McAfee Endpoint Security 10.1 Produkthandbuch

Transcription

Produkthandbuch
McAfee Endpoint Security 10.1
COPYRIGHT
Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
MARKEN
Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfee
Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen
Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.
LIZENZINFORMATIONEN
LIZENZVEREINBARUNG
HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE
ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN
SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER
LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE,
DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET
HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT
EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN
HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.
2
Produkthandbuch
Inhaltsverzeichnis
1
McAfee Endpoint Security
5
Einführung
7
Endpoint Security-Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
So schützt Endpoint Security Ihren Computer . . . . . . . . . . . . . . . . . . . . . . . 8
So bleibt Ihr Schutz auf dem neuesten Stand . . . . . . . . . . . . . . . . . . . . 8
Interaktion mit Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Informationen zum McAfee-System-Taskleistensymbol . . . . . . . . . . . . . . . . 10
Informationen zu Benachrichtigungen . . . . . . . . . . . . . . . . . . . . . . 11
Informationen zum Endpoint Security-Client . . . . . . . . . . . . . . . . . . . . 12
2
Verwenden der Endpoint Security-Client
17
Öffnen des Endpoint Security-Client . . . . . . . . . . . . . . . . . . . . . . . . . .
Hilfe anfordern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reagieren auf Aufforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reagieren auf eine Aufforderung bei erkannter Bedrohung . . . . . . . . . . . . . .
Reagieren auf eine Scan-Aufforderung . . . . . . . . . . . . . . . . . . . . . .
Reagieren auf eine Aufforderung bei Datei-Reputation . . . . . . . . . . . . . . . .
Informationen zu Ihrem Schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwaltungstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Manuelles Aktualisieren von Schutz und Software . . . . . . . . . . . . . . . . . . . . .
Zu aktualisierende Elemente . . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen des Ereignisprotokolls . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Informationen zu Protokolldateien . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anmelden als Administrator . . . . . . . . . . . . . . . . . . . . . . . . . .
Entsperren der Client-Schnittstelle . . . . . . . . . . . . . . . . . . . . . . . .
Deaktivieren und Aktivieren von Funktionen . . . . . . . . . . . . . . . . . . . .
Ändern der AMCore Content-Version . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von EXTRA.DAT-Dateien . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren gemeinsamer Einstellungen . . . . . . . . . . . . . . . . . . . . .
Konfigurieren des Aktualisierungsverhaltens . . . . . . . . . . . . . . . . . . . .
3
Verwenden von Bedrohungsschutz
41
Scannen Ihres Computers auf Malware . . . . . . . . . . . . . . . . . . . . . . . . .
Scan-Typen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ausführen eines vollständigen Scans oder Schnellscans . . . . . . . . . . . . . . .
Scannen einer Datei oder eines Ordners . . . . . . . . . . . . . . . . . . . . .
Verwalten von erkannten Bedrohungen . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von isolierten Elementen . . . . . . . . . . . . . . . . . . . . . . . . . .
Erkennungsnamen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erneutes Scannen isolierter Elemente . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Bedrohungsschutz . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Ausschlüssen . . . . . . . . . . . . . . . . . . . . . . . . .
Schützen der Systemzugriffspunkte . . . . . . . . . . . . . . . . . . . . . . .
17
18
18
18
19
19
20
20
21
22
22
23
25
25
26
26
27
28
29
33
41
41
42
44
45
46
48
49
49
50
51
Produkthandbuch
3
Inhaltsverzeichnis
Blockieren von Buffer Overflow-Exploits . . . . . . . . . . . . . . . . . . . . . .
Erkennen von potenziell unerwünschten Programmen . . . . . . . . . . . . . . . .
Konfigurieren gemeinsamer Scan-Einstellungen . . . . . . . . . . . . . . . . . .
Konfigurieren von Richtlinieneinstellungen für . . . . . . . . . . . . . . . . . . .
Konfigurieren Sie die für den On-Demand-Scan . . . . . . . . . . . . . . . . . .
Konfigurieren, Planen und Ausführen von Scan-Tasks . . . . . . . . . . . . . . . .
4
Verwenden von Firewall
Firewall – Funktionsweise . . . . . . . . . . . . . . . . .
Aktivieren oder Anzeigen von zeitbeschränkten Firewall-Gruppen .
Verwalten der Firewall . . . . . . . . . . . . . . . . . .
Ändern von Firewall-Optionen . . . . . . . . . . . .
Konfigurieren Sie Firewall-Regeln und -Gruppen . . . . .
5
60
62
65
65
70
75
77
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
.
.
77
77
. . 78
. . 78
. 81
Verwenden der Webkontrolle
91
Informationen zu Webkontrolle-Funktionen . . . . . . . . . . . . . . . . . . . . . . . 91
Blockieren oder Warnen bezüglich Sites und Downloads durch die Webkontrolle . . . . .
92
Identifizieren von Bedrohungen durch die Webkontrolle-Schaltfläche beim Surfen . . . . . 93
Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen . . . . . . . . . . . . 94
Site-Berichte für Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
So werden Sicherheitsbewertungen kompiliert . . . . . . . . . . . . . . . . . . . 95
Zugreifen auf Webkontrolle-Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . 96
Aktivieren des Webkontrolle-Plug-Ins über den Browser . . . . . . . . . . . . . . . 96
Anzeigen von Informationen zu einer Site beim Surfen . . . . . . . . . . . . . . .
97
Site-Bericht während der Suche anzeigen . . . . . . . . . . . . . . . . . . . . . 98
Verwalten von Webkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Konfigurieren von Webkontrolle-Optionen . . . . . . . . . . . . . . . . . . . . . 98
Angeben von Bewertungsaktionen und Blockieren des Site-Zugriffs basierend auf der
Webkategorie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
6
Verwenden von Bedrohungsabwehrdaten
103
Funktionsweise von Bedrohungsabwehrdaten . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Bedrohungsabwehrdaten . . . . . . . . . . . . . . . . . . . . . . . .
Informationen zu Bedrohungsabwehrdaten . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Bedrohungsabwehrdaten-Optionen . . . . . . . . . . . . . . .
Index
4
103
104
104
110
181
Produkthandbuch
®
McAfee Endpoint Security ist eine umfassende Lösung zur Sicherheitsverwaltung, die auf
Netzwerkcomputern ausgeführt wird, um Bedrohungen automatisch zu identifizieren und zu stoppen.
In dieser Hilfe finden Sie Informationen über die Verwendung der grundlegenden
Sicherheitsfunktionen und die Fehlerbehebung bei Problemen.
Erste Schritte
•
Endpoint Security-Module auf Seite 7
•
So schützt Endpoint Security Ihren Computer auf Seite 8
•
Interaktion mit Endpoint Security auf Seite 9
Häufig durchgeführte Tasks
•
Öffnen des Endpoint Security-Client auf Seite 17
•
Manuelles Aktualisieren von Schutz und Software auf Seite 21
•
Scannen Ihres Computers auf Malware auf Seite 41
•
Entsperren der Client-Schnittstelle auf Seite 26
Weitere Informationen
Zusätzliche Informationen zu diesem Produkt finden Sie unter:
•
McAfee Endpoint
Security-Installationshandbuch
•
Endpoint Security-Firewall-Hilfe
•
McAfee Endpoint
Security-Migrationshandbuch
•
Endpoint Security-Webkontrolle-Hilfe
•
McAfee Endpoint Security-Versionshinweise
•
Endpoint
Security-Bedrohungsabwehrdaten-Hilfe
•
Endpoint Security-Bedrohungsschutz-Hilfe
•
McAfee-Support
Produkthandbuch
5
6
Produkthandbuch
1
Einführung
Endpoint Security ist eine umfassende Lösung zur Sicherheitsverwaltung, die auf Netzwerkcomputern
ausgeführt wird, um Bedrohungen automatisch zu identifizieren und zu stoppen. In dieser Hilfe finden
Sie Informationen über die Verwendung der grundlegenden Sicherheitsfunktionen und die
Fehlerbehebung bei Problemen.
Wenn Ihr Computer verwaltet ist, richtet ein Administrator Endpoint Security ein und konfiguriert es
mithilfe eines dieser Management-Servers:
•
McAfee ePolicy Orchestrator (McAfee ePO )
•
McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud)
®
®
®
™
®
™
Wenn Ihr Computer selbstverwaltet ist, können Sie (oder Ihr Administrator) die Software mithilfe des
Endpoint Security-Client konfigurieren.
Das Bedrohungsabwehrdaten-Modul wird nur auf von McAfee ePO verwalteten Systemen unterstützt.
Inhalt
Endpoint Security-Module
So schützt Endpoint Security Ihren Computer
Interaktion mit Endpoint Security
Endpoint Security-Module
Der Administrator konfiguriert und installiert ein oder mehrere Endpoint Security-Module auf
Client-Computern.
•
Bedrohungsschutz: Prüft auf Viren, Spyware, unerwünschte Programme und andere
Bedrohungen, indem er Elemente automatisch scannt, wenn Benutzer darauf zugreifen oder diese
anfordern.
•
Firewall: Überwacht die Kommunikation zwischen dem Computer und Ressourcen im Netzwerk
und im Internet. Fängt verdächtige Kommunikationsvorgänge ab.
•
Webkontrolle: Zeigt während des Browsens und der Suche im Internet Sicherheitsbewertungen
und Berichte für Websites an. Mit der Webkontrolle kann der Site-Administrator den Zugriff auf
Websites blockieren, basierend auf Sicherheitsbewertungen oder Inhalt.
•
Bedrohungsabwehrdaten: Stellt eine kontextbewusste und anpassbare Sicherheitslösung für
Ihre Netzwerkumgebung dar. Bedrohungsabwehrdaten analysiert Inhalte des Unternehmens und
entscheidet basierend auf der Reputation einer Datei sowie den von Ihrem Administrator
festgelegten Kriterien.
Das Bedrohungsabwehrdaten-Modul wird nur auf von McAfee ePO verwalteten Systemen
unterstützt.
Produkthandbuch
7
1
Einführung
Außerdem bietet das Modul Allgemeingültig Einstellungen für allgemeingültige Einstellungen wie
Schnittstellensicherheit und Protokollierung. Dieses Modul wird automatisch bei Installation eines
anderen Moduls installiert.
Üblicherweise richtet ein Administrator Endpoint Security ein, installiert die Software auf
Client-Computern, überwacht den Sicherheitsstatus und richtet Sicherheitsregeln, sogenannte
Richtlinien, ein.
Als Benutzer eines Client-Computers interagieren Sie über eine auf Ihrem Computer installierte
Client-Software mit Endpoint Security. Die vom Administrator definierten Richtlinien legen fest, wie die
Module und Funktionen auf Ihrem Computer ausgeführt werden, und ob Sie sie modifizieren können.
Wenn Endpoint Security selbstverwaltet ist, können Sie festlegen, wie die Module und Funktionen
ausgeführt werden sollen. Informationen zur Ermittlung Ihres Verwaltungstyps finden Sie auf der
Informationsseite.
In regelmäßigen Abständen stellt die Client-Software auf Ihrem Computer eine Verbindung mit einer
Website her, um ihre Komponenten zu aktualisieren. Gleichzeitig sendet sie Daten über Erkennungen
auf Ihrem Computer an den Management-Server. Anhand dieser Daten werden Berichte über
Erkennungen und Sicherheitsprobleme auf Ihrem Computer für Ihren Administrator erstellt.
In der Regel wird die Client-Software ohne Ihr Zutun im Hintergrund ausgeführt. Es kann jedoch
vorkommen, dass Sie eine Auswahl treffen müssen. Beispielsweise könnten Sie unter bestimmten
Umständen manuell nach Software-Aktualisierungen suchen oder auf Malware scannen. Abhängig von
den Richtlinien, die von Ihrem Administrator festgelegt wurden, können Sie möglicherweise auch die
Sicherheitseinstellungen anpassen.
Falls Sie ein Administrator sind, können Sie mithilfe von McAfee ePO oder McAfee ePO Cloud die
Client-Software zentral verwalten und konfigurieren.
Siehe auch
Informationen zu Ihrem Schutz auf Seite 20
So bleibt Ihr Schutz auf dem neuesten Stand
Regelmäßige Aktualisierungen von Endpoint Security stellen sicher, dass Ihr Computer immer vor den
neuesten Bedrohungen geschützt ist.
Für Aktualisierungen stellt die Client-Software eine Verbindung zu einem lokalen oder Remote-Server
von McAfee ePO oder direkt zu einer Site im Internet her. Endpoint Security sucht nach:
•
Aktualisierungen der Content-Dateien, die zur Erkennung von Bedrohungen verwendet werden.
Content-Dateien enthalten Definitionen für Bedrohungen wie Viren und Spyware. Diese Definitionen
werden aktualisiert, wenn neue Bedrohungen erkannt werden.
•
Upgrades für Software-Komponenten wie Patches und HotFixes.
Zur Vereinfachung der Terminologie wird in dieser Hilfe sowohl für Aktualisierungen als auch für
Upgrades der Begriff Aktualisierungen verwendet.
Aktualisierungen werden gewöhnlich automatisch im Hintergrund ausgeführt. Möglicherweise müssen
Sie auch manuell nach Aktualisierungen suchen. Je nach Einstellungen können Sie Ihren Schutz
manuell vomEndpoint Security-Client aus aktualisieren, indem Sie auf
8
klicken.
Produkthandbuch
Einführung
1
Siehe auch
Funktionsweise von Content-Dateien
Wenn das Scan-Modul Dateien nach Bedrohungen durchsucht, vergleicht es den Inhalt der gescannten
Dateien mit bekannten Bedrohungsinformationen, die in AMCore Content-Dateien gespeichert sind.
Der Exploit-Schutz verwendet seine eigenen Content-Dateien als Schutz vor Exploits.
AMCore Content
McAfee Labs findet Informationen (Signaturen) zu bekannten Bedrohungen und fügt diese den
Content-Dateien hinzu. Content-Dateien enthalten neben Signaturen Informationen zum Säubern und
Entgegenwirken des vom erkannten Virus verursachten Schadens.
Wenn sich die Signatur eines Virus in keiner installierten Content-Datei befindet, kann das Scan-Modul
diesen Virus nicht erkennen und säubern.
Es treten regelmäßig neue Bedrohungen auf. McAfee Labs veröffentlicht Modulaktualisierungen und
neue Content-Dateien, durch die die Ergebnisse der ständigen Untersuchung von Bedrohungen fast
täglich um 18:00 Uhr (GMT) integriert werden .
Endpoint Security speichert die aktuell geladene Content-Datei und die vorherigen zwei Versionen im
Ordner Programme\Gemeinsame Dateien\McAfee\Engine\content. Bei Bedarf können Sie eine frühere
Version wiederherstellen.
Wenn neue Malware entdeckt wird und eine zusätzliche Erkennung außerhalb des regulären
Content-Aktualisierungszeitplan nötig ist, veröffentlicht McAfee Labs eine EXTRA.DAT-Datei.
Exploit-Schutz-Content-Datei
Die Exploit-Schutz-Content-Datei enthält:
•
Speicherschutz-Signaturen – Generischer Buffer Overflow-Schutz (GBOP) und gezielte
API-Überwachung.
•
Anwendungsschutzliste – Prozesse, die der Exploit-Schutz schützt.
McAfee veröffentlicht einmal im Monat neue Exploit-Schutz-Content-Dateien.
Endpoint Security verfügt über zwei visuelle Komponenten zur Interaktion mit dem Endpoint
Security-Client.
•
McAfee-Symbol in der Windows-Taskleiste – Damit können Sie den Endpoint Security-Client starten
und den Sicherheitsstatus anzeigen.
•
Benachrichtigungen – Warnt Sie bei Erkennung von Firewall-Eindringungsversuchen sowie Dateien
mit unbekannter Reputation und fordert Sie zu einem Scan oder einer Eingabe auf.
•
On-Access-Scan-Seite – Zeigt die Liste mit erkannten Bedrohungen an, wenn der
On-Access-Scanner eine Bedrohung erkannt hat.
•
Endpoint Security-Client – Zeigt den aktuellen Schutzstatus an und bietet Zugriff auf Funktionen.
Für verwaltete Systeme konfiguriert der Administrator Richtlinien, um die angezeigten Komponenten
festzulegen und weist diese zu.
Produkthandbuch
9
1
Einführung
Siehe auch
Informationen zum McAfee-System-Taskleistensymbol auf Seite 10
Informationen zu Benachrichtigungen auf Seite 11
Verwalten von erkannten Bedrohungen auf Seite 45
Informationen zum Endpoint Security-Client auf Seite 12
Informationen zum McAfee-System-Taskleistensymbol
Über das McAfee-Symbol in der Windows-Taskleiste können Sie auf den Endpoint Security-Client und
einige grundlegende Tasks zugreifen.
Das McAfee-Symbol ist je nach konfigurierten Einstellungen möglicherweise nicht verfügbar.
Verwenden Sie das McAfee-Taskleistensymbol für folgende Aufgaben:
Sicherheitsstatus
überprüfen
Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen Sie
Sicherheitsstatus anzeigen aus, um die Seite McAfee-Sicherheitsstatus anzuzeigen.
Endpoint
Security-Client öffnen
Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen Sie McAfee
Endpoint Security aus.
Schutz und Software
manuell aktualisieren
Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen Sie
Sicherheit aktualisieren aus.
Siehe Zu aktualisierende Elemente auf Seite 22.
Zeitbeschränkte
Firewall-Gruppen
aktivieren oder
anzeigen
Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen Sie aus
dem Menü Schnellkonfiguration eine Option aus:
• Zeitbeschränkte Firewall-Gruppen aktivieren – aktiviert zeitbeschränkte Gruppen für
einen festgelegten Zeitraum, um den Nicht-Netzwerkzugriff auf das
Internet zuzulassen, bevor Regeln angewendet werden, die den Zugriff
beschränken.
Bei jeder Auswahl dieser Option wird die Zeit für die Gruppen
zurückgesetzt.
• Zeitbeschränkte Firewall-Gruppen anzeigen – zeigt die Namen der zeitbeschränkten
Gruppen und die verbleibende Zeit, für die die einzelnen Gruppen aktiv
sind, an.
Diese Optionen sind je nach konfigurierten Einstellungen möglicherweise
nicht verfügbar.
So erkennen Sie den Status von Endpoint Security am Symbol
Der Status von Endpoint Security lässt sich am Anzeigebild des Symbols ablesen. Bewegen Sie den
Cursor über das Symbol, um eine Nachricht mit einer Beschreibung des Status anzuzeigen.
10
Produkthandbuch
1
Einführung
Symbol Zeigt Folgendes an...
Endpoint Security schützt Ihr System. Es sind keine Probleme vorhanden.
Endpoint Security erkennt ein Problem mit Ihrer Sicherheit, etwa dass ein Modul oder eine
Technologie deaktiviert ist.
• Firewall ist deaktiviert.
• Bedrohungsschutz – Exploit-Schutz, On-Access-Scan oder ScriptScan ist deaktiviert.
Endpoint Security meldet Probleme auf andere Weise, je nach dem Verwaltungstyp.
• Selbstverwaltet:
• Eine oder mehrere Technologien sind deaktiviert.
• Eine oder mehrere Technologien antworten nicht.
• Verwaltet:
• Eine oder mehrere Technologien sind deaktiviert, und zwar nicht als Ergebnis einer
Richtlinienerzwingung durch den Management-Server oder den Endpoint
Security-Client.
• Eine oder mehrere Technologien antworten nicht.
Wenn ein Problem erkannt wird, zeigt die Seite McAfee-Sicherheitsstatus an, welches Modul oder
welche Technologie deaktiviert ist.
Siehe auch
Zu aktualisierende Elemente auf Seite 22
Informationen zu Benachrichtigungen
Endpoint Security verwendet zwei Arten von Benachrichtigungen, um Sie über Probleme mit Ihrem
Schutz zu informieren oder Eingaben anzufragen. Einige Benachrichtigungen werden möglicherweise
nicht angezeigt, je nach Konfiguration.
Der Vorgang "McTray.exe" muss für Endpoint Security ausgeführt werden, damit Benachrichtigungen
angezeigt werden können.
Endpoint Security sendet zwei Arten von Benachrichtigungen:
•
Warnungen werden fünf Sekunden lang als Pop-Up-Meldungen über drm McAfee-Symbol
angezeigt und dann wieder ausgeblendet.
Warnungen benachrichtigen Sie über erkannte Bedrohungen, etwa Firewall-Eindringungsereignisse
oder wenn ein On-Demand-Scan angehalten bzw. fortgesetzt wird. Es sind keine Reaktionen
Ihrerseits erforderlich.
•
Eingabeaufforderungen öffnen eine Seite am unteren Rand Ihres Bildschirms und bleiben
solange sichtbar, bis Sie eine Option wählen.
Produkthandbuch
11
1
Einführung
Beispiel:
•
Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von Endpoint Security
möglicherweise eine Aufforderung, den Scan zu verschieben.
•
Wenn der On-Access-Scanner eine Bedrohung erkennt, erhalten Sie möglicherweise von
Endpoint Security die Aufforderung, auf die Erkennung zu reagieren.
•
Wenn Bedrohungsabwehrdaten eine Datei mit unbekannter Reputation erkennt, werden Sie von
Endpoint Security möglicherweise dazu aufgefordert, die Datei zuzulassen oder zu blockieren.
In Windows 8 und 10 werden Pop-Up-Benachrichtigungen angezeigt, um Sie über Warnungen und
Aufforderungen zu informieren. Klicken Sie auf die Pop-Up-Benachrichtigung, um sie im Desktopmodus
anzuzeigen.
Siehe auch
Reagieren auf eine Aufforderung bei erkannter Bedrohung auf Seite 18
Reagieren auf eine Scan-Aufforderung auf Seite 19
Reagieren auf eine Aufforderung bei Datei-Reputation auf Seite 19
Informationen zum Endpoint Security-Client
Mit dem Endpoint Security-Client können Sie den Schutzstatus überprüfen und auf Funktionen auf
Ihrem Computer zugreifen.
•
Optionen im Menü Aktionen
Einstellungen
bieten Zugriff auf Funktionen.
Konfiguriert Funktionseinstellungen.
Diese Menüoption ist verfügbar, wenn eine der folgenden Möglichkeiten
zutrifft:
• Der Client-Schnittstellen-Modus auf Vollzugriff gesetzt ist.
• Sie als Administrator angemeldet sind.
Extra.DAT-Dateien laden
Lässt Sie eine heruntergeladene EXTRA.DAT-Datei installieren.
Rollback von AMCore Content Setzt den AMCore Content auf eine frühere Version zurück.
Diese Menüoption ist verfügbar, wenn eine frühere Version von AMCore
Content auf dem System vorhanden ist und wenn eine der folgenden
Möglichkeiten zutrifft:
• Der Client-Schnittstellen-Modus auf Vollzugriff gesetzt ist.
• Sie als Administrator angemeldet sind.
Hilfe
Zeigt Hilfe an.
Support-Links
Zeigt eine Seite mit Links zu hilfreichen Seiten an wie das McAfee
ServicePortal und das Knowledge Center.
Administratoranmeldung
Für die Anmeldung als Website-Administrator. (Die Anmeldeinformationen
des Administrators sind erforderlich.)
Das Standardkennwort ist mcafee.
Diese Menüoption ist verfügbar, wenn der Client-Schnittstellen-Modus auf
Vollzugriff gesetzt ist. Wenn Sie schon als Administrator angemeldet sind,
ist diese Option Administratorabmeldung.
12
Informationen
Zeigt Informationen zu Endpoint Security an.
Beenden
Beendet den Endpoint Security-Client.
Produkthandbuch
Einführung
•
1
Schaltflächen rechts oben auf der Seite bieten schnellen Zugriff auf häufig verwendete Tasks.
Überprüfung Ihres Systems auf Malware mit einem vollständigen Scan
oder Schnellscan.
Diese Schaltfläche ist nur verfügbar, wenn das Bedrohungsschutz-Modul
installiert ist.
Aktualisiert Content-Dateien und Software-Komponenten auf Ihrem
Computer.
Diese Schaltfläche wird möglicherweise nicht angezeigt, je nach
Konfiguration.
•
Die Schaltflächen links auf der Seite bieten Informationen zu Ihrem Schutz.
Status
Bringt Sie zurück zur Status-Hauptseite.
Ereignisprotokoll Zeigt das Protokoll aller Schutz- und Bedrohungsereignisse auf diesem Computer
an.
Quarantäne
Öffnet den Quarantäne-Manager.
Diese Schaltfläche ist nur verfügbar, wenn das Bedrohungsschutz-Modul installiert
ist.
•
Die Bedrohungszusammenfassung bietet Informationen zu Bedrohungen, die Endpoint Security in
Ihrem System während der letzten 30 Tage erkannt hat.
Siehe auch
Laden einer EXTRA.DAT-Datei auf Seite 29
Anmelden als Administrator auf Seite 25
Scannen Ihres Computers auf Malware auf Seite 41
Anzeigen des Ereignisprotokolls auf Seite 22
Verwalten von isolierten Elementen auf Seite 46
Verwalten von Endpoint Security auf Seite 25
Informationen zur Bedrohungszusammenfassung auf Seite 13
Informationen zur Bedrohungszusammenfassung
Die Endpoint Security-Client-Statusseite bietet eine Zusammenfassung in Echtzeit von allen
Bedrohungen, die in Ihrem System während der letzten 30 Tage erkannt wurden.
Wenn neue Bedrohungen erkannt werden, aktualisiert die Statusseite dynamisch im unteren Bereich
unter Bedrohungszusammenfassung die Daten.
Produkthandbuch
13
1
Einführung
Die Bedrohungszusammenfassung beinhaltet:
•
Datum der letzten eliminierten Bedrohung
•
Die zwei häufigsten Bedrohungsvektoren nach Kategorie:
Bedrohungen aus Webseiten oder Downloads.
Web
Externes Gerät oder Medien Bedrohungen aus externen Geräten, wie USB, Firewire 1394, eSATA, Band,
CD, DVD oder Diskette.
•
Netzwerk
Bedrohungen aus dem Netzwerk (nicht aus Netzwerkdateifreigaben).
Lokales System
Bedrohungen aus dem Laufwerk des lokalen Startdateisystems (gewöhnlich
C:) oder aus anderen Laufwerken, die nicht unter Externes Gerät oder
Medien fallen.
Dateifreigabe
Bedrohungen aus einer Netzwerkdateifreigabe.
E-Mail
Bedrohungen aus E-Mail-Nachrichten.
Instant Message
Bedrohungen durch Instant Messaging.
Unbekannt
Bedrohungen, wo der Angriffsvektor nicht ermittelt werden kann (aufgrund
eines Fehlers oder anderen Versagens).
Anzahl der Bedrohungen pro Bedrohungsvektor
Wenn der Endpoint Security-Client den Ereignis-Manager nicht erreichen kann, zeigt Endpoint
Security-Client eine Kommunikationsfehlermeldung an. Starten Sie in diesem Fall Ihr System neu, um
die Bedrohungszusammenfassung anzuzeigen.
Auswirkungen von Einstellungen auf den Client
Die Ihrem Computer zugewiesene Einstellungen für den Client-Schnittstellen-Modus legen fest, auf
welche Module und Funktionen Sie zugreifen können.
Ändern Sie den Client-Schnittstellen-Modus in den Allgemeingültig Einstellungen.
Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee ePO die Änderungen von der
Seite Einstellungen überschreiben.
Die Optionen für den Client-Schnittstellen-Modus sind folgende:
14
Produkthandbuch
Einführung
1
Ermöglicht den Zugriff auf alle Funktionen, darunter:
Vollzugriff
• Aktivieren und Deaktivieren einzelner Module und Funktionen.
• Zugriff auf die Seite Einstellungen, um alle Einstellungen für den Endpoint
Security-Client anzuzeigen oder zu ändern.
Dieser Modus ist die Standardeinstellung für selbstverwaltete Systeme.
Standardzugriff
Zeigt den Schutzstatus an und bietet Zugriff auf die meisten Funktionen:
• Aktualisiert die Content-Dateien und Software-Komponenten auf Ihrem
Computer (wenn vom Administrator aktiviert).
• Ausführen einer gründlichen Überprüfung aller Bereiche auf Ihrem System
(empfohlen, wenn Sie vermuten, dass Ihr Computer infiziert ist).
• Ausführen einer schnellen (zweiminütigen) Überprüfung der für Infektionen
besonders anfälligen Systembereiche.
• Zugreifen auf das Ereignisprotokoll.
• Verwalten der Elemente in der Quarantäne.
Dieser Modus ist die Standardeinstellung für durch McAfee ePO oder McAfee
ePO Cloud verwaltete Systeme.
Wenn der Schnittstellenmodus auf Standardzugriff gesetzt ist, können Sie sich als
Administrator anmelden, um auf alle Funktionen, einschließlich Einstellungen,
zuzugreifen.
Client-Benutzeroberfläche
sperren
Erfordert ein Kennwort für den Zugriff auf den Client.
Sobald Sie die Client-Schnittstelle entsperrt haben, können Sie auf alle
Funktionen zugreifen.
Wenn Sie nicht auf den Endpoint Security-Client oder bestimmte Tasks und Funktionen zugreifen
können, die Sie für Ihre Arbeit benötigen, wenden Sie sich an Ihren Administrator.
Siehe auch
Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit auf Seite 31
Auswirkungen der Module auf den Client
Einige Aspekte des Clients sind möglicherweise nicht verfügbar, je nach den auf Ihrem Computer
installierten Modulen.
Diese Funktionen sind nur verfügbar, wenn der Bedrohungsschutz installiert ist:
•
-Schaltfläche
•
Quarantäne-Schaltfläche
Produkthandbuch
15
1
Einführung
Die auf dem System installierten Funktionen entscheiden über die angezeigten Funktionen:
•
Im Dropdown-Menü Ereignisprotokoll Nach Modul filtern.
•
Auf der Seite Einstellungen.
Allgemeingültig
Wird angezeigt, wenn ein Modul installiert ist.
Bedrohungsschutz
Wird nur angezeigt, wenn der Bedrohungsschutz installiert ist.
Firewall
Wird nur angezeigt, wenn die Firewall installiert ist.
Webkontrolle
Wird nur angezeigt, wenn die Webkontrolle installiert ist.
Bedrohungsabwehrdaten Wird nur angezeigt, wenn Bedrohungsabwehrdaten und der
Bedrohungsschutz installiert sind.
Das Bedrohungsabwehrdaten-Modul wird nur auf von McAfee ePO
verwalteten Systemen unterstützt.
Für Bedrohungsabwehrdaten muss Bedrohungsschutz installiert sein.
Je nach Client-Schnittstellen-Modus und wie der Administrator Ihren Zugriff konfiguriert hat, sind einige
oder alle Funktion möglicherweise nicht verfügbar.
Siehe auch
Auswirkungen von Einstellungen auf den Client auf Seite 14
16
Produkthandbuch
2
Verwenden Sie den Client zum Ausführen der meisten Funktionen wie System-Scans und Verwalten
von isolierten Elementen im Standardzugriffsmodus.
Inhalt
Öffnen des Endpoint Security-Client
Hilfe anfordern
Reagieren auf Aufforderungen
Informationen zu Ihrem Schutz
Manuelles Aktualisieren von Schutz und Software
Anzeigen des Ereignisprotokolls
Verwalten von Endpoint Security
Öffnen des Endpoint Security-Client
Öffnen Sie den Endpoint Security-Client, um den Status der auf dem Computer installierten
Schutzfunktionen anzuzeigen.
Wenn der Schnittstellenmodus auf Client-Benutzeroberfläche sperren eingestellt ist, müssen Sie das
Administratorkennwort eingeben, um den Endpoint Security-Client zu öffnen.
Vorgehensweise
1
2
Verwenden Sie eine der folgenden Methoden zur Anzeige vom Endpoint Security-Client:
•
Klicken Sie mit der rechten Maustaste auf das System-Taskleistensymbol, und wählen Sie dann
McAfee Endpoint Security.
•
Wählen Sie Start | Alle Programme | McAfee | McAfee Endpoint Securityaus.
•
Starten Sie unter Windows 8 und 10 die McAfee Endpoint Security-App.
1
Drücken Sie die Windows-Taste.
2
Geben Sie im Suchfeld McAfee Endpoint Security ein, und doppelklicken Sie dann auf die
McAfee Endpoint Security-App oder tippen Sie darauf.
Geben Sie auf Aufforderung auf der Seite Administratoranmeldung das Administratorkennwort ein, und
klicken Sie dann auf Anmelden.
Der Endpoint Security-Client wird im Schnittstellenmodus geöffnet, den der Administrator konfiguriert
hat.
Siehe auch
Produkthandbuch
17
2
Hilfe anfordern
Hilfe anfordern
Bei der Arbeit auf dem Client können Sie Hilfethemen entweder über die Menüoption Hilfe oder über
das Symbol ? aufrufen.
Vorgehensweise
1
Öffnen Sie den Endpoint Security-Client.
2
Je nach der Seite, auf der Sie sich befinden:
•
Seiten Status, Ereignisprotokoll und Quarantäne: Wählen Sie im Menü Aktion
•
Seiten Einstellungen, Aktualisierung, System scannen, Roll Back von AMCore Content und EXTRA.DAT-Dateien laden:
Klicken Sie auf ? auf der Benutzeroberfläche.
Hilfe.
Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie je nach Konfigurierung der
Einstellungen von Endpoint Security möglicherweise eine Aufforderung, per Eingabe fortzufahren.
Aufgaben
•
Reagieren auf eine Aufforderung bei erkannter Bedrohung auf Seite 18
Wenn ein Scanner eine Bedrohung erkennt, werden Sie je nach den konfigurierten
Einstellungen möglicherweise von Endpoint Security aufgefordert, per Eingabe fortzufahren.
•
Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von Endpoint
Security möglicherweise eine Aufforderung, per Eingabe fortzufahren. Die Aufforderung
wird nur angezeigt, wenn der Scan so konfiguriert ist, dass Sie den Scan verschieben,
anhalten, fortsetzen oder abbrechen dürfen.
•
Reagieren auf eine Aufforderung bei Datei-Reputation auf Seite 19
Wenn versucht wird, eine Datei mit einer bestimmten Reputation auf Ihrem System
auszuführen, erhalten Sie von Endpoint Security möglicherweise eine Aufforderung, per
Eingabe fortzufahren. Die Eingabeaufforderung wird nur angezeigt, wenn die
Bedrohungsabwehrdaten entsprechend konfiguriert sind.
Reagieren auf eine Aufforderung bei erkannter Bedrohung
Wenn ein Scanner eine Bedrohung erkennt, werden Sie je nach den konfigurierten Einstellungen
möglicherweise von Endpoint Security aufgefordert, per Eingabe fortzufahren.
anzuzeigen.
Vorgehensweise
Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
•
Wählen Sie auf der Seite On-Access-Scan Optionen, um erkannte Bedrohungen zu verwalten.
Sie können die Scan-Seite erneut öffnen, um erkannte Bedrohungen jederzeit zu verwalten.
Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der Endpoint Security-Dienst oder das
System neu gestartet wird.
Siehe auch
18
Produkthandbuch
2
Reagieren auf eine Scan-Aufforderung
Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von Endpoint Security
möglicherweise eine Aufforderung, per Eingabe fortzufahren. Die Aufforderung wird nur angezeigt,
wenn der Scan so konfiguriert ist, dass Sie den Scan verschieben, anhalten, fortsetzen oder abbrechen
dürfen.
Wenn Sie keine Option auswählen, startet der Scan automatisch.
Nur in verwalteten Systemem: Wenn der Scan nur ausgeführt wird, wenn der Computer im Leerlauf
ist, zeigt Endpoint Security ein Dialogfeld an, wenn der Scan angehalten wurde. Bei entsprechender
Konfiguration können Sie angehaltene Scans auch fortsetzen oder sie zurücksetzen und nur ausführen
lassen, wenn sich das System im Leerlauf befindet.
anzuzeigen.
Vorgehensweise
•
Wählen Sie bei Aufforderung eine der folgenden Optionen aus.
Die angezeigten Optionen sind abhängig von der Scan-Konfiguration.
Jetzt scannen
Startet de Scan sofort.
Scan anzeigen
Zeigt Erkennungen für laufende Scans an.
Scan anhalten
Hält den Scan an. Je nach Konfiguration wird der Scan beim Klicken auf Scan anhalten
möglicherweise zurückgesetzt und nur ausgeführt, wenn sich das System im
Leerlauf befindet. Klicken Sie auf Scan fortsetzen, um den Scan an der Stelle
fortzusetzen, an der die Unterbrechung stattgefunden hat.
Scan fortsetzen
Setzt einen angehaltenen Scan fort.
Scan abbrechen
Bricht den Scan ab.
Scan verschieben Verschiebt den Scan für die festgelegte Anzahl an Stunden.
Optionen für den geplanten Scan legen fest, wie oft Sie den Scan eine Stunde lang
verschieben können. Sie können den Scan möglicherweise öfter als ein Mal
verschieben.
Schließen
Schließt die Scan-Seite.
Wenn der Scanner eine Bedrohung erkennt, werden Sie je nach den konfigurierten Einstellungen
möglicherweise von Endpoint Security aufgefordert, eine Eingabe vorzunehmen, um fortzufahren.
Reagieren auf eine Aufforderung bei Datei-Reputation
Wenn versucht wird, eine Datei mit einer bestimmten Reputation auf Ihrem System auszuführen,
erhalten Sie von Endpoint Security möglicherweise eine Aufforderung, per Eingabe fortzufahren. Die
Eingabeaufforderung wird nur angezeigt, wenn die Bedrohungsabwehrdaten entsprechend konfiguriert
sind.
Der Administrator konfiguriert den Reputationsschwellenwert, bei dem eine Eingabeaufforderung
angezeigt wird. Ist der Reputationsschwellenwert beispielsweise "Unbekannt", erhalten Sie von
Endpoint Security Eingabeaufforderungen für sämtliche Dateien mit unbekannter Reputation und
darunter.
Produkthandbuch
19
2
Wenn Sie keine Option auswählen, führen die Bedrohungsabwehrdaten die vom Administrator
konfigurierte Standardaktion aus.
Die Eingabeaufforderung, Zeitüberschreitung und Standardaktion hängen von der Konfiguration der
Bedrohungsabwehrdaten ab.
anzuzeigen.
Vorgehensweise
1
(Optional) Geben Sie in der Aufforderung eine Nachricht ein, die an den Administrator gesendet
werden soll.
Sie können diese Nachricht beispielsweise dazu verwenden, um die Datei zu beschreiben oder um
Ihre Entscheidung, die Datei auf Ihrem System zuzulassen oder zu blockieren, zu erläutern.
2
Klicken Sie auf Zulassen oder Blockieren
Zulassen
Lässt die Datei zu.
Blockieren
Blockiert die Datei auf Ihrem System.
Damit die Bedrohungsabwehrdaten für die Datei keine Aufforderung mehr anzeigt, wählen Sie Diese
Entscheidung speichern aus.
Die Bedrohungsabwehrdaten führen die von Ihnen gewählte Aktion bzw. die Standardaktion durch und
schließen das Aufforderungsfenster.
Sie können Informationen zu Ihrem Endpoint Security-Schutz abrufen, etwa zu Verwaltungstypen,
Schutzmodulen, Funktionen, Status, Versionsnummern und Lizenzen.
Vorgehensweise
1
2
Wählen Sie im Menü Aktion
3
Klicken Sie links auf den Namen eines Moduls oder einer Funktion, um Informationen zum Element
anzuzeigen.
4
Klicken Sie auf die Browser-Schaltfläche Schließen, um die Seite Informationen zu schließen.
Informationen.
Siehe auch
Verwaltungstypen auf Seite 20
Verwaltungstypen
Der Verwaltungstyp zeigt an, wie Endpoint Security verwaltet wird.
20
Produkthandbuch
Verwaltungstyp
Beschreibung
McAfee ePolicy Orchestrator
Ein Administrator verwaltet Endpoint Security mithilfe von McAfee
ePO (lokal).
McAfee ePolicy Orchestrator
Cloud
Ein Administrator verwaltet Endpoint Security mithilfe von McAfee
ePO Cloud.
Selbstverwaltet
Endpoint Security wird lokal mithilfe des Endpoint Security-Client
verwaltet. Dieser Modus wird auch als nicht verwaltet oder
Standalone bezeichnet.
2
Sie können je nach Konfigurierung der Einstellungen manuell nach Aktualisierungen für
Content-Dateien und Software-Komponenten suchen und diese über den Endpoint Security-Client
herunterladen.
Manuelle Aktualisierungen werden als On-Demand-Aktualisierungen bezeichnet.
Sie können auch manuelle Aktualisierungen über das McAfee-Taskleistensymbol durchführen. Weitere
Informationen finden Sie unter Informationen zum McAfee-System-Taskleistensymbol auf Seite 10.
Endpoint Security unterstützt kein manuelles Abrufen und Kopieren aktualisierter Content-Dateien in
das Client-System. Wenn Sie Unterstützung beim Aktualisieren auf eine bestimmte Inhaltsversion
benötigen, wenden Sie sich an den McAfee-Support .
Vorgehensweise
1
2
Klicken Sie auf
.
nicht im Client angezeigt wird, können Sie die Schaltfläche in den
Wenn
Einstellungen aktivieren. Weitere Informationen finden Sie unter Konfigurieren des
Standardverhaltens für Aktualisierungen auf Seite 35.
Der Endpoint Security-Client sucht nach Aktualisierungen.
•
Wenn Sie die Aktualisierung abbrechen möchten, wählen Sie Abbrechen.
Diese Option ist nur auf selbstverwalteten und von McAfee ePO verwalteten Systemen verfügbar.
•
Wenn Ihr System auf dem neuesten Stand ist, wird die Seite Keine Aktualisierungen verfügbar
angezeigt sowie das Datum und die Zeit der letzten Aktualisierung.
•
Nach Abschluss der Aktualisierung werden auf der Seite das aktuelle Datum und die aktuelle
Uhrzeit als Zeitpunkt der letzten Aktualisierung angezeigt.
Alle Meldungen oder Fehler werden im Bereich Meldungen angezeigt.
Zeigen Sie das Protokoll PackageManager_Activity.log oder PackageManager_Debug.log an.
3
Klicken Sie auf Schließen, um die Aktualisierungsseite zu schließen.
Siehe auch
So bleibt Ihr Schutz auf dem neuesten Stand auf Seite 8
Informationen zu Protokolldateien auf Seite 23
Zu aktualisierende Elemente auf Seite 22
Produkthandbuch
21
2
Zu aktualisierende Elemente
Endpoint Security aktualisiert Sicherheitsinhalte, Software (HotFixes und Patches) und
Richtlinieneinstellungen je nach Verwaltungstyp unterschiedlich.
Bei von McAfee ePO verwalteten und selbstverwalteten Systemen lässt sich die Schaltfläche
in Bezug auf Sichtbarkeit und Verhalten konfigurieren. Weitere
Informationen finden Sie unter Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite
37.
Verwaltungstyp Aktualisierungsmethode
Aktualisierungen
McAfee ePO
Nur Inhalt und Software, keine
Richtlinieneinstellungen
Option Sicherheit aktualisieren im
McAfee-Taskleistenmenü
Schaltfläche
Endpoint Security-Client
im
McAfee ePO Cloud Option Sicherheit aktualisieren im
Schaltfläche
Selbstverwaltet
Inhalt, Software und
Richtlinieneinstellungen
im
Option Sicherheit aktualisieren im
Schaltfläche
Richtlinieneinstellungen, sofern
konfiguriert
konfiguriert
Nur Inhalt und Software
im
konfiguriert
In den Aktivitäts- und Fehlerbehebungsprotokollen wird ein Datensatz mit Ereignissen gespeichert, die
in dem von McAfee geschützten System auftreten. Sie können das Ereignisprotokoll im Endpoint
Security-Client anzeigen.
Vorgehensweise
Wählen Sie für Hilfe im Menü Aktion
Hilfe.
1
2
Klicken Sie links auf der Seite auf Ereignisprotokoll.
Auf der Seite werden alle Ereignisse angezeigt, die in den letzten 30 Tagen von Endpoint Security
auf dem System protokolliert wurden.
Wenn der Endpoint Security-Client den Ereignis-Manager nicht erreichen kann, wird eine
Kommunikationsfehlermeldung angezeigt. Starten Sie in diesem Fall das System neu, um das
Ereignisprotokoll anzuzeigen.
3
Wählen Sie im oberen Bereich ein Ereignis aus, um im unteren Bereich die Details anzuzeigen.
Zum Ändern der relativen Größen der Bereiche klicken Sie auf das Sash-Widget zwischen den
Bereichen, und ziehen Sie es an die gewünschte Stelle.
22
Produkthandbuch
4
2
Auf der Ereignisprotokoll-Seite können Sie Ereignisse sortieren, suchen, filtern oder erneut laden.
Die angezeigten Optionen sind abhängig von der Scan-Konfiguration.
Ziel
Schritte
Sortieren der Ereignisse nach
Datum, Funktionen, ausgeführter
Aktion und Schweregrad
Klicken Sie auf die Tabellenspaltenüberschrift.
Durchsuchen des
Ereignisprotokolls
Geben Sie den Suchtext in das Suchfeld ein, und drücken Sie
die Eingabetaste, oder klicken Sie auf Suchen.
Bei der Suche wird die Groß-/Kleinschreibung beachtet. Alle
Felder des Ereignisprotokolls werden nach dem Suchtext
durchsucht. In der Ereignisliste werden alle Elemente mit dem
entsprechenden Text angezeigt.
Zum Abbrechen der Suche und Anzeigen aller Ereignisse
klicken Sie im Suchfeld auf das x.
5
Filtern von Ereignissen nach
Schweregrad oder Modul
Wählen Sie in der Dropdown-Filterliste eine Option.
Aktualisieren der
Ereignisprotokoll-Anzeige mit neuen
Ereignissen
Klicken Sie auf
Öffnen des Ordners mit den
Protokolldateien
Klicken Sie auf Protokollordner anzeigen.
Wählen Sie zum Entfernen des Filters und Anzeigen aller
Ereignisse Alle Ereignisse anzeigen aus der Dropdown-Liste.
.
Navigieren Sie innerhalb des Ereignisprotokolls.
Ziel
Schritte
Anzeigen der vorherigen Seite mit
Ereignissen
Klicken Sie auf Vorherige Seite.
Anzeigen der nächsten Seite mit
Ereignissen
Klicken Sie auf Nächste Seite.
Anzeigen einer bestimmten Seite im
Protokoll
Geben Sie eine Seitenzahl ein, und drücken Sie die
Eingabetaste, oder klicken Sie auf Start.
Standardmäßig zeigt das Ereignisprotokoll 20 Ereignisse pro Seite an. Zum Anzeigen weiterer
Ereignisse pro Seite wählen Sie eine Option aus der Dropdown-Liste Ereignisse pro Seite.
Siehe auch
Informationen zu Protokolldateien
Die Aktivitäts-, Fehler- und Fehlerbehebungsprotokolldateien zeichnen Ereignisse auf, die in Systemen
mit aktivierter Endpoint Security auftreten. Konfigurieren Sie die Protokollierung in den
Allgemeingültig Einstellungen.
Aktivitätsprotokolldateien werden immer in der von der Ländereinstellung des Systems festgelegten
Sprache angezeigt.
Alle Aktivitäts- und Fehlerbehebungsprotokolle werden in Abhängigkeit Ihres Betriebssystems in einem
der folgenden Standardverzeichnisse gespeichert.
Produkthandbuch
23
2
Betriebssystem
Standardspeicherort
Microsoft Windows 10
%ProgramData%\McAfee\Endpoint Security\Logs
Microsoft Windows 8 und 8.1
Microsoft Windows 7
Microsoft Vista
C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten
\McAfee\Endpoint Security\Logs
Jedes Modul und jede Funktion oder Technologie erstellt für die Aktivitäts- oder
Fehlerbehebungsprotokollierung eine separate Datei. Alle Module protokollieren Fehler in einer
gemeinsamen Datei: EndpointSecurityPlatform_Errors.log.
Durch das Aktivieren der Protokollierung der Fehlerbehebung für ein Modul wird diese auch für die
Funktionen des Moduls Allgemeingültig aktiviert, etwa für den Selbstschutz.
Tabelle 2-1 Protokolldateien
Modul
Funktion oder Technologie
Allgemeingültig
Dateiname
EndpointSecurityPlatform_Activity.log
EndpointSecurityPlatform_Debug.log
Selbstschutz
SelfProtection_Activity.log
SelfProtection_Debug.log
Aktualisierungen
PackageManager_Activity.log
PackageManager_Debug.log
Fehler
Bedrohungsschutz
EndpointSecurityPlatform_Errors.log
Durch das Aktivieren der
Protokollierung der
Fehlerbehebung für eine
Bedrohungsschutz-Technologie
wird diese auch für den
aktiviert.
Zugriffsschutz
ThreatPrevention_Activity.log
ThreatPrevention_Debug.log
AccessProtection_Activity.log
AccessProtection_Debug.log
Exploit-Schutz
ExploitPrevention_Activity.log
