Producthandleiding. McAfee Endpoint Security 10.1

Transcriptie

1 Producthandleiding McAfee Endpoint Security 10.1

2 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, , HANDELSMERKEN Intel en het Intel logo zijn gedeponeerde handelsmerken van Intel Corporation in de Verenigde Staten en/of andere landen. McAfee, het McAfee logo, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource, VirusScan zijn handelsmerken of gedeponeerde handelsmerken van McAfee, Inc. of haar dochterondernemingen in de Verenigde Staten en andere landen. Andere namen en merken kunnen worden geclaimd als het eigendom van anderen. LICENTIE-INFORMATIE Licentieovereenkomst KENNISGEVING VOOR ALLE GEBRUIKERS: LEES DE JURIDISCHE OVEREENKOMST DIE BIJ DE DOOR U GEKOCHTE LICENTIE HOORT ZORGVULDIG DOOR. DEZE OVEREENKOMST BETREFT DE ALGEMENE VOORWAARDEN EN BEPALINGEN VOOR HET GEBRUIK VAN DE SOFTWARE ONDER DEZE LICENTIE. ALS U NIET WEET WELK TYPE LICENTIE U HEBT AANGESCHAFT, RAADPLEEGT U DE VERKOOPOVEREENKOMST OF ANDERE DOCUMENTEN DIE BIJ DE SOFTWARE ZIJN GELEVERD OF DIE U AFZONDERLIJK HEBT ONTVANGEN BIJ DE AANKOOP. (DIT KUNNEN DOCUMENTEN ZIJN IN DE VORM VAN EEN BOEKJE, EEN BESTAND OP DE CD VAN HET PRODUCT OF EEN BESTAND OP DE WEBSITE VANWAAR U HET SOFTWAREPAKKET HEBT GEDOWNLOAD.) INDIEN U NIET INSTEMT MET EEN OF MEERDERE BEPALINGEN VAN DEZE OVEREENKOMST, MAG U DE SOFTWARE NIET INSTALLEREN. INDIEN VAN TOEPASSING, KUNT U HET PRODUCT TERUGSTUREN NAAR MCAFEE OF TERUGBRENGEN NAAR DE PLAATS WAAR U DIT HEBT AANGESCHAFT, WAARNA HET VOLLEDIGE AANKOOPBEDRAG ZAL WORDEN GERESTITUEERD. 2 McAfee Endpoint Security 10.1 Producthandleiding

3 Inhoud McAfee Endpoint Security 5 1 Inleiding 7 Endpoint Security-modules Hoe Endpoint Security uw computer beveiligt Hoe uw beveiliging up-to-date blijft Werken met Endpoint Security Het McAfee-systeemvakpictogram Meldingsberichten De Endpoint Security-client De Endpoint Security-client gebruiken 17 De Endpoint Security-client openen Help-informatie Reageren op prompts Reageren op een prompt van een bedreigingsdetectie Reageren op een scanprompt Reageren op een vraag over bestandsreputatie Informatie over uw beveiliging verkrijgen Beheertypen Beveiliging en software handmatig bijwerken Wat er bijgewerkt wordt Het Gebeurtenislogboek Logboekbestanden Endpoint Security beheren Aanmelden als beheerder De clientinterface ontgrendelen Functies uit- en inschakelen De AMCore-inhoudsversie wijzigen Extra.DAT-bestanden gebruiken Algemene instellingen configureren Updategedrag configureren Bedreigingspreventie Gebruiken 41 Uw computer scannen op malware Typen scans Een Volledige scan of Snelle scan uitvoeren Een bestand of map scannen Bedreigingsdetecties beheren Items in quarantaine beheren Namen gedetecteerde items Items in quarantaine opnieuw scannen Bedreigingspreventie beheren Uitsluitingen configureren De toegangspunten van uw systeem beveiligen McAfee Endpoint Security 10.1 Producthandleiding 3

4 Inhoud Misbruik van bufferoverloop blokkeren Mogelijk ongewenste programma's detecteren Algemene scaninstellingen configureren Configureer de instellingen voor Scannen bij toegang instellingen voor Scan op verzoek configureren Scantaken configureren, plannen en uitvoeren Firewall gebruiken 77 Zo werkt Firewall Getimede groepen van Firewall inschakelen of weergeven Firewall beheren Firewall-opties wijzigen Firewall-regels en -groepen beheren Webcontrole gebruiken 91 Functies van Webcontrole Hoe Webcontrole een site of download blokkeert of voorziet van een waarschuwing De knop Webcontrole geeft bedreigingen tijdens het surfen weer Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken Siterapporten bieden informatie Hoe veiligheidsclassificaties worden samengesteld Webcontrole-functies gebruiken De invoegtoepassing Webcontrole inschakelen via de browser Informatie over een site bekijken tijdens het surfen Siterapport weergeven tijdens zoeken Webcontrole beheren Webcontrole-opties configureren Classificatieacties opgeven en sitetoegang blokkeren op basis van webcategorie Bedreigingsinformatie gebruiken 103 Zo werkt Bedreigingsinformatie Bedreigingsinformatie beheren Info over Bedreigingsinformatie Opties van Bedreigingsinformatie configureren Index McAfee Endpoint Security 10.1 Producthandleiding

5 McAfee Endpoint Security McAfee Endpoint Security is een uitgebreide beveiligingsbeheeroplossing voor netwerkcomputers waarmee bedreigingen automatisch worden geïdentificeerd en gestopt. In deze Help wordt toegelicht hoe u eenvoudige beveiligingsfuncties kunt gebruiken en problemen kunt oplossen. Aan de slag Endpoint Security-modules op pagina 7 Hoe Endpoint Security uw computer beveiligt op pagina 8 Werken met Endpoint Security op pagina 9 Vaak uitgevoerde taken De Endpoint Security-client openen op pagina 17 Beveiliging en software handmatig bijwerken op pagina 21 Uw computer scannen op malware op pagina 41 De clientinterface ontgrendelen op pagina 26 Meer informatie Meer informatie over dit product vindt u hier: McAfee Endpoint Security - Installatiehandleiding McAfee Endpoint Security - Migratiehandleiding Versie-informatie McAfee Endpoint Security Endpoint Security-bedreigingspreventie Endpoint Security-bedreigingspreventie Help van Endpoint Security-firewall Help van Endpoint Security-webcontrole Endpoint Security-bedreigingsinformatie Help Ondersteuning van McAfee McAfee Endpoint Security 10.1 Producthandleiding 5

6 McAfee Endpoint Security 6 McAfee Endpoint Security 10.1 Producthandleiding

7 1 Inleiding 1 Endpoint Security is een uitgebreide beveiligingsbeheeroplossing voor netwerkcomputers waarmee bedreigingen automatisch worden geïdentificeerd en gestopt. In deze Help wordt toegelicht hoe u eenvoudige beveiligingsfuncties kunt gebruiken en problemen kunt oplossen. Als uw computer wordt beheerd, wordt de set-up en configuratie van Endpoint Security uitgevoerd door een beheerder via een van deze beheerservers: McAfee epolicy Orchestrator (McAfee epo ) McAfee epolicy Orchestrator Cloud (McAfee epo Cloud) Hebt u een computer in eigen beheer, dan wordt de configuratie van de software via de Endpoint Security-client uitgevoerd door u (of uw beheerder). Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee epo. Inhoud Endpoint Security-modules Hoe Endpoint Security uw computer beveiligt Werken met Endpoint Security Endpoint Security-modules De beheerder configureert en installeert een of meer Endpoint Security-modules op clientcomputers. Bedreigingspreventie : hiermee wordt gecontroleerd op virussen, spyware, ongewenste programma's en andere bedreigingen door middel van automatische scans wanneer u een programma opent of op aanvraag op een ander gewenst moment. Firewall : hiermee wordt de communicatie tussen de computer en resources op het netwerk en internet gecontroleerd. Verdachte communicatie wordt onderschept. Webcontrole : hiermee worden veiligheidsclassificaties en rapporten voor websites weergegeven tijdens online surfen en zoeken. Met Webcontrole kan de sitebeheerder toegang tot websites blokkeren op basis van veiligheidsclassificatie of inhoud. Bedreigingsinformatie : biedt aanpasbare, contextgevoelige beveiliging voor uw netwerkomgeving. Bedreigingsinformatie analyseert de inhoud van uw onderneming en beslist aan de hand van de reputatie van een bestand en de criteria van uw beheerder of het betrouwbaar is. Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee epo. Bovendien biedt de module Gedeelde instellingen instellingen voor algemene functies, zoals interfacebeveiliging en registratie in logboek. Deze module wordt automatisch geïnstalleerd als er een andere module wordt geïnstalleerd. McAfee Endpoint Security 10.1 Producthandleiding 7

8 1 Inleiding Hoe Endpoint Security uw computer beveiligt Hoe Endpoint Security uw computer beveiligt Een beheerder stelt gewoonlijk Endpoint Security in, installeert de software op clientcomputers, controleert de beveiligingsstatus en stelt beveiligingsregels (een beleid) in. Als gebruiker van een clientcomputer verloopt uw interactie met Endpoint Security via clientsoftware die op uw computer is geïnstalleerd. Het beleid dat door de beheerder is ingesteld, bepaalt hoe de modules en functies op uw computer werken en of u ze kunt aanpassen. Als Endpoint Security in eigen beheer is, kunt u opgeven hoe de modules en functies werken. Bekijk de pagina Info om het beheertype te bepalen. Met regelmatige tussenpozen wordt door de clientsoftware op uw computer verbinding gemaakt met een internetsite om de softwareonderdelen bij te werken. Tegelijkertijd worden gegevens over detecties op uw computer naar de beheerserver verzonden. Met deze gegevens worden rapporten gegenereerd voor de beheerder over detecties en beveiligingsproblemen op uw computer. Normaal gesproken werkt de clientsoftware op de achtergrond bij en is er geen interactie van uw kant vereist. Soms is er echter wel interactie nodig. U wilt bijvoorbeeld controleren of er software-updates zijn of handmatig een malwarescan uitvoeren. Afhankelijk van het beleid dat de beheerder heeft ingesteld, kunt u mogelijk ook de beveiligingsinstellingen aanpassen. Als u beheerder bent, kunt u de clientsoftware centraal beheren en configureren met McAfee epo of McAfee epo Cloud. Zie ook Informatie over uw beveiliging verkrijgen op pagina 20 Hoe uw beveiliging up-to-date blijft Dankzij geregelde updates van Endpoint Security wordt uw computer altijd beveiligd tegen de nieuwste bedreigingen. Bij het uitvoeren van updates maakt de clientsoftware verbinding met een lokale of externe McAfee epo-server of rechtstreeks met een site op internet. Endpoint Security controleer op het volgende: Updates voor de inhoudsbestanden die worden gebruikt voor het detecteren van bedreigingen. In inhoudsbestanden zijn definities opgenomen voor bedreigingen zoals virussen en spyware, en deze definities worden bijgewerkt zodra zich nieuwe bedreigingen voordoen. Upgrades voor softwareonderdelen, zoals patches en hotfixes. Ter vereenvoudiging van terminologie wordt de term updates in deze Help gebruikt voor updates en upgrades. Updates worden meestal automatisch op de achtergrond uitgevoerd. Wellicht moet u tevens handmatig controleren of er updates zijn. Afhankelijk van uw instellingen kunt u uw bescherming handmatig bijwerken vanuit de Endpoint Security-client door op te klikken. Zie ook Beveiliging en software handmatig bijwerken op pagina 21 8 McAfee Endpoint Security 10.1 Producthandleiding

9 Inleiding Werken met Endpoint Security 1 Hoe inhoudsbestanden werken Wanneer de scanengine bestanden doorzoekt op bedreigingen, wordt de inhoud van de gescande bestanden vergeleken met gegevens van bekende bedreigingen in de AMCore-inhoudsbestanden. Exploitpreventie gebruikt eigen inhoudsbestanden om te beschermen tegen exploits. AMCore-inhoud McAfee Labs vindt informatie over bekende bedreigingen (handtekeningen) en voegt deze toe aan de inhoudsbestanden. Naast handtekeningen bevatten inhoudsbestanden informatie over het verwijderen en oplossen van schade die het gedetecteerde virus kan veroorzaken. Als de handtekening van een virus zich niet in een van de geïnstalleerde inhoudsbestanden bevindt, kan de scanengine dat virus niet detecteren en verwijderen. Er duiken regelmatig nieuwe bedreigingen op. McAfee Labs brengt bijna dagelijks updates en nieuwe inhoudsbestanden uit, waarin de resultaten van het voortdurende onderzoek met betrekking tot bedreigingen zijn verwerkt, rond uur. (GMT). Endpoint Security slaat het huidig geladen inhoudsbestand en de eerdere twee versies op in de Program Files\Common Files\McAfee\Engine\content-map op. Indien vereist kunt u naar een eerdere versie terugkeren. Als nieuwe malware wordt ontdekt en extra detectie is vereist buiten het gewone inhoudsupdateschema om, brengt McAfee Labs een Extra.DAT-bestand uit. Inhoud van Exploitpreventie De inhoud van Exploitpreventie bestaat uit: Handtekeningen voor geheugenbeveiliging: generieke bufferoverloopbeveiliging en gerichte API-controle. Lijst met beveiligde toepassingen: processen die worden beschermd door Exploitpreventie. McAfee geeft maandelijks nieuwe Exploitpreventie-inhoudsbestanden uit. Werken met Endpoint Security Endpoint Security heeft visuele onderdelen voor het werken met de Endpoint Security-client. McAfee-pictogram in het Windows-systeemvak: hiermee kunt u de Endpoint Security-client starten en de beveiligingsstatus weergeven. Meldingen: stellen u op de hoogte van scan- en firewallinbraakdetecties en bestanden met een onbekende reputatie en vragen u om invoer. De pagina Scan bij toegang: hiermee wordt de lijst met bedreigingsdetecties weergegeven wanneer de scanner bij toegang een bedreiging detecteert. Endpoint Security-client: geeft de huidige beveiligingsstatus weer en biedt toegang tot functies. Voor beheerde systemen configureert de beheerder beleidsregels die worden toegewezen om op te geven welke onderdelen worden weergegeven. Zie ook Het McAfee-systeemvakpictogram op pagina 10 Meldingsberichten op pagina 11 Bedreigingsdetecties beheren op pagina 45 De Endpoint Security-client op pagina 12 McAfee Endpoint Security 10.1 Producthandleiding 9

10 1 Inleiding Werken met Endpoint Security Het McAfee-systeemvakpictogram Het McAfee-pictogram in het Windows-systeemvak biedt toegang tot de Endpoint Security-client en enkele basistaken. Het McAfee-pictogram is mogelijk niet beschikbaar, afhankelijk van hoe de instellingen zijn geconfigureerd. Gebruik het McAfee-systeemvakpictogram om het volgende te doen: De beveiligingsstatus controleren. Endpoint Security-client openen. Beveiliging en software handmatig bijwerken. Getimede groepen van Firewall inschakelen of weergeven. Klik met de rechtermuisknop op het pictogram en selecteer Beveiligingsstatus bekijken om de pagina McAfee-beveiligingsstatus weer te geven. Klik met de rechtermuisknop op het pictogram en selecteer McAfee Endpoint Security. Klik met de rechtermuisknop op het pictogram en selecteer Beveiliging bijwerken. Zie Wat er bijgewerkt wordt op pagina 22. Klik met de rechtermuisknop op het pictogram en selecteer een optie in het menu Snelinstellingen: Getimede groepen van Firewall inschakelen: hiermee worden getimede groepen gedurende een opgegeven tijd ingeschakeld om toegang tot het internet zonder netwerk toe te staan, voordat regels die de toegang beperken worden toegepast. Telkens als u deze optie selecteert, wordt de tijd voor de groepen opnieuw ingesteld. Getimede groepen van Firewall weergeven: hiermee worden de namen van de getimede groepen weergegeven, evenals de actieve tijd die over is voor elke groep. Deze opties zijn mogelijk niet beschikbaar, afhankelijk van hoe de instellingen zijn geconfigureerd. Hoe het pictogram de status van Endpoint Security aanduidt De weergave van het pictogram duidt de status van Endpoint Security aan. Houd de aanwijzer boven het pictogram om een bericht weer te geven waarin de status wordt beschreven. 10 McAfee Endpoint Security 10.1 Producthandleiding

