe auch
Konfigurieren der RichtlinieneinstellungenRichtlinieneinstellungenExploit-SchutzRichtlinieneinstellungen. auf Seite 49
Aktiviert und konfiguriert die Einstellungen für den On-Access-Scan.
Tabelle 6-11
Abschnitt
Option
ON-ACCESS-SCAN On-Access-Scan aktivieren
On-Access-Scan während
des Systemstarts aktivieren
Beschreibung
Aktiviert die On-Access-Scan-Funktion. Standardmäßig
aktiviert.
Aktiviert die On-Access-Scan-Funktion jedes Mal, wenn Sie
den Computer hochfahren. Standardmäßig aktiviert.
Höchstdauer (in Sekunden)
Begrenzt jeden Datei-Scan auf die angegebene Höchstdauer
für jeden Datei-Scan angeben in Sekunden. Standardmäßig aktiviert.
Wenn ein Scan-Vorgang das Zeitlimit überschreitet, wird der
Scan fehlerfrei beendet und eine Meldung protokolliert.
Boot-Sektoren scannen
Überprüft den Boot-Sektor der Festplatte. Standardmäßig
aktiviert.
Wenn eine Festplatte einen speziellen oder anormalen
Boot-Sektor besitzt, der nicht gescannt werden kann,
deaktivieren Sie das Scannen des Boot-Sektors.
112
Produkthandbuch
6
Tabelle 6-11
Abschnitt
(Fortsetzung)
Option
Beschreibung
Prozesse bei Aktivierung
scannen
Scannt jedes Mal alle Prozesse, die sich derzeit im Speicher
befinden:
• Sie deaktivieren die On-Access-Scans, und aktivieren sie
anschließend erneut.
• Das System wird gestartet.
Da einige Programme oder ausführbare Dateien
automatisch gestartet werden, wenn Sie Ihr System
starten, kann die Aktivierung dieser Option Ihr System
verlangsamen und die benötigte Zeit des Systemstarts
verlängern.
Standardmäßig deaktiviert.
Wenn der On-Access-Scanner aktiviert ist, werden immer
alle Prozesse bei der Ausführung gescannt.
Vertrauenswürdige
Installationsprogramme
scannen
Scannt MSI-Dateien (die über msiexec.exe installiert wurden
und eine McAfee- oder Microsoft-Signatur aufweisen) oder
Dienstdateien von vertrauenswürdigen
Windows-Installationsprogrammen. Standardmäßig
deaktiviert.
Deaktivieren Sie diese Option, um die Leistung von
Installationsprogrammen für große
Microsoft-Anwendungen zu verbessern.
Bei Kopieren in lokalen
Ordnern scannen
Scannt Dateien, wenn der Benutzer innerhalb lokaler Ordner
kopiert.
Wenn diese Option folgenden Status hat:
• Deaktiviert – Nur Elemente im Zielordner werden
gescannt.
• Aktiviert – Elemente im Quellordner (lesen) und im
Zielordner (schreiben) werden gescannt.
Standardmäßig deaktiviert.
McAfee GTI
Weitere Informationen finden Sie unter McAfee GTI auf Seite
121.
Produkthandbuch
113
6
Abschnitt
Option
Beschreibung
Benutzermeldungen
bei Erkennung von
Bedrohungen
Bei Erkennung einer
Bedrohung das
On-Access-Scan-Fenster für
Benutzer anzeigen
Zeigt bei einer Erkennung die On-Access-Scan-Seite mit der
festgelegten Nachricht für Client-Benutzer an.
Standardmäßig aktiviert.
Wenn diese Option ausgewählt ist, können Benutzer
diese Seite über die Seite Jetzt scannen öffnen, wenn die
Erkennungsliste mindestens eine Bedrohung enthält.
Die On-Access-Scan-Erkennungsliste wird bereinigt,
wenn der Endpoint Security-Dienst oder das System neu
gestartet wird.
Nachricht
Zeigt die Nachricht an, die Client-Benutzern bei
Erkennungen angezeigt wird.
Die Standardnachricht lautet: McAfee Endpoint Security hat eine
Bedrohung erkannt.
Prozesseinstellungen
Standard-Einstellungen für
alle Prozesse verwenden
Wendet die gleichen konfigurierten Einstellungen auf alle
Prozesse an, wenn ein On-Access-Scan ausgeführt wird.
Verschiedene Einstellungen
Konfiguriert verschiedene Scan-Einstellungen für jeden
für Prozesse mit hohem Risiko Prozesstyp, den Sie identifizieren.
und niedrigem Risiko
• Standard – Prozesse, die nicht als hohes oder niedriges
konfigurieren
Risiko identifiziert werden. Standardmäßig aktiviert.
• Hohes Risiko – Prozesse mit hohem Risiko.
• Niedriges Risiko – Prozesse, die ein niedriges Risiko
darstellen.
Hinzufügen Fügt der Liste Hohes Risiko oder Niedriges Risiko
einen Prozess hinzu.
Löschen
Scan wird ausgeführt
Entfernt einen Prozess aus der Liste Hohes
Risiko oder Niedriges Risiko.
Scan-Zeitpunkt angeben
Beim Schreiben auf einen
Datenträger
Scannt alle Dateien, wenn sie auf den Computer oder ein
anderes Speichersystem geschrieben oder darauf
geändert werden.
Beim Lesen von einem
Datenträger
Scannt die Dateien, wenn sie auf dem Computer oder
einem anderen Speichersystem gelesen werden. Die
Aktivierung dieser Option wird von McAfee dringend
empfohlen.
McAfee entscheiden lassen
Mit dieser Option wird die EntscheidungMcAfee
überlassen, ob eine Datei gescannt werden muss, wobei
Vertrauenslogik für optimiertes Scannen verwendet wird.
Vertrauenslogik verbessert Ihre Sicherheit und
beschleunigt die Leistung durch Vermeidung unnötiger
Scans.
Nicht scannen bei Lesen oder
Schreiben auf die Festplatte
Legt fest, nur Prozesses mitniedrigem Risiko nicht zu
scannen.
Auf Netzlaufwerken
Scannt Ressourcen auf zugeordneten
Netzwerklaufwerken.
Das Scannen von Netzwerkressourcen kann die
Leistung beeinträchtigen.
Zur Sicherung geöffnet
114
Scannt Dateien gescannt, die für Sicherungsvorgänge
geöffnet wurden.
Produkthandbuch
6
Abschnitt
Option
Beschreibung
Zu scannende Dateitypen
Alle Dateien
Scannt alle Dateien unabhängig von ihrer
Dateierweiterung. Die Aktivierung dieser Option wird von
McAfee dringend empfohlen.
Wird diese Option nicht aktiviert, ist das System vor
Standardmäßige und
angegebene Dateitypen
Scannt:
• Die Standardliste der Erweiterungen in der aktuellen
AMCore Content-Datei.
• (Optional) Bekannte Makrobedrohungen.
• Alle zusätzlichen Erweiterungen, die Sie angeben.
• (Optional) Dateien ohne Erweiterung.
Nur angegebene Dateitypen
Scannt nur Dateien mit den von Ihnen angegebenen
Erweiterungen und, optional, Dateien ohne Erweiterung.
Zu scannende Elemente
Komprimierte Archivdateien
Überprüft die Inhalte von (komprimierten)
Archivdateien, einschließlich JAR-Dateien.
Da das Scannen komprimierter Dateien negative
Auswirkungen auf die Systemleistung hat, empfiehlt
McAfee das Ausführen von Archiv-Scans in nicht
verwendeten Systemen.
Komprimierte
MIME-verschlüsselte Dateien
Erkannt, dekodiert und scannt MIME-codierte
(Multipurpose Internet Mail Extensions) Dateien.
Unerwünschte Programme
erkennen
Legt fest, dass der On-Access-Scanner potenziell
unerwünschte Programme erkennt.
Der Scanner verwendet die Informationen, die Sie in
den Optionen-Einstellungen konfiguriert haben, um
potenziell unerwünschte Programme zu erkennen.
Aktionen
Weitere Informationen finden Sie unter Aktionen auf
Seite 123.
Ausschlüsse
Legt Dateien, Ordner und Laufwerke fest, die vom Scan
ausgeschlossen werden.
Weitere Informationen finden Sie unter Hinzufügen oder
Bearbeiten von Ausschlüssen auf Seite 124.
Hinzufügen Fügt der Ausschlussliste Standard, Hohes Risiko
oder Niedriges Risiko Elemente hinzu.
Löschen
Entfernt ein Element von der Ausschlussliste
Standard, Hohes Risiko oder Niedriges Risiko.
Produkthandbuch
115
6
Abschnitt
Option
Beschreibung
ScriptScan
ScriptScan aktivieren
Ermöglicht das Scannen von JavaScript- und
VBScript-Skripts, damit unerwünschte Skripts nicht
ausgeführt werden. Standardmäßig aktiviert.
Wenn ScriptScan beim Start von Internet Explorer
deaktiviert ist und dann aktiviert wird, erkennt es
keine bösartige Skripte in der Instanz von Internet
Explorer.
Nach der Aktivierung von ScriptScan müssen
Sie den Internet Explorer neu starten, um
bösartige Skripts zu erkennen.
Deaktivieren Sie diese Option, damit der
Client-Computer die Ausschlüsse verwenden
kann, die hier und lokal auf dem Client
festgelegt wurden.
Diese URLs ausschließen
Gibt die ScriptScan-Ausschlüsse anhand der URL an.
Hinzufügen
Fügt der Ausschlussliste eine URL hinzu.
Löschen
Entfernt eine URL von der Ausschlussliste
URLs dürfen keine Platzhalter enthalten. Eine URL mit
einem String aus einer ausgeschlossenen URL wird
ebenfalls ausgeschlossen. Wenn beispielsweise die
URL msn.com ausgeschlossen wird, werden die
folgenden URLs ebenfalls ausgeschlossen:
• http://weather.msn.com
• http://music.msn.com
Auf Windows Server 2008 können
ScriptScan-URL-Ausschlüsse in Windows Internet
Explorer nur verwendet werden, wenn Sie
Browsererweiterungen von Drittanbietern aktivieren wählen und das
System neu starten. Einzelheiten finden Sie im
KB-Artikel ScriptScan-URL-Ausschlüsse.
Siehe auch
McAfee GTI auf Seite 121
Aktionen auf Seite 123
Hinzufügen oder Bearbeiten von Ausschlüssen auf Seite 124
Konfiguriert die Einstellungen des On-Demand-Scans für die vorkonfigurierten Scans, die auf dem
Ihrem System ausgeführt werden.
116
Produkthandbuch
6
Diese Einstellungen legen das Scanner-Verhalten fest, wenn:
•
Vollständiger Scan und Schnellscan auf der Seite Jetzt scannen im Endpoint Security Client ausgewählt wird.
•
Mit der rechten Maustaste auf eine Datei oder einen Ordner geklickt und Scannen auf Bedrohungen aus
dem Popup-Menü ausgewählt wird.
Tabelle 6-14
Abschnitt
Option
Beschreibung
Scan-Typ
Boot-Sektoren scannen
Überprüft den Boot-Sektor der Festplatte.
Wenn eine Festplatte einen speziellen oder anormalen
Boot-Sektor besitzt, der nicht gescannt werden kann, ist es
ratsam, das Scannen des Boot-Sektors zu deaktivieren.
Unerwünschte Programme
erkennen
Damit kann der Scanner potenziell unerwünschte
Programme erkennen.
Der Scanner verwendet die Informationen, die Sie in den
Common-Einstellungen konfiguriert haben, um potenziell
unerwünschte Programme zu erkennen.