ExploitPrevention_Debug.log
On-Access-Scanner
OnAccessScan_Activity.log
OnAccessScan_Debug.log
On-Demand-Scanner
OnDemandScan_Activity.log
• Schnellscan
OnDemandScan_Debug.log
• Vollständiger Scan
• Scan per Kontextmenü
Firewall
MFEConsole_Debug.log
Firewall_Activity.log
Firewall_Debug.log
24
Produkthandbuch
2
Tabelle 2-1 Protokolldateien (Fortsetzung)
Modul
Funktion oder Technologie
Dateiname
FirewallEventMonitor.log
Protokolliert blockierten und
zugelassenen Netzwerkverkehr, wenn
konfiguriert.
Webkontrolle
WebControl_Activity.log
WebControl_Debug.log
Bedrohungsabwehrdaten
Durch das Aktivieren der
Protokollierung der
Bedrohungsschutz-Technologie
wird diese auch für die
aktiviert.
ThreatIntelligence_Activity.log
ThreatIntelligence_Debug.log
Standardmäßig werden Installationsprotokolldateien in folgenden Ordnern gespeichert:
Selbstverwaltet
%TEMP%\McAfeeLogs (Temp-Ordner des Windows-Benutzers)
Verwaltet
TEMP\McAfeeLogs (Temp-Ordner des Windows-Systems)
Als Administrator können Sie Endpoint Security über den Endpoint Security-Client verwalten. Sie
können auch Funktionen deaktivieren und aktivieren, Content-Dateien verwalten, das Verhalten der
Client-Benutzeroberfläche festlegen, Tasks planen und Moduleinstellungen konfigurieren.
Siehe auch
Deaktivieren und Aktivieren von Funktionen auf Seite 26
Ändern der AMCore Content-Version auf Seite 27
Verwenden von EXTRA.DAT-Dateien auf Seite 28
Konfigurieren gemeinsamer Einstellungen auf Seite 29
Anmelden als Administrator
Wenn der Schnittstellenmodus für den Endpoint Security-Client auf Standardzugriff festgelegt ist, können
Sie sich als Administrator anmelden, um auf alle Einstellungen zuzugreifen.
Bevor Sie beginnen
Der Schnittstellenmodus für den Endpoint Security-Client muss auf Standardzugriff eingestellt
sein.
Produkthandbuch
25
2
Vorgehensweise
Hilfe.
1
2
3
Geben Sie im Feld Kennwort das Administratorkennwort ein, und klicken Sie dann auf Anmeldung.
die Option Administratoranmeldung aus.
Nun können Sie auf alle Funktionen des Endpoint Security-Client zugreifen.
Zum Abmelden wählen Sie Aktion | Administratorabmeldung. Der Client kehrt zum
SchnittstellenmodusStandardzugriff zurück.
Entsperren der Client-Schnittstelle
Wenn die Schnittstelle für Endpoint Security-Client gesperrt ist, können Sie die Schnittstelle mit dem
Administratorkennwort entsperren, um auf alle Einstellungen zuzugreifen.
Bevor Sie beginnen
Der Schnittstellenmodus für den Endpoint Security-Client muss auf Client-Benutzeroberfläche
sperren eingestellt sein.
Vorgehensweise
1
2
Geben Sie auf der Seite Administratoranmeldung im Feld Kennwort das Administratorkennwort ein, und
klicken Sie dann auf Anmelden.
Endpoint Security-Client wird geöffnet, und Sie können jetzt auf alle Funktionen des Clients zugreifen.
Wählen Sie zum Abmelden und Schließen des Clients im Menü Aktion
Administratorabmeldung.
Deaktivieren und Aktivieren von Funktionen
Als Administrator können Sie Endpoint Security-Funktionen über den Endpoint Security-Client
deaktivieren und aktivieren.
Bevor Sie beginnen
Der Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,
oder Sie müssen als Administrator angemeldet sein.
Die Status-Seite zeigt den aktivierten Status des Funktionsmoduls, der möglicherweise nicht den
tatsächlichen Status der Funktion wiedergibt. Sie können den Status jeder Funktion auf der
Einstellungen-Seite. Wenn beispielsweise die Einstellung ScriptScan aktivieren nicht erfolgreich angewendet
wird, ist der Status möglicherweise (Status: Deaktiviert).
26
Produkthandbuch
2
Vorgehensweise
1
2
Klicken Sie auf der Status-Hauptseite auf den Modulnamen (wie Threat Prevention oder Firewall).
Oder wählen Sie im Menü Aktion
Modulnamen.
3
Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf den
Wählen Sie die Option Aktivieren für Modul oder Funktion.
Das Aktivieren der Bedrohungsschutz-Funktionen aktiviert das Bedrohungsschutz-Modul.
Siehe auch
Ändern der AMCore Content-Version
Verwenden Sie Endpoint Security-Client zum Ändern der Version von AMCore Content auf Ihrem
System.
Bevor Sie beginnen
Endpoint Security speichert die aktuell geladene Content-Datei und die vorherigen zwei Versionen im
Ordner Programme\Gemeinsame Dateien\McAfee\Engine\content. Bei Bedarf können Sie eine frühere
Version wiederherstellen.
Vorgehensweise
1
2
3
Wählen Sie aus dem Dropdown-Menü die zu ladende Version aus.
4
Klicken Sie auf Übernehmen.
Roll Back von AMCore Content.
Die neuen Informationen zu Erkennungen in der geladenen AMCore Content-Datei werden umgehend
wirksam.
Siehe auch
Funktionsweise von Content-Dateien auf Seite 9
Produkthandbuch
27
2
Verwenden von EXTRA.DAT-Dateien
Sie können eine EXTRA.DAT-Datei installieren, um Ihr System vor einem gravierenden
Malware-Ausbruch zu schützen, bis die nächste geplante AMCore Content-Aktualisierung veröffentlicht
wird.
Aufgaben
•
Herunterladen von EXTRA.DAT-Dateien auf Seite 28
Um eine EXTRA.DAT-Datei herunterzuladen, klicken Sie auf den Download-Link, den Sie
von McAfee Labs erhalten haben.
•
Laden einer EXTRA.DAT-Datei auf Seite 29
Verwenden Sie zum Installieren der heruntergeladenen EXTRA.DAT-Datei Endpoint
Security-Client.
Siehe auch
Informationen zu EXTRA.DAT-Dateien auf Seite 28
Informationen zu EXTRA.DAT-Dateien
Wenn neue Malware entdeckt wird und eine zusätzliche Erkennung nötig ist, veröffentlicht McAfee Labs
eine EXTRA.DAT-Datei. EXTRA.DAT-Dateien enthalten Informationen, die Bedrohungsschutz zur
Verarbeitung der neuen Malware verwendet wird.
Sie können EXTRA.DAT-Dateien für bestimmte Bedrohungen von der WebsiteMcAfee Labs Extra.DAT
Request Page herunterladen.
Bedrohungsschutz unterstützt nur die Verwendung einer EXTRA.DAT-Datei zu einer Zeit.
Jede EXTRA.DAT-Datei hat ein integriertes Ablaufdatum. Wenn die EXTRA.DAT-Datei geladen wird,
wird das Ablaufdatum mit dem Build-Datum des auf dem System installierten AMCore Content
verglichen. Wenn das Build-Datum des AMCore Content neuer ist als das
EXTRA.DAT-Datei-Ablaufdatum, wird die EXTRA.DAT-Datei als abgelaufen angesehen und vom Modul
nicht mehr geladen und verwendet. Während der nächsten Aktualisierung wird die EXTRA.DAT-Datei
vom System entfernt.
Wenn die nächste Aktualisierung von AMCore Content die EXTRA.DAT-Signatur enthält, wird die
EXTRA.DAT-Datei entfernt.
Endpoint Security speichert Extra.DAT-Dateien im Ordner c:\Program Files\Common Files\McAfee
\Engine\content\avengine\extradat.
Herunterladen von EXTRA.DAT-Dateien
Um eine EXTRA.DAT-Datei herunterzuladen, klicken Sie auf den Download-Link, den Sie von McAfee
Labs erhalten haben.
Vorgehensweise
28
1
Klicken Sie auf den Download-Link, geben Sie einen Speicherort für die EXTRA.DAT-Datei an, und
klicken Sie dann auf Speichern.
2
Dekomprimieren Sie gegebenenfalls die EXTRA.ZIP-Datei.
3
Laden Sie die EXTRA.DAT-Datei mit Endpoint Security-Client.
Produkthandbuch
2
Laden einer EXTRA.DAT-Datei
Verwenden Sie zum Installieren der heruntergeladenen EXTRA.DAT-Datei Endpoint Security-Client.
Bevor Sie beginnen
Vorgehensweise
1
2
3
Klicken Sie aufDurchsuchen, navigieren Sie zu dem Speicherort, in den die EXTRA.DAT-Datei
heruntergeladen wurde, und klicken Sie dann auf Öffnen.
4
Klicken Sie auf Übernehmen.
EXTRA.DAT-Dateien laden.
Die neuen Informationen zu Erkennungen in der EXTRA.DAT-Datei werden umgehend wirksam.
Siehe auch
Konfigurieren gemeinsamer Einstellungen
Konfigurieren Sie im Allgemeingültig-Modul Einstellungen, die auf alle Module und Funktionen von
Endpoint Security zutreffen. Zu diesen Einstellungen gehören Benutzeroberflächensicherheit und
Spracheinstellungen für Endpoint Security-Client, Protokollierung sowie Einstellungen für den
Proxy-Server für McAfee GTI und Aktualisierungskonfigurationen.
Aufgaben
•
Schützen von Endpoint Security-Ressourcen auf Seite 30
Malware versucht bei einem Angriff oft zunächst, Ihre Systemsicherheitssoftware zu
deaktivieren. Konfigurieren Sie den Endpoint Security-Selbstschutz in den Einstellungen des
Allgemeingültig, damit Endpoint Security-Dienste und -Dateien nicht beendet oder geändert
werden können.
•
Konfigurieren von Protokollierungseinstellungen auf Seite 30
Konfigurieren Sie die Endpoint Security-Protokollierung in den
Allgemeingültig-Einstellungen.
•
Zulassen zertifikatbasierter Authentifizierung auf Seite 31
Mit Zertifikaten kann ein Anbieter Code innerhalb von McAfee-Prozessen ausführen.
•
Konfigurieren Sie das Schnittstellenkennwort und die Anzeigeoptionen für Endpoint
Security-Client in den Allgemeingültig-Einstellungen.
•
Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI auf Seite 32
Legen Sie Proxy-Server-Optionen für das Abrufen der McAfee GTI-Reputation in den
Einstellungen für das Allgemeingültig fest.
Produkthandbuch
29
2
Schützen von Endpoint Security-Ressourcen
Malware versucht bei einem Angriff oft zunächst, Ihre Systemsicherheitssoftware zu deaktivieren.
Konfigurieren Sie den Endpoint Security-Selbstschutz in den Einstellungen des Allgemeingültig, damit
Endpoint Security-Dienste und -Dateien nicht beendet oder geändert werden können.
Bevor Sie beginnen
Für Benutzer, Administratoren, Entwickler oder Sicherheitsexperten sollte es nie notwendig sein, den
Endpoint Security-Schutz in ihren Systemen zu deaktivieren.
Vorgehensweise
1
2
3
Klicken Sie auf Erweiterte anzeigen.
4
Prüfen Sie unter Selbstschutz, dass Selbstschutz aktiviert ist.
5
Legen Sie die Aktion für jede der folgenden Endpoint Security-Ressourcen fest:
6
Einstellungen aus.
•
Dateien und Ordner – Verhindert, dass die Benutzer die Datenbanken, Binärdateien, Dateien für die
sichere Suche und Konfigurationsdateien von McAfee ändern.
•
Registrierung – Verhindert, dass die Benutzer Systeme die Registrierungsstruktur und
COM-Komponenten von McAfee ändern oder eine Deinstallation mithilfe des Registrierungswerts
durchführen.
•
Prozesse – Verhindert, dass McAfee-Prozesse angehalten werden.
Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch
Konfigurieren von Protokollierungseinstellungen
Konfigurieren Sie die Endpoint Security-Protokollierung in den Allgemeingültig-Einstellungen.
Bevor Sie beginnen
Vorgehensweise
30
1
2
3
Einstellungen aus.
Produkthandbuch
4
Konfigurieren Sie die Einstellungen der Client-Protokollierung auf der Seite.
5
2
Siehe auch
Zulassen zertifikatbasierter Authentifizierung
Mit Zertifikaten kann ein Anbieter Code innerhalb von McAfee-Prozessen ausführen.
Wenn ein Prozess erkannt wird, wird die Zertifikattabelle mit folgenden Daten befüllt: Anbieter,
Antragsteller und Öffentlicher Schlüssel SHA-1.
Diese Einstellung kann zu Kompatibilitätsproblemen und weniger Sicherheit führen.
Vorgehensweise
1
2
3
4
Wählen Sie im Abschnitt Zertifikate die Option Zulassen aus.
5
Einstellungen aus.
Die Zertifikatinformationen werden in der Tabelle angezeigt.
Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit
Konfigurieren Sie das Schnittstellenkennwort und die Anzeigeoptionen für Endpoint Security-Client in
den Allgemeingültig-Einstellungen.
Bevor Sie beginnen
Ändern Sie diese Einstellungen mit Vorsicht, weil Benutzer damit ihre Sicherheitskonfiguration ändern
können, sodass Systeme ungeschützt vor Malware-Angriffen sind.
Vorgehensweise
1
2
3
Konfigurieren Sie die Einstellungen für den Client-Schnittstellen-Modus auf der Seite.
4
Einstellungen aus.
Siehe auch
Auswirkungen beim Einrichten eines Administratorkennworts auf Seite 32
Produkthandbuch
31
2
Auswirkungen beim Einrichten eines Administratorkennworts
Wenn Sie den Schnittstellenmodus als Standardzugriff einrichten, müssen Sie auch ein
Administratorkennwort festlegen.
Das Festlegen eines Administratorkennworts auf dem Endpoint Security-Client hat Auswirkungen für
folgende Benutzer:
Nicht-Administratoren
Nicht-Administratoren können:
(Benutzer ohne
Administratorrechte)
• Einige Konfigurationsparameter anzeigen.
• Scans ausführen.
• Suchen Sie nach Aktualisierungen (wenn aktiviert).
• Die Quarantäne anzeigen.
• Das Ereignisprotokoll anzeigen.
• Zugreifen auf die Seite Einstellungen, um Firewall-Regeln
anzuzeigen oder zu ändern (wenn aktiviert).
Nicht-Administratoren können nicht:
• Konfigurationsparameter ändern.
• anzeigen, erstellen, löschen oder ändern.
Eine Ausnahme ist das Anzeigen oder Ändern von Firewall-Regeln
(wenn aktiviert).
Administratoren
(Benutzer mit
Administratorrechten)
Administratoren müssen das Kennwort eingeben, um auf die
geschützten Bereiche zuzugreifen und Einstellungen zu ändern.
Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI
Legen Sie Proxy-Server-Optionen für das Abrufen der McAfee GTI-Reputation in den Einstellungen für
das Allgemeingültig fest.
Bevor Sie beginnen
Vorgehensweise
1
2
3
4
Konfigurieren Sie auf der Seite die Proxy-Server für McAfee GTI-Einstellungen.
5
Einstellungen aus.
Siehe auch
Funktionsweise von McAfee GTI auf Seite 32
Funktionsweise von McAfee GTI
Wenn Sie McAfee GTI für den On-Access- oder On-Demand-Scanner aktivieren, verwendet der
Scanner eine Heuristik zur Überprüfung auf verdächtige Dateien. Der McAfee GTI-Server speichert
32
Produkthandbuch
2
Site-Bewertungen und Berichte für die Webkontrolle. Wenn Sie die Webkontrolle so konfigurieren, dass
heruntergeladene Dateien gescannt werden, werden verdächtige Dateien vom Scanner mithilfe der
von McAfee GTI bereitgestellten Datei-Reputation überprüft.
Der Scanner sendet Fingerabdrücke von Proben, auch Hashes genannt, an einen zentralen
Datenbankserver, der von McAfee Labs gehostet wird, um festzustellen, ob es sich um Malware
handelt. Durch Senden der Hashes kann die Erkennung schneller zur Verfügung gestellt werden als in
der nächsten Content-Datei-Aktualisierung, wenn McAfee Labs die Aktualisierung veröffentlicht.
Sie können die Sensibilitätsstufe konfigurieren, die von McAfee GTI zur Feststellung verwendet
werden, ob es sich bei der erkannten Probe um Malware handelt. Je höher die Sensibilitätsstufe, desto
höher die Anzahl der Malware-Erkennungen. Bei mehr Erkennungen wird jedoch auch die Anzahl der
False-Positives größer. Die McAfee GTI-Sensibilitätsstufe für den Bedrohungsschutz ist standardmäßig
auf Mittel eingestellt. Konfigurieren Sie die Sensibilitätsstufe für jeden Scanner in den
Bedrohungsschutz-Einstellungen. Die McAfee GTI-Sensibilitätsstufe für die Webkontrolle ist
standardmäßig auf Sehr hoch eingestellt. Konfigurieren Sie die Sensibilitätsstufe für das Scannen von
Datei-Downloads in den Einstellungen der Webkontrolle-Optionen.
Sie können Endpoint Security in den Einstellungen für das Allgemeingültig so konfigurieren, dass ein
Proxy-Server zum Abrufen von McAfee GTI-Reputationsinformationen verwendet wird.
Konfigurieren des Aktualisierungsverhaltens
Geben Sie in den Allgemeingültig-Einstellungen das Verhalten für Aktualisierungen an, die vom
Endpoint Security-Client initiiert werden.
Aufgaben
•
Konfigurieren von Quellsites für Aktualisierungen auf Seite 33
In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in den
Einstellungen für das Endpoint Security-Client Allgemeingültig die Sites konfigurieren, von
denen der aktualisierte Sicherheitsdateien erhält.
•
Konfigurieren des Standardverhaltens für Aktualisierungen auf Seite 35
Einstellungen für das Endpoint Security-Client Allgemeingültig das Standardverhalten für
Aktualisierungen festlegen, die vom initiiert werden.
•
Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37
Einstellungen für das Allgemeingültig benutzerdefinierte Aktualisierungs-Tasks konfigurieren
oder den Zeitplan für den Task Standard-Client-Aktualisierung über den Endpoint Security-Client
ändern.
•
Konfigurieren, Planen und Ausführen von Spiegelungs-Tasks auf Seite 38
Sie können Spiegelungs-Tasks über den Endpoint Security-Client in den Einstellungen für
das Allgemeingültig ändern oder planen.
Konfigurieren von Quellsites für Aktualisierungen
In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in den Einstellungen für
das Endpoint Security-Client Allgemeingültig die Sites konfigurieren, von denen der aktualisierte
Sicherheitsdateien erhält.
Bevor Sie beginnen
Sie können diese Einstellungen nur auf selbstverwalteten und von McAfee ePO verwalteten Systemen
konfigurieren.
Produkthandbuch
33
2
Vorgehensweise
1
2
3
4
Klicken Sie unter Allgemeingültig auf Optionen.
5
Konfigurieren Sie auf der Seite Einstellungen der Quellsites für Aktualisierungen.
Einstellungen aus.
Sie können die Standard-Sicherungs-Quellsite, McAfeeHttp, und den Management-Server (für
verwaltete Systeme) aktivieren und deaktivieren, aber nicht ändern oder löschen.
Die Reihenfolge der Sites legt die Reihenfolge fest, die Endpoint Security bei der Suche nach der
Aktualisierungs-Site verwendet.
Ziel
Auszuführende Schritte
Der Liste eine Site
hinzufügen
1 Klicken Sie auf Hinzufügen.
2 Legen Sie die Site-Einstellungen fest, und klicken Sie auf OK.
Die Site wird am Anfang der Liste angezeigt.
Eine vorhandene Site ändern
1 Doppelklicken Sie auf den Site-Namen.
2 Ändern Sie die Einstellungen, und klicken Sie auf OK.
Eine Site löschen.
Wählen Sie die gewünschte Site aus, und klicken Sie dann auf
Löschen.
Sites aus einer
Quellsite-Listendatei
importieren
1 Klicken Sie auf Importieren.
2 Wählen Sie die zu importierende Datei aus, und klicken Sie auf
OK.
Die vorhandene Quellsite-Liste wird durch die Site-Listendatei
ersetzt.
Quellsite-Liste in eine
SiteList.xml-Datei
exportieren
1 Klicken Sie auf Alle exportieren.
Sites in der Liste neu
anordnen
So verschieben Sie Elemente:
2 Wählen Sie den Speicherort der Quellsite-Listendatei aus, und
klicken Sie auf OK.
1 Wählen Sie Elemente zum Verschieben aus.
Der Ziehpunkt
werden können.
erscheint links von Elementen, die verschoben
2 Verschieben Sie die Elemente per Drag-and-Drop an den
gewünschten Ort.
Eine blaue Linie erscheint zwischen Elementen, wo Sie die
gezogenen Elemente ablegen können.
6
34
Produkthandbuch
2
Siehe auch
Inhalt der Repository-Liste auf Seite 35
Funktionsweise des Tasks Standard-Client-Aktualisierung auf Seite 36
Inhalt der Repository-Liste
In der Repository-Liste werden Informationen zu Repositorys aufgeführt, die McAfee Agent zur
Aktualisierung von McAfee-Produkten sowie Modul- und DAT-Dateien verwendet.
Die Repository-Liste umfasst Folgendes:
•
Repository-Informationen und -Speicherort
•
Bevorzugte Reihenfolge der Repositorys
•
Proxy-Server-Einstellungen, falls erforderlich
•
Verschlüsselte Anmeldeinformationen für den Zugriff auf die einzelnen Repositorys
Der McAfee Agent-Client-Produktaktualisierungs-Task stellt eine Verbindung mit dem ersten aktivierten
Repository (Aktualisierungs-Site) in der Repository-Liste her. Ist dieses Repository nicht verfügbar,
kontaktiert der Task die nächste Site in der Liste, bis eine Verbindung hergestellt wird oder das Ende
der Liste erreicht ist.
Wenn in Ihrem Netzwerk ein Proxy-Server eingesetzt wird, können Sie dessen Adresse und die zu
verwendenden Proxy-Einstellungen festlegen und bestimmen, ob eine Authentifizierung verwendet
werden soll. Proxy-Informationen werden in der Repository-Liste gespeichert. Die von Ihnen
konfigurierten Proxy-Einstellungen gelten für alle Repositorys in der Repository-Liste.
Der Speicherort der Repository-Liste ist von Ihrem Betriebssystem abhängig.
Betriebssystem
Speicherort der Repository-Liste
Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml
Microsoft Windows 7
Ältere Versionen
C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee
\Common Framework\SiteList.xml
Konfigurieren des Standardverhaltens für Aktualisierungen
das Endpoint Security-Client Allgemeingültig das Standardverhalten für Aktualisierungen festlegen, die
vom initiiert werden.
Bevor Sie beginnen
konfigurieren.
Verwenden Sie diese Einstellungen für Folgendes:
•
Ein- oder Ausblenden der Schaltfläche
•
auf dem Client.
Festlegen, welche Aktualisierung beim Klicken auf die Schaltfläche oder beim Ausführen des Tasks
Standard-Client-Aktualisierung vorgenommen wird.
Produkthandbuch
35
2
Standardmäßig wird der Task Standard-Client-Aktualisierung täglich um 1:00 Uhr ausgeführt und alle
vier Stunden bis 23:59 Uhr wiederholt. Informationen zum Ändern von Zeitplänen finden Sie unter
Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37.
Auf selbstverwalteten Systemen aktualisiert der Task Standard-Client-Aktualisierung sämtlichen Inhalt
und die Software. Auf verwalteten Systemen aktualisiert dieser Task nur den Inhalt.
Vorgehensweise
1
2
3
4
Konfigurieren Sie die Einstellungen für die Standard-Client-Aktualisierung auf der Seite.
5
Einstellungen aus.
Siehe auch
Funktionsweise des Tasks Standard-Client-Aktualisierung
Der Task Standard-Client-Aktualisierung lädt den aktuellen Schutz für den Endpoint Security-Client
herunter.
Endpoint Security enthält den Task Standard-Client-Aktualisierung. Dieser wird täglich um 1:00 Uhr
ausgeführt und alle vier Stunden bis 23:59 Uhr wiederholt.
Der Task Standard-Client-Aktualisierung:
1
Stellt eine Verbindung mit der ersten aktivierten Quellsite in der Liste her.
Wenn diese Site nicht verfügbar ist, kontaktiert der Task die nächste Site bis eine Verbindung
hergestellt wird oder das Ende der Liste erreicht ist.
2
Lädt eine verschlüsselte CATALOG.Z-Datei von der Site herunter.
Die Datei enthält die für die Aktualisierung benötigten Informationen, darunter verfügbare Dateien
und Updates.
3
Vergleicht die in der Datei aufgeführten Softwareversionen mit den Versionen auf dem Computer
und lädt neu verfügbare Software-Aktualisierungen herunter.
Wenn der Task Standard-Client-Aktualisierung während der Aktualisierung unterbrochen wird:
Aktualisierungen von ...
Bei Unterbrechung ...
HTTP, UNC oder eine lokale Site
Setzt die Aktualisierung bei einem erneuten Start der
Aktualisierung an der Stelle der Unterbrechung fort.
FTP-Site (Einzeldatei-Download)
Wird bei Unterbrechung nicht fortgesetzt.
FTP-Site (Download mehrerer Dateien) Beginnend mit der vor der Unterbrechung zuletzt
heruntergeladenen Datei wird der Task fortgesetzt.
Siehe auch
Inhalt der Repository-Liste auf Seite 35
36
Produkthandbuch
2
Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks
das Allgemeingültig benutzerdefinierte Aktualisierungs-Tasks konfigurieren oder den Zeitplan für den
Task Standard-Client-Aktualisierung über den Endpoint Security-Client ändern.
Bevor Sie beginnen
konfigurieren.
Verwenden Sie diese Einstellungen zum Konfigurieren über den Client, wenn der Task
Standard-Client-Aktualisierung ausgeführt wird. Im Abschnitt Konfigurieren des Standardverhaltens für
Aktualisierungen auf Seite 35 erhalten Sie weitere Informationen zum Konfigurieren des
Standardverhaltens für Client-Aktualisierungen, die vom Endpoint Security-Client initiiert werden.
Vorgehensweise
1
2
3
4
Klicken Sie unter Allgemeingültig auf Tasks.
5
Konfigurieren Sie die Einstellungen des Aktualisierungs-Tasks auf der Seite.
Einstellungen aus.
Ziel
Benutzerdefinierten
Aktualisierungs-Task
erstellen
2 Geben Sie den Namen ein, und wählen Sie anschließend aus der
Dropdown-Liste Task-Typ auswählen die Option Aktualisieren aus.
3 Konfigurieren Sie die Einstellungen, und klicken Sie zum
Speichern des Tasks auf OK.
Aktualisierungs-Task ändern • Doppelklicken Sie auf den Task, nehmen Sie die gewünschten
Änderungen vor, und klicken Sie zum Speichern des Tasks auf OK.
Benutzerdefinierten
entfernen
• Wählen Sie den Task aus, und klicken Sie dann auf Löschen.
Kopie eines
Aktualisierungs-Tasks
erstellen
1 Wählen Sie den Task aus, und klicken Sie dann auf Duplizieren.
2 Geben Sie den Namen ein, konfigurieren Sie die Einstellungen,
und klicken Sie zum Speichern des Tasks auf OK.
Produkthandbuch
37
2
Ziel
Zeitplan für den Task
Standard-Client-Aktualisierung
ändern
1 Doppelklicken Sie auf Standard-Client-Aktualisierung.
2 Klicken Sie auf die Registerkarte Zeitplan, nehmen Sie die
gewünschten Änderungen am Zeitplan vor, und klicken Sie zum
Speichern des Tasks auf OK.
Im Abschnitt Konfigurieren des Standardverhaltens für
Aktualisierungen auf Seite 35 erhalten Sie weitere Informationen
zum Konfigurieren des Standardverhaltens für
Client-Aktualisierungen, die vom Endpoint Security-Client initiiert
werden.
ausführen
• Wählen Sie den Task aus, und klicken Sie dann auf Jetzt ausführen.
Wird der Task bereits ausgeführt (einschließlich angehalten oder
verschoben), ändert sich die Schaltfläche in Anzeigen.
Wenn Sie einen Task ausführen, bevor die Änderungen
übernommen wurden, werden Sie vom Endpoint Security-Client
dazu aufgefordert, die Änderungen zu speichern.
6
Siehe auch
Funktionsweise des Tasks Standard-Client-Aktualisierung auf Seite 36
Konfigurieren, Planen und Ausführen von Spiegelungs-Tasks
Sie können Spiegelungs-Tasks über den Endpoint Security-Client in den Einstellungen für das
Allgemeingültig ändern oder planen.
Bevor Sie beginnen
Vorgehensweise
38
1
2
3
4
5
Konfigurieren Sie die Einstellungen des Spiegelungs-Tasks auf der Seite.
Einstellungen aus.
Produkthandbuch
2
Ziel
Spiegelungs-Task
erstellen
2 Geben Sie den Namen ein, und wählen Sie anschließend aus der
Dropdown-Liste Task-Typ auswählen die Option Spiegeln aus.
3 Konfigurieren Sie die Einstellungen, und klicken Sie dann auf OK.
Spiegelungs-Task
ändern
• Doppelklicken Sie auf den Spiegelungs-Task, nehmen Sie die
gewünschten Änderungen vor, und klicken Sie auf OK.
Spiegelungs-Task
entfernen.
Kopie eines
Spiegelungs-Tasks
erstellen
Spiegelungs-Task
planen
1 Doppelklicken Sie auf den Task.
Spiegelungs-Task
ausführen
2 Geben Sie den Namen ein, konfigurieren Sie die Einstellungen, und
klicken Sie dann auf OK.
2 Klicken Sie auf die Registerkarte Zeitplan, nehmen Sie die gewünschten
Änderungen am Zeitplan vor, und klicken Sie zum Speichern des Tasks
auf OK.
Wenn Sie einen Task ausführen, bevor die Änderungen übernommen
wurden, werden Sie vom Endpoint Security-Client dazu aufgefordert, die
Änderungen zu speichern.
6
Funktionsweise von Spiegelungs-Tasks
Mit Spiegelungs-Tasks können Sie Aktualisierungsdateien aus dem ersten erreichbaren Repository, das
in der Repository-Liste definiert ist, in eine Spiegel-Site in Ihrem Netzwerk replizieren.
Dieser Task wird meist zum Spiegeln des Inhalts der McAfee-Download-Site auf einen lokalen Server
verwendet.
Nachdem Sie die McAfee-Site repliziert haben, die die Aktualisierungsdateien enthält, können
Computer in Ihrem Netzwerk die Dateien von der Spiegel-Site herunterladen. Auf diese Weise können
Sie jeden Computer in Ihrem Netzwerk aktualisieren, auch jene ohne Internetzugriff. Die Verwendung
einer replizierten Site ist effizienter, da Ihre Systeme mit einem Server kommunizieren, der näher ist
als eine McAfee-Internet-Site, wodurch wiederum Zugriffszeit und die Zeit zum Herunterladen
verringert werden.
Der Bedrohungsschutz ist zur eigenen Aktualisierung auf ein bestimmtes Verzeichnis angewiesen.
Beim Spiegeln einer Site muss daher die gesamte Verzeichnisstruktur repliziert werden.
Produkthandbuch
39
2
40
Produkthandbuch
3
Bedrohungsschutz prüft auf Viren, Spyware, unerwünschte Programme und andere Bedrohungen
durch Scannen von Elementen auf Ihrem Computer.
Inhalt
Scannen Ihres
Verwalten von
Verwalten von
Verwalten von
Computers auf Malware
erkannten Bedrohungen
isolierten Elementen
Bedrohungsschutz
Scannen Ihres Computers auf Malware
Scannen Sie Ihren Computer auf Malware, indem Sie Optionen im Endpoint Security-Client oder
Windows Explorer auswählen.
Aufgaben
•
Ausführen eines vollständigen Scans oder Schnellscans auf Seite 42
Verwenden Sie Endpoint Security-Client zum manuellen Ausführen eines vollständigen
Scans oder Schnellscans auf Ihrem Computer.
•
Scannen einer Datei oder eines Ordners auf Seite 44
Falls Sie vermuten, dass eine Datei oder ein Ordner infiziert sein könnte, sollten Sie
umgehend einen Scan per Kontextmenü im Windows Explorer durchführen.
Siehe auch
Scan-Typen auf Seite 41
Scan-Typen
Endpoint Security stellt zwei Scan-Typen zur Verfügung: On-Access-Scans und On-Demand-Scans.
•
On-Access-Scan: Der Administrator konfiguriert On-Access-Scans für die Ausführung auf
verwalteten Computern. Konfigurieren Sie für selbstverwaltete Computer den On-Access-Scanner
auf der Seite Einstellungen.
Wenn auf Dateien, Ordner und Programme zugegriffen wird, fängt der On-Access-Scanner den
Vorgang ab und scannt das Element basierend auf Kriterien, die in den Einstellungen konfiguriert
wurden.
•
On-Demand-Scan
Produkthandbuch
41
3
Manuell Der Administrator (oder Benutzer bei selbstverwalteten Systemen) konfiguriert
vordefinierte oder benutzerdefinierte On-Demand-Scans, die Benutzer auf verwalteten
Computern ausführen können.
• Führen Sie jederzeit einen vordefinierten On-Demand-Scan vom Endpoint
Security-Client aus, indem Sie auf
auswählen:
klicken und einen Scan-Typ
Der Schnellscan führt eine schnelle Überprüfung der für Infektionen besonders
anfälligen Systembereiche aus.
Der vollständige Scan führt eine gründliche Überprüfung aller Systembereiche aus.
(Empfohlen, wenn Sie vermuten, dass der Computer infiziert ist.)
• Scannen Sie eine einzelne Datei oder einen Ordner jederzeit im Windows Explorer,
indem Sie mit der rechten Maustaste auf die Datei oder den Ordner klicken und
Scannen auf Bedrohungen aus dem Pop-Up-Menü auswählen.
• Konfigurieren Sie einen benutzerdefinierten On-Demand-Scan als Administrator vom
Endpoint Security-Client:
1 Wählen Sie Einstellungen | Allgemeingültig | Tasks aus.
2 Wählen Sie den auszuführenden Task aus.
3 Klicken Sie auf Jetzt ausführen.
Geplant Der Administrator (oder Benutzer bei selbstverwalteten Systemen) konfiguriert
On-Demand-Scans für die Ausführung auf Computern.
Vor dem Start eines geplanten On-Demand-Scans zeigt Endpoint Security unten auf
dem Bildschirm eine Scan-Aufforderung an. Sie können den Scan sofort starten oder ihn
verschieben, sofern konfiguriert.
So konfigurieren und planen Sie einen Schnellscan oder einen vollständigen Scan als
vordefinierten On-Demand-Scan:
1 Einstellungen | On-Demand-Scan | vollständiger Scan-Registerkarte oder
Schnellscan-Registerkarte: konfiguriert On-Demand-Scans.
2 Einstellungen | Common | Tasks – Plant On-Demand-Scans.
Siehe auch
Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75
Ausführen eines vollständigen Scans oder Schnellscans
Verwenden Sie Endpoint Security-Client zum manuellen Ausführen eines vollständigen Scans oder
Schnellscans auf Ihrem Computer.
Bevor Sie beginnen
Das Bedrohungsschutz-Modul muss installiert sein.
Das Verhalten des vollständigen Scans und Schnellscans ist abhängig von der Konfiguration der
Einstellungen. Mit Administratoranmeldeinformationen können Sie diese Scans in den
On-Demand-Scan-Einstellungen ändern und planen.
42
Produkthandbuch
3
Vorgehensweise
1
2
Klicken Sie auf
3
.
Klicken Sie auf der Seite System scannen bei dem auszuführenden Scan auf Jetzt scannen.
Vollständiger Scan Führt eine gründliche Überprüfung aller Bereiche auf Ihrem System aus
(empfohlen, wenn Sie vermuten, dass Ihr Computer infiziert ist).
Schnellscan
Führt eine schnelle Überprüfung der für Infektionen besonders anfälligen
Systembereiche aus.
Wenn bereits ein Scan ausgeführt wird, ändert sich die Schaltfläche Jetzt scannen zu Scan anzeigen.
Je nach konfigurierten Einstellungen und ob eine Bedrohung erkannt wurde, wird möglicherweise
auch die Schaltfläche Erkennungen anzeigen für den On-Access-Scanner angezeigt. Klicken Sie auf diese
Schaltfläche, um die Seite On-Access-Scan zu öffnen und erkannte Bedrohungen jederzeit zu
verwalten. Siehe Verwalten von erkannten Bedrohungen auf Seite 45.
Endpoint Security-Client zeigt den Status des Scans auf einer neuen Seite an.
Das AMCore Content-Erstellungsdatum zeigt den letzten Zeitpunkt der Content-Aktualisierung an.
Wenn der Content älter als zwei Tage ist, empfiehlt McAfee, dass Sie vor Ausführen des Scans Ihren
Schutz aktualisieren.
4
5
Klicken Sie oben auf der Statusseite auf die entsprechenden Schaltflächen, um den Scan zu
steuern.
Scan anhalten
Pausiert den Scan, bevor er abgeschlossen ist.
Scan fortsetzen
Scan abbrechen
Bricht einen laufenden Scan ab.
Sobald der Scan abgeschlossen ist, werden auf der Seite die Anzahl der gescannten Dateien, die
verstrichene Zeit und alle Erkennungen angezeigt.
Erkennungsname
Identifiziert den Namen der erkannten Malware.
Typ
Zeigt den Bedrohungstyp an.
Datei
Identifiziert die infizierte Datei.
Aktion
Beschreibt die zuletzt ausgeführte Aktion für die infizierte Datei:
• Zugriff verweigert
• Gesäubert
• Gelöscht
• Keine
Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der nächste On-Demand-Scan startet.
Produkthandbuch
43
3
6
Wählen Sie eine Erkennung aus der Tabelle, klicken Sie dann auf Säubern oder Löschen, um die
infizierte Datei zu säubern bzw. zu löschen.
Je nach Bedrohungstyp und Scan-Einstellungen stehen diese Aktionen möglicherweise nicht zur
Verfügung.
7
Klicken Sie auf Schließen, um die Seite zu schließen.
Siehe auch
Erkennungsnamen auf Seite 48
Konfigurieren Sie die für den On-Demand-Scan auf Seite 70
Scannen einer Datei oder eines Ordners
Falls Sie vermuten, dass eine Datei oder ein Ordner infiziert sein könnte, sollten Sie umgehend einen
Scan per Kontextmenü im Windows Explorer durchführen.
Bevor Sie beginnen
Das Verhalten des Scans per Kontextmenü ist abhängig von der Konfiguration der Einstellungen. Mit
Administratoranmeldeinformationen können Sie diese Scans in den On-Demand-Scan-Einstellungen
ändern.
Vorgehensweise
1
Klicken Sie im Windows Explorer zum Scannen mit der rechten Maustaste auf eine Datei oder einen
Ordner, und wählen Sie Scannen auf Bedrohungen aus dem Pop-Up-Menü.
Endpoint Security-Client zeigt den Scan-Status auf der Seite Scannen auf Bedrohungen an.
2
3
Klicken Sie oben auf der Seite auf die entsprechenden Schaltflächen, um den Scan zu steuern.
Scan anhalten
Pausiert den Scan, bevor er abgeschlossen ist.
Scan fortsetzen
Scan abbrechen
Bricht einen laufenden Scan ab.
Sobald der Scan abgeschlossen ist, werden auf der Seite die Anzahl der gescannten Dateien, die
verstrichene Zeit und alle Erkennungen angezeigt.
Erkennungsname
Identifiziert den Namen der erkannten Malware.
Typ
Zeigt den Bedrohungstyp an.
Datei
Identifiziert die infizierte Datei.
Aktion
Beschreibt die zuletzt ausgeführte Aktion für die infizierte Datei:
• Zugriff verweigert
• Gesäubert
• Gelöscht
• Keine
44
Produkthandbuch
Verwalten von erkannten Bedrohungen
4
3
Wählen Sie eine Erkennung aus der Tabelle, klicken Sie dann auf Säubern oder Löschen, um die
infizierte Datei zu säubern bzw. zu löschen.
Je nach Bedrohungstyp und Scan-Einstellungen stehen diese Aktionen möglicherweise nicht zur
Verfügung.
5
Klicken Sie auf Schließen, um die Seite zu schließen.
Siehe auch
Verwalten von erkannten Bedrohungen
Je nach Konfigurierung der Einstellungen können Sie erkannte Bedrohungen über den Endpoint
Security-Client verwalten.
Bevor Sie beginnen
Vorgehensweise
1
2
Klicken Sie auf Jetzt scannen, um die Seite System scannen zu öffnen.
Produkthandbuch
45
3
Verwalten von isolierten Elementen
3
Klicken Sie unter On-Access-Scan aufErkennungen anzeigen.
Diese Option ist nicht verfügbar, wenn die Liste keine Erkennungen enthält oder Benutzermeldungen
deaktiviert sind.
4
Wählen Sie eine der folgenden Optionen auf der Seite On-Access-Scan.
Versucht, das Element (Datei, Registrierungseintrag) zu säubern und es in die
Quarantäne zu verschieben.
Säubern
Endpoint Security verwendet Informationen in der Content-Dateien zur
Dateisäuberung. Wenn eine Content-Datei kein Säuberungsprogramm hat oder die
Datei unrettbar beschädigt ist, verweigert der Scanner den Zugriff auf die Datei. In
diesem Fall wird von McAfee empfohlen, die Datei aus der Quarantäne zu löschen
und den Inhalt aus einer sauberen Sicherungskopie wiederherzustellen.
Löscht das Element mit der Bedrohung.
Löschen
Eintrag entfernen Entfernt den Eintrag aus der Erkennungsliste.
Schließt die Scan-Seite.
Schließen
Wenn eine Aktion für die Bedrohung nicht verfügbar ist, ist die entsprechende Option deaktiviert.
Beispielsweise ist die Option Säubern nicht verfügbar, wenn die Datei bereits gelöscht wurde.
Endpoint Security speichert Elemente, die als Bedrohungen erkannt wurden, in der Quarantäne. Sie
können für isolierte Elemente Aktionen ausführen.
Bevor Sie beginnen
Beispielsweise können Sie ein Element wiederherstellen, nachdem Sie eine aktuellere Version der
Content-Datei heruntergeladen haben, die Informationen zum Säubern der Bedrohung enthält.
Isolierte Elemente können mehrere Typen gescannter Objekte enthalten: Dateien, Registrierungen oder
andere, die Endpoint Security auf Malware scannt.
Vorgehensweise
Hilfe.
1
2
Klicken Sie links auf der Seite auf Quarantäne.
Auf der Seite werden alle Elemente in der Quarantäne angezeigt.
Wenn der Endpoint Security-Client den Quarantäne-Manager nicht erreichen kann, wird eine
Kommunikationsfehlermeldung angezeigt. Starten Sie in diesem Fall das System neu, um die Seite
Quarantäne anzuzeigen.
46
Produkthandbuch
3
4
3
Wählen Sie aus dem oberen Bereich ein Element aus, um die Details unten anzuzeigen.
Ziel
Relative Größen der Bereiche ändern
Ziehen Sie am Widget, um die Größe der Bereiche zu
ändern.
Elemente in der Tabelle nach
Bedrohungsnamen oder -typ sortieren
Klicken Sie auf die Tabellenspaltenüberschrift.
Führen Sie auf der Quarantäne-Seite Aktionen für ausgewählte Elemente aus.
Ziel
Elemente aus der
Quarantäne löschen
Wählen Sie Elemente, klicken Sie auf Löschen und anschließend zur
Bestätigung erneut auf Löschen.
Gelöschte Elemente können nicht wiederhergestellt werden.
Elemente aus der
Quarantäne
wiederherstellen
Wählen Sie Elemente, klicken Sie auf Wiederherstellen und anschließend zur
Bestätigung erneut auf Wiederherstellen.
Endpoint Security stellt die Elemente im ursprünglichen Speicherort
wieder her und entfernt sie aus der Quarantäne.
Wenn ein Element noch immer eine gültige Bedrohung darstellt, wird es
von Endpoint Security beim nächsten Zugriff darauf erneut in die
Quarantäne verschoben.
Elemente erneut
scannen
Wählen Sie Elemente aus, und klicken Sie dann auf Erneut scannen.
Element im
Ereignisprotokoll
anzeigen
Wählen Sie ein Element aus, und klicken Sie dann im Detailbereich auf
den Link Im Ereignisprotokoll anzeigen.
Weitere Informationen
zu einer Bedrohung
abrufen
Wählen Sie ein Element aus, und klicken Sie dann im Detailbereich auf
den Link Weitere Informationen zu dieser Bedrohung.
Sie könnten beispielsweise ein Element erneut scannen, nachdem Sie
Ihren Schutz aktualisiert haben. Wenn das Element keine Bedrohung
mehr ist, können Sie es in seinen ursprünglichen Speicherort
wiederherstellen und aus der Quarantäne entfernen.
Die Seite Ereignisprotokoll wird geöffnet, auf der das zum Ereignis gehörige
ausgewählte Element hervorgehoben ist.
Ein neues Browserfenster mit der McAfee Labs-Website wird geöffnet, auf
der Sie weitere Informationen zu der Bedrohung finden, die die Ursache
für die Isolierung des Elements war.
Siehe auch
Erneutes Scannen isolierter Elemente auf Seite 49
Produkthandbuch
47
3
Erkennungsnamen
Der Quarantäne-Bericht meldet Bedrohungen mit Erkennungsname.
Erkennungsname
Beschreibung
Adware
Software, die Umsatz erzeugt, indem dem Benutzer Werbung angezeigt
wird. Adware erzielt Einkünfte durch den Anbieter oder durch
Anbieterpartner. Manche Arten von Adware können persönliche Daten
erfassen und weiterzugeben.
Dialer
Software, die Internetverbindungen an einen Dritten weiterleitet, bei dem
es sich nicht um den standardmäßigen Internet Service Provider des
Benutzers handelt. Durch Dialer sollen zusätzliche Verbindungsgebühren
für einen Inhaltsanbieter, Händler oder einen Dritten anfallen.
Scherzprogramm
Software, die behauptet, einem Computer Schaden zuzufügen, aber
weder schädliche Nutzlast enthält noch zum Schaden verwendet wird. Sie
wirkt sich nicht auf den Sicherheits- oder Datenschutzstatus aus, kann
aber einen Benutzer alarmieren oder verärgern.
Keylogger
Software, die Daten zwischen dem Benutzer, der sie eingibt, und der
beabsichtigten Empfängeranwendung abfängt. Trojaner und potenziell
unerwünschte Programm-Keylogger können auf identische Weise
funktionieren. McAfee-Software erkennt beide Arten und verhindert
Intrusionen.
Kennwort-Cracker
Software, die es einem Benutzer oder Administrator gestattet, vergessene
Kennwörter für Benutzerkonten oder Datendateien wiederherzustellen. In
den Händen eines Angreifers ermöglicht sie Zugriff auf vertrauliche Daten
und stellt somit eine Bedrohung für Sicherheit und Datenschutz dar.
Potenziell unerwünschtes
Programm
Enthält häufig an und für sich legitime Software (keine Malware), die
jedoch den Sicherheits- oder Datenschutzstatus des Systems ändern
können. Diese Software kann mit einem gewünschten Programm
zusammen heruntergeladen werden. Dazu gehören beispielsweise
Spyware, Adware, Keylogger, Kennwort-Cracker, Hacker-Tools und
Dialer-Anwendungen.
Remote-Verwaltungstool
Software, mit der ein Administrator ein System aus der Ferne steuern
kann. Diese Tools stellen eine ernsthafte Sicherheitsbedrohung dar, wenn
sie von einem Angreifer gesteuert werden.
Spyware
Spyware übermittelt persönliche Informationen ohne Wissen oder
Zustimmung des Benutzers an Dritte. Spyware nutzt infizierte Computer
zu Profitzwecken aus, etwa auf folgende Weise:
• Einblenden unerwünschter Werbe-Pop-Ups
• Stehlen persönlicher Daten stehlen, z. B. Finanzdaten wie
Kreditkartennummern
• Überwachen von Webaktivitäten zu Marketingzwecken
• Umleiten von HTTP-Anfragen auf Werbe-Websites
Siehe auch Potenziell unerwünschtes Programm.
Tarnprogramm
Ein Virentyp, der versucht, der Erkennung durch Virenschutz-Software zu
entgehen.
Auch bekannt als Unterbrechungsabfänger.
Viele Tarnprogramm-Viren fangen Anfragen für den Laufwerkszugriff ab.
Wenn eine Virenschutz-Anwendung auf der Suche nach Viren versucht,
Dateien oder Boot-Sektoren zu lesen, zeigt der Virus ein "sauberes" Bild
des gewünschten Elements. Andere Viren verbergen die tatsächliche
Größe einer infizierten Datei und zeigt die Größe der Datei vor der
Infektion an.
48
Produkthandbuch
Verwalten von Bedrohungsschutz
Erkennungsname
Beschreibung
Trojaner
Dies ist ein bösartiges Programm, das als gutartige Anwendung getarnt
ist. Ein Trojaner wird nicht repliziert, aber verursacht Schaden oder
gefährdet die Sicherheit Ihres Computers.
3
Ein Computer wird oft infiziert:
• Wenn ein Benutzer einen Trojaner-Anhang in einer E-Mail öffnet.
• Wenn ein Benutzer einen Trojaner von einer Website herunterlädt.
• Durch Peer-to-Peer-Netzwerkdienste.
Weil Sie sich nicht selbst replizieren, werden Trojaner nicht als Viren
angesehen.
Virus
Ein Virus hängt sich an Festplatten oder andere Dateien und repliziert sich
wiederholt, typischerweise ohne Wissen oder Erlaubnis des Benutzers.
Einige Viren heften sich an Dateien, sodass sie bei der Ausführung der
infizierten Datei mit ausgeführt werden. Andere nisten sich im
Computerspeicher ein und infizieren laufend Dateien, wenn diese vom
Rechner geöffnet, verändert und erstellt werden. Einige Viren weisen
Symptome auf, andere beschädigen Dateien und Computersysteme.
Erneutes Scannen isolierter Elemente
Beim erneuten Scannen von Elementen in Quarantäne verwendet Endpoint Security
Scan-Einstellungen, die maximalen Schutz bieten.
Bevor Sie Elemente in Quarantäne wiederherstellen, sollten Sie sie immer erneut scannen. Sie könnten
beispielsweise ein Element erneut scannen, nachdem Sie Ihren Schutz aktualisiert haben. Wenn das
Element keine Bedrohung mehr ist, können Sie es in seinen ursprünglichen Speicherort wiederherstellen
und aus der Quarantäne entfernen.
Die Scan-Bedingungen können sich im Zeitraum von der ursprünglichen Erkennung bis zum erneuten