11 Inleiding Werken met Endpoint Security 1 Pictogram Betekenis... Endpoint Security beschermt uw systeem en er zijn geen problemen. Endpoint Security detecteert een probleem met uw beveiliging, bijvoorbeeld een module of technologie is uitgeschakeld. Firewall is uitgeschakeld. Bedreigingspreventie: Exploitpreventie, Scan bij toegang of ScriptScan is uitgeschakeld. Endpoint Security rapporteert problemen anders, afhankelijk van het beheertype. Eigen beheer: Een of meer technologieën zijn uitgeschakeld. Een of meer technologieën reageren niet. Beheerd: Een of meer technologieën zijn uitgeschakeld, niet als resultaat van beleidshandhaving door de beheerserver of via de Endpoint Security-client. Een of meer technologieën reageren niet. Bij detectie van een probleem wordt op de pagina McAfee-beveiligingsstatus aangegeven welke module of technologie is uitgeschakeld. Zie ook Wat er bijgewerkt wordt op pagina 22 Meldingsberichten Endpoint Security gebruikt twee typen berichten om u op de hoogte te stellen over problemen met uw bescherming of om invoer te vragen. Sommige berichten worden mogelijk niet weergegeven, afhankelijk van hoe de instellingen zijn geconfigureerd. Het proces McTray.exe moet voor Endpoint Security worden uitgevoerd om meldingen weer te geven. Endpoint Security verzendt twee typen meldingen: Waarschuwingen verschijnen vijf seconden lang via het pictogram McAfee en verdwijnen vervolgens weer. Waarschuwingen stellen u op de hoogte van bedreigingsdetecties, zoals Firewall-inbraken of wanneer een scan op verzoek wordt gepauzeerd of hervat. U hoeft geen actie te ondernemen. Prompts openen een pagina onder aan uw scherm en blijven zichtbaar tot u een optie selecteert. Bijvoorbeeld: Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, vraagt Endpoint Security u mogelijk om de scan uit te stellen. Wanneer de scan bij toegang een bedreiging detecteert, vraagt Endpoint Security u misschien om op de detectie te reageren. Wanneer Bedreigingsinformatie een bestand met een onbekende reputatie detecteert, vraagt Endpoint Security u mogelijk of u het bestand wilt toestaan of blokkeren. Windows 8 en 10 gebruiken pop-upmeldingen: berichten die verschijnen om u op de hoogte te stellen van waarschuwingen en prompts. Klik op de pop-upmelding om de melding in Bureaubladmodus weer te geven. McAfee Endpoint Security 10.1 Producthandleiding 11

12 1 Inleiding Werken met Endpoint Security Zie ook Reageren op een prompt van een bedreigingsdetectie op pagina 18 Reageren op een scanprompt op pagina 19 Reageren op een vraag over bestandsreputatie op pagina 19 De Endpoint Security-client Met de Endpoint Security-client kunt u de beveiligingsstatus van uw computer controleren en functies gebruiken. Opties in het menu Actie bieden toegang tot functies. Instellingen Extra.DAT laden AMCore-inhoud terugzetten Help Ondersteuningskoppelingen Aanmelden als beheerder Info Afsluiten Hiermee worden instellingen van functies geconfigureerd. Deze menuoptie is beschikbaar als aan een van de volgende voorwaarden is voldaan: De Clientinterfacemodus is ingesteld op Volledige toegang. U bent aangemeld als beheerder. Hiermee kunt u een gedownload Extra.DAT-bestand installeren. Hiermee wordt AMCore-inhoud hersteld naar een eerdere versie. Deze menuoptie is beschikbaar als er een eerdere versie van AMCore-inhoud op het systeem staat en aan een van de volgende voorwaarden wordt voldaan: De Clientinterfacemodus is ingesteld op Volledige toegang. U bent aangemeld als beheerder. Hiermee wordt de Help weergegeven. Hiermee wordt een pagina weergegeven met koppelingen naar nuttige pagina's, zoals de McAfee ServicePortal en het Kenniscentrum. Hiermee wordt u aangemeld als sitebeheerder. (Hiervoor zijn beheerdersrechten vereist.) Het standaardwachtwoord is mcafee. Deze menuoptie is beschikbaar als de Clientinterfacemodus niet is ingesteld op Volledige toegang. Als u al bent aangemeld als beheerder, is deze optie Afmelden als beheerder. Hiermee wordt informatie over Endpoint Security weergegeven. Hiermee wordt de Endpoint Security-client afgesloten. Knoppen rechtsboven aan de pagina bieden snel toegang tot veelgebruikte taken. Hiermee wordt op malware gecontroleerd met een Volledige scan of Snelle scan van uw systeem. Deze knop is alleen beschikbaar als de module Bedreigingspreventie is geïnstalleerd. Hiermee worden inhoudsbestanden en softwareonderdelen op uw computer bijgewerkt. Deze knop wordt mogelijk niet weergegeven, afhankelijk van hoe de instellingen zijn geconfigureerd. 12 McAfee Endpoint Security 10.1 Producthandleiding

13 Inleiding Werken met Endpoint Security 1 Knoppen aan de linkerkant van de pagina bieden informatie over uw beveiliging. Status Gebeurtenislogboek Quarantaine Hiermee keert u terug naar de hoofdpagina Status. Hiermee wordt het logboek van alle beveiligings- en bedreigingsgebeurtenissen op deze computer weergegeven. Hiermee wordt de Quarantine Manager geopend. Deze knop is alleen beschikbaar als de module Bedreigingspreventie is geïnstalleerd. Het Bedreigingsoverzicht biedt u informatie over bedreigingen die Endpoint Security in de afgelopen 30 dagen op uw systeem heeft gedecteerd. Zie ook Een Extra.DAT-bestand op pagina 28 Aanmelden als beheerder op pagina 25 Uw computer scannen op malware op pagina 41 Beveiliging en software handmatig bijwerken op pagina 21 Het Gebeurtenislogboek op pagina 22 Items in quarantaine beheren op pagina 46 Endpoint Security beheren op pagina 25 Het Bedreigingsoverzicht op pagina 13 Het Bedreigingsoverzicht De pagina Endpoint Security-client Status biedt een realtime-overzicht van bedreigingen die in de afgelopen 30 dagen op uw systeem zijn gedetecteerd. Wannneer nieuwe bedreigingen worden gedetecteerd, werkt de pagina Status de gegevens in het gedeelte Bedreigingsoverzicht in het onderste venster dynamisch bij. Het Bedreigingsoverzicht bevat: Datum van de bedreiging die het laatst is geëlimineerd Belangrijkste twee bedreigingsvectoren op categorie: Web Extern toestel of externe media Netwerk Lokaal systeem Bestanden delen Expresbericht Onbekend Aantal bedreigingen per bedreigingsvector Bedreigingen van webpagina's of downloads. Bedreigingen van externe apparaten, zoals USB, 1394 firewire, esata, tape, cd, dvd of schijf. Bedreigingen van het netwerk (niet van bestandsdeling via netwerk). Bedreigingen van het lokale station met opstartbestanden (meestal C:) of stations anders dan Extern toestel of externe media. Bedreigingen van bestandsdeling via netwerk. Bedreigingen van berichten. Bedreigingen van expresberichten. Bedreigingen waarbij aanvalsvector niet is vastgesteld (vanwege foutconditie of andere fout). Als de Endpoint Security-client de Event Manager niet kan bereiken, geeft Endpoint Security-client een communicatiefoutbericht weer. In dit geval start u uw systeem opnieuw op om het Bedreigingsoverzicht weer te geven. McAfee Endpoint Security 10.1 Producthandleiding 13

14 1 Inleiding Werken met Endpoint Security Het effect van instellingen op uw toegang tot de client Clientinterfacemodus-instellingen die aan uw computer zijn toegewezen, bepalen tot welke modules en functies u toegang hebt. Wijzig de Clientinterfacemodus in de Gedeelde instellingen. Voor beheerde systemen kunnen beleidswijzigingen van McAfee epo wijzigingen overschrijven van de pagina Instellingen. De opties van de Clientinterfacemodus voor de client zijn: Volledige toegang Hiermee wordt toegang tot alle functies ingeschakeld, waaronder: Afzonderlijke modules en functies in- en uitschakelen. De pagina Instellingen oproepen om alle instellingen voor de Endpoint Security-client weer te geven of te wijzigen. Dit is de standaardinstelling voor systemen in eigen beheer. Standaardtoegang Hiermee wordt de beveiligingsstatus weergegeven en is toegang tot de meeste functies toegestaan: De inhoudsbestanden en softwareonderdelen op uw computer bijwerken (indien ingeschakeld door de beheerder). Een grondige controle van alle gebieden van uw systeem uitvoeren, aanbevolen als u denkt dat uw systeem is geïnfecteerd. Gebieden van uw systeem die het meest vatbaar zijn voor infectie snel scannen (2 minuten). Het Gebeurtenislogboek oproepen. Items in de Quarantaine beheren. Deze modus is de standaardinstelling voor systemen die worden beheerd door McAfee epo of McAfee epo Cloud. Via de interfacemodus Standaardtoegang kunt u zich aanmelden als beheerder om toegang te krijgen tot alle functies, waaronder alle instellingen. Clientinterface vergrendelen Er is een wachtwoord vereist voor toegang tot de client. Het standaardwachtwoord is mcafee. Wanneer u de clientinterface hebt ontgrendeld, hebt u toegang tot alle functies. Neem contact op met uw beheerder als u geen toegang hebt tot de Endpoint Security-client of specifieke taken en functies die u nodig hebt voor uw werk. Zie ook Instellingen voor de beveiliging van de clientinterface configureren op pagina 31 Hoe geïnstalleerde modules de client beïnvloeden Bepaalde aspecten van de client zijn mogelijk niet beschikbaar, afhankelijk van de geïnstalleerde modules op uw computer. Deze functies zijn alleen beschikbaar als Bedreigingspreventie geïnstalleerd is: Knop Knop Quarantaine 14 McAfee Endpoint Security 10.1 Producthandleiding

15 Inleiding Werken met Endpoint Security 1 De functies die op het systeem zijn geïnstalleerd, bepalen welke functies worden weergegeven: In de vervolgkeuzelijst Gebeurtenislogboek Filteren op module. Op de pagina Instellingen. Gedeelde instellingen Bedreigingspreventie Firewall Webcontrole Bedreigingsinformatie Wordt weergegeven als een module is geïnstalleerd. Wordt alleen weergegeven als Bedreigingspreventie is geïnstalleerd. Wordt alleen weergegeven als Firewall is geïnstalleerd. Wordt alleen weergegeven als Webcontrole is geïnstalleerd. Wordt alleen weergegeven als Bedreigingsinformatie en Bedreigingspreventie zijn geïnstalleerd. Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee epo. Voor Bedreigingsinformatie moet Bedreigingspreventie zijn geïnstalleerd. Afhankelijk van de Clientinterfacemodus en hoe de beheerder uw toegang heeft geconfigureerd, zijn enkele of al deze functies mogelijk niet beschikbaar. Zie ook Het effect van instellingen op uw toegang tot de client op pagina 14 McAfee Endpoint Security 10.1 Producthandleiding 15

16 1 Inleiding Werken met Endpoint Security 16 McAfee Endpoint Security 10.1 Producthandleiding

17 2 De 2 Endpoint Security-client gebruiken Gebruik de client in de modus Standaardtoegang om de meeste functies uit te voeren, zoals systeemscans en beheer van items in quarantaine. Inhoud De Endpoint Security-client openen Help-informatie Reageren op prompts Informatie over uw beveiliging verkrijgen Beveiliging en software handmatig bijwerken Het Gebeurtenislogboek Endpoint Security beheren De Endpoint Security-client openen Open de Endpoint Security-client om de status van de beveiligingsfuncties die op de computer zijn geïnstalleerd, weer te geven. Als de interfacemodus is ingesteld op Clientinterface vergrendelen, moet u het beheerderswachtwoord invoeren om de Endpoint Security-client te openen. Procedure 1 U geeft de Endpoint Security-client op een van de volgende manieren weer: Klik met de rechtermuisknop op het pictogram in het systeemvak en selecteer McAfee Endpoint Security. Selecteren Start Alle programma's McAfee McAfee Endpoint Security. Start de McAfee Endpoint Security-app in Windows 8 en Druk op de Windows-toets. 2 Voer McAfee Endpoint Security in het zoekvak in en dubbelklik op de McAfee Endpoint Security-app of raak de app aan. 2 Indien u daarom gevraagd wordt, voert u het beheerderswachtwoord op de pagina Aanmelden als beheerder in en klikt u op Aanmelden. Endpoint Security-client wordt geopend in de interfacemodus die de beheerder heeft geconfigureerd. Zie ook De clientinterface ontgrendelen op pagina 26 McAfee Endpoint Security 10.1 Producthandleiding 17

18 2 De Endpoint Security-client gebruiken Help-informatie Help-informatie U kunt op twee manieren hulp verkrijgen wanneer u in de client werkt: de menuoptie Help en het pictogram?. Procedure 1 Open de Endpoint Security-client. 2 Afhankelijk van de pagina waarop u zich bevindt: De pagina's Status, Gebeurtenislogboek en Quarantaine: selecteer in het menu Actie de optie Help. De pagina's Instellingen, Update, Systeem scannen, AMCore-inhoud terugzetten en Extra.DAT laden: klik op? in de interface. Reageren op prompts Afhankelijk van hoe instellingen zijn geconfigureerd, vraagt Endpoint Security u mogelijk om invoer wanneer een geplande scan op aanvraag op het punt staat om te starten. Taken Reageren op een prompt van een bedreigingsdetectie op pagina 18 Wanneer de scanner een bedreiging detecteert, vraagt Endpoint Security u misschien om invoer om door te gaan, afhankelijk van hoe de instellingen zijn geconfigureerd. Reageren op een scanprompt op pagina 19 Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, vraagt Endpoint Security u mogelijk om invoer om verder te gaan. De prompt wordt alleen weergegeven als de scan zo is geconfigureerd dat u de scan kunt uitstellen, onderbreken, hervatten of annuleren. Reageren op een vraag over bestandsreputatie op pagina 19 Wanneer een bestand met een bepaalde reputatie probeert te openen op uw systeem, vraagt Endpoint Security u misschien om invoer om door te gaan. Deze prompt wordt alleen weergegeven als Bedreigingsinformatie geconfigureerd is om dit te doen. Reageren op een prompt van een bedreigingsdetectie Wanneer de scanner een bedreiging detecteert, vraagt Endpoint Security u misschien om invoer om door te gaan, afhankelijk van hoe de instellingen zijn geconfigureerd. Windows 8 en 10 gebruiken pop-upmeldingen: berichten die verschijnen om u op de hoogte te stellen van waarschuwingen en prompts. Klik op de pop-upmelding om de melding in Bureaubladmodus weer te geven. Procedure Klik voor optiedefinities op? in de interface. Selecteer op de pagina Scan bij toegang opties om bedreigingsdetecties te beheren. U kunt de scanpagina op elk moment opnieuw openen om detecties te beheren. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. Zie ook Bedreigingsdetecties beheren op pagina McAfee Endpoint Security 10.1 Producthandleiding