MIME-codierte Dateien
decodieren
Erkannt, dekodiert und scannt MIME-codierte (Multipurpose
Internet Mail Extensions) Dateien.
Archivinhalte scannen
Überprüft die Inhalte von (komprimierten) Archivdateien,
einschließlich JAR-Dateien.
Da das Scannen komprimierter Dateien negative
Auswirkungen auf die Systemleistung hat, empfiehlt
McAfee diese Option für Scans, die bei nicht verwendeten
Systemen ausgeführt werden.
In den Speicher migrierte
Dateien scannen
Scannt Dateien, die vom Remote-Speicher verwaltet werden.
Unbekannte
Programmbedrohungen
suchen
Verwendet McAfee GTI, um ausführbare Dateien zu
erkennen, in denen sich Malware-ähnlicher Code befindet.
Wenn der Scanner auf eine Datei mit migriertem Inhalt
stößt, wird diese vor dem Scannen im lokalen System
wiederhergestellt.
Unbekannte
Verwendet McAfee GTI, um unbekannte Makroviren zu
Makrobedrohungen suchen suchen.
Unterordner scannen
Überprüft alle Unterordner des angegebenen Ordners.
Diese Option gilt nur für die Einstellungen des Scans per
Kontextmenü.
Weitere Informationen finden Sie unter Scan-Speicherorte
auf Seite 120.
Scan-Speicherorte
Diese Optionen gelten nur für Vollständiger Scan und
Schnellscan.
Zu scannende
Dateitypen
Alle Dateien
Scannt alle Dateien unabhängig von ihrer Dateierweiterung.
Die Aktivierung von Alle Dateien wird von McAfee dringend
empfohlen.
Produkthandbuch
117
6
Tabelle 6-14
Abschnitt
(Fortsetzung)
Option
Beschreibung
Standardmäßige und
angegebene Dateitypen
Scannt:
• Die Standardliste der Erweiterungen in der aktuellen
AMCore Content-Datei.
• (Optional) Bekannte Makrobedrohungen.
• Alle zusätzlichen Erweiterungen, die Sie angeben.
• (Optional) Dateien ohne Erweiterung.
Nur angegebene Dateitypen Scannt nur Dateien mit den von Ihnen angegebenen
Erweiterungen und, optional, Dateien ohne Erweiterung.
Weitere Informationen finden Sie unter McAfee GTI auf Seite
121.
McAfee GTI
Ausschlüsse
Legt Dateien, Ordner und Laufwerke fest, die vom Scan
ausgeschlossen werden.
Weitere Informationen finden Sie unter Hinzufügen oder
Bearbeiten von Ausschlüssen auf Seite 124.
Hinzufügen Fügt ein Element zur Ausschlussliste hinzu.
Entfernt ein Element aus der Ausschlussliste.
Löschen
Wählen Sie das Element aus der Tabelle, und
klicken Sie auf Entfernen.
Weitere Informationen finden Sie unter Aktionen auf Seite
123.
Aktionen
Leistung
Scan-Cache verwenden
Damit kann der On-Demand-Scanner die vorhandenen
sauberen Scan-Ergebnisse verwenden.
Wählen Sie diese Option, um doppelte Scan-Vorgänge zu
vermeiden und die Leistung zu verbessern.
Systemauslastung
Damit kann vom Betriebssystem die CPU-Zeit, die der
Scanner empfängt, während des Scan-Vorgangs festgelegt
werden.
Jeder Task wird unabhängig von den Beschränkungen
anderer Tasks ausgeführt.
Damit kann der Scan-Vorgang schneller
abgeschlossen werden.
Normal
Wählen Sie diese Option für Systeme mit
großen Datenträgern und wenig
Endbenutzeraktivität.
Niedriger als
normal
Legt Systemauslastung für den Scan auf den
McAfee ePO-Standard fest.
Niedrig
Erhöht die Leistung für andere ausgeführte
Anwendungen.
Wählen Sie diese Option für Systeme mit
Endbenutzeraktivität.
Optionen für geplanten Scan
118
Diese Optionen gelten nur für Vollständiger Scan und
Schnellscan.
Produkthandbuch
6
Tabelle 6-14
Abschnitt
(Fortsetzung)
Option
Beschreibung
Nur scannen, wenn das
System im Leerlauf ist
Führt den Scan nur aus, wenn der Computer des Systems im
Leerlauf ist.
Threat Prevention hält den Scan an, wenn Laufwerk- oder
Benutzeraktivität erkannt wird, wie Zugriff über die Tastatur
oder Maus. Threat Prevention setzt den Scan fort, wenn der
Benutzer drei Minuten lang nicht auf das System zugegriffen
hat.
McAfee empfiehlt das Deaktivieren dieser Option auf
Serversystemen und Systemen, auf die Benutzer nur über
die Remote-Desktop-Verbindung (RDP) zugreifen. Threat
Prevention stellt mithilfe von McTray fest, ob sich das
System im Leerlauf befindet. Auf nur über RDP
zugegriffene Systemen startet McTray nicht und der
On-Demand-Scanner wird nie ausgeführt.
Zur Problemumgehung können Benutzer manuell
McTray starten (standardmäßig unter C:\Programme
\McAfee\Agent\mctray.exe),wenn Sie sich über RDP
anmelden.
Jederzeit scannen
Führt den Scan auch dann aus, wenn der Computer des
Benutzers aktiv ist und legt Scan-Optionen fest.
Benutzer darf geplante Scans verschieben – Der Benutzer kann
geplante Scans verschieben und Optionen für
Scan-Verschiebungen festlegen.
Benutzer darf Scans so
oft eine Stunde lang
verschieben
Legt fest, wie oft (1-23) der Benutzer
den Scan für eine Stunde verschieben
darf.
Benutzernachricht
Legt die Nachricht fest, die vor dem
Start eines Scans angezeigt wird.
Die Standardnachricht lautet: McAfee
Endpoint Security wird in Kürze Ihr
System scannen.
Anzeigedauer der
Nachricht (Sekunden)
Legt fest, wie lange (in Sekunden) die
Benutzernachricht vor dem Start
eines Scans angezeigt wird. Der
gültige Bereich für die Dauer beträgt
30-300; die Standarddauer ist 45
Sekunden.
Keine Scans durchführen, wenn sich das System im Präsentationsmodus
befindet – Verschiebt den Scan, wenn das System im
Präsentationsmodus ist.
Keine Scans durchführen,
wenn das System mit Akku
betrieben wird
Verschiebt den Scan, wenn das System mit Batteriestrom
betrieben wird.
Siehe auch
Scannen einer Datei oder eines Ordners auf Seite 38
Scan-Speicherorte auf Seite 120
Aktionen auf Seite 123
Hinzufügen oder Bearbeiten von Ausschlüssen auf Seite 124
Produkthandbuch
119
6
Scan-Speicherorte
Scan-Speicherorte
Legt die zu scannenden Speicherorte fest.
Diese Optionen gelten nur für Vollständiger Scan und Schnellscan.
Tabelle 6-15
Abschnitt
Option
Scan-Speicherorte Unterordner scannen
Beschreibung
Prüft alle Unterordner auf den angegebenen Datenträgern,
wenn einer der folgenden Optionen ausgewählt wurde:
• Basisordner
• Temp-Ordner
• Benutzerprofilordner
• Laufwerk oder Ordner
• Programmdateien-Ordner
Um nur die Stammebene der Datenträger zu scannen,
deaktivieren Sie diese Option.
Speicherorte angeben
Legt die zu scannenden Speicherorte fest.
Hinzufügen Fügt einen Speicherort für den Scan hinzu.
Klicken Sie auf Hinzufügen, und wählen Sie den
Speicherort aus der Dropdown-Liste.
Löschen
Entfernt einen Speicherort vom Scannen.
Wählen Sie den Speicherort aus, und klicken
Sie auf Löschen.
Speicher für Rootkits
Scannt den Systemspeicher auf installierte Rootkits,
versteckte Prozesse und anderes Verhalten, das auf
Malware hinweisen kann, der versucht, sich zu verstecken.
Dieser Scan-Vorgang wird vor allen weiteren
Scan-Vorgängen ausgeführt.
Laufende Prozesse
Der Speicher aller aktuell ausgeführten Prozesse wird
gescannt.
Alle anderen Aktionen, außer Dateien säubern, werden als
Scan-Vorgang fortsetzen behandelt.
Registrierte Dateien
Scannt Dateien, auf die die Windows-Registrierung
verweist.
Der Scanner analysiert zunächst die Registrierung auf
Dateinamen, ermittelt, ob die Dateien vorhanden sind,
erstellt eine Liste der zu scannenden Dateien und scannt
dann die entsprechenden Dateien.
120
Arbeitsplatz
Scannt alle Laufwerke, die physisch an den Computer
angeschlossen oder einem Laufwerksbuchstaben auf dem
Computer logisch zugeordnet sind.
Alle lokalen Laufwerke
Scannt alle Laufwerke und deren Unterordner auf Ihrem
Computer.
Produkthandbuch
6
McAfee GTI
Tabelle 6-15
Abschnitt
(Fortsetzung)
Option
Beschreibung
Alle fest installierten Laufwerke Scannt alle physisch mit dem Computer verbundenen
Laufwerke.
Alle Wechseldatenträger
Scannt alle Wechsellaufwerke und andere Speichergeräte,
die mit dem Computer verbunden sind.
Alle zugeordneten Laufwerke
Scannt Netzwerklaufwerke, die einem Netzwerklaufwerk auf
dem Computer logisch zugeordnet sind.
Basisordner
Scannt den Basisordner des Benutzers, der den
Scanvorgang startet.
Benutzerprofilordner
Scannt das Profil des Benutzers, der den Scan startet,
einschließlich des Ordners "Eigene Dokumente" des
Benutzers.
Windows-Ordner
Scannt den Inhalt des Windows-Ordners.
Programmdateien-Ordner
Scannt den Inhalt des Ordners "Programme".
Temp-Ordner
Scannt den Inhalt des Temp-Ordners.
Papierkorb
Scannt den Inhalt des Papierkorbs.
Datei oder Ordner
Scannt eine bestimmte Datei oder einen Ordner.
Siehe auch
Threat Prevention – On-Demand-Scan auf Seite 116
McAfee GTI
Aktiviert und konfiguriert McAfee GTI-Einstellungen.
Tabelle 6-16
Abschnitt
Option
McAfee GTI
aktivieren
Beschreibung
Aktiviert und deaktiviert heuristische Überprüfungen.
• Bei Aktivierung werden Fingerabdrücke von Proben, auch Hashes
genannt, anMcAfee Labs gesendet, um eine Prüfung auf Malware
vorzunehmen. Durch Senden der Hashes kann die Erkennung schneller
zur Verfügung gestellt werden als in der nächsten AMCore
Content-Datei-Version, wenn McAfee Labs die Aktualisierung
veröffentlicht.
• Bei Deaktivierung werden keine Fingerabdrücke oder Daten an McAfee
Labs gesendet.
Sensibilitätsstufe
Konfiguriert die Sensibilitätsstufe, mit der die Prüfung einer erkannten
Probe auf Malware durchgeführt werden soll.
Je höher die Sensibilitätsstufe, desto höher die Anzahl der
Malware-Erkennungen. Bei mehr Erkennungen wird jedoch auch die
Anzahl der False-Positives größer.
Risikostufe
Produkthandbuch
121
6
McAfee GTI
Tabelle 6-16
Abschnitt
(Fortsetzung)
Option
Beschreibung
Sehr niedrig Die Erkennungen und Risiken für False-Positives sind dieselben wie für
reguläre AMCore Content-Dateien. Im Falle einer Veröffentlichung durch
McAfee Labs steht Threat Prevention eine Erkennung bereits vor der
nächsten AMCore Content-Datei-Aktualisierung zur Verfügung.