Scannen verändern. Dies kann Auswirkungen auf die Erkennung isolierter Elemente haben.
Beim erneuten Scannen isolierter Elemente führt Endpoint Security stets folgende Aktionen durch:
•
MIME-codierte Dateien scannen
•
Komprimierte Archivdateien scannen
•
McAfee GTI-Suche für Elemente erzwingen
•
McAfee GTI-Sensibilitätsstufe auf Sehr hoch einstellen
Selbst bei Verwendung dieser Scan-Einstellungen könnten beim erneuten Scannen der Elemente in
Quarantäne Bedrohungen nicht erkannt werden. Ändern sich beispielsweise die Metadaten (Pfad oder
Registrierungsverzeichnis) eines Elements, könnte beim erneuten Scan ein False-Positive produziert
werden, obwohl das Element noch immer infiziert ist.
Als Administrator können Sie Bedrohungsschutz-Einstellungen festlegen, um bösartigen Zugriff zu
vermeiden und Scans zu konfigurieren.
Produkthandbuch
49
3
Konfigurieren von Ausschlüssen
Mit dem Bedrohungsschutz können Sie den Schutz an Ihre Bedürfnisse anpassen, indem Sie
auszuschließende Elemente festlegen.
Es könnte beispielsweise nötig sein, einige Dateitypen auszuschließen, damit ein Scanner keine Datei
sperrt, die von einer Datenbank oder einem Server verwendet wird. (Durch eine gesperrte Datei
könnten bei der Datenbank oder dem Server Fehler auftreten.)
Um einen Ordner auf Windows-Systemen auszuschließen, fügen Sie dem Pfad einen umgekehrten
Schrägstrich (\) hinzu. Um einen Ordner auf Mac-Systemen auszuschließen, fügen Sie dem Pfad einen
Schrägstrich (/) hinzu.
Funktion
Auszuschließende Konfigurationsort
Elemente
festlegen
Elemente
ausschließen
nach
Platzhalter
verwenden?
Zugriffsschutz
Prozesse (für alle
Regeln oder eine
festgelegte Regel)
Name oder Pfad
der ausführbaren
Datei, MD5-Hash
oder
Signaturgeber
Ja –
Dateiname
und -pfad
Nein
Zugriffsschutz-Einstellungen
Nein –
MD5-Hash
und
Signaturgeber
Exploit-Schutz
Prozesse
Exploit-Schutz-Einstellungen
Prozessname,
Anrufermodul
oder API
Alle Scans
Erkennungsnamen
Optionen-Einstellungen
Erkennungsname Ja
(Groß-/
Kleinschreibung
wird beachtet)
On-Access-Scan
• Standard
• Hohes Risiko
Potenziell
unerwünschte
Programme
Name
Ja
Dateien, Dateitypen On-Access-Scan-Einstellungen
und Ordner
Dateiname oder
Ordner, Dateityp
oder Dateialter
Ja
ScriptScan-URLs
URL-Name
Nein
• Niedriges Risiko
On-Demand-Scan
• Schnellscan
Dateien, Ordner
und Laufwerke
On-Demand-Scan-Einstellungen Dateiname oder
Ordner, Dateityp
oder Dateialter
Ja
Allgemeingültig | Tasks | Task
hinzufügen | benutzerdefinierter
Scan
Ja
• Vollständiger Scan
• Scan per
Kontextmenü
Benutzerdefinierter Dateien, Ordner
On-Demand-Scan und Laufwerke
Dateiname oder
Ordner, Dateityp
oder Dateialter
Siehe auch
Platzhalter in Ausschlüssen auf Seite 51
50
Produkthandbuch
3
Platzhalter in Ausschlüssen
Sie haben die Möglichkeit, Platzhalter zur Darstellung von Zeichen in Ausschlüssen für Dateien,
Ordner, Erkennungsnamen und potenziell unerwünschte Programme zu verwenden.
Tabelle 3-1 Gültige Platzhalter
Platzhalterzeichen Name
Steht für
?
Einzelnes Zeichen.
Fragezeichen
Dieser Platzhalter gilt nur dann, wenn die Anzahl der
Zeichen mit denen des Datei- oder Ordnernamens
übereinstimmt. Beispiel: Der Ausschluss W?? schließt die
Zeichenfolge WWW aus, aber nicht die Zeichenfolgen WW
oder WWWW.
*
Sternchen
Mehrere Zeichen außer umgekehrtem Schrägstrich (\).
**
Zwei Sternchen Null oder mehr beliebige Zeichen einschließlich des
umgekehrten Schrägstriches (\).
Dieser Platzhalter stimmt mit null oder mehr Zeichen
überein. Beispiel: C:\ABC\**\XYZ stimmt überein mit C:
\ABC\DEF\XYZ und C:\ABC\XYZ.
In einer Pfadangabe können Platzhalter vor umgekehrten Schrägstrichen (\) eingesetzt werden.
Beispielsweise stimmt C:\ABC\*\XYZ überein mit C:\ABC\DEF\XYZ.
Ausschlüsse auf Stammebene
Für Ausschlüsse auf Stammebene benötigt der Bedrohungsschutz einen absoluten Pfad. Die
vorangestellten Platzhalterzeichen \ oder ?:\ können also nicht verwendet werden, um
übereinstimmende Laufwerksnamen auf Stammebene zu finden.
Dieses Verhalten unterscheidet sich von VirusScan Enterprise. Weitere Informationen finden Sie im
KnowledgeBase-Artikel KB85746 und im McAfee Endpoint Security-Migrationshandbuch.
Mit dem Bedrohungsschutz können Sie die vorangestellten Platzhalterzeichen **\ in Ausschlüssen auf
Stammebene verwenden, um übereinstimmende Laufwerke und Unterordner zu finden. **\test
entspricht beispielsweise Folgendem:
C:\test
D:\test
C:\temp\test
D:\foo\test
Schützen der Systemzugriffspunkte
Der Schutz der Zugriffspunkte Ihres Client-Systems vor Bedrohungen stellt Ihre erste
Verteidigungslinie gegen Malware dar. Der Zugriffsschutz verhindert unerwünschte Änderungen am
verwalteten Computer, indem der Zugriff auf bestimmte Dateien, Freigaben sowie
Registrierungsschlüssel und -werte eingeschränkt wird.
Der Zugriffsschutz verwendet von McAfee definierte und benutzerdefinierte Regeln, um den Zugriff auf
Elemente zu melden oder zu blockieren. Der Zugriffsschutz vergleicht eine angeforderte Aktion mit der
Regelliste und handelt entsprechend der Regel.
Produkthandbuch
51
3
Der Zugriffsschutz muss aktiviert sein, damit Zugriffsversuche auf Dateien, Freigaben sowie
Registrierungsschlüssel und -werte erkannt werden.
Der Zugriffsschutz ist standardmäßig aktiviert.
Zugriffsmöglichkeiten für Bedrohungen
Bedrohungen dringen über verschiedene Zugriffspunkte in Ihr System ein.
Zugriffspunkt
Beschreibung
Makros
Als Teil von Textverarbeitungsdokumenten oder
Tabellenanwendungen.
Ausführbare Dateien
Scheinbar gutartige Programme können neben dem erwarteten
Programm auch Viren enthalten. Einige häufige Dateierweiterungen
sind .EXE, .COM, .VBS, .BAT, .HLP und .DLL.
Skripts
Verknüpft mit Webseiten und E-Mails können Skripte wie ActiveX und
JavaScript können Viren enthalten, wenn ihre Ausführung zugelassen
wird.
Internet Relay
Chat-Nachrichten (IRC)
Mit diesen Nachrichten gesendete Dateien können leicht Malware als
Teil der Nachricht enthalten. Automatische Startprozesse können
beispielsweise Bedrohungen in Form von Würmern oder Trojanern
enthalten.
Browser- und
Anwendungshilfedateien
Beim Herunterladen dieser Hilfedateien ist das System eingebetteten
Viren und ausführbaren Dateien ausgesetzt.
E-Mail
Scherze, Spiele und Bilder als Teil von E-Mails mit Anlagen.
Kombinationen aller dieser
Zugriffspunkte
Erfahrene Malware-Entwickler kombinieren alle diese
Übertragungsmethoden und betten eine Malware in eine andere ein,
um auf den Computer zuzugreifen.
So werden Bedrohungen mit dem Zugriffsschutz abgewehrt
Der Zugriffsschutz stoppt potenzielle Bedrohungen, indem er Aktionen basierend auf von McAfee
definierten und benutzerdefinierten Schutzregeln verwaltet.
Bedrohungsschutz verwendet zum Bereitstellen des Zugriffsschutzes diesen Basisprozess.
Beim Auftreten einer Bedrohung
Wenn ein Benutzer oder ein Prozess eine Aktion ausführt:
1
Die Aktion wird gemäß den definierten Regeln vom Zugriffsschutz überprüft.
2
Wenn die Aktion eine Regel bricht, wird sie vom Zugriffsschutz unter Verwendung der
Informationen in den konfigurierten Regeln verwaltet.
3
Der Zugriffsschutz aktualisiert die Protokolldatei, generiert ein Ereignis und sendet es bei
verwalteten Systemen an den Management-Server.
Beispiel für eine Zugriffsbedrohung
52
1
Ein Benutzer lädt ein zulässiges Programm (keine Malware) namens MyProgram.exe aus dem
Internet herunter.
2
Der Benutzer startet MyProgram.exe, und es scheint, dass es wie erwartet gestartet wird.
3
MyProgram.exe startet einen untergeordneten Prozess namens AnnoyMe.exe.
4
AnnoyMe.exe versucht, das Betriebssystem zu ändern, um sicherzustellen, dass dieser Prozess bei
jedem Systemstart immer geladen wird.
Produkthandbuch
3
5
Der Zugriffsschutz verarbeitet die Anfrage und ordnet sie einer vorhandenen Regeln zu, dass die
Anfrage blockiert und gemeldet wird.
6
Der Zugriffsschutz hindert AnnoyMe.exe daran, das Betriebssystem zu ändern. Er protokolliert die
Details des Zugriffsversuchs. Außerdem wird eine Warnung generiert und an den
Management-Server gesendet.
Informationen zu Zugriffsschutzregeln
Verwenden Sie Zugriffsschutzregeln, um Ihre Systemzugriffspunkte zu schützen.
Regeltyp
Parameter
Von McAfee definierte
Regeln
• Mit diesen Regeln werden Änderungen an häufig verwendeten Dateien
und Einstellungen verhindert.
• Sie können die Konfiguration der von McAfee definierten Regeln
aktivieren, deaktivieren und ändern. Sie können die Regeln jedoch nicht
löschen.
Benutzerdefinierte
Regeln
• Diese benutzerdefinierten Regeln ergänzen den Schutz durch die von
McAfee definierten Regeln.
• Bei einer leeren Tabelle ausführbarer Dateien werden alle ausführbaren
Dateien eingeschlossen.
• Sie können die Konfiguration dieser Regeln aktivieren, deaktivieren und
ändern sowie Regeln hinzufügen und löschen.
Ausschlüsse
Auf Regelebene gelten Aus- und Einschlüsse für eine bestimmte Regel. Auf Richtlinienebene gelten
Ausschlüsse für sämtliche Regeln. Ausschlüsse sind optional.
Konfigurieren der von McAfee definierten Zugriffsschutzregeln
Von McAfee definierte Regeln verhindern Änderungen an häufig verwendeten Dateien und
Einstellungen. Sie können die Blockierungs- und Berichtseinstellungen ändern sowie ausgeschlossene
und eingeschlossene ausführbare Dateien hinzufügen. Das Löschen dieser Regeln oder das Ändern von
Dateien und Einstellungen, die durch diese Regeln geschützt sind, ist jedoch nicht möglich.
Bevor Sie beginnen
Untergeordnete Regeln können durch von McAfee definierte Regeln nicht hinzugefügt werden.
Vorgehensweise
1
2
Klicken Sie auf der Status-Hauptseite auf Threat Prevention.
Prevention.
3
Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Threat
Produkthandbuch
53
3
4
Klicken Sie auf Zugriffsschutz.
5
Überprüfen Sie, dass der Zugriffsschutz aktiviert ist.
6
Ändern Sie die Regel:
a
Wählen Sie für die Regel im Abschnitt Regeln die Option Blockieren oder Bericht bzw. beide Optionen
aus.
Wählen Sie in der ersten Zeile Blockieren oder Bericht, um alle zu blockieren oder zu melden.
Ist weder Blockieren noch Bericht ausgewählt, ist die Regel deaktiviert.
b
Doppelklicken Sie auf eine von McAfee definierte Regel, die Sie bearbeiten möchten.
c
Konfigurieren Sie auf der Seite Von McAfee definierte Regel bearbeiten die Einstellungen.
d
Klicken Sie im Abschnitt Ausführbare Dateien auf Hinzufügen, konfigurieren Sie die Einstellungen, und
klicken Sie zum Speichern der Regel zweimal auf Speichern.
Siehe auch
Von McAfee definierte Regeln auf Seite 54
Von McAfee definierte Regeln
Schützen Sie Ihren Computer vor unerwünschten Änderungen, indem Sie von McAfee definierte Regeln
verwenden.
Tabelle 3-2
Regel
Beschreibung
Ändern der Registrierungen aller
Dateierweiterungen
Schützt die Registrierungsschlüssel unter "HKEY_CLASSES_ROOT", wo
Dateierweiterungen registriert werden.
Diese Regel verhindert, dass Malware die
Dateierweiterungsregistrierungen ändert, damit sie unbemerkt
ausgeführt werden kann.
Deaktivieren Sie diese Regel, wenn Sie gültige Anwendungen installieren,
die Dateierweiterungsregistrierungen in der Registrierung ändern.
Diese Regel ist eine einschränkendere Alternative als Missbrauch von .EXE und
anderen Erweiterungen für ausführbare Dateien.
Ändern von Richtlinien für
Benutzerrechte
Schützt Registrierungswerte mit Windows-Sicherheitsinformationen.
Erstellen neuer ausführbarer
Dateien im
Programmdateien-Ordner
Verhindert das Erstellen neuer ausführbarer Dateien im Ordner
"Programme".
Diese Regel verhindert, dass durch Würmer Konten geändert werden, die
Administratorrechte haben.
Diese Regel verhindert, dass Adware und Spyware neue EXE- und
DLL-Dateien erstellen sowie neue ausführbare Dateien im Ordner
"Programme" installieren.
Wir empfehlen, Anwendungen vor der Aktivierung dieser Regel zu
installieren oder die blockierten Prozesse der Ausschlussliste
hinzuzufügen.
54
Produkthandbuch
Tabelle 3-2
3
(Fortsetzung)
Regel
Beschreibung
Erstellen neuer ausführbarer
Dateien im Windows-Ordner
Verhindert das Erstellen von Dateien über sämtliche Prozesse, nicht nur
über das Netzwerk.
Diese Regel verhindert das Erstellen von EXE- und DLL-Dateien im
Windows-Ordner.
Fügen Sie Prozesse der Ausschlussliste hinzu, die Dateien im
Windows-Ordner ablegen müssen.
Deaktivieren von
Registrierungseditor und Task
Manager
Schützt Registrierungseinträge in Windows und verhindert das
Deaktivieren von Registrierungseditor und Task-Manager.
Deaktivieren Sie bei einem Virenausbruch diese Regel, um die
Registrierung zu ändern, oder öffnen Sie den Task Manager, um aktive
Prozesse zu beenden.
Ausführen von Skripten durch
Windows Script Host (CScript.exe
oder Wscript.exe) aus einem
Temp-Ordner
Verhindert das Ausführen von VBScript- und JavaScript-Skripten durch
den Windows Scripting Host in einem Ordner, dessen Name "temp"
enthält.
Die Regel schützt vor vielen Trojanern und fragwürdigen
Webinstallationsmechanismen, die von Adware- und
Spyware-Anwendungen verwendet werden.
Sie könnte allerdings die Installation oder Ausführung legitimer Skripte
und Drittanbieter-Anwendungen blockieren.
Missbrauch von .EXE oder
anderen Erweiterungen für
ausführbare Dateien
Schützt .EXE, .BAT und andere ausführbare Registrierungsschlüssel unter
"HKEY_CLASSES_ROOT".
Diese Regel verhindert, dass Malware Registrierungsschlüssel ändert und
so der Virus gemeinsam mit einer anderen ausführbaren Datei ausgeführt
wird.
Diese Regel ist eine weniger einschränkende Alternative zu Ändern der
Registrierung aller Dateierweiterungen.
Installieren von
Browserhilfsobjekten oder
Shell-Erweiterungen
Verhindert, dass Adware, Spyware und Trojaner als Browserhilfsobjekte
auf dem Host-Computer installiert werden.
Diese Regel verhindert, dass Adware und Spyware auf Systemen
installiert werden.
Damit legitime benutzerdefinierte Anwendungen oder
Drittanbieter-Anwendungen diese Objekte installieren können, fügen Sie
sie der Ausschlussliste hinzu. Nach der Installation können Sie die Regel
wieder aktivieren, weil das Funktionieren installierter Browserhilfsobjekte
nicht behindert wird.
Installieren neuer CLSIDs,
APPIDs und TYPELIBs
Verhindert die Installation oder Registrierung neuer COM-Server.
Diese Regel schützt vor Adware- und Spyware-Programmen, die sich als
COM-Add-On im Internet Explorer oder in Microsoft Office-Anwendungen
installieren.
Fügen Sie legitime Anwendungen, die COM-Add-Ons registrieren
(einschließlich häufiger Anwendungen wie Macromedia Flash), zur
Ausschlussliste hinzu, damit sie nicht blockiert werden.
Produkthandbuch
55
3
Tabelle 3-2
(Fortsetzung)
Regel
Beschreibung
Starten von Dateien aus dem
Ordner "Heruntergeladene
Programmdateien" mit Internet
Explorer
Verhindert die Installation von Software über den Webbrowser. Diese
Regel gilt für den Microsoft Internet Explorer.
Da diese Regel auch die Installation legitimer Software blockieren kann,
installieren Sie die Anwendung vor der Aktivierung dieser Regel, oder
fügen Sie den Installationsprozess als Ausnahme hinzu.
Für die Regel ist standardmäßig die Aktion Bericht festgelegt.
Diese Regel verhindert, dass Adware und Spyware aus diesem Ordner
ausführbare Dateien installieren und ausführen.
Ändern von
Windows-Kernprozessen
Verhindert, dass Dateien mit den häufigsten Spoof-Namen erstellt oder
ausgeführt werden.
Diese Regel verhindert, dass Viren und Trojaner mit dem Namen eines
Windows-Prozesses ausgeführt werden. Authentische Windows-Dateien
werden ausgeschlossen.
Ändern von Internet
Explorer-Einstellungen
Blockiert Prozesse, die Änderungen an Einstellungen im Internet Explorer
vornehmen.
Diese Regel verhindert, dass Startseiten-Trojaner, -Adware und -Spyware
Änderungen an Browser-Einstellungen vornehmen, beispielsweise die
Startseite ändern oder Favoriten installieren.
Ändern von
Netzwerkeinstellungen
Verhindert Änderungen an den Netzwerkeinstellungen des Systems durch
Prozesse, die nicht in der Ausschlussliste enthalten sind.
Diese Regel schützt vor Mehrschicht-Dienstanbietern, die Daten (z. B.
zum Surfverhalten) übertragen, indem sie Netzwerkverkehr abfangen
und an Drittanbieter-Sites senden.
Fügen Sie Prozesse, die die Netzwerkeinstellungen ändern müssen, der
Ausschlussliste hinzu, oder deaktivieren Sie die Regel, während
Änderungen vorgenommen werden.
Registrieren von Programmen für Verhindert, dass Adware, Spyware, Trojaner und Viren versuchen, sich zu
Autorun
registrieren und bei jedem Neustart des Systems zu laden.
Diese Regel verhindert die Registrierung von Prozessen, die bei jedem
Neustart des Systems ausgeführt werden, durch Prozesse, die nicht in
der Ausschlussliste enthalten sind.
Fügen Sie zulässige Anwendungen der Ausschlussliste hinzu, oder
installieren Sie sie vor der Aktivierung der Regel.
Remote-Zugreifen auf lokale
Dateien oder Ordner
Verhindert den Lese- und Schreibzugriff von Remote-Computern auf den
Computer.
Die Regel schützt vor dem Ausbreiten eines Wurms von einer Freigabe
zur nächsten.
In einer typischen Umgebung ist die Regel für Workstations geeignet,
aber nicht für Server, und nur dann sinnvoll, wenn Computer tatsächlich
angegriffen werden.
Wenn ein Computer mithilfe von Push-Dateien verwaltet wird, verhindert
die Regel, dass Aktualisierungen oder Patches installiert werden. Diese
Regel hat keine Auswirkungen auf die Verwaltungsfunktionen von McAfee
ePO.
56
Produkthandbuch
Tabelle 3-2
3
(Fortsetzung)
Regel
Beschreibung
Remote-Erstellen von
Autorun-Dateien
Verhindert, dass andere Computer eine Verbindung herstellen und
automatisch ausführbare Dateien (autorun.inf) erstellen oder ändern.
Diese Dateien werden zum automatischen Starten von Programmdateien,
typischerweise Setup-Dateien von CDs, verwendet.
Diese Regel verhindert, dass Spyware und Adware von CDs ausgeführt
werden.
Für die Regel sind standardmäßig die Aktionen Blockieren und Bericht
ausgewählt.
Remote-Erstellen oder -Ändern
von Dateien oder Ordnern
Blockiert den Schreibzugriff auf alle Freigaben.
Diese Regel ist bei einem Virenausbruch hilfreich, weil sie den
Schreibzugriff verhindert und somit das Ausbreiten der Infektion
begrenzt. Sie blockiert Malware, die andernfalls die Verwendung des
Computers oder Netzwerks ernsthaft einschränken würde.
In einer typischen Umgebung ist die Regel für Workstations geeignet,
aber nicht für Server, und nur dann sinnvoll, wenn Computer tatsächlich
angegriffen werden.
Wenn ein Computer mithilfe von Push-Dateien verwaltet wird, verhindert
die Regel, dass Aktualisierungen oder Patches installiert werden. Diese
Regel hat keine Auswirkungen auf die Verwaltungsfunktionen von McAfee
ePO.
Remote-Erstellen oder -Ändern
von übertragbaren ausführbaren
Dateien, .INI- und .PIF-Dateitypen
sowie Core-Systemspeicherorten
Verhindert, dass andere Computer eine Verbindung herstellen und
ausführbare Dateien ändern, wie etwa Dateien im Windows-Ordner. Diese
Regel gilt nur für Dateitypen, die häufig von Viren infiziert werden.
Diese Regel schützt vor der schnellen Ausbreitung von Würmern oder
Viren, die ein Netzwerk durch offene oder administrative Freigaben
durchlaufen.
Diese Regel ist eine weniger sichere Alternative zu Alle Freigaben mit
Schreibschutz versehen.
Ausführen von Dateien aus einem Blockiert alle ausführbaren Dateien, sodass sie nicht in einem Ordner
Temp-Ordner
ausgeführt oder gestartet werden, dessen Name "temp" enthält.
Diese Regel verhindert, dass Malware im Temp-Ordner des Benutzers
oder Systems gespeichert und ausgeführt wird. Zu dieser Malware zählen
ausführbare Anhänge in E-Mails und heruntergeladene Programme.
Obwohl die Regel den höchsten Schutz bietet, könnte die Installation
legitimer Anwendungen blockiert werden.
Ausführen von Dateien im
Temp-Ordner durch häufig
genutzte Programme
Verhindert, dass Anwendungen Software über den Browser oder den
E-Mail-Client installieren können.
Diese Regel verhindert die Ausführung von E-Mail-Anhängen und
ausführbaren Dateien auf Webseiten.
Um eine Anwendung zu installieren, die den Temp-Ordner verwendet,
fügen Sie den Prozess der Ausschlussliste hinzu.
Siehe auch
Konfigurieren der von McAfee definierten Zugriffsschutzregeln auf Seite 53
Produkthandbuch
57
3
Konfigurieren benutzerdefinierter Zugriffsschutzregeln
Benutzerdefinierte Regeln ergänzen den Schutz durch die von McAfee definierten Regeln. Sie können
die Konfiguration dieser Regeln aktivieren, deaktivieren und ändern sowie Regeln hinzufügen und
löschen.
Bevor Sie beginnen
Vorgehensweise
1
2
Prevention.
3
4
5
Stellen Sie sicher, dass der Zugriffsschutz aktiviert ist.
6
Erstellen Sie die Regel:
a
Klicken Sie im Abschnitt Regeln auf Hinzufügen.
b
Konfigurieren Sie auf der Seite Regel hinzufügen die Einstellungen.
c
Klicken Sie im Abschnitt Ausführbare Dateien auf Hinzufügen, konfigurieren Sie die Eigenschaften der
ausführbaren Datei, und klicken Sie auf Speichern.
Bei einer leeren Tabelle ausführbarer Dateien werden alle ausführbaren Dateien eingeschlossen.
d
Klicken Sie im Abschnitt Untergeordnete Regeln auf Hinzufügen, und konfigurieren Sie die
Eigenschaften der untergeordneten Regel.
Der Vorgang Lesen könnte sich auf die Leistung auswirken.
e
Klicken Sie im Abschnitt Parameter auf Hinzufügen, konfigurieren Sie die Parameterinformationen,
und klicken Sie zweimal auf Speichern.
f
Wählen Sie für die Regel im Abschnitt Regeln die Option Blockieren oder Bericht bzw. beide Optionen
aus.
Wählen Sie in der ersten Zeile Blockieren oder Bericht, um alle zu blockieren oder zu melden.
Aufgaben
•
58
Bewerten von Parametern in untergeordneten Zugriffsschutzregeln auf Seite 59
Jeder Parameter wird entweder mit einer Einschließen- oder Ausschließen-Richtlinie
hinzugefügt.
Produkthandbuch
3
Bewerten von Parametern in untergeordneten Zugriffsschutzregeln
Jeder Parameter wird entweder mit einer Einschließen- oder Ausschließen-Richtlinie hinzugefügt.
Wird ein Systemereignis anhand einer untergeordneten Regel bewertet, gibt die untergeordnete Regel
true zurück, wenn:
•
Für mindestens einen Einschluss true zurückgegeben wird.
und
•
Für alle Ausschlüsse false zurückgegeben wird.
Ausschlüsse haben Vorrang vor Einschlüssen. Beispiele:
•
Wenn eine untergeordnete Regel eine Datei C:\marketing\jjohns einschließt und dieselbe Datei
ausschließt, wird die untergeordnete Regel nicht ausgelöst, wenn die Datei C:\marketing\jjohns ist.
•
Wenn eine untergeordnete Regel alle Dateien einschließt, die Datei C:\marketing\jjohns jedoch
ausschließt, wird die untergeordnete Regel ausgelöst, wenn die Datei nicht C:\marketing\jjohns ist.
•
Wenn eine untergeordnete Regel eine Datei C:\marketing\* einschließt, aber C:\marketing\jjohns
ausschließt, wird die untergeordnete Regel ausgelöst, wenn die Datei C:\marketing\jeder ist; bei C:
\marketing\jjohns wird sie hingegen nicht ausgelöst.
Ausschließen von Prozessen aus dem Zugriffsschutz
Wird ein vertrauenswürdiges Programm blockiert, schließen Sie den Prozess durch die Erstellung eines
richtlinien- oder regelbasierten Ausschlusses aus.
Produkthandbuch
59
3
Vorgehensweise
1
2
Prevention.
3
4
5
Stellen Sie sicher, dass der Zugriffsschutz aktiviert ist.
6
Führen Sie eine der folgenden Aktionen aus:
Ziel
Richtlinienbasierten
Ausschluss erstellen
1 Klicken Sie im Abschnitt Ausschlüsse auf Hinzufügen, um Prozesse
hinzuzufügen, die von allen Regeln ausgeschlossen werden sollen.
2 Konfigurieren Sie auf der Seite Ausführbare Datei hinzufügen die
Eigenschaften der ausführbaren Datei.
3 Klicken Sie auf Speichern und dann auf Übernehmen, um die Einstellungen
zu speichern.
Regelbasierten
Ausschluss erstellen
1 Bearbeiten Sie eine vorhandene Regel, oder fügen Sie eine neue Regel
hinzu.
2 Klicken Sie auf der Seite Regel hinzufügen oder Regel bearbeiten auf Hinzufügen,
um eine auszuschließende ausführbare Datei hinzuzufügen.
3 Konfigurieren Sie auf der Seite Ausführbare Datei hinzufügen die
Eigenschaften der ausführbaren Datei.
4 Klicken Sie zum Speichern der Ausschlüsse auf Speichern.
Blockieren von Buffer Overflow-Exploits
Exploit-Schutz verhindert, dass Buffer Overflows zur Ausführung von beliebigem Code ausgenutzt
werden können. Diese Funktion überwacht im Benutzermodus ausgeführte API-Aufrufe und erkennt,
wenn diese das Ergebnis eines Buffer Overflows sind.
Bei einer Erkennung werden die entsprechenden Informationen im Aktivitätsprotokoll aufgezeichnet,
im Client-System angezeigt und an den Management-Server gesendet (wenn konfiguriert).
Von Bedrohungsschutz wird eine Exploit-Schutz-Content-Datei verwendet, um Anwendungen wie
Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word und MSN Messenger
zu schützen.
Host Intrusion Prevention 8.0 kann auf dem gleichen System wie Endpoint Security 10.1 installiert
werden. Wenn McAfee Host IPS aktiviert ist, wird der Exploit-Schutz deaktiviert, selbst wenn er in den
Richtlinieneinstellungen aktiviert ist.
60
Produkthandbuch
3
Auftreten von Buffer Overflow-Exploits
Angreifer verwenden Buffer Overflow-Exploits zum Ausführen von Code, indem die für einen
Eingabeprozess reservierten Speicherpuffer mit fester Größe überflutet werden. Mit diesem Code kann
der Angreifer den Zielcomputer übernehmen oder seine Dateien schädigen.
Über 25 Prozent der Malware-Angriffe sind Buffer Overflow-Angriffe, bei denen benachbarter Speicher
im Stack-Frame überschrieben werden soll.
Es gibt zwei Typen von Buffer Overflow-Exploits:
•
Stack-basierte Angriffe verwenden die Stack-Speicherobjekte zum Speichern von Benutzereingaben
(häufigster Typ).
•
Heap-basierte Angriffe überfluten den für ein Programm reservierten Speicherplatz (seltener Typ).
Das Stack-Speicherobjekt mit fester Größe ist leer und wartet auf Benutzereingaben. Wenn ein
Programm Eingaben des Benutzers empfängt, werden die Daten am Anfang des Stacks gespeichert,
und ihnen wird eine Absenderspeicheradresse zugewiesen. Beim Verarbeiten des Stacks werden die
Eingaben des Benutzers an die vom Programm angegebene Absenderadresse gesendet.
Der folgenden Prozess beschreibt einen Stack-basierten Buffer Overflow-Angriff:
1
Überlaufen des Stacks.
Beim Schreiben des Programms wird eine bestimmte Menge an Speicherplatz für die Daten
reserviert. Der Stack läuft über, wenn die Menge der geschriebenen Daten größer ist als der für sie
im Stack-Speicher reservierte Speicherplatz. Diese Situation stellt nur in Kombination mit
bösartigen Eingaben ein Problem dar.
2
Ausnutzen des Überlaufs.
Das Programm wartet auf eine Benutzereingabe. Wenn der Angreifer einen ausführbaren Befehl
eingibt, der die Stack-Größe überschreitet, wird der Befehl außerhalb des reservierten
Speicherplatzes gespeichert.
3
Ausführen der Malware.
Der Befehl wird nicht automatisch ausgeführt, wenn er den Stack-Pufferspeicherplatz überschreitet.
Zunächst stürzt das Programm aufgrund des Buffer Overflow ab. Wenn der Angreifer eine
Absenderspeicheradresse verwendet hat, die sich auf den bösartigen Befehl bezieht, versucht das
Programm, damit eine Wiederherstellung vorzunehmen. Wenn die Absenderadresse gültig ist, wird
der bösartige Befehl ausgeführt.
4
Ausnutzen der Berechtigungen.
Die Malware wird nun mit den gleichen Berechtigungen ausgeführt wie die Anwendung, die
manipuliert wurde. Da Programme in der Regel im Kernel-Modus oder mit von einem Dienstkonto
geerbten Berechtigungen ausgeführt werden, kann der Angreifer jetzt die vollständige Kontrolle
über das Betriebssystem erlangen.
Konfigurieren Exploit-Schutz-Richtlinieneinstellungen.
Sie müssen die für den Exploit-Schutz konfigurieren, um zu verhindern, dass beliebiger Code von
Anwendungen auf dem verwalteten Computer ausgeführt werden kann.
Bevor Sie beginnen
Produkthandbuch
61
3
Vorgehensweise
1
2
Prevention.
3
4
Klicken Sie auf Exploit-Schutz.
5
Konfigurieren Sie die Einstellungen auf der Seite, klicken Sie auf Anwenden, um Ihre Änderungen zu
speichern, oder klicken Sie auf Abbrechen.
Siehe auch
Ausschließen von Prozessen aus dem Exploit-Schutz
Wenn der Exploit-Schutz verletzt wird, gibt es einen zugeordneten Prozess und ein mögliches
Anrufermodul oder eine API.
Wenn Sie vermuten, dass die gemeldete Verletzung ein False-Positive ist, können Sie einen Ausschluss
hinzufügen, der den Namen der Prozessdatei angibt. Sie können auch das Anrufermodul oder die API
festlegen.
Innerhalb eines Ausschlusses sind der Vorgang, das Modul und die API durch ein logisches AND
verbunden. Alle Elemente, die mit dem dem Verletzungsereignis zugeordneten Prozess, Modul bzw.
der API übereinstimmen, werden ausgeschlossen.
Alle Ausschlüsse sind unabhängig voneinander: Mehrere Ausschlüsse sind durch ein logisches OR
verbunden, sodass bei einer Übereinstimmung das Verletzungsereignis verhindert wird.
Erkennen von potenziell unerwünschten Programmen
Wenn Sie den verwalteten Computer vor potenziell unerwünschten Programmen schützen möchten,
müssen Sie Dateien und Programme festlegen, die in Ihrer Umgebung erkannt werden sollen und
dann die Erkennung aktivieren.
Potenziell unerwünschte Programme werden als Softwareprogramme definiert, die als störend
empfunden werden oder den Sicherheitsstatus oder die Datenschutzrichtlinien des Systems verändern.
Potenziell unerwünschte Programme können in Programmen eingebettet sein, die Benutzer
herunterladen. Dazu können auch Spyware, Adware und Dialer zählen.
62
1
Legen Sie in den Richtlinieneinstellungen benutzerdefinierte Programme fest, die der
On-Access-Scanner und der On-Demand-Scanner als unerwünschte Programme behandeln soll.
2
Aktivieren Sie die Erkennung unerwünschter Programme, und legen Sie unter folgenden
Einstellungen die Aktionen fest, die bei Erkennungen ausgeführt werden sollen:
•
On-Access-Scan
•
On-Demand-Scan
Produkthandbuch
3
Siehe auch
Legen Sie benutzerdefinierte, potenziell unerwünschte Programme für die Erkennung fest auf
Seite 63
Aktivieren und Konfigurieren der Erkennung potenziell unerwünschter Programme sowie der
folgenden Reaktion auf Seite 64
Konfigurieren von Richtlinieneinstellungen für auf Seite 65
Legen Sie benutzerdefinierte, potenziell unerwünschte Programme für die
Erkennung fest
Legen Sie in den Richtlinieneinstellungen weitere Programme fest, die der On-Access-Scanner und der
On-Demand-Scanner als unerwünschtes Programm behandeln sollen.
Bevor Sie beginnen
Die Scanner erkennen die Programme, die Sie festlegen sowie Programme, die in den AMCore
Content-Dateien festgelegt sind.
Vorgehensweise
1
2
Prevention.
3
4
Klicken Sie auf Optionen.
5
In Erkennung von potenziell unerwünschten Programmen:
•
Klicken Sie auf Hinzufügen, um den Namen und die optionale Beschreibung einer Datei oder eines
Programms festzulegen, die bzw. das als potenziell unerwünschtes Programm behandelt werden
soll.
Die Beschreibung wird im Fall einer Erkennung als Erkennungsname angezeigt.
•
Doppelklicken Sie zum Ändern auf den Namen oder die Beschreibung von einem vorhandenen
unerwünschten Programm.
•
Wählen Sie ein vorhandenes potenziell unerwünschtes Programm aus, und klicken Sie dann auf
Löschen, um es von der Liste zu entfernen.
Siehe auch
Produkthandbuch
63
3
Aktivieren und Konfigurieren der Erkennung potenziell unerwünschter
Programme sowie der folgenden Reaktion
Aktivieren Sie die Funktionen im On-Access- und On-Demand-Scanner zur Erkennung potenziell
unerwünschte Programme, und legen Sie die Reaktion fest, wenn eines erkannt wurde.
Bevor Sie beginnen
Vorgehensweise
1
Konfigurieren Sie Richtlinieneinstellungen für den .
a
b
Sie können auch im Menü Aktion
Einstellungen auf Threat Prevention.
2
Einstellungen wählen. Klicken Sie dann auf der Seite
c
d
Klicken Sie auf On-Access-Scan.
e
WählOn-Access-Scanen Sie für jeden On-Access Scan-Typ unter ProzesseinstellungenUnerwünschte
Programme erkennen.
f
Konfigurieren Sie unter Aktionen Reaktionen auf unerwünschte Programme.
Konfigurieren Sie die Richtlinieneinstellungen für den .
a
b
Einstellungen auf Threat Prevention.
Einstellungen wählen. Klicken Sie dann auf der Seite
c
d
Klicken Sie auf On-Demand-Scan.
e
Für jeden Scan-Typ (Vollständiger Scan, Schnellscan und Scan per Kontextmenü):
•
Wählen Sie Unerwünschte Programme erkennen.
•
Konfigurieren Sie unter Aktionen Reaktionen auf unerwünschte Programme.
Siehe auch
64
Produkthandbuch
3
Konfigurieren gemeinsamer Scan-Einstellungen
Um Einstellungen festzulegen, die sowohl für On-Access- als auch für On-Demand-Scans gelten,
konfigurieren Sie die Bedrohungsschutz der Bedrohungsschutz-.
Bevor Sie beginnen
Die folgenden Einstellungen gelten für alle Scans:
•
Quarantäne-Speicherort und die Dauer in Tagen, für die isolierte Elemente vor ihrer automatischen
Löschung gespeichert werden
•
Erkennungsnamen, die von Scans ausgeschlossen werden sollen
•
Potenziell unerwünschte Programme für die Erkennung, wie Spyware und Adware
•
McAfee GTI-basiertes Telemetrie-Feedback
Vorgehensweise
1
2
Klicken Sie auf der Status-Hauptseite auf Bedrohungsschutz.
auf Bedrohungsschutz.
Einstellungen wählen. Klicken Sie dann auf der Seite Einstellungen
3
Klicken Sie auf Erweiterte einblenden.
4
5
Siehe auch
Konfigurieren von Richtlinieneinstellungen für
Mit diesen Einstellungen können Sie On-Access-Scans aktivieren und konfigurieren. Sie können auch
Nachrichten festlegen, die bei einer erkannten Bedrohung gesendet werden und verschiedene
Einstellungen entsprechend dem Prozesstyp konfigurieren.
Bevor Sie beginnen
Informationen zu weiteren Scan-Konfigurationsoptionen finden Sie in der Hilfe für die Einstellungen der
Bedrohungsschutz-Optionen.
Produkthandbuch
65
3
Vorgehensweise
1
2
Prevention.
3
4
Klicken Sie auf On-Access-Scan.
5
Wählen Sie On-Access-Scan aktivieren, um den On-Access-Scanner zu aktivieren und Optionen zu
ändern.
6
Legen Sie fest, ob Sie Standard-Einstellungen für alle Prozesse verwenden möchten oder
unterschiedliche Richtlinien für Prozesse mit hohem und niedrigem Risiko.
7
•
Standard-Einstellungen – Konfigurieren Sie die Scan-Einstellungen auf der Registerkarte
Standard.
•
Unterschiedliche Einstellungen entsprechend dem Prozesstyp – Konfigurieren Sie auf der
Registerkarte (Standard, Hohes Risiko oder Niedriges Risiko) die Scan-Einstellungen für jeden
Prozesstyp.
Siehe auch
Konfigurieren gemeinsamer Scan-Einstellungen auf Seite 65
Funktionsweise von On-Access-Scans
Der On-Access-Scanner integriert sich in die tiefsten Ebenen des Systems (Dateisystem-Filtertreiber),
und scannt Dateien an der Stelle, an der sie zuerst in das System gelangen.
Der On-Access-Scanner sendet bei Erkennungen Benachrichtigungen an die Benutzeroberfläche des
Dienstes.
Wenn versucht wird, eine Datei zu öffnen oder zu schließen, fängt der Scanner den Vorgang ab und
führt die folgenden Aktionen aus:
1
Der Scanner bestimmt, ob das Element aufgrund der folgenden Kriterien gescannt werden soll:
•
Die Dateierweiterung stimmt mit der Konfiguration überein.
•
Die Datei wurde nicht im Cache abgelegt, ausgeschlossen oder bereits zu einem früheren
Zeitpunkt gescannt.
Wenn Sie McAfee GTI konfigurieren, wird vom Scanner eine Heuristik zur Überprüfung auf
verdächtige Dateien verwendet.
2
66
Wenn die Datei die Scan-Kriterien erfüllt, vergleicht sie der Scanner mit den Signaturen in den
aktuell geladenen AMCore Content-Dateien.
•
Wenn die Datei "sauber" ist, wird das Ergebnis in den Cache kopiert und der Zugriff für Leseoder Schreibvorgänge wird erteilt.
•
Enthält die Datei eine Bedrohung, wird der Vorgang verweigert, und der Scanner führt die
konfigurierte Aktion aus.
Produkthandbuch
3
Wenn die Aktion beispielsweise das Säubern der Datei vorsieht, geschieht Folgendes:
1
Verwenden der Informationen in der aktuell geladenen AMCore Content-Datei, um die Datei
zu säubern.
2
Die Ergebnisse werden im Aktivitätsprotokoll aufgezeichnet.
3
Der Benutzer wird benachrichtigt, dass in der Datei eine Bedrohung erkannt wurde, und er
wird aufgefordert, eine Aktion auszuwählen (Säubern oder Löschen der Datei).
Windows 8 und 10: Wenn vom Scanner eine Bedrohung im Pfad einer installierten Windows
Store-App erkannt wird, wird die App als manipuliert gekennzeichnet. Die Kennzeichnung für
manipulierte Dateien wird von Windows zur Kachel der App hinzugefügt. Bei einem
Ausführungsversuch benachrichtigt Sie Windows von dem Problem und leitet Sie zum Windows
Store weiter, damit Sie die App neu installieren.
3
Wenn die Datei nicht den Scan-Anforderungen entspricht, wird sie im Cache abgelegt, und der
Vorgang wird zugelassen.
Der Bedrohungsschutz leert den globalen Scan-Cache und scannt alle Dateien erneut, wenn:
•
Die On-Access-Scan-Konfiguration geändert wird.
•
Eine EXTRA.DAT-Datei hinzugefügt wird.
Scannen beim Schreiben auf oder Lesen von Datenträger oder wenn McAfee
entscheiden soll
Sie können festlegen, wann der On-Access-Scanner Dateien scannt: beim Schreiben auf einen
Datenträger oder beim Lesen von einem Datenträger. Sie können auch McAfee die Entscheidung
überlassen, wann ein Scan ausgeführt wird.
Produkthandbuch
67
3
Beim Schreiben von Dateien auf den Datenträger werden vom On-Access-Scanner die folgenden
Dateien gescannt:
•
Eingehende Dateien, die auf die lokale Festplatte geschrieben werden.
•
Dateien, die auf der lokalen Festplatte oder einem zugeordneten Netzwerklaufwerk, wenn aktiviert,
erstellt werden (hierzu gehören neue Dateien, geänderte Dateien und Dateien, die von einem
Laufwerk auf ein anderes kopiert oder verschoben werden).
Da der Scan fehlschlagen könnte, wenn die Datei auf einen Datenträger geschrieben wird, wird die
Aktivierung der Option Beim Lesen von einem Datenträger dringend empfohlen.
Beim Lesen von Dateien auf dem Datenträger werden vom Scanner die folgenden Dateien gescannt:
•
Ausgehende Dateien, die von der lokalen Festplatte oder zugeordneten Netzwerklaufwerken (wenn
aktiviert) gelesen werden.
•
Dateien, die versuchen, einen Vorgang auf der lokalen Festplatte auszuführen.
•
Dateien, die auf der lokalen Festplatte geöffnet werden.
Wenn Sie McAfee die Entscheidung überlassen, ob ein Scan für eine Datei nötig ist, verwendet der
On-Access-Scanner Vertrauenslogik für die Scan-Optimierung. Vertrauenslogik verbessert Ihre
Sicherheit und beschleunigt die Leistung durch Vermeidung unnötiger Scans. Beispielsweise analysiert
McAfee bestimmte Programme und betrachtet sie als vertrauenswürdig. Wenn McAfee verifiziert, dass
diese Programme nicht manipuliert wurden, wird möglicherweise nur ein reduzierter oder optimierter
Scan ausgeführt.
Informationen zu ScriptScan
Der Bedrohungsschutz-Skript-Scanner wird als Proxy-Komponente des nativen Windows Script Hosts
ausgeführt. Er fängt Skripte vor der Ausführung ab und scannt sie.
68
Produkthandbuch
3
•
Wenn das Skript sauber ist, wird es vom Skript-Scanner an die native Komponente Windows Script
Host übergeben.
•
Enthält das Skript eine potenzielle Bedrohung, verhindert der Skript-Scanner dessen Ausführung.
ScriptScan-Ausschlüsse
Die Leistung Skript-intensiver Websites und webbasierter Anwendungen kann durch die Aktivierung
von ScriptScan beeinträchtigt werden. Statt ScriptScan zu deaktivieren, sollten Sie URL-Ausschlüsse
für vertrauenswürdige Sites festlegen, etwa für Sites innerhalb eines Intranets oder für
Web-Anwendungen, die bekanntermaßen sicher sind.
Bei Erstellung von URL-Ausschlüssen:
•
Verwenden Sie keine Platzhalterzeichen.
•
Verwenden Sie keine Portnummern.
•
Wir empfehlen, dass Sie nur vollqualifizierte Domänennamen (FQDN) und NetBIOS-Namen
verwenden.
Auf Windows Server 2008-Systemen können ScriptScan-URL-Ausschlüsse im Internet Explorer nur
verwendet werden, wenn Sie Browsererweiterungen von Drittanbietern aktivieren und das System neu
starten. Weitere Informationen finden Sie im KnowledgeBase-Artikel KB69526.
ScriptScan und Internet Explorer
Nach der Installation von Bedrohungsschutz werden Sie beim ersten Starten vom Internet Explorer
dazu aufgefordert, ein oder mehrere McAfee-Add-Ons zu aktivieren. Folgende Bedingungen müssen
erfüllt sein, damit Skripte mithilfe von ScriptScan gescannt werden:
•
Die Einstellung ScriptScan aktivieren muss ausgewählt sein.
•
Das Add-On muss im Browser aktiviert sein.
Wenn ScriptScan beim Start vom Internet Explorer deaktiviert ist und dann aktiviert wird, erkennt es
keine bösartigen Skripte in dieser Instanz vom Internet Explorer. Nach der Aktivierung von ScriptScan
müssen Sie den Internet Explorer neu starten, um bösartige Skripte zu erkennen.
Bestimmen der Scan-Einstellungen für Prozesse
Mit folgendem Verfahren prüfen Sie, ob Sie verschiedene Einstellungen je nach Prozesstyp
konfigurieren sollten.
Produkthandbuch
69
3
Konfigurieren Sie die für den On-Demand-Scan
Diese Einstellungen konfigurieren das Verhalten der drei vordefinierten On-Demand-Scans:
Vollständiger Scan, Schnellscan und Scan per Kontextmenü.
Bevor Sie beginnen
Informationen zu weiteren Scan-Konfigurationsoptionen finden Sie in der Hilfe für die Einstellungen der
Bedrohungsschutz-Optionen.
70
Produkthandbuch
3
Vorgehensweise
1
2
Klicken Sie auf der Status-Hauptseite auf Bedrohungsschutz.
auf Bedrohungsschutz.
3
4
Klicken Sie auf On-Demand-Scan.
5
Klicken Sie auf eine Registerkarte, um Einstellungen für den ausgewählten Scan zu konfigurieren.
6
•
Vollständiger Scan
•
Schnellscan
•
Scan per Kontextmenü
Siehe auch
Funktionsweise von On-Demand-Scans
Der On-Demand-Scanner durchsucht die Dateien, Ordner, den Speicher und die Registrierung auf
Malware, durch die der Computer infiziert sein könnte.
Sie legen fest, wann und wie oft On-Demand-Scans ausgeführt werden. Sie können Ihre Systeme
manuell, zu einer geplanten Zeit oder beim Systemstart scannen.
1
Der On-Demand-Scanner verwendet folgende Kriterien, um festzulegen, ob das Element gescannt
werden muss:
•
Die Dateierweiterung entspricht der Konfiguration.
•
Die Datei befindet sich nicht im Cache, wurde ausgeschlossen oder zuvor nicht gescannt (wenn
der Scanner den Scan-Cache verwendet).
Wenn Sie McAfee GTI konfigurieren, wird vom Scanner eine Heuristik zur Überprüfung auf
verdächtige Dateien verwendet.
2
Wenn die Datei die Scan-Kriterien erfüllt, vergleicht der Scanner die Informationen im Element mit
den bekannten Malware-Signaturen in den aktuell geladenen AMCore Content-Dateien.
•
Wenn die Datei "sauber" ist, wird das Ergebnis im Cache gespeichert und das nächste Element
überprüft.
•
Enthält die Datei eine Bedrohung, führt der Scanner die konfigurierte Aktion aus.
Produkthandbuch
71
3
Wenn die Aktion beispielsweise das Säubern der Datei ist, führt der Scanner folgende Vorgänge
aus:
1
Verwenden der Informationen in der aktuell geladenen AMCore Content-Datei, um die Datei
zu säubern.
2
Aufzeichnen der Ergebnisse im Aktivitätsprotokoll.
3
Benachrichtigen des Benutzers, dass eine Bedrohung in der Datei erkannt wurde, unter
Angabe des Elementnamens und der durchgeführten Aktion.
Windows 8 und 10: Wenn vom Scanner eine Bedrohung im Pfad einer installierten Windows
Store-App erkannt wird, wird die App als manipuliert gekennzeichnet. Die Kennzeichnung für
manipulierte Dateien wird von Windows zur Kachel der App hinzugefügt. Bei einem
Ausführungsversuch benachrichtigt Sie Windows von dem Problem und leitet Sie zum Windows
Store weiter, damit Sie die App neu installieren.
3
Wenn die Datei nicht den Scan-Anforderungen entspricht, wird Sie vom Scanner nicht überprüft.
Stattdessen wird der Scan-Vorgang fortgesetzt, bis alle Daten überprüft wurden.
Bedrohungsschutz leert den globalen Scan-Cache und scannt alle Dateien erneut, wenn eine
EXTRA.DAT-Datei geladen wird.
Verringern der Beeinträchtigungen von Scans für die Benutzer
Legen Sie beim Konfigurieren von On-Demand-Scans Leistungsoptionen fest, um die Auswirkungen
dieser Scans auf Systeme zu verringern.
72
Produkthandbuch
3
Nur scannen, wenn das System im Leerlauf ist
Am einfachsten können Sie sicherstellen, dass durch den Scan keine Beeinträchtigungen für Benutzer