19 De Endpoint Security-client gebruiken Reageren op prompts 2 Reageren op een scanprompt Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, vraagt Endpoint Security u mogelijk om invoer om verder te gaan. De prompt wordt alleen weergegeven als de scan zo is geconfigureerd dat u de scan kunt uitstellen, onderbreken, hervatten of annuleren. Als u geen optie selecteert, gaat de scan automatisch van start. (Alleen beheerde systemen) Als de scan is geconfigureerd om de scan alleen uit te voeren wanneer de computer niet actief is, geeft Endpoint Security een dialoogvenster weer wanneer de scan wordt onderbroken. Als deze optie is geconfigureerd, kunt u deze onderbroken scans ook hervatten of opnieuw instellen zodat ze alleen worden uitgevoerd wanneer u niet actief bent. Windows 8 en 10 gebruiken pop-upmeldingen: berichten die verschijnen om u op de hoogte te stellen van waarschuwingen en prompts. Klik op de pop-upmelding om de melding in Bureaubladmodus weer te geven. Procedure Klik voor optiedefinities op? in de interface. Selecteer een van de volgende opties bij de prompt. Welke opties worden weergegeven, is afhankelijk van hoe de scan is geconfigureerd. Nu scannen Scan weergeven Scan onderbreken Scan hervatten Scan annuleren Scan uitstellen Hiermee wordt de scan onmiddellijk gestart. Hiermee worden detecties weergegeven voor een scan die wordt uitgevoerd. Hiermee wordt de scan gepauzeerd. Afhankelijk van de configuratie wordt de scan, wanneer u op Scan onderbreken klikt, misschien opnieuw ingesteld om alleen te worden uitgevoerd wanneer u niet actief bent. Klik op Scan hervatten om de scan te hervatten op het punt waarop de scan werd onderbroken. Hiermee wordt een onderbroken scan hervat. Hiermee wordt de scan geannuleerd. Hiermee wordt de scan met het opgegeven aantal uur vertraagd. Opties voor geplande scans bepalen hoe vaak u de scan met één uur kunt uitstellen. U kunt de scan misschien meer dan een keer uitstellen. Sluiten Hiermee wordt de scanpagina gesloten. Wanneer de scanner een bedreiging detecteert, vraagt Endpoint Security u misschien om invoer om door te gaan, afhankelijk van hoe de instellingen zijn geconfigureerd. Reageren op een vraag over bestandsreputatie Wanneer een bestand met een bepaalde reputatie probeert te openen op uw systeem, vraagt Endpoint Security u misschien om invoer om door te gaan. Deze prompt wordt alleen weergegeven als Bedreigingsinformatie geconfigureerd is om dit te doen. Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee epo. De beheerder configureert de reputatiedrempel, waarna een prompt wordt weergegeven. Als de reputatiedrempel bijvoorbeeld Onbekend is, vraagt Endpoint Security uw reactie voor alle bestanden met een onbekende reputatie. McAfee Endpoint Security 10.1 Producthandleiding 19

20 2 De Endpoint Security-client gebruiken Informatie over uw beveiliging verkrijgen Als u geen optie selecteert, voert Bedreigingsinformatie de standaardactie uit die is geconfigureerd door de beheerder. De prompt, time-out en standaardactie zijn afhankelijk van de configuratie van Bedreigingsinformatie. Windows 8 en 10 gebruiken pop-upmeldingen: berichten die verschijnen om u op de hoogte te stellen van waarschuwingen en prompts. Klik op de pop-upmelding om de melding in Bureaubladmodus weer te geven. Procedure Klik voor optiedefinities op? in de interface. 1 (Optioneel) Bij de prompt voert u het bericht in dat naar de beheerder wordt gestuurd. Gebruik het bericht bijvoorbeeld om het bestand te beschrijven of om uw beslissing om het bestand toe te staan of te blokkeren op uw systeem toe te lichten. 2 Klik op Toestaan of Blokkeren. Toestaan Blokkeren Hiermee wordt het bestand toegestaan. Hiermee wordt het bestand op uw systeem geblokkeerd. Als u wilt dat Bedreigingsinformatie onthoudt of u het bestand toestaat of blokkeert, selecteert u Deze beslissing onthouden. Bedreigingsinformatie voert een actie uit op basis van uw keuze, of de standaardactie, en sluit het promptvenster. Informatie over uw beveiliging verkrijgen U kunt informatie verkrijgen over Endpoint Security-bescherming, waaronder beheertype, beveiligingsmodules, functies, status, versienummers en licenties. Procedure 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Info. 3 Klik op de naam van een module of functie aan de linkerkant om naar informatie over dat item te springen. 4 Klik op de knop Sluiten van de browser om de pagina Info te sluiten. Zie ook Beheertypen op pagina 20 De Endpoint Security-client openen op pagina 17 Beheertypen Het beheertype geeft aan hoe Endpoint Security wordt beheerd. Voor beheerde systemen kunnen beleidswijzigingen van McAfee epo wijzigingen overschrijven van de pagina Instellingen. 20 McAfee Endpoint Security 10.1 Producthandleiding

21 De Endpoint Security-client gebruiken Beveiliging en software handmatig bijwerken 2 Beheertype McAfee epolicy Orchestrator McAfee epolicy Orchestrator Cloud Eigen beheer Beschrijving Een beheerder beheert Endpoint Security via McAfee epo (op locatie). Een beheerder beheert Endpoint Security via McAfee epo Cloud. Endpoint Security wordt lokaal beheerd via Endpoint Security-client. Deze modus wordt ook onbeheerd of zelfstandig genoemd. Beveiliging en software handmatig bijwerken Afhankelijk van uw instellingen kunt u handmatig op updates voor inhoudsbestanden en softwareonderdelen controleren en deze downloaden van de Endpoint Security-client.. Handmatige updates staan bekend als updates op verzoek. U kunt ook handmatige updates uitvoeren via het McAfee-systeemvakpictogram. Raadpleeg Het McAfee-systeemvakpictogram op pagina 10 voor meer informatie. Endpoint Security biedt geen ondersteuning voor het handmatig ophalen en kopiëren van bijgewerkte inhoudsbestanden naar het clientsysteem. Als u hulp nodig hebt bij het bijwerken naar een specifieke inhoudsversie, neem dan contact op met Ondersteuning van McAfee. Procedure 1 Open de Endpoint Security-client. 2 Klik op. Als niet in de client wordt weergegeven, kunt u de optie in de instellingen inschakelen. Raadpleeg Het standaardgedrag configureren voor updates op pagina 35 voor meer informatie. Endpoint Security-client controleert op updates. Klik op Annuleren om de update te annuleren. Deze optie is alleen beschikbaar op systemen in eigen beheer en in beheer van McAfee epo. Als uw systeem up-to-date is, wordt Geen updates beschikbaar en de datum en tijd van de laatste update op de pagina weergegeven. Als de update goed wordt voltooid, worden de huidige datum en tijd voor de laatste update weergegeven. Berichten of fouten worden in het gedeelte Berichten weergegeven. Bekijk het PackageManager_Activity.log of PackageManager_Debug.log voor meer informatie. 3 Klik op Sluiten om de pagina Bijwerken te sluiten. Zie ook Hoe uw beveiliging up-to-date blijft op pagina 8 Logboekbestanden op pagina 23 Wat er bijgewerkt wordt op pagina 22 De Endpoint Security-client openen op pagina 17 McAfee Endpoint Security 10.1 Producthandleiding 21

22 2 De Endpoint Security-client gebruiken Het Gebeurtenislogboek Wat er bijgewerkt wordt De manier waarop Endpoint Security beveiligingsinhoud, software (hotfixes en patches) en beleidsinstellingen bijwerkt, is afhankelijk van het beheertype. Op systemen in eigen beheer en systemen die door McAfee epo worden beheerd kunt u de zichtbaarheid en het gedrag van de knop configureren. Raadpleeg Updatetaken configureren, plannen en uitvoeren op pagina 36 voor meer informatie. Beheertype Updatemethode Updates McAfee epo McAfee epo Cloud Eigen beheer Optie Beveiliging bijwerken in het menu van het McAfee-systeemvakpictogram Knop Security-client in de Endpoint Optie Beveiliging bijwerken in het menu van het McAfee-systeemvakpictogram Knop Security-client in de Endpoint Optie Beveiliging bijwerken in het menu van het McAfee-systeemvakpictogram Knop Security-client in de Endpoint Alleen inhoud en software, geen beleidsinstellingen. Inhoud, software en beleidsinstellingen, indien geconfigureerd. Inhoud, software en beleidsinstellingen. Inhoud, software en beleidsinstellingen, indien geconfigureerd. Alleen inhoud en software. Inhoud, software en beleidsinstellingen, indien geconfigureerd. Het Gebeurtenislogboek In de activiteits- en foutopsporingslogboeken wordt bijgehouden welke gebeurtenissen plaatsvinden op het met McAfee beveiligde systeem. U kunt het Gebeurtenislogboek bekijken via de Endpoint Security-client. Procedure Selecteer in het menu Actie de optie Help voor hulp. 1 Open de Endpoint Security-client. 2 Klik op Gebeurtenislogboek aan de linkerkant van de pagina. Op de pagina staan gebeurtenissen die Endpoint Security de afgelopen 30 dagen op het systeem heeft geregistreerd. Als de Endpoint Security-client de Event Manager niet kan bereiken, wordt een communicatiefoutbericht weergegeven. In dit geval start u het systeem opnieuw op om het Gebeurtenislogboek weer te geven. 3 Selecteer een gebeurtenis in het bovenste deelvenster om de details in het onderste deelvenster weer te geven. Als u de relatieve grootte van de deelvensters wilt wijzigen, klikt u op het raamwidget en versleept u dit tussen de deelvensters. 22 McAfee Endpoint Security 10.1 Producthandleiding

23 De Endpoint Security-client gebruiken Het Gebeurtenislogboek 2 4 Op de pagina Gebeurtenislogboek kunt u gebeurtenissen sorteren, doorzoeken, filteren of opnieuw laden. Welke opties worden weergegeven, is afhankelijk van hoe de scan is geconfigureerd. Als u het volgende wilt doen... Gebeurtenissen op datum, functies, uitgevoerde actie en ernst sorteren. Zoek in het gebeurtenislogboek. Filter gebeurtenissen op ernst of module. Vernieuw de weergave van het Gebeurtenislogboek met gegevens van nieuwe gebeurtenissen. Open de map met de logboekbestanden. Stappen Klik op de tabelkolomkop. Voer de zoektekst in het veld Zoeken in en druk op Enter of klik op Zoeken. De zoekopdracht is niet hoofdlettergevoelig en doorzoekt alle velden van het gebeurtenislogboek op de zoektekst. In de gebeurtenislijst ziet u alle elementen met de overeenkomende tekst. Als u de zoekopdracht wilt annuleren en alle gebeurtenissen wilt weergeven, klikt u op x in het veld Zoeken. Selecteer een optie in de filtervervolgkeuzelijst. Selecteer Alle gebeurtenissen weergeven in de vervolgkeuzelijst om het filter te verwijderen en alle gebeurtenissen weer te geven. Klik op. Klik op Map met logboeken weergeven. 5 Navigeer door het Gebeurtenislogboek. Als u het volgende wilt doen... Geef de vorige pagina met gebeurtenissen weer. Stappen Klik op Vorige pagina. Geef de volgende pagina met gebeurtenissen weer. Klik op Volgende pagina. Geef een specifieke pagina in het logboek weer. Voer een paginanummer in en druk op Enter of klik op OK. Het Gebeurtenislogboek geeft standaard 20 gebeurtenissen per pagina weer. Selecteer een optie in de vervolgkeuzelijst Gebeurtenissen per pagina om meer gebeurtenissen per pagina weer te geven. Zie ook Logboekbestanden op pagina 23 De Endpoint Security-client openen op pagina 17 Logboekbestanden In de activiteits-, fout- en foutopsporingslogboeken wordt bijgehouden welke gebeurtenissen plaatsvinden op systemen waarop Endpoint Security is ingeschakeld. U configureert registratie in de Gedeelde instellingen. Activiteitenlogboekbestanden worden altijd weergegeven in de taal die in de standaardlandinstellingen van het systeem is opgegeven. Alle activiteits- en foutopsporingslogboeken worden op een van de volgende standaardlocaties opgeslagen, afhankelijk van het besturingssysteem. McAfee Endpoint Security 10.1 Producthandleiding 23

24 2 De Endpoint Security-client gebruiken Het Gebeurtenislogboek Besturingssysteem Microsoft Windows 10 Microsoft Windows 8 en 8.1 Microsoft Windows 7 Microsoft Vista Standaardlocatie %ProgramData%\McAfee\Endpoint Security\Logs C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint Security\Logs Elke module, functie of technologie plaatst activiteits- of foutopsporingsregistratie in een apart bestand. Alle modules plaatsen foutregistratie in één EndpointSecurityPlatform_Errors.log. Wanneer u foutregistratie voor een willekeurige module inschakelt, wordt ook foutregistratie voor de functies van de module Gedeelde instellingen ingeschakeld, zoals Zelfbeveiliging. Tabel 2-1 Logboekbestanden Module Functie of technologie Bestandsnaam Gedeelde instellingen Bedreigingspreventie Zelfbeveiliging Updates Fouten Wanneer u foutregistratie voor een willekeurige Bedreigingspreventie-technologie inschakelt, wordt ook foutregistratie voor de Endpoint Security-client ingeschakeld. EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log SelfProtection_Activity.log SelfProtection_Debug.log PackageManager_Activity.log PackageManager_Debug.log EndpointSecurityPlatform_Errors.log ThreatPrevention_Activity.log ThreatPrevention_Debug.log Firewall Toegangsbeveiliging Exploitpreventie Scanner bij toegang Scanner op verzoek Snelle scan Volledige scan Rechtermuisknopscan Endpoint Security-client AccessProtection_Activity.log AccessProtection_Debug.log ExploitPrevention_Activity.log ExploitPrevention_Debug.log OnAccessScan_Activity.log OnAccessScan_Debug.log OnDemandScan_Activity.log OnDemandScan_Debug.log MFEConsole_Debug.log Firewall_Activity.log Firewall_Debug.log FirewallEventMonitor.log Registreert geblokkeerde en toegestane verkeersgebeurtenissen, indien geconfigureerd. 24 McAfee Endpoint Security 10.1 Producthandleiding

25 De Endpoint Security-client gebruiken Endpoint Security beheren 2 Tabel 2-1 Logboekbestanden (vervolg) Module Functie of technologie Bestandsnaam Webcontrole Bedreigingsinformatie Wanneer u foutregistratie voor een willekeurige Bedreigingspreventie-technologie inschakelt, wordt ook foutregistratie voor Bedreigingsinformatie ingeschakeld. WebControl_Activity.log WebControl_Debug.log ThreatIntelligence_Activity.log ThreatIntelligence_Debug.log De installatielogboeken worden standaard op de volgende locaties opgeslagen: Eigen beheer Beheerd %TEMP%\McAfeeLogs (TEMP-map van Windows-gebruiker) TEMP\McAfeeLogs (TEMP-map op Windows-systeem) Endpoint Security beheren Als beheerder kunt u Endpoint Security beheren via de Endpoint Security-client. U kunt hier functies in- en uitschakelen, inhoudsbestanden beheren, opgeven hoe de clientinterface werkt, taken plannen en algemene instellingen configureren. Voor beheerde systemen kunnen beleidswijzigingen van McAfee epo wijzigingen overschrijven van de pagina Instellingen. Zie ook Aanmelden als beheerder op pagina 25 De clientinterface ontgrendelen op pagina 26 Functies uit- en inschakelen op pagina 26 De AMCore-inhoudsversie wijzigen op pagina 27 Extra.DAT-bestanden gebruiken op pagina 27 Algemene instellingen configureren op pagina 28 Aanmelden als beheerder Als de interfacemodus voor Endpoint Security-client is ingesteld op Standaardtoegang, kunt u zich aanmelden als beheerder om toegang te krijgen tot alle instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client moet zijn ingesteld op Standaardtoegang. Procedure Selecteer in het menu Actie de optie Help voor hulp. 1 Open de Endpoint Security-client. 2 Selecteer Aanmelden als beheerder in het menu Actie. 3 Voer in het veld Wachtwoord het beheerderswachtwoord in en klik op Aanmelden. McAfee Endpoint Security 10.1 Producthandleiding 25