Verwenden Sie diese Einstellung für Desktops und Server mit
beschränkten Benutzerrechte und einem großen
Sicherheits-Speicherbedarf.
Mit dieser Einstellung werden durchschnittlich 10–15 Abfragen pro Tag
und Computer ausgeführt.
Niedrig
Diese Einstellung sind die empfohlenen Mindesteinstellungen für Laptops
oder Desktop- und Server-Computer mit einem großen
Sicherheits-Speicherbedarf.
Mittel
Nutzen Sie diese Stufe, wenn die Möglichkeit einer Infektion mit Malware
wahrscheinlicher ist als ein False-Positive. Die von McAfee Labs
entwickelte interne heuristische Überprüfung führt zu Erkennungen, die
mit hoher Wahrscheinlichkeit Malware sind. Einige Erkennungen können
jedoch zu False-Positives führen. Bei dieser Einstellung überprüft McAfee
Labs, dass für beliebte Anwendungen und Dateien des Betriebssystems
keine False-Positive-Erkennungen stattfinden.
Diese Einstellung sind die empfohlenen Mindesteinstellungen für Laptops
oder Desktop- und Server-Computer.
Hoch
Verwenden Sie diese Einstellung für die Bereitstellung für Systeme oder
Bereiche, die regelmäßig infiziert werden.
Sehr hoch
McAfee empfiehlt diese Stufe nur für das Scannen von Laufwerken und
Verzeichnissen, in denen keine ausführbaren Programme oder
Betriebssysteme unterstützt werden.
Erkennungen auf dieser Stufe werden als bösartiger Code angesehen,
sind aber bisher nicht vollständig auf diese Eigenschaft hin geprüft
worden, um sie als False-Positives auszuschließen.
Verwenden Sie diese Einstellung für On-Demand-Scans, die nicht für
Betriebsystemvolumes ausgeführt werden.
Siehe auch
Threat Prevention – On-Access Scan auf Seite 112
Web Control – Optionen auf Seite 137
122
Produkthandbuch
Aktionen
6
Aktionen
Legt fest, wie der Scanner bei Erkennung einer Bedrohung reagieren soll.
Tabelle 6-17
Abschnitt
Option
Beschreibung
Scan-Typ
On-Access-Scan On-Demand-Scan
Erste Reaktion bei Erkennung
einer Bedrohung
Legt die erste Aktion fest, die der Scanner durchführen soll, wenn eine
Bedrohung erkannt wird.
Zugriff auf
Dateien
verweigern
Verhindert, dass Benutzer auf
Dateien mit potenziellen
Bedrohungen zugreifen können.
Scan fortsetzen
Setzt den Datei-Scan fort, wenn
eine Bedrohung erkannt wurde.
Der Scanner verschiebt keine
Elemente in die Quarantäne.
X
X
Dateien säubern Entfernt die Bedrohung aus der
erkannten Datei, wenn möglich.
X
X
Löscht Dateien mit potenziellen
Bedrohungen.
X
X
Dateien löschen
Wenn erste Reaktion fehlschlägt
Legt die erste Aktion fest, die der Scanner durchführen soll, wenn eine
Bedrohung erkannt wird und die erste Aktion fehlschlägt.
Zugriff auf
Dateien
verweigern
Scan fortsetzen
Dateien löschen
Löscht Dateien mit potenziellen
Bedrohungen.
Erste Reaktion bei
unerwünschten Programmen
X
X
X
X
Legt die erste Aktion fest, die der Scanner durchführen soll, wenn ein
potenziell unerwünschtes Programm erkannt wird.
Diese Option ist nur verfügbar, wenn Unerwünschte Programme erkennen
ausgewählt wurde.
Zugriff auf
Dateien
verweigern
Zugriff auf
Lässt Benutzer auf Dateien mit
Dateien zulassen potenziellen Bedrohungen
zugreifen.
Scan fortsetzen
X
Dateien säubern Entfernt die Bedrohung aus dem
potenziell unerwünschten
Programm, wenn möglich.
Dateien löschen
X
Löscht potenziell unerwünschte
Programmdateien.
X
X
X
X
X
Produkthandbuch
123
6
Tabelle 6-17
Abschnitt
(Fortsetzung)
Option
Beschreibung
Scan-Typ
On-Access-Scan On-Demand-Scan
Wenn erste Reaktion fehlschlägt
Legt die Aktion fest, die der Scanner durchführen soll, wenn ein
unerwünschtes Programm erkannt wurde und die erste Reaktion
fehlschlägt.
Diese Option ist nur verfügbar, wenn Unerwünschte Programme erkennen
ausgewählt wurde.
Zugriff auf
Dateien
verweigern
Zugriff auf
Lässt Benutzer auf Dateien mit
Dateien zulassen potenziellen Bedrohungen
zugreifen.
Scan fortsetzen
Dateien löschen
Löscht automatisch potenziell
unerwünschte Programmdateien.
X
X
X
X
X
Siehe auch
Fügt eine Ausschlussdefinition hinzu oder bearbeitet diese.
Tabelle 6-18
Abschnitt
Option
Beschreibung
Scan-Typ
Bei Zugriff Auf
Anforderung
Legt den Ausschlusstyp und die Ausschlussdetails fest.
Auszuschließende
Elemente
Muster
Legt das Muster für den Ausschluss
fest.
X
X
Wählen Sie, falls erforderlich,
Unterordner ebenfalls ausschließen aus.
Dateityp
Legt die auszuschließenden
Dateitypen (Dateierweiterungen)
fest.
X
X
Dateialter
Legt den Zugriffstyp (GeändertZugriff am X
oder Erstellt) der auszuschließenden
Dateien fest und das Mindestalter in
Tagen.
X
Zeitpunkt für
Ausschluss
124
Legt fest, wann das ausgewählte Element ausgeschlossen werden
soll.
Produkthandbuch
6
Tabelle 6-18
(Fortsetzung)
Abschnitt
Option
Beschreibung
Scan-Typ
Bei Zugriff Auf
Anforderung
Beim Schreiben
auf oder Lesen
von einem
Datenträger
Schließt Dateien vom Scannen aus,
wenn sie auf einen Datenträger
geschrieben oder von einem
Datenträger (oder einem anderen
Datenspeichergerät) gelesen
werden.
X
Beim Lesen von
einem
Datenträger
Schließt Dateien vom Scannen aus,
wenn sie vom Computer (oder
einem anderen Datenspeichergerät)
gelesen werden.
X
Beim Schreiben
auf einen
Datenträger
Schließt alle Dateien vom Scan aus,
wenn sie auf den Datenträger (oder
ein anderes Datenspeichergerät)
geschrieben oder darauf geändert
werden.
X
Siehe auch
Konfiguriert die Einstellungen für die Threat Prevention-Funktion, einschließlich Quarantäne, potenziell
unerwünschte Programme und Ausschlüsse.
Dieser Abschnitt diese enthält nur Erweiterten Optionen.
Tabelle 6-19
Abschnitt
Option
Beschreibung
Quarantäne-Manager
Quarantäne-Verzeichnis
Geben Sie einen Speicherort für den Quarantäne-Ordner
an, oder akzeptieren Sie den Standardspeicherort:
c:\Quarantine
Maximale Speicherdauer der Legt die Dauer in Tagen (1–999) fest, für die isolierte
Quarantänedaten in Tagen
Elemente vor ihrer automatischen Löschung gespeichert
festlegen
werden. Die Standardeinstellung ist 30 Tage.
Produkthandbuch
125
6
Tabelle 6-19
(Fortsetzung)
Abschnitt
Option
Beschreibung
Ausschluss nach
Erkennungsname
Diese Erkennungsnamen
ausschließen
Gibt Erkennungsausschlüsse nach Erkennungsname an.
Um beispielsweise festzulegen, dass der
On-Access-Scanner und der On-Demand-Scanner keine
Bedrohungen bei Installationsüberprüfungen erkennt,
geben Sie Installationsüberprüfung ein.
Hinzufügen Fügt der Ausschlussliste einen
Erkennungsnamen hinzu.
Klicken Sie auf Hinzufügen, und geben Sie
dann den Erkennungsnamen ein.
Entfernt einen Erkennungsnamen von der
Ausschlussliste.
Löschen
Wählen Sie den Namen aus, und klicken Sie
dann auf Löschen.
Erkennung von
potenziell
unerwünschten
Programmen
Schließen Sie
benutzerdefinierte
unerwünschte Programme
aus
Legt bestimmte Dateien oder Programme fest, die als
potenziell unerwünschte Programme behandelt werden
sollen.
Die Scanner erkennt die Programme, die Sie festlegen
sowie Programme, die in den AMCore Content-Dateien
festgelegt sind.
Der Scanner berücksichtigt keine benutzerdefinierten
unerwünschten Programme mit einer Dateigröße von 0
Byte.
Hinzufügen Definiert ein benutzerdefiniertes
unerwünschtes Programm.
Klicken Sie auf Hinzufügen, geben Sie den
Namen ein, und drücken Sie dann die
Tab-Taste, um die Beschreibung
einzugeben.
• Name Gibt den Dateinamen des potenziell
unerwünschten Programms an.
• Beschreibung – Gibt die Informationen an,
die im Fall einer Erkennung als
Erkennungsname angezeigt werden.
Löschen
Entfernt ein potenziell unerwünschtes
Programm von der Liste.
Wählen Sie das Programm aus der Tabelle,
und klicken Sie auf Entfernen.
Siehe auch
Ändert den AMCore Content auf eine frühere Version.
126
Produkthandbuch
6
Option
Beschreibung
Zu ladende Version
auswählen
Legt die Versionsnummern einer früheren AMCore Content-Datei fest, die geladen
werden soll.
Endpoint Security speichert die letzten zwei Versionen auf dem Client-System.
Wenn Sie auf eine frühere Version ändern, entfernt Endpoint Security die aktuelle
Version von AMCore Content vom System.
Siehe auch
Ändern der AMCore Content-Version auf Seite 25
Aktiviert und deaktiviert das Firewall-Modul und legt Schutzoptionen fest.
Der Schnittstellenmodus für den Endpoint Security Client muss auf Vollzugriff eingestellt sein, oder Sie
müssen als Administrator angemeldet sein.
Tabelle 6-21
Abschnitt
Schutzoptionen
Option
Beschreibung
Firewall aktivieren
Aktiviert und deaktiviert das Firewall-Modul.
Datenverkehr für nicht unterstützte
Protokolle zulassen
Lässt allen Datenverkehr zu, bei dem nicht
unterstützte Protokolle verwendet werden. Bei
Deaktivierung wird der Datenverkehr für nicht
unterstützte Protokolle vollständig blockiert.
Nur ausgehenden Datenverkehr bis
zum Start der Firewall-Dienste
zulassen
Lässt ausgehenden Datenverkehr zu, jedoch keinen
eingehenden, der Firewall-Dienst gestartet wird.
Datenverkehr über Bridge zulassen
Lässt Datenverkehr mit einer lokalen MAC-Adresse zu.
Wenn diese Option deaktiviert ist, lässt Firewall
sämtlichen Datenverkehr vor Starten der Dienste zu.
Die MAC-Adresse ist eine Adresse aus der Liste der
VMs, die Firewall unterstützt (nicht die MAC-Adresse
des lokalen Systems). Mit dieser Option lassen Sie den
Datenverkehr über eine Bridge-Umgebung mit
virtuellen Maschinen zu.