entstehen, indem Sie den On-Demand-Scan nur dann ausführen, wenn sich der Computer im Leerlauf
befindet.
Bei Auswahl dieser Option hält der Bedrohungsschutz den Scan an, wenn Laufwerk- oder
Benutzeraktivität erkannt wird, wie Zugriff über die Tastatur oder Maus. Der Bedrohungsschutz setzt
den Scan fort, wenn der Benutzer drei Minuten lang nicht auf das System zugegriffen hat.
Folgende Optionen stehen zur Verfügung:
•
Benutzer können Scans fortsetzen, die aufgrund von Benutzeraktivität angehalten wurden.
•
Scan nur ausführen, wenn der Computer des Systems im Leerlauf ist.
McAfee empfiehlt das Deaktivieren dieser Option auf Serversystemen und Systemen, auf die Benutzer
nur über die Remote-Desktop-Verbindung (RDP) zugreifen. Der Bedrohungsschutz stellt mithilfe von
McTray fest, ob sich das System im Leerlauf befindet. Auf nur über RDP zugegriffene Systemen startet
McTray nicht und der On-Demand-Scanner wird nie ausgeführt.
Zur Problemumgehung können Benutzer manuell McTray starten (standardmäßig unter C:
\Programme\McAfee\Agent\mctray.exe),wenn Sie sich über RDP anmelden.
Wählen Sie im Bereich Leistung der Scan-Task-Einstellungen-Registerkarte Nur scannen, wenn das
System im Leerlauf ist.
Scans werden automatisch angehalten
Zur Verbesserung der Leistung können Sie On-Demand-Scans anhalten, wenn das System im
Batteriebetrieb ist. Sie können den Scan auch anhalten, wenn eine Anwendung, wie ein Browser,
Media Player oder eine Präsentation im Vollbildmodus ausgeführt wird. Der Scan wird sofort
fortgesetzt, wenn das System an die Stromversorgung angeschlossen wird oder sich nicht mehr im
Vollbildmodus befindet.
Wählen Sie diese Optionen im Bereich Leistung der Scan-Task-Einstellungen-Registerkarte:
•
Keine Scans durchführen, wenn das System mit Batterie betrieben wird
•
Keine Scans durchführen, wenn sich das System im Präsentationsmodus befindet (verfügbar, wenn Jederzeit scannen
ausgewählt ist)
Zulassen, dass Benutzer Scans verschieben
Wenn Sie Jederzeit scannen wählen, können Sie Benutzern gestatten, geplante Scans in Schritten von
einer Stunde (bis zu 24 Stunden lang oder unbegrenzt) zu verschieben. Jede Benutzerverschiebung
dauert eine Stunde an. Wenn beispielsweise die Option Maximale Stundenanzahl, um die ein Scan verschoben
werden kann auf 2 festgelegt wurde, kann der Benutzer den Scan zweimal bzw. für zwei Stunden
verschieben. Wenn die angegebene maximale Anzahl von Stunden abgelaufen ist, wird der Scan
fortgesetzt. Falls Sie unbegrenzte Verschiebungen zulassen, indem Sie die Option auf null (0)
festgelegen, kann der Benutzer den Scan auf unbegrenzte Zeit verschieben.
Wählen Sie im Bereich Leistung der Scan-Task-Einstellungen-Registerkarte Benutzer darf Scans
verschieben:
Beschränken der Scan-Aktivität mit inkrementellen Scans
Verwenden Sie inkrementelle bzw. fortsetzbare Scans, um die Häufigkeit der
On-Demand-Scan-Aktivität einzuschränken und das gesamte System dennoch in mehreren Sitzungen
zu scannen. Das inkrementelle Scannen kann verwendet werden, indem Sie dem geplanten Scan eine
Produkthandbuch
73
3
Zeitbeschränkung hinzufügen. Der Scan wird angehalten, sobald die Zeitbeschränkung erreicht wurde.
Beim nächsten Start wird der Task an der Stelle in der Datei oder der Ordnerstruktur fortgesetzt, an
der der vorherige Scan angehalten wurde.
Wählen Sie im Bereich Optionen der Scan-Task-Planen-Registerkarte Diesen Task stoppen, wenn er
länger läuft als. Siehe Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75.
Konfigurieren der Systemauslastung
Systemauslastung legt die CPU-Zeit fest, die der Scanner während des Scan-Vorgangs empfängt.
Legen Sie für Systeme mit Endbenutzeraktivität die Systemauslastung auf Niedrig fest.
Wählen Sie im Bereich Leistung der Scan-Task-Einstellungen-Registerkarte Systemauslastung.
Siehe auch
Funktionsweise der Systemauslastung
Der On-Demand-Scanner verwendet die von Windows festgelegte Prioritätseinstellung als Priorität für
Scan-Vorgänge und Threads. Mit der Systemauslastungseinstellung (Drosselung) kann das
Betriebssystem die CPU-Zeit, die der On-Demand-Scanner empfängt, während des Scan-Vorgangs
festlegen.
Wenn die Systemauslastung für den Scan auf Niedrig eingestellt wird, wird die Leistung für andere
ausgeführte Anwendungen erhöht. Die niedrige Einstellung eignet sich für Systeme mit
Endbenutzeraktivität. Umgekehrt wird der Scan-Vorgang schneller abgeschlossen, wenn Sie die
Systemauslastung auf Normal einstellen. Die normale Einstellung eignet sich für Systeme mit großen
Volumes und wenig Endbenutzeraktivität.
Jeder Task wird unabhängig von den Beschränkungen anderer Tasks ausgeführt.
Tabelle 3-3 Standardprozesseinstellungen
Bedrohungsschutz-Prozesseinstellung Diese Option...
74
Von Windows
festgelegte
Prioritätseinstellung
Niedrig
Erhöht die Leistung für andere Niedrig
ausgeführte Anwendungen.
Wählen Sie diese Option für
Systeme mit
Endbenutzeraktivität.
Niedriger als normal
Legt Systemauslastung für
den Scan auf den McAfee
ePO-Standard fest.
Niedriger als normal
Normal (Standard)
Damit kann der Scan-Vorgang
schneller abgeschlossen
werden. Wählen Sie diese
Option für Systeme mit
großen Datenträgern und
wenig Endbenutzeraktivität.
Normal
Produkthandbuch
3
Funktionsweise des Scannens vom Remote-Speicher
Sie können den On-Demand-Scanner so konfigurieren, dass der Inhalt von Dateien gescannt wird, die
der Remote-Speicher verwaltet.
Der Remote-Speicher überwacht die Größe des verfügbaren Speicherplatzes auf dem lokalen System.
Falls nötig, migriert der Remote-Speicher automatisch den Inhalt (Daten) geeigneter Dateien vom
Client-System zu einem Speichergerät, wie etwa eine Bandbibliothek. Wenn ein Benutzer eine Datei
öffnet, dessen Daten migriert wurden, ruft der Remote-Speicher automatisch die Daten vom
Speichergerät ab.
Wählen Sie die Option In den Speicher migrierte Dateien aus, um den On-Demand-Scanner so zu
konfigurieren, dass vom Remote-Speicher verwaltete Dateien gescannt werden. Wenn der Scanner auf
eine Datei mit migriertem Inhalt stößt, wird diese vor dem Scannen im lokalen System
wiederhergestellt.
Weitere Informationen finden Sie unter Was ist ein Remote-Speicher.
Konfigurieren, Planen und Ausführen von Scan-Tasks
Sie können über den Endpoint Security-Client in den Einstellungen für Allgemeingültig die Standard-Tasks für
Endpoint Security-Client und Allgemeingültig planen oder benutzerdefinierte Scan-Tasks erstellen.
Bevor Sie beginnen
Vorgehensweise
1
2
3
4
5
Konfigurieren Sie die Einstellungen des Scan-Tasks auf der Seite.
Einstellungen aus.
Ziel
Benutzerdefinierten
Scan-Task erstellen
2 Geben Sie den Namen ein, wählen Sie aus der Dropdown-Liste die
Option Benutzerdefinierter Scan aus, und klicken Sie dann auf Weiter.
3 Konfigurieren Sie die Einstellungen und den Zeitplan des Scan-Tasks,
und klicken Sie zum Speichern des Tasks auf OK.
Scan-Task ändern
• Doppelklicken Sie auf den Task, nehmen Sie die gewünschten
Änderungen vor, und klicken Sie zum Speichern des Tasks auf OK.
Benutzerdefinierten
Scan-Task entfernen.
Kopie eines Scan-Tasks
erstellen
2 Geben Sie den Namen ein, konfigurieren Sie die Einstellungen, und
klicken Sie zum Speichern des Tasks auf OK.
Produkthandbuch
75
3
Ziel
Zeitplan für den Task
vollständiger Scan oder
Schnellscan ändern
1 Doppelklicken Sie auf vollständiger Scan oder Schnellscan.
2 Klicken Sie auf die Registerkarte Zeitplan, nehmen Sie die gewünschten
Änderungen am Zeitplan vor, und klicken Sie zum Speichern des Tasks
auf OK.
Die Einstellungen für die Tasks vollständiger Scan und Schnellscan können
nur auf selbstverwalteten Systemen konfiguriert werden.
Unter Konfigurieren Sie die für den On-Demand-Scan auf Seite 70
erhalten Sie Informationen zum Konfigurieren des Standardverhaltens
für die Tasks vollständiger Scan und Schnellscan, die vom Endpoint
Security-Client initiiert werden.
Standardmäßig ist die Ausführung des vollständigen Scans für jeden
Mittwoch um Mitternacht geplant. Die Ausführung des Schnellscans ist
täglich für 19 Uhr geplant. Die Zeitpläne sind aktiviert.
Scan-Task ausführen
wurden, werden Sie vom Endpoint Security-Client dazu aufgefordert,
die Änderungen zu speichern.
6
Siehe auch
76
Produkthandbuch
4
Die Firewall fungiert als Filter zwischen Ihrem Computer und dem Netzwerk oder dem Internet.
Inhalt
Firewall – Funktionsweise
Aktivieren oder Anzeigen von zeitbeschränkten Firewall-Gruppen
Verwalten der Firewall
Firewall – Funktionsweise
Die Firewall scannt allen eingehenden und ausgehenden Datenverkehr.
Beim Prüfen des ein- oder ausgehenden Datenverkehrs kontrolliert die Firewall die Liste der Regeln,
die einen Satz von Kriterien und zugehörigen Aktionen enthält. Wenn der Datenverkehr allen Kriterien
in einer Regel entspricht, handelt die Firewall entsprechend der Regel und blockiert den Datenverkehr
über die Firewall oder lässt ihn zu.
Informationen zur Erkennung von Bedrohungen werden für Berichte gespeichert, die den
Administrator über Sicherheitsprobleme für Ihren Computer benachrichtigen.
Firewall-Optionen und -Regeln definieren, wie die Firewall arbeitet. In Regelgruppen werden
Firewall-Regeln zur einfachen Verwaltung organisiert.
Wenn der Client-Schnittstellenmodus auf Vollzugriff eingestellt ist, oder Sie als Administrator angemeldet
sind, können Sie mithilfe des Endpoint Security-Client Regeln und Gruppen konfigurieren. In
verwalteten Systemen werden Regeln und Gruppen, die Sie erstellen, möglicherweise überschrieben,
wenn der Administrator eine aktualisierte Richtlinie bereitstellt.
Siehe auch
Konfigurieren der Firewall-Optionen auf Seite 78
Funktionsweise von Firewall-Regeln auf Seite 81
Funktionsweise von Firewall-Regelgruppen auf Seite 83
Aktivieren oder Anzeigen von zeitbeschränkten FirewallGruppen
Über das McAfee-Taskleistensymbol können Sie zeitbeschränkte Firewall-Gruppen aktivieren oder
anzeigen.
Diese Optionen sind je nach konfigurierten Einstellungen möglicherweise nicht verfügbar.
Produkthandbuch
77
4
Vorgehensweise
•
Klicken Sie mit der rechten Maustaste auf das McAfee-Taskleistensymbol, und wählen Sie aus dem
Menü Schnellkonfiguration eine Option aus.
•
Zeitbeschränkte Firewall-Gruppen aktivieren – aktiviert zeitbeschränkte Gruppen für einen festgelegten
Zeitraum, um den Nicht-Netzwerkzugriff auf das Internet zuzulassen, bevor Regeln angewendet
werden, die den Zugriff beschränken.
Bei jeder Auswahl dieser Option wird die Zeit für die Gruppen zurückgesetzt.
•
Zeitbeschränkte Firewall-Gruppen anzeigen – zeigt die Namen der zeitbeschränkten Gruppen und die
verbleibende Zeit, für die die einzelnen Gruppen aktiv sind, an.
Als Administrator können Sie Firewall-Optionen konfigurieren und Regeln und Gruppen auf dem
Endpoint Security-Client erstellen.
Ändern von Firewall-Optionen
Als Administrator können Sie Firewall-Optionen über denEndpoint Security-Client ändern.
Aufgaben
•
Konfigurieren Sie Einstellungen in Optionen , um den Firewall-Schutz ein- und
auszuschalten, den adaptiven Modus zu aktivieren und andere Firewall-Optionen zu
konfigurieren.
•
Blockieren des DNS-Datenverkehrs auf Seite 79
Um den Firewall-Schutz zu optimieren, erstellen Sie eine Liste zu blockierender FQDNs.
Firewall blockiert Verbindungen zu den IP-Adressen, die in die Domänennamen aufgelöst
werden.
Siehe auch
FAQ – McAfee GTI und Firewall auf Seite 80
Konfigurieren der Firewall-Optionen
Konfigurieren Sie Einstellungen in Optionen , um den Firewall-Schutz ein- und auszuschalten, den
adaptiven Modus zu aktivieren und andere Firewall-Optionen zu konfigurieren.
Bevor Sie beginnen
78
Produkthandbuch
4
Vorgehensweise
1
2
Klicken Sie auf der Status-Hauptseite auf Firewall.
Einstellungen auf Firewall.
3
Einstellungen auswählen. Klicken Sie dann auf der Seite
Wählen Sie Firewall aktivieren, um die Firewall zu aktivieren und die Optionen zu ändern.
werden. Ist McAfee Host IPS installiert und aktiviert, wird die Endpoint Security-Firewall deaktiviert,
selbst wenn sie in den Richtlinieneinstellungen aktiviert ist.
4
Klicken Sie auf Erweiterte einblenden.
5
Siehe auch
Blockieren des DNS-Datenverkehrs
Um den Firewall-Schutz zu optimieren, erstellen Sie eine Liste zu blockierender FQDNs. Firewall
blockiert Verbindungen zu den IP-Adressen, die in die Domänennamen aufgelöst werden.
Bevor Sie beginnen
Vorgehensweise
1
2
Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Firewall.
3
Klicken Sie unter DNS-Blockierung auf Hinzufügen.
4
Geben Sie den FQDN der zu blockierenden Domänen ein.
Sie können * und ? als Platzhalterzeichen verwenden. Beispiel: *domain.com.
Alle doppelten Einträge werden automatisch entfernt.
5
Produkthandbuch
79
4
FAQ – McAfee GTI und Firewall
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen.
FirewallOptionseinstellungen ermöglichen das Blockieren eingehenden und ausgehenden
Datenverkehrs von einer Netzwerkverbindung, die McAfee GTI als "hohes Risiko" bewertet hat. In
dieser häufig gestellten Frage wird die Funktionsweise von McAfee GTI erläutert und inwiefern sich
diese auf die Firewall auswirkt.
Was ist McAfee GTI?
McAfee GTI ist ein System zur globalen Reputationsanalyse von Internetseiten. Anhand von
Echtzeitanalysen der verhaltensbasierten Muster und Versendemuster für E-Mails, von Malware,
Internetaktivität und des Verhaltens der Systeme untereinander ermittelt McAfee GTI positives
und negatives Verhalten im Internet. Mithilfe der Daten, die bei dieser Analyse ermittelt werden,
berechnet McAfee GTI dynamisch die Reputationsfaktoren, die die Risikostufe darstellt, mit der
das Besuchen einer Webseite für Ihr Netzwerk eingeordnet wird. Das Ergebnis ist eine
Datenbank mit Reputationsfaktoren für IP-Adressen, Domänen, spezifische Meldungen, URLs
und Bilder.
Funktionsweise
Wenn die McAfee GTI-Optionen ausgewählt werden, werden zwei Firewall-Regeln erstellt: McAfee
GTI – Endpoint Security Firewall-Dienst zulassen und McAfee GTI – Bewertung anzeigen. Die erste Regel erlaubt
eine Verbindung zu McAfee GTI, und die zweite Regel blockiert Datenverkehr oder lässt ihn zu
(auf der Grundlage der Reputation einer Verbindung und des festgelegten
Blockierungsschwellenwerts).
Was bedeutet "Reputation"?
Für jede IP-Adresse im Internet berechnet McAfee GTI einen Reputationswert. McAfee GTI
basiert den Wert auf dem Sende- oder Hosting-Verhalten und verschiedenen Umgebungsdaten,
die von Kunden und Partnern zum Zustand der Bedrohungslandschaft im Internet erfasst
werden. Basierend auf unsere Analyse wird die Reputation in vier Klassen angegeben:
•
Minimales Risiko (Nicht blockieren) – Es handelt sich um eine zulässige Quelle oder ein zulässiges
Ziel für Inhalte/Datenverkehr.
•
Nicht verifiziert – Es handelt sich um eine zulässige Quelle oder ein zulässiges Ziel für Inhalte/
Datenverkehr. Offenbar sind auf dieser Site auch bestimmte Merkmale vorhanden, die darauf
hinweisen, dass eine genauere Prüfung erforderlich ist.
•
Mittleres Risiko – Diese Quelle/dieses Ziel weist ein Verhalten auf, das wir als verdächtig
ansehen. Die Inhalte/der Datenverkehr aus dieser Quelle bzw. an dieses Ziel erfordern
besondere Sorgfalt.
•
Hohes Risiko – Diese Quelle/dieses Ziel ist bekannt dafür oder es ist wahrscheinlich, dass
potenziell bösartiger Inhalt/Datenverkehr von dort gesendet bzw. dort gehostet wird. Unserer
Ansicht nach stellt diese Site ein ernsthaftes Risiko dar.
Führt McAfee GTI zu Latenz? In welchem Umfang?
Wenn McAfee GTI für die Reputations-Suche verwendet wird, ist eine gewisse Latenz
unvermeidlich. McAfee hat alle Maßnahmen ergriffen, um diese so gering wie möglich zu halten.
McAfee GTI:
•
Überprüfung der Reputationen erfolgt nur, wenn diese Optionen ausgewählt sind.
•
Verwendung einer intelligenten Caching-Architektur. Bei normalen Netzwerknutzungsmustern
können die meisten der gewünschten Verbindungen anhand des Caches gelöst werden, ohne
dass eine reale Reputationsabfrage erfolgen muss.
Wird der Datenverkehr gestoppt, wenn die Firewall keine Verbindung mit McAfee
GTI-Servern herstellen kann?
Wenn die Firewall keine Verbindung mit McAfee GTI-Servern herstellen kann, werden alle
anwendbaren Verbindungen automatisch einer zugelassenen Standardreputation zugeordnet. Im
Anschluss setzt die Firewall die Analyse der nächsten Regeln fort.
80
Produkthandbuch
4
Konfigurieren Sie Firewall-Regeln und -Gruppen
Als Administrator können Sie Firewall-Regeln und -Gruppen auf dem Endpoint Security-Client
konfigurieren.
Aufgaben
•
Erstellen und Verwalten von Firewall-Regeln und -Gruppen auf Seite 87
In verwalteten Systemen werden Regeln und Gruppen, die Sie über den Endpoint
Security-Client konfigurieren, möglicherweise überschrieben, wenn der Administrator eine
aktualisierte Richtlinie bereitstellt.
•
Erstellen von Verbindungsisolierungsgruppen auf Seite 89
Um einen Satz an Regeln zu erstellen, die nur bei Verbindung mit einem Netzwerk mit
bestimmten Parametern gelten sollen, erstellen Sie eine Firewall-Regelgruppe für
Verbindungsisolierung.
•
Erstellen zeitbeschränkter Gruppen auf Seite 90
Erstellen Sie zeitbeschränkte Firewall-Gruppen, um den Internetzugriff zu beschränken, bis
ein Client-System eine Verbindung über ein VPN herstellt.
Funktionsweise von Firewall-Regeln
Firewall-Regeln bestimmen, wie Netzwerkverkehr verarbeitet wird. Jede Regel bietet einen Satz an
Bedingungen, die der Datenverkehr erfüllen muss, sowie eine Maßnahme, mit welcher der
Datenverkehr zugelassen oder blockiert wird.
Wenn Firewall Datenverkehr findet, der einer Regelbedingung entspricht, dann wird die verknüpfte
Aktion durchgeführt.
Sie können diese Regeln allgemein definieren (z. B. für alle Arten von IP-basiertem Datenverkehr)
oder spezifisch (z. B. durch Ermitteln einer spezifischen Anwendung oder eines spezifischen Dienstes)
und dabei Optionen festlegen. Sie können Regeln zur einfacheren Verwaltung nach einer Funktion,
einem Dienst oder einer Anwendung gruppieren. Für die Regelgruppen können Sie – genau wie bei
den Regeln – verschiedene Netzwerk-, Datenübertragungs-, Anwendungs-, Zeitplan- und
Speicherortoptionen definieren.
In Firewall werden Regeln nach Vorrang angewendet:
1
Die am Anfang der Firewall-Regelliste stehenden Regeln werden von der Firewall zuerst
angewendet.
Wenn der Datenverkehr die Bedingungen dieser Regel erfüllt, erlaubt Firewall diesen Datenverkehr
oder blockiert ihn. Es werden keine weiteren in der Regelliste enthaltenen Regeln angewendet.
2
Wenn der Datenverkehr die Bedingung der ersten Regel jedoch nicht erfüllt, prüft Firewall die
nächste in der Liste enthaltene Regel und so weiter, bis eine passende Regel gefunden wurde.
3
Wenn keine Regel die Bedingung erfüllt, blockiert die Firewall den Datenverkehr automatisch.
Produkthandbuch
81
4
Im adaptiven Modus wird für den Datenverkehr eine Zulassungsregel erstellt. Es kann vorkommen,
dass der abgefangene Datenverkehr mehr als eine Regel erfüllt. In diesem Fall sorgt die
Vorrangfunktion dafür, dass Firewall nur die erste in der Liste erfüllte Regel anwendet.
Empfohlene Vorgehensweisen
Stellen Sie die spezifischeren Regeln an den Anfang der Liste und die allgemeineren Regeln ans Ende.
Durch diese Reihenfolge wird gewährleistet, dass Firewall den Datenverkehr angemessen filtert.
Um beispielsweise alle HTTP-Anfragen zu blockieren, mit Ausnahme einer spezifischen IP-Adresse
(z. B. 10.10.10.1), müssen Sie zwei Regeln erstellen:
•
Blockierungsregel – HTTP-Datenverkehr von Adresse 10.10.10.1 wird blockiert. Diese Regel ist
allgemein.
•
Zulassungsregel – sämtlicher Datenverkehr wird zugelassen, der den HTTP-Dienst verwendet.
Diese Regel ist allgemein.
Platzieren Sie die Blockierungsregel in der Firewall-Regelliste vor der Zulassungsregel. Wenn die
Firewall eine HTTP-Anfrage von der Adresse 10.10.10.1 abfängt, blockiert die erste passende Regel
den Datenverkehr durch die Firewall.
Wenn Sie die allgemeinere Zulassungsregel vor der spezifischeren Blockierregel platzieren, werden die
Anfragen von Firewall mit der Zulassungsregel abgeglichen, bevor die Blockierungsregel gefunden
wird. Auf diese Weise wird der Datenverkehr zugelassen, obwohl Sie die HTTP-Anfrage von einer
bestimmten Adresse blockieren wollten.
82
Produkthandbuch
4
Funktionsweise von Firewall-Regelgruppen
In Firewall werden Firewall-Regeln zur einfachen Verwaltung organisiert. Firewall-Regelgruppen haben
keine Auswirkung auf die Art und Weise, wie die Firewall die darin enthaltenen Regeln behandelt;
diese werden weiterhin von oben nach unten durch die Firewall abgearbeitet.
Die Firewall verarbeitet die Einstellungen für die Gruppe vor der Verarbeitung der Einstellungen für die
Gruppe, die sie enthält. Wenn ein Konflikt zwischen diesen Einstellungen existiert, haben die
Gruppeneinstellungen Vorrang.
Festlegen von Gruppen als standortabhängige Gruppen
In der Firewall können Sie standortabhängige Regeln für eine Gruppe und Verbindungsisolierung
erstellen. Über Ort und Netzwerkoptionen können Sie Gruppen so konfigurieren, dass Netzwerkadapter
berücksichtigt werden. Verwenden Sie Netzwerkadaptergruppen, um adapterspezifische Regeln für
Computer mit verschiedenen Netzwerkschnittstellen anzuwenden. Nachdem der Speicherortstatus
aktiviert und der Speicherort benannt wurden, können die Parameter für zugelassene Verbindungen
für jeden Netzwerkadapter folgende Parameter enthalten:
Speicherort:
•
Erforderlich machen, dass McAfee ePO erreichbar ist
•
Verbindungsspezifisches DNS-Suffix
•
Standard-Gateway-IP-Adresse
•
DHCP-Server-IP-Adresse
•
DNS-Server für die Auflösung von URLs
•
IP-Adresse des primären WINS-Servers
•
IP-Adresse des sekundären WINS-Servers
•
Domänenerreichbarkeit (HTTPS)
•
Registrierungsschlüssel
Netzwerke:
•
IP-Adresse des lokalen Netzwerks
•
Verbindungstypen
Wenn zwei standortabhängige Gruppen für eine Verbindung zutreffen, verwendet die Firewall den
normalen Vorrang und verarbeitet die erste zutreffende Gruppe in der Regelliste. Wenn in der ersten
Gruppe keine Regel übereinstimmt, wird die Regelverarbeitung fortgesetzt.
Wenn die Firewall die Parameter einer standortabhängigen Gruppe mit einer aktiven Verbindung
abgleicht, werden die in der Gruppe enthaltenen Regeln angewendet. Die Regeln werden als kleiner
Regelsatz behandelt und der normale Vorrang eingehalten. Wenn der abgefangene Datenverkehr
einige Regeln nicht erfüllt, werden diese von der Firewall ignoriert.
Bei Auswahl dieser Option...
Vorgehensweise
Standortbewusstsein aktivieren
Der Name eines Standorts ist erforderlich.
Erforderlich machen, dass McAfee
ePO erreichbar ist
McAfee ePO ist erreichbar, und der FQDN des Servers wurde
aufgelöst.
Lokales Netzwerk
Die IP-Adresse des Adapters muss mit einem der Einträge in der
Liste übereinstimmen.
Produkthandbuch
83
4
Bei Auswahl dieser Option...
Vorgehensweise
Verbindungsspezifisches
DNS-Suffix
Das DNS-Suffix des Adapters muss mit einem der Einträge in der
Liste übereinstimmen.
Standard-Gateway
Die IP-Adresse des Standard-Gateway-Adapters muss mit
mindestens einem der Listeneinträge übereinstimmen.
DHCP-Server
Die IP-Adresse des DHCP-Server-Adapters muss mit mindestens
einem der Listeneinträge übereinstimmen.
DNS-Server
Die IP-Adresse des DNS-Server-Adapters muss mit einem
beliebigen der Listeneinträge übereinstimmen.
Primärer WINS-Server
Die IP-Adresse des primären WINS-Server-Adapters muss mit
Sekundärer WINS-Server
Die IP-Adresse des sekundären WINS-Server-Adapters muss mit
Domänenerreichbarkeit (HTTPS)
Die angegebene Domäne muss über HTTPS erreichbar sein.
Firewall-Regelgruppen und Verbindungsisolierung
Verwenden Sie Verbindungsisolierung für Gruppen, um unerwünschten Datenverkehr daran zu
hindern, auf ein ausgewiesenes Netzwerk zuzugreifen.
Wenn bei aktivierter Verbindungsisolierung für eine Gruppe eine aktive Netzwerkschnittstellenkarte
(NIC) den Gruppenkriterien entspricht, verarbeitet die Firewall nur Datenverkehr, der mit Folgendem
übereinstimmt:
•
Zulassungsregeln oberhalb der Gruppe in der Firewall-Regelliste
•
Gruppenkriterien
Sonstiger Datenverkehr wird blockiert.
Gruppen, für die die Verbindungsisolierung aktiviert ist, können keine verknüpften Transportoptionen
und ausführbaren Dateien enthalten.
84
Produkthandbuch
4
Als Anwendungsbeispiel für die Verbindungsisolierung betrachten wir zwei Fälle: eine
Unternehmensumgebung und ein Hotel. Die Liste aktiver Firewall-Regeln enthält Regeln und Gruppen
in folgender Reihenfolge:
1
Grundlegende Verbindungsregeln
2
Verbindungsregeln für VPN
3
Gruppe mit Verbindungsregeln für Unternehmensnetzwerke
4
Gruppe mit VPN-Verbindungsregeln
Produkthandbuch
85
4
Beispiel: Verbindungsisolierung im Unternehmensnetzwerk
Verbindungsregeln werden abgearbeitet, bis die Gruppe mit Verbindungsregeln für
Unternehmensnetzwerke erreicht wird. Diese Gruppe umfasst folgende Einstellungen:
•
Verbindungstyp = Kabelgebunden
•
Verbindungsspezifisches DNS-Suffix = meinunternehmen.de
•
Standard-Gateway
•
Verbindungsisolierung = Aktiviert
Der Computer verfügt über kabelgebundene und kabellose Netzwerkadapter. Der Computer ist mit
dem Unternehmensnetzwerk über eine kabelgebundene Verbindung verbunden. Die
Drahtlosschnittstelle ist aber noch aktiv und verbindet sich daher mit einem Hotspot außerhalb des
Betriebsgeländes. Der Computer ist mit beiden Netzwerken verbunden, da die grundlegenden
Verbindungsregeln oben an der Liste der Firewall-Regeln angeordnet sind. Die LAN-Kabelverbindung
ist aktiv und entspricht den Kriterien der Verbindungsgruppe des Unternehmensnetzwerks. Die
Firewall verarbeitet den Netzwerkverkehr durch das LAN, blockiert aber weiteren Netzwerkverkehr
außerhalb des LAN aufgrund der aktivierten Netzwerkverbindungsisolierung.
Beispiel: Verbindungsisolierung in einem Hotel
Verbindungsregeln werden abgearbeitet, bis die Gruppe mit VPN-Verbindungsregeln erreicht wird.
Diese Gruppe umfasst folgende Einstellungen:
•
Verbindungstyp = virtuell
•
Verbindungsspezifisches DNS-Suffix = vpn.meinunternehmen.de
•
IP-Adresse = eine Adresse im Adressbereich des VPN-Konzentrators
•
Verbindungsisolierung = Aktiviert
Über allgemeine Verbindungsregeln lässt sich ein zeitlich begrenztes Konto für den Internetzugang in
einem Hotel einrichten. Die VPN-Verbindungsregeln ermöglichen die Verbindung mit dem VPN-Tunnel
und dessen Nutzung. Nach dem Aufbau des Tunnels erzeugt der VPN-Client einen virtuellen
Netzwerkadapter, der den Kriterien der VPN-Gruppe entspricht. Die Firewall beschränkt den
zugelassenen Netzwerkverkehr (mit Ausnahme des Basisverkehrs des physischen Adapters selbst) auf
den VPN-Tunnel. Versuche anderer Hotelgäste, drahtlos oder per Netzwerkkabel über das Netzwerk auf
den Computer zuzugreifen, werden blockiert.
Vordefinierte Firewall-Regelgruppen
Die Firewall beinhaltet verschiedene vordefinierte Firewall-Gruppen.
Firewall-Gruppe
Beschreibung
McAfee Core-Netzwerke
Enthält die von McAfee bereitgestellten Core-Netzwerkregeln sowie Regeln zum
Zulassen von McAfee-Anwendungen und DNS.
Sie können diese Regeln weder ändern noch löschen. Sie können die Gruppe in
den Firewall-Optionen deaktivieren. Dies kann jedoch zu Störungen bei der
Netzwerkkommunikation auf dem Client führen.
Administrator hinzugefügt Enthält vom Administrator auf dem Management-Server definierte Regeln.
Diese Regeln können auf dem Endpoint Security-Client weder geändert noch
gelöscht werden.
86
Produkthandbuch
4
Firewall-Gruppe
Beschreibung
Benutzer hinzugefügt
Enthält auf dem Endpoint Security-Client definierte Regeln.
Abhängig von den Richtlinieneinstellungen können diese Regeln überschrieben
werden, wenn die Richtlinie erzwungen wird.
Dynamisch
Enthält Regeln, die von anderen auf dem System installierten Endpoint
Security-Modulen dynamisch erstellt wurden.
Beispielsweise kann der Bedrohungsschutz ein Ereignis an das Modul Endpoint
Security-Client senden, um eine Regel zur Blockierung des Zugriffs auf ein
System im Netzwerk zu erstellen.
Enthält Client-Ausnahmeregeln, die automatisch erstellt werden, wenn sich das
System im adaptiven Modus befindet.
Adaptiv
Abhängig von den Richtlinieneinstellungen können diese Regeln überschrieben
werden, wenn die Richtlinie erzwungen wird.
Enthält von McAfee bereitgestellte Standardregeln.
Standard
Diese Regeln können weder geändert noch gelöscht werden.
Erstellen und Verwalten von Firewall-Regeln und -Gruppen
In verwalteten Systemen werden Regeln und Gruppen, die Sie über den Endpoint Security-Client
konfigurieren, möglicherweise überschrieben, wenn der Administrator eine aktualisierte Richtlinie
bereitstellt.
Bevor Sie beginnen
Die Gruppen und Regeln werden nach Priorität geordnet in der Tabelle Firewall-Regeln angezeigt. Regeln
können nicht nach Spalte geordnet werden.
Vorgehensweise
1
2
3
Verwenden Sie diese Tasks zur Verwaltung von Firewall-Regeln und -Gruppen.
Für diese Aktion...
Befolgen Sie diese Schritte
Regeln in einer Firewall-Gruppe
anzeigen.
Klicken Sie auf
.
Eine Firewall-Gruppe reduzieren. Klicken Sie auf
.
Produkthandbuch
87
4
Für diese Aktion...
Befolgen Sie diese Schritte
Eine vorhandene Regel ändern.
1 Erweitern Sie die Gruppe Vom Benutzer hinzugefügt.
Sie können nur Regeln in
der Gruppe Vom Benutzer
hinzugefügt ändern.
2 Doppelklicken Sie auf die Richtlinie.
3 Ändern Sie die Regeleinstellungen.
4 Klicken Sie auf OK, um Ihre Änderungen zu speichern.
Eine vorhandene Regel in einer
Gruppe anzeigen.
1 Erweitern Sie die Gruppe.
Eine Regel erstellen.
1 Klicken Sie auf Regel hinzufügen.
2 Wählen Sie die Regel aus, um ihre Details unten anzuzeigen.
2 Legen Sie die Regeleinstellungen fest.
Die Regel wird am Ende der Gruppe Vom Benutzer hinzugefügt
angezeigt.
Regeln kopieren.
1 Wählen Sie die Regel oder Regeln aus, und klicken Sie auf
Duplizieren.
Kopierte Regeln werden am Ende der Gruppe Vom Benutzer
hinzugefügt angezeigt.
2 Ändern Sie die Regeln, um den Namen und die Einstellungen
zu ändern.
Regeln löschen.
Sie können Regeln nur aus
den Gruppen Vom Benutzer
hinzugefügt und Adaptiv
löschen.
Eine Gruppe erstellen.
1 Erweitern Sie die Gruppe.
2 Wählen Sie die Regel oder Regeln aus, und klicken Sie auf
Löschen.
1 Klicken Sie auf Gruppe hinzufügen.
2 Legen Sie die Gruppeneinstellungen fest.
Die Gruppe wird in der Gruppe Vom Benutzer hinzugefügt angezeigt.
Regeln und Gruppen innerhalb
und zwischen Gruppen
verschieben.
Sie können nur Regeln und
Gruppen in der Gruppe Vom
Benutzer hinzugefügt
verschieben.
Um Elemente zu verschieben:
1 Wählen Sie Elemente zum Verschieben aus.
Der Ziehpunkt
erscheint links von Elementen, die
verschoben werden können.
2 Verschieben Sie per Drag-and-Drop die Elemente an den
gewünschten Ort.
Eine blaue Linie erscheint zwischen Elementen, wo Sie die
gezogenen Elemente ablegen können.
4
Siehe auch
Platzhalter in Firewall-Regeln auf Seite 89
Erstellen von Verbindungsisolierungsgruppen auf Seite 89
88
Produkthandbuch
4
Platzhalter in Firewall-Regeln
Sie können Platzhalter verwenden, um Zeichen für einige Werte in Firewall-Regeln darzustellen.
Platzhalter in Pfad- und Adresswerten
Folgende Platzhalter dürfen in Dateipfaden, Registrierungsschlüsseln, ausführbaren Dateien und URLs
verwendet werden.
In Registrierungsschlüsselpfaden für Firewall-Gruppenspeicherorte werden keine Platzhalterwerte
erkannt.
?
Fragezeichen
Ein einzelnes Zeichen.
*
Sternchen
Mehrere Zeichen, ausgenommen Schrägstrich (/) und umgekehrter Schrägstrich
(\). Verwenden Sie dieses Zeichen als Entsprechung der Stammebene eines
Ordners ohne Unterordner verwendet.
** zwei Sternchen Mehrere Zeichen, einschließlich Schrägstrich (/) und umgekehrter Schrägstrich
(\).
|
Pipe
Platzhalter-Escape.
Die Escape-Zeichenfolge für ein doppeltes Sternchen (**) lautet "|*|*".
Platzhalter in allen anderen Werten
Für Werte, die normalerweise keine Pfadangaben mit Schrägstrichen enthalten, können folgende
Platzhalter verwendet werden.
? Fragezeichen Ein einzelnes Zeichen.
* Sternchen
Mehrere Zeichen, einschließlich Schrägstrich (/) und umgekehrter Schrägstrich (\).
| Pipe
Platzhalter-Escape.
Erstellen von Verbindungsisolierungsgruppen
Um einen Satz an Regeln zu erstellen, die nur bei Verbindung mit einem Netzwerk mit bestimmten
Parametern gelten sollen, erstellen Sie eine Firewall-Regelgruppe für Verbindungsisolierung.
Bevor Sie beginnen
Vorgehensweise
1
2
3
Klicken Sie unter REGELN auf Gruppe hinzufügen.
4
Geben Sie unter Beschreibung die Optionen für die Gruppe an.
5
Wählen Sie unter Standort die Option Standortbewusstsein aktivieren und Verbindungsisolierung aktivieren.
Wählen Sie dann die Standortkriterien für die Zuordnung.
Produkthandbuch
89
4
6
Wählen Sie unter Netzwerke für Verbindungstypen den Typ der Verbindung (Kabelgebunden, Kabellos, Virtuell)
aus, für den die in dieser Gruppe enthaltenen Regeln angewendet werden sollen.
Einstellungen für Transport und Ausführbare Dateien sind für Verbindungsisolierungsgruppen nicht
verfügbar.
7
Klicken Sie auf OK.
8
Erstellen Sie in dieser Gruppe neue Regeln, oder verschieben Sie vorhandene Regeln aus der
Firewall-Regelliste in die Gruppe.
9
Siehe auch
Firewall-Regelgruppen und Verbindungsisolierung auf Seite 84
Funktionsweise von Firewall-Regelgruppen auf Seite 83
Erstellen zeitbeschränkter Gruppen
Erstellen Sie zeitbeschränkte Firewall-Gruppen, um den Internetzugriff zu beschränken, bis ein
Client-System eine Verbindung über ein VPN herstellt.
Wenn Benutzer für den Zugriff auf interne Websites über öffentliche Netzwerke eine Verbindung
herstellen müssen, können Sie eine zeitbeschränkte Gruppe erstellen, um die Einrichtung einer
VPN-Verbindung zu ermöglichen.
Zur Aktivierung dieser zeitbeschränkten Gruppe klicken Sie im Client-System mit der rechten
Maustaste auf das McAfee-Taskleistensymbol, und wählen Sie Schnellkonfiguration | Zeitbeschränkte
Firewall-Gruppen aktivieren aus. Die Gruppe ist dann für die angegebene Anzahl von Minuten aktiv, und das
Client-System kann eine Verbindung zu einem öffentlichen Netzwerk herstellen und eine
VPN-Verbindung einrichten.
Vorgehensweise
1
2
3
Erstellen Sie eine Firewall-Gruppe mit Standardeinstellungen, die Internetverbindungen zulassen.
Beispiel: Lassen Sie HTTP-Verkehr über Port 80 zu.
4
Wählen Sie unter Zeitplan die Option Zeitplan deaktivieren und die Gruppe über das McAfee-Taskleistensymbol
aktivieren aus, und geben Sie die Anzahl von Minuten für die Gruppenaktivität ein.
5
Klicken Sie auf OK, um Ihre Änderungen zu speichern.
6
Erstellen Sie eine Verbindungsisolierungsgruppe, die mit dem VPN übereinstimmt, um den nötigen
Datenverkehr zuzulassen.
Siehe Erstellen von Verbindungsisolierungsgruppen auf Seite 89.
Um über die Verbindungsisolierungsgruppe hinaus ausgehenden Datenverkehr aus dem
Client-System zu verhindern, vermeiden Sie jegliche Firewall-Regeln unter dieser Gruppe.
7
90
Produkthandbuch
5
Webkontrolle-Schutzfunktionen werden in Ihrem Browser angezeigt, während Sie im Internet surfen
oder suchen.
Inhalt
Informationen zu Webkontrolle-Funktionen
Zugreifen auf Webkontrolle-Funktionen
Verwalten von Webkontrolle
Wenn die Webkontrolle auf jedem verwalteten System ausgeführt wird, benachrichtigt sie Sie über
Bedrohungen, während Sie nach Websites suchen oder surfen.
Ein McAfee-Team analysiert jede Website und weist ihr eine farbcodierte Sicherheitsbewertung
basierend auf den Testergebnissen zu. Die Farbe gibt die Sicherheitsstufe der Site wieder.
Die Software verwendet die Testergebnisse, um Sie über webbasierte Bedrohungen zu informieren, auf
die Sie möglicherweise stoßen.
Auf Suchergebnisseiten: Ein Symbol erscheint neben jeder aufgeführten Site. Die Farbe des
Symbols gibt die Sicherheitsbewertung der jeweiligen Site wieder. Sie können über diese Symbole auf
zusätzliche Informationen zugreifen.
Im Browserfenster: Eine Schaltfläche wird im Browser angezeigt. Die Farbe der Schaltfläche gibt die
Sicherheitsbewertung der jeweiligen Site wieder. Sie können durch einen Klick auf die Schaltfläche auf
zusätzliche Informationen zugreifen.
Diese Schaltfläche informiert Sie darüber hinaus über aufgetretene Kommunikationsprobleme und
erleichtert den schnellen Zugriff auf Tests, mit denen häufige Probleme identifiziert werden können.
In Sicherheitsberichten: Gibt detailliert an, wie die Sicherheitsbewertung auf Basis der erkannten
Bedrohungsarten, der Testergebnisse und anderer Daten berechnet wurde.
Für verwaltete Systeme erstellen Administratoren Richtlinien für folgende Aktionen:
•
Aktivieren und Deaktivieren der Webkontrolle auf Ihrem System; Verhindern oder Zulassen der
Deaktivierung des Browser-Plug-Ins
•
Steuern des Zugriffs auf Sites, Seiten und Downloads, basierend auf deren Sicherheitsbewertung
oder Inhaltstyp
Sie können beispielsweise rote Sites blockieren und Benutzer bei einem versuchten Zugriff auf
gelbe Sites warnen.
•
Identifizieren von Sites als blockiert oder zugelassen, basierend auf URLs und Domänen
Produkthandbuch
91
5
•
Verhindern, dass Sie Webkontrolle-Dateien, Registrierungsschlüssel, Registrierungswerte, Dienste
und Prozesse deinstallieren oder ändern
•
Anpassen der angezeigten Benachrichtigung, wenn Sie versuchen, auf eine blockierte Website
zuzugreifen
•
Überwachen und steuern Sie die Browser-Aktivitäten auf Netzwerk-Computern, und erstellen Sie
detaillierte Berichte zu Websites.
Für von Ihnen selbst verwaltete Systeme können Sie die folgenden Einstellungen konfigurieren:
•
Aktivieren und Deaktivieren der Webkontrolle auf Ihrem System
•
Steuern des Zugriffs auf Sites, Seiten und Downloads, basierend auf deren Sicherheitsbewertung
oder Inhaltstyp
Sie können beispielsweise rote Sites blockieren und Benutzer bei einem versuchten Zugriff auf
gelbe Sites warnen.
Die Software unterstützt die Browser Microsoft Internet Explorer, Mozilla Firefox und Google Chrome.
In selbstverwalteten Systemen sind sowohl unterstützte als auch nicht unterstützte Browser
standardmäßig zugelassen.
Chrome unterstützt weder die Erzwingung von Datei-Downloads noch die Option Sprechblase anzeigen.
Siehe auch
Identifizieren von Bedrohungen durch die Webkontrolle-Schaltfläche beim Surfen auf Seite
93
Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen auf Seite 94
Site-Berichte für Details auf Seite 94
So werden Sicherheitsbewertungen kompiliert auf Seite 95
Blockieren oder Warnen bezüglich Sites und Downloads durch
die Webkontrolle
Besucht ein Benutzer eine Site, die blockiert oder vor der gewarnt wurde, zeigt die Webkontrolle eine
Seite bzw. Pop-Up-Benachrichtigung mit dem entsprechenden Grund an.
Bei Einstellung der Bewertungsaktionen für eine Site auf:
•
Warnen: Webkontrolle zeigt eine Warnung an, um Benutzer über mögliche Gefahren in Verbindung
mit der Site zu informieren.
•
Durch Abbrechen kehren Sie zur zuvor aufgerufenen Site zurück.
Wenn die Browser-Registerkarte keine zuvor angezeigte Site enthält, ist Abbrechen nicht
verfügbar.
•
•
Durch Fortfahren wird die Site aufgerufen.
Blockieren: Webkontrolle zeigt eine Meldung an, dass die Site blockiert ist, und verhindert, dass
Benutzer auf die Site zugreifen.
Durch OK kehren Sie zur zuvor aufgerufenen Site zurück.
Wenn die Browser-Registerkarte keine zuvor angezeigte Site enthält, ist OK nicht verfügbar.
92
Produkthandbuch
5
Bei Einstellung der Bewertungsaktionen für Downloads von einer Site auf:
•
•
Warnen: Webkontrolle zeigt eine Warnung an, um Benutzer über mögliche Gefahren in Verbindung
mit der Download-Datei zu informieren.
•
Durch Blockieren wird der Download verhindert, und Sie kehren zur Site zurück.
•
Durch Fortfahren wird der Download fortgesetzt.
Blockieren: Webkontrolle zeigt eine Meldung an, dass die Site blockiert ist, und verhindert den
Download.
Durch OK kehren Sie zur Site zurück.
Identifizieren von Bedrohungen durch die WebkontrolleSchaltfläche beim Surfen
Beim Besuch einer Website wird im Browser eine farbcodierte Schaltfläche
Die Farbe der Schaltfläche entspricht der Sicherheitsbewertung der jeweiligen Site.
angezeigt.
Die Sicherheitsbewertung gilt nur für URLs mit HTTP- und HTTPS-Protokollen.
Internet Explorer
und Safari (Mac)
Firefox und
Chrome
Beschreibung
Diese Site wird von McAfee SECURE täglich getestet und als
sicher zertifiziert. (Nur Windows)
™
Diese Site ist sicher.
Bei dieser Site bestehen möglicherweise Probleme.
Diese Site enthält einige ernst zu nehmende Probleme.
Für diese Site ist keine Bewertung verfügbar.
Diese Schaltfläche wird nur für URLs mit FILE-Protokollen
(file://) angezeigt.
Bei der Kommunikation mit dem McAfee GTI-Server, auf dem
Bewertungsinformationen vorhanden sind, ist ein Fehler
aufgetreten.
Die Webkontrolle hat keine Abfrage an McAfee GTI für diese
Site gesendet, was bedeutet, dass sie intern oder in einem
privaten IP-Adressbereich ist.
Diese Site ist eine Phishing-Site.
Phishing ist ein Versuch, sich vertrauliche Informationen zu
verschaffen, beispielsweise Benutzernamen, Kennwörter und
Kreditkartendaten. Phishing-Sites geben sich bei der
elektronischen Kommunikation als vertrauenswürdige
Entitäten aus.
Eine Einstellung lässt diese Site zu.
Eine Einstellung hat die Webkontrolle deaktiviert.
Produkthandbuch
93
5
Die Schaltfläche ist je nach Browser an verschiedenen Stellen zu finden:
•
Internet Explorer: Webkontrolle-Symbolleiste
•
Firefox: rechte Ecke der Firefox-Symbolleiste
•
Chrome: in der Adressleiste
Siehe auch
Anzeigen von Informationen zu einer Site beim Surfen auf Seite 97
Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen
Wenn Sie Stichwörter in Suchmaschinen wie Google, Yahoo!, Bing oder Ask eingeben, werden
Sicherheitssymbole neben den Sites angezeigt, die auf der Suchergebnisseite aufgeführt sind. Die
Farbe der Menüschaltfläche entspricht der Sicherheitsbewertung der Site.
Tests haben keine schwerwiegenden Probleme gefunden.
Tests ergaben einige Probleme, von denen Sie wissen sollten. Die Website versuchte
beispielsweise Änderungen an den Standard-Browsereinstellungen der Tester vorzunehmen,
zeigte Pop-Ups an oder verschickte eine signifikante Menge an Non-Spam-E-Mails an Tester.
Tests ergaben einige ernst zu nehmende Probleme, die Sie vor dem Zugriff auf die Site
sorgfältig beachten müssen. Die Website sendete beispielsweise Spam-E-Mails an die Tester
oder kombinierte Adware mit einem Download.
Eine hat diese Site blockiert.
Diese Site wurde noch nicht bewertet.
Siehe auch
Site-Bericht während der Suche anzeigen auf Seite 98
Site-Berichte für Details
Im Site-Bericht einer Website können Sie sich Details zu bestimmten Bedrohungen anzeigen lassen.
Site-Berichte werden vom Server für die McAfee GTI-Bewertungen bereitgestellt und enthalten die
folgenden Informationen.
94
Produkthandbuch
Dieses Element...
Zeigt Folgendes an...
Überblick
Die Gesamtbewertung der Website, erstellt auf Grundlage dieser Tests:
5
• Auswertung der E-Mail- und Download-Praktiken für eine Website mithilfe
von Techniken zur Erfassung und Analyse von Daten.
• Untersuchung der Website selbst, um festzustellen, ob sie störende
Praktiken wie übermäßige Pop-Ups verwendet oder Aufforderungen zum
Wechseln der Homepage sendet.
• Analyse der Online-Zugehörigkeiten, um festzustellen, ob die Website mit
anderen verdächtigen Sites verknüpft ist.
• Kombination der McAfee-Überprüfung verdächtiger Sites mit dem
Feedback von unseren Threat Intelligence Services.
Online-Zugehörigkeiten Wie aggressiv von der Site versucht wird, Sie auf andere Sites umzuleiten,
die McAfee mit einer roten Bewertung gekennzeichnet hat.
Verdächtige Sites sind oft mit anderen verdächtigen Sites verknüpft. Der
wesentliche Zweck von solchen Zubringer -Sites besteht darin, Sie zu dem
Besuch der verdächtigen Site zu verleiten. Eine Site kann beispielsweise
eine rote Bewertung erhalten, wenn sie zu aggressiv mit anderen roten Sites
verknüpft ist. In diesem Fall wird die Site von Webkontrolle als Rot aufgrund