26 2 De Endpoint Security-client gebruiken Endpoint Security beheren U hebt nu toegang tot alle functies van de Endpoint Security-client. Als u zich wilt afmelden, selecteert u Actie Afmelden als beheerder. De client keert terug naar de interfacemodus Standaardtoegang. De clientinterface ontgrendelen Als de interface voor Endpoint Security-client is vergrendeld, ontgrendelt u deze met het beheerderswachtwoord om toegang te krijgen tot alle instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client moet zijn ingesteld op Clientinterface vergrendelen. Procedure 1 Open de Endpoint Security-client. 2 Voer op de pagina Aanmelden als beheerder het beheerderswachtwoord in het veld Wachtwoord in en klik op Aanmelden. Endpoint Security-client wordt geopend, en u hebt toegang tot alle functies van de client. Wilt u zich afmelden en de client sluiten, dan selecteert u in het menu Actie de optie Afmelden als beheerder. Functies uit- en inschakelen Als beheerder kunt u Endpoint Security-functies uit- en inschakelen via de Endpoint Security-client. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Op de pagina Status wordt de ingeschakelde status van de module of functie weergegeven. Dit is misschien niet de werkelijke status van de functie. U kunt de status van elke functie op de pagina Instellingen zien. Als de instelling ScriptScan inschakelen bijvoorbeeld niet goed wordt toegepast, is de status mogelijk (Status: uitgeschakeld). Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op de modulenaam (zoals Threat Prevention of Firewall) op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op de modulenaam op de pagina Instellingen. 3 Schakel de optie Module of Functie inschakelen in of uit. Wanneer u een van de Bedreigingspreventie-functies inschakelt, wordt de Bedreigingspreventie-module ingeschakeld. Zie ook Aanmelden als beheerder op pagina McAfee Endpoint Security 10.1 Producthandleiding

27 De Endpoint Security-client gebruiken Endpoint Security beheren 2 De AMCore-inhoudsversie wijzigen Gebruik Endpoint Security-client om de versie van AMCore-inhoud op uw systeem te wijzigen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Endpoint Security slaat het huidig geladen inhoudsbestand en de eerdere twee versies op in de Program Files\Common Files\McAfee\Engine\content-map op. Indien vereist kunt u naar een eerdere versie terugkeren. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie AMCore-inhoud terugzetten. 3 Selecteer in de vervolgkeuzelijst de versie die moet worden geladen. 4 Klik op Toepassen. De detecties in het geladen AMCore-inhoudsbestand worden onmiddellijk geïmplementeerd. Zie ook Hoe inhoudsbestanden werken op pagina 9 Aanmelden als beheerder op pagina 25 Extra.DAT-bestanden gebruiken U kunt een Extra.DAT-bestand installeren om uw systeem te beschermen tegen een grote malware-uitbraak tot de volgende geplande update van AMCore-inhoud wordt uitgegeven. Taken Extra.DAT-bestanden downloaden op pagina 28 Als u een Extra.DAT-bestand wilt downloaden, klikt u op de downloadkoppeling die u van McAfee Labs hebt ontvangen. Een Extra.DAT-bestand op pagina 28 Gebruik Endpoint Security-client om het gedownloade Extra.DAT-bestand te installeren. Zie ook Extra.DAT-bestanden op pagina 27 Extra.DAT-bestanden Als nieuwe malware wordt ontdekt en extra detectie is vereist, brengt McAfee Labs een Extra.DAT-bestand uit. Extra.DAT-bestanden bevatten informatie die Bedreigingspreventie gebruikt voor verwerking van de nieuwe malware. U kunt Extra.DAT-bestanden voor specifieke bedreigingen downloaden via de McAfee Labs Extra.DAT-aanvraagpagina. Bedreigingspreventie ondersteunt alleen het gebruik van één Extra.DAT-bestand. McAfee Endpoint Security 10.1 Producthandleiding 27

28 2 De Endpoint Security-client gebruiken Endpoint Security beheren In elk Extra.DAT-bestand is een vervaldatum ingebouwd. Wanneer het Extra.DAT-bestand is geladen, wordt deze vervaldatum vergeleken met de build-datum van de AMCore-inhoud die op het systeem is geïnstalleerd. Als de build-datum van de AMCore-inhoudset later is dan de vervaldatum van Extra.DAT, wordt Extra.DAT beschouwd als verlopen en niet langer geladen en gebruikt door de engine. Bij de volgende update wordt de Extra.DAT uit het systeem verwijderd. Als de volgende update van AMCore-inhoud de Extra.DAT-handtekening bevat, wordt de Extra.DAT verwijderd. Endpoint Security slaat Extra.DAT-bestanden op in de map c:\program Files\Common Files\McAfee \Engine\content\avengine\extradat. Extra.DAT-bestanden downloaden Als u een Extra.DAT-bestand wilt downloaden, klikt u op de downloadkoppeling die u van McAfee Labs hebt ontvangen. Procedure 1 Klik op de downloadkoppeling, geef een locatie op waar het Extra.DAT-bestand moet worden opgeslagen, en klik op Opslaan. 2 Indien nodig pakt u het EXTRA.ZIP-bestand uit. 3 Laad het Extra.DAT-bestand met Endpoint Security-client. Een Extra.DAT-bestand Gebruik Endpoint Security-client om het gedownloade Extra.DAT-bestand te installeren. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Extra.DAT laden. 3 Klik op Bladeren, ga naar de locatie waar u het Extra.DAT-bestand hebt gedownload en klik op Openen. 4 Klik op Toepassen. De nieuwe detecties in de Extra.DAT worden onmiddellijk geïmplementeerd.. Zie ook Aanmelden als beheerder op pagina 25 Algemene instellingen configureren Configureer instellingen die van toepassing zijn op alle modules en functies van Endpoint Security in de module Gedeelde instellingen. Deze instellingen bestaan onder meer uit Endpoint 28 McAfee Endpoint Security 10.1 Producthandleiding

29 De Endpoint Security-client gebruiken Endpoint Security beheren 2 Security-client-interfacebeveiliging en taalinstellingen, registratie, proxyserverinstellingen voor McAfee GTI en updateconfiguratie. Taken Endpoint Security-bronnen beveiligen op pagina 29 Tijdens een aanval probeert malware als eerste de beveiligingssoftware van uw systeem uit te schakelen. Configureer Zelfbeveiliging voor Endpoint Security in de instellingen van Gedeelde instellingen om te voorkomen dat Endpoint Security-services en -bestanden gestopt of gewijzigd worden. Registratie-instellingen configureren op pagina 30 Configureer Endpoint Security-registratie in de instellingen van Gedeelde instellingen. Verificatie certificaat toestaan op pagina 30 Met certificaten kan een leverancier code uitvoeren in McAfee-processen. Instellingen voor de beveiliging van de clientinterface configureren op pagina 31 Configureer het interfacewachtwoord en de weergaveopties voor Endpoint Security-client in de instellingen van Gedeelde instellingen. Proxyserverinstellingen configureren voor McAfee GTI op pagina 32 Geef proxyserveropties op om McAfee GTI-reputatie op te halen in de instellingen van Gedeelde instellingen. Endpoint Security-bronnen beveiligen Tijdens een aanval probeert malware als eerste de beveiligingssoftware van uw systeem uit te schakelen. Configureer Zelfbeveiliging voor Endpoint Security in de instellingen van Gedeelde instellingen om te voorkomen dat Endpoint Security-services en -bestanden gestopt of gewijzigd worden. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Het zou nooit nodig moeten zijn voor gebruikers, beheerders, ontwikkelaars of beveiligingsprofessionals om de Endpoint Security-beveiliging op hun systemen uit te schakelen. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Controleer via Zelfbeveiliging of Zelfbeveiliging is ingeschakeld. 5 Specificeer de actie voor elk van de volgende Endpoint Security-bronnen: Bestanden en mappen: hiermee wordt voorkomen dat gebruikers de database, binaire bestanden, bestanden voor beveiligd zoeken en configuratiebestanden van McAfee wijzigen. Register: hiermee wordt voorkomen dat gebruikers registercomponenten en COM-onderdelen van McAfee wijzigen, en verwijderen met behulp van de registerwaarde. Processen: hiermee wordt voorkomen dat McAfee-processen worden gestopt. 6 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. McAfee Endpoint Security 10.1 Producthandleiding 29

30 2 De Endpoint Security-client gebruiken Endpoint Security beheren Zie ook Aanmelden als beheerder op pagina 25 Registratie-instellingen configureren Configureer Endpoint Security-registratie in de instellingen van Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Configureer de instellingen van Klantlogboekgebruik op de pagina. 5 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Logboekbestanden op pagina 23 Aanmelden als beheerder op pagina 25 Verificatie certificaat toestaan Met certificaten kan een leverancier code uitvoeren in McAfee-processen. Wanneer een proces wordt gedetecteerd, wordt de certificaattabel gevuld met de Leverancier, het Onderwerp en de Openbare sleutel SHA-1. Deze instelling kan resulteren in compatibiliteitsproblemen en verminderde beveiliging. Klik voor optiedefinities op? in de interface. Procedure 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Selecteer in de sectie Certificaten de optie Toestaan. 5 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. De certificaatgegevens worden weergegeven in de tabel. 30 McAfee Endpoint Security 10.1 Producthandleiding

31 De Endpoint Security-client gebruiken Endpoint Security beheren 2 Instellingen voor de beveiliging van de clientinterface configureren Configureer het interfacewachtwoord en de weergaveopties voor Endpoint Security-client in de instellingen van Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Ga voorzichtig te werk bij het wijzigen van deze instellingen, omdat gebruikers hierdoor hun beveiligingsconfiguratie kunnen wijzigen en systemen mogelijk niet beschermd worden tegen malwareaanvallen. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Configureer de instellingen van de Clientinterfacemodus op de pagina. 4 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Effecten van een beheerderswachtwoord instellen op pagina 31 Aanmelden als beheerder op pagina 25 Effecten van een beheerderswachtwoord instellen Wanneer u de interfacemodus instelt op Standaardtoegang, moet u ook een beheerderswachtwoord instellen. Een beheerderswachtwoord op de Endpoint Security-client instellen is van invloed op de volgende gebruikers: Niet-beheerders (gebruikers zonder beheerdersrechten) Niet-beheerders kunnen: Bepaalde configuratieparameters weergeven. Scans uitvoeren. Controleren op updates (indien ingeschakeld). De Quarantaine weergeven. Het Gebeurtenislogboek bekijken. Roep de pagina Instellingen op om Firewall-regels weer te geven of wijzigen (indien ingeschakeld). Niet-beheerders kunnen niet: Configuratieparameters wijzigen. U kunt instellingen weergeven, maken, verwijderen of wijzigen. Eén uitzondering is de mogelijkheid om Firewall-regels weer te geven of wijzigen (indien ingeschakeld). Beheerders (gebruikers met beheerdersrechten) Beheerders moeten het wachtwoord invoeren om toegang tot de beveiligde delen te krijgen en instellingen te wijzigen. McAfee Endpoint Security 10.1 Producthandleiding 31

32 2 De Endpoint Security-client gebruiken Endpoint Security beheren Proxyserverinstellingen configureren voor McAfee GTI Geef proxyserveropties op om McAfee GTI-reputatie op te halen in de instellingen van Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Configureer instellingen voor Proxyserver voor McAfee GTI op de pagina. 5 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Zo werkt McAfee GTI op pagina 32 Aanmelden als beheerder op pagina 25 Zo werkt McAfee GTI Als u de scan bij toegang of op verzoek inschakelt voor McAfee GTI, gebruikt de scanner heuristische methoden om te controleren op verdachte bestanden. Op de McAfee GTI-server worden siteclassificaties en -rapporten opgeslagen voor Webcontrole. Als u Webcontrole configureert om gedownloade bestanden te scannen, gebruikt de scanner de bestandsreputatie verschaft door McAfee GTI om te controleren op verdachte bestanden. De scanner dient vingerafdrukken of voorbeelden, of hashes, in bij een centrale databaseserver die gehost wordt door McAfee Labs om te bepalen of het malware betreft. Door hashes in te dienen is detectie mogelijk eerder beschikbaar dan de volgende update van inhoudsbestanden, wanneer McAfee Labs de update publiceert. U kunt het gevoeligheidsniveau instellen dat McAfee GTI gebruikt om te bepalen of een gedetecteerd voorbeeld malware is. Hoe hoger het gevoeligheidsniveau, hoe hoger het aantal malwaredetecties. Als u meer detecties toestaat, krijgt u echter ook mogelijk meer valse positieve resultaten. Voor Bedreigingspreventie is het gevoeligheidsniveau van McAfee GTI standaard ingesteld op Gemiddeld. Configureer het gevoeligheidsniveau voor elke scanner in de instellingen van de module Bedreigingspreventie. Voor Webcontrole is het gevoeligheidsniveau van McAfee GTI standaard ingesteld op Zeer hoog. Configureer het gevoeligheidsniveau voor het scannen van bestandsdownloads in de instellingen voor Webcontrole van Webcontrole. U kunt instellen dat Endpoint Security een proxyserver moet gebruiken om McAfee GTI-reputatiegegevens op te halen in de instellingen van de Gedeelde instellingen. 32 McAfee Endpoint Security 10.1 Producthandleiding

33 De Endpoint Security-client gebruiken Endpoint Security beheren 2 Updategedrag configureren Geef het gedrag op voor updates die worden gestart via de Endpoint Security-client in de Gedeelde instellingen. Taken Bronlocaties configureren voor updates op pagina 33 Voor systemen in eigen beheer en in beheer van McAfee epo kunt u de sites configureren waarvan Endpoint Security-client bijgewerkte beveiligingsbestanden ontvangt in de instellingen van de Gedeelde instellingen. Het standaardgedrag configureren voor updates op pagina 35 Voor systemen in eigen beheer en in beheer van McAfee epo kunt u het standaardgedrag opgeven voor updates die worden gestart vanuit de Endpoint Security-client in de instellingen van de Gedeelde instellingen. Updatetaken configureren, plannen en uitvoeren op pagina 36 Voor systemen in eigen beheer en in beheer van McAfee epo kunt u aangepaste updatetaken configureren, of de taakplanning van de Standaard clientupdate wijzigen via de Endpoint Security-client in de module Gedeelde instellingen. Spiegeltaken configureren, plannen en uitvoeren op pagina 38 U kunt spiegeltaken wijzigen of plannen vanuit de Endpoint Security-client in de module Gedeelde instellingen. Bronlocaties configureren voor updates Voor systemen in eigen beheer en in beheer van McAfee epo kunt u de sites configureren waarvan Endpoint Security-client bijgewerkte beveiligingsbestanden ontvangt in de instellingen van de Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. U kunt deze instellingen alleen op systemen in eigen beheer en systemen in beheer van McAfee epo configureren. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik via Gedeelde instellingen op Opties. 5 Configureer de instellingen van Bronlocaties voor updates op de pagina. U kunt de standaardbronlocatie voor back-up, McAfeeHttp en de beheerserver (voor beheerde systemen) in- en uitschakelen, maar u kunt ze verder niet wijzigen of verwijderen. De volgorde van de sites bepaalt de volgorde die Endpoint Security gebruikt om naar de updatelocatie te zoeken. McAfee Endpoint Security 10.1 Producthandleiding 33

34 2 De Endpoint Security-client gebruiken Endpoint Security beheren Als u het volgende wilt doen... Een site aan de lijst toevoegen. Volgt u deze stappen 1 Klik op Toevoegen. 2 Geef de site-instellingen op en klik op OK. De site wordt weergegeven aan het begin van de lijst. Een bestaande site wijzigen. 1 Dubbelklik op de naam van de site. 2 Wijzig de instellingen en klik op OK. Een site verwijderen. Sites importeren van een bestand met een bronlocatielijst. Selecteer de site en klik op Verwijderen. 1 Klik op Importeren. 2 Selecteer het bestand dat u wilt importeren en klik op OK. Het bestand met de locatielijst vervangt de bestaande lijst met bronlocaties. De bronlocatielijst exporteren naar een SiteList.xml-bestand. De volgorde van de sites in de lijst wijzigen. 1 Klik op Alles exporteren. 2 Selecteer de locatie om het bestand met de bronlocatielijst naar op te slaan, en klik op OK. Elementen verplaatsen: 1 Selecteer elementen om te verplaatsen. De greep wordt links van elementen die kunnen worden verplaatst weergegeven. 2 Versleep de elementen naar de nieuwe locatie. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten. 6 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Inhoud van de lijst met opslagplaatsen op pagina 34 Hoe de taak Standaard clientupdate werkt op pagina 36 Aanmelden als beheerder op pagina 25 Updatetaken configureren, plannen en uitvoeren op pagina 36 Inhoud van de lijst met opslagplaatsen De lijst met opslagplaatsen bevat informatie over opslagplaatsen die McAfee Agent gebruikt om McAfee-producten bij te werken, waaronder engine- en DAT-bestanden. De lijst met opslagplaatsen omvat: informatie en locatie van opslagplaatsen voorkeursvolgorde van opslagplaatsen proxyserverinstellingen, waar vereist versleutelde aanmeldingsgegevens die vereist zijn voor toegang tot de opslagplaatsen. De clienttaak McAfee Agent Productupdate maakt verbinding met de eerste ingeschakelde opslagplaats (updatelocatie) in de lijst met opslagplaatsen. Als deze opslagplaats niet beschikbaar is, maakt de taak contact met de volgende site totdat er een verbinding wordt gemaakt of het einde van de lijst wordt bereikt. 34 McAfee Endpoint Security 10.1 Producthandleiding