IP-Spoofing-Schutz aktivieren
Blockiert Netzwerkverkehr von nicht lokalen
Host-IP-Adressen oder lokalen Prozessen, die
versuchen, ihre IP zu fälschen.
Produkthandbuch
127
6
Tabelle 6-21
Abschnitt
(Fortsetzung)
Option
Beschreibung
Firewall-Eindringungswarnungen
aktivieren
Zeigt automatisch Warnungen an, wenn Firewall einen
potenziellen Angriff erkennt.
DNS-Blockierung Domänenname
Definiert zu blockierende Domänennamen.
Diese -Einstellung fügt eine Regel am Anfang der
Firewall-Regelliste hinzu, die Verbindungen zu den
IP-Adressen, die in die Domänennamen aufgelöst
werden, blockiert.
Hinzufügen Fügt der Sperrliste einen Domänennamen
hinzu.
Sie können * und ? als Platzhalterzeichen
verwenden. Beispiel: *domain.com.
Trennen Sie mehrere Domänen durch ein
Komma (,) oder den Wagenrücklauf.
Alle doppelten Einträge werden
automatisch entfernt.
Löschen
Entfernt den ausgewählten
Domänennamen aus der Liste.
Abschnitt
Option
Beschreibung
Optimierungsoptionen
Adaptiven Modus aktivieren
Erstellt automatisch Regeln zum Zulassen von
Datenverkehr.
Aktivieren Sie diese Option kurzzeitig, während Sie
eine Bereitstellung optimieren.
Allen blockierten Datenverkehr
protokollieren
Protokolliert allen blockierten Datenverkehr im
Firewall-Ereignisprotokoll (FirewallEventMonitor.log)
auf dem Endpoint Security Client.
Allen zugelassenen
Datenverkehr protokollieren
Protokolliert allen zugelassenen Datenverkehr im
Firewall-Ereignisprotokoll (FirewallEventMonitor.log)
auf dem Endpoint Security Client.
Die Aktivierung dieser Option kann sich negativ auf
die Leistung auswirken.
Netzwerkreputation für
McAfee GTI
McAfee GTI-Ereignisse an
Server senden
Sendet Ereignisse an den McAfee ePO-Server, wenn
McAfee GTI die Schwellenwerteinstellung zum
Blockieren von eingehendem oder ausgehendem
Datenverkehr erreicht.
Sämtliche IP-Adressen für vertrauenswürdige
Netzwerke sind von McAfee GTI-Suchen
ausgeschlossen.
128
Produkthandbuch
6
Abschnitt
Option
Beschreibung
Reputationsschwellenwert des
eingehenden/ausgehenden
Netzwerks
Legt den Bewertungsschwellenwert von McAfee GTI
fest, ab dem ein- oder ausgehender Datenverkehr
über eine Netzwerkverbindung blockiert werden soll.
Statusbehaftete Firewall Zeitlimit für TCP-Verbindung (in
Sekunden, 1-240)
UDP- und ICMP-Echo-Zeitlimit
für virtuelle Verbindungen (in
Sekunden, 1-300)
Nicht
blockieren
Bei dieser Site handelt es sich um eine
zulässige Quelle oder ein zulässiges
Ziel für Inhalte/Datenverkehr.
Hohes Risiko
Diese Quelle bzw. dieses Ziel sendet
oder hostet potenziell bösartigen
Inhalt/Datenverkehr, den McAfee als
riskant einstuft.
Mittleres
Risiko
Diese Quelle bzw. dieses Ziel weist
Verhalten auf, das McAfee als
verdächtig einstuft. Inhalte oder
Datenverkehr von der Site sind genau
zu prüfen.
Nicht
verifiziert
Bei dieser Site handelt es sich offenbar
um eine zulässige Quelle oder ein
zulässiges Ziel für Inhalte/
Datenverkehr, allerdings weisen
mehrere Eigenschaften darauf hin,
dass eine weitere Untersuchung
erforderlich ist.
Legt die Zeit in Sekunden fest, während der eine nicht
hergestellte TCP-Verbindung aktiv bleibt, wenn keine
weiteren mit der Verbindung übereinstimmenden
Pakete gesendet oder empfangen werden. Der
Standardwert ist 30; der gültige Bereich liegt
zwischen 1 und 240.
Legt die Zeit in Sekunden fest, während der eine
virtuelle UDP- oder ICMP-Echo-Verbindung aktiv
bleibt, wenn keine weiteren mit der Verbindung
übereinstimmenden Pakete gesendet oder empfangen
werden. Die Option setzt die Zeit jedes Mal auf den
konfigurierten Wert zurück, wenn ein Paket, das mit
der virtuellen Verbindung übereinstimmt, gesendet
oder empfangen wird. Der Standardwert ist 30; der
gültige Bereich liegt zwischen 1 und 300.
Siehe auch
Verwaltet Firewall-Regeln und -Gruppen.
Sie können nur Regeln und Gruppen in der Gruppe User added hinzufügen und löschen.
Produkthandbuch
129
6
Tabelle 6-23
Abschnitt Option
REGELN
Regel hinzufügen
Beschreibung
Regel Gruppe
Fügt eine Firewall-Regel hinzu.
X
Unter Seite Regeln und Gruppen hinzufügen oder auf
Seite 130 finden Sie weitere Informationen.
Gruppe hinzufügen Fügt eine Firewall-Gruppe hinzu.
X
Duplizieren
Erstellt eine Kopie des ausgewählten Elements.
X
X
Löschen
Entfernt ein ausgewähltes Firewall-Element.
X
X
Gibt Elemente an, die in der Liste verschoben werden
können.
X
X
Wählen Sie Elemente aus, und verschieben Sie sie
durch Ziehen und Ablegen an ihren neuen Standort.
Eine blaue Linie erscheint zwischen Elementen, wo Sie
die gezogenen Elemente ablegen können.
Siehe auch
Seite Regeln und Gruppen hinzufügen oder auf Seite 130
Seite Regeln und Gruppen hinzufügen oder
Zum Hinzufügen oder Bearbeiten von Firewall-Regeln und -Gruppen.
Tabelle 6-24
Abschnitt
Option
Beschreibung
Beschreibung
Name
Legt den beschreibenden Namen des Elements fest X
(erforderlich).
X
Status
Aktiviert oder deaktiviert das Element.
X
X
Aktionen festlegen
Zulassen – Zeigt Datenverkehr über die Firewall an,
wenn das Element übereinstimmt.
X
Blockieren – Stoppt Datenverkehr über die Firewall,
wenn das Element übereinstimmt.
X
Regelübereinstimmung als Intrusion behandeln – Behandelt
Datenverkehr, der der Regel entspricht, als Angriff
und erstellt ein Ereignis, das an den McAfee
ePO-Server gesendet wird. Für die Regel muss die
Aktion Blockieren ausgewählt werden, damit ein
Ereignis erstellt werden kann.
X
Übereinstimmenden Verkehr protokollieren – Speichert
einen Datensatz des übereinstimmenden
Datenverkehrs im Firewall-Aktivitätsprotokoll auf
dem Endpoint Security Client.
X
Legt die Richtung fest:
X
X
X
X
Richtung
Regel Gruppe
• Ein – Überwacht eingehenden Datenverkehr.
• Aus – Überwacht ausgehenden Datenverkehr.
• Beide – Überwacht ein- und ausgehenden
Datenverkehr.
Speicherort
130
Hinweise
Bietet weitere Informationen über das Element.
Standortbewusstsein
aktivieren
Aktiviert oder deaktiviert die
Speicherortinformationen für die Gruppe.
X
Produkthandbuch
6
Tabelle 6-24
Abschnitt
(Fortsetzung)
Option
Beschreibung
Regel Gruppe
Name
Legt den Namen des Speicherorts fest
(erforderlich).
X
Verbindungsisolierung
aktivieren
Blockiert Datenverkehr auf nicht mit der Gruppe
übereinstimmenden Netzwerkadaptern, falls ein
mit der Gruppe übereinstimmender Adapter zur
Verfügung steht.
X
Einstellungen für Transport und Ausführbare Dateien
sind für Verbindungsisolierungsgruppen nicht
verfügbar.
Eine mögliche Anwendung dieser Option ist das
Blockieren von Netzwerkverkehr potenziell
unerwünschten Ursprungs von außerhalb des
Unternehmensnetzwerks in das Unternehmen
hinein. Ein solches Blockieren ist nur dann möglich,
wenn der Netzwerkverkehr nicht bereits durch eine
vor der Gruppe gelegene Regel der Firewall
zugelassen wurde.
Wenn die Verbindungsisolierung aktiviert ist und
ein Netzwerkadapter (NIC) mit der Gruppe
übereinstimmt, wird nur in folgenden Fällen
Datenverkehr zugelassen:
• Der Datenverkehr stimmt mit einer Zulassungsregel
überein, die vor der Gruppe liegt.
• Der durch einen Netzwerkadapter verlaufende
Datenverkehr stimmt mit der Gruppe überein,
und es ist eine Regel in oder unterhalb der
Gruppe vorhanden, die den Datenverkehr
zulässt.
Falls kein Netzwerkadapter mit der Gruppe
übereinstimmt, wird diese ignoriert, und die
Regelübereinstimmung wird fortgesetzt.
Erforderlich machen,
dass ePolicy
Orchestrator erreichbar
ist
Lässt die Gruppenübereinstimmung nur bei
Kommunikation mit dem McAfee ePO-Server und
nach Auflösung des Server-FQDN zu.
X
Produkthandbuch
131
6
Tabelle 6-24
Abschnitt
(Fortsetzung)
Option
Standortkriterien
Beschreibung
Regel Gruppe
Verbindungsspezifisches
DNS-Suffix
Legt ein
verbindungsspezifisches
DNS-Suffix im Format
beispiel.com fest.
Standard-Gateway
Gibt eine einzelne
IP-Adresse für ein
Standard-Gateway im
IPv4- oder IPv6-Format
an.
DHCP-Server
Gibt eine einzelne
IP-Adresse für einen
DHCP-Server im IPv4oder IPv6-Format an.
DNS-Server
Gibt eine einzelne
IP-Adresse für einen DNS
im IPv4- oder IPv6-Format
an:
Primärer WINS
Gibt eine einzelne
primären WINS-Server im
IPv4- oder IPv6-Format
an.
Sekundärer WINS
Gibt eine einzelne
sekundären WINS-Server
im IPv4- oder IPv6-Format
an.
Domänenerreichbarkeit
Überprüft, ob die
angegebene Domäne
erreichbar ist.
Beispiel:
• IPv4 – 123.123.123.123
• IPv6 – 2001:db8:c0fa:f340:9219:
bd20:9832:0ac7
132
Produkthandbuch
6
Tabelle 6-24
Abschnitt
(Fortsetzung)
Option
Beschreibung
Regel Gruppe
X
Registrierungsschlüssel Legt den Registrierungsschlüssel und Schlüsselwert
fest.
1 Geben Sie im ersten Feld einen
Registrierungsschlüssel im Format
<ROOT>\<KEY>\[VALUE_NAME] ein.
• Unter <ROOT> muss der ganze Stammname
angegeben werden, wie beispielsweise
HKEY_LOCAL_MACHINE, und nicht der
gekürzte HKLM.
• <KEY> ist der Schlüsselname im Stamm.
• [VALUE_NAME] ist der Name des
Schlüsselwerts. Wird kein Wertname
angegeben, wird der Standardwert verwendet.
2 Im zweiten Feld nach dem Gleichheitszeichen
geben Sie die Daten für den Schlüsselwert ein.