von Verknüpfungenbewertet.
Web-Spam-Tests
Die Gesamtbewertung für die E-Mail-Praktiken einer Website, basierend auf
den Testergebnissen.
McAfee bewertet Sites anhand der Menge an E-Mails, die wir nach der
Eingabe einer Adresse auf der Site erhalten, und der Höhe des
Spam-Gehalts der E-Mails. Wenn eine dieser Messungen zu einem Wert
führt, der höher als akzeptabel ist, bewertet McAfee die Site gelb. Wenn
beide Messwerte hoch sind oder einer der Messwerte sehr hoch ausfällt,
bewertet McAfee die Site rot.
Download-Tests
Die Gesamtbewertung der Auswirkung, die die herunterladbare Software
einer Site auf unseren Test-Computer hatte, basierend auf den
Testergebnissen.
Rote Bewertungen ordnet McAfee Sites mit vireninfizierten Downloads zu
oder die sachfremde Software hinzufügen, die viele Benutzer als Adware
oder Spyware empfinden. Für die Bewertung werden auch die
Netzwerk-Server berücksichtigt, die von einem heruntergeladenen
Programm bei der Ausführung kontaktiert werden, sowie alle Modifikationen
an den Browser-Einstellungen oder den Registrierungsdateien eines
Computers.
Siehe auch
So werden Sicherheitsbewertungen kompiliert
Ein McAfee-Team entwickelt Sicherheitsbewertungen anhand von Kriterien für die einzelnen Websites
und wertet die Ergebnisse aus, um häufig auftretende Bedrohungen zu erkennen.
Automatisierte Tests kompilieren die Sicherheitsbewertung für eine Website, indem sie:
•
heruntergeladene Dateien auf Viren und potenziell unerwünschte Programme prüfen, die mit dem
Download gebündelt sind.
•
Kontaktdaten in Anmeldeformulare eingeben und auf nachfolgenden Spam beziehungsweise auf
eine hohe Menge an Non-Spam-E-Mails achten, die von der Site oder ihren Partnern geschickt
wurden.
Produkthandbuch
95
5
•
Auf eine exzessive Anzahl an Pop-Up-Fenstern prüfen.
•
auf Versuche der Site prüfen, die Schwachstellen des Browsers auszunutzen.
•
auf betrügerische Praktiken der Site prüfen.
Das Team fasst die Testergebnisse zu einem Sicherheitsbericht zusammen, der auch Folgendes
enthält:
•
Durch Site-Eigentümer eingereichtes Feedback, das Beschreibungen der von der Site verwendeten
Sicherheitsmaßnahmen sowie Antworten auf Benutzer-Feedback zur Site enthalten kann
•
Von den Site-Benutzern eingesendetes Feedback, das Berichte zu Phishing-Scams sowie
Informationen zu schlechten Einkaufserfahrungen enthalten kann.
•
Zusätzliche Analyse durch McAfee-Experten.
Der McAfee GTI-Server speichert Site-Bewertungen und Berichte.
Greifen Sie über den Browser auf Webkontrolle-Funktionen zu.
Aufgaben
•
Aktivieren des Webkontrolle-Plug-Ins über den Browser auf Seite 96
Bei einigen Browsern müssen Sie das Webkontrolle-Plug-In manuell aktivieren, um beim
Surfen und Suchen über webbasierte Bedrohungen benachrichtigt zu werden.
•
Verwenden Sie die Schaltfläche Webkontrolle im Browser, um Informationen zu einer Site
anzuzeigen. Die Funktion der Schaltfläche unterscheidet sich abhängig vom verwendeten
Browser.
•
Das Sicherheitssymbol auf einer Seite mit Suchergebnissen zeigt weitere Informationen zu
einer Site an.
Aktivieren des Webkontrolle-Plug-Ins über den Browser
Bei einigen Browsern müssen Sie das Webkontrolle-Plug-In manuell aktivieren, um beim Surfen und
Suchen über webbasierte Bedrohungen benachrichtigt zu werden.
Bevor Sie beginnen
Das Webkontrolle-Modul muss aktiviert werden.
Sie werden beim ersten Starten vom Internet Explorer oder von Chrome dazu aufgefordert, Plug-Ins
zu aktivieren. Das Webkontrolle-Plug-In ist in Firefox standardmäßig aktiviert.
Vorgehensweise
•
96
Klicken Sie bei Aufforderung auf die Schaltfläche zum Aktivieren des Plug-Ins.
Produkthandbuch
5
Internet
Explorer
• Klicken Sie auf Aktivieren.
Chrome
Klicken Sie auf Erweiterung aktivieren.
• Wenn mehr als ein Plug-In verfügbar ist, klicken Sie auf Add-Ons auswählen und
dann für die Webkontrolle-Symbolleiste auf Webkontrolle.
Wenn Sie in Internet Explorer die Webkontrolle-Symbolleiste deaktivieren, werden Sie auch zur
Deaktivierung des Webkontrolle-Plug-Ins aufgefordert. Verhindern die Richtlinieneinstellungen in
verwalteten Systemen das Deinstallieren oder Deaktivieren des Plug-Ins, bleibt das
Webkontrolle-Plug-In aktiviert, auch wenn die Symbolleiste nicht angezeigt wird.
Anzeigen von Informationen zu einer Site beim Surfen
Verwenden Sie die Schaltfläche Webkontrolle im Browser, um Informationen zu einer Site anzuzeigen.
Die Funktion der Schaltfläche unterscheidet sich abhängig vom verwendeten Browser.
Bevor Sie beginnen
•
Das Webkontrolle-Modul muss aktiviert sein.
•
Das Webkontrolle-Plug-In muss im Browser aktiviert sein.
•
Die Option Symbolleiste im Client-Browser ausblenden in den Einstellungen der Optionen muss
deaktiviert sein.
Wenn sich Internet Explorer im Vollbildmodus befindet, wird die Symbolleiste der Webkontrolle nicht
angezeigt.
So zeigen Sie das Webkontrolle-Menü an:
Internet Explorer und Firefox
Chrome
Klicken Sie in der Symbolleiste auf die Schaltfläche
Klicken Sie in der Adressleiste auf die Schaltfläche
.
.
Vorgehensweise
1
Anzeigen einer Sprechblase mit einer Zusammenfassung der Sicherheitsbewertung für die Site:
Halten Sie den Mauszeiger in der Webkontrolle-Symbolleiste über die Schaltfläche.
(Nur Internet Explorer und Firefox)
2
Anzeigen des detaillierten Site-Berichts mit weiteren Informationen zur Sicherheitsbewertung für
die Site:
•
Klicken Sie auf die Webkontrolle-Schaltfläche.
•
Wählen Sie aus dem Webkontrolle-Menü Site-Bericht anzeigen aus.
•
Klicken Sie in der Sprechblase der Site auf den Link Site-Bericht lesen. (Nur Internet Explorer und
Firefox)
Siehe auch
Identifizieren von Bedrohungen durch die Webkontrolle-Schaltfläche beim Surfen auf Seite 93
Produkthandbuch
97
5
Site-Bericht während der Suche anzeigen
Das Sicherheitssymbol auf einer Seite mit Suchergebnissen zeigt weitere Informationen zu einer Site
an.
Vorgehensweise
1
Halten Sie den Mauszeiger über das Sicherheitssymbol. Eine Sprechblase mit einer
Zusammenfassung des Sicherheitsberichts für die Site wird angezeigt.
2
Klicken Sie in der Sprechblase der Site auf Site-Bericht lesen, um einen detaillierten Sicherheitsbericht
in einem neuen Browser-Fenster zu öffnen.
Siehe auch
Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen auf Seite 94
Als Administrator können Sie Webkontrolle-Einstellungen festlegen, um den Schutz zu aktivieren und
anzupassen, Sites basierend auf Webkategorien blockieren und Protokollierung konfigurieren.
Konfigurieren von Webkontrolle-Optionen
Sie können vom Endpoint Security-Client aus die Webkontrolle aktivieren und Optionen konfigurieren.
Bevor Sie beginnen
Vorgehensweise
1
2
Klicken Sie auf der Status-Hauptseite auf Web Control.
Control.
98
3
4
Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Web
Produkthandbuch
5
5
Wählen Sie Webkontrolle aktivieren aus, um Webkontrolle zu aktivieren und die Optionen zu ändern.
Ziel
Blenden Sie die
Symbolleiste der
Webkontrolle im Browser
aus, ohne den Schutz zu
deaktivieren.
Wählen Sie Symbolleiste im
Client-Browser ausblenden.
Verfolgen Sie
Browser-Ereignisse für die
Berichterstellung.
Konfigurieren Sie
Einstellungen unter
Ereignisprotokoll.
Blockieren Sie unbekannte
URLs, oder lassen Sie eine
Warnung anzeigen.
Wählen Sie unter Erzwingung von
Aktionen die Aktion (Blockieren,
Zulassen oder Warnen) für Sites
aus, die noch nicht von
McAfee GTI überprüft wurden.
Scannen Sie Dateien vor
dem Download.
Wählen Sie Datei-Scan bei
Datei-Downloads aktivieren, und
wählen Sie dann die McAfee
GTI-Risikostufe für die
Blockierung.
Blockieren Sie die Anzeige
riskanter Websites in
Suchergebnissen.
Wählen Sie unter Sichere Suche
Sichere Suche aktivieren und
anschließend die
Suchmaschine aus, und legen
Sie dann fest, ob Sie Links für
riskante Sites blockieren
möchten.
Hinweise
Konfigurieren Sie
Webkontrolle-Ereignisse, die von
Client-Systemen an den
Management-Server für Abfragen und
Berichte gesendet werden.
Die sichere Suche filtert die
bösartigen Websites in den
Suchergebnissen anhand ihrer
Sicherheitsbewertungen. Die
Webkontrolle nutzt Yahoo als
Standard-Suchmaschine.
Wenn Sie die
Standard-Suchmaschine ändern,
starten Sie den Browser neu,
damit die Änderungen wirksam
werden.
6
Konfigurieren Sie andere Optionen nach Bedarf.
7
Siehe auch
Wie Datei-Downloads gescannt werden auf Seite 100
Produkthandbuch
99
5
Wie Datei-Downloads gescannt werden
Die Webkontrolle sendet Anfragen für Datei-Downloads an den Bedrohungsschutz, damit sie vor dem
Herunterladen gescannt werden.
100
Produkthandbuch
5
Angeben von Bewertungsaktionen und Blockieren des SiteZugriffs basierend auf der Webkategorie
Konfigurieren Sie Einstellungen für Inhaltsaktionen-, um die Aktionen für Sites und Datei-Downloads
basierend auf den Sicherheitsbewertungen festzulegen. Optional können Sie festlegen, ob Sites in der
jeweiligen Webkategorie blockiert oder zugelassen werden sollen.
Bevor Sie beginnen
Mithilfe der Einstellungen unter Erzwingungsmeldungen können Sie die angezeigte Meldung für Sites
und Datei-Downloads anpassen, je nachdem, ob sie blockiert sind oder eine Warnung dafür ausgegeben
wird, oder ob es sich um blockierte Phishing-Seiten handelt.
Vorgehensweise
1
2
Klicken Sie auf der Status-Hauptseite auf Web Control.
Control.
Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Web
3
4
Klicken Sie auf Inhaltsaktionen.
5
Aktivieren oder deaktivieren Sie unter Webkategorie-Blockierung für jede Webkategorie die Option Blockieren.
Für Sites in den nicht blockierten Kategorien wendet die Webkontrolle außerdem die
Bewertungsaktionen an.
6
Legen Sie unter Bewertungsaktionen die anzuwendenden Aktionen für Sites und Datei-Downloads
basierend auf den von McAfee definierten Sicherheitsbewertungen fest.
Diese Aktionen gelten auch für Sites, die nicht basierend auf Webkategorie-Blockierung blockiert
sind.
7
Siehe auch
Verwenden von Webkategorien zur Zugriffssteuerung auf Seite 101
Verwenden von Sicherheitsbewertungen zum Kontrollieren des Zugriffs auf Seite 102
Verwenden von Webkategorien zur Zugriffssteuerung
Webkategorien ermöglichen Ihnen die Steuerung des Zugriffs auf Sites basierend auf Kategorien, die
von McAfee festgelegt werden. Sie können Optionen angeben, um den Zugriff auf Websites ausgehend
von der enthaltenen Inhaltskategorie zuzulassen oder zu blockieren.
Wenn Sie die Webkategorie-Blockierung in den Richtlinieneinstellungen für aktivieren, werden
Website-Kategorien von der Software blockiert oder zugelassen. Zu diesen Webkategorien gehören
Glücksspiel, Spiele und Instant Messaging. Die Liste der etwa 105 Webkategorien wird von McAfee
definiert und gewartet.
Produkthandbuch
101
5
Wenn ein Client-Benutzer auf eine Site zugreift, überprüft die Software die Webkategorie für die Site.
Wenn die Site zu einer definierten Kategorie gehört, wird der Zugriff basierend auf den
Richtlinieneinstellungen für oder zugelassen. Die Software wendet die angegebenen
Bewertungsaktionen für Sites und Datei-Downloads in den nicht blockierten Kategorien an.
Verwenden von Sicherheitsbewertungen zum Kontrollieren des Zugriffs
Konfigurieren Sie Aktionen anhand von Sicherheitsbewertungen, um zu entscheiden, ob Benutzer auf
eine Site oder auf Ressourcen einer Site zugreifen können.
Legen Sie für jede Site oder jeden Datei-Download fest, ob diese oder dieser je nach Bewertung
zugelassen, blockiert oder eine Warnung dafür generiert werden soll. Auf diese Weise kann genauer
festgelegt werden, wie Benutzer vor Dateien geschützt werden sollen, die auf Sites mit insgesamt
grüner Bewertung eine Bedrohung darstellen können.
102
Produkthandbuch
6
Bedrohungsabwehrdaten stellt eine kontextbewusste und anpassbare Sicherheitslösung für Ihre
Netzwerkumgebung dar.
Bedrohungsabwehrdaten analysiert Inhalte des Unternehmens und entscheidet basierend auf der
Reputation einer Datei sowie den von Ihrem Administrator festgelegten Kriterien.
Inhalt
Funktionsweise von Bedrohungsabwehrdaten
Verwalten von Bedrohungsabwehrdaten
Funktionsweise von Bedrohungsabwehrdaten
Von Bedrohungsabwehrdaten werden mithilfe des Data Exchange Layer-Frameworks Datei- und
Bedrohungsinformationen sofort an das gesamte Netzwerk weitergegeben.
In der Vergangenheit haben Sie unbekannte Dateien oder Zertifikate zur Analyse an McAfee gesendet
und dann die Dateiinformationen Tage später im gesamten Netzwerk aktualisiert. Mit
Bedrohungsabwehrdaten können Sie die Datei-Reputation auf lokaler Ebene steuern, das heißt in Ihrer
Umgebung. Sie entscheiden, welche Dateien ausgeführt werden können und welche blockiert werden.
Die Informationen werden dann von Data Exchange Layer sofort an die gesamte Umgebung
weitergegeben.
Szenarien für die Verwendung von Bedrohungsabwehrdaten
•
Sofortiges Blockieren einer Datei: Der Netzwerkadministrator wird von
Bedrohungsabwehrdaten gewarnt, dass in der Umgebung eine unbekannte Datei gefunden wurde.
Anstatt die Dateiinformationen zur Analyse an McAfee zu senden, blockiert der Administrator die
Datei sofort. Anschließend kann er sich mithilfe von Bedrohungsabwehrdaten informieren, ob die
Datei eine Bedrohung darstellt und auf wie vielen Systemen sie ausgeführt wurde.
•
Zulassen der Ausführung einer benutzerdefinierten Datei: Ein Unternehmen verwendet
regelmäßig eine Datei mit der Standardreputation Verdächtig oder Bösartig. Dies kann
beispielsweise eine benutzerdefinierte Datei sein, die für das Unternehmen erstellt wurde. Da die
Datei zulässig ist, muss der Administrator nicht die Dateiinformationen an McAfee senden, um eine
aktualisierte DAT-Datei zu erhalten. Vielmehr kann er die Reputation der Datei in Vertrauenswürdig
ändern, und zulassen, dass sie ohne Warnungen oder Eingabeaufforderungen ausgeführt wird.
Produkthandbuch
103
6
Als Administrator können Sie Bedrohungsabwehrdaten-Einstellungen festlegen, etwa die Auswahl von
Regelgruppen und die Festlegung von Reputationsschwellenwerten.
Richtlinienänderungen von McAfee ePO überschreiben die Änderungen von der Seite Einstellungen.
Informationen zu Bedrohungsabwehrdaten
Bedrohungsabwehrdaten entsteht ein Sicherheitsökosystem mit unmittelbarer Kommunikation
zwischen Systemen und Geräten in Ihrer Umgebung. Diese Kommunikation wird durch das Data
Exchange Layer-Framework ermöglicht.
Sie können sehen, auf welchen Systemen eine Bedrohung zuerst erkannt wurde, welchen weiteren
Weg die Bedrohung nimmt, und sie dann sofort stoppen.
Bedrohungsabwehrdaten bietet die folgenden Vorteile:
•
Schnelle Erkennung von Sicherheitsbedrohungen sowie Malware und entsprechender Schutz
•
Identifizieren kompromittierter Systeme oder Geräte und der Ausbreitungswege in der Umgebung
•
Sofortiges Blockieren oder Zulassen bestimmter Dateien und Zertifikate basierend auf den
jeweiligen Bedrohungsreputationen und Ihren Risikokriterien
•
Echtzeitintegration mit McAfee Advanced Threat Defense und McAfee GTI, um detaillierte
Bewertungen und Daten zur Klassifizierung von Malware bereitzustellen. Dank dieser Integration
können Sie auf Bedrohungen reagieren und die Informationen in der gesamten Umgebung nutzen.
®
Bedrohungsabwehrdaten-Komponenten
Bedrohungsabwehrdaten besteht aus den folgenden Komponenten.
•
Mit einem Modul für Endpoint Security können Sie Richtlinien erstellen, um Dateien oder Zertifikate
basierend auf ihrer Reputation zu blockieren oder zuzulassen.
•
Auf einem Server werden Informationen zu Datei- und Zertifikatreputationen gespeichert und dann
an andere Systeme weitergegeben.
•
Durch Data Exchange Layer-Broker wird bidirektionale Kommunikation zwischen verwalteten
Systemen in einem Netzwerk ermöglicht.
®
®
™
Die Komponenten werden als Erweiterungen für McAfee ePolicy Orchestrator (McAfee ePO )
installiert. Dort stehen dann verschiedene neue Funktionen und Berichte zur Verfügung.
104
Produkthandbuch
6
Vom Modul und vom Server werden Datei-Reputationsinformationen kommuniziert. Diese
Informationen werden vom Data Exchange Layer-Framework sofort an die verwalteten Endpunkte
weitergegeben. Außerdem werden Informationen gemeinsam mit anderen McAfee-Produkten genutzt,
in denen auf Data Exchange Layer zugegriffen wird. Dazu gehören beispielsweise McAfee Enterprise
Security Manager (McAfee ESM) und McAfee Network Security Platform.
®
®
Bedrohungsabwehrdaten-Modul
Im Bedrohungsabwehrdaten-Modul können Sie festlegen, was passieren soll, wenn eine Datei mit
bösartiger oder unbekannter Reputation in Ihrer Umgebung erkannt wird. Darüber hinaus können Sie
Informationen zum Bedrohungsverlauf sowie die ausgeführten Aktionen anzeigen.
Mit dem Bedrohungsabwehrdaten-Modul können Sie die folgenden Aufgaben ausführen.
•
•
Erstellen von Richtlinien zu folgenden Zwecken:
•
Zulassen oder Blockieren von Dateien und Zertifikaten abhängig von ihrer Reputation
•
Anzeigen einer Eingabeaufforderung bei jedem Versuch, eine Datei oder ein Zertifikat mit einer
bestimmten Reputation auszuführen
•
Automatisches Senden von Dateien an Advanced Threat Defense zu weiteren Tests
Anzeigen von Ereignissen in den Dashboards von Bedrohungsabwehrdaten Sie können Ereignisse
bezüglich Säubern, Blockieren oder Zulassen für die letzten 30 Tage oder nach Ereignistyp
anzeigen.
Produkthandbuch
105
6
Bedrohungsabwehrdaten Exchange Server
Auf dem Server werden Informationen zu Datei- und Zertifikatreputationen gespeichert und dann an
andere Systeme in der Umgebung weitergegeben.
Informationen zum Server finden Sie im Bedrohungsabwehrdaten Exchange-Produkthandbuch.
Verbinden von TIE Servern und Datenbanken über einen Bridge-Computer
Wenn Sie TIE Server und Datenbanken über verschiedene McAfee ePO-Systeme verwalten, können Sie
diese über einen Bridge-Computer verbinden, um Reputationsinformationen gemeinsam zu nutzen.
Details zum Verbinden von TIE Servern und Datenbanken über einen Bridge-Computer finden Sie im
Data Exchange Layer-Produkthandbuch und im Knowledge Base-Artikel KB83896.
Data Exchange Layer
Data Exchange Layer umfasst Client-Software und Broker, durch die bidirektionale Kommunikation
zwischen Endpunkten in einem Netzwerk ermöglicht wird.
Data Exchange Layer ist im Hintergrund für die Kommunikation mit Diensten, Datenbanken,
Endpunkten und Anwendungen zuständig. Data Exchange Layer Client wird auf allen verwalteten
Endpunkten installiert, damit Bedrohungsinformationen aus Sicherheitsprodukten, in denen DXL
verwendet wird, sofort an alle anderen Dienste und Geräte weitergegeben werden können. Aufgrund
der sofortigen Weitergabe von verfügbaren Reputationsinformationen müssen beim Austausch von
Informationen weniger gegenseitige Annahmen zur Sicherheit in Anwendungen und Diensten getroffen
werden. Durch diese gemeinsam genutzten Informationen wird die Ausbreitung von Bedrohungen
eingedämmt.
Details zum Installieren und Verwenden von Data Exchange Layer finden Sie im Data Exchange
Layer-Produkthandbuch.
So wird eine Reputation bestimmt
Die Datei- und Zertifikatreputation wird bestimmt, wenn versucht wird, eine Datei auf einem
verwalteten System auszuführen.
Die Reputation einer Datei oder eines Zertifikats wird mit den folgenden Schritten bestimmt.
106
1
Ein Benutzer oder System versucht, eine Datei auszuführen.
2
Die Datei wird von Endpoint Security überprüft. Dabei können die Gültigkeit und Reputation nicht
bestimmt werden.
3
Die Datei wird vom Bedrohungsabwehrdaten-Modul überprüft. Außerdem werden relevante
Eigenschaften der Datei und des lokalen Systems erfasst.
4
Der Datei-Hash wird im lokalen Reputations-Cache gesucht. Wenn der Datei-Hash gefunden wird,
werden Enterprise-Daten zur Verbreitung sowie zur Reputation der Datei durch das Modul aus dem
Cache abgerufen.
5
Wenn der Datei-Hash im lokalen Reputations-Cache nicht gefunden wird, wird eine Abfrage an den
TIE Server gesendet. Wenn der Hash gefunden wird, werden die Enterprise-Daten zur Verbreitung
(und zu verfügbaren Reputationen) für den Datei-Hash abgerufen.
6
Wenn der Datei-Hash weder im TIE Server noch in der Datenbank gefunden wird, wird vom Server
die Reputation des Datei-Hashs in McAfee GTI abgefragt. McAfee GTI sendet die verfügbaren
Informationen, zum Beispiel "Unbekannte Reputation". Diese Informationen werden dann auf dem
Server gespeichert.
Produkthandbuch
6
In den folgenden Fällen sendet der Server die Datei zum Scannen:
•
Advanced Threat Defense ist vorhanden, und der Datei-Hash wurde nicht in McAfee GTI
gefunden.
•
Für die Richtlinie auf dem Endpunkt wurde das Senden der Datei an Advanced Threat Defense
konfiguriert.
Zusätzliche Schritte finden Sie unter Wenn Advanced Threat Defense vorhanden ist.
7
Vom Server werden basierend auf den gefundenen Daten die Dauer des Datei-Hash-Vorkommens
im Unternehmen, die Verbreitungsdaten und die Reputation an das Modul zurückgegeben. Wenn
die Datei neu in der Umgebung ist, sendet der Server außerdem die Kennzeichnung "erstes
Auftreten" an das Bedrohungsabwehrdaten-Modul. Wenn McAfee Web Gateway vorhanden ist und
einen Reputationsfaktor sendet, wird die Reputation der Datei von Bedrohungsabwehrdaten
zurückgegeben.
8
Diese Metadaten werden vom Modul getestet, um die Reputation der Datei zu bestimmen:
9
•
Datei- und Systemeigenschaften
•
Enterprise-Alter und Verbreitungsdaten
•
Reputation
Basierend auf der Richtlinie, die dem System zugewiesen ist, auf dem die Datei ausgeführt wird,
wird vom Modul eine Aktion ausgeführt.
10 Der Server wird mit den Reputationsinformationen und Angaben dazu, ob die Datei zugelassen
oder blockiert wird, aktualisiert. Außerdem werden über McAfee Agent Bedrohungsereignisse an
McAfee ePO gesendet.
11 Auf dem Server wird das Reputationsänderungsereignis für den Datei-Hash veröffentlicht.
Wenn Advanced Threat Defense vorhanden ist
Wenn Advanced Threat Defense vorhanden ist, läuft der folgende Prozess ab.
1
Wenn für das System das Senden von Dateien an Advanced Threat Defense konfiguriert wurde und
die Datei neu in der Umgebung ist, sendet das System sie an den TIE Server. Der TIE Server
sendet sie dann zum Scannen an Advanced Threat Defense.
2
Die Datei wird von Advanced Threat Defense gescannt, und die Ergebnisse für die Datei-Reputation
werden über Data Exchange Layer an den TIE Server gesendet. Außerdem wird die Datenbank
aktualisiert, und die aktualisierten Reputationsinformationen werden an alle Systeme gesendet, auf
denen das Bedrohungsabwehrdaten-Modul aktiviert ist. Dadurch wird die Umgebung sofort
geschützt. Das Bedrohungsabwehrdaten-Modul oder ein anderes McAfee-Produkt kann diesen
Prozess initiieren. In jedem Fall wird die Reputation jedoch in Bedrohungsabwehrdaten verarbeitet
und in der Datenbank gespeichert.
Weitere Informationen zur Integration von Advanced Threat Defense in das
Bedrohungsabwehrdaten-Modul finden Sie im Kapitel Malware-Erkennung und Advanced Threat Defense
im Produkthandbuch für McAfee Advanced Threat Defense.
Wenn McAfee Web Gateway vorhanden ist
Wenn McAfee Web Gateway vorhanden ist, läuft der folgende Prozess ab.
Produkthandbuch
107
6
•
Wenn Sie Dateien herunterladen, wird ein Bericht von McAfee Web Gateway an den TIE Server
gesendet und ein Reputationsfaktor in der Datenbank gespeichert. Erhält der Server eine Anfrage
vom Modul für eine Datei-Reputation, gibt es die Reputation zurück, die es von McAfee Web
Gateway und anderen Reputationsanbietern erhalten hat.
Weitere Informationen zum Austausch von Informationen in McAfee Web Gateway über den TIE
Server finden Sie im Kapitel zu Proxys im Produkthandbuch für McAfee Web Gateway.
Erste Schritte
Sie haben das Bedrohungsabwehrdaten-Modul installiert. Wie geht es nun weiter?
Um das Bedrohungsabwehrdaten-Modul zu nutzen, führen Sie die folgenden Schritte aus:
1
Erstellen Sie Bedrohungsabwehrdaten-Richtlinien, um zu bestimmen, was zugelassen oder blockiert
wird. Führen Sie dann das Bedrohungsabwehrdaten-Modul im Beobachtungsmodus aus, um die
Dateiverbreitung festzustellen und zu beobachten, was vom Bedrohungsabwehrdaten-Modul in der
Umgebung erkannt wird. Der Dateiverbreitung können Sie entnehmen, wie oft eine Datei in einer
Umgebung auftritt.
2
Überwachen Sie die Richtlinien oder einzelne Datei- bzw. Zertifikat-Reputationen, oder passen Sie
sie an. Auf diese Weise steuern Sie, was in der Umgebung zugelassen wird.
Feststellen und Beobachten der Dateiverbreitung
Beginnen Sie nach der Installation und Bereitstellung, die Dateiverbreitung festzustellen und
Informationen zu aktuellen Bedrohungen zu sammeln.
Sie können sehen, welche Elemente in der Umgebung ausgeführt werden und
Reputationsinformationen für Dateien und Zertifikate zur TIE-Datenbank hinzufügen. Mit diesen
Informationen werden außerdem die Diagramme und Dashboards in dem Modul aufgefüllt, in dem Sie
detaillierte Reputationsinformationen für Dateien und Zertifikate anzeigen.
Erstellen Sie zunächst eine oder mehrere Bedrohungsabwehrdaten-Richtlinien, die auf einigen wenigen
Systemen in der Umgebung ausgeführt werden sollen. Mit den Richtlinien bestimmen Sie Folgendes:
•
Wann eine Datei oder ein Zertifikat mit einer bestimmten Reputation auf einem System ausgeführt
werden darf
•
Wann eine Datei oder ein Zertifikat blockiert wird
•
Wann der Benutzer zu einer Eingabe aufgefordert wird
•
Wann eine Datei zur weiteren Analyse an Advanced Threat Defense übermittelt wird
Während Sie die Dateiverbreitung feststellen, können Sie die Richtlinien im Beobachtungsmodus
ausführen. Datei- und Zertifikatreputationen werden zur Datenbank hinzugefügt, ohne dass eine
Aktion ausgeführt wird. Sie können sehen, was vom Bedrohungsabwehrdaten-Modul blockiert oder
zugelassen wird, wenn die Richtlinie erzwungen wird.
Details finden Sie unter Konfigurieren von Bedrohungsabwehrdaten-Optionen.
Überwachen und Vornehmen von Anpassungen
Während die Richtlinien in der Umgebung ausgeführt werden, werden Reputationsdaten zur
Datenbank hinzugefügt.
In den Dashboards und Ereignisansichten von McAfee ePO können Sie die Dateien und Zertifikate
sehen, die gemäß den Richtlinien zugelassen oder blockiert wurden.
108
Produkthandbuch
6
Sie können detaillierte Informationen nach System (Computer), Datei, Regel oder Zertifikat anzeigen
und schnell sehen, wie viele Elemente identifiziert und welche Aktionen ausgeführt wurden. Sie
können einen Drilldown ausführen, indem Sie auf ein Element klicken und die
Reputationseinstellungen für bestimmte Dateien oder Zertifikate anpassen, damit die entsprechende
Aktion ausgeführt wird.
Wenn beispielsweise die Standard-Reputation einer Datei Verdächtig oder Unbekannt entspricht,
obwohl Sie wissen, dass die Datei vertrauenswürdig ist, können Sie die Reputation in
Vertrauenswürdig ändern. Dann wird die Datei in der Umgebung ausgeführt, ohne dass sie blockiert
oder der Benutzer zu einer Eingabe aufgefordert wird. Dies ist besonders hilfreich, wenn in der
Umgebung interne oder benutzerdefinierte Dateien verwendet werden.
•
Suchen Sie mit der Funktion TIE-Reputationen nach einem bestimmten Datei- oder
Zertifikatnamen. Sie können Details zu der Datei oder dem Zertifikat anzeigen, beispielsweise den
Namen des Unternehmens, den SHA-1-Hash, die Beschreibung und McAfee GTI-Informationen. Bei
Dateien können Sie außerdem direkt über die Seite mit den Details für TIE-Reputationen auf
VirusTotal zugreifen, um zusätzliche Informationen zu sehen.
•
Auf der Seite Berichterstellungs-Dashboard können Sie verschiedene Arten von
Reputationsinformationen gleichzeitig sehen. Sie können unter anderem die Anzahl der in der
letzten Woche in der Umgebung erkannten neuen Dateien, der Dateien nach Reputation, der
Dateien mit kürzlich geänderter Reputation und der Systeme, auf denen kürzlich neue Dateien
ausgeführt wurden, anzeigen. Wenn Sie im Dashboard auf ein Element klicken, werden detaillierte
Informationen angezeigt.
•
Wenn Sie eine schädliche oder verdächtige Datei identifiziert haben, können Sie schnell sehen, auf
welchen Systemen die Datei ausgeführt wurde und die möglicherweise kompromittiert sind.
•
Ändern Sie die Reputation einer Datei oder eines Zertifikats gemäß den Anforderungen der
Umgebung. Die Informationen werden sofort in der Datenbank aktualisiert und an alle Geräte in
der Umgebung gesendet. Dateien und Zertifikate werden basierend auf ihrer Reputation blockiert
oder zugelassen.
Wenn Sie bei bestimmten Dateien oder Zertifikaten nicht sicher sind, können Sie die Ausführung
blockieren, während Sie sich weiter informieren. Im Gegensatz zu einer Säuberungsaktion von
Bedrohungsschutz, bei der die Datei möglicherweise gelöscht wird, bleibt eine blockierte Datei an
Ort und Stelle, kann jedoch nicht ausgeführt werden. Die Datei bleibt intakt, während Sie
recherchieren und über die Vorgehensweise entscheiden.
•
Importieren Sie Datei- oder Zertifikatreputationen in die Datenbank, um bestimmte Dateien oder
Zertifikate basierend auf anderen Reputationsquellen zuzulassen oder zu blockieren. Auf diese
Weise können Sie die importierten Einstellungen für bestimmte Dateien und Zertifikate verwenden,
ohne diese einzeln auf dem Server festlegen zu müssen.
Übermitteln von Dateien zur weiteren Analyse
Wenn die Reputation einer Datei unbekannt oder ungewiss ist, können Sie die Datei zur weiteren
Analyse an Advanced Threat Defense übermitteln. Sie legen in der Bedrohungsabwehrdaten-Richtlinie
fest, ob die Dateien an Advanced Threat Defense gesendet werden.
Mit Advanced Threat Defense wird Zero-Day-Malware erkannt und mit Virenschutz-Signaturen,
Reputationsinformationen und Abwehrmaßnahmen durch Echtzeit-Emulation kombiniert. Dateien
können von Bedrohungsabwehrdaten basierend auf ihrer Reputationsstufe und Größe automatisch
anAdvanced Threat Defense gesendet werden. Die von Advanced Threat Defense gesendeten
Informationen zur Datei-Reputation werden der TIE Server-Datenbank hinzugefügt.
Produkthandbuch
109
6
Datei- und Zertifikatinformationen werden direkt zur Analyse an McAfee gesendet. Die Informationen
werden verwendet, um die Dateien und Zertifikate besser zu verstehen und die
Reputationsinformationen zu verbessern.
McAfee erfasst keine persönlichen Informationen und gibt Informationen nicht außerhalb von McAfee
weiter.
Datei- und Zertifikatinformationen
•
Versionen des TIE Servers und des Moduls
•
Im TIE Server vorgenommene Einstellungen zur Außerkraftsetzung der Reputation
•
Externe Reputationsinformationen, beispielsweise aus Advanced Threat Defense
Ausschließlich dateibezogene Informationen
•
Dateiname, Pfad, Größe, Produkt, Herausgeber und Verbreitung
•
Informationen zu SHA1, SHA256 und MD5 Hash
•
Betriebssystemversion des meldenden Computers
•
Für die Datei festgelegte maximale, minimale und durchschnittliche Reputation
•
Ob sich das Berichterstellungsmodul im Beobachtungsmodus befindet
•
Ob die Ausführung der Datei zugelassen wurde, ob die Datei blockiert wurde oder ob sie gesäubert
wurde
•
Das Produkt, von dem die Datei erkannt wurde, beispielsweise Advanced Threat Defense oder
Bedrohungsschutz
Ausschließlich zertifikatbezogene Informationen
•
Informationen zum SHA-Hash
•
Namen von Aussteller und Antragsteller des Zertifikats
•
Gültigkeits- und Ablaufdatum des Zertifikats
Konfigurieren von Bedrohungsabwehrdaten-Optionen
Mit bestimmen Sie, wann eine Datei oder ein Zertifikat ausgeführt werden darf bzw. gesäubert oder
blockiert wird oder ob Benutzer aufgefordert werden, eine Entscheidung zu treffen.
Bevor Sie beginnen
Richtlinienänderungen von McAfee ePO überschreiben die Änderungen von der Seite Einstellungen.
Vorgehensweise
1
2
Klicken Sie auf der Status-Hauptseite auf Threat Intelligence Exchange.
auf Threat Intelligence Exchange.
110
Produkthandbuch
6
3
4
5
Blockieren oder Zulassen von Dateien und Zertifikaten
Dateien und Zertifikate haben Bedrohungsreputationen, die auf ihrem Inhalt und ihren Eigenschaften
basieren. Gemäß den Bedrohungsabwehrdaten-Richtlinien werden Dateien und Zertifikate abhängig
von ihren Reputationsstufen auf Systemen in der Umgebung blockiert oder zugelassen.
Es gibt drei Sicherheitsstufen, mit denen Sie abstimmen können, wie die Regeln für bestimmte
Systemtypen angewendet werden. Jeder Stufe sind bestimmte Regeln zugeordnet, mit denen
bösartige und verdächtige Dateien und Zertifikate identifiziert werden.
•
Produktivität: Systeme, auf denen häufig Änderungen vorgenommen werden, oft Programme
installiert und deinstalliert werden und die regelmäßig Aktualisierungen erhalten. Dazu gehören
Computer, die in Entwicklungsumgebungen verwendet werden. Mit den Richtlinien für diese
Einstellung werden weniger Regeln verwendet. Für Benutzer bedeutet dies weniger Blockierungen
und Eingabeaufforderungen, wenn neue Dateien erkannt werden.
•
Ausgleich: Dies sind typische Unternehmenssysteme, auf denen selten neue Programme installiert
oder Änderungen vorgenommen werden. Mit den Richtlinien für diese Einstellung werden mehr
Regeln verwendet. Den Benutzern werden häufiger Blockierungen und Eingabeaufforderungen
angezeigt.
•
Sicherheit: Von der IT-Abteilung verwaltete Geräte mit strikter Kontrolle und wenig Änderungen. Dies
sind beispielsweise Systeme, über die in einer Umgebung von Finanzinstitutionen oder Behörden
auf kritische oder vertrauliche Informationen zugegriffen wird. Diese Einstellung wird auch für
Server verwendet. Mit den Richtlinien für diese Einstellung wird die maximale Anzahl von Regeln
verwendet. Den Benutzern werden noch häufiger Blockierungen und Eingabeaufforderungen
angezeigt.
Zum Anzeigen der den einzelnen Sicherheitsstufen zugeordneten Regeln wählen Sie Menü |
Server-Einstellungen. Wählen Sie in der Liste Einstellungskategorien die Option Bedrohungsabwehrdaten aus.
Bedenken Sie beim Bestimmen der Sicherheitsstufe, die Sie einer Richtlinie zuweisen möchten, den
Typ der Systeme, auf denen die Richtlinie verwendet wird. Berücksichtigen Sie außerdem, in welchem
Umfang Blockierungen und Eingabeaufforderungen auftreten sollen. Weisen Sie die erstellte Richtlinie
Computern oder Geräten zu, um festzulegen, in welchem Umfang Blockierungen und
Eingabeaufforderungen auftreten.
Produkthandbuch
111
6
112
Produkthandbuch
7
Client-Schnittstellenreferenz
Die Hilfethemen der Referenz für die Benutzeroberfläche bieten eine kontextbezogene Hilfe für Seiten
auf der Client-Benutzeroberfläche.
Inhalt
Seite Ereignisprotokoll
Seite Quarantäne
Allgemeingültig – Optionen
Allgemeingültig – Tasks
Bedrohungsschutz – Zugriffsschutz
Bedrohungsschutz – Exploit-Schutz
Bedrohungsschutz – On-Demand-Scan
Scan-Speicherorte
McAfee GTI
Aktionen
Ausschluss hinzufügen oder Ausschluss bearbeiten
Bedrohungsschutz – Optionen
Rollback von AMCore Content
Firewall – Optionen
Firewall – Regeln
Webkontrolle – Optionen
Webkontrolle – Inhaltsaktionen
Bedrohungsabwehrdaten – Optionen
Zeigt die Aktivität und Debug-Ereignisse im Ereignisprotokoll an.
Option
Beschreibung
Anzahl der Ereignisse
Zeigt alle Ereignisse an, die von Endpoint Security in den vergangenen 30 Tagen
im System protokolliert wurden.
Aktualisiert die Ereignisprotokoll -Anzeige mit neuen Ereignissen.
Protokollordner anzeigen Öffnet den Ordner, der die Protokolldateien in Windows Explorer enthält.
Alle Ereignisse anzeigen Entfernt alle Filter.
Produkthandbuch
113
7
Option
Beschreibung
Nach Schweregrad filtern Filtert Ereignisse nach einem Schweregrad filtert:
Nach Modul filtern
Kritisch
Zeigt nur Ereignisse des Schweregrads 1 an.
Wichtig und höher
Zeigt nur Ereignisse des Schweregrads 1 und 2 an.
Unwichtig und höher
Zeigt nur Ereignisse des Schweregrads 1, 2 und 3 an.
Warnung und höher
Zeigt Ereignisse des Schweregrads 1, 2, 3 und 4 an.
Filtert Ereignisse nach Modul:
Common
Zeigt nur Allgemeingültig-Ereignisse an.
Threat Prevention
Zeigt nur Bedrohungsschutz-Ereignisse an.
Firewall
Zeigt nur Firewall-Ereignisse an.
Web Control
Zeigt nur Webkontrolle-Ereignisse an.
Die Funktionen in der Dropdown-Liste hängen von den Funktionen ab, die im
System installiert sind, wenn Sie das Ereignisprotokoll öffnen.
Suche
Durchsucht das Ereignisprotokoll nach einer Zeichenfolge.
Ereignisse pro Seite
Legt die Anzahl der Ereignisse fest, die auf einer Seite angezeigt werden sollen.
(Standardmäßig 20 Ereignisse pro Seite)
Vorherige Seite
Zeigt die vorherige Seite im Ereignisprotokoll an.
Nächste Seite
Zeigt die nächste Seite im Ereignisprotokoll an.
Seite x von x
Wählt eine bestimmte Seite im Ereignisprotokoll aus.
Geben Sie eine Zahl in das Feld Seite ein, und drücken Sie die Eingabetaste,
oder klicken Sie auf Start, um zur Seite zu navigieren.
Spaltenüberschrift Sortiert die Ereignisliste nach...
114
Datum
Datum, an dem das Ereignis stattfand.
Funktion
Funktion, für die das Ereignis protokolliert wurde.
Produkthandbuch
Seite Quarantäne
7
Spaltenüberschrift Sortiert die Ereignisliste nach...
Aktion, die gegebenenfalls von Endpoint Security als Reaktion auf das Ereignis
ausgeführt wurde.
Aktion
Die Aktion wird in den Einstellungen konfiguriert.
Zugelassen
Der Zugriff auf Dateien wurde zugelassen.
Zugriff verweigert Der Zugriff auf die Datei wurde verhindert.
Gelöscht
Die Datei wurde automatisch gelöscht.
Fortsetzen
Gesäubert
Die Bedrohung wurde automatisch aus der Datei entfernt.
Verschoben
Die Datei wurde in den Quarantäne-Ordner verschoben.
Blockiert
Der Zugriff auf die Datei wurde blockiert.
Würde blockiert
Eine Zugriffsschutzregel hätte den Zugriff auf die Datei
blockiert, wäre die Regel erzwungen worden.
Schweregrad des Ereignisses.
Schweregrad
Kritisch
1
Hoch
2
Gering
3
Warnung
4
Information
5
Siehe auch
Anzeigen des Ereignisprotokolls auf Seite 22
Seite Quarantäne
Verwalten Sie Elemente in der Quarantäne.
Tabelle 7-1
Optionen
Option
Definition
Löschen
Löscht ausgewählte Elemente aus der Quarantäne.
Gelöschte Elemente können nicht wiederhergestellt werden.
Wiederherstellen Stellt Elemente aus der Quarantäne wieder her.
Endpoint Security stellt die Elemente im ursprünglichen Speicherort wieder her und
entfernt sie aus der Quarantäne.
Wenn ein Element noch immer eine gültige Bedrohung darstellt, wird es von Endpoint
Security sofort zurück in die Quarantäne verschoben.
Erneut scannen
Scannt ausgewählte Elemente in der Quarantäne erneut.
Wenn das Element keine Bedrohung mehr ist, stellt es Endpoint Security wieder in
seinen ursprünglichen Speicherort her und entfernt es aus der Quarantäne.
Produkthandbuch
115
7
Spaltenüberschrift Sortiert die Quarantäne-Liste nach...
Erkennungsname
Name der Erkennung.
Typ
Bedrohungstyp, zum Beispiel: Trojaner oder Adware.
Quarantäne-Zeit
Die Zeitdauer, die das Element isoliert wurde.
Anzahl der Objekte
Die Anzahl der erkannten Objekte.
AMCore Content-Version
Die Versionsnummer von AMCore Content, die die Bedrohung erkannt hat.
Status des erneuten Scans Der Status des erneuten Scans, wenn das Element erneut gescannt wurde:
• Sauber: Beim erneuten Scan wurden keine Bedrohungen erkannt.
• Infiziert: Endpoint Security hat beim erneuten Scan eine Bedrohung erkannt.
Siehe auch
Verwalten von isolierten Elementen auf Seite 46
Erneutes Scannen isolierter Elemente auf Seite 49
Konfigurieren Sie Einstellungen für Endpoint Security-Client-Benutzeroberfläche, Selbstschutz,
Protokollierung von Aktivität und Fehlerbehebung sowie Einstellungen für den Proxy-Server.
Tabelle 7-2 Optionen
Abschnitt
Option
Client-Schnittstellen-Modus Vollzugriff
Definition
Ermöglicht den Zugriff auf alle Funktionen.
(Standard für selbstverwaltete Systeme)
Standardzugriff
Zeigt den Schutzstatus an und bietet Zugriff auf die
meisten Funktionen, beispielsweise das Durchführen
von Aktualisierungen und Scans.
Für den Modus Standardzugriff ist ein Kennwort
erforderlich, um Einstellungen auf der Endpoint
Security-Client-Seite Einstellungen anzuzeigen und zu
ändern.
(Standard für von McAfee ePO verwaltete Systeme)
sperren
116
Erfordert ein Kennwort zum Zugriff auf den Endpoint
Security-Client.
Produkthandbuch
7
Tabelle 7-2 Optionen (Fortsetzung)
Abschnitt
Deinstallation
Option
Definition
Administratorkennwort
festlegen
Legt bei Standardzugriff und Client-Benutzeroberfläche sperren
das Administratorkennwort für den Zugriff auf alle
Funktionen der Endpoint
Security-Client-Benutzeroberfläche fest.
Kennwort zum Deinstallieren
des Clients erforderlich
machen
Kennwort
Gibt das Kennwort an.
Kennwort bestätigen
Bestätigt das Kennwort.
Erfordert ein Kennwort für die Deinstallation des
Endpoint Security-Client und legt das Kennwort fest.
(Standardmäßig deaktiviert für selbstverwaltete
Systeme)
Kennwort
Gibt das Kennwort an.
Bestätigt das Kennwort.
Tabelle 7-3 Erweiterte Optionen
Abschnitt
Option
Definition
Sprache der
Automatisch
Wählt automatisch die für Text in der Endpoint
Security-Client-Benutzeroberfläche zu
verwendende Sprache basierend auf der
Sprache des Client-Systems.
Sprache
Legt die für Text in der Endpoint
Security-Client-Benutzeroberfläche zu
verwendende Sprache fest.
Bei verwalteten Systemen setzen über den
Endpoint Security-Client vorgenommene
Sprachänderungen Richtlinienänderungen vom
Management-Server außer Kraft. Die
Sprachänderung wird nach dem Neustart des
Endpoint Security-Client übernommen.
Die Client-Sprache hat keine Auswirkung
auf die Protokolldateien. Protokolldateien
werden immer in der von der
Ländereinstellung des Systems festgelegten
Sprache angezeigt.
Selbstschutz
Selbstschutz aktivieren
Schützt Endpoint Security-Systemressourcen
vor schädlichen Aktivitäten.
Aktion
Legt die Aktion fest, die beim Auftreten
schädlicher Aktivitäten ausgeführt werden soll:
• Blockieren und melden: Blockiert Aktivitäten und
meldet sie an McAfee ePO. (Standard)
• Nur blockieren: Blockiert Aktivitäten, aber
meldet sie nicht an McAfee ePO.
• Nur melden: Meldet an McAfee ePO, blockiert
die Aktion aber nicht.
Dateien und Ordner
Verhindert, dass McAfee-Systemdateien
und -ordner geändert oder gelöscht werden.
Produkthandbuch
117
7
Tabelle 7-3 Erweiterte Optionen (Fortsetzung)
Abschnitt
Option
Definition
Registrierung
Verhindert, dass
McAfee-Registrierungsschlüssel und -werte
geändert oder gelöscht werden.
Prozesse
Verhindert, dass McAfee-Prozesse angehalten
werden.
Diese Prozesse ausschließen
Erlaubt den Zugriff für die angegebenen
Prozesse.
Platzhalter werden unterstützt.
Hinzufügen: Fügt der Ausschlussliste einen
Prozess hinzu. Klicken Sie auf Hinzufügen, und
geben Sie den genauen Ressourcennamen an,
z. B. avtask.exe.
Doppelklicken auf ein Element: Ändert das
ausgewählte Element.
Löschen – Löscht das ausgewählte Element.
Wählen Sie die gewünschte Ressource aus, und
klicken Sie dann auf Löschen.
Zertifikate
Legt Zertifikatoptionen fest.
Zulassen
Lässt zu, dass ein Anbieter Code innerhalb von
McAfee-Prozessen ausführt.
Diese Einstellung kann zu
Kompatibilitätsproblemen und weniger
Sicherheit führen.
Anbieter
Gibt den allgemeinen Namen (Common Name,
CN) der Zertifizierungsstelle an, die das
Zertifikat signiert und ausgestellt hat.
Betreff
Gibt den definierten Namen des Signaturgebers
(Signer Distinguished Name, SDN) an, der die
mit dem Zertifikat verknüpfte Entität definiert.
Diese Informationen können Folgendes
umfassen:
Öffentlicher Schlüssel SHA-1
118
• CN: Allgemeiner
Name
• L: Ort
• OU:
Organisationsein
heit
• ST: Bundesland
• O: Unternehmen
• C: Ländercode
Gibt den SHA-1-Hash des verknüpften
öffentlichen Schlüssels an.
Produkthandbuch
7
Abschnitt
Option
Definition
Client-Protokollierung
Speicherort der Protokolldateien
Gibt den Speicherort der Protokolldateien an.
Der Standardpfad lautet:
<SYSTEM_DRIVE>:\ProgramData\McAfee
\Endpoint\Logs
Geben Sie den Speicherort ein, oder klicken Sie
auf Durchsuchen, um zum Speicherort zu
navigieren.
Aktivitätsprotokollierung
Aktivitätsprotokollierung
aktivieren
Aktiviert die Protokollierung aller Endpoint
Security-Aktivitäten.