35 De Endpoint Security-client gebruiken Endpoint Security beheren 2 Als uw netwerk een proxyserver gebruikt, kunt u opgeven welke proxy-instellingen moeten worden gebruikt, wat het adres van de proxyserver is en of u verificatie wilt gebruiken. Proxygegevens worden opgeslagen in de lijst met opslagplaatsen. De proxy-instellingen die u configureert, zijn van toepassing op alle opslagplaatsen in de lijst. De locatie van de lijst met opslagplaatsen is afhankelijk van het besturingssysteem: Besturingssysteem Locatie van lijst met opslagplaatsen Microsoft Windows 8 Microsoft Windows 7 Eerdere versies C:\ProgramData\McAfee\Common Framework\SiteList.xml C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\SiteList.xml Het standaardgedrag configureren voor updates Voor systemen in eigen beheer en in beheer van McAfee epo kunt u het standaardgedrag opgeven voor updates die worden gestart vanuit de Endpoint Security-client in de instellingen van de Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. U kunt deze instellingen alleen op systemen in eigen beheer en systemen in beheer van McAfee epo configureren. Gebruik deze instellingen om: De knop in de client weer te geven of te verbergen. Specificeer wat er moet worden bijgewerkt wanneer de gebruiker op de knop klikt of de taak Standaard clientupdate uitvoert. De taak Standaard clientupdate wordt standaard elke dag om 1 uur 's nachts uitgevoerd. en elke vier uur herhaald tot uur.als u de planning wilt wijzigen, leest u Updatetaken configureren, plannen en uitvoeren op pagina 36. Op systemen in eigen beheer werkt de taak Standaard clientupdate alle inhoud en software bij. Op beheerde systemen werkt deze taak alleen de inhoud bij. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Configureer instellingen voor de Standaard clientupdate op de pagina. 5 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 25 Bronlocaties configureren voor updates op pagina 33 Updatetaken configureren, plannen en uitvoeren op pagina 36 McAfee Endpoint Security 10.1 Producthandleiding 35

36 2 De Endpoint Security-client gebruiken Endpoint Security beheren Hoe de taak Standaard clientupdate werkt De taak Standaard clientupdate downloadt de meest recente beveiliging voor de Endpoint Security-client. Endpoint Security bevat de taak Standaard clientupdate die standaard elke dag om 1 uur 's nachts wordt uitgevoerd en elke vier uur wordt herhaald tot uur. De taak Standaard clientupdate: 1 Maakt een verbinding met de eerste ingeschakelde bronsite in de lijst. Als deze site niet beschikbaar is, maakt de taak contact met de volgende site totdat er een verbinding wordt gemaakt of het einde van de lijst wordt bereikt. 2 Downloadt een versleuteld CATALOG.Z-bestand van de site. Het bestand bevat informatie die vereist is om de update uit te voeren, inclusief beschikbare bestanden en updates. 3 Vergelijkt de softwareversies in het bestand met de versies op de computer en downloadt nieuwe software-updates als deze beschikbaar zijn. Als de taak Standaard clientupdate tijdens de update wordt onderbroken: Updates van... HTTP, UNC of een lokale site FTP-site (download van één bestand) FTP-site (download van meerdere bestanden) Indien onderbroken... Wordt hervat waar de update is gestopt wanneer de updatetaak de volgende keer wordt gestart. Wordt niet hervat na onderbreking. Wordt hervat vóór het bestand dat op het moment van de onderbreking werd gedownload. Zie ook Bronlocaties configureren voor updates op pagina 33 Updatetaken configureren, plannen en uitvoeren op pagina 36 Inhoud van de lijst met opslagplaatsen op pagina 34 Updatetaken configureren, plannen en uitvoeren Voor systemen in eigen beheer en in beheer van McAfee epo kunt u aangepaste updatetaken configureren, of de taakplanning van de Standaard clientupdate wijzigen via de Endpoint Security-client in de module Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. U kunt deze instellingen alleen op systemen in eigen beheer en systemen in beheer van McAfee epo configureren. Gebruik deze instellingen om vanuit de client te configureren wanneer de taak Standaard clientupdate moet worden uitgevoerd. Zie Het standaardgedrag configureren voor updates op pagina 35 om het standaardgedrag in te stellen voor clientupdates die vanuit de Endpoint Security-client worden gestart. 36 McAfee Endpoint Security 10.1 Producthandleiding

37 De Endpoint Security-client gebruiken Endpoint Security beheren 2 Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik via Gedeelde instellingen op Taken. 5 Configureer de instellingen voor de updatetaak op de pagina. Als u het volgende wilt doen... Een aangepaste updatetaak maken. Volgt u deze stappen 1 Klik op Toevoegen. 2 Voer de naam in en selecteer via de vervolgkeuzelijst Selecteer taaktype de optie Update. 3 Configureer de instellingen en klik op OK om de taak op te slaan. Een updatetaak wijzigen. Een aangepaste updatetaak verwijderen. Een kopie van een updatetaak maken. De planning wijzigen voor een Standaard clientupdatetaak. Dubbelklik op de taak, breng uw wijzigingen aan en klik op OK om de taak op te slaan. Selecteer de taak en klik op Verwijderen. 1 Selecteer de taak en klik op Dupliceren. 2 Voer de naam in, configureer de instellingen en klik op OK om de taak op te slaan. 1 Dubbelklik op Standaard clientupdate. 2 Klik op de tab Planning, wijzig de planning en klik op OK om de taak op te slaan. Zie Het standaardgedrag configureren voor updates op pagina 35 om het standaardgedrag in te stellen voor clientupdates die vanuit de Endpoint Security-client worden gestart. Een updatetaak uitvoeren. Selecteer de taak en klik op Nu uitvoeren. Als de taak al wordt uitgevoerd, of is gepauzeerd of uitgesteld, verandert de knop in Weergeven. Als u een taak uitvoert voordat u wijzigingen toepast, vraagt de Endpoint Security-client u de instellingen op te slaan. 6 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Hoe de taak Standaard clientupdate werkt op pagina 36 Bronlocaties configureren voor updates op pagina 33 McAfee Endpoint Security 10.1 Producthandleiding 37

38 2 De Endpoint Security-client gebruiken Endpoint Security beheren Spiegeltaken configureren, plannen en uitvoeren U kunt spiegeltaken wijzigen of plannen vanuit de Endpoint Security-client in de module Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik via Gedeelde instellingen op Taken. 5 Configureer de instellingen voor de spiegeltaak op de pagina. Als u het volgende wilt doen... Een spiegeltaak maken. Volgt u deze stappen 1 Klik op Toevoegen. 2 Voer de naam in en selecteer via de vervolgkeuzelijst Selecteer taaktype de optie Spiegelen. 3 Configureer de instellingen en klik op OK. Een spiegeltaak wijzigen. Een spiegeltaak verwijderen. Een kopie van een spiegeltaak maken. Een spiegeltaak plannen. Een spiegeltaak uitvoeren. Dubbelklik op de spiegeltaak, breng uw wijzigingen aan en klik op OK. Selecteer de taak en klik op Verwijderen. 1 Selecteer de taak en klik op Dupliceren. 2 Voer de naam in, configureer de instellingen en klik op OK. 1 Dubbelklik op de taak. 2 Klik op de tab Planning, wijzig de planning en klik op OK om de taak op te slaan. Selecteer de taak en klik op Nu uitvoeren. Als de taak al wordt uitgevoerd, of is gepauzeerd of uitgesteld, verandert de knop in Weergeven. Als u een taak uitvoert voordat u wijzigingen toepast, vraagt de Endpoint Security-client u de instellingen op te slaan. 6 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. 38 McAfee Endpoint Security 10.1 Producthandleiding

39 De Endpoint Security-client gebruiken Endpoint Security beheren 2 Hoe spiegeltaken werken Met de spiegeltaak kunt u de updatebestanden van de eerst toegankelijke opslagplaats in de lijst met sites repliceren op een spiegellocatie op uw netwerk. Doorgaans wordt met deze taak de inhoud van de McAfee-downloadsite op een lokale server gespiegeld. Nadat u de McAfee-site met de updatebestanden hebt gerepliceerd, kunnen de bestanden worden gedownload vanaf de spiegellocatie naar computers op uw netwerk. Via deze benadering kunt u elke computer op uw netwerk bijwerken, ongeacht of de computer internettoegang heeft. Gebruik van een gerepliceerde site is efficiënter omdat uw systemen communiceren met een server die zich dichterbij bevindt dan een McAfee-internetsite, waardoor toegangs- en downloadtijden worden verkort. Bedreigingspreventie gebruikt een map voor de updateprocedure. U moet daarom bij het spiegelen van een site zorgen dat u de hele mapstructuur repliceert. McAfee Endpoint Security 10.1 Producthandleiding 39

40 2 De Endpoint Security-client gebruiken Endpoint Security beheren 40 McAfee Endpoint Security 10.1 Producthandleiding

41 3 Bedreigingspreventie 3 Gebruiken Bedreigingspreventie hiermee wordt gecontroleerd op virussen, spyware, ongewenste programma's en andere bedreigingen door items op uw computer te scannen. Inhoud Uw computer scannen op malware Bedreigingsdetecties beheren Items in quarantaine beheren Bedreigingspreventie beheren Uw computer scannen op malware Scan uw computer op malware door opties te selecteren in de Endpoint Security-client of Windows Verkenner. Taken Een Volledige scan of Snelle scan uitvoeren op pagina 42 Gebruik de Endpoint Security-client om een handmatige Volledige scan of Snelle scan op uw computer uit te voeren. Een bestand of map scannen op pagina 44 Klik met de rechtermuisknop in Windows Verkenner om een afzonderlijk bestand of afzonderlijke map waarvan u denkt dat deze is geïnfecteerd, onmiddellijk te scannen. Zie ook Typen scans op pagina 41 Typen scans Endpoint Security biedt twee typen scans: scans bij toegang en scans op aanvraag. Scan bij toegang: de beheerder configureert scans bij toegang, die op beheerde computers moeten worden uitgevoerd. Voor computers in eigen beheer kunt u de scanner bij toegang op de pagina Instellingen configureren. Wanneer u bestanden, mappen en programma's opent, onderschept de scanner bij toegang de bewerking en wordt het item gescand op basis van criteria die in de instellingen zijn gedefinieerd. Scan op verzoek McAfee Endpoint Security 10.1 Producthandleiding 41

42 3 Bedreigingspreventie Gebruiken Uw computer scannen op malware Handmatig De beheerder (of gebruiker, voor systemen in eigen beheer) configureert vooraf gedefinieerde of aangepaste scans op verzoek die gebruikers op beheerde computers kunnen uitvoeren. U kunt op elk moment een vooraf gedefinieerde scan op verzoek uitvoeren via de Endpoint Security-client door te klikken op te selecteren: en een scantype Snelle scan: hiermee wordt een snelle controle uitgevoerd van de gebieden van het systeem die het meest vatbaar zijn voor infectie. Volledige scan: voert een grondige controle uit van alle delen van het systeem. (Aanbevolen als u vermoedt dat de computer is geïnfecteerd.) Scan een afzonderlijk bestand of afzonderlijke map per keer via Windows Verkenner door met de rechtermuisknop op het bestand of de map te klikken en Scannen op bedreigingen te selecteren in het pop-upmenu. Configureer een aangepaste scan op verzoek als beheerder vanuit de Endpoint Security-client en voer deze uit: 1 Selecteer Instellingen Gedeelde instellingen Taken. 2 Selecteer de taak die moet worden uitgevoerd. 3 Klik op Nu uitvoeren. Gepland De beheerder (of gebruiker, voor systemen in eigen beheer) configureert en plant scans op aanvraag die op computers moeten worden uitgevoerd. Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, geeft Endpoint Security een scanbericht onder aan het scherm weer. U kunt de scan onmiddellijk starten of uitstellen, indien dit is ingesteld. Zo kunt u de vooraf gedefinieerde scans op verzoek, Snelle scan en Volledige scan configureren en plannen: 1 Instellingen Scan op verzoek Volledige scan of Snelle scan: hier configureert u scans op verzoek. 2 Instellingen Common Taken om scans op aanvraag te plannen. Zie ook Scantaken configureren, plannen en uitvoeren op pagina 75 Reageren op een scanprompt op pagina 19 Een Volledige scan of Snelle scan uitvoeren Gebruik de Endpoint Security-client om een handmatige Volledige scan of Snelle scan op uw computer uit te voeren. Voordat u begint De module Bedreigingspreventie moet zijn geïnstalleerd. De werking van de Volledige scan en Snelle scan is afhankelijk van hoe de instellingen zijn geconfigureerd. Met beheerdersrechten kunt u deze scans wijzigen en plannen via de instellingen voor Scannen op aanvraag. 42 McAfee Endpoint Security 10.1 Producthandleiding

43 Bedreigingspreventie Gebruiken Uw computer scannen op malware 3 Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op. 3 Klik op de pagina Systeem scannen op Nu scannen voor de scan die u wilt uitvoeren. Volledige scan Snelle scan Hiermee wordt een grondige controle uitgevoerd van alle gebieden van uw systeem (aanbevolen als u denkt dat uw computer is geïnfecteerd). Hiermee wordt een snelle controle uitgevoerd van de gebieden van uw systeem die het meest vatbaar zijn voor infectie. Als er al een scan wordt uitgevoerd, verandert de knop van Nu scannen in Scan weergeven. U ziet misschien ook de knop Detecties bekijken voor de scanner bij toegang, afhankelijk van hoe de instellingen zijn geconfigureerd en of een bedreiging is gedetecteerd. Klik op deze knop om de pagina Scan bij toegang te openen en detecties op elk moment te beheren. Zie Bedreigingsdetecties beheren op pagina 45. Endpoint Security-client geeft de status van de scan op een nieuwe pagina weer. De AMCore-inhoud gemaakt op geeft aan wanneer de inhoud voor het laatst is bijgewerkt. Als de inhoud meer dan 2 dagen oud is, raadt McAfee aan uw bescherming bij te werken voordat u de scan uitvoert. 4 Klik op knoppen boven aan de statuspagina om de scan te regelen. Scan onderbreken Scan hervatten Scan annuleren Hiermee wordt de scan onderbroken voordat deze wordt voltooid. Hiermee wordt een onderbroken scan hervat. Hiermee wordt een actieve scan geannuleerd. 5 Wanneer de scan is voltooid, worden het aantal gescande pagina's, verstreken tijd en eventuele detecties weergegeven op de pagina. Detectienaam Type Bestand Actie Hier vindt u de naam van de gedetecteerde malware. Hiermee wordt het type bedreiging weergegeven. Hiermee wordt het geïnfecteerde bestand geïdentificeerd. Hiermee wordt de beveiligingsactie beschreven die het laatst is uitgevoerd op het geïnfecteerde bestand: Toegang geweigerd Opgeschoond Verwijderd Geen De detectielijst van de scan op verzoek wordt gewist wanneer de volgende scan op verzoek wordt gestart. McAfee Endpoint Security 10.1 Producthandleiding 43