Um einen Registrierungsschlüssel zum Einfügen
zu kopieren, klicken Sie im
Registrierungs-Editor (führen Sie regedit aus)
mit der rechten Maustaste auf einen Schlüssel,
und wählen Sie Schlüsselnamen kopieren aus.
Legt die geltenden Netzwerk-Host-Optionen für das X
Element fest.
X
Netzwerkprotokoll
Legt das geltende Netzwerkprotokoll für das
Element fest.
X
X
Beliebiges Protokoll
Lässt sowohl IP- als auch Nicht-IP-Protokolle zu.
X
X
X
X
X
X
Netzwerke
Ist ein Transportprotokoll oder eine Anwendung
angegeben, sind nur IP-Protokolle zulässig.
IP-Protokoll
Schließt Nicht-IP-Protokolle aus.
• IPv4-Protokoll
• IPv6-Protokoll
Wird keines der Kontrollkästchen aktiviert, gilt ein
beliebiges IP-Protokoll. Sie können auch IPv4 und
IPv6 gemeinsam auswählen.
Nicht-IP-Protokoll
Schließt nur Nicht-IP-Protokolle ein.
• etherType in der Liste auswählen – Legt einen etherType
fest.
• Benutzerdefinierten etherType festlegen – Gibt den
vierstelligen etherType des Nicht-IP-Protokolls im
Hexadezimalformat ein. etherType-Werte finden
Sie unter Ethernet-Nummern. Beispiel: Für
AppleTalk lautet der Wert 809B, für NetBEUI
8191 und für IPX 8037.
Produkthandbuch
133
6
Tabelle 6-24
Abschnitt
(Fortsetzung)
Option
Beschreibung
Regel Gruppe
Verbindungstypen
Gibt an, ob ein bestimmter oder alle
Verbindungstypen gelten:
X
X
Legt die geltenden Netzwerke für das Element fest. X
X
• Kabelgebunden
• Drahtlos
• Virtuell
Ein virtueller Verbindungstyp ist ein durch ein
VPN oder eine Anwendung für virtuelle
Maschinen wie VMware repräsentierter
Adapter, kein physischer Adapter.
Netzwerke festlegen
• Hinzufügen – Erstellt ein Netzwerk und fügt es
hinzu.
Unter Netzwerke hinzufügen Seite auf Seite 136
finden Sie weitere Informationen.
• Importieren – Importiert eine Liste von
Netzwerknamen aus einer XML-Datei.
• Löschen – Löscht das Netzwerk aus der Liste.
Transportieren
134
Legt die geltenden Transportoptionen für das
Element fest.
Produkthandbuch
6
Tabelle 6-24
Abschnitt
(Fortsetzung)
Option
Beschreibung
Regel Gruppe
Transportprotokoll
Legt das mit dem Element verknüpfte
Transportprotokoll fest.
X
X
Wählen Sie das Protokoll aus, und klicken Sie dann
auf Hinzufügen, um Ports hinzuzufügen.
Alle
Protokolle
Lässt IP-, Nicht-IP- und nicht
unterstützte Protokolle zu.
TCP und
UDP
Wählen Sie aus dem Dropdown-Menü
aus:
• Lokaler Port – Legt den lokalen
Datenverkehrsdienst oder Port fest,
auf den die Regel angewendet wird.
• Remote-Port – Legt den auf einem
anderen Computer befindlichen
Datenverkehrsdienst oder Port fest,
auf den die Regel angewendet wird.
Lokaler Port und Remote-Port können
Folgendes sein:
• Ein einzelner Dienst, beispielsweise
23.
• Ein Bereich, beispielsweise 1-1024.
• Eine durch Komma getrennte Liste
einzelner Ports und Bereiche,
beispielsweise 80, 8080, 1-10,
8443 (bis zu vier Elemente).
Standardmäßig gilt die Regel für alle
Dienste und Ports.
ICMP und
ICMPv6
Legen Sie im Dropdown-Menü
Nachrichtentyp einen
ICMP-Nachrichtentyp fest:
• ICMP
• ICMPv6
Sonstige
Ausführbare
Dateien
Wählen Sie aus einer Liste von
weniger häufigen Protokollen aus.
Legt die ausführbaren für die Regel fest.
• Hinzufügen – Erstellt eine ausführbare und fügt sie
hinzu.
Weitere Informationen finden Sie unter
Ausführbare Dateien hinzufügen oder bearbeiten
Seite auf Seite 136.
• Importieren – Importiert eine Liste von Namen
ausführbarer Dateien aus einer XML-Datei.
• Löschen – Entfernt eine ausführbare aus der Liste.
Siehe auch
Netzwerke hinzufügen Seite auf Seite 136
Ausführbare Dateien hinzufügen oder bearbeiten Seite auf Seite 136
Produkthandbuch
135
6
Ausführbare Dateien hinzufügen oder bearbeiten Seite
Hier kann eine mit einer Regel oder Gruppe verknüpfte ausführbare Datei hinzugefügt oder bearbeitet
werden, oder es kann eine ausführbare Datei zum Firewall-Katalog hinzugefügt werden.
Tabelle 6-25
Option
Beschreibung
Regel Gruppe
Name
Legt den Namen für die ausführbare Datei fest.
X
X
Dateipfad
Gibt den Pfad zur ausführbaren Datei an.
X
X
X
X
X
X
Aktiviert oder deaktiviert die Überprüfung digitaler Signaturen, X
die gewährleistet, dass seit der Unterzeichnung mit einem
Kryptographie-Hash der Code weder geändert noch beschädigt
wurde.
X
Klicken Sie auf Durchsuchen, um die ausführbare Datei
auszuwählen.
Der Pfad kann Platzhalter enthalten.
Dateibeschreibung
Zeigt die Beschreibung der Datei an.
Dieses Feld wird automatisch ausgefüllt, wenn Sie eine
ausführbare Datei auswählen.
Fingerabdruck
Zeigt den MD5-Hash des Prozesses an.
Dieses Feld wird automatisch ausgefüllt, wenn Sie eine
ausführbare Datei auswählen.
Überprüfung digitaler
Signaturen aktivieren
Legen Sie bei Aktivierung Folgendes fest:
• Beliebige Signatur zulassen – Dateien dürfen von einem beliebigen
Signaturgeber unterzeichnet werden.
• Signiert von – Dateien dürfen nur von dem angegebenen
Signaturgeber unterzeichnet werden.
Netzwerke hinzufügen Seite
Hier kann ein mit einer Regel oder Gruppe verknüpftes Netzwerk hinzugefügt oder bearbeitet werden,
oder es kann ein Netzwerk zum Firewall-Katalog hinzugefügt werden.
Tabelle 6-26
Option
Beschreibung
Regel Gruppe
Name
Legt den Namen der Netzwerkadresse fest (erforderlich).
X
X
Typ
Wählen Sie entweder:
X
X
• Lokales Netzwerk – Erstellt ein lokales Netzwerk und fügt es hinzu.
• Remote-Netzwerk – Erstellt ein Remote-Netzwerk und fügt es hinzu.
136
Hinzufügen
Fügt einen Netzwerktyp zur Netzwerkliste hinzu.
X
X
Löschen
Löscht das ausgewählte Element.
X
X
Produkthandbuch
6
Tabelle 6-26
Option
(Fortsetzung)
Beschreibung
Netzwerktyp Legt den Ursprung oder das Ziel des Datenverkehrs fest. Wählen Sie
einen Typ aus der Dropdown-Liste Adresstyp.
Regel Gruppe
X
X
X
X
Unter Adresstyp auf Seite 137 finden Sie die Liste der Adresstypen.
Adresse
Legt die IP-Adresse fest, die zum Netzwerk hinzugefügt werden soll.
Platzhalter sind zulässig.
Siehe auch
Adresstyp auf Seite 137
Adresstyp
Gibt den Adresstyp an.
Tabelle 6-27 Optionsbeschreibungen
Option
Beschreibung
Einzelne IP-Adresse
Legt eine konkrete IP-Adresse fest. Beispiel:
• IPv4 – 123.123.123.123
• IPv6 – 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*
Legt die Subnetzadresse eines beliebigen Adapters im Netzwerk fest. Beispiel:
Subnetz
• IPv4 – 123.123.123.0/24
• IPv6 – 2001:db8::0/32
Lokales Subnetz
Legt die Subnetzadresse des lokalen Adapters fest.
Bereich
Legt einen Bereich von IP-Adressen fest. Geben Sie die Anfangs- und Endadresse
des Bereichs an. Beispiel:
• IPv4 – 123.123.1.0 – 123.123.255.255
• IPv6 – 2001:db8::0000:0000:0000:0000 –
2001:db8::ffff:ffff:ffff:ffff
Vollqualifizierter
Domänenname
Legt den FQDN fest. Beispiel: www.example.com.
Konfiguriert allgemeine Web Control-Einstellungen, wozu die Aktivierung, die Erzwingung von
Aktionen, die sichere Suche, und E-Mail-Anmerkungen gehören.
Produkthandbuch
137
6
Tabelle 6-28
Abschnitt
Option
Beschreibung
OPTIONEN
Web Control aktivieren
Deaktiviert oder aktiviert Web Control.
Symbolleiste im Client-Browser
ausblenden
Blendet die Symbolleiste von Web Control im Browser
aus, ohne dass ihre Funktionalität deaktiviert wird.
Verwenden Sie diese Option, um
Kompatibilitätsprobleme mit Drittanbieterprodukten
zu lösen.
Ereignisprotokollierung
Webkategorien für Sites mit der
Bewertung "Grün"
protokollieren
Protokolliert Inhaltskategorien für alle Sites mit der
Bewertung "Grün".
Das Aktivieren dieser Funktion kann sich negativ
auf die Leistung des McAfee ePO-Servers
auswirken.
Erzwingung von
Aktionen
Web Control-iframe-Ereignisse
protokollieren
Zeichnet die Blockierung bösartiger Sites (rot) und
von Sites mit Warnungen (gelb) auf, die in einem
HTML-iframe angezeigt werden.
Diese Aktion für alle noch nicht
von McAfee GTI verifizierten
Websites anwenden
Legt die Standardaktion für Sites fest, die noch nicht
von McAfee GTI bewertet wurden.
Sie können diese Meldung mithilfe der
Einstellungen unter Erzwingungsmeldungen
anpassen.
138
Zulassen
(Standard)
Lässt den Zugriff auf die Site zu.
Warnen
Zeigt eine Warnung an, um Benutzer
über mögliche Gefahren in
Verbindung mit der Site zu
informieren. Die Benutzer müssen
die Warnmeldung vor dem
Fortfahren schließen.
Blockieren
Verhindert, dass Benutzer auf die
Site zugreifen, und zeigt eine
Meldung an, dass der Site-Download
blockiert ist.
HTML-iframe-Unterstützung
aktivieren
Blockiert den Zugriff auf böswillige Sites (Rot) und
Sites mit Warnungen (Gelb), die in einem
HTML-iframe angezeigt werden. (Standardmäßig
aktiviert)
Websites werden
standardmäßig blockiert, wenn
der Server für die McAfee
GTI-Bewertungen nicht
erreichbar ist
Blockiert den Zugriff auf Websites standardmäßig,
wenn Web Control den McAfee GTI-Server nicht
erreichen kann.
Phishing-Seiten für alle
Websites blockieren
Blockiert sämtliche Phishing-Seiten unter
Außerkraftsetzung der Aktionen zur Inhaltsbewertung.