Größe (MB) jeder
Aktivitätsprotokolldatei
beschränken
Beschränkt die Größe der Aktivitätsprotokoll auf
die festgelegte Maximalgröße (zwischen 1 MB
und 999 MB). Die Standardeinstellung ist
10 MB.
Deaktivieren Sie diese Option, damit
Protokolldateien auf eine beliebige Größe
wachsen können.
Wenn die Protokolldatei die festgelegte
Dateigröße überschreitet, werden die
ältesten 25 Prozent der Einträge in der
Datei gelöscht.
Protokollierung der
Fehlerbehebung
Durch das Aktivieren der Protokollierung der
Fehlerbehebung für ein Modul wird diese
auch für die Funktionen des Moduls
Allgemeingültig aktiviert, etwa für den
Selbstschutz.
Wir empfehlen, dass Sie die Protokollierung
der Fehlerbehebung mindestens für die
ersten 24 Stunden während der Test- und
Pilotphasen aktivieren. Treten
währenddessen keine Probleme auf,
deaktivieren Sie die Protokollierung der
Fehlerbehebung wieder, um die Leistung des
Client-Systems nicht zu beeinträchtigen.
Produkthandbuch
119
7
Abschnitt
Option
Definition
Für Bedrohungsschutz aktivieren Aktiviert eine ausführliche Protokollierung für
den Bedrohungsschutz und individuelle
Technologien:
Für Zugriffsschutz aktivieren: Schreibt in
AccessProtection_Debug.log.
Für Exploit-Schutz aktivieren: Schreibt in
ExploitPrevention_Debug.log.
Für On-Access-Scanner aktivieren: Schreibt in
OnAccessScan_Debug.log.
Für On-Demand-Scanner aktivieren: Schreibt in
OnDemandScan_Debug.log.
Bedrohungsschutz-Technologie wird diese
auch für den Endpoint Security-Client
aktiviert.
Bedrohungsschutz-Technologie wird diese
auch für die Bedrohungsabwehrdaten
aktiviert.
Für Firewall aktivieren
Aktiviert eine ausführliche Protokollierung von
Firewall-Aktivitäten.
Für Webkontrolle aktivieren
Aktiviert eine ausführliche Protokollierung von
Webkontrolle-Aktivitäten.
Größe (MB) jeder
Debug-Protokolldatei
beschränken
Beschränkt die Größe der Debug-Protokolldatei
auf die festgelegte Maximalgröße (zwischen
1 MB und 999 MB). Die Standardeinstellung ist
50 MB.
Deaktivieren Sie diese Option, damit
Protokolldateien auf eine beliebige Größe
wachsen können.
Wenn die Protokolldatei die festgelegte
Dateigröße überschreitet, werden die
ältesten 25 Prozent der Einträge in der
Datei gelöscht.
Ereignisprotokollierung
Ereignisse an McAfee ePO
senden
Sendet alle im Ereignisprotokoll protokollierten
Ereignisse auf dem Endpoint Security-Client an
McAfee ePO.
Diese Option ist nur auf von McAfee ePO
verwalteten Systemen verfügbar.
Ereignisse in
Windows-Anwendungsprotokoll
schreiben
Sendet alle im Ereignisprotokoll protokollierten
Ereignisse auf dem Endpoint Security-Client an
das Windows-Ereignisprotokoll.
Das Windows-Anwendungsprotokoll kann unter
Windows Ereignisanzeige | Windows-Protokolle |
Anwendung aufgerufen werden.
120
Produkthandbuch
7
Abschnitt
Option
Definition
Schweregrade
Gibt den Schweregrad von Ereignissen an, die
auf dem Endpoint Security-Client in das
Ereignisprotokoll protokolliert werden sollen:
• Keine: Sendet keine Warnungen
• Nur kritische: Sendet nur Warnstufe 1.
• Wichtig und kritisch: Sendet Warnstufen 1 und 2.
• Unwichtig, wichtig und kritisch: Sendet Warnstufen
1–3.
• Alle außer Informationen: Sendet Warnstufen 1–4.
• Alle: Sendet Warnstufen 1–5.
• 1 – Kritisch
• 4 – Warnung
• 2 – Wichtig
• 5–
Informationen
• 3 – Unwichtig
Zu protokollierende
Bedrohungsschutz-Ereignisse
Gibt für jede Funktion den Schweregrad von
Ereignissen an, die vom Bedrohungsschutz
protokolliert werden sollen:
• Zugriffsschutz
Das Aktivieren der Ereignisprotokollierung
für den Zugriffsschutz aktiviert auch die
Ereignisprotokollierung für den
Selbstschutz.
• Exploit-Schutz
• On-Access-Scanner
• On-Demand-Scanner
Proxy-Server für McAfee GTI
Zu protokollierende
Firewall-Ereignisse
Gibt den Schweregrad von Firewall-Ereignissen
an, die protokolliert werden sollen.
Zu protokollierende
Webkontrolle-Ereignisse
Gibt den Schweregrad von
Webkontrolle-Ereignissen an, die protokolliert
werden sollen.
Kein Proxy-Server
Gibt an, dass die verwalteten Systeme McAfee
GTI-Reputationsinformationen direkt über das
Internet abrufen, nicht über einen
Proxy-Server. (Standard)
System-Proxy-Einstellungen
verwenden
Gibt an, dass die Proxy-Einstellungen des
Client-Systems verwendet und optional
HTTP-Proxy-Authentifizierung aktiviert werden
sollen.
Produkthandbuch
121
7
Abschnitt
Option
Definition
Proxy-Server konfigurieren
Passt die Proxy-Einstellungen an.
• Adresse: Gibt die IP-Adresse oder den
vollständig qualifizierten Domänennamen des
HTTP-Proxy-Servers an.
• Port: Begrenzt den Zugriff über den
angegebenen Port.
• Diese Adressen ausschließen: Verwenden Sie den
HTTP-Proxy-Server nicht für Websites oder
IP-Adressen, die mit den festgelegten
Angaben beginnen.
Klicken Sie auf Hinzufügen, und geben Sie dann
den auszuschließenden Adressnamen ein.
HTTP-Proxy-Authentifizierung
aktivieren
Gibt an, dass eine Authentifizierung für den
HTTP-Proxy-Server erforderlich ist. (Diese
Option ist nur verfügbar, wenn Sie einen
HTTP-Proxy-Server gewählt haben.) Geben Sie
die Anmeldeinformationen des HTTP-Proxys
ein:
• Benutzername: Gibt das Benutzerkonto an, das
Berechtigungen für den HTTP-Proxy-Server
besitzt.
• Kennwort: Gibt das Kennwort für den
Benutzernamen an.
• Kennwort bestätigen: Bestätigt das angegebene
Kennwort.
Standard-Client-Aktualisierung
Schaltfläche 'Jetzt aktualisieren'
im Client aktivieren
Zeigt die
-Schaltfläche
auf der Hauptseite des Endpoint Security-Client
an oder blendet sie aus.
Klicken Sie auf diese Schaltfläche, um manuell
nach Aktualisierungen für Content-Dateien und
Software-Komponenten zu suchen und auf das
Client-System herunterzuladen.
Zu aktualisierende Elemente
Legt die Elemente fest, die beim Klicken auf die
Schaltfläche
werden.
aktualisiert
• Sicherheitsinhalte, HotFixes und Patches: Aktualisiert
sämtlichen Sicherheitsinhalt (einschließlich
Modul, AMCore und
Exploit-Schutz-Content-Datei) sowie alle
HotFixes und Patches auf die neuesten
Versionen.
• Sicherheitsinhalte: Aktualisiert nur
Sicherheitsinhalte (Standard).
• HotFixes und Patches: Aktualisiert nur HotFixes
und Patches.
122
Produkthandbuch
7
Abschnitt
Option
Definition
Konfiguriert Sites, von denen Aktualisierungen
für Content-Dateien und
Software-Komponenten abgerufen werden.
Quellsites für Aktualisierungen
Sie können die
Standard-Sicherungs-Quellsite, McAfeeHttp,
und den Management-Server (für
verwaltete Systeme) aktivieren und
deaktivieren, aber nicht ändern oder
löschen.
Gibt Elemente an, die in der Liste verschoben
werden können.
Wählen Sie Elemente aus, und verschieben Sie
sie per Drag-and-Drop an ihren neuen
Standort. Eine blaue Linie erscheint zwischen
Elementen, wo Sie die gezogenen Elemente
ablegen können.
Hinzufügen
Fügt eine Site zur Quellsite-Liste hinzu.
Weitere Informationen finden Sie unter Site
hinzufügen oder Site bearbeiten auf Seite 124.
Doppelklicken auf ein
Element
Ändert das ausgewählte Element.
Löschen
Löscht die ausgewählte Site aus der
Quellsite-Liste.
Importieren
Importiert Sites aus einer Quellsite-Listendatei.
Wählen Sie die zu importierende Datei aus, und
klicken Sie auf OK.
Die vorhandene Quellsite-Liste wird durch
die Site-Listendatei ersetzt.
Alle exportieren
Exportiert die Quellsite-Liste in eine
SiteList.xml-Datei.
Wählen Sie den Speicherort der
Quellsite-Listendatei aus, und klicken Sie auf
OK.
Proxy-Server für Quellsites
Kein Proxy-Server
Gibt an, dass die verwalteten Systeme McAfee
GTI-Reputationsinformationen direkt über das
Internet abrufen, nicht über einen
Proxy-Server. (Standard)
System-Proxy-Einstellungen
verwenden
Gibt an, dass die Proxy-Einstellungen des
Client-Systems verwendet und optional HTTPoder FTP-Proxy-Authentifizierung aktiviert
werden soll.
Produkthandbuch
123
7
Abschnitt
Option
Definition
Proxy-Server konfigurieren
Passt die Proxy-Einstellungen an.
• HTTP-/FTP-Adresse – Legt die DNS-, IPv4- oder
IPv6-Adresse des HTTP- oder
FTP-Proxy-Servers fest.
• Port: Begrenzt den Zugriff über den
angegebenen Port.
• Diese Adressen ausschließen: Legt die Adressen für
Endpoint Security-Client-Systeme fest, die
der Proxy-Server nicht für das Abrufen von
McAfee GTI-Bewertungen verwenden soll.
Klicken Sie auf Hinzufügen, und geben Sie dann
den auszuschließenden Adressnamen ein.
HTTP-/
FTP-Proxy-Authentifizierung
aktivieren
Gibt an, dass eine Authentifizierung für den
HTTP- oder FTP-Proxy-Server erforderlich ist.
(Diese Option ist nur verfügbar, wenn Sie einen
HTTP- oder FTP-Proxy-Server gewählt haben.)
Geben Sie die Proxy-Anmeldeinformationen ein:
Berechtigungen für den Proxy-Server besitzt.
• Kennwort: Gibt das Kennwort für den
angegebenen Benutzernamen an.
• Kennwort bestätigen: Bestätigt das angegebene
Kennwort.
Siehe auch
Schützen von Endpoint Security-Ressourcen auf Seite 30
Konfigurieren von Protokollierungseinstellungen auf Seite 30
Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI auf Seite 32
Konfigurieren des Standardverhaltens für Aktualisierungen auf Seite 35
Site hinzufügen oder Site bearbeiten auf Seite 124
Site hinzufügen oder Site bearbeiten
Fügt eine Site in der Quellsite-Liste hinzu oder bearbeitet diese.
Tabelle 7-4 Optionsbeschreibungen
124
Option
Beschreibung
Name
Gibt den Namen der Quellsite an, die die Aktualisierungsdateien enthält.
Aktivieren
Aktiviert oder deaktiviert die Verwendung der Quellsite für das Herunterladen von
Aktualisierungsdateien.
Dateien abrufen von
Legt fest, woher die Dateien abgerufen werden sollen.
Produkthandbuch
7
Tabelle 7-4 Optionsbeschreibungen (Fortsetzung)
Option
Beschreibung
HTTP-Repository
Ruft die Dateien von dem festgelegten Speicherort für das HTTP-Repository ab.
HTTP bietet Aktualisierungen ohne Berücksichtigung der Netzwerksicherheit,
unterstützt jedoch eine größere Menge gleichzeitiger Verbindungen als FTP.
URL
• DNS-Name: Zeigt an, dass die URL ein Domänenname ist.
• IPv4: Zeigt an, dass die URL eine IPv4-Adresse ist.
http:// – Legt die Adresse des HTTP-Servers und des Ordners fest,
in dem sich die Aktualisierungsdateien befinden.
Port – Gibt die Portnummer für den HTTP-Server an.
Authentifizierung
verwenden
Bei Auswahl wird Authentifizierung mit anschließend
festgelegten Anmeldeinformationen für den Zugriff auf den
Ordner der Aktualisierungsdatei verwendet.
Leseberechtigungen für den Ordner der Aktualisierungsdatei
hat.
• Kennwort: Gibt das Kennwort für den angegebenen Benutzernamen
an.
• Kennwort bestätigen: Bestätigt das angegebene Kennwort.
Produkthandbuch
125
7
Tabelle 7-4 Optionsbeschreibungen (Fortsetzung)
Option
Beschreibung
FTP-Repository
Ruft die Dateien von dem festgelegten Speicherort für das FTP-Repository ab.
Eine FTP-Website bietet Flexibilität, da keine Netzwerksicherheitsberechtigungen
berücksichtigt werden müssen. Da FTP weniger anfällig für Angriffe durch
unerwünschten Code als HTTP ist, bietet es möglicherweise eine bessere Toleranz.
URL
• DNS-Name: Zeigt an, dass die URL ein Domänenname ist.
ftp:// – Legt die Adresse des FTP-Servers und des Ordners fest, in
dem sich die Aktualisierungsdateien befinden.
Port – Gibt die Portnummer für den FTP-Server an.
Anonyme
Anmeldung
verwenden
Bei Auswahl wird anonymer FTP für den Zugriff auf den Ordner der
Aktualisierungsdatei verwendet.
Heben Sie die Auswahl der Option auf, um Anmeldeinformationen
für den Zugriff festzulegen.
• Benutzername: Gibt das Benutzerkonto an, das Leseberechtigungen
für den Ordner der Aktualisierungsdatei hat.
• Kennwort: Gibt das Kennwort für den angegebenen Benutzernamen an.
UNC-Pfad oder
Lokaler Pfad
Ruft Dateien von einem UNC-Pfad oder lokalen Pfad ab.
UNC-Websites lassen sich äußerst schnell und einfach einrichten.
Domänenübergreifende UNC-Aktualisierungen erfordern Sicherheitsberechtigungen
für jede Domäne, was die Konfiguration des Aktualisierungsprozesses etwas
komplexer macht.
Pfad
• UNC-Pfad: Gibt den Pfad in UNC-Schreibweise an (\\servername
\path\).
• Lokaler Pfad: Gibt den Pfad eines Ordners auf einem lokalen oder
Netzwerklaufwerk an.
Angemeldetes
Konto
verwenden
Greift auf die Aktualisierungsdatei mit dem angemeldeten Konto
zu. Dieses Konto muss Leseberechtigungen für die Ordner mit den
Aktualisierungsdateien haben.
Heben Sie die Auswahl der Option auf, um Anmeldeinformationen
für den Zugriff festzulegen.
• Domäne: Gibt die Domäne für das Benutzerkonto an.
Leseberechtigungen für den Ordner der Aktualisierungsdatei
hat.
• Kennwort: Gibt das Kennwort für den angegebenen Benutzernamen
an.
126
Produkthandbuch
7
Konfigurieren und planen Sie Endpoint Security-Client-Tasks.
Auf verwalteten Systemen können Sie keine Administrator-Tasks starten, beenden oder löschen.
Tabelle 7-5
Optionen
Abschnitt Option
Definition
Tasks
Zeigt die derzeit definierten und geplanten Tasks an.
• Name: Der Name des geplanten Tasks.
• Funktion: Modul oder Feature, mit dem der Task verknüpft ist.
• Plan: Wann der Task planmäßig ausgeführt wird und ob er deaktiviert
ist.
Auf verwalteten Systemen kann der Task-Plan
Standard-Client-Aktualisierung vom Administrator deaktiviert werden.
• Status: Status bei der letzten Ausführung des Tasks:
• (kein Status) – Niemals ausgeführt
• Wird ausgeführt – Wird derzeit ausgeführt oder fortgesetzt
• Angehalten – Wurde vom Benutzer angehalten (etwas ein Scan)
• Verschoben – Wurde vom Benutzer verschoben (etwas ein Scan)
• Abgeschlossen – Ausführung abgeschlossen ohne Fehler
• Abgeschlossen (Fehler) – Ausführung abgeschlossen mit Fehlern
• Fehlgeschlagen – Nicht erfolgreich abgeschlossen
• Letzte Ausführung: Das Datum und der Zeitpunkt, zu dem der Task
zuletzt ausgeführt wurde.
• Ursprung: Gibt den Ursprung des Tasks an:
• McAfee: Von McAfee bereitgestellt.
• Administrator (nur verwaltete Systeme): Vom Administrator definiert.
• Benutzer: Auf dem Endpoint Security-Client definiert.
Je nach Ursprung können einige dieser Tasks weder geändert noch
gelöscht werden. Beispielsweise kann der Task
Standard-Client-Aktualisierung nur auf selbstverwalteten Systemen
geändert werden. Administrator-Tasks, definiert vom Administrator auf
verwalteten Systemen, können auf dem Endpoint Security-Client
weder geändert noch gelöscht werden.
Doppelklicken
auf ein Element
Hinzufügen
Erstellt einen Scan-, Aktualisierungs- oder Spiegelungs-Task.
Löschen
Löscht den ausgewählten Task.
Produkthandbuch
127
7
Tabelle 7-5
Optionen (Fortsetzung)
Abschnitt Option
Definition
Duplizieren
Erstellt eine Kopie des ausgewählten Tasks.
Jetzt ausführen
Führt den ausgewählten Task aus.
• Schnellscan: Öffnet das Dialogfeld Schnellscan und startet den Scan.
• Vollständiger Scan: Öffnet das Dialogfeld Vollständiger Scan und startet den
Scan.
• Benutzerdefinierter Scan: Öffnet das Dialogfeld Benutzerdefinierter Scan und
startet den Scan.
• Standard-Client-Aktualisierung: Öffnet das Dialogfeld Aktualisierung und
startet die Aktualisierung.
• Aktualisierung: Öffnet das Dialogfeld Benutzerdefinierte Aktualisierung und
startet die Aktualisierung.
• Spiegeln: Öffnet das Dialogfeld Spiegeln und startet die
Repository-Replikation.
wurden, werden Sie vom Endpoint Security-Client dazu aufgefordert,
die Änderungen zu speichern.
Siehe auch
Task hinzufügen auf Seite 128
Task hinzufügen
Fügt benutzerdefinierte Scan-Tasks, Spiegelungs-Tasks oder Aktualisierungs-Tasks hinzu.
Option
Definition
Name
Legt den Namen für den Task fest.
Task-Typ
auswählen
Legt den Task-Typ fest:
• Benutzerdefinierter Scan: Konfiguriert und plant einen benutzerdefinierten Scan, z. B.
tägliche Speicher-Scans.
• Spiegeln: Repliziert die aktualisierten Content- und Moduldateien aus dem ersten
zugänglichen Repository in eine Spiegel-Site in Ihrem Netzwerk.
• Aktualisieren: Konfiguriert und plant eine Aktualisierung der Content-Dateien, des
Scan-Moduls oder des Produkts.
Siehe auch
Scan-Task hinzufügen oder Scan-Task bearbeiten auf Seite 129
Spiegelungs-Task hinzufügen oder Spiegelungs-Task bearbeiten auf Seite 130
Aktualisierungs-Task hinzufügen oder Aktualisierungs-Task bearbeiten auf Seite 129
128
Produkthandbuch
7
Scan-Task hinzufügen oder Scan-Task bearbeiten
Plant den Task Vollständiger Scan oder Schnellscan oder konfiguriert und plant benutzerdefinierte
Scan-Tasks, die auf dem Client-System ausgeführt werden.
Tabelle 7-6
Optionen
Registerkarte Option
Definition
Einstellungen
Konfiguriert Scan-Task-Einstellungen.
Name
Gibt den Namen des Tasks an.
Optionen Weitere Informationen finden Sie unter Bedrohungsschutz – On-DemandScan auf Seite 146.
Die Einstellungen für die Tasks vollständiger Scan und Schnellscan können nur
auf selbstverwalteten Systemen konfiguriert werden.
Aktiviert und plant die Ausführung des Tasks zu einem bestimmten
Zeitpunkt.
Zeitplan
Weitere Informationen finden Sie unter Zeitplan auf Seite 131.
Siehe auch
Bedrohungsschutz – On-Demand-Scan auf Seite 146
Zeitplan auf Seite 131
Aktualisierungs-Task hinzufügen oder Aktualisierungs-Task
bearbeiten
Plant den Task Standard-Client-Aktualisierung oder konfiguriert und plant benutzerdefinierte
Aktualisierungs-Tasks, die auf dem Client-System ausgeführt werden.
Definition
Einstellungen
Konfiguriert Aktualisierungs-Task-Einstellungen.
Name
Zu aktualisierende Gibt an, was aktualisiert werden soll:
Elemente
• Sicherheitsinhalt, HotFixes und Patches
• Sicherheitsinhalt
• HotFixes und Patches
Informationen zum Ändern der Einstellungen für den
Standard-Client-Aktualisierungs-Task finden Sie im Abschnitt
Standard-Client-Aktualisierung unter Allgemeingültig – Optionen auf Seite
116.
Sie können diese Einstellungen nur auf selbstverwalteten Systemen
konfigurieren.
Zeitplan
Zeitpunkt.
Standardmäßig wird der Task Standard-Client-Aktualisierung täglich um
00:00 Uhr ausgeführt und alle vier Stunden bis 23:59 Uhr
wiederholt.
Produkthandbuch
129
7
Siehe auch
Spiegelungs-Task hinzufügen oder Spiegelungs-Task
bearbeiten
Konfiguriert und plant Spiegelungs-Tasks.
Definition
Einstellungen
Name
Verzeichnis spiegeln Gibt den Ordner an, in dem das replizierte Repository gespeichert
wird.
Zeitplan
Zeitpunkt.
Siehe auch
130
Produkthandbuch
7
Zeitplan
Planen Sie Scan-, Aktualisierungs- und Spiegelungs-Tasks.
Tabelle 7-7
Optionen
Kategorie Option
Definition
Zeitplan
Plant die Ausführung des Tasks zu einem bestimmten Zeitpunkt.
(Standardmäßig aktiviert)
Zeitplan aktivieren
Diese Option muss ausgewählt sein, um den Task zu planen.
Planungstyp
Legt das Intervall für die Ausführung des Tasks fest.
• Täglich: Führt den Task jeden Tag zu einer bestimmten Uhrzeit,
regelmäßig zwischen zwei Uhrzeiten des Tages oder als Kombination
beider Möglichkeiten aus.
• Wöchentlich: Führt den Task wöchentlich aus:
• an einem bestimmten Wochentag, an allen Wochentagen oder
einer Kombination von Tagen
• zu einer bestimmten Uhrzeit an den ausgewählten Tagen oder
regelmäßig zwischen zwei Uhrzeiten an den ausgewählten Tagen
• Monatlich: Führt den Task monatlich zu einem der folgenden
Zeitpunkte aus:
• Am festgelegten Tag des Monats
• An den festgelegten Tagen der Woche: erster, zweiter, dritter,
vierter oder letzter
• Einmal: Startet den Task zum angegebenen Datum und Zeitpunkt.
• Beim Systemstart: Führt den Task beim Systemstart aus.
• Bei Anmeldung: Führt den Task bei der nächsten Anmeldung des
Benutzers aus.
• Sofort ausführen: Startet den Task sofort.
Häufigkeit
Legt die Häufigkeit für tägliche und wöchentliche Tasks fest.
Ausführen am
Legt die Wochentage für wöchentliche und monatliche Tasks fest.
Ausführen im
Legt die Monate des Jahres für monatliche Tasks fest.
Diesen Task nur
einmal täglich
ausführen
Führt den Task einmal täglich für die Tasks Beim Systemstart und Bei
Anmeldung aus.
Diesen Task
verzögern um
Legt die Anzahl von Minuten fest, um die die Ausführung der Tasks Beim
Systemstart und Bei Anmeldung verzögert wird.
Startdatum
Legt das Startdatum für die Tasks Täglich, Wöchentlich, Monatlich und Einmal
fest.
Enddatum
Legt das Enddatum für die Tasks Täglich, Wöchentlich und Monatlich fest.
Produkthandbuch
131
7
Tabelle 7-7
Kategorie Option
Startzeit
Definition
Legt die Zeit fest, wenn der Task gestartet wird.
• Einmal zu diesem Zeitpunkt ausführen: Führt den Task einmal zur
festgelegten Startzeit aus.
• Zu diesem Zeitpunkt ausführen und dann wiederholen bis: Führt den Task zur
festgelegten Startzeit aus. Anschließend wird der Task zu jeder unter
Task starten alle festgelegten Stunde/Minute bis zur angegebenen
Endzeit gestartet.
• Zu diesem Zeitpunkt ausführen und dann wiederholen für: Führt den Task zur
festgelegten Startzeit aus. Anschließend wird der Task zu jeder unter
Task starten alle festgelegten Stunde/Minute für die angegebene
Zeitdauer gestartet.
Diesen Task nach
Gibt an, ob der Task-Plan nach der lokalen Zeit des verwalteten
koordinierter Weltzeit Systems oder nach der koordinierten Weltzeit (Coordinated Universal
(UTC) ausführen
Time, UTC) ausgeführt wird.
Optionen
Diesen Task
beenden, wenn er
länger läuft als
Beendet den Task nach der festgelegten Anzahl an Stunden und
Minuten.
Wenn der Task vor Abschluss unterbrochen wird, wird der Task beim
nächsten Start an der Stelle fortgesetzt, an der die Unterbrechung
stattgefunden hat.
Task-Startzeit zufällig Legt fest, dass der Task innerhalb des angegebenen Zeitraums nach
festlegen auf
dem Zufallsprinzip ausgeführt wird.
Andernfalls wird der Task zur geplanten Zeit gestartet, unabhängig
davon, ob die Ausführung anderer Client-Tasks zur gleichen Zeit
geplant ist.
Ausgelassenen Task
ausführen
Führt den Task nach der unter Start verzögern um festgelegten Anzahl von
Minuten aus, sobald das verwaltete System neu gestartet wird.
Legt die Anmeldeinformationen für das Ausführen des Tasks fest.
Konto
Wenn keine Anmeldeinformationen festgelegt wurden, wird der Task
mit den Anmeldeinformationen des lokalen
Systemadministratorkontos ausgeführt.
Benutzername
Gibt das Benutzerkonto an.
Kennwort
Gibt das Kennwort für das angegebene Benutzerkonto an.
Bestätigt das Kennwort für das angegebene Benutzerkonto.
Domäne
Gibt die Domäne für das angegebene Benutzerkonto an.
Siehe auch
Scan-Task hinzufügen oder Scan-Task bearbeiten auf Seite 129
Aktualisierungs-Task hinzufügen oder Aktualisierungs-Task bearbeiten auf Seite 129
Spiegelungs-Task hinzufügen oder Spiegelungs-Task bearbeiten auf Seite 130
Schützen Sie die Zugriffspunkte Ihres Systems basierend auf konfigurierten Regeln.
Siehe Einstellungen für Allgemeingültig – Optionen auf Seite 116 für die Protokollierungskonfiguration.
132
Produkthandbuch
7
Der Zugriffsschutz vergleicht eine angeforderte Aktion mit der Liste konfigurierter Regeln und handelt
entsprechend der Regel.
Tabelle 7-8
Optionen
Abschnitt
Option
Definition
ZUGRIFFSSCHUTZ
Zugriffsschutz aktivieren
Aktiviert die Zugriffsschutz-Funktion.
Abschnitt Option Beschreibung
Ausschlüsse
Erlaubt den Zugriff auf die angegebenen Prozesse (auch ausführbare Dateien
genannt) für alle Regeln.
• Hinzufügen: Fügt der Ausschlussliste einen Prozess hinzu.
Weitere Informationen finden Sie unter Ausführbare Datei hinzufügen oder
Ausführbare Datei bearbeiten auf Seite 138.
• Doppelklicken auf ein Element: Ändert das ausgewählte Element.
• Löschen: Löscht das ausgewählte Element.
• Duplizieren: Erstellt eine Kopie des ausgewählten Elements.
Regeln
Konfiguriert Zugriffsschutzregeln.
Weitere Informationen finden Sie unter Von McAfee definierte Regeln auf Seite
54.
Sie können von McAfee definierte Regeln aktivieren, deaktivieren und ändern.
Sie können die Regeln jedoch nicht löschen.
• Hinzufügen: Erstellt eine benutzerdefinierte Regel und fügt sie der Liste hinzu.
Weitere Informationen finden Sie unter Regel hinzufügen oder Regel
bearbeiten auf Seite 134.
Weitere Informationen finden Sie unter Regel hinzufügen oder Regel
• Blockieren (nur): Blockiert Zugriffsversuche ohne Protokollierung.
• Bericht (nur): Warnt, ohne Zugriffsversuche zu blockieren.
Diese Einstellung ist dann nützlich, wenn die volle Auswirkung einer Regel
unbekannt ist. Überwachen Sie die Protokolle und Berichte, um besser
festzulegen, ob der Zugriff blockiert werden soll.
• Blockieren und Bericht: Blockiert und protokolliert Zugriffsversuche.
Wählen Sie in der ersten Zeile Blockieren oder Bericht, um alle zu blockieren oder
zu melden.
Das Aufheben der Auswahl Blockieren und Bericht deaktiviert die Regel.
Siehe auch
Konfigurieren der von McAfee definierten Zugriffsschutzregeln auf Seite 53
Regel hinzufügen oder Regel bearbeiten auf Seite 134
Von McAfee definierte Regeln auf Seite 54
Produkthandbuch
133
7
Regel hinzufügen oder Regel bearbeiten
Fügt benutzerdefinierte Zugriffsschutzregeln hinzu oder bearbeitet sie.
Tabelle 7-10
Abschnitt Option
Definition
Optionen
Name
Legt den Namen der Regel fest. (Erforderlich)
Reaktion
Legt Aktionen für die Regel fest.
• Blockieren (nur): Blockiert Zugriffsversuche ohne Protokollierung.
• Bericht (nur): Warnt, ohne Zugriffsversuche zu blockieren.
Diese Einstellung ist dann nützlich, wenn die volle Auswirkung einer
Regel unbekannt ist. Überwachen Sie die Protokolle und Berichte, um
besser festzulegen, ob der Zugriff blockiert werden soll.
• Blockieren und Bericht: Blockiert und protokolliert Zugriffsversuche.
Wählen Sie in der ersten Zeile Blockieren oder Bericht, um alle zu blockieren
oder zu melden.
Das Aufheben der Auswahl Blockieren und Bericht deaktiviert die Regel.
Ausführbare
Dateien
Legt ausführbare Dateien für die Regel fest.
• Hinzufügen: Erstellt eine ausführbare Datei und fügt sie der Liste hinzu.
Weitere Informationen finden Sie unter Ausführbare Datei hinzufügen
oder Ausführbare Datei bearbeiten auf Seite 138.
Weitere Informationen finden Sie unter Ausführbare Datei hinzufügen
oder Ausführbare Datei bearbeiten auf Seite 138.
• Einschlussstatus wechseln: Wechselt den Einschlussstatus der ausführbaren
Datei zwischen Einschließen und Ausschließen.
Untergeordnete
Regeln
Konfiguriert untergeordnete Regeln.
Untergeordnete Regeln werden nur für benutzerdefinierte Regeln
angezeigt.
Weitere Informationen finden Sie unter Untergeordnete Regel hinzufügen
oder Untergeordnete Regel bearbeiten auf Seite 135.
• Hinzufügen: Erstellt eine untergeordnete Regel und fügt sie der Liste
hinzu.
Hinweise
Bieten weitere Informationen über das Element.
Siehe auch
Ausführbare Datei hinzufügen oder Ausführbare Datei bearbeiten auf Seite 138
Untergeordnete Regel hinzufügen oder Untergeordnete Regel bearbeiten auf Seite 135
134
Produkthandbuch
7
Untergeordnete Regel hinzufügen oder Untergeordnete Regel
bearbeiten
Fügen Sie eine untergeordnete Standardregel hinzu, oder bearbeiten Sie sie.
Tabelle 7-11
Optionen
Abschnitt Option Definition
Beschreibung Name
Legt den Namen für die untergeordnete Regel fest.
Eigenschaften Regeltyp
Legt den Regeltyp fest.
• Dateien: Schützt eine Datei oder ein Verzeichnis. Beispiel: Erstellen Sie eine
benutzerdefinierte Regel zum Blockieren oder Melden von Versuchen, eine
Excel-Tabelle mit vertraulichen Daten zu löschen.
• Registrierungsschlüssel: Schützt den angegebenen Schlüssel. Ein
Registrierungsschlüssel ist der Container für den Registrierungswert. Beispiel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
• Registrierungswert: Schützt den angegebenen Wert. Registrierungswerte werden
in Registrierungsschlüsseln gespeichert und separat von diesen referenziert.
Beispiel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Autorun.
Durch die Änderung des Typs der untergeordneten Regel werden sämtliche
zuvor definierten Einträge in der Parametertabelle entfernt.
Produkthandbuch
135
7
Tabelle 7-11
Abschnitt Option Definition
Vorgänge Gibt die Vorgänge an, die mit dem Typ der untergeordneten Regel erlaubt sind.
Der Vorgang Lesen könnte sich auf die Leistung auswirken.
• Dateien:
• Schreibgeschützte oder ausgeblendete Attribute ändern
• Erstellen: Blockiert das Erstellen von Dateien im angegebenen Ordner.
• Löschen: Blockiert das Löschen von Dateien im angegebenen Ordner.
• Ausführen: Blockiert das Ausführen von Dateien im angegebenen Ordner.
• Lesen: Blockiert den Lesezugriff auf die angegebenen Dateien.
• Schreiben: Blockiert den Schreibzugriff auf die angegebenen Dateien.
• Registrierungsschlüssel:
• Schreiben: Blockiert den Schreibzugriff auf den angegebenen Schlüssel.
• Erstellen: Blockiert das Erstellen des angegebenen Schlüssels.
• Löschen: Blockiert das Löschen des angegebenen Schlüssels.
• Lesen: Blockiert den Lesezugriff auf den angegebenen Schlüssel.
• Aufzählen: Blockiert die Aufzählung der Unterschlüssel für den angegebenen
Registrierungsschlüssel.
• Laden: Blockiert die Möglichkeit der Entladung des angegebenen
Registrierungsschlüssels und seiner Unterschlüssel aus der Registrierung.
• Ersetzen: Blockiert das Ersetzen des angegebenen Registrierungsschlüssels
und seiner Unterschlüssel mit einer anderen Datei.
• Wiederherstellen: Blockiert die Möglichkeit der Speicherung von
Registrierungsinformationen in einer angegebenen Datei und kopiert den
angegebenen Schlüssel.
• Registrierungswert:
• Schreiben: Blockiert den Schreibzugriff auf den angegebenen Wert.
• Erstellen: Blockiert das Erstellen des angegebenen Werts.
• Löschen: Blockiert das Löschen des angegebenen Werts.
• Lesen: Blockiert den Lesezugriff auf den angegebenen Wert.
Parameter • Hinzufügen: Legt Parameter für die Regel fest. Die Parameter ändern sich
abhängig vom ausgewählten Regeltyp. Geben Sie mindestens einen
Parameter ein.
Klicken Sie auf Hinzufügen, wählen Sie den Einschlussstatus aus, und geben Sie
anschließend die ein- oder auszuschließenden Parameter ein, bzw. wählen Sie
sie aus.
Siehe Parameter auf Seite 137.
Siehe Parameter auf Seite 137.
Siehe auch
Parameter auf Seite 137
136
Produkthandbuch
7
Parameter
Legt den Einschlussstatus und die Definition für einen Parameter fest.
Tabelle 7-12
Abschnitt Option
Definition
Parameter
Bestimmt, ob der Parameter mit der untergeordneten Regel positiv
übereinstimmt. Legt auch den Status des Einschlusses für den
Parameter fest.
• Einschließen: Zeigt an, dass die untergeordnete Regel mit dem
angegebenen Parameter übereinstimmen kann.
• Ausschließen: Zeigt an, dass die ausführbare Datei mit der
untergeordneten Regel nicht übereinstimmen darf.
Bei Auswahl des
Regeltyps Dateien …
Suchen Sie nach der Datei, um sie auszuwählen.
Systemumgebungsvariablen werden unterstützt.
Umgebungsvariablen können in einem der folgenden Formate
angegeben werden:
• $(EnvVar) – $(SystemDrive), $(SystemRoot)
• %EnvVar% – %SystemRoot%, %SystemDriver%
Nicht auf alle systemdefinierten Umgebungsvariablen kann mithilfe
der $(var)-Syntax zugegriffen werden. Das trifft besonders auf
jene mit Oder-Zeichen zu. Um dieses Problem zu vermeiden,
können Sie die %var%-Syntax verwenden.
Benutzerumgebungsvariablen werden nicht unterstützt.
Sie können folgende Platzhalter verwenden: ?, * und **.
Bei Auswahl des
Regeltyps
Registrierungsschlüssel
oder
Registrierungswert …
Verwenden Sie Stammschlüssel, um Registrierungswerte
und -schlüssel zu definieren. Folgende Stammschlüssel werden
unterstützt:
• HKLM oder HKEY_LOCAL_MACHINE
• HKCU oder HKEY_CURRENT_USER
• HKCR oder HKEY_CLASSES_ROOT
• HKCCS stimmt mit HKLM/SYSTEM/CurrentControlSet und HKLM/
SYSTEM/ControlSet00X überein
• HKLMS stimmt mit HKLM/Software auf 32- und 64-Bit-Systemen
sowie HKLM/Software/Wow6432Node auf 64-Bit-Systemen
überein
• HKCUS stimmt mit HKCU/Software auf 32- und 64-Bit-Systemen
sowie HKCU/Software/Wow6432Node auf 64-Bit-Systemen
überein
• HKULM wird als HKLM und HKCU behandelt
• HKULMS wird als HKLMS und HKCUS behandelt
• HKALL wird als HKLM und HKU behandelt
Sie können ?, * und ** als Platzhalter sowie | (senkrechter Strich)
als Escape-Zeichen verwenden.
Produkthandbuch
137
7
Ausführbare Datei hinzufügen oder Ausführbare Datei
bearbeiten
Fügt eine ausführbare Datei hinzu oder bearbeitet diese.
Tabelle 7-13
Option
Definition
Name
Legt den Namen für die ausführbare Datei fest.
Dieses und mindestens eines der folgenden Felder müssen ausgefüllt werden:
Dateiname oder Pfad, MD5-Hash oder Signaturgeber.
Einschlussstatus
Ermittelt den Einschlussstatus der ausführbaren Datei.
Einschlussstatus wird nur angezeigt, wenn einer Regel eine ausführbare Datei
hinzugefügt wird.
• Einschließen: Zeigt an, dass die ausführbare Datei mit dem angegebenen Parameter
übereinstimmen kann.
• Ausschließen: Zeigt an, dass die ausführbare Datei mit dem angegebenen
Parameter nicht übereinstimmen darf.
Dateiname oder Pfad Gibt den Pfad zur ausführbaren Datei an, die hinzugefügt oder bearbeitet werden
soll.
Klicken Sie auf Durchsuchen, um die ausführbare Datei auszuwählen.
Der Pfad kann Platzhalter enthalten.
MD5-Hash
Zeigt den MD5-Hash (32-stellige Hexadezimalzahl) des Prozesses an.
Signaturgeber
Überprüfung digitaler Signaturen aktivieren: Gewährleistet, dass seit der Unterzeichnung mit
einem Kryptographie-Hash der Code weder geändert noch beschädigt wurde.
Legen Sie bei Aktivierung Folgendes fest:
• Beliebige Signatur zulassen – Dateien dürfen von einem beliebigen Signaturgeber
unterzeichnet werden.
• Signiert von – Dateien dürfen nur von dem angegebenen Signaturgeber
Für die ausführbare Datei ist der definierte Name eines Signaturgebers (SDN)
erforderlich. Der Name muss den Einträgen im entsprechenden Feld,
einschließlich Kommas und Leerzeichen, genau entsprechen.
So rufen Sie den SDN einer ausführbaren Datei ab:
1 Klicken Sie mit der rechten Maustaste auf die ausführbare Datei, und wählen Sie
Eigenschaften aus.
2 Wählen Sie auf der Registerkarte Digitale Signaturen einen Signaturgeber aus, und
klicken Sie auf Details.
3 Klicken Sie auf der Registerkarte Allgemein auf Zertifikat anzeigen.
4 Wählen Sie auf der Registerkarte Details das Feld Betreff aus. Der definierte Name
des Signaturgebers wird angezeigt. Beispielsweise hat Firefox folgenden
definierten Namen als Signaturgeber:
Hinweise
138
• CN = Mozilla Corporation
• L = Mountain View
• OU = Release Engineering
• S = California
• O = Mozilla Corporation
• C = US
Produkthandbuch
7
Siehe auch
Regel hinzufügen oder Regel bearbeiten auf Seite 134
Aktiviert und konfiguriert den Exploit-Schutz, dass über Buffer Overflow-Exploits kein beliebiger Code
auf Ihrem Computer ausgeführt wird.
Siehe Allgemeingültig – Optionen auf Seite 116-Einstellungen für Protokollierungskonfiguration.
werden. Wenn McAfee Host IPS aktiviert ist, wird der Exploit-Schutz deaktiviert, selbst wenn er in den
Richtlinieneinstellungen aktiviert ist.
Tabelle 7-14
Abschnitt
Option
Beschreibung
EXPLOIT-SCHUTZ Exploit-Schutz aktivieren Aktiviert die Exploit-Schutz-Funktion.
Wird diese Funktion nicht aktiviert, ist das System nicht vor
Malware-Angriffen geschützt.
Abschnitt
Option
Beschreibung
Legt die Ebene des Exploit-Schutzes fest.
Schutzebene
Standard
Erkennt und blockiert nur Buffer
Overflow-Exploits mit hohem Schweregrad, die in
der Exploit-Schutz-Content-Datei identifiziert
werden und stoppt die erkannte Bedrohung.
Verwenden Sie die Funktion für kurze Zeit im
Standard-Modus. Überprüfen Sie die Protokolldatei
für diesen Zeitraum, um herauszufinden, ob in
den Maximalen Schutzmodus gewechselt werden
muss.
Maximal
Erkennt und blockiert Buffer Overflow-Exploits
mit hohem und mittlerem Schweregrad, die in
der Exploit-Schutz-Content-Datei identifiziert
werden, und stoppt die erkannte Bedrohung.
Diese Einstellung kann zu False-Positives
führen.
Windows-Datenausführungsverhinderung Windows-Datenausführungsverhinderung Aktiviert
aktivieren
Windows-Datenausführungsverhinderung (DEP) .
(Standardmäßig deaktiviert)
Das Deaktivieren dieser Option hat keine
Auswirkung auf die Prozesse, bei denen DEP
als Ergebnis der Windows-DEP-Richtlinie
aktiviert ist.
Produkthandbuch
139
7
Abschnitt
Option
Beschreibung
Legt die Aktionen Blockieren oder Bericht für den
Exploit-Schutz fest.
Aktion
Die Meldungseinstellung kann bei aktivierter
Windows-Datenausführungsverhinderung
nicht angewendet werden.
Blockieren
Blockiert den angegebenen Prozess. Wählen Sie
Blockieren aus, um den Exploit-Schutz zu
aktivieren, oder heben Sie die Auswahl auf, um
den Exploit-Schutz zu deaktivieren.
Wenn Sie Zugriffsversuche ohne
Protokollierung blockieren möchten, wählen
Sie nur die Option Blockieren, nicht aber die
Option Bericht aus.
Bericht
Aktiviert das Erstellen von Berichten über
Versuche, den Exploit-Schutz zu verletzen. Bei
einer Erkennung werden die entsprechenden
Informationen im Aktivitätsprotokoll
aufgezeichnet.
Wenn Sie eine Warnung erhalten wollen,
Zugriffsversuche aber nicht blockieren
möchten, wählen Sie nur die Option Bericht,
nicht aber die Option Blockieren aus. Dies ist
dann nützlich, wenn die volle Auswirkung
einer Regel unbekannt ist. Überwachen Sie
die Protokolle und Berichte für einen kurzen
Zeitraum. So können Sie besser festlegen, ob
der Zugriff blockiert werden soll.
Gibt den Namen des Prozesses an, zu dem der
beschreibbare Speicher gehört, über den der
Aufruf ausgeführt wird.
Ausschlüsse
Ausschlüsse mit Anrufermodul oder API gelten
nicht für die Datenausführungsverhinderung.
Hinzufügen
Fügt der Ausschlussliste einen
Prozess hinzu.
Geben Sie den Prozessnamen
bzw. den Prozessnamen und
seinen Pfad ein.
Bei Ausschlüssen muss
die Groß-/
Kleinschreibung
beachtet werden.
Platzhalter sind nicht
erlaubt.
140
Doppelklicken
auf ein
Element
Ändert das ausgewählte
Element.
Löschen
Löscht das ausgewählte
Element.
Produkthandbuch
7
Abschnitt
Option
Beschreibung
Prozess
Legt den Namen des auszuschließenden
Prozesses fest. Der Exploit-Schutz schließt den
Prozess aus, egal, wo er sich befindet.
Anrufermodul
Legt den Namen des Moduls fest, zu dem der
beschreibbare Speicher gehört, über den der
Aufruf ausgeführt wird.
API
Legt die aufgerufene API
(Programmierschnittstelle) fest.
Siehe auch
Konfigurieren Exploit-Schutz-Richtlinieneinstellungen. auf Seite 61
Aktivieren und konfigurieren Sie die Einstellungen für den On-Access-Scan.
Tabelle 7-17
Abschnitt
Optionen
Option
ON-ACCESS-SCAN On-Access-Scan aktivieren
Definition
Aktiviert die On-Access-Scan-Funktion.
Standardmäßig aktiviert.
On-Access-Scan während
des Systemstarts aktivieren
Aktiviert die On-Access-Scan-Funktion jedes Mal, wenn Sie
den Computer hochfahren.
Höchstdauer (in Sekunden)
für jeden Datei-Scan
angeben
Begrenzt jeden Datei-Scan auf die angegebene Höchstdauer
in Sekunden.
Wenn ein Scan-Vorgang das Zeitlimit überschreitet, wird der
Scan fehlerfrei beendet und eine Meldung protokolliert.
Boot-Sektoren scannen
Überprüft den Boot-Sektor der Festplatte.
Wenn eine Festplatte einen speziellen oder anormalen
Boot-Sektor besitzt, der nicht gescannt werden kann, ist es
ratsam, das Scannen des Boot-Sektors zu deaktivieren.
Produkthandbuch
141
7
Tabelle 7-17
Abschnitt
Option
Definition
Prozesse bei Starten des
Dienstes und
Inhaltsaktualisierung
scannen
Scannt jedes Mal alle Prozesse, die sich derzeit im Speicher
befinden, wenn:
• Sie On-Access-Scans erneut aktivieren.
• Content-Dateien aktualisiert werden.
• Das System gestartet wird.
• Der McShield.exe-Prozess gestartet wird.
Da einige Programme oder ausführbare Dateien
automatisch gestartet werden, wenn Sie Ihr System
starten, kann die Aktivierung dieser Option Ihr System
verlangsamen und die benötigte Zeit des Systemstarts
verlängern.
Standardmäßig deaktiviert.
Wenn der On-Access-Scanner aktiviert ist, werden immer alle
Prozesse bei der Ausführung gescannt.
Vertrauenswürdige
Installationsprogramme
scannen
Scannt MSI-Dateien (die über msiexec.exe installiert wurden
und eine McAfee- oder Microsoft-Signatur aufweisen) oder
Dienstdateien von vertrauenswürdigen
Windows-Installationsprogrammen.
Deaktivieren Sie diese Option, um die Leistung von
Installationsprogrammen für große Microsoft-Anwendungen
zu verbessern.
Bei Kopieren in lokalen
Ordnern scannen
Scannt Dateien, wenn der Benutzer innerhalb lokaler Ordner
kopiert.
Wenn diese Option folgenden Status hat:
• Deaktiviert – Nur Elemente im Zielordner werden
gescannt.
• Aktiviert – Elemente im Quellordner (lesen) und im
Zielordner (schreiben) werden gescannt.
Weitere Informationen finden Sie unter McAfee GTI auf Seite
151.
McAfee GTI
ScriptScan
ScriptScan aktivieren
Ermöglicht das Scannen von JavaScript- und
VBScript-Skripts, damit unerwünschte Skripts nicht
ausgeführt werden.
Wenn ScriptScan beim Start vom Internet Explorer
deaktiviert ist und dann aktiviert wird, erkennt es keine
bösartigen Skripte in dieser Instanz vom Internet Explorer.
Nach der Aktivierung von ScriptScan müssen Sie den
Internet Explorer neu starten, um bösartige Skripte zu
erkennen.
142
Produkthandbuch
7
Abschnitt
Option
Definition
Benutzermeldungen bei
Erkennung von
Bedrohungen
Bei Erkennung einer
Bedrohung das
On-Access-Scan-Fenster für
Benutzer anzeigen
Zeigt bei einer Erkennung die On-Access-Scan-Seite mit
der festgelegten Meldung für Client-Benutzer an.
Bei Auswahl dieser Option können Benutzer diese Seite
über die Seite Jetzt scannen öffnen, wenn die
Erkennungsliste mindestens eine Bedrohung enthält.
Die On-Access-Scan-Erkennungsliste wird bereinigt,
wenn der Endpoint Security-Dienst oder das System
neu gestartet wird.
Meldung
Zeigt die Meldung an, die Client-Benutzern bei
Erkennungen angezeigt wird.
Die Standardnachricht lautet: McAfee Endpoint Security hat
eine Bedrohung erkannt.
Prozesseinstellungen
Standard-Einstellungen für
alle Prozesse verwenden
Wendet die gleichen konfigurierten Einstellungen auf
alle Prozesse an, wenn ein On-Access-Scan ausgeführt
wird.
Verschiedene Einstellungen
für Prozesse mit hohem
Risiko und geringem Risiko
konfigurieren
Konfiguriert verschiedene Scan-Einstellungen für jeden
Prozesstyp, den Sie identifizieren.
Standard
Konfiguriert Einstellungen für Prozesse, die weder ein
hohes noch ein geringes Risiko darstellen.
Scan wird ausgeführt
Hohes Risiko
Konfiguriert Einstellungen für Prozesse, die ein hohes
Risiko darstellen.
Geringes Risiko
Konfiguriert Einstellungen für Prozesse, die ein
geringes Risiko darstellen.
Hinzufügen
Fügt der Liste Hohes Risiko oder Niedriges Risiko einen
Prozess hinzu.
Löschen
Entfernt einen Prozess aus der Liste Hohes Risiko oder
Geringes Risiko.
Zeitpunkt für Scan
Beim Schreiben auf einen
Datenträger
Versucht alle Dateien zu scannen, wenn sie auf den
Computer oder ein anderes Datenspeichergerät
geschrieben oder darauf geändert werden.
Da der Scan fehlschlagen könnte, wenn die Datei
auf einen Datenträger geschrieben wird, wird die
Aktivierung der Option Beim Lesen von einem Datenträger
dringend empfohlen.
Beim Lesen von einem
Datenträger
Scannt die Dateien, wenn sie auf dem Computer oder
einem anderen Datenspeichergerät gelesen werden.
Die Aktivierung dieser Option wird dringend
empfohlen.
Produkthandbuch
143
7
Abschnitt
Option
Definition
McAfee entscheiden lassen
Mit dieser Option wird die Entscheidung McAfee
überlassen, ob eine Datei gescannt werden muss,
wobei Vertrauenslogik für optimiertes Scannen
verwendet wird. Vertrauenslogik verbessert Ihre
Sicherheit und beschleunigt die Leistung durch
Vermeidung unnötiger Scans.
Nicht scannen bei Lesen oder Legt fest, nur Prozesses mitgeringem Risiko nicht zu
Schreiben auf die Festplatte
scannen.
Zu scannende Elemente
Alle Dateien
Scannt alle Dateien unabhängig von ihrer
Dateierweiterung.
Die Aktivierung von Alle Dateien wird dringend
empfohlen. Wird diese Option nicht aktiviert, ist das
System vor Malware-Angriffen nicht geschützt.
Standardmäßige und
angegebene Dateitypen
Scannt:
• Die Standardliste der definierten Dateierweiterungen
in der aktuellen AMCore Content-Datei, einschließlich
Dateien ohne Erweiterung
• Alle zusätzlichen Dateierweiterungen, die Sie
angeben
Trennen Sie Erweiterungen mit einem Komma.
• (Optional) Bekannte Makrobedrohungen in der Liste
standardmäßiger und angegebener
Dateierweiterungen
Eine Liste der Standarddateitypen für Mac-Systeme