44 3 Bedreigingspreventie Gebruiken Uw computer scannen op malware 6 Selecteer een detectie in de tabel en klik op Opschonen of Verwijderen om het geïnfecteerde bestand op te schonen of te verwijderen. Afhankelijk van het bedreigingstype en de scaninstellingen zijn deze acties misschien niet beschikbaar. 7 Klik op Sluiten om de pagina te sluiten. Zie ook Typen scans op pagina 41 Namen gedetecteerde items op pagina 48 Beveiliging en software handmatig bijwerken op pagina 21 Bedreigingsdetecties beheren op pagina 45 instellingen voor Scan op verzoek configureren op pagina 70 Scantaken configureren, plannen en uitvoeren op pagina 75 Een bestand of map scannen Klik met de rechtermuisknop in Windows Verkenner om een afzonderlijk bestand of afzonderlijke map waarvan u denkt dat deze is geïnfecteerd, onmiddellijk te scannen. Voordat u begint De module Bedreigingspreventie moet zijn geïnstalleerd. De werking van de Rechtermuisknopscan is afhankelijk van hoe de instellingen zijn geconfigureerd. Met beheerdersrechten kunt u deze scans wijzigen via de instellingen voor Scannen op aanvraag. Procedure 1 Klik in Windows Verkenner met de rechtermuisknop op het bestand of de map dat/die u wilt scannen, en selecteer Scannen op bedreigingen in het pop-upmenu. Endpoint Security-client geeft de status van de scan weer op de pagina Scannen op bedreigingen. 2 Klik op knoppen boven aan de pagina om de scan te regelen. Scan onderbreken Scan hervatten Scan annuleren Hiermee wordt de scan onderbroken voordat deze wordt voltooid. Hiermee wordt een onderbroken scan hervat. Hiermee wordt een actieve scan geannuleerd. 3 Wanneer de scan is voltooid, worden het aantal gescande pagina's, verstreken tijd en eventuele detecties weergegeven op de pagina. Detectienaam Type Bestand Actie Hier vindt u de naam van de gedetecteerde malware. Hiermee wordt het type bedreiging weergegeven. Hiermee wordt het geïnfecteerde bestand geïdentificeerd. Hiermee wordt de beveiligingsactie beschreven die het laatst is uitgevoerd op het geïnfecteerde bestand: Toegang geweigerd Opgeschoond Verwijderd Geen De detectielijst van de scan op verzoek wordt gewist wanneer de volgende scan op verzoek wordt gestart. 44 McAfee Endpoint Security 10.1 Producthandleiding

45 Bedreigingspreventie Gebruiken Bedreigingsdetecties beheren 3 4 Selecteer een detectie in de tabel en klik op Opschonen of Verwijderen om het geïnfecteerde bestand op te schonen of te verwijderen. Afhankelijk van het bedreigingstype en de scaninstellingen zijn deze acties misschien niet beschikbaar. 5 Klik op Sluiten om de pagina te sluiten. Zie ook Typen scans op pagina 41 instellingen voor Scan op verzoek configureren op pagina 70 Namen gedetecteerde items op pagina 48 Bedreigingsdetecties beheren Afhankelijk van hoe instellingen zijn geconfigureerd, kunt u bedreigingsdetecties beheren via Endpoint Security-client. Voordat u begint De module Bedreigingspreventie moet zijn geïnstalleerd. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Nu scannen om de pagina Systeem scannen te openen. McAfee Endpoint Security 10.1 Producthandleiding 45

46 3 Bedreigingspreventie Gebruiken Items in quarantaine beheren 3 Klik via Scan bij toegang op Detecties bekijken. Deze optie is niet beschikbaar als de lijst geen detecties bevat of als de optie voor gebruikersberichten is uitgeschakeld. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. 4 Selecteer een van de volgende opties op de pagina Scan bij toegang. Opschonen Proberen het item (bestand, registervermelding) op te schonen en in quarantaine te plaatsen. Endpoint Security gebruikt informatie in de inhoudsbestanden om bestanden op te schonen. Als het inhoudsbestand niet kan worden opgeschoond of als het bestand niet kan worden gerepareerd, krijgt de scanner er geen toegang toe. In dit geval raadt McAfee aan het bestand te verwijderen uit de quarantaine en het te herstellen vanaf een schone back-upkopie. Verwijderen Item verwijderen Sluiten Hiermee wordt het item dat de bedreiging bevat, verwijderd. Hiermee wordt het item uit de detectielijst verwijderd. Hiermee wordt de scanpagina gesloten. Als er geen actie beschikbaar is voor de bedreiging, is de bijbehorende optie niet beschikbaar. De actie Opschonen is bijvoorbeeld niet beschikbaar als het bestand al is verwijderd. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. Items in quarantaine beheren Endpoint Security slaat items die als bedreigingen worden gedetecteerd, in de Quarantaine op. U kunt acties uitvoeren op de items in de quarantaine. Voordat u begint De module Bedreigingspreventie moet zijn geïnstalleerd. Zo kunt u misschien een item herstellen wanneer u een nieuwere versie van de inhoud hebt gedownload die informatie bevat waarmee de bedreiging wordt opgeschoond. Items in quarantaine kunnen meerdere typen gescande objecten omvatten, zoals bestanden, registers of alles dat Endpoint Security scant op malware. Procedure Selecteer in het menu Actie de optie Help voor hulp. 1 Open de Endpoint Security-client. 2 Klik op Quarantaine aan de linkerkant van de pagina. Op deze pagina staan alle items in de quarantaine. Als de Endpoint Security-client de Quarantainebeheerder niet kan bereiken, wordt een communicatiefoutbericht weergegeven. In dit geval start u het systeem opnieuw op om de pagina Quarantaine weer te geven. 46 McAfee Endpoint Security 10.1 Producthandleiding

47 Bedreigingspreventie Gebruiken Items in quarantaine beheren 3 3 Selecteer een item in het bovenste deelvenster om de details in het onderste deelvenster weer te geven. Als u het volgende wilt doen... De relatieve grootte van de deelvensters wijzigen. Items in de tabel op naam van bedreiging of type sorteren. Gaat u als volgt te werk Klik en versleep het raamwidget tussen de deelvensters. Klik op de tabelkolomkop. 4 Voer acties op geselecteerde items uit op de pagina Quarantaine. Als u het volgende wilt doen... Items verwijderen uit de quarantaine. Volgt u deze stappen Selecteer items, klik op Verwijderen en klik nogmaals op Verwijderen om te bevestigen. Het is niet mogelijk verwijderde items te herstellen. Items herstellen uit de quarantaine. Selecteer items, klik op Herstellen en klik nogmaals op Herstellen om te bevestigen. Endpoint Security herstelt items naar hun oorspronkelijke locatie en verwijdert ze uit de quarantaine. Als een item nog steeds een geldige bedreiging is, zet Endpoint Security het item terug in de quarantaine als het nog eens wordt geopend. Items opnieuw scannen. Een item weergeven in het Gebeurtenislogboek. Meer informatie over een bedreiging ontvangen. Selecteer items en klik op Opnieuw scannen. U wilt een item bijvoorbeeld opnieuw scannen nadat u uw beveiliging hebt bijgewerkt. Als het item niet langer een bedreiging is, kunt u het item naar de oorspronkelijke locatie herstellen en uit de quarantaine verwijderen. Selecteer een item en klik op de koppeling Weergeven in Gebeurtenislogboek in het detailvenster. De pagina Gebeurtenislogboek wordt geopend met de gebeurtenis van het geselecteerde item gemarkeerd. Selecteer een item en klik op de koppeling Meer informatie over deze bedreiging in het detailvenster. Er wordt een nieuw browservenster geopend op de McAfee Labs-website met meer informatie over de bedreiging waardoor het item in quarantaine is geplaatst. Zie ook Namen gedetecteerde items op pagina 48 Items in quarantaine opnieuw scannen op pagina 49 De Endpoint Security-client openen op pagina 17 Beveiliging en software handmatig bijwerken op pagina 21 McAfee Endpoint Security 10.1 Producthandleiding 47

48 3 Bedreigingspreventie Gebruiken Items in quarantaine beheren Namen gedetecteerde items De quarantaine rapporteert bedreigingen per detectienaam. Detectienaam Adware Dialer Grapvirus Keylogger Wachtwoordkraker Mogelijk ongewenste programma s Hulpprogramma voor extern beheer Spyware Stealth Beschrijving Genereert inkomsten door reclame weer te geven die op de gebruiker is gericht. Adware genereert inkomsten via de leverancier of de partners van de leverancier. Bepaalde typen adware kunnen persoonlijke gegevens registreren of verzenden. Leidt internetverbindingen om naar een partij die niet de standaardinternetprovider van de gebruiker is. Dialers zijn ontworpen om in aanvullende verbindingskosten voor een inhoudsprovider, leverancier of andere derde partij te resulteren. Beweert een computer te beschadigen, maar heeft geen schadelijke nettolading of gebruik. Grapvirussen hebben geen effect op beveiliging of privacy, maar kunnen een gebruiker wel schrik aanjagen of alarmeren. Onderschept gegevens tussen de gebruiker die de gegevens invoert en de bedoelde ontvangende toepassing. Trojaanse paarden en mogelijk ongewenste keylogger-programma's kunnen functioneel identiek zijn. McAfee-software detecteert beide typen om privacy-inbraak te voorkomen. Hiermee kan een gebruiker of beheerder kwijtgeraakte of vergeten wachtwoorden voor accounts of gegevensbestanden achterhalen. Wanneer deze programma's door een aanvaller worden gebruikt, kunnen ze toegang verschaffen tot vertrouwelijke informatie en een gevaar vormen voor de veiligheid en privacy. Meestal legitieme software (niet-malware) waarmee de beveiligingsstatus of de privacy van het systeem kan worden gewijzigd. Deze software kan worden gedownload samen met een programma dat de gebruiker wil installeren. De software kan bestaan uit spyware, adware, keyloggers, wachtwoordkrakers, hackergereedschappen en dialer-toepassingen. Geeft een beheerder extern toegang tot een systeem. Deze hulpprogramma's kunnen een aanzienlijke bedreiging van de beveiliging vormen wanneer ze door een aanvaller worden gebruikt. Verzendt persoonlijke gegevens naar een derde partij zonder medeweten of toestemming van de gebruiker. Spyware maakt gebruik van geïnfecteerde computers voor commercieel gewin door: Ongewenste pop-upreclames weer te geven Persoonlijke gegevens te stelen, waaronder financiële gegevens zoals creditcardnummers Toezicht te houden op webactiviteiten voor marketingdoeleinden HTTP-aanvragen om te leiden naar reclamesites Zie ook Mogelijk ongewenst programma. Is een type virus dat probeert detectie door antivirussoftware te voorkomen. Ook bekend als interruptinterceptor. Veel stealth-virussen onderscheppen verzoeken tot schijftoegang. Wanneer een antivirustoepassing vervolgens probeert bestanden of opstartsectors te lezen om het virus te vinden, geeft het virus een 'schone' kopie van het verzochte item weer. Andere virussen verbergen de feitelijke grootte van een geïnfecteerd bestand en geven de grootte van het bestand weer voordat het werd geïnfecteerd. 48 McAfee Endpoint Security 10.1 Producthandleiding

49 Bedreigingspreventie Gebruiken Items in quarantaine beheren 3 Detectienaam Trojaans paard Virus Beschrijving Is een kwaadaardig programma dat zich voordoet als een onschuldige toepassing. Een trojaans paard vermenigvuldigt zichzelf niet, maar brengt schade aan of brengt de beveiliging van uw computer in gevaar. Een computer raakt meestal geïnfecteerd in de volgende situaties: Een gebruiker opent een bijlage met een trojaans paard in een . Een gebruiker downloadt een trojaans paard van een website. Peer-to-peernetwerken. Aangezien trojaanse paarden zichzelf niet vermenigvuldigen, worden ze niet als virussen beschouwd. Bevestigt zich aan schijven of andere bestanden en vermenigvuldigt zichzelf meermaals, meestal zonder medeweten of toestemming van de gebruiker. Sommige virussen bevestigen zich aan bestanden, zodat met het uitvoeren van het geïnfecteerde bestand ook het virus wordt uitgevoerd. Andere virussen blijven in het computergeheugen aanwezig en infecteren bestanden wanneer de computer bestanden opent, wijzigt of maakt. Sommige virussen hebben symptomen, terwijl andere bestanden en computersystemen beschadigen. Items in quarantaine opnieuw scannen Wanneer items in quarantaine opnieuw worden gescand, gebruikt Endpoint Security scaninstellingen ontworpen om maximale beveiliging te bieden. We adviseren u om items in quarantaine altijd opnieuw te scannen voordat u ze herstelt. U wilt een item bijvoorbeeld opnieuw scannen nadat u uw beveiliging hebt bijgewerkt. Als het item niet langer een bedreiging is, kunt u het item naar de oorspronkelijke locatie herstellen en uit quarantaine halen. De scanomstandigheden kunnen tussen het moment waarop een bedreiging voor het eerst werd ontdekt en de scan opnieuw werd uitgevoerd veranderen, wat de detectie van in quarantaine geplaatste items kan aantasten. Wanneer in quarantaine geplaatste items opnieuw worden gescand, doet Endpoint Security altijd het volgende: Scant bestanden met MIME-codering. Scant gecomprimeerde archiefbestanden. Voert een McAfee GTI-zoekactie uit op items. Stelt het gevoeligheidsniveau van McAfee GTI in op Zeer hoog. Zelfs als deze scaninstellingen worden gebruikt, wordt een bedreiging mogelijk niet gedetecteerd bij het opnieuw scannen van de items in quarantaine. Als de metagegevens van het item (pad of registerlocatie) bijvoorbeeld worden gewijzigd, wordt het item bij opnieuw scannen mogelijk onterecht aangeduid als veilig, hoewel het item nog steeds geïnfecteerd is. McAfee Endpoint Security 10.1 Producthandleiding 49

50 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Bedreigingspreventie beheren Als beheerder kunt u Bedreigingspreventie-instellingen opgeven om toegang door bedreigingen te voorkomen en scans te configureren. Voor beheerde systemen kunnen beleidswijzigingen van McAfee epo wijzigingen overschrijven van de pagina Instellingen. Uitsluitingen configureren Met Bedreigingspreventie kunt u uw beveiliging aanpassen door items op te geven die moeten worden uitgesloten. U moet bijvoorbeeld bepaalde bestandstypen uitsluiten om te voorkomen dat een scanner een bestand vergrendelt dat door een database of server wordt gebruikt. (Een database of server kan vastlopen of fouten genereren door een geblokkeerd bestand.) Als u een map op Windows-systemen wilt uitsluiten, voegt u een backslash (\) toe aan het pad. Als u een map op Mac-systemen wilt uitsluiten, voegt u een slash (/) toe aan het pad. Voor deze functie... Items opgeven om uit te sluiten Waar configureren Items uitsluiten per Jokertekens gebruiken? Toegangsbeveiliging Processen (voor alle regels of een opgegeven regel) Toegangsbeveiliging instellingen Naam of pad uitvoerbaar bestand, MD5-hash of ondertekenaar. Ja, bestandsnaam en pad Nee, MD5-hash en ondertekenaar Exploitpreventie Processen Exploitpreventie instellingen Alle scans Scannen bij toegang Standaard Hoog risico Laag risico Namen gedetecteerde items Mogelijk ongewenste programma's Bestanden, bestandstypen en mappen Opties instellingen Instellingen van Scan bij toegang Procesnaam, Aanroepmodule of API. Detectienaam (hoofdlettergevoelig) Naam Bestandsnaam of -map, bestandstype of bestandsdatum Nee ScriptScan-URL's URL-naam Nee Ja Ja Ja Scannen op verzoek Snelle scan Volledige scan Bestanden, mappen en stations Instellingen van Scan op verzoek Bestandsnaam of -map, bestandstype of bestandsdatum Ja Rechtermuisknopscan Aangepaste scan op verzoek Bestanden, mappen en stations Gedeelde instellingen Taken Taak toevoegen Aangepaste scan Bestandsnaam of -map, bestandstype of bestandsdatum Ja Zie ook Jokertekens in uitsluitingen op pagina McAfee Endpoint Security 10.1 Producthandleiding