Produkthandbuch
6
Tabelle 6-28
Abschnitt
(Fortsetzung)
Option
Beschreibung
Datei-Scan bei Datei-Downloads Scannt alle Dateien (einschließlich ZIP-Dateien) vor
aktivieren
dem Download. (Standardmäßig aktiviert)
Diese Option verhindert, dass Benutzer auf eine
heruntergeladene Datei zugreifen können, bis Threat
Prevention die Datei als sauber kennzeichnet.
Heruntergeladene Dateien werden zum Scannen an
Threat Prevention gesendet. Threat Prevention führt
eine McAfee GTI-Suche in der Datei aus. Wenn eine
heruntergeladene Datei als Bedrohung erkannt wird,
führt Endpoint Security eine Aktion für die Datei aus
und warnt den Benutzer.
McAfee GTI-Risikostufe für die
Blockierung festlegen
Legt die McAfee GTI-Risikostufe für die Blockierung
fest, wenn die Threat
Prevention-On-Demand-Scan-Funktion nicht installiert
und aktiviert ist.
Weitere Informationen finden Sie unter McAfee GTI
auf Seite 121.
Web Control verwendet die Risikostufe zur
Berechnung des Faktors beim Abrufen der
Prüfsummen-Reputation von McAfee GTI.
Privater IP-Bereich
Konfiguriert Web Control, dass für den privaten
IP-Adressbereich keine Bewertungen oder Aktionen
ausgeführt werden.
Hinzufügen Fügt eine private IP-Adresse zur Liste der
Adressen hinzu, die von Bewertungen
oder Blockierungen auszuschließen sind.
Löschen
Sichere Suche
Löscht eine IP-Adresse von der Liste der
Adressen, die von Bewertungen oder
Blockierungen auszuschließen sind.
Sichere Suche aktivieren
Aktiviert die sichere Suche, wobei automatisch
bösartige Websites in Suchergebnissen anhand von
Sicherheitsbewertungen blockiert werden.
Standard-Suchmaschine in
unterstützten Browsern
festlegen
Legt die Standard-Suchmaschine fest, die in
unterstützten Browsern verwendet werden soll:
• Yahoo
• Google
• Bing
• Ask
Links zu gefährlichen Websites
in Suchergebnissen blockieren
Verhindert, dass Benutzer in Suchergebnissen auf
Links zu gefährlichen Websites klicken.
Abschnitt
Option
E-Mail-Anmerkungen Anmerkungen in browserbasierten
E-Mails aktivieren
Anmerkungen in nicht
browserbasierten E-Mails aktivieren
Beschreibung
Fügt URL-Anmerkungen in browserbasierten
E-Mail-Clients wie Yahoo! Mail und Gmail hinzu.
Fügt URL-Anmerkungen in E-Mail-Verwaltungstools
(32 Bit) wie Microsoft Outlook oder Outlook Express
hinzu.
Produkthandbuch
139
6
Siehe auch
Konfigurieren von Web Control-Optionen auf Seite 84
Legt Aktionen für bewertete Sites und Webinhaltskategorien fest.
Web Control wendet die Bewertungsaktionen für Sites und Datei-Downloads in den nicht blockierten
Kategorien an.
Tabelle 6-31
Abschnitt
Option
Bewertungsaktionen Bewertungsaktionen für
Sites
Beschreibung
Legt Aktionen für Sites fest, die rot, gelb oder nicht bewertet
sind.
Grün bewertete Sites und Downloads werden automatisch
zugelassen.
Zulassen
Lässt den Zugriff auf die Site zu. (Standard für nicht
bewertete Sites)
Warnen
Zeigt eine Warnung an, um Benutzer über
mögliche Gefahren in Verbindung mit der Site zu
informieren. Die Benutzer müssen die
Warnmeldung schließen, um den Vorgang
abzubrechen oder zur Site fortzufahren. (Standard
für gelbe Sites)
Blockieren Verhindert, dass Benutzer auf die Site zugreifen,
und zeigt eine Meldung an, dass die Site blockiert
ist. (Standard für rote Sites)
Bewertungsaktionen für
Datei-Downloads
Legt Aktionen für Datei-Downloads fest, die rot, gelb oder nicht
bewertet sind.
Zulassen
Ermöglicht Benutzern, mit dem Download
fortzufahren. (Standard für nicht bewertete Sites)
Warnen
Zeigt eine Warnung an, um Benutzer über
mögliche Gefahren in Verbindung mit der
Download-Datei zu informieren. Die Warnung muss
geschlossen werden, bevor der Download
abgebrochen oder mit diesem fortgefahren werden
kann. (Standard für gelbe Sites)
Blockieren Verhindert das Herunterladen der Datei und
meldet, dass der Download blockiert wurde.
(Standard für rote Sites)
Sie können diese Meldung mithilfe der Einstellungen unter
Erzwingungsmeldungen anpassen.
140
Produkthandbuch
6
Abschnitt
Option
Webkategorie-Blockierung Webkategorie-Blockierung
aktivieren
Beschreibung
Ermöglicht das Blockieren von Sites abhängig von
der Inhaltskategorie.
Die ersten 7 Kategorien gelten als mit hohem Risiko
verbunden und sind standardmäßig aktiviert. Die
übrigen Kategorien werden in alphabetischer
Reihenfolge angezeigt und sind standardmäßig
deaktiviert.
Blockieren
Verhindert, dass Benutzer auf eine Site in dieser
Kategorie zugreifen, und zeigt eine Meldung an,
dass die Site blockiert ist.
Webkategorie
Listet die Webkategorien vom höchsten zum
niedrigsten Risiko auf.
Siehe auch
Webkategorie auf Seite 87
Verwenden von Sicherheitsbewertungen zum Kontrollieren des Zugriffs auf Seite 88
Verwenden von Webkategorien zur Zugriffssteuerung auf Seite 87
Produkthandbuch
141
6
142
Produkthandbuch
Index
A
Adaptive Regelgruppe 72
Adaptiver Modus
Konfigurieren in Firewall 64
Regelvorrang 66
Administrator-Anmeldeseite
Beim Öffnen des Endpoint Security Client 17
Entsperren der Client-Benutzeroberfläche 24
Administratoren
Anmelden bei Endpoint Security Client 24
Definition 8
Kennwort 24
Standardkennwort 11
Adware, Informationen 41
Aktionen, Threat Prevention
Ausführen für isolierte Elemente 39
Festlegen der Aktion bei erkannter Bedrohung 50, 55
Säubern und Löschen infizierter Dateien für Benutzer
ermöglichen 50, 55
Unerwünschte Programme 45
Aktionsmenü, Informationen 11
Aktivitätsprotokolle, Endpoint Security Client 22
Aktualisierung, Endpoint Security
Konfigurationsverhalten 31
Planen von Client 33
Aktualisierungen
Abbrechen 20
Jetzt aktualisieren-Schaltfläche, Endpoint Security Client 20
Konfigurieren von Quellsites für Aktualisierungen 32
Aktualisierungen, Threat Prevention
Content-Dateien 8
EXTRA.DAT-Dateien 27
Manuelles Suchen 20
Planen automatischer Tasks 33
Standard-Client-Aktualisierungs-Task, Informationen 34
Überblick 9
Aktualisierungsseite 20
AMCore Content-Dateien
Ändern der Version 25
EXTRA.DAT-Dateien 26, 27
Informationen 8
Informationen zu Signaturen und Aktualisierungen 9
On-Access-Scan – Überblick 51
On-Demand-Scan – Überblick 55
Angriffe, Buffer Overflow-Exploits 49
Anmeldeinformationen, Standard für Administrator 11
Apps, Windows Store 51, 55
Archive, Festlegen von Scanoptionen 50, 55
Ask-Suchmaschine und Sicherheitssymbole 79
Aufforderungen, Endpoint Security
Informationen 10
Reagieren auf Scan 18
Windows 8 18
Ausschlüsse
Erkennungsname 60
Festlegen von URLs für ScriptScan 50
On-Access-Scan, Festlegen von Dateien, Ordnern und
Laufwerken 50
On-Demand-Scan, festlegen 55
Verwenden von Platzhaltern 44
B
Bedrohungen
AMCore Content-Dateien 9
Erkennungen beim Scannen 38
Quarantäne-Ordner 39
Reagieren auf Erkennungen 18
Typen 41
und Sicherheitsbewertungen 80
Verletzungen von Systemzugriffspunkten 48
Verwalten von Erkennungen 39
Weitere Informationen von McAfee Labs 39
Windows Store-Apps 51, 55
Zugriffsschutzprozess 48
Bedrohungszusammenfassung, Informationen 12
Benachrichtigungen
Informationen 10
Interaktion mit Endpoint Security Client 9
Windows 8 10
Benutzerkonten, Steuern des Zugriffs auf Client 30
Berichte, Web Control 79, 80
Anzeigen 82
Sicherheit 77
Website-Sicherheit 79
Bewertungen, Sicherheit, Siehe Sicherheitsbewertungen
Bewertungen, Web Control, Siehe Sicherheitsbewertungen
Bing-Suchmaschinen und Sicherheitssymbole 79
Boot-Sektoren, scannen 50, 55
Produkthandbuch
143
Index
Browser
Anzeigen von Web Control-Menüoptionen 81
Deaktivieren von Web Control-Plug-Ins 84
Fehlerbehebung bei Kommunikationsproblemen 83
Unterstützung 77, 81
Buffer Overflow-Exploits, Informationen 49
C
Cache, globaler Scan
On-Access-Scans 51
On-Demand-Scans 55
Chrome
Unterstützte Browser 77, 81
Web Control-Schaltflächen 78
Client, Siehe Endpoint Security Client
Client-Protokollierung, konfigurieren 29
Client-Schnittstellen-Modus, Optionen 13
Client-Software, Definition 8
Common-Modul, Endpoint Security Client 7, 14
Common-Modul, konfigurieren
Aktualisierungseinstellungen 31
Client-Schnittstellensicherheit 29
Einstellungen 27
McAfee GTI Proxy-Server-Einstellungen 30
Protokollierung 29
Quellsites für Client-Aktualisierungen 32
Selbstschutz 28
Content-Dateien
Aktualisierungen planen 33
Ändern der AMCore-Version 25
Informationen 8
Manuelles Überprüfen auf Updates 20
und Erkennungen 18
CPU-Zeit, On-Demand-Scans 59
D
Datei-Downloads
Blockieren oder warnen basierend auf Bewertungen 87
Blockieren unbekannter Sites 84
Scannen mit Threat Prevention 86
Dateien
Änderungen verhindern 28
Ausführen von Scans 38
Bestimmte Typen von Scans ausschließen 43
Endpoint Security Client-Protokolle 21
Konfigurieren für Quarantäne 60
Konfigurieren von Protokolldateien 29
Platzhalter in Scan-Ausschlüssen 44
Protokolldateien 22
Verwalten in der Quarantäne 39
144
Dateien, Content
Ändern der AMCore Content-Version 25
Exploit-Schutz 9
EXTRA.DAT-Dateien und AMCore 9
Laden von Extra.DAT-Dateien 27
Signaturen und Aktualisierungen 9
Verwenden von EXTRA.DAT-Dateien 26
Datenverkehr
ausgehend, bis Start der Firewall-Dienste zulassen 64
Von Firewall gescannt 63
Desktopmodus, Windows 8
Reaktion auf Aufforderungen bei erkannten Bedrohungen
18