finden Sie im KnowledgeBase-Artikel KB84411.
Nur angegebene Dateitypen
Scannt eine der folgenden oder beide Optionen:
• Nur Dateien mit den von Ihnen angegebenen
(kommagetrennten) Erweiterungen
• Alle Dateien ohne Erweiterung
Auf Netzlaufwerken
Scannt Ressourcen auf zugeordneten
Netzwerklaufwerken.
Das Scannen von Netzwerkressourcen kann die
Leistung beeinträchtigen.
Zur Sicherung geöffnet
Scannt Dateien, wenn von Sicherungssoftware darauf
zugegriffen wird.
Für die meisten Umgebungen ist die Aktivierung
dieser Einstellung nicht empfehlenswert.
Komprimierte Archivdateien
Überprüft die Inhalte von (komprimierten)
Archivdateien, einschließlich JAR-Dateien.
Da das Scannen komprimierter Dateien negative
Auswirkungen auf die Systemleistung hat, empfiehlt
sich diese Option für Scans, die bei nicht
verwendeten Systemen ausgeführt werden.
144
Produkthandbuch
7
Abschnitt
Option
Definition
Komprimierte
MIME-verschlüsselte Dateien
Erkennt, decodiert und scannt MIME-codierte
(Multipurpose Internet Mail Extensions) Dateien (Apple
Mail-Nachrichten auf Mac-Systemen).
Zusätzliche Scan-Optionen
Unerwünschte Programme
erkennen
Damit kann der Scanner potenziell unerwünschte
Programme erkennen.
Der Scanner verwendet die Informationen, die Sie in
den Einstellungen der Bedrohungsschutz-Optionen
konfiguriert haben, um potenziell unerwünschte
Programme zu erkennen.
Unbekannte
Programmbedrohungen
erkennen
Verwendet McAfee GTI, um ausführbare Dateien zu
erkennen, in denen sich Malware-ähnlicher Code
befindet.
Unbekannte
Makrobedrohungen erkennen
Verwendet McAfee GTI, um unbekannte Makroviren zu
erkennen.
Aktionen
Weitere Informationen finden Sie unter Aktionen auf
Seite 153.
Ausschlüsse
Legt Dateien, Ordner und Laufwerke fest, die vom
Scan ausgeschlossen werden.
Weitere Informationen finden Sie unter Ausschluss
hinzufügen oder Ausschluss bearbeiten auf Seite 155.
ScriptScan
Hinzufügen
Fügt ein Element zur Ausschlussliste hinzu.
Löschen
Entfernt ein Element aus der Ausschlussliste.
Diese URLs ausschließen
Gibt die ScriptScan-Ausschlüsse anhand der URL an.
Hinzufügen: Fügt der Ausschlussliste eine URL hinzu.
Löschen: Entfernt eine URL von der Ausschlussliste.
URLs dürfen keine Platzhalter enthalten. Eine URL mit
einem String aus einer ausgeschlossenen URL wird
ebenfalls ausgeschlossen. Wenn beispielsweise die URL
msn.com ausgeschlossen wird, werden die folgenden
URLs ebenfalls ausgeschlossen:
• http://weather.msn.com
• http://music.msn.com
Auf Windows Server 2008-Systemen können
ScriptScan-URL-Ausschlüsse im Internet Explorer
nur verwendet werden, wenn Sie
Browsererweiterungen von Drittanbietern aktivieren
und das System neu starten. Weitere Informationen
finden Sie im KnowledgeBase-Artikel KB69526.
Siehe auch
McAfee GTI auf Seite 151
Aktionen auf Seite 153
Ausschluss hinzufügen oder Ausschluss bearbeiten auf Seite 155
Produkthandbuch
145
7
Konfigurieren Sie die Einstellungen des On-Demand-Scans für die vorkonfigurierten und
benutzerdefinierten Scans, die auf Ihrem System ausgeführt werden.
Diese Einstellungen legen das Scanner-Verhalten fest, wenn:
•
Vollständiger Scan oder Schnellscan auf der Seite Jetzt scannen im Endpoint Security-Client ausgewählt
wird.
•
Einen benutzerdefinierten On-Demand-Scan-Task als Administrator über Einstellungen | Allgemeingültig |
Tasks im Endpoint Security-Client ausführen.
•
Klicken Sie mit der rechten Maustaste auf eine Datei oder einen Ordner, und wählen Sie Scannen auf
Bedrohungen aus dem Pop-Up-Menü aus.
Tabelle 7-19
Optionen
Abschnitt
Option
Definition
Zu scannende
Elemente
Boot-Sektoren
Überprüft den Boot-Sektor der Festplatte.
Wenn eine Festplatte einen speziellen oder anormalen
Boot-Sektor besitzt, der nicht gescannt werden kann, ist
es ratsam, das Scannen des Boot-Sektors zu deaktivieren.
In den Speicher migrierte
Dateien
Scannt Dateien, die vom Remote-Speicher verwaltet
werden.
Einige Offline-Datenspeicherlösungen ersetzen Dateien mit
einer Stub-Datei. Wenn der Scanner auf eine Stub-Datei
stößt (ein Hinweis darauf, dass die Datei migriert wurde),
wird diese vor dem Scannen im lokalen System
wiederhergestellt.
Wir empfehlen die Deaktivierung dieser Option.
Komprimierte
MIME-verschlüsselte
Dateien
Erkennt, decodiert und scannt MIME-codierte (Multipurpose
Internet Mail Extensions) Dateien (Apple Mail-Nachrichten
auf Mac-Systemen).
Komprimierte
Archivdateien
Überprüft die Inhalte von (komprimierten) Archivdateien,
einschließlich JAR-Dateien.
Da das Scannen komprimierter Dateien negative
Auswirkungen auf die Systemleistung hat, empfiehlt sich
diese Option für Scans, die bei nicht verwendeten
Systemen ausgeführt werden.
Zusätzliche
Scan-Optionen
Unterordner (nur Scan
per Kontextmenü)
Überprüft alle Unterordner des angegebenen Ordners.
Unerwünschte Programme
erkennen
Damit kann der Scanner potenziell unerwünschte
Programme erkennen.
Der Scanner verwendet die Informationen, die Sie in den
Einstellungen der Bedrohungsschutz-Optionen konfiguriert
haben, um potenziell unerwünschte Programme zu
erkennen.
Unbekannte
Programmbedrohungen
erkennen
146
Verwendet McAfee GTI, um ausführbare Dateien zu
erkennen, in denen sich Malware-ähnlicher Code befindet.
Produkthandbuch
7
Tabelle 7-19
Abschnitt
Scan-Speicherorte
Option
Definition
Unbekannte
Makrobedrohungen
erkennen
Verwendet McAfee GTI, um unbekannte Makroviren zu
erkennen.
(nur vollständiger Scan
und Schnellscan)
Weitere Informationen finden Sie unter Scan-Speicherorte
auf Seite 149.
Diese Optionen gelten nur für vollständiger Scan, Schnellscan
und benutzerdefinierte Scans.
Zu scannende
Dateitypen
Alle Dateien
Scannt alle Dateien unabhängig von ihrer Dateierweiterung.
Die Aktivierung von Alle Dateien wird von McAfee dringend
empfohlen.
Die Aktivierung von Alle Dateien wird dringend empfohlen.
Wird diese Option nicht aktiviert, ist das System vor
Malware-Angriffen nicht geschützt.
Standardmäßige und
angegebene Dateitypen
Scannt:
• Die Standardliste der definierten Dateierweiterungen in
der aktuellen AMCore Content-Datei, einschließlich
Dateien ohne Erweiterung
• Alle zusätzlichen Dateierweiterungen, die Sie angeben
Trennen Sie Erweiterungen mit einem Komma.
• (Optional) Bekannte Makrobedrohungen in der Liste
standardmäßiger und angegebener Dateierweiterungen
Eine Liste der Standarddateitypen für Mac-Systeme finden
Sie im KnowledgeBase-Artikel KB84411.
Nur angegebene Dateitypen Scannt eine der folgenden oder beide Optionen:
• Nur Dateien mit den von Ihnen angegebenen
(kommagetrennten) Erweiterungen
• Alle Dateien ohne Erweiterung
McAfee GTI
Weitere Informationen finden Sie unter McAfee GTI auf
Seite 151.
Ausschlüsse
Legt Dateien, Ordner und Laufwerke fest, die vom Scan
ausgeschlossen werden.
Weitere Informationen finden Sie unter Ausschluss
hinzufügen oder Ausschluss bearbeiten auf Seite 155.
Hinzufügen
Fügt ein Element zur Ausschlussliste hinzu.
Löschen
Entfernt ein Element aus der Ausschlussliste.
Weitere Informationen finden Sie unter Aktionen auf Seite
153.
Aktionen
Leistung
Scan-Cache verwenden
Damit kann der On-Demand-Scanner die vorhandenen
sauberen Scan-Ergebnisse verwenden.
Wählen Sie diese Option, um doppelte Scan-Vorgänge zu
vermeiden und die Leistung zu verbessern.
Produkthandbuch
147
7
Tabelle 7-19
Abschnitt
Option
Definition
Systemauslastung
Damit kann vom Betriebssystem die CPU-Zeit, die der
Scanner empfängt, während des Scan-Vorgangs festgelegt
werden.
Jeder Task wird unabhängig von den Beschränkungen
anderer Tasks ausgeführt.
• Niedrig – erhöht die Leistung für andere ausgeführte
Anwendungen.
Wählen Sie diese Option für Systeme mit
Endbenutzeraktivität.
• Niedriger als normal – legt für die Systemauslastung für den
Scan den McAfee ePO-Standard fest.
• Normal (Standard) – damit kann der Scan-Vorgang
schneller abgeschlossen werden.
Wählen Sie diese Option für Systeme mit großen
Datenträgern und wenig Endbenutzeraktivität.
Optionen für
geplanten Scan
Diese Optionen gelten nur für vollständiger Scan, Schnellscan
und benutzerdefinierte Scans.
Nur scannen, wenn das
System im Leerlauf ist
Führt den Scan nur aus, wenn der Computer des Benutzers
im Leerlauf ist.
Der Bedrohungsschutz hält den Scan an, wenn der Benutzer
auf das System über Tastatur oder Maus zugreift. Der Scan
wird vom Bedrohungsschutz fortgesetzt, wenn der
Computer (und die CPU) länger als fünf Minuten im Leerlauf
ist.
McAfee empfiehlt das Deaktivieren dieser Option auf
Serversystemen und Systemen, auf die Benutzer nur über
die Remote-Desktop-Verbindung (RDP) zugreifen. Der
Bedrohungsschutz stellt mithilfe von McTray fest, ob sich
das System im Leerlauf befindet. Auf nur über RDP
zugegriffene Systemen startet McTray nicht und der
On-Demand-Scanner wird nie ausgeführt.
Zur Problemumgehung können Benutzer manuell
McTray starten (standardmäßig unter C:
\Programme\McAfee\Agent\mctray.exe),wenn Sie
sich über RDP anmelden.
Jederzeit scannen
148
Führt den Scan auch dann aus, wenn der Computer des
Benutzers aktiv ist, und legt Scan-Optionen fest.
Produkthandbuch
7
Scan-Speicherorte
Tabelle 7-19
Abschnitt
Option
Definition
Benutzer darf Scans verschieben – Der Benutzer kann geplante
Scans verschieben und Optionen für Scan-Verschiebungen
festlegen.
• Benutzer darf Scans so oft eine Stunde lang verschieben – legt fest,
wie oft (1–23) der Benutzer den Scan für eine Stunde
verschieben darf.
• Benutzermeldung – legt die Meldung fest, die vor dem Start
eines Scans angezeigt wird.
Die Standardmeldung lautet: McAfee Endpoint Security
wird in Kürze Ihr System scannen.
• Meldungsdauer (Sekunden) – legt fest, wie lange (in Sekunden)
die Benutzermeldung vor dem Start eines Scans
angezeigt wird. Der gültige Bereich für die Dauer beträgt
30–300; die Standarddauer ist 45 Sekunden.
Keine Scans durchführen, wenn sich das System im Präsentationsmodus
befindet – Verschiebt den Scan, wenn das System im
Präsentationsmodus ist.
Keine Scans durchführen,
wenn das System mit Akku
betrieben wird
Verschiebt den Scan, wenn das System mit Batteriestrom
betrieben wird.
Siehe auch
Scannen einer Datei oder eines Ordners auf Seite 44
Scan-Speicherorte auf Seite 149
Aktionen auf Seite 153
Ausschluss hinzufügen oder Ausschluss bearbeiten auf Seite 155
Scan-Speicherorte
Legen Sie die zu scannenden Speicherorte fest.
Diese Optionen gelten nur für vollständiger Scan, Schnellscan und benutzerdefinierte Scans.
Produkthandbuch
149
7
Scan-Speicherorte
Tabelle 7-20
Abschnitt
Optionen
Option
Scan-Speicherorte Unterordner scannen
Definition
Prüft alle Unterordner auf den angegebenen Datenträgern,
wenn einer der folgenden Optionen ausgewählt wurde:
• Basisordner
• Temp-Ordner
• Benutzerprofilordner
• Laufwerk oder Ordner
• Programmdateien-Ordner
Um nur die Stammebene der Datenträger zu scannen,
deaktivieren Sie diese Option.
Speicherorte angeben
Legt die zu scannenden Speicherorte fest.
Hinzufügen
Fügt einen Speicherort für den Scan
hinzu.
Klicken Sie auf Hinzufügen, und wählen Sie
den Speicherort aus der Dropdown-Liste.
Doppelklicken auf
ein Element
Löschen
Entfernt einen Scan-Speicherort.
Wählen Sie den Speicherort aus, und
klicken Sie auf Löschen.
Speicher für Rootkits
Scannt den Systemspeicher auf installierte Rootkits, versteckte
Prozesse und anderes Verhalten, das auf Malware hinweisen
kann, die sich zu verstecken versucht. Dieser Scan-Vorgang
wird vor allen weiteren Scan-Vorgängen ausgeführt.
Laufende Prozesse
Der Speicher aller aktuell ausgeführten Prozesse wird
gescannt.
Alle anderen Aktionen, außer Dateien säubern, werden als
Scan-Vorgang fortsetzen behandelt.
Registrierte Dateien
Scannt Dateien, auf die die Windows-Registrierung verweist.
Der Scanner analysiert zunächst die Registrierung auf
Dateinamen, ermittelt, ob die Dateien vorhanden sind, erstellt
eine Liste der zu scannenden Dateien und scannt dann die
entsprechenden Dateien.
150
Arbeitsplatz
Scannt alle Laufwerke, die physisch an den Computer
angeschlossen oder einem Laufwerksbuchstaben auf dem
Computer logisch zugeordnet sind.
Alle lokalen Laufwerke
Scannt alle Laufwerke und deren Unterordner auf Ihrem
Computer.
Alle fest installierten
Laufwerke
Scannt alle physisch mit dem Computer verbundenen
Laufwerke.
Alle Wechseldatenträger
Scannt alle Wechsellaufwerke und andere Speichergeräte, die
mit dem Computer verbunden sind.
Produkthandbuch
7
McAfee GTI
Tabelle 7-20
Abschnitt
Option
Definition
Alle zugeordneten
Laufwerke
Scannt Netzwerklaufwerke, die einem Netzwerklaufwerk auf
dem Computer logisch zugeordnet sind.
Basisordner
Scannt den Basisordner des Benutzers, der den Scanvorgang
startet.
Benutzerprofilordner
Scannt das Profil des Benutzers, der den Scan startet,
einschließlich des Ordners "Eigene Dokumente" des Benutzers.
Windows-Ordner
Scannt den Inhalt des Windows-Ordners.
Ordner 'Programme'
Scannt den Inhalt des Ordners "Programme".
Temp-Ordner
Scannt den Inhalt des Temp-Ordners.
Papierkorb
Scannt den Inhalt des Papierkorbs.
Datei oder Ordner
Scannt eine bestimmte Datei oder einen Ordner.
Siehe auch
McAfee GTI
Aktiviert und konfiguriert McAfee GTI-Einstellungen.
Tabelle 7-21
Abschnitt
Option
Beschreibung
Aktiviert und deaktiviert heuristische Überprüfungen.
McAfee GTI
aktivieren
• Bei Aktivierung werden Fingerabdrücke von Proben, auch Hashes
genannt, anMcAfee Labs gesendet, um eine Prüfung auf Malware
vorzunehmen. Durch Senden der Hashes kann die Erkennung schneller
zur Verfügung gestellt werden als in der nächsten AMCore
Content-Datei-Version, wenn McAfee Labs die Aktualisierung
veröffentlicht.
• Bei Deaktivierung werden keine Fingerabdrücke oder Daten an McAfee
Labs gesendet.
Konfiguriert die Sensibilitätsstufe, mit der die Prüfung einer erkannten
Probe auf Malware durchgeführt werden soll.
Sensibilitätsstufe
Je höher die Sensibilitätsstufe, desto höher die Anzahl der
Malware-Erkennungen. Bei mehr Erkennungen wird jedoch auch die
Anzahl der False-Positives größer.
Sehr
niedrig
Die Erkennungen und Risiken für False-Positives sind dieselben wie für
reguläre AMCore Content-Dateien. Im Falle einer Veröffentlichung durch
McAfee Labs steht Bedrohungsschutz eine Erkennung bereits vor der
nächsten AMCore Content-Datei-Aktualisierung zur Verfügung.
Verwenden Sie diese Einstellung für Desktops und Server mit
beschränkten Benutzerrechte und einem großen
Sicherheits-Speicherbedarf.
Mit dieser Einstellung werden durchschnittlich 10–15 Abfragen pro Tag
und Computer ausgeführt.
Produkthandbuch
151
7
McAfee GTI
Tabelle 7-21
Abschnitt
(Fortsetzung)
Option
Beschreibung
Niedrig
Diese Einstellung sind die empfohlenen Mindesteinstellungen für Laptops
oder Desktop- und Server-Computer mit einem großen
Sicherheits-Speicherbedarf.
Mittel
Nutzen Sie diese Stufe, wenn die Möglichkeit einer Infektion mit Malware
wahrscheinlicher ist als ein False-Positive. Die von McAfee Labs
entwickelte interne heuristische Überprüfung führt zu Erkennungen, die
mit hoher Wahrscheinlichkeit Malware sind. Einige Erkennungen können
jedoch zu False-Positives führen. Bei dieser Einstellung überprüft McAfee
Labs, dass für beliebte Anwendungen und Dateien des Betriebssystems
keine False-Positive-Erkennungen stattfinden.
Diese Einstellung sind die empfohlenen Mindesteinstellungen für Laptops
oder Desktop- und Server-Computer.
Hoch
Verwenden Sie diese Einstellung für die Bereitstellung für Systeme oder
Bereiche, die regelmäßig infiziert werden.
Sehr hoch
McAfee empfiehlt diese Stufe nur für das Scannen von Datenträgern und
Verzeichnissen, die keine ausführbaren Programme oder Betriebssysteme
unterstützen.
Erkennungen auf dieser Stufe werden als bösartiger Code angesehen,
sind aber bisher nicht vollständig auf diese Eigenschaft hin geprüft
worden, um sie als False-Positives auszuschließen.
Verwenden Sie diese Einstellung für On-Demand-Scans, die nicht für
betriebssystembasierte Datenträger ausgeführt werden.
Verwenden Sie diese Einstellung auf keinen betriebssystembasierten
Datenträgern.
Siehe auch
Webkontrolle – Optionen auf Seite 172
152
Produkthandbuch
Aktionen
7
Aktionen
Legen Sie fest, wie der Scanner bei Erkennung einer Bedrohung reagieren soll.
Tabelle 7-22
Optionen
Abschnitt
Option
Definition
Scan-Typ
On-Access-Scan On-Demand-Scan
Erste Reaktion bei
Erkennung einer
Bedrohung
Legt die erste Aktion fest, die der Scanner durchführen soll, wenn
eine Bedrohung erkannt wird.
Zugriff auf
Dateien
verweigern
Verhindert, dass Benutzer auf
Dateien mit potenziellen
Bedrohungen zugreifen
können.
Scan
fortsetzen
Setzt den Datei-Scan fort,
wenn eine Bedrohung erkannt
wurde. Der Scanner
verschiebt keine Elemente in
die Quarantäne.
Dateien
säubern
Entfernt die Bedrohung aus
der erkannten Datei, wenn
möglich.
Dateien
löschen
Löscht Dateien mit
potenziellen Bedrohungen.
Legt die erste Aktion fest, die der Scanner durchführen soll, wenn
eine Bedrohung erkannt wird und die erste Aktion fehlschlägt.
Wenn erste Reaktion
fehlschlägt
Zugriff auf
Dateien
verweigern
können.
Scan
fortsetzen
wurde. Der Scanner
die Quarantäne.
Dateien
löschen
Löscht Dateien mit
potenziellen Bedrohungen.
Legt die erste Aktion fest, die der Scanner durchführen soll, wenn ein
potenziell unerwünschtes Programm erkannt wird.
Erste Reaktion bei
unerwünschten
Programmen
Diese Option ist nur verfügbar, wenn Unerwünschte Programme erkennen
ausgewählt wurde.
Zugriff auf
Dateien
verweigern
können.
Zugriff auf
Dateien
zulassen
Lässt Benutzer auf Dateien
mit potenziellen Bedrohungen
zugreifen.
Scan
fortsetzen
wurde. Der Scanner
die Quarantäne.
Produkthandbuch
153
7
Aktionen
Tabelle 7-22
Abschnitt
Option
Definition
Scan-Typ
On-Access-Scan On-Demand-Scan
Dateien
säubern
Entfernt die Bedrohung aus
dem potenziell unerwünschten
Programm, wenn möglich.
Dateien
löschen
Löscht potenziell
unerwünschte
Programmdateien.
Legt die Aktion fest, die der Scanner durchführen soll, wenn ein
unerwünschtes Programm erkannt wurde und die erste Reaktion
fehlschlägt.
Wenn erste Reaktion
fehlschlägt
Diese Option ist nur verfügbar, wenn Unerwünschte Programme erkennen
ausgewählt wurde.
Zugriff auf
Dateien
verweigern
können.
Zugriff auf
Dateien
zulassen
Lässt Benutzer auf Dateien
mit potenziellen Bedrohungen
zugreifen.
Scan
fortsetzen
wurde. Der Scanner
die Quarantäne.
Dateien
löschen
Löscht automatisch potenziell
unerwünschte
Programmdateien.
Siehe auch
154
Produkthandbuch
7
Fügen Sie eine Ausschlussdefinition hinzu, oder bearbeiten Sie diese.
Tabelle 7-23
Optionen
Abschnitt
Option
Definition
Scan-Typ
Bei
Zugriff
Auszuschließende
Elemente
On-Demand
Legt den Ausschlusstyp und die Ausschlussdetails fest.
Dateiname oder
Pfad
Legt den auszuschließenden Dateinamen
oder Pfad fest.
Um einen Ordner auf
Windows-Systemen auszuschließen,
fügen Sie dem Pfad einen
umgekehrten Schrägstrich (\) hinzu.
Um einen Ordner auf Mac-Systemen
auszuschließen, fügen Sie dem Pfad
einen Schrägstrich (/) hinzu.
Wählen Sie, falls erforderlich, Unterordner
ebenfalls ausschließen aus.
Dateityp
Legt die auszuschließenden Dateitypen
(Dateierweiterungen) fest.
Dateialter
Legt den Zugriffstyp (GeändertZugriff am
(nur On-Demand-Scan) oder Erstellt) der
auszuschließenden Dateien und das
Mindestalter in Tagen fest.
Legt fest, wann das ausgewählte Element ausgeschlossen werden
soll.
Zeitpunkt des
Ausschlusses
Beim Schreiben
auf oder Lesen
von einem
Datenträger
Schließt Dateien vom Scannen aus, wenn
sie auf einen Datenträger geschrieben
oder von einem Datenträger (oder einem
anderen Datenspeichergerät) gelesen
werden.
Beim Lesen von Schließt Dateien vom Scannen aus, wenn
einem
sie vom Computer (oder einem anderen
Datenträger
Datenspeichergerät) gelesen werden.
Beim Schreiben
auf einen
Datenträger
Schließt alle Dateien vom Scan aus,
wenn sie auf den Datenträger (oder ein
anderes Datenspeichergerät) geschrieben
oder darauf geändert werden.
Siehe auch
Platzhalter in Ausschlüssen auf Seite 51
Konfigurieren von Ausschlüssen auf Seite 50
Produkthandbuch
155
7
Konfigurieren Sie die Einstellungen für die Bedrohungsschutz-Funktion, einschließlich Quarantäne,
potenziell unerwünschte Programme und Ausschlüsse.
Dieser Abschnitt enthält nur erweiterte Optionen.
Tabelle 7-24
Erweiterte Optionen
Abschnitt
Option
Definition
Quarantäne-Manager
Quarantäne-Ordner
Geben Sie einen Speicherort für den Quarantäne-Ordner an,
oder akzeptieren Sie den Standardspeicherort:
c:\Quarantine
Der Quarantäne-Ordner ist auf 190 Zeichen begrenzt.
Ausschluss nach
Erkennungsname
Maximale
Speicherdauer der
Quarantänedaten in
Tagen festlegen
Legt die Dauer in Tagen (1–999) fest, für die isolierte
Elemente vor ihrer automatischen Löschung gespeichert
werden. Die Standardeinstellung ist 30 Tage.
Diese
Erkennungsnamen
ausschließen
Gibt Erkennungsausschlüsse nach Erkennungsnamen an.
Um beispielsweise festzulegen, dass der On-Access-Scanner
und der On-Demand-Scanner keine Bedrohungen bei
Installationsüberprüfungen erkennen, geben Sie
Installationsüberprüfung ein.
Hinzufügen: Fügt der Ausschlussliste einen Erkennungsnamen
hinzu. Klicken Sie auf Hinzufügen, und geben Sie dann den
Erkennungsnamen ein.
Doppelklicken auf ein Element: Ändert das ausgewählte
Element.
Löschen: Entfernt einen Erkennungsnamen von der
Ausschlussliste. Wählen Sie den Namen aus, und klicken Sie
dann auf Löschen.
156
Produkthandbuch
7
Tabelle 7-24
Erweiterte Optionen (Fortsetzung)
Abschnitt
Option
Definition
Erkennung von
potenziell
unerwünschten
Programmen
Schließen Sie
benutzerdefinierte
unerwünschte
Programme aus
Legt bestimmte Dateien oder Programme fest, die als
potenziell unerwünschte Programme behandelt werden sollen.
Die Scanner erkennen die Programme, die Sie festlegen
sowie Programme, die in den AMCore Content-Dateien
festgelegt sind.
Der Scanner berücksichtigt keine benutzerdefinierten
unerwünschten Programme mit einer Dateigröße von 0 Byte.
• Hinzufügen: Definiert ein benutzerdefiniertes unerwünschtes
Programm.
Klicken Sie auf Hinzufügen, geben Sie den Namen ein, und
drücken Sie dann die Tab-Taste, um die Beschreibung
einzugeben.
• Name – Gibt den Dateinamen des potenziell unerwünschten
Programms an.
• Beschreibung – Gibt die Informationen an, die im Fall einer
Erkennung als Erkennungsname angezeigt werden.
• Doppelklicken auf ein Element: Ändert das ausgewählte
Element.
• Löschen: Entfernt ein potenziell unerwünschtes Programm
von der Liste.
Wählen Sie das Programm aus der Tabelle, und klicken Sie
auf Entfernen.
Sendet anonyme Diagnose- und Nutzungsdaten an McAfee.
Proaktive Datenanalyse
McAfee GTI-Feedback
Aktiviert McAfee GTI-basiertes Telemetrie-Feedback, um
anonymisierte Daten zu Dateien und Prozessen auf dem
Client-System zu erfassen.
Produkthandbuch
157
7
Tabelle 7-24
Abschnitt
Erweiterte Optionen (Fortsetzung)
Option
Definition
Intervallprüfung
Führt eine Statusüberprüfung des Client-Systems vor und
nach AMCore Content-Datei-Aktualisierungen sowie in
regelmäßigen Intervallen durch und sendet die Ergebnisse an
McAfee.
Die Ergebnisse sind verschlüsselt und werden über SSL an
McAfee gesendet. McAfee aggregiert und analysiert die Daten
dann aus diesen Berichten, um Anomalien zu identifizieren,
die auf potenzielle inhaltsbezogene Probleme hinweisen
können. Die schnelle Identifizierung solcher Probleme ist
wichtig für eine zeitnahe Eindämmung und Behebung.
Mit der Intervallprüfung werden Daten zu den folgenden
Aspekten erfasst:
• Betriebssystem-Version und -Gebietsschema
• McAfee-Produktversion
• AMCore Content- und Scan-Modul-Version
• Informationen zum in McAfee und Microsoft ausgeführten
Prozess
AMCore
Content-Reputation
Führt vor der Aktualisierung des Client-Systems eine McAfee
GTI-Reputations-Suche für die AMCore Content-Datei durch.
• Wenn McAfee GTI die Datei zulässt, aktualisiert Endpoint
Security AMCore Content.
• Wenn McAfee GTI die Datei nicht zulässt, aktualisiert
Endpoint Security AMCore Content nicht.
Siehe auch
Ändert den AMCore Content auf eine frühere Version.
Option
Beschreibung
Zu ladende Version
auswählen
Legt die Versionsnummern einer früheren AMCore Content-Datei fest, die geladen
werden soll.
Endpoint Security speichert die letzten zwei Versionen auf dem Client-System.
Wenn Sie auf eine frühere Version ändern, entfernt Endpoint Security die aktuelle
Version von AMCore Content vom System.
Siehe auch
Ändern der AMCore Content-Version auf Seite 27
158
Produkthandbuch
7
Aktivieren und deaktivieren Sie das Firewall-Modul, und legen Sie Schutzoptionen fest.
Der Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein, oder Sie
müssen als Administrator angemeldet sein.
werden. Ist McAfee Host IPS installiert und aktiviert, wird die Endpoint Security-Firewall deaktiviert,
selbst wenn sie in den Richtlinieneinstellungen aktiviert ist.
Tabelle 7-25
Abschnitt
Schutzoptionen
Optionen
Option
Definition
Firewall aktivieren
Aktiviert und deaktiviert das Firewall-Modul.
Datenverkehr für nicht unterstützte
Protokolle zulassen
Lässt allen Datenverkehr zu, bei dem nicht
unterstützte Protokolle verwendet werden. Bei
Deaktivierung wird der Datenverkehr für nicht
unterstützte Protokolle vollständig blockiert.
Nur ausgehenden Datenverkehr bis zum Lässt ausgehenden Datenverkehr zu, jedoch keinen
Start der Firewall-Dienste zulassen
eingehenden, bis der Firewall-Dienst gestartet wird.
Wenn diese Option deaktiviert ist, lässt die Firewall
sämtlichen Datenverkehr vor dem Start der Dienste
zu.
Datenverkehr über Bridge zulassen
Lässt Verkehr über eine lokale MAC-Adresse im
Bereich der unterstützten VM-Software zu, bei der es
sich nicht um die MAC-Adresse des lokalen Systems
handelt. Lässt Folgendes zu:
• Eingehende Pakete mit MAC-Zieladresse.
• Ausgehende Pakete mit MAC-Quelladresse.
IP-Spoofing-Schutz aktivieren
Blockiert Netzwerkverkehr von nicht lokalen
Host-IP-Adressen oder lokalen Prozessen, die
versuchen, ihre IP zu fälschen.
Dynamische Blockierungsregeln
aktivieren
Lässt zu, dass andere Endpoint Security-Module
Blockierungsregeln erstellen und dynamisch der
Gruppe Dynamische Regeln auf dem Endpoint
Security-Client hinzufügen können.
Produkthandbuch
159
7
Tabelle 7-25
Abschnitt
Option
Definition
Firewall-Eindringungswarnungen
aktivieren
Zeigt automatisch Warnungen an, wenn die Firewall
einen potenziellen Angriff erkennt.
DNS-Blockierung Domänenname
Definiert zu blockierende Domänennamen.
Diese Einstellung fügt eine Regel am Anfang der
Firewall-Regelliste hinzu, die Verbindungen zu den
IP-Adressen, die in die Domänennamen aufgelöst
werden, blockiert.
• Hinzufügen: Fügt der Sperrliste einen Domänennamen
hinzu. Trennen Sie mehrere Domänen durch ein
Komma (,) oder den Wagenrücklauf.
Sie können * und ? als Platzhalterzeichen
verwenden. Beispiel: *domain.com.
Alle doppelten Einträge werden automatisch
entfernt.
• Doppelklicken auf ein Element: Ändert das
• Löschen: Entfernt den ausgewählten Domänennamen
aus der Sperrliste.
Abschnitt
Option
Definition
Optimierungsoptionen
Adaptiven Modus aktivieren
Erstellt automatisch Regeln zum Zulassen von
Datenverkehr.
Aktivieren Sie den adaptiven Modus temporär auf
einigen Systemen nur während der
Firewall-Optimierung. Da durch das Aktivieren dieses
Modus viele Client-Regeln entstehen können, die der
McAfee ePO-Server verarbeiten muss, kann die
Leistung beeinträchtigt werden.
McAfee Core-Netzwerkregeln
deaktivieren
Deaktiviert die integrierten McAfee-Netzwerkregeln (in
der Gruppe McAfee Core-Netzwerkregeln).
Aktivieren dieser Option kann zu Störungen bei der
Netzwerkkommunikation auf dem Client führen.
Gesamten blockierten
Datenverkehr protokollieren
Protokolliert den gesamten blockierten Datenverkehr
im Firewall-Ereignisprotokoll (FirewallEventMonitor.log)
auf dem Endpoint Security-Client.
Gesamten zugelassenen
Protokolliert den gesamten zugelassenen Datenverkehr
im Firewall-Ereignisprotokoll (FirewallEventMonitor.log)
auf dem Endpoint Security-Client.
Die Aktivierung dieser Option kann sich negativ auf
die Leistung auswirken.
160
Produkthandbuch
7
Abschnitt
Option
Definition
Netzwerkreputation für
McAfee GTI
McAfee GTI-Übereinstimmung Behandelt Datenverkehr, der der McAfee
als Eindringungsversuch
GTI-Schwellenwerteinstellung zum Blockieren
behandeln
entspricht, als Eindringungsversuch. Bei aktivierter
Option wird eine Warnung angezeigt und das Ereignis
an den Management-Server gesendet sowie der
Endpoint Security-Client-Protokolldatei hinzugefügt.
Sämtliche IP-Adressen für vertrauenswürdige
Netzwerke sind von McAfee GTI-Suchen
ausgeschlossen.
Übereinstimmenden
Behandelt Datenverkehr, der der McAfee
GTI-Schwellenwerteinstellung zum Blockieren
entspricht, als Erkennung. Bei aktivierter Option wird
das Ereignis an den Management-Server gesendet
sowie der Endpoint Security-Client-Protokolldatei
hinzugefügt.
Sämtliche IP-Adressen für vertrauenswürdige
Netzwerke sind von McAfee GTI-Suchen
ausgeschlossen.
Reputationsschwellenwert des Legt den Bewertungsschwellenwert von McAfee GTI
eingehenden/ausgehenden
fest, ab dem ein- oder ausgehender Datenverkehr über
Netzwerks
eine Netzwerkverbindung blockiert werden soll.
• Nicht blockieren: Bei dieser Site handelt es sich um eine
zulässige Quelle oder ein zulässiges Ziel für Inhalt/
Datenverkehr.
• Hohes Risiko: Diese Quelle bzw. dieses Ziel sendet oder
hostet potenziell bösartigen Inhalt/Datenverkehr, den
McAfee als riskant einstuft.
• Mittleres Risiko: Diese Quelle bzw. dieses Ziel weist
Verhalten auf, das McAfee als verdächtig einstuft.
Sämtlicher Inhalt oder Datenverkehr von dieser Site
ist genau zu prüfen.
• Nicht verifiziert: Bei dieser Site handelt es sich offenbar
um eine zulässige Quelle oder ein zulässiges Ziel für
Inhalt/Datenverkehr, allerdings weisen mehrere
Eigenschaften darauf hin, dass eine weitere
Untersuchung erforderlich ist.
Statusbehaftete Firewall FTP-Protokollprüfung
verwenden
Ermöglicht die Nachverfolgung von FTP-Verbindungen,
sodass nur eine Firewall-Regel für ausgehenden
FTP-Client-Verkehr und eingehenden
FTP-Server-Verkehr erforderlich ist.
Wird die Option nicht ausgewählt, erfordern
FTP-Verbindungen eine separate Regel für eingehenden
FTP-Client-Datenverkehr und ausgehenden
FTP-Server-Datenverkehr.
Produkthandbuch
161
7
Firewall – Regeln
Abschnitt
Option
Definition
Zeitlimit für TCP-Verbindung
(in Sekunden, 1-240)
Legt die Zeit in Sekunden fest, während der eine nicht
hergestellte TCP-Verbindung aktiv bleibt, wenn keine
weiteren mit der Verbindung übereinstimmenden
Pakete gesendet oder empfangen werden. Der gültige
Bereich liegt zwischen 1 und 240.
UDP- und ICMP-Echo-Zeitlimit Legt die Zeit in Sekunden fest, während der eine
für virtuelle Verbindungen (in virtuelle UDP- oder ICMP-Echo-Verbindung aktiv bleibt,
Sekunden, 1-300)
wenn keine weiteren mit der Verbindung
übereinstimmenden Pakete gesendet oder empfangen
werden. Die Option setzt die Zeit jedes Mal auf den
konfigurierten Wert zurück, wenn ein Paket, das mit
der virtuellen Verbindung übereinstimmt, gesendet
oder empfangen wird. Der gültige Bereich liegt
zwischen 1 und 300.
Siehe auch
Firewall – Regeln
Verwalten Sie Firewall-Regeln und -Gruppen.
Sie können nur Regeln und Gruppen in der Gruppe Benutzer hinzugefügt hinzufügen und löschen.
Firewall verschiebt automatisch neu hinzugefügte Regeln in diese Gruppe.
Tabelle 7-27 Optionen
Abschnitt Option
Definition
REGELN
Erstellt eine Firewall-Regel.
Regel hinzufügen
Regel Gruppe
Weitere Informationen finden Sie unter Regel
hinzufügen oder Regel bearbeiten, Gruppe
hinzufügen oder Gruppe bearbeiten auf Seite
163.
Gruppe hinzufügen
Erstellt eine Firewall-Gruppe.
Doppelklicken auf ein Ändert das ausgewählte Element.
Element
Duplizieren
Erstellt eine Kopie des ausgewählten Elements.
Löschen
Entfernt ein ausgewähltes Firewall-Element.
Gibt Elemente an, die in der Liste verschoben
werden können.
Wählen Sie Elemente aus, und verschieben Sie
sie per Drag-and-Drop an ihren neuen Standort.
Eine blaue Linie erscheint zwischen Elementen,
wo Sie die gezogenen Elemente ablegen können.
Siehe auch
Regel hinzufügen oder Regel bearbeiten, Gruppe hinzufügen oder Gruppe bearbeiten auf Seite
163
162
Produkthandbuch
Firewall – Regeln
7
Regel hinzufügen oder Regel bearbeiten, Gruppe hinzufügen
oder Gruppe bearbeiten
Fügen Sie Firewall-Regeln und -Gruppen hinzu, oder bearbeiten Sie sie.
Tabelle 7-28
Optionen
Abschnitt
Option
Definition
Regel Gruppe
Beschreibung
Name
Legt den beschreibenden Namen des Elements
fest (erforderlich).
Status
Aktiviert oder deaktiviert das Element.
Aktionen festlegen
Zulassen – zeigt Datenverkehr über die Firewall
an, wenn das Element übereinstimmt.
Blockieren – stoppt Datenverkehr über die
Firewall, wenn das Element übereinstimmt.
Übereinstimmung als Eindringungsversuch behandeln –
behandelt Datenverkehr, der der Regel
entspricht, als Eindringungsversuch. Bei
aktivierter Option wird eine Warnung angezeigt
und das Ereignis an den Management-Server
gesendet sowie der Endpoint
Security-Client-Protokolldatei hinzugefügt.
Das Aktivieren dieser Option für eine
Zulassungsregel wird nicht empfohlen, weil
dadurch zu viele Ereignisse generiert
werden.
Übereinstimmenden Datenverkehr protokollieren –
behandelt Datenverkehr, der der Regel
entspricht, als Erkennung. Bei aktivierter Option
wird das Ereignis an den Management-Server
gesendet sowie der Endpoint
Security-Client-Protokolldatei hinzugefügt.
Richtung
Legt die Richtung fest:
• Beide – Überwacht ein- und ausgehenden
Datenverkehr.
• Ein – Überwacht eingehenden Datenverkehr.
• Aus – Überwacht ausgehenden Datenverkehr.
Speicherort
Hinweise
Bietet weitere Informationen über das Element.
Standortbewusstsein
aktivieren
Aktiviert oder deaktiviert die
Speicherortinformationen für die Gruppe.
Name
Legt den Namen des Speicherorts fest
(erforderlich).
Produkthandbuch
163
7
Firewall – Regeln
Tabelle 7-28
Abschnitt
Option
Definition
Regel Gruppe
Verbindungsisolierung
aktivieren
Blockiert Datenverkehr auf nicht mit der Gruppe
übereinstimmenden Netzwerkadaptern, falls ein
mit der Gruppe übereinstimmender Adapter zur
Verfügung steht.
Einstellungen für Transport und Ausführbare
Dateien sind für
Verbindungsisolierungsgruppen nicht
verfügbar.
Eine mögliche Anwendung dieser Option ist das
Blockieren von Netzwerkverkehr potenziell
unerwünschten Ursprungs von außerhalb des
Unternehmensnetzwerks in das Unternehmen
hinein. Ein solches Blockieren ist nur dann
möglich, wenn der Netzwerkverkehr nicht
bereits durch eine vor der Gruppe gelegene
Regel der Firewall zugelassen wurde.
Wenn die Verbindungsisolierung aktiviert ist und
ein Netzwerkadapter (NIC) mit der Gruppe
übereinstimmt, wird nur in folgenden Fällen
Datenverkehr zugelassen:
• Der Datenverkehr stimmt mit einer
Zulassungsregel überein, die vor der Gruppe
liegt.
• Der durch einen Netzwerkadapter verlaufende
Datenverkehr stimmt mit der Gruppe überein,
und es ist eine Regel in oder unterhalb der
Gruppe vorhanden, die den Datenverkehr
zulässt.
Falls kein Netzwerkadapter mit der Gruppe
übereinstimmt, wird diese ignoriert, und die
Regelübereinstimmung wird fortgesetzt.
Erforderlich machen, dass
McAfee ePO erreichbar ist
164
Lässt die Gruppenübereinstimmung nur bei
Kommunikation mit dem McAfee ePO-Server
und nach Auflösung des Server-FQDN zu.
Produkthandbuch
Firewall – Regeln
Tabelle 7-28
Abschnitt
7
Option
Definition
Standortkriterien
• Verbindungsspezifisches DNS-Suffix – legt ein
verbindungsspezifisches DNS-Suffix im
Format beispiel.com fest.
Regel Gruppe
• Standard-Gateway – gibt eine einzelne IP-Adresse
für ein Standard-Gateway im IPv4- oder
IPv6-Format an.
• DHCP-Server – gibt eine einzelne IP-Adresse für
einen DHCP-Server im IPv4- oder
IPv6-Format an.
• DNS-Server – gibt eine einzelne IP-Adresse für
einen DNS im IPv4- oder IPv6-Format an.
• Primärer WINS-Server – gibt eine einzelne
IP-Adresse für einen primären WINS-Server
im IPv4- oder IPv6-Format an.
• Sekundärer WINS-Server – gibt eine einzelne
IP-Adresse für einen sekundären WINS-Server
im IPv4- oder IPv6-Format an.
• Domänenerreichbarkeit (HTTPS) – erfordert, dass die
angegebene Domäne über HTTPS erreichbar
ist.
• Registrierungsschlüssel – legt den
Registrierungsschlüssel und Schlüsselwert
fest.
2 Geben Sie in der Spalte Wert einen
Registrierungsschlüssel im folgenden
Format ein:
<ROOT>\<KEY>\[VALUE_NAME] ein.
• Unter <ROOT> muss der ganze
Stammname angegeben werden, wie
beispielsweise HKEY_LOCAL_MACHINE,
und nicht der gekürzte HKLM.
• <KEY> ist der Schlüsselname im Stamm.
• [VALUE_NAME] ist der Name des
Schlüsselwerts. Wird kein Wertname
angegeben, wird der Standardwert
verwendet.
Beispielformate:
• IPv4 – 123.123.123.123
• IPv6 – 2001:db8:c0fa:f340:9219:
bd20:9832:0ac7
IPv6-Adressen werden auf
Mac-Betriebssystemen nicht unterstützt.
Netzwerke
Legt die geltenden Netzwerk-Host-Optionen für
das Element fest.
Produkthandbuch
165
7
Firewall – Regeln
Tabelle 7-28
Abschnitt
Option
Definition
Regel Gruppe
Netzwerkprotokoll
Legt das geltende Netzwerkprotokoll für das
Element fest.
Beliebiges Protokoll
Lässt sowohl IP- als auch Nicht-IP-Protokolle zu.
Ist ein Transportprotokoll oder eine
Anwendung angegeben, sind nur
IP-Protokolle zulässig.
IP-Protokoll
Schließt Nicht-IP-Protokolle aus.
• IPv4-Protokoll
• IPv6-Protokoll
Wird keines der Kontrollkästchen aktiviert, gilt
ein beliebiges IP-Protokoll. Sie können auch
IPv4 und IPv6 gemeinsam auswählen.
Nicht-IP-Protokoll
Schließt nur Nicht-IP-Protokolle ein.
• EtherType aus Liste auswählen – legt einen
EtherType fest.
• Benutzerdefinierten EtherType angeben – gibt den
vierstelligen EtherType des Nicht-IP-Protokolls
im Hexadezimalformat ein. EtherType-Werte
finden Sie unter Ethernet-Nummern. Beispiel:
Für AppleTalk lautet der Wert 809B, für
NetBEUI 8191 und für IPX 8037.
Verbindungstypen
Gibt an, ob ein bestimmter oder alle
Verbindungstypen gelten:
• Kabelgebunden
• Drahtlos
• Virtuell
Ein virtueller Verbindungstyp ist ein durch
ein VPN oder eine Anwendung für virtuelle
Maschinen wie VMware repräsentierter
Adapter, kein physischer Adapter.
Netzwerke festlegen
Legt die geltenden Netzwerke für das Element
fest.
• Hinzufügen – Erstellt ein Netzwerk und fügt es
hinzu.
Weitere Informationen finden Sie unter
Netzwerk hinzufügen oder Netzwerk
• Löschen – Löscht das Netzwerk aus der Liste.
Transportieren
166
Legt die geltenden Transportoptionen für das
Element fest.
Produkthandbuch
Firewall – Regeln
Tabelle 7-28
Abschnitt
7
Option
Definition
Transportprotokoll
Legt das dem Element zugeordnete
Transportprotokoll fest.
Regel Gruppe
Wählen Sie das Protokoll aus, und klicken Sie
dann auf Hinzufügen, um Ports hinzuzufügen.
• Alle Protokolle – lässt IP-, Nicht-IP- und nicht
unterstützte Protokolle zu.
• TCP und UDPWählen Sie aus dem
Dropdown-Menü aus:
• Lokaler Port – Legt den lokalen
Datenverkehrsdienst oder Port fest, auf den
die Regel angewendet wird.
• Remote-Port – Legt den auf einem anderen
Computer befindlichen Datenverkehrsdienst
oder Port fest, auf den die Regel
angewendet wird.
Lokaler Port und Remote-Port können Folgendes
sein:
• Ein einzelner Dienst, beispielsweise 23.
• Ein Bereich, beispielsweise 1-1024.
• Eine durch Komma getrennte Liste einzelner
Ports und Bereiche, Beispiel: 80, 8080, 1–
10, 8443 (bis zu 4 Elemente).
Standardmäßig gilt die Regel für alle Dienste
und Ports.
• ICMP – legen Sie im Dropdown-Menü
Meldungstyp einen ICMP-Meldungstyp fest:
Siehe ICMP.
• ICMPv6 – legen Sie im Dropdown-Menü
Meldungstyp einen ICMP-Meldungstyp fest:
Siehe ICMPv6.
• Sonstige – wählt aus einer Liste von weniger
häufigen Protokollen aus.
Ausführbare
Dateien
Legt die ausführbaren Dateien für die Regel
fest.
• Hinzufügen – erstellt eine ausführbare Datei und
fügt sie hinzu.
Weitere Informationen finden Sie unter
Ausführbare Datei hinzufügen oder
Ausführbare Datei bearbeiten auf Seite 170.
• Löschen – entfernt eine ausführbare Datei aus
der Liste.
Zeitplan
Legt Einstellungen des Zeitplans für die Regel
oder Gruppe fest.
Produkthandbuch
167
7
Firewall – Regeln
Tabelle 7-28
Abschnitt
Option
Definition
Regel Gruppe
Zeitplan aktivieren
Aktiviert den Zeitplan für die zeitbeschränkte
Regel oder Gruppe.
Wenn der Zeitplan deaktiviert ist, gelten die
Regel bzw. Regeln in der Gruppe nicht.
• Startzeit – legt die Startzeit für die Aktivierung
des Zeitplans fest.
• Endzeit – legt die Zeit für die Deaktivierung des
Zeitplans fest.
• Wochentage – gibt die Anzahl der
Wochentage an, an denen der Zeitplan
aktiviert werden soll.
Verwenden Sie das 24-Stunden-Format für
Start- und Endzeiten. Beispiel: 13:00 = 1:00
p.m.
Sie können zeitbeschränkte
Firewall-Gruppen planen oder dem Benutzer
gestatten, sie über das
McAfee-Taskleistensymbol zu aktivieren.
168
Produkthandbuch
Firewall – Regeln
Tabelle 7-28
Abschnitt
7
Option
Definition
Regel Gruppe
Zeitplan deaktivieren und
die Gruppe über das
McAfee-Taskleistensymbol
aktivieren
Legt fest, dass der Benutzer die zeitbeschränkte
Gruppe für eine festgelegte Anzahl von Minuten
über das McAfee-Taskleistensymbol statt über
den Zeitplan aktivieren kann.
Verwenden Sie diese Option beispielsweise in
einem Hotel für einen breiten Netzwerkzugriff,
bevor eine VPN-Verbindung erstellt werden
kann.
Durch Auswahl der Option werden weitere
Menüoptionen unter Schnellkonfiguration im
McAfee-Taskleistensymbol angezeigt:
• Zeitbeschränkte Firewall-Gruppen aktivieren – aktiviert
zeitbeschränkte Gruppen für einen
festgelegten Zeitraum, um den
Nicht-Netzwerkzugriff auf das Internet
zuzulassen, bevor Regeln angewendet
werden, die den Zugriff beschränken.
Bei jeder Auswahl dieser Option wird die
Zeit für die Gruppen zurückgesetzt.
• Zeitbeschränkte Firewall-Gruppen anzeigen – zeigt die
Namen der zeitbeschränkten Gruppen und die
verbleibende Zeit, für die die einzelnen
Gruppen aktiv sind, an.
Sie können zeitbeschränkte
Firewall-Gruppen planen oder dem Benutzer
gestatten, sie über das
McAfee-Taskleistensymbol zu aktivieren.
Anzahl an Minuten (1-60),
um die Gruppe zu
aktivieren
Legt nach Auswahl der Option Zeitbeschränkte
Firewall-Gruppen aktivieren im
McAfee-Taskleistensymbol die Minutenanzahl
(1–60) fest, während der die zeitbeschränkte
Gruppe aktiviert werden soll.
Siehe auch
Erstellen zeitbeschränkter Gruppen auf Seite 90
Aktivieren oder Anzeigen von zeitbeschränkten Firewall-Gruppen auf Seite 77
Netzwerk hinzufügen oder Netzwerk bearbeiten auf Seite 171
Ausführbare Datei hinzufügen oder Ausführbare Datei bearbeiten auf Seite 170
Produkthandbuch
169
7
Firewall – Regeln
Ausführbare Datei hinzufügen oder Ausführbare Datei bearbeiten
Fügen Sie eine mit einer Regel oder Gruppe verknüpfte ausführbare Datei hinzu, oder bearbeiten Sie
diese.
Tabelle 7-29
Optionen
Option
Definition
Name
Legt den Namen für die ausführbare Datei fest.
Dieses und mindestens eines der folgenden Felder müssen ausgefüllt werden:
Dateiname oder Pfad, Dateibeschreibung, MD5-Hash oder Signaturgeber.
Dateiname oder Pfad Gibt den Pfad zur ausführbaren Datei an, die hinzugefügt oder bearbeitet werden
soll.
Klicken Sie auf Durchsuchen, um die ausführbare Datei auszuwählen.
Dateibeschreibung
Zeigt die Beschreibung der Datei an.
MD5-Hash
Zeigt den MD5-Hash (32-stellige Hexadezimalzahl) des Prozesses an.
Signaturgeber
Überprüfung digitaler Signaturen aktivieren: Gewährleistet, dass seit der Unterzeichnung mit
einem Kryptographie-Hash der Code weder geändert noch beschädigt wurde.
Legen Sie bei Aktivierung Folgendes fest:
• Beliebige Signatur zulassen – Dateien dürfen von einem beliebigen Signaturgeber
• Signiert von – Dateien dürfen nur von dem angegebenen Signaturgeber
Für die ausführbare Datei ist der definierte Name eines Signaturgebers (SDN)
erforderlich. Der Name muss den Einträgen im entsprechenden Feld,
einschließlich Kommas und Leerzeichen, genau entsprechen.
So rufen Sie den SDN einer ausführbaren Datei ab:
1 Klicken Sie mit der rechten Maustaste auf die ausführbare Datei, und wählen Sie
Eigenschaften aus.
2 Wählen Sie auf der Registerkarte Digitale Signaturen einen Signaturgeber aus, und
klicken Sie auf Details.
3 Klicken Sie auf der Registerkarte Allgemein auf Zertifikat anzeigen.
4 Wählen Sie auf der Registerkarte Details das Feld Betreff aus. Der definierte Name
des Signaturgebers wird angezeigt. Beispielsweise hat Firefox folgenden
definierten Namen als Signaturgeber:
Hinweise
170
• CN = Mozilla Corporation
• L = Mountain View
• OU = Release Engineering
• S = California
• O = Mozilla Corporation
• C = US
Produkthandbuch
7
Firewall – Regeln
Netzwerk hinzufügen oder Netzwerk bearbeiten
Hier kann ein mit einer Regel oder Gruppe verknüpftes Netzwerk hinzugefügt oder bearbeitet werden.
Tabelle 7-30
Option
Beschreibung
Regel Gruppe
Name
Legt den Namen der Netzwerkadresse fest (erforderlich).
Typ
Wählen Sie entweder:
• Lokales Netzwerk – Erstellt ein lokales Netzwerk und fügt es
hinzu.
• Remote-Netzwerk – Erstellt ein Remote-Netzwerk und fügt es
hinzu.
Fügt einen Netzwerktyp zur Netzwerkliste hinzu.
Hinzufügen
Doppelklicken auf ein Ändert das ausgewählte Element.
Element
Löschen
Löscht das ausgewählte Element.
Adresstyp
Legt den Ursprung oder das Ziel des Datenverkehrs fest.
Wählen Sie einen Typ aus der Dropdown-Liste Adresstyp.
Die Liste der Adresstypen finden Sie unter Adresstyp auf
Seite 171.
Legt die IP-Adresse fest, die zum Netzwerk hinzugefügt
werden soll.
Adresse
Platzhalter sind zulässig.
Siehe auch
Adresstyp auf Seite 171
Adresstyp
Geben Sie den Adresstyp für ein definiertes Netzwerk an.
IPv6-Adressen werden auf Mac-Betriebssystemen nicht unterstützt.
Tabelle 7-31
Optionen
Option
Definition
Einzelne IP-Adresse
Legt eine konkrete IP-Adresse fest. Beispiel:
• IPv4 – 123.123.123.123
• IPv6 – 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*
Subnetz
Legt die Subnetzadresse eines beliebigen Adapters im Netzwerk fest. Beispiel:
• IPv4 – 123.123.123.0/24
• IPv6 – 2001:db8::0/32
Lokales Subnetz
Legt die Subnetzadresse des lokalen Adapters fest.
Produkthandbuch
171
7
Tabelle 7-31
Option
Definition
Bereich
Legt einen Bereich von IP-Adressen fest. Geben Sie die Anfangs- und
Endadresse des Bereichs an. Beispiel:
• IPv4 – 123.123.1.0 – 123.123.255.255
• IPv6 – 2001:db8::0000:0000:0000:0000 –
2001:db8::ffff:ffff:ffff:ffff
Vollqualifizierter
Domänenname
Legt den FQDN fest. Beispiel: www.example.com.
Beliebige lokale
IP-Adresse
Legt eine beliebige lokale IP-Adresse fest.
Beliebige IPv4-Adresse
Legt eine beliebige IPv4-Adresse fest.
Beliebige IPv6-Adresse
Legt eine beliebige IPv6-Adresse fest.
Konfigurieren Sie allgemeine Webkontrolle-Einstellungen, wozu die Aktivierung, die Erzwingung von
Aktionen, die sichere Suche und E-Mail-Anmerkungen gehören.
Tabelle 7-32
Optionen
Abschnitt
Option
Definition
OPTIONEN
Webkontrolle aktivieren
Deaktiviert oder aktiviert die Webkontrolle.
Symbolleiste im Client-Browser
ausblenden
Blendet die Symbolleiste von Webkontrolle im
Browser aus, ohne dass ihre Funktionalität
deaktiviert wird. (Standardmäßig deaktiviert)
Webkategorien für Sites mit der
Bewertung "Grün" protokollieren
Protokolliert Inhaltskategorien für alle Sites mit der
Bewertung "Grün".
Ereignisprotokollierung
Das Aktivieren dieser Funktion kann sich
negativ auf die Leistung des McAfee
ePO-Servers auswirken.
Webkontrolle-iframe-Ereignisse
protokollieren
Erzwingung von
Aktionen
Protokolliert die Blockierung bösartiger Sites (rot)
und von Sites mit Warnungen (gelb), die in einem
HTML-iframe angezeigt werden.
Diese Aktion für alle noch nicht von Legt die Standardaktion für Sites fest, die noch
McAfee GTI verifizierten Sites
nicht von McAfee GTI bewertet wurden.
anwenden
• Zulassen (Standard): Lässt den Zugriff auf die Site
zu.
• Warnen: Zeigt eine Warnung an, um Benutzer über
mögliche Gefahren in Verbindung mit der Site zu
informieren. Die Benutzer müssen die
Warnmeldung vor dem Fortfahren schließen.
• Blockieren: Verhindert, dass Benutzer auf die Site
zugreifen, und zeigt eine Meldung an, dass der
Site-Download blockiert ist.
172
Produkthandbuch
7
Tabelle 7-32
Abschnitt
Option
Definition
HTML-iframe-Unterstützung
aktivieren
Blockiert den Zugriff auf böswillige Sites (Rot) und
Sites mit Warnungen (Gelb), die in einem
HTML-iframe angezeigt werden. (Standardmäßig
aktiviert)
Websites werden standardmäßig
blockiert, wenn der Server für die
McAfee GTI-Bewertungen nicht
erreichbar ist
Blockiert den Zugriff auf Websites standardmäßig,
wenn die Webkontrolle den McAfee GTI-Server
nicht erreichen kann.
Phishing-Seiten für alle Sites
blockieren
Blockiert sämtliche Phishing-Seiten unter
Außerkraftsetzung der Aktionen zur
Inhaltsbewertung. (Standardmäßig aktiviert)
Datei-Scan bei Datei-Downloads
aktivieren
Scannt alle Dateitypen
(.zip, .exe, .ecx, .cab, .msi, .rar, .scr und .com) vor
dem Herunterladen. (Standardmäßig aktiviert)
Diese Option verhindert, dass Benutzer auf eine
heruntergeladene Datei zugreifen können, bis die
Webkontrolle und der Bedrohungsschutz die Datei
als sauber kennzeichnen.
Die Webkontrolle führt eine McAfee GTI-Suche für
die Datei aus. Wenn McAfee GTI die Datei zulässt,
sendet Webkontrolle die Datei zum Scannen an den
Bedrohungsschutz. Wenn eine heruntergeladene
Datei als Bedrohung erkannt wird, führt Endpoint
Security eine Aktion für die Datei aus und warnt
den Benutzer.
McAfee GTI-Sensibilitätsstufe
Legt die zu verwendende McAfee
GTI-Sensibilitätsstufe fest, die die Webkontrolle für
Scans von Datei-Downloads verwendet.
Weitere Informationen finden Sie unter McAfee GTI
auf Seite 151.
Privater IP-Bereich
Konfiguriert die Webkontrolle so, dass für den
privaten IP-Adressbereich keine Bewertungen oder
Aktionen ausgeführt werden.
• Hinzufügen: Fügt eine private IP-Adresse zur Liste
der Adressen hinzu, die von Bewertungen oder
Blockierungen auszuschließen sind.
• Löschen: Löscht eine IP-Adresse von der Liste der
Adressen, die von Bewertungen oder
Blockierungen auszuschließen sind.
Sichere Suche
Sichere Suche aktivieren
Aktiviert die sichere Suche, wobei automatisch
bösartige Sites in Suchergebnissen anhand von
Sicherheitsbewertungen blockiert werden.
Produkthandbuch
173
7
Tabelle 7-32
Abschnitt
Option
Definition
Standard-Suchmaschine in
unterstützten Browsern festlegen
Legt die Standard-Suchmaschine fest, die in
unterstützten Browsern verwendet werden soll:
• Yahoo
• Google
• Bing
• Ask
Links zu gefährlichen Websites in
Suchergebnissen blockieren
Verhindert, dass Benutzer in Suchergebnissen auf
Links zu gefährlichen Websites klicken.
Abschnitt
Option
E-Mail-Anmerkungen Anmerkungen in browserbasierten
E-Mails aktivieren
Anmerkungen in nicht
browserbasierten E-Mails aktivieren
Definition
Fügt URL-Anmerkungen in browserbasierten
E-Mail-Clients wie Yahoo! Mail und Gmail hinzu.
Fügt URL-Anmerkungen in E-Mail-Verwaltungstools
(32 Bit) wie Microsoft Outlook oder Outlook Express
hinzu.
Siehe auch
Konfigurieren von Webkontrolle-Optionen auf Seite 98
Wie Datei-Downloads gescannt werden auf Seite 100
Legen Sie Aktionen für bewertete Sites und Webinhaltskategorien fest.
Die Webkontrolle wendet die Bewertungsaktionen für Sites und Datei-Downloads in den nicht
blockierten Kategorien an.
174
Produkthandbuch
7
Tabelle 7-35
Optionen
Abschnitt
Option
Bewertungsaktionen Bewertungsaktionen
für Sites
Definition
Legt Aktionen für Sites fest, die rot, gelb oder nicht bewertet
sind.
Grün bewertete Sites und Downloads werden automatisch
zugelassen.
• Zulassen: Lässt den Zugriff auf die Site zu.
(Standard für nicht bewertete Sites)
• Warnen: Zeigt eine Warnung an, um Benutzer über mögliche
Gefahren in Verbindung mit der Site zu informieren.
Benutzer müssen auf Abbrechen klicken, um zur
vorhergehenden Site zurückzukehren, oder auf Fortsetzen, um
die Site aufzurufen.
Wenn die Browser-Registerkarte keine zuvor angezeigte Site
enthält, ist Abbrechen nicht verfügbar.
(Standard für gelbe Sites)
• Blockieren: Verhindert, dass Benutzer auf die Site zugreifen, und
zeigt eine Meldung an, dass die Site blockiert ist.
Klicken Sie auf OK, um zur zuvor angezeigten Site
zurückzukehren.
Wenn die Browser-Registerkarte keine zuvor angezeigte Site
enthält, ist OK nicht verfügbar.
(Standard für rote Sites)
Bewertungsaktionen
für Datei-Downloads
Legt Aktionen für Datei-Downloads fest, die rot, gelb oder nicht
bewertet sind.
Diese Bewertungsaktionen gelten nur, wenn Datei-Scan bei
Datei-Downloads aktivieren in den Einstellungen Optionen aktiviert ist.
• Zulassen: Ermöglicht es Benutzern, mit dem Download
fortzufahren.
(Standard für nicht bewertete Sites)
• Warnen: Zeigt eine Warnung an, um Benutzer über mögliche
Gefahren in Verbindung mit der Download-Datei zu
informieren. Die Warnung muss geschlossen werden, bevor
der Download abgebrochen oder mit diesem fortgefahren
werden kann.
(Standard für gelbe Sites)
• Blockieren: Zeigt eine Meldung an, dass der Download blockiert
wurde, und verhindert das Herunterladen der Datei.
(Standard für rote Sites)
Sie können diese Meldung mithilfe der Einstellungen unter
Erzwingungsmeldungen anpassen.
Produkthandbuch
175
7
Abschnitt
Option
Definition
Webkategorie-Blockierung Webkategorie-Blockierung aktivieren Ermöglicht das Blockieren von Sites abhängig von
der Inhaltskategorie.
Blockieren
Verhindert, dass Benutzer auf eine Site in dieser
Kategorie zugreifen, und zeigt eine Meldung an,
dass die Site blockiert ist.
Webkategorie
Listet die Webkategorien auf.
Siehe auch
Angeben von Bewertungsaktionen und Blockieren des Site-Zugriffs basierend auf der
Webkategorie auf Seite 101
Verwenden von Sicherheitsbewertungen zum Kontrollieren des Zugriffs auf Seite 102
Verwenden von Webkategorien zur Zugriffssteuerung auf Seite 101
Konfiguriert Einstellungen für Bedrohungsabwehrdaten.
Tabelle 7-37
Optionen
Abschnitt
Option
Definition
Optionen
Bedrohungsabwehrdaten aktivieren
Aktiviert das Bedrohungsabwehrdaten-Modul.
Das Erfassen anonymer Diagnoseund Nutzungsdaten durch den
Bedrohungsabwehrdaten-Server
zulassen
Lässt zu, dass der Bedrohungsabwehrdaten-Server
anonyme Dateiinformationen an McAfee sendet.
McAfee GTI-Datei-Reputation
Rufen Sie Informationen zur Datei-Reputation vom
verwenden, wenn der
Global Threat Intelligence-Proxy ab, wenn der
Bedrohungsabwehrdaten-Server nicht Bedrohungsabwehrdaten-Server nicht verfügbar ist.
erreichbar ist
Regelzuweisung
Ändern von Einstellungen durch
Benutzer verhindern (nur
Bedrohungsabwehrdaten-Clients 1.0)
Verhindert, dass Benutzer auf verwalteten
Endpunkten Einstellungen für
Bedrohungsabwehrdaten ändern.
Produktivität
Weist die Regelgruppe Produktivität der Richtlinie zu.
Verwenden Sie diese Regelgruppe für Systeme mit
hoher Änderungsrate und häufigen
Software-Installationen und -Aktualisierungen.
Diese Gruppe verwendet die geringste Anzahl von
Regeln. Benutzer erleben nur wenige
Aufforderungen und Blockierungen bei Erkennung
neuer Dateien.
176
Produkthandbuch
7
Tabelle 7-37
Abschnitt
Option
Definition
Ausgleich
Weist die Regelgruppe Ausgleich der Richtlinie zu.
Verwenden Sie diese Gruppe für
Standardunternehmenssysteme, auf denen nicht
häufig neue Software installiert wird oder Änderungen
vorgenommen werden.
Diese Gruppe verwendet mehr Regeln und
Benutzer erleben mehr Aufforderungen und
Blockierungen als bei der Gruppe Produktivität.
Sicherheit
Weist die Regelgruppe Sicherheit der Richtlinie zu.
Verwenden Sie diese Regelgruppe für Systeme mit
niedriger Änderungsrate, zum Beispiel IT-verwaltete
Systeme und Server mit strikter Kontrolle.
Benutzer erleben mehr Aufforderungen und
Blockierungen als bei der Gruppe Ausgleich.
Erzwingung von
Aktionen
Beobachtungsmodus aktivieren
Erfasst Daten und sendet sie an den Server, die
Richtlinie wird jedoch nicht erzwungen. Mit dieser
Option können Sie die Auswirkung der Richtlinie
simulieren, ohne sie ausführen zu müssen.
Blockieren, wenn der
Reputationsschwellenwert folgenden
Wert erreicht:
Blockiert Dateien, wenn die Datei-Reputation einen
bestimmten Schwellenwert erreicht, und gibt diesen
Schwellenwert an:
• Als bösartig bekannt
• Unbekannt
• Höchstwahrscheinlich
bösartig
• Möglicherweise
vertrauenswürdig
• Möglicherweise bösartig
(Standard)
vertrauenswürdig
Wenn versucht wird, eine Datei mit dieser Reputation
in Ihrer Umgebung auszuführen, wird dies verhindert.
Die Datei wird jedoch nicht gelöscht. Wenn eine Datei
sicher ist und Sie sie ausführen möchten, ändern Sie
die Reputation auf eine Stufe wie
Höchstwahrscheinlich vertrauenswürdig, bei der die
Nutzung möglich ist.
Säubern, wenn der
Reputationsschwellenwert folgenden
Wert erreicht:
Säubert Dateien, wenn die Datei-Reputation einen
bestimmten Schwellenwert erreicht, und gibt diesen
Schwellenwert an:
• Als bösartig bekannt (Standard)
• Höchstwahrscheinlich bösartig
• Unbekannt
Verwenden Sie diese Option bei der
Datei-Reputation Als bösartig bekannt, da Dateien
beim Säubern entfernt werden können.
Produkthandbuch
177
7
Abschnitt
Option
Benutzermeldungen bei Bedrohungsbenachrichtigungen für
Erkennung von
den Benutzer anzeigen
Bedrohungen
Den Benutzer benachrichtigen, wenn
der Reputationsschwellenwert
folgenden Wert erreicht:
Beschreibung
Zeigt Bedrohungsbenachrichtigungen für den
Benutzer an.
Benachrichtigt den Benutzer, wenn die
Datei-Reputation einen festgelegten Schwellenwert
erreicht:
• Unbekannt
(Standard)
bösartig
• Möglicherweise
vertrauenswürdig
vertrauenswürdig
Die Stufe der Eingabeaufforderung darf keinen
Konflikt mit den Einstellungen für Säubern oder
Blockieren auslösen. Wenn Sie zum Beispiel
unbekannte Dateien blockieren, können Sie in
diesem Feld nicht Möglicherweise bösartig
festlegen, da dafür eine höhere
Sicherheitsbedrohung gilt als für Unbekannt.
Standardaktion
Legt die Aktion fest, wenn der Benutzer nicht auf
die Eingabeaufforderung reagiert:
• Zulassen
• Blockieren (Standard)
Länge (in Minuten) bis zur
Zeitüberschreitung festlegen
Legt die Anzahl der Minuten fest, für die die
Aufforderung vor Ausführung der Standardaktion
angezeigt wird.
Die Standardeinstellung beträgt 5 Minuten.
178
Meldung
Legt den Text fest, der Benutzern angezeigt wird,
wenn versucht wird, eine Datei auszuführen, die
den Kriterien für eine Eingabeaufforderung
entspricht.
Bedrohungsbenachrichtigungen
deaktivieren, wenn der
Bedrohungsabwehrdaten-Server
nicht erreichbar ist
Deaktiviert die Anzeige von
Eingabeaufforderungen, falls der Server nicht
erreichbar ist. Benutzer werden somit bei Dateien,
für die keine Reputation abgerufen werden kann,
nicht zu einer Aktion aufgefordert.
Produkthandbuch
7
Abschnitt
Option
Beschreibung
Advanced Threat
Defense
Noch nicht verifizierte Dateien zur
Analyse an McAfee Advanced Threat
Defense senden
Gibt an, wann ausführbare Dateien zur Analyse an
McAfee Advanced Threat Defense gesendet werden
sollen.
Sie können Informationen für den Advanced
Threat Defense-Server in der Verwaltungsrichtlinie
für den Bedrohungsabwehrdaten-Server angeben.
Die Dateien werden in den folgenden Fällen
gesendet:
• Im Bedrohungsabwehrdaten-Server sind keine
Advanced Threat Defense-Informationen über
die Datei vorhanden.
• Die Datei entspricht der angegebenen
Reputationsstufe oder liegt darunter.
• Die Datei entspricht der angegebenen
Größenbeschränkung für Dateien oder liegt
darunter.
Dateien übermitteln, wenn der
Sendet Dateien an Advanced Threat Defense,
Reputationsschwellenwert folgenden wenn die Datei-Reputation einen festgelegten
Wert erreicht:
Schwellenwert erreicht:
• Unbekannt (Standard)
• Höchstwahrscheinlich vertrauenswürdig
Größe (MB) begrenzen auf:
Begrenzt die Größe der Dateien, die an Advanced
Threat Defense gesendet werden, auf 1 bis 10 MB.
Der Standardwert ist 5 MB.
Produkthandbuch
179
7
180
Produkthandbuch
Index
A
Adaptive Regelgruppe, Firewall 86, 87
Adaptiver Modus
in Firewall konfigurieren 78
Regelvorrang 81
Administrator-Anmeldeseite
Beim Öffnen des Endpoint Security Client 17
Entsperren der Client-Benutzeroberfläche 26
Administratoren
beim Endpoint Security-Client anmelden 25
definiert 8
Kennwort 26
Standardkennwort 12
Advanced Threat Defense 109
Senden von Dateien an 111
Verwendung beim Bestimmen von Reputationen 106
Adware, Informationen 48
Aktionen, Bedrohungsschutz
für isolierte Elemente ausführen 46
Aktionen, Threat Prevention
Festlegen der Aktion bei erkannter Bedrohung 65, 70
Säubern und Löschen infizierter Dateien für Benutzer
ermöglichen 65, 70
Unerwünschte Programme 64
Aktionsmenü, Informationen 12
Aktivitätsprotokolle, Endpoint Security-Client 23
Aktualisierungen
abbrechen 21
Option "Sicherheit aktualisieren" 10
Schaltfläche "Jetzt aktualisieren", Endpoint Security-Client
21
Aktualisierungen, Bedrohungsschutz
manuell suchen 10, 21
Standard-Client-Aktualisierungs-Task, Informationen 36
Überblick 9
Aktualisierungen, Endpoint Security
Quellsites für Aktualisierungen konfigurieren 33
Standard-Client-Aktualisierung, konfigurieren 35
über den Client konfigurieren und planen 37
Verhalten konfigurieren 33
Aktualisierungen, Threat Prevention
Content-Dateien 8
EXTRA.DAT-Dateien 28
Aktualisierungsseite 21
Allgemeingültig-Modul, konfigurieren
Aktualisierungseinstellungen 33
Allgemeingültiges Modul, Endpoint Security-Client 7, 15
Allgemeingültiges Modul, konfigurieren
Aktualisierungseinstellungen 35
Quellsites für Client-Aktualisierungen 33
Quellsites für Client-Aktualisierungen, konfigurieren 33
AMCore Content-Dateien
Ändern der Version 27
Informationen 8
Informationen zu Signaturen und Aktualisierungen 9
On-Access-Scan – Überblick 66
On-Demand-Scan – Überblick 71
Angriffe, Buffer Overflow-Exploits 61
Anmeldeinformationen, Repository-Liste 35
Anmeldeinformationen, Standard für Administrator 12
Apps, Windows Store 66, 71
Archive, Festlegen von Scanoptionen 65, 70
Ask-Suchmaschine und Sicherheitssymbole 94
Aufforderungen, Endpoint Security
Reagieren auf Scan 19
Ausschlüsse
Erkennungsname 65
Festlegen von URLs für ScriptScan 65
konfigurieren 50
On-Access-Scan, Festlegen von Dateien, Ordnern und
Laufwerken 65
On-Demand-Scan, festlegen 70
Platzhalter verwenden 51
Stammebene 51
Zugriffsschutz, richtlinienbasiert und regelbasiert 59
Ausschlüsse auf Stammebene, Siehe Ausschlüsse
B
Bedrohungen
AMCore Content-Dateien 9
Erkennungen beim Scannen 44
isolierte Elemente erneut scannen 49
Quarantäne-Ordner 46
Reagieren auf Erkennungen 18
Typen 48
und Sicherheitsbewertungen 95
Verletzungen von Systemzugriffspunkten 52
Produkthandbuch
181
Index
Bedrohungen (Fortsetzung)
Verwalten von Erkennungen 45
weitere Informationen von McAfee Labs abrufen 46
Windows Store-Apps 66, 71
Zugriffsschutzprozess 52
Aktivitätsprotokoll 23
durch McAfee ePO verwaltete TIE Server über einen
Bridge-Computer verbinden 106
Endpoint Security-Client 15
Fehlerbehebungsprotokoll 23
Informationen 104
konfigurieren 110
Protokolldateien 23
verwalten 104
Workflow-Beispiele 108
Bedrohungsschutz
Dateien vor dem Download scannen 98
Dateien vor dem Herunterladen scannen 100
Informationen 7
On-Access-Scans, Informationen 66
Zugriffsschutzfunktion 53
Bedrohungszusammenfassung, Informationen 13
Benachrichtigungen
Informationen 11
Interaktion mit Endpoint Security-Client 9
Windows 8 und 10 11
benutzerdefinierte Aktualisierungs-Tasks, Siehe Tasks, Endpoint
Security-Client
benutzerdefinierte Regeln, Siehe benutzerdefinierte Regeln,
Zugriffsschutz
benutzerdefinierte Regeln, Zugriffsschutz
konfigurieren 58
Typen 53
benutzerdefinierte Scans, Siehe On-Demand-Scans
Benutzerkonten, Steuern des Zugriffs auf Client 32
Berichte, Web Control 94, 95
Anzeigen 98
Website-Sicherheit 94
Berichte, Webkontrolle
anzeigen 97
Sicherheit 91
Bewertungen, Sicherheit, Siehe Sicherheitsbewertungen
Bewertungen, Web Control, Siehe Sicherheitsbewertungen
Bing-Suchmaschinen und Sicherheitssymbole 94
Blockieren von Dateien und Zertifikaten 111
Boot-Sektoren, scannen 65, 70
Browser
Informationen zu einer Site anzeigen 97
Plug-In aktivieren 96
unterstützt 91, 97
Webkontrolle-Plug-In deaktivieren 98
Buffer Overflow-Exploits, Informationen 61
182
C
Cache, globaler Scan
On-Access-Scans 66
On-Demand-Scans 71
Chrome
unterstützte Browser 91, 97
Webkontrolle-Schaltflächen 93
Client, Siehe Endpoint Security Client
Client-Produktaktualisierungs-Tasks
Informationen 35
Repository-Liste 35
Client-Protokollierung, konfigurieren 30
Client-Schnittstellen-Modus, Optionen 14
Client-Software, definiert 8
Common-Modul, konfigurieren
Client-Schnittstellensicherheit 31
Einstellungen 29
McAfee GTI Proxy-Server-Einstellungen 32
Protokollierung 30
Selbstschutz 30
Content-Dateien
Ändern der AMCore-Version 27
Informationen 8
manuell nach Aktualisierungen suchen 10, 21
über den Client Aktualisierungen planen 37
und Erkennungen 18
CPU-Zeit, On-Demand-Scans 74
D
Data Exchange Layer
Informationen 106
Datei-Downloads
basierend auf Bewertungen blockieren oder warnen 101
mit Bedrohungsschutz scannen 100
unbekannte Sites blockieren 98
Datei-Reputation
auf Eingabeaufforderungen reagieren 19
Dateien
Änderungen verhindern 30
Ausführen von Scans 44
Bestimmen 106
bestimmte Typen von Scans ausschließen 50
Endpoint Security-Client-Protokolle 22
für Quarantäne konfigurieren 65
in der Quarantäne verwalten 46
in Quarantäne erneut scannen 49
Konfigurieren von Protokolldateien 30
Platzhalter in Ausschlüssen 51
Protokolldateien 23
Produkthandbuch
Index
Dateien (Fortsetzung)
Zugriff beschränken 53
Dateien, Content
Ändern der AMCore Content-Version 27
Exploit-Schutz 9
Extra.DAT und AMCore 9
Laden von Extra.DAT-Dateien 29
Signaturen und Aktualisierungen 9
Verwenden von EXTRA.DAT-Dateien 28
Datenverkehr
ausgehend, bis Start der Firewall-Dienste zulassen 78
Von Firewall gescannt 77
Desktopmodus, Windows 8 und 10
Benachrichtigungen 11
Desktopmodus, Windows 8 und 10
Reaktion auf Aufforderungen bei erkannten Bedrohungen
18
Dialers, Informationen 48
DNS-Datenverkehr, blockieren 79
Domänen, Blockieren 79
Download-Anfragen, Siehe Datei-Downloads
Downloads
Blockierungs- und Warnungsverhalten 92
Drosselung, konfigurieren 74
Dynamische Regelgruppe, Firewall 86
E
Eindringversuche, Firewall-Warnungen aktivieren 78
Eingabeaufforderungen, Endpoint Security
auf Datei-Reputation reagieren 19
Informationen 11
Windows 8 und 10 18
Einstellungen
Aktualisierungen, konfigurieren für 33, 35
Quellsites, konfigurieren für 33
Einstellungen für Inhaltsaktionen
Web Control 102
Webkontrolle 101
Einstellungen für Inhaltsaktionen, Webkontrolle 101
Einstellungen, Bedrohungsschutz
Zugriffsschutzfunktion 53
Einstellungen, Threat Prevention
Konfigurieren potenziell unerwünschter Programme 63
On-Access-Scans 64
On-Demand-Scans 64
Einstellungen, Web Control
Steuern des Zugriffs nach Sicherheitsbewertungen 102
Einstellungen, Webkontrolle
Zugriff auf Websites steuern 101
Zugriff mit Webkategorien steuern 101
Einstellungsseite
Aktualisierungseinstellungen, konfigurieren 33, 35
Client-Schnittstellensicherheit, konfigurieren 31
Firewall-Optionen ändern 78
On-Access-Scan-Einstellungen, konfigurieren 65
On-Demand-Scan-Einstellungen, konfigurieren 70
Protokollierung, konfigurieren 30
Proxy-Server-Einstellungen, konfigurieren 32
Selbstschutz, konfigurieren 30
und Client-Schnittstellen-Modus 14
Verwalten von Firewall-Regeln und -Gruppen 87
Endpoint Security Client
Anzeigen der Hilfe 18
Anzeigen von Schutzinformationen 20
Bedrohungszusammenfassung 13
Entsperren der Schnittstelle 26
Informationen 12
Konfigurieren von Sicherheitseinstellungen 31
Öffnen 10, 17
Scannen auf Malware 41
Scans ausführen 42
Schützen mit Kennwort 32
System-Scans 41
Verwalten von erkannten Bedrohungen 45
Verwaltungstypen 20
als Administrator anmelden 25
benutzerdefinierte Aktualisierungs-Tasks, erstellen 37
Ereignisprotokoll anzeigen 22
Interaktion mit 9
Module 15
Protokolle, Informationen 23
Richtlinieneinstellungen 14
Schutz aktualisieren 21
Spiegelungs-Tasks, Informationen 39
Spiegelungs-Tasks, konfigurieren und planen 38
Standard-Client-Aktualisierungs-Task, Informationen 36
Standard-Client-Aktualisierungs-Task, konfigurieren 35
Standard-Client-Aktualisierungs-Task, planen 37
Verwaltungstypen 8
vollständiger Scan und Schnellscan, planen 75
Endpoint Security, Funktionsweise 8
Endpoint Security, verwalten 25
Ereignisprotokolle, Endpoint Security-Client
Aktualisierungsfehler 21
Ereignisprotokollseite anzeigen 22
Informationen 23
Ereignisse, Webkontrolle-Browser-Ereignisse überwachen 98
Erkennungen
an Management-Server berichten 8
Anzeigen von Benutzernachrichten 65, 70
nach Name ausschließen 65
Namen 48
Reagieren auf 18
Produkthandbuch
183
Index
Erkennungen (Fortsetzung)
Typen 42, 44
Verwalten 42, 45
Erkennungen anzeigen-Schaltfläche 45
Erkennungsdefinitionsdateien, Siehe Content-Dateien
Erste Schritte mit Bedrohungsabwehrdaten 108
Exploit-Schutz
Content-Datei-Aktualisierungen 9
Informationen 60
Konfigurieren 61
Protokolldateien 23
Prozesse ausschließen 50
und Host IPS 60
Exploits
Auftreten von Buffer Overflow-Exploits 61
Blockieren von Buffer Overflows 60, 61
Extra.DAT-Dateien
AMCore Content-Dateien 9
EXTRA.DAT-Dateien
Herunterladen 28
Informationen 28
Laden 29
Verwenden 28
Firewall (Fortsetzung)
Verwalten von Regeln und Gruppen 87
zeitbeschränkte Gruppen aktivieren und anzeigen 77
zeitbeschränkte Gruppen erstellen 90
Firewall-Gruppen, Siehe Firewall-Regelgruppen
Firewall-Optionen
Ändern 78
Firewall-Regelgruppen
Funktionsweise der Firewall 77
Konfigurieren 81
standortabhängig, erstellen 89
standortabhängig, Information 83
und Verbindungsisolierung 84
vordefiniert 86
Vorrang 83
zeitbeschränkte Gruppen erstellen 90
zeitbeschränkte Gruppen über das Taskleistensymbol
verwalten 10, 77
Firewall-Regeln
Funktionsweise 81
Funktionsweise der Firewall 77
Konfigurieren 81
Reihenfolge und Vorrang 81
Verwenden von Platzhaltern 89
Zulassen und blockieren 81
fortsetzbare Scans, Siehe inkrementelle Scans
F
Funktionen
Deaktivieren und aktivieren 26
Endpoint Security-Client-Zugriff basierend auf Richtlinien
Farben, Webkontrolle-Schaltflächen 93
Fehler, Aktualisierung 21
Fehlerbehebungsprotokolle, Endpoint Security-Client 23
Fehlermeldungen, Status des Taskleistensymbols 10
Fehlerprotokolle, Endpoint Security-Client 23
Firefox
Firewall
Blockieren des DNS-Datenverkehrs 79
Eindringungswarnungen 11
Firewall-Regeln, Funktionsweise 81
Funktionsweise 77
Informationen 7
Informationen zu zeitbeschränkten Gruppen 10
Optionen ändern 78
Protokolldateien 23
Regeln, Siehe Firewall-Regeln
Schutz aktivieren und deaktivieren 78
standortabhängige Gruppen, erstellen 89
standortabhängige Gruppen, Informationen 83
Verwalten 78
184
14
G
Globaler Scan-Cache
On-Access-Scans 66
On-Demand-Scans 71
Google
Chrome 91
Sicherheitssymbole 94
Unterstützte Suchmaschinen 94
Gruppen, Firewall, Siehe Firewall-Regelgruppen
H
Hashes, Informationen 32
Häufig gestellte Fragen, McAfee GTI 80
Heap-basierte Angriffe, Buffer Overflow-Exploits 61
Hilfe, anzeigen 12, 18
Host IPS und Exploit-Schutz 60
Host-Eindringungsschutz und Exploit-Schutz 60
I
Informationen, zu Schutz anzeigen 20
Informationsseite 8, 20
Inhaltskategorien, Siehe Webkategorien
inkrementelle Scans 72
Produkthandbuch
Index
Installationsprogramme, vertrauenswürdige scannen 65
Internet Explorer
und ScriptScan-Verhalten 68
IP-Adressen
Regelgruppen 83
standortabhängige Gruppen 83
J
Jetzt scannen-Schaltfläche 42
K
Kennwort-Cracker, Informationen 48
Kennwörter
Administrator 25, 26
Konfigurieren der Client-Sicherheit 31
Standard für Administrator 12
Steuern des Zugriffs auf Client 32
Keylogger, Informationen 48
Konfiguration, TIE Server über einen Bridge-Computer
verbinden 106
L
Leerlauf-Scan-Funktion 19, 72
M
Malware
Erkennungen beim Scannen 42, 44
Scannen auf 41
manuelle Aktualisierungen, ausführen 21
Manuelle Scans
Ausführen in Endpoint Security Client 42, 44
Informationen zu Scan-Typen 41
McAfee Agent
Produktaktualisierungs-Task und Repository-Liste 35
McAfee Core-Netzwerkregelgruppe, Firewall 86
McAfee Endpoint Security Client, Siehe Endpoint Security Client
McAfee ePO
Aktualisieren des Schutzes 8
AMCore Content-Dateien abrufen 9
und Verwaltungstypen 20
McAfee ePO Cloud-Verwaltungstyp 20
McAfee GTI
Blockierungsereignisse an Server senden 78
Dateien vor dem Download scannen 98
Dateien vor dem Herunterladen scannen 100
Festlegen von Proxy-Server-Einstellungen 32
Firewall-Optionen, konfigurieren 78
Häufig gestellte Fragen 80
Netzwerkreputation für Firewall, konfigurieren 78
On-Access-Scans, Funktionsweise 66
McAfee GTI (Fortsetzung)
On-Access-Scans, konfigurieren 65
On-Demand-Scans, Funktionsweise 71
On-Demand-Scans, konfigurieren 70
Sensibilitätsstufe konfigurieren 65
Telemetrie-Feedback 65
Überblick 32
und Webkategorien 101
Web Control-Sicherheitsbewertungen 95
Web Control-Site-Berichte 94
Webkontrolle-Kommunikationsfehler 93
McAfee Labs
AMCore Content-Datei-Aktualisierungen 9
Download von EXTRA.DAT-Dateien 28
und McAfee GTI 32
weitere Informationen zu Bedrohungen abrufen 46
McAfee SECURE, Webkontrolle-Schaltfläche 93
McAfee-Client, Siehe Endpoint Security Client
McAfee-Schutz-Client, Siehe Endpoint Security Client
McAfee-Symbol, Siehe System-Taskleistensymbol, McAfee
McTray, starten 72
Meldungen, Endpoint Security
Informationen 11
Menüs
Aktion 12, 26
Einstellungen 12, 14, 15, 78, 87
Hilfe 12, 18
Informationen 20
Webkontrolle 97
Microsoft Internet Explorer, Siehe Internet Explorer
Module
Anzeigen von Informationen 20
Endpoint Security-Client-Zugriff basierend auf Richtlinien
14
in Endpoint Security-Client installiert 15
Informationen zu Endpoint Security 7
Module, allgemeingültig
Aktualisierungseinstellungen, konfigurieren 35
Quellsites für Client-Aktualisierungen konfigurieren 33
Module, Allgemeingültig
Funktionsweise von McAfee GTI 32
Module, Common
McAfee GTI Proxy-Server-Einstellungen, konfigurieren 32
Protokollierung, konfigurieren 30
Mozilla Firefox, Siehe Firefox
N
Nachrichten, Endpoint Security
Anzeigen bei erkannter Bedrohung 65, 70
Netzwerkadapter, Verbindung zulassen 83
Produkthandbuch
185
Index
Netzwerklaufwerke, Festlegen von Scanoptionen 65
nicht verwaltet, Siehe selbstverwaltet, Informationen
O
On-Access-Scans
Anzahl von Scan-Richtlinien 69
Elemente ausschließen 50
Erkennung von Bedrohungen 18
Informationen 41
konfigurieren 65
Konfigurieren 65
mit Vertrauenslogik optimieren 66
Potenziell unerwünschte Programme, Aktivieren der
Erkennung 64
Protokolldateien 23
ScriptScan 68
Skripte scannen 68
Überblick 66
von Datenträger lesen oder darauf schreiben 66
On-Demand-Aktualisierungen, Siehe manuelle
Aktualisierungen, ausführen
On-Demand-Scans
Ausführen eines vollständigen Scans oder Schnellscans 42
Informationen 41
konfigurieren 65
Potenziell unerwünschte Programme, Aktivieren der
Erkennung 64
Protokolldateien 23
Reagieren auf Aufforderungen 19
Scan per Kontextmenü 44
Scannen von Dateien oder Ordnern 44
Scans des Remote-Speichers 75
Systemauslastung 74
Überblick 71
Optionen
Konfigurieren von On-Access-Scans 65
Konfigurieren von On-Demand-Scans 70
Scannen auf Malware 41
Optionen, allgemeingültig
Optionen, Allgemeingültig
Optionen, Bedrohungsschutz
allgemeingültige Scan-Einstellungen 65
Optionen, Common
Konfigurieren 29
Planen von Scans auf Anforderung 41
Protokollierungseinstellungen, konfigurieren 30
Proxy-Server-Einstellungen, konfigurieren 32
186
Optionen, Threat Prevention
Unerwünschte Programme 63
Ordner
Ausführen von Scans 44
für Quarantäne konfigurieren 65
in der Quarantäne verwalten 46
in Quarantäne erneut scannen 49
Zugriff beschränken 53
P
Parameter, Zugriffsschutz
Beispiele 59
bewerten mit untergeordneten Regeln 59
Phishing, gesendete Berichte an Site-Benutzer 95
Planungen, On-Demand-Scans, verschieben 72
Platzhalter
in Ausschlüssen 51
in Ausschlüssen auf Stammebene 51
in Ausschlüssen verwenden 51
In Firewall-Regeln verwenden 89
Plug-Ins, Webkontrolle im Browser aktivieren 96
Pop-Up-Benachrichtigungen, Windows 8 und 10 11
Pop-Up-Benachrichtigungen, Windows 8 und 10 18
Pop-Ups und Sicherheitsbewertungen 95
potenziell unerwünschte Programme
zu erkennende Programme festlegen 65
Potenziell unerwünschte Programme
Aktivieren der Erkennung 64, 65, 70
Festlegen 63
Informationen 48
Konfigurieren der Erkennung 62
Prioritäten, On-Access-Scans 74
Product Improvement Program 109
Produktaktualisierungen
über den Client planen 37
Programme, Aktivieren der Erkennung potenziell unerwünschter
65, 70
Protokolldateien
Aktualisierungsfehler 21
anzeigen 22
Konfigurieren 30
Speicherorte 23
Proxy-Server
Einstellungen in Repository-Liste 35
Funktionsweise von McAfee GTI 32
Konfigurieren für McAfee GTI 32
Prozesse mit hohem Risiko, festlegen 65
Prozesse mit niedrigem Risiko, festlegen 65
Prozesse, Bedrohungsschutz
ausschließen 50
Produkthandbuch
Index
Prozesse, Bedrohungsschutz (Fortsetzung)
in Zugriffsschutz einschließen oder daraus ausschließen 59
scannen 66
Prozesse, Threat Prevention
Festlegen von hohem und niedrigem Risiko 65
Scannen 65
Prozesse, Zugriffsschutz
in Zugriffsschutz einschließen oder daraus ausschließen 53
regelbasierter Ausschluss 59
richtlinienbasierter Ausschluss 59
Prozesseinstellungen, On-Demand-Scans 74
Q
Quarantäne-Seite 46
Quarantäne, Bedrohungsschutz
isolierte Elemente erneut scannen 49
Speicherort- und Aufbewahrungseinstellungen
konfigurieren 65
R
Reaktionen, Konfigurieren für die Erkennung unerwünschter
Programme 64
Regelgruppen, Firewall, Siehe Firewall-Regelgruppen
Regeln, Bedrohungsschutz
konfigurieren 53
Regeln, Firewall, Siehe Firewall
Regeln, Threat Prevention
Funktionsweise des Zugriffsschutzes 52
Registrierungsschlüssel, Zugriff beschränken 53
Remote-Desktop und Leerlauf-Scan-Funktion 72
Remote-Verwaltungs-Tools, Informationen 48
Repository-Liste
bevorzugte Reihenfolge, Repository-Liste 35
Speicherort auf Client 35
Überblick 35
Reputationen
Bestimmen 106
Richtlinien
auf Endpoint Security-Client zugreifen 14
Client-Funktionen 9
definiert 8
Richtlinien, Bedrohungsschutz
allgemeingültige Scan-Einstellungen 65
On-Demand-Scans, verschieben 72
Richtlinien, Common
Konfigurieren 29
Richtlinien, Threat Prevention
On-Access-Scans 69
S
Safari (Macintosh)
Scan anzeigen-Schaltfläche 42
Scan per Kontextmenü
Ausführen im Windows Explorer 44
Informationen 41
Konfigurieren 70
Scan-Cache
On-Access-Scans 66
On-Demand-Scans 71
Scan-Module, AMCore Content-Dateien – Überblick 9
Scan-Seite, anzeigen 18, 42
Scan-Umgehung 66
Scan-Verschiebung, Überblick 72
Scans
allgemeingültige Einstellungen für On-Access- und OnDemand-Scans 65
Ausführen in Endpoint Security Client 42
benutzerdefiniert, über den Client erstellen und planen 75
mit Endpoint Security-Client planen 75
Platzhalter in Ausschlüssen verwenden 51
Reagieren auf Aufforderungen 19
Scan per Kontextmenü 44
Typen 41
Verschieben, anhalten, fortsetzen und abbrechen 19
Webkontrolle 100
Scans des Remote-Speichers, Überblick 75
Scans ohne Auswirkungen 72
Scans, benutzerdefiniert, Siehe Scans, On-Demand
Scans, On-Access
Anzahl von Richtlinien 69
Bedrohungen in Windows Store-Apps erkennen 66
Erkennung von Bedrohungen, reagieren 18
Konfigurieren 65
mit Vertrauenslogik optimieren 66
ScriptScan 68
Überblick 66
Scans, On-Demand
Erkennen von Bedrohungen in Windows Store-Apps 71
Konfigurieren 70
Scans des Remote-Speichers 75
Systemauslastung 74
Schaltflächen
Erkennungen anzeigen 45
Jetzt scannen 42
Scan anzeigen 42
Schaltflächen, Webkontrolle 93
Scherzprogramme, Informationen 48
Schnellscan
Konfigurieren 70
Scan-Typen 41
Schnittstellenmodus
Konfigurieren der Client-Sicherheitseinstellungen 31
Produkthandbuch
187
Index
Schnittstellenmodus (Fortsetzung)
Standardzugriff 25, 32
Schutz
Aktuell bleiben 8
Anzeigen von Informationen 20
Interaktion mit 9
Konfigurieren des Selbstschutzes 30
Schwachstellen, Siehe Bedrohungen
ScriptScan
Aktivieren 65
Informationen 68
URLs ausschließen 50
Seite "Roll Back von AMCore Content" 27
Seite "Scannen auf Bedrohungen" 44
Seite "System scannen" 42
Seite McAfee-Sicherheitsstatus, anzeigen 10
Seite On-Access-Scan 45
Seite System scannen 45
Seiten
Aktualisierung 21
Einstellungen 14, 30–33, 35, 70, 78
Ereignisprotokoll 22
Informationen 8, 20
McAfee-Sicherheitsstatus 10
On-Access-Scan 18, 45
Quarantäne 46
Rollback von AMCore Content 27
Scan, anzeigen 42
Scannen auf Bedrohungen 44
System scannen 42, 45
selbstverwaltet, Informationen 20
Sensibilitätsstufe, McAfee GTI 32
Server
durch McAfee ePO verwaltete TIE Server über einen
Bridge-Computer verbinden 106
Informationen zu TIE Servern 106
Server, Proxy, Siehe Proxy-Server
Serversysteme und Leerlauf-Scan-Funktion 72
sichere Suche, Webkontrolle konfigurieren 98
Sicherheit
Konfigurieren der Client-Schnittstellensicherheit 31
Sicherheitsberichte, Siehe Berichte, Web Control
Sicherheitsbewertungen
Aktionen für Sites und Downloads konfigurieren 101
Herleitung von Website-Sicherheitsbewertungen 95
Steuern des Site-Zugriffs 102
Webkontrolle und 91
Sicherheitsstufen
Beispiele 111
Sicherungen, Festlegen von Scanoptionen 65, 70
Signaturen
Informationen zu bekannten Bedrohungen 9
Site-Berichte, Siehe Berichte, Web Control
188
Sites
Blockierungs- und Warnungsverhalten 92
Schutz beim Surfen 93
Schutz während der Suche 94
Sicherheitsbewertungen 95
Webkontrolle-Site-Berichte anzeigen 97
Sites, blockieren
basierend auf Bewertungen 101
basierend auf Sicherheitsbewertungen 102
basierend auf Webkategorie 101
Sites, warnen
Sites, Zugriff steuern
mit Sicherheitsbewertungen 102
mit Webkategorien 101
Skripte, scannen 68
Software-Aktualisierungen
Sperrmodus der Client-Schnittstelle
Beim Öffnen des Endpoint Security Client 17
Entsperren der Schnittstelle 26
und Richtlinieneinstellungen 14
Spiegelungs-Tasks
Informationen 39
konfigurieren und planen 38
Sprechblasen, Web Control 94, 98
Spyware, Informationen 48
Stack-basierte Angriffe, Buffer Overflow-Exploits 61
Standalone, Siehe selbstverwaltet, Informationen
Standard-Client-Aktualisierungs-Task
Informationen 36
konfigurieren 35
mit Endpoint Security-Client planen 37
Standardkennwort, Endpoint Security Client 12
Standardregelgruppe, Firewall 86
Standardzugriffsmodus
als Administrator anmelden 25
Auswirkungen beim Festlegen eines Kennworts 32
Konfigurieren der Client-Sicherheitseinstellungen 31
und Richtlinieneinstellungen 14
Verwalten von Firewall-Regeln und -Gruppen 87
standortabhängige Gruppen
erstellen 89
Informationen 83
Verbindungsisolierung 84
Startmenü, Endpoint Security Client öffnen 17
Status, Endpoint Security, im McAfee-Taskleistensymbol
anzeigen 10
Statusseite, Bedrohungszusammenfassung anzeigen 13
Suchen
riskante Websites in Ergebnissen blockieren 98
Produkthandbuch
Index
Symbole, McAfee, Siehe System-Taskleistensymbol, McAfee
Symbole, Web Control 94
System-Scans, Typen 41
System-Taskleistensymbol, McAfee 9, 10, 31
Definition 10
Konfigurieren des Zugriffs auf Endpoint Security 31
Öffnen des Endpoint Security Client 17
Systemauslastungsoptionen, Überblick 74
untergeordnete Regeln, Zugriffsschutz
ausschließen und einschließen 59
bewerten mit Parametern 59
Upgrades, Client-Software-Komponenten 8
URLs
ausschließen aus Skript-Scans 50
Ausschließen von Skript-Scans 65
unbekannte blockieren 98
T
V
Tarnprogramm, Informationen 48
Taskleistensymbol, McAfee
Sicherheit aktualisieren 10
zeitbeschränkte Firewall-Gruppen 10
zeitbeschränkte Gruppen aktivieren und anzeigen 77
Tasks, Bedrohungsschutz
benutzerdefinierte Scans, planen 75
Standard-Client-Aktualisierung, Informationen 36
vollständiger Scan und Schnellscan, planen 75
Tasks, Endpoint Security-Client
benutzerdefinierte Aktualisierung, konfigurieren und planen
Vertrauenslogik, On-Access-Scans optimieren 66
Vertrauenswürdige Installationsprogramme, scannen 65
Verwaltungstypen
Anzeigen 20
Informationen 20
Viren
Informationen 48
Signaturen 9
vollständiger Scan
37
Spiegelungs-Tasks konfigurieren und planen 38
Spiegelungs-Tasks, Informationen 39
Standard-Client-Aktualisierung, konfigurieren 35
Standard-Client-Aktualisierung, planen 37
Tasks, Threat Prevention
Vollständige und Schnellscans, Informationen 41
Threads, Priorität 74
Threat Intelligence
Endpoint Security 105
Komponenten 104
Szenarien 103
Threat Intelligence Exchange Server, Siehe TIE Server
Threat Prevention
Exploit-Schutz-Funktion 61
On-Access-Scans, konfigurieren 65
On-Demand-Scans, Informationen 71
On-Demand-Scans, konfigurieren 70
Optionen, unerwünschte Programme 63
Potenziell unerwünschte Programme, erkennen 62
Verwalten 49
TIE Server
Informationen 106
über Bridge-Computer verbinden 106
Trojaner
Informationen 48
U
Übermitteln von Dateien zur weiteren Analyse
Advanced Threat Defense 109
Product Improvement Program 109
Vollständiger Scan
Informationen 41
Konfigurieren 70
Vollzugriffsmodus
Firewall-Optionen ändern 78
Richtlinieneinstellungen 14
Vom Administrator hinzugefügte Regelgruppe, Firewall 86
Vom Benutzer hinzugefügte Regelgruppe, Firewall 86, 87
von McAfee definierte Regeln, Zugriffsschutz 54
Von Windows festgelegte Prioritätseinstellung 74
vordefinierte Firewall-Regelgruppen 86
Vorrang
Firewall-Gruppen 83
Firewall-Regeln 81
W
Warnungen, Bedrohungsschutz
Warnungen, Firewall 11
Warnungen, Threat Prevention
Web Control
Site-Berichte 94
Sprechblasen und Symbole 98
Suchmaschinen und Sicherheitssymbole 94
Symbole, Beschreibung 94
Verwalten 98
Webkategorien, blockieren oder warnen 101
Webkategorien, blockieren oder warnen basierend auf 101
Webkontrolle
aktivieren 98
Produkthandbuch
189
Index
Webkontrolle (Fortsetzung)
Funktionen 91
Informationen 7
konfigurieren 98
Menü 93
Protokolldateien 23
Schaltflächen, Beschreibung 93
Site-Berichte anzeigen 97
und blockierte Sites 92
und Sites, vor denen gewarnt wurde 92
wie Datei-Downloads gescannt werden 100
Websites
Schutz beim Surfen 93
Schutz während der Suche 94
Sicherheitsbewertungen 95
Webkontrolle-Site-Berichte anzeigen 97
Websites, blockieren
basierend auf Webkategorie 101
nicht bewertet oder unbekannt 98
riskante Websites in Suchergebnissen 98
Websites, warnen
Websites, Warnung
Websites, Zugriff steuern
mit Sicherheitsbewertungen 102
mit Webkategorien 101
Windows 8 und 10
Informationen zu Benachrichtigungen 11
Windows 8 und 10
Öffnen des Endpoint Security Client 17
190
Windows 8 und 10 (Fortsetzung)
Reaktion auf Aufforderungen bei erkannten Bedrohungen
18
Windows Store-Apps, Bedrohungen erkennen 66, 71
Workflow-Beispiele 108
Feststellen und Beobachten der Dateiverbreitung 108
Übermitteln von Dateien zur weiteren Analyse 109
Überwachen und Vornehmen von Anpassungen 108
Y
Yahoo
Standard-Suchmaschine 98
Unterstützte Suchmaschine 94
Z
Zertifikate
Bestimmen von Reputationen 106
Zugriffsschutz
Beispiele 52
benutzerdefinierte Regeln, Informationen 53
benutzerdefinierte Regeln, konfigurieren 58
Informationen 51
Protokolldateien 23
Protokolle, beschränken 53
Prozesse ausschließen 50
Prozesse, einschließen und ausschließen 53, 59
Richtlinien, Überblick 53
von McAfee definierte Regeln, Informationen 54
von McAfee definierte Regeln, konfigurieren 53
Zugriffssmodi, Endpoint Security-Client 14
Zulassen von Dateien und Zertifikaten 111
Produkthandbuch
0-15

McAfee Endpoint Security 10.1 Produkthandbuch

Transcription

Similar documents

Endpoint Security 10 Produkthandbuch - Knowledge Center

McAfee Security for Microsoft Exchange 8.0.0 Produkthandbuch

McAfee Data Exchange Layer - Whitepaper

Endpoint Security 10.2.0 Migrationshandbuch

McAfee ePolicy Orchestrator 5.3.0 – Software

Online-Spiele

Benutzerhandbuch be.IP

McAfee Host Intrusion Prevention 8.0

Amazon Web Services: Risiko und Compliance

McAfee Endpoint Security 10.1.0 Migrationshandbuch Zur

Cyberoam 4page brochure 22-12

McAfee Endpoint Security 10.2.0 Installationshandbuch Zur

Antivirus

OpenCms 6.0 - Handbuch - Strukturierte Inhalte

advice

Cisco ASA 5500 Series Adaptive Security Appliances