51 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Jokertekens in uitsluitingen U kunt jokertekens gebruiken voor tekens in scanuitsluitingen van bestanden, mappen, detectienamen en mogelijk ongewenste programma's. Tabel 3-1 Geldige jokertekens Jokerteken Naam Staat voor? Vraagteken Eén teken. Dit jokerteken is alleen van toepassing als het aantal tekens overeenkomt met de lengte van het bestand of de mapnaam. Bijvoorbeeld: met de uitsluiting w?? wordt www uitgesloten, maar niet ww of wwww. * Sterretje Meerdere tekens, met uitzondering van backslash (\). ** Dubbel sterretje Nul of meer van een willekeurig aantal tekens, inclusief backslash (\). Dit jokerteken komt overeen met nul of meer tekens. Bijvoorbeeld: C:\ABC\**\XYZ komt overeen met C:\ABC\DEF\XYZ en C:\ABC\XYZ. Jokertekens kunnen in een pad vóór een backslash (\) staan. Bijvoorbeeld: C:\ABC\*\XYZ komt overeen met C:\ABC\DEF\XYZ. Uitsluitingen op hoofdniveau Bedreigingspreventie vereist een absoluut pad voor uitsluitingen op hoofdniveau. Dit houdt in dat u aan het begin niet de jokertekens \ of?:\ mag gebruiken om overeen te komen met stationsnamen op hoofdniveau. Dit gedrag wijkt af van VirusScan Enterprise. Zie het KnowledgeBase-artikel KB85746 en de McAfee Endpoint Security-migratiehandleiding. Met Bedreigingspreventie mogen uitsluitingen voorafgegaan worden door de jokertekens **\ in uitsluitingen op hoofdniveau, zodat deze overeenkomen met stations en submappen. **\test hoort bijvoorbeeld bij: C:\test D:\test C:\temp\test D:\foo\test De toegangspunten van uw systeem beveiligen De eerste verdediging tegen malware is toegangspunten van clientsystemen te beveiligen tegen toegang door bedreigingen. Toegangsbeveiliging voorkomt ongewenste veranderingen op beheerde computers door toegang tot specifieke bestanden, shares, registersleutels en -waarden te beperken. Toegangsbeveiliging maakt gebruik van regels die door McAfee en door de gebruiker zijn gedefinieerd (ook wel aangepaste regels genoemd) om toegang tot items te rapporteren of blokkeren. Toegangsbeveiliging vergelijkt een gevraagde actie met de lijst met regels en handelt volgens de regel. Toegangsbeveiliging moet zijn ingeschakeld om pogingen te detecteren tot het openen van bestanden, shares en registersleutels en -waarden. Toegangsbeveiliging is standaard ingeschakeld. McAfee Endpoint Security 10.1 Producthandleiding 51

52 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Hoe dreigingen toegang krijgen Dreigingen krijgen toegang tot uw systeem via verschillende toegangspunten. Toegangspunt Macro's Uitvoerbare bestanden Scripts IRC-berichten (Internet Relay Chat) Help-bestanden van browsers en toepassingen Combinaties van al deze toegangspunten Beschrijving Als onderdeel van tekstverwerkingsdocumenten en spreadsheettoepassingen. Schijnbaar goedaardige programma's kunnen virussen bevatten naast het verwachte programma. Een aantal veelvoorkomende bestandsextensies zijn.exe,.com,.vbs,.bat,.hlp en.dll. Wanneer scripts zoals ActiveX en JavaScript aan webpagina's en zijn gekoppeld en wordt toegestaan dat ze worden uitgevoerd, kunnen ze virussen bevatten. Bestanden die samen met deze berichten worden verzonden, kunnen gemakkelijk malware bevatten als deel van het bericht. Automatische opstartprocessen kunnen bijvoorbeeld wormen en trojaanse paarden bevatten. Het systeem wordt blootgesteld aan ingesloten virussen en uitvoerbare bestanden wanneer deze Help-bestanden worden gedownload. Grapjes, spelletjes en afbeeldingen die onderdeel zijn van berichten met bijlagen. Zeer goede malwaremakers combineren al deze afleveringsmethoden en sluiten zelfs malware in andere malware in om toegang te krijgen tot de beheerde computer. Hoe Toegangsbeveiliging bedreigingen stopt Toegangsbeveiliging stopt potentiële bedreigingen door acties te beheren die zijn gebaseerd op door McAfee gedefinieerde en door gebruikers gedefinieerde beveiligingsregels. Bedreigingspreventie volgt deze basisprocedure om toegangsbeveiliging te leveren. Wanneer een dreiging optreedt Wanneer een gebruiker of proces actie onderneemt: 1 Toegangsbeveiliging onderzoekt de actie aan de hand van de gedefinieerde regels. 2 Als de actie een regel overtreedt, beheert Toegangsbeveiliging de actie met behulp van de informatie in de geconfigureerde regels. 3 Toegangsbeveiliging werkt het logboekbestand bij en genereert en verzendt een gebeurtenis naar de beheerserver, indien beheerd. Voorbeeld van een toegangsdreiging 1 Een gebruiker downloadt een legitiem programma (geen malware), MyProgram.exe, van internet. 2 De gebruiker start MyProgram.exe en het lijkt alsof het wordt gestart zoals verwacht. 3 MyProgram.exe start een onderliggend proces met de naam AnnoyMe.exe. 4 AnnoyMe.exe probeert het besturingssysteem te wijzigen om te zorgen dat AnnoyMe.exe bij het opstarten altijd wordt geladen. 52 McAfee Endpoint Security 10.1 Producthandleiding

53 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 5 Toegangsbeveiliging verwerkt het verzoek en controleert de actie tegen de bestaande regel voor blokkeren en rapporteren. 6 Toegangsbeveiliging voorkomt dat AnnoyMe.exe het besturingssysteem bewerkt en registreert de details van de poging. Toegangsbeveiliging genereert ook een waarschuwing die naar de beheerserver wordt gestuurd. Toegangsbeveiligingsregels Gebruik toegangsbeveiligingsregels om de toegangspunten van uw systeem te beveiligen. Type regel Door McAfee gedefinieerde regels Door gebruiker gedefinieerde regels Parameters Deze regels voorkomen dat gangbare bestanden en instellingen worden gewijzigd. U kunt de configuratie van door McAfee gedefinieerde regels inschakelen, uitschakelen en wijzigen, maar u kunt deze regels niet verwijderen. Deze regels vormen een aanvulling op de beveiliging die de door McAfee gedefinieerde regels bieden. Een lege uitvoerbare tabel geeft aan dat u alle uitvoerbare bestanden opneemt. U kunt deze regels toevoegen en verwijderen, en configuratie ervan inschakelen, uitschakelen en wijzigen. Uitsluitingen Op regelniveau zijn uitsluitingen en insluitingen van toepassing op de opgegeven regel. Op beleidsniveau zijn uitsluitingen van toepassing op alle regels. Uitsluitingen zijn optioneel. Door McAfee gedefinieerde regels voor Toegangsbeveiliging configureren Door McAfee gedefinieerde regels voorkomen dat gangbare bestanden en instellingen worden gewijzigd. U kunt de instellingen voor blokkeren en rapporteren wijzigen en uitgesloten en ingesloten uitvoerbare bestanden toevoegen, maar u kunt deze regels niet verwijderen en kunt de bestanden en instellingen die worden beveiligd door deze regels niet wijzigen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Subregels kunnen niet worden toegevoegd aan een door McAfee gedefinieerde regel. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Toegangsbeveiliging. McAfee Endpoint Security 10.1 Producthandleiding 53

54 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 5 Verifieer dat Toegangsbeveiliging is ingeschakeld. Toegangsbeveiliging is standaard ingeschakeld. 6 Wijzig de regel: a Selecteer in de sectie Regels de optie Blokkeren, Rapporteren of beide voor de regel. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Blokkeren of Rapporteren in de eerste rij. Als Blokkeren of Rapporteren beide niet geselecteerd zijn, wordt de regel uitgeschakeld. b c d Dubbelklik op een door McAfee gedefinieerde regel om deze te bewerken. Configureer de instellingen op de pagina Door McAfee gedefinieerde regel bewerken. Klik in de sectie Uitvoerbare bestanden op Toevoegen, configureer de instellingen en klik tweemaal op Opslaan om de regel op te slaan. Zie ook Door McAfee gedefinieerde regels op pagina 54 Aanmelden als beheerder op pagina 25 Door McAfee gedefinieerde regels U kunt door McAfee gedefinieerde regels gebruiken als u uw computer wilt beveiligen tegen ongewenste wijzigingen. Tabel 3-2 Door McAfee gedefinieerde regel Registratie van bestandsextensies wijzigen Beschrijving Hiermee worden de registersleutels onder HKEY_CLASSES_ROOT beveiligd waar bestandsextensies zijn geregistreerd. Deze regel voorkomt dat malware de bestandsextensieregistraties wijzigt zodat malware op de achtergrond kan worden uitgevoerd. Schakel deze regel uit wanneer u geldige toepassingen installeert die bestandsextensieregistraties in het register wijzigen. Deze regel is een strenger alternatief voor.exe en andere extensies van uitvoerbare bestanden hijacken. Gebruiksrechtbeleid wijzigen Nieuwe uitvoerbare bestanden maken in de map Program Files Hiermee worden registerwaarden beschermd die Windows-beveiligingsgegevens bevatten. Deze regel voorkomt dat wormen accounts wijzigen die beheerdersrechten hebben. Hiermee wordt voorkomen dat nieuwe uitvoerbare bestanden in de map Program Files worden gemaakt. Deze regel voorkomt dat adware en spyware nieuwe EXE- en DLL-bestanden maken en nieuwe uitvoerbare bestanden in de map Program Files installeren. Het is raadzaam toepassingen te installeren voordat u deze regel inschakelt of de geblokkeerde processen op de lijst met uitsluitingen plaatst. 54 McAfee Endpoint Security 10.1 Producthandleiding

55 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Tabel 3-2 (vervolg) Door McAfee gedefinieerde regel Nieuwe uitvoerbare bestanden maken in de Windows-map Beschrijving Voorkomt het maken van bestanden uit alle processen, niet alleen via het netwerk. Deze regel voorkomt het maken van EXE- en DLL-bestanden in de Windows-map. Voeg processen die bestanden in de Windows-map plaatsen, op de lijst met uitsluitingen. Register-editor en Taakbeheer uitschakelen Hiermee worden Windows-registervermeldingen beveiligd, omdat wordt voorkomen dat de Register-editor en Taakbeheer worden uitgeschakeld. Schakel in geval van een uitbraak deze regel uit om het register te kunnen wijzigen, of open Taakbeheer om actieve processen te stoppen. Scripts uitvoeren door Windows-scripthost (CScript.exe of Wscript.exe) vanuit een willekeurige tijdelijke map Hiermee wordt voorkomen dat de Windows-scripthost VBScript- en JavaScript-scripts uitvoert in alle mappen met 'temp' (tijdelijk) in de naam. Deze regel beschermt tegen veel trojaanse paarden en verdachte webinstallatiemethoden die worden gebruikt door adware- en spywaretoepassingen. Deze regel kan voorkomen dat legitieme scripts en toepassingen van derden worden geïnstalleerd of uitgevoerd..exe of andere uitvoerbare extensies hijacken Hiermee worden.exe,.bat en andere uitvoerbare registersleutels onder HKEY_CLASSES_ROOT beschermd. Deze regel voorkomt dat malware registersleutels wijzigt om het virus uit te voeren wanneer een ander uitvoerbaar bestand wordt uitgevoerd. Deze regel is een minder streng alternatief voor Registratie van alle bestandsextensies wijzigen. Browser-helpobjecten of shell-extensies installeren Hiermee wordt voorkomen dat adware, spyware en trojaanse paarden die worden geïnstalleerd als browser-helpobjecten, op de hostcomputer worden geïnstalleerd. Deze regel voorkomt dat adware en spyware op systemen wordt geïnstalleerd. Als u wilt dat legitieme aangepaste toepassingen of toepassingen van derde partijen deze objecten kunnen installeren, moet u ze aan de lijst met uitsluitingen toevoegen. Na installatie kunt u de regel opnieuw inschakelen, omdat niet wordt voorkomen dat geïnstalleerde browser-helpobjecten werken. Installatie van nieuwe CLSID's, APPID's en TYPELIB's Hiermee wordt de installatie of registratie van nieuwe COM-servers voorkomen. Deze regel beschermt tegen adware- en spywareprogramma's die zichzelf installeren als COM-invoegtoepassing in Internet Explorer of Microsoft Office-toepassingen. Als u wilt voorkomen dat legitieme toepassingen worden geblokkeerd die COM-invoegtoepassingen registreren, waaronder veelvoorkomende toepassingen zoals Macromedia Flash, voegt u ze toe aan de lijst met uitsluitingen. McAfee Endpoint Security 10.1 Producthandleiding 55

56 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Tabel 3-2 (vervolg) Door McAfee gedefinieerde regel Internet Explorer start bestanden vanuit de map Gedownloade programmabestanden Beschrijving Voorkomt dat software via de webbrowser wordt geïnstalleerd. Dit is een specifieke regel voor Microsoft Internet Explorer. Omdat deze regel ook het installeren van legitieme software kan blokkeren, is het raadzaam de toepassing te installeren voordat u deze regel inschakelt of het installatieproces als een uitsluiting toevoegt. Deze regel is ingesteld om standaard te Rapporteren. Deze regel voorkomt dat adware en spyware uitvoerbare bestanden vanuit deze map installeren en uitvoeren. Windows-kernprocessen bewerken Internet Explorer-instellingen wijzigen Netwerkinstellingen wijzigen Hiermee wordt voorkomen dat bestanden worden gemaakt of uitgevoerd met de meest voorkomende vervalste namen. Deze regel voorkomt dat virussen en trojaanse paarden worden uitgevoerd onder de naam van een Windows-proces. Deze regel sluit authentieke Windows-bestanden uit. Hiermee wordt voorkomen dat processen instellingen in Internet Explorer wijzigen. Deze regel voorkomt dat trojaanse paarden, adware en spyware op de startpagina browserinstellingen wijzigen, zoals de startpagina wijzigen of Favorieten installeren. Deze regel voorkomt dat processen die niet worden weergegeven op de lijst met uitsluitingen, de netwerkinstellingen van een systeem wijzigen. Deze regel beschermt u tegen Layered Service Providers die gegevens zoals uw browseractiviteiten overdragen, door netwerkverkeer te registreren en naar externe sites te sturen. Voor processen die de netwerkinstellingen moeten kunnen wijzigen, voegt u ze toe aan de lijst met uitsluitingen of schakelt u de regel uit terwijl u wijzigingen aanbrengt. Registreren dat programma's automatisch worden uitgevoerd Blokkeert adware, spyware, trojaanse paarden en virussen die zichzelf proberen te registreren en steeds worden geladen wanneer het systeem opnieuw wordt opgestart. Deze regel voorkomt dat processen die niet op de lijst met uitsluitingen staan, processen registreren die worden uitgevoerd wanneer een systeem opnieuw wordt opgestart. Voeg legitieme toepassingen toe aan de lijst met uitsluitingen of installeer ze voordat deze regel wordt ingeschakeld. Lokale bestanden of mappen op afstand openen Hiermee wordt lees- en schrijftoegang voor externe computers op de computer geblokkeerd. Deze regel voorkomt dat een worm die van share naar share gaat, zich kan verspreiden. In een standaardomgeving is deze regel geschikt voor werkstations, maar niet servers, en alleen wanneer computers actief worden aangevallen. Als een computer wordt beheerd door er bestanden naar te duwen, voorkomt deze regel dat er updates of patches worden geïnstalleerd. Deze regel heeft geen effect op de beheerfuncties van McAfee epo. 56 McAfee Endpoint Security 10.1 Producthandleiding