Windows 8 10
Dialers, Informationen 41
DNS-Datenverkehr, blockieren 64
Domänen, Blockieren 64
Download-Anfragen, Siehe Datei-Downloads
Drosselung, konfigurieren 59
E
Eindringversuche, Firewall-Warnungen aktivieren 64
Einstellungen
Aktualisierungen, konfigurieren für 31
Quellsites, konfigurieren 32
Einstellungen für Inhaltsaktionen
Web Control 87, 88
Einstellungen, Threat Prevention
Konfigurieren potenziell unerwünschter Programme 45
On-Access-Scans 45
On-Demand-Scans 45
Zugriffsschutz-Funktionen 46
Einstellungen, Web Control
Steuern des Zugriffs auf Websites 87
Steuern des Zugriffs mit Webkategorien 87
Steuern des Zugriffs nach Sicherheitsbewertungen 88
Einstellungsseite
Aktualisierungseinstellungen, konfigurieren 31
Ändern von Firewall-Optionen 64
Client-Schnittstellensicherheit, konfigurieren 29
On-Access-Scan-Einstellungen, konfigurieren 50
On-Demand-Scan-Einstellungen, konfigurieren 55
Protokollierung, konfigurieren 29
Proxy-Server-Einstellungen, konfigurieren 30
Quellsite für Client-Aktualisierungen, konfigurieren 32
Selbstschutz, konfigurieren 28
und Client-Schnittstellen-Modus 13
Verwalten von Firewall-Regeln und -Gruppen 72
Endpoint Security
Verwalten 24
Endpoint Security Client
Aktualisieren des Schutzes 20
Produkthandbuch
Index
Endpoint Security Client (Fortsetzung)
Anmelden als Administrator 24
Anzeigen der Hilfe 18
Anzeigen des Ereignisprotokolls 21
Anzeigen von Schutzinformationen 19
Bedrohungszusammenfassung 12
Entsperren der Schnittstelle 24
Informationen 11
Interaktion mit 9
Konfigurieren von Sicherheitseinstellungen 29
Module 14
Öffnen 10, 17
Protokolle, Informationen 22
Richtlinieneinstellungen 13
Scannen auf Malware 35
Scans ausführen 36
Schützen mit Kennwort 30
Standard-Client-Aktualisierungs-Task, Informationen 34
Standard-Client-Aktualisierungs-Task, konfigurieren 31
Standard-Client-Aktualisierungs-Task, planen 33
System-Scans 35
Verwalten von erkannten Bedrohungen 39
Verwaltungstypen 8, 19
Vollständiger Scan und Schnellscan, planen 60
Endpoint Security, Funktionsweise 8
Ereignisprotokolle
Aktualisierungsfehler 20
Anzeigen der Ereignisprotokollseite 21
Ereignisprotokolle, Endpoint Security Client 22
Ereignisse, Web Control-Browser-Ereignisse überwachen 84
Erkennungen
Anzeigen von Benutzernachrichten 50, 55
Ausschluss nach Name 60
Berichterstellung an Management-Server 8
Namen 41
Reagieren auf 18
Typen 36, 38
Verwalten 36, 39
Erkennungen anzeigen-Schaltfläche 39
Erkennungsdefinitionsdateien, Siehe Content-Dateien
Exploit-Schutz
Content-Datei-Aktualisierungen 9
Informationen 49
Konfigurieren 49
Protokolldateien 22
Exploits
Auftreten von Buffer Overflow-Exploits 49
Blockieren von Buffer Overflows 49
EXTRA.DAT-Dateien
AMCore Content-Dateien 9
Herunterladen 27
Informationen 26
Laden 27
EXTRA.DAT-Dateien
Verwenden 26
F
Farben, Web Control-Schaltflächen 78
Fehler, Aktualisierung 20
Fehlerbehebungsprotokolle, Endpoint Security Client 22
Fehlermeldungen, Status des Taskleistensymbols 10
Fehlerprotokolle, Endpoint Security Client 22
Firefox
Testen von Kommunikationsproblemen 83
Firewall
Aktivieren und Deaktivieren des Schutzes 64
Aktivitätsprotokoll 22
Ändern von Optionen 64
Blockieren des DNS-Datenverkehrs 64
Endpoint Security Client 14
Fehlerbehebungsprotokoll 22
Firewall-Regeln, Funktionsweise 66
Funktionsweise 63
Informationen 7
Intrusionswarnungen 10
Protokolldateien 22
Regeln, Siehe Firewall-Regeln
Standortabhängige Gruppen, erstellen 74
Standortabhängige Gruppen, Informationen 68
Verwalten 63
Verwalten von Regeln und Gruppen 72
Firewall-Gruppen
Siehe auch Firewall-Regelgruppen
Konfigurieren 66
Firewall-Optionen
Ändern 64
Firewall-Regelgruppen
Funktionsweise der Firewall 63
standortabhängig, erstellen 74
Standortabhängig, Informationen 68
und Verbindungsisolierung 69
Vorrang 68
Firewall-Regeln
Funktionsweise 66
Funktionsweise der Firewall 63
Konfigurieren 66
Reihenfolge und Vorrang 66
Verwenden von Platzhaltern 73
Zulassen und blockieren 66
Zulassen von FTP-Verbindungen 74
Fortsetzbare Scans, Siehe Inkrementelle Scans
FTP-Protokoll 74
FTP-Protokoll für aktiven Modus 74
FTP-Protokoll für passiven Modus 74
Produkthandbuch
145
Index
Funktionen
Deaktivieren und aktivieren 25
Endpoint Security Client-Zugriff basierend auf Richtlinien 13
G
Globaler Scan-Cache
On-Access-Scans 51
On-Demand-Scans 55
Google
Chrome 77
Sicherheitssymbole 79
Unterstützte Suchmaschinen 79
Gruppen, Firewall, Siehe Firewall-Regelgruppen
H
Hashes, Informationen 31
Häufig gestellte Fragen, McAfee GTI 65
Heap-basierte Angriffe, Buffer Overflow-Exploits 49
Hilfe, anzeigen 11, 18
I
Informationen, zu Schutz anzeigen 19
Informationsseite 8, 19
Inhaltskategorien, Siehe Webkategorien
Inkrementelle Scans 57
Installationsprogramme, vertrauenswürdige scannen 50
Internet Explorer
Testen von Kommunikationsproblemen 83
und ScriptScan-Verhalten 51
IP-Adressen
Regelgruppen 68
Standortabhängige Gruppen 68
J
Jetzt scannen-Schaltfläche 36
K
Kennwort-Cracker, Informationen 41
Kennwörter
Administrator 24
Konfigurieren der Client-Sicherheit 29
Standard für Administrator 11
Steuern des Zugriffs auf Client 30
Keylogger, Informationen 41
Kommunikationsprobleme, Web Control 83
L
Leerlauf-Scan-Funktion 18, 57
M
Malware
Erkennungen beim Scannen 36, 38
Scannen auf 35
Manuelle Aktualisierungen, ausführen 20
Manuelle Scans
Ausführen in Endpoint Security Client 36, 38
Informationen zu Scan-Typen 35
McAfee Endpoint Security Client, Siehe Endpoint Security Client
McAfee ePO
Abrufen von AMCore Content-Dateien 9
Aktualisieren des Schutzes 8
und Verwaltungstypen 20
McAfee ePO Cloud-Verwaltungstyp 20
McAfee GTI
Festlegen von Proxy-Server-Einstellungen 30
Firewall-Optionen, konfigurieren 64
Häufig gestellte Fragen 65
Konfigurieren der Sensibilitätsstufe 60
Netzwerkreputation für Firewall, konfigurieren 64
On-Access-Scans, Funktionsweise 51
On-Access-Scans, konfigurieren 50
On-Demand-Scans, Funktionsweise 55
On-Demand-Scans, konfigurieren 55
Scannen von Dateien vor dem Download 84, 86
Sendne von Blockierungsereignissen an Server 64
Überblick 31
und Webkategorien 87
Web Control-Kommunikationsfehler 78
Web Control-Sicherheitsbewertungen 80
Web Control-Site-Berichte 79
McAfee Labs
AMCore Content-Datei-Aktualisierungen 9
Download von EXTRA.DAT-Dateien 26
EXTRA.DAT-Dateien 27
und McAfee GTI 31
Weitere Informationen zu Bedrohungen 39
McAfee SECURE, Web Control-Schaltfläche 78
McAfee-Client, Siehe Endpoint Security Client
McAfee-Schutz-Client, Siehe Endpoint Security Client
McAfee-Symbol, Siehe System-Taskleistensymbol, McAfee
McTray, starten 57
Menüs
Aktion 11, 25
Einstellungen 11, 13, 14, 64, 72
Hilfe 11, 18
Informationen 19
Metro-Modus, Windows 8
Benachrichtigungen 10
18
Microsoft Internet Explorer, Siehe Internet Explorer
146
Produkthandbuch
Index
Module
Anzeigen von Informationen 19
Endpoint Security Client-Zugriff basierend auf Richtlinien 13
Informationen zu Endpoint Security 7
Installiert in Endpoint Security Client 14
Module, Common
Client-Aktualisierungseinstellungen, konfigurieren 31
Funktionsweise von McAfee GTI 31
Konfigurieren von Quellsites für Client-Aktualisierungen 32
McAfee GTI Proxy-Server-Einstellungen, konfigurieren 30
Protokollierung, konfigurieren 29
Mozilla Firefox, Siehe Firefox
N
Nachrichten, Endpoint Security
Anzeigen bei erkannter Bedrohung 50, 55
Informationen 10
Netzwerkadapter, Verbindung zulassen 68
Netzwerklaufwerke, Festlegen von Scanoptionen 50
Nicht verwaltet, Siehe Selbstverwaltet, Information
O
On-Access-Scans
Anzahl von Scan-Richtlinien 54
Elemente ausschließen 43
Erkennung von Bedrohungen 18
Informationen 35
Konfigurieren 50, 60
Lesen von oder Schreiben auf Datenträger 51
Optimieren mit Vertrauenslogik 51
Potenziell unerwünschte Programme, Aktivieren der
Erkennung 45
Protokolldateien 22
Scannen von Skripts 51
ScriptScan 51
Überblick 51
On-Demand-Aktualisierungen, Siehe Manuelle Aktualisierungen,
ausführen
On-Demand-Scans
Ausführen eines vollständigen Scans oder Schnellscans 36
Informationen 35
Keine Auswirkungen (Zero Impact) 57
Konfigurieren 60
Potenziell unerwünschte Programme, Aktivieren der
Erkennung 45
Protokolldateien 22
Reagieren auf Aufforderungen 18
Scan per Kontextmenü 38
Scannen von Dateien oder Ordnern 38
Scans des Remote-Speichers 59
Systemauslastung 59
On-Demand-Scans
Überblick 55
Verschieben 57
Optionen
Konfigurieren von On-Access-Scans 50
Konfigurieren von On-Demand-Scans 55
Scannen auf Malware 35
Optionen, Common
Konfigurieren 27
Planen von Scans auf Anforderung 35
Protokollierungseinstellungen, konfigurieren 29
Proxy-Server-Einstellungen, konfigurieren 30
Quellsite für Client-Aktualisierungen, konfigurieren 32
Optionen, Threat Prevention
Gemeinsame Scan-Einstellungen 60
Unerwünschte Programme 45
Ordner
Ausführen von Scans 38
Konfigurieren für Quarantäne 60
Verwalten in der Quarantäne 39
P
Phishing, gesendete Berichte an Site-Benutzer 80
Planungen, On-Demand-Scans, verschieben 57
Platzhalter
In Firewall-Regeln verwenden 73
Verwendung in Scan-Ausschlüssen 44
Pop-Up-Benachrichtigungen, Windows 8-Metro-Modus 10, 18
Pop-Ups und Sicherheitsbewertungen 80
Ports, FTP-Verbindungen 74
Potenziell unerwünschte Programme
Aktivieren der Erkennung 45, 50, 55
Festlegen 45
Festlegen zu löschender Programme 60
Informationen 41
Konfigurieren der Erkennung 44
Prioritäten, On-Access-Scans 59
Produktaktualisierungen
Manuelles Suchen 20
Planen 33
Programme, Aktivieren der Erkennung potenziell unerwünschter
50, 55
Protokolldateien
Aktualisierungsfehler 20
Anzeigen 21
Konfigurieren 29
Speicherorte 22
Proxy-Server
Funktionsweise von McAfee GTI 31
Produkthandbuch
147
Index
Proxy-Server (Fortsetzung)
Konfigurieren für McAfee GTI 30
Prozesse mit hohem Risiko, festlegen 50
Prozesse mit niedrigem Risiko, festlegen 50
Prozesse, Threat Prevention
Einbeziehen und Ausschließen im Zugriffsschutz 46
Festlegen von hohem und niedrigem Risiko 50
Scannen 50, 51
Prozesseinstellungen, On-Demand-Scans 59
Q
Quarantäne-Seite 39
Quarantäne, Threat Prevention
Konfigurieren von Speicherort- und
Aufbewahrungseinstellungen 60
Quellsites, für Client-Aktualisierungen konfigurieren 32
R
Reaktionen, Konfigurieren für die Erkennung unerwünschter
Programme 45
Regelgruppen, Firewall, Siehe Firewall-Regelgruppen
Regeln, Firewall, Siehe Firewall
Regeln, Threat Prevention
Funktionsweise des Zugriffsschutzes 48
Konfigurieren 46
Remote-Verwaltungs-Tools, Informationen 41
Remotedesktop, und Leerlauf-Scan-Funktion 57
Richtlinien
Client-Funktionen 9
Definition 8
Zugriff auf Endpoint Security Client 13
Richtlinien, Common
Konfigurieren 27
Richtlinien, Threat Prevention
Gemeinsame Scan-Einstellungen 60
On-Access-Scans 54
On-Demand-Scans, verschieben 57
S
Scan anzeigen-Schaltfläche 36
Scan per Kontextmenü
Ausführen im Windows Explorer 38
Informationen 35
Konfigurieren 55
Scan-Cache
On-Access-Scans 51
On-Demand-Scans 55
Scan-Module, AMCore Content-Dateien – Übersicht 9
Scan-Seite, anzeigen 18, 36
Scan-Umgehung 51
Scan-Verschiebung, Überblick 57
Scans
Ausführen in Endpoint Security Client 36
Gemeinsame Einstellungen für On-Access- und OnDemand-Scans 60
148
Scans
Planen mit Endpoint Security Client 60
Reagieren auf Aufforderungen 18
Scan per Kontextmenü 38
Typen 35
Verschieben, anhalten, fortsetzen und abbrechen 18
Verwenden von Platzhaltern in Ausschlüssen 44
Web Control 86
Scans des Remote-Speichers, Überblick 59
Scans ohne Auswirkungen 57
Scans, On-Access
Anzahl von Richtlinien 54
Erkennen von Bedrohungen in Windows Store-Apps 51
Erkennung von Bedrohungen, reagieren 18
Konfigurieren 50
Optimieren mit Vertrauenslogik 51
ScriptScan 51
Überblick 51
Scans, On-Demand
Erkennen von Bedrohungen in Windows Store-Apps 55
Keine Auswirkungen (Zero Impact) 57
Konfigurieren 55
Nur Ausführen, wenn sich System im Leerlauf befindet 57
Planen auf dem Client 60
Scans des Remote-Speichers 59
Systemauslastung 59
Überblick 57
Verschieben 57
Schaltflächen
Erkennungen anzeigen 39
Jetzt scannen 36
Scan anzeigen 36
Schaltflächen, Web Control 78
Scherzprogramme, Informationen 41
Schnellscan
Konfigurieren 55
Scan-Typen 35
Schnittstellenmodus
Konfigurieren der Client-Sicherheitseinstellungen 29
Standardzugriff 24, 30
Schutz
Aktuell bleiben 8
Anzeigen von Informationen 19
Interaktion mit 9
Konfigurieren des Selbstschutzes 28
Schwachstellen, Siehe Bedrohungen
ScriptScan
Aktivieren 50
Informationen 51
SecurityCenter-Verwaltungstyp 20
Seite "Roll Back von AMCore Content" 25
Produkthandbuch
Index
Seite "Scannen auf Bedrohungen" 38
Seite "System scannen" 36
Seite McAfee-Sicherheitsstatus, anzeigen 10
Seite On-Access-Scan 39
Seite System scannen 39
Seiten
Aktualisierung 20
Einstellungen 13, 28–32, 55, 64
Ereignisprotokoll 21
Informationen 8, 19
McAfee-Sicherheitsstatus 10
On-Access-Scan 18, 39
Quarantäne 39
Rollback von AMCore Content 25
Scan, anzeigen 36
Scannen auf Bedrohungen 38
System scannen 36, 39
Selbstverwaltet, Information 20
Sensibilitätsstufe, McAfee GTI 31
Serversysteme, und Leerlauf-Scan-Funktion 57
Sichere Suche, Konfigurieren von Web Control 84
Sicherheit
Konfigurieren der Client-Schnittstellensicherheit 29
Sicherheitsberichte, Siehe Berichte, Web Control
Sicherheitsbewertungen
Herleitung von Website-Sicherheitsbewertungen 80
Konfigurieren von Aktionen für Sites und Downloads 87
Steuern des Site-Zugriffs 88
Web Control und 77
Sicherungen, Festlegen von Scanoptionen 50, 55
Signaturen, Informationen zu bekannten Bedrohungen 9
Site-Berichte, Siehe Berichte, Web Control
Sites
Anzeigen von Web Control-Site-Berichten 82
Schutz beim Surfen 78
Schutz während der Suche 79
Sicherheitsbewertungen 80
Sites, blockieren
Basierend auf Bewertungen 87
basierend auf Sicherheitsbewertungen 88
Basierend auf Webkategorie 87
Sites, warnen
Sites, Zugriff steuern
mit Sicherheitsbewertungen 88
mit Webkategorien 87
Software-Aktualisierungen
Manuelles Suchen 20
Planen 33
Sperrmodus der Client-Schnittstelle
Beim Öffnen des Endpoint Security Client 17
Entsperren der Schnittstelle 24
Sperrmodus der Client-Schnittstelle
und Richtlinieneinstellungen 13
Sprechblasen, Web Control 79, 82
Spyware, Informationen 41
Stack-basierte Angriffe, Buffer Overflow-Exploits 49
Standalone, Siehe Selbstverwaltet, Information
Standard-Client-Aktualisierungs-Task
Informationen 34
Konfigurieren 31
Planen mit Endpoint Security Client 33
Standardkennwort, Endpoint Security Client 11
Standardzugriffsmodus
Anmelden als Administrator 24
Auswirkungen beim Festlegen eines Kennworts 30
Konfigurieren der Client-Sicherheitseinstellungen 29
und Richtlinieneinstellungen 13
Verwalten von Firewall-Regeln und -Gruppen 72
Standortabhängige Gruppen
Erstellung 74
Informationen 68
Verbindungsisolierung 69
Startmenü, Endpoint Security Client öffnen 17
Status, Endpoint Security, im McAfee-Taskleistensymbol
anzeigen 10
Statusseite, Bedrohungszusammenfassung anzeigen 12
Suchen
Blockieren riskanter Websites in Ergebnissen 84
Symbole, McAfee, Siehe System-Taskleistensymbol, McAfee
Symbole, Web Control 79
System-Scans, Typen 35
System-Taskleistensymbol, McAfee 9, 10, 29
Definition 10
Konfigurieren des Zugriffs auf Endpoint Security 29
Öffnen des Endpoint Security Client 17
Systemauslastungsoptionen, Überblick 59
T
Tarnprogramm, Informationen 41
Tasks, Threat Prevention
Standard-Client-Aktualisierung, Informationen 34
Standard-Client-Aktualisierung, planen 33
Vollständige und Schnellscans, Informationen 35
Vollständiger Scan und Schnellscan, planen 60
Threads, Priorität 59
Threat Prevention
Exploit-Schutz-Funktion 49
Informationen 7
On-Access-Scans, Informationen 51
On-Access-Scans, konfigurieren 50
On-Demand-Scans, Informationen 55
On-Demand-Scans, konfigurieren 55
Optionen, unerwünschte Programme 45
Produkthandbuch
149
Index
Threat Prevention (Fortsetzung)
Potenziell unerwünschte Programme, erkennen 44
Scannen von Dateien vor dem Download 84, 86
Verwalten 42
Zugriffsschutz-Funktionen 46
Trojaner
Informationen 41
U
Upgrades, Client-Software-Komponenten 8
URLs
Ausschließen von Skript-Scans 50
Blockieren unbekannter 84
V
Vertrauenslogik, On-Access-Scans optimieren 51
Vertrauenswürdige Installationsprogramme, scannen 50
Verwaltungstypen
Anzeigen 19
Informationen 20
Viren
Informationen 41
Signaturen 9
Vollständiger Scan
Informationen 35
Konfigurieren 55
Vollzugriffsmodus
Ändern von Firewall-Optionen 64
Richtlinieneinstellungen 13
Vom Benutzer hinzugefügte Regelgruppe 72
Von Windows festgelegte Prioritätseinstellung 59
Vorrang
Firewall-Gruppen 68
Firewall-Regeln 66
W
Warnungen, Firewall 10
Warnungen, Threat Prevention
Web Control
Aktivieren 84
Aktivitätsprotokoll 22
Anzeigen von Menüoptionen im Browser 81
Anzeigen von Site-Berichten 82
150
Web Control
Fehlerbehebungsprotokoll 22
Funktionen 77
Informationen 7
Konfigurieren 84
Menü 78
Protokolldateien 22
Schaltflächen, Beschreibung 78
Site-Berichte 79
Sprechblasen und Symbole 82
Suchmaschinen und Sicherheitssymbole 79
Symbole, Beschreibung 79
Verwalten 83
Wie Datei-Downloads gescannt werden 86
Webkategorien, blockieren oder warnen 87
Websites
Anzeigen von Web Control-Site-Berichten 82
Schutz beim Surfen 78
Schutz während der Suche 79
Sicherheitsbewertungen 80
Websites, blockieren
Basierend auf Webkategorie 87
Nicht bewertet oder unbekannt 84
Riskante Websites in Suchergebnissen 84
Websites, Warnung
Websites, Zugriff steuern
mit Sicherheitsbewertungen 88
mit Webkategorien 87
Windows 8
informationen zu Benachrichtigungen 10
Öffnen des Endpoint Security Client 17
18
Windows Store-Apps, Bedrohungen erkennen 51, 55
Y
Yahoo
Standard-Suchmaschine 84
Unterstützte Suchmaschine 79
Z
Zugriffsschutz
Beispiele 48
Informationen 47
Konfigurieren 46
Protokolldateien 22
Prozesse, einbeziehen und ausschließen 46
Zugriffssmodi, Endpoint Security Client 13
Produkthandbuch
0-15

Endpoint Security 10 Produkthandbuch - Knowledge Center

Transcription

Similar documents

McAfee Endpoint Security 10.1 Produkthandbuch

McAfee Host Intrusion Prevention 8.0

EDESERVER • Server Project

Endpoint Security 10.2.0 Migrationshandbuch

Untitled - Söldner Secret Wars

McAfee ePolicy Orchestrator 5.3.0 – Software

advice

Cyberoam 4page brochure 22-12

Amazon Web Services: Risiko und Compliance

Across - What`s New?