57 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Tabel 3-2 (vervolg) Door McAfee gedefinieerde regel Automatisch uitvoerbare bestanden op afstand maken Bestanden of mappen op afstand maken of wijzigen Beschrijving Hiermee wordt voorkomen dat andere computers een verbinding maken en automatisch uitvoerbare bestanden (autorun.inf) maken of wijzigen. Dergelijke bestanden worden gebruikt om automatisch programmatypen te starten, meestal set-upbestanden op cd's. Deze regel voorkomt dat spyware en adware op cd's worden uitgevoerd. Deze regel is geselecteerd om standaard te Blokkeren en Rapporteren. Hiermee wordt schrijftoegang tot alle shares geblokkeerd. Deze regel is nuttig bij een uitbraak, omdat schrijftoegang wordt geblokkeerd en de verspreiding van een infectie wordt beperkt. De regel blokkeert malware die anders het gebruik van de computer of een netwerk in ernstige mate zou beperken. In een standaardomgeving is deze regel geschikt voor werkstations, maar niet servers, en alleen wanneer computers actief worden aangevallen. Als een computer wordt beheerd door er bestanden naar te duwen, voorkomt deze regel dat er updates of patches worden geïnstalleerd. Deze regel heeft geen effect op de beheerfuncties van McAfee epo. Portable Executable-, INI- en PIF-bestandstypen en kernsysteemlocaties op afstand maken of wijzigen Hiermee wordt voorkomen dat andere computers een verbinding maken en uitvoerbare bestanden wijzigen, zoals bestanden in de Windows-map. Deze regel is alleen van toepassing op bestandstypen die gewoonlijk worden geïnfecteerd door virussen. Deze regel beschermt tegen zich snel verspreidende wormen of virussen, die via open of beheershares door een netwerk gaan. Deze regel is een minder strenge versie van Alle shares alleen-lezen maken. Bestanden uitvoeren vanuit een willekeurige tijdelijke map Bestanden in de map Temp uitvoeren door gangbare programma's Hiermee wordt voorkomen dat uitvoerbare bestanden worden uitgevoerd of gestart vanuit een map met 'temp' (tijdelijk) in de naam. Deze regel beschermt tegen malware die wordt opgeslagen en uitgevoerd via een tijdelijke map van de gebruiker of het systeem. Dergelijke malware kan bijvoorbeeld bestaan uit uitvoerbare bijlagen in en gedownloade programma's. Hoewel deze regel de beste bescherming biedt, kan het gebeuren dat legitieme toepassingen niet kunnen worden geïnstalleerd. Voorkomt dat toepassingen software vanuit de browser of de client installeren. Deze regel voorkomt dat bijlagen en uitvoerbare bestanden worden uitgevoerd op webpagina's. Als u een toepassing wilt installeren die de map Temp gebruikt, voegt u het proces toe aan de lijst met uitsluitingen. Zie ook Door McAfee gedefinieerde regels voor Toegangsbeveiliging configureren op pagina 53 McAfee Endpoint Security 10.1 Producthandleiding 57

58 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Door de gebruiker gedefinieerde regels voor Toegangsbeveiliging configureren Door de gebruiker gedefinieerde regels vormen een aanvulling op de beveiliging die de door McAfee gedefinieerde regels bieden. U kunt deze regels toevoegen en verwijderen, en configuratie ervan inschakelen, uitschakelen en wijzigen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Toegangsbeveiliging. 5 Verifieer dat Toegangsbeveiliging is ingeschakeld. Toegangsbeveiliging is standaard ingeschakeld. 6 Maak de regel: a b c Klik in de sectie Regels op Toevoegen. Configureer de instellingen op de pagina Regel toevoegen. Klik in de sectie Uitvoerbare bestanden op Toevoegen, configureer de eigenschappen van de uitvoerbare bestanden en klik op Opslaan. Een lege uitvoerbare tabel geeft aan dat u alle uitvoerbare bestanden opneemt. d Klik in de sectie Subregels op Toevoegen en configureer vervolgens eigenschappen voor subregels. De prestaties worden mogelijk beïnvloed als u de bewerking Lezen selecteert. e f Klik in de sectie Parameters op Toevoegen, configureer parametergegevens en klik tweemaal op Opslaan. Selecteer in de sectie Regels de optie Blokkeren, Rapporteren of beide voor de regel. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Blokkeren of Rapporteren in de eerste rij. Taken Hoe parameters in subregels van Toegangsbeveiliging worden geëvalueerd op pagina 58 Elke parameter wordt toegevoegd met een instructie Opnemen of Uitsluiten. Hoe parameters in subregels van Toegangsbeveiliging worden geëvalueerd Elke parameter wordt toegevoegd met een instructie Opnemen of Uitsluiten. 58 McAfee Endpoint Security 10.1 Producthandleiding

59 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Wanneer u een systeemgebeurtenis evalueert op basis van een subregel, gaat de subregel naar waar als: Minstens één instructie voor Opnemen evalueert naar waar. en Alle instructies voor uitsluiten evalueren naar onwaar. Uitsluiten krijgt voorrang over Opnemen. Enkele voorbeelden: Als één subregel het bestand C:\marketing\jjansen opneemt en hetzelfde bestand uitsluit, wordt de subregel niet geactiveerd, zelfs als het bestand C:\marketing\jjansen is. Als een subregel alle bestanden insluit maar het bestand C:\marketing\jjansen uitsluit, wordt de subregel geactiveerd als het bestand niet C:\marketing\jjansen is. Als een subregel het bestand C:\marketing\* insluit maar C:\marketing\jjansen uitsluit, wordt de subregel alleen geactiveerd als het bestand marketing\iedereen is, tenzij het bestand C:\marketing \jjansen is. In dit geval wordt de subregel niet geactiveerd. Processen uitsluiten van Toegangsbeveiliging Als een vertrouwd programma wordt geblokkeerd, sluit dan het proces uit door een uitsluiting op basis van beleid of regels te maken. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Toegangsbeveiliging. McAfee Endpoint Security 10.1 Producthandleiding 59

60 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 5 Verifieer dat Toegangsbeveiliging is ingeschakeld. Toegangsbeveiliging is standaard ingeschakeld. 6 Voer een van de volgende handelingen uit: Als u het volgende wilt doen... Een uitsluiting op basis van beleid maken. Gaat u als volgt te werk... 1 Klik in de sectie Uitsluitingen op Toevoegen om processen toe te voegen die van alle regels moeten worden uitgesloten. 2 Configureer de eigenschappen van de uitvoerbare bestanden op de pagina Uitvoerbaar bestand toevoegen. 3 Klik op Opslaan en vervolgens op Toepassen om de instellingen op te slaan. Een uitsluiting op basis van regels maken. 1 Bewerk een bestaande regel of voeg een nieuwe regel toe. 2 Klik op de pagina Regel toevoegen of Regel bewerken op Toevoegen om een uitvoerbaar bestand toe te voegen dat moet worden uitgesloten. 3 Configureer de eigenschappen van de uitvoerbare bestanden op de pagina Uitvoerbaar bestand toevoegen. 4 Klik op Opslaan om de uitsluitingen op te slaan. Misbruik van bufferoverloop blokkeren Exploitpreventie voorkomt dat willekeurige code wordt uitgevoerd via onrechtmatig gebruik van bufferoverloop. Deze functie controleert API-aanroepen van de gebruikersmodus en stelt vast of deze aanroepen het gevolg van een bufferoverloop zijn. Als een inbreuk wordt gedetecteerd, wordt er informatie vastgelegd in het activiteitenlogboek, weergegeven op het clientsysteem en naar de beheerserver gestuurd, indien geconfigureerd. Bedreigingspreventie gebruikt het inhoudsbestand van Exploitpreventie om toepassingen te beschermen zoals Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word en MSN Messenger. Host Intrusion Prevention 8.0 kan worden geïnstalleerd op hetzelfde systeem als Endpoint Security Als McAfee Host IPS ingeschakeld is, wordt Exploitpreventie uitgeschakeld, ook al is deze ingeschakeld in de beleidsinstellingen. Hoe bufferoverloopmisbruik plaatsvindt Aanvallers kunnen bufferoverloop misbruiken om uitvoerbare code te implementeren door de buffer met een vaste grootte, die is gereserveerd voor een invoerproces, te laten overlopen. Met deze code kan de aanvaller de doelcomputer overnemen of de gegevens schade toebrengen. Ruim 25 procent van alle malwareaanvallen zijn bufferoverloopaanvallen die proberen om aangrenzend geheugen in de stackframe te overschrijven. Er zijn twee soorten misbruik van bufferoverloop: Stack-gebaseerde aanvallen: gebruiken de stackgeheugenobjecten om gebruikersinvoer op te slaan (komen het meeste voor). Heap-gebaseerde aanvallen: overspoelen de geheugenruimte die is gereserveerd voor een programma (komt weinig voor). 60 McAfee Endpoint Security 10.1 Producthandleiding

61 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Het stackgeheugenobject met vaste grootte is leeg en gereed voor invoer van de gebruiker. Wanneer een programma invoer van de gebruiker ontvangt, worden de gegevens boven op de stack opgeslagen en wordt een geheugenretouradres toegewezen. Wanneer de stack wordt verwerkt, wordt de invoer van de gebruiker verzonden naar het retouradres dat is opgegeven door het programma. Hieronder wordt een stack-gebaseerde bufferoverloopaanval beschreven: 1 De stack laten overlopen. Wanneer het programma wordt geschreven, wordt een bepaalde hoeveelheid geheugenruimte gereserveerd voor de gegevens. De stack loopt over als de gegevens die worden geschreven, een grotere omvang hebben dan de ruimte die hiervoor is gereserveerd in de geheugenstack. Dit is alleen een probleem als dit in combinatie met schadelijke invoer gebeurt. 2 Misbruik maken van de overloop. Het programma wacht op invoer van de gebruiker. Als de aanvaller een uitvoerbare opdracht invoert die groter is dan de stackgrootte, wordt die opdracht buiten de gereserveerde ruimte opgeslagen. 3 De malware uitvoeren. De opdracht wordt niet automatisch uitgevoerd wanneer de stackbufferruimte wordt overschreden. Het programma loopt eerst vast vanwege de bufferoverloop. Als de aanvaller een geheugenretouradres heeft opgegeven dat verwijst naar de schadelijke opdracht, probeert het programma te herstellen door het retouradres te gebruiken. Als het retouradres een geldig adres is, wordt de schadelijke opdracht uitgevoerd. 4 Misbruik maken van de machtigingen. De malware wordt nu uitgevoerd met dezelfde machtigingen als de beschadigde toepassing. Aangezien programma's meestal in kernelmodus worden uitgevoerd, of met machtigingen die van een serviceaccount zijn overgenomen, krijgt de aanvaller nu volledige controle over het besturingssysteem. Configureer instellingen voor Exploitpreventie Om te voorkomen dat toepassingen willekeurige code uitvoeren op uw computer, configureert u de instellingen voor Exploitpreventie. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Exploitpreventie. 5 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 25 McAfee Endpoint Security 10.1 Producthandleiding 61

62 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Processen uitsluiten van Exploitpreventie Wanneer een overtreding van Exploitpreventie plaatsvindt, is er een bijbehorend proces en een mogelijke aanroepmodule of API. Als u vermoedt dat de overtreding die plaatsvindt een vals positief resultaat is, kunt u een uitsluiting toevoegen die de bestandsnaam van het proces vermeldt. U kunt ook de aanroepmodule of API specificeren. Binnen één uitsluiting worden het proces, de module en de API verbonden met een logische AND. Alle items die overeenkomen met het proces, de module en API die zijn geassocieerd met de overtreding om ervoor te zorgen dat het nogmaals optreden van die overtreding uitgesloten is. Elke uitsluiting staat op zich: meerdere uitsluitingen zijn verbonden via een logische OF zodat, als één uitsluiting overeenkomt, de overtreding niet kan plaatsvinden. Mogelijk ongewenste programma's detecteren Om de beheerde computer te beschermen tegen mogelijk ongewenste programma's geeft u bestanden en programma's op die in uw omgeving moeten worden gedetecteerd, en schakelt u detectie in. Mogelijk ongewenste programma's zijn softwareprogramma's die ergerlijk zijn of de beveiligingsstaat of het privacybeleid van het systeem kunnen wijzigen. Mogelijk ongewenste programma's kunnen worden ingesloten in programma's die gebruikers opzettelijk downloaden. Spyware, adware en dialers zijn voorbeelden van ongewenste programma's. 1 Geef aangepaste ongewenste programma's op die de scanner bij toegang en scanner op verzoek moeten detecteren in de instellingen voor de Opties. 2 Schakel detectie van ongewenste programma's in en geef in de volgende instellingen op welke acties moeten worden uitgevoerd wanneer detecties plaatsvinden: instellingen voor Scannen bij toegang instellingen voor Scannen op aanvraag Zie ook Aangepaste, mogelijk ongewenste programma's opgeven die gedetecteerd moeten worden op pagina 62 Detecties en reacties van mogelijk ongewenste programma's inschakelen en configureren op pagina 63 Configureer de instellingen voor Scannen bij toegang op pagina 65 instellingen voor Scan op verzoek configureren op pagina 70 Aangepaste, mogelijk ongewenste programma's opgeven die gedetecteerd moeten worden Bij de instellingen voor Opties kunt u aanvullende programma's opgeven die de scanners bij toegang en op verzoek als ongewenste programma s moeten behandelen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. De scanners detecteren de programma's die u opgeeft, evenals de programma's die in de AMCore-inhoudsbestanden zijn opgegeven. 62 McAfee Endpoint Security 10.1 Producthandleiding

63 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Opties. 5 Vanuit Detecties van mogelijk ongewenste programma's: Klik op Toevoegen om de naam en desgewenst een beschrijving op te geven van een bestand of programma dat als mogelijk ongewenst programma moet worden behandeld. De Beschrijving wordt weergegeven als de detectienaam wanneer er een detectie plaatsvindt. Dubbelklik op de naam of beschrijving van een bestaand, mogelijk ongewenst programma om deze te wijzigen. Selecteer een bestaand, mogelijk ongewenst programma en klik op Verwijderen om het uit de lijst te halen. Zie ook Aanmelden als beheerder op pagina 25 Detecties en reacties van mogelijk ongewenste programma's inschakelen en configureren Schakel de scanners bij toegang en op verzoek in om mogelijk ongewenste programma's te detecteren en op te geven hoe moet worden gereageerd wanneer een mogelijk ongewenst programma wordt aangetroffen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Configureer de instellingen voor Scannen bij toegang. a Open de Endpoint Security-client. b Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. c d Klik op Geavanceerd weergeven. Klik op Scannen bij toegang. McAfee Endpoint Security 10.1 Producthandleiding 63

64 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren e f Selecteer onder Procesinstellingen voor elk type Scannen bij toegang de optie Ongewenste programma's detecteren. Configureer onder Acties hoe op ongewenste programma's moet worden gereageerd. 2 Configureer instellingen voor Scannen op aanvraag. a Open de Endpoint Security-client. b Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. c d e Klik op Geavanceerd weergeven. Klik op Scannen op aanvraag. Voor elk scantype (Volledige scan, Snelle scan en Rechtermuisknopscan): Selecteer Ongewenste programma's detecteren. Configureer onder Acties hoe op ongewenste programma's moet worden gereageerd. Zie ook Configureer de instellingen voor Scannen bij toegang op pagina 65 instellingen voor Scan op verzoek configureren op pagina 70 Aanmelden als beheerder op pagina 25 Algemene scaninstellingen configureren Als u instellingen wilt opgeven die van toepassing zijn op scans bij toegang, configureert u de instellingen voor Opties van Bedreigingspreventie. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Deze instellingen zijn van toepassing op alle scans: Quarantainelocatie en het aantal dagen dat items in quarantaine bewaard moeten blijven voordat ze automatisch worden verwijderd Detectienamen die moeten worden uitgesloten van scans Mogelijk ongewenste programma's die moeten worden gedetecteerd, zoals spyware en adware telemetriefeedback op basis van McAfee GTI Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen. de optie Instellingen en klik op Bedreigingspreventie op de pagina 3 Klik op Geavanceerd weergeven. 64 McAfee Endpoint Security 10.1 Producthandleiding

65 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 4 Klik op Opties. 5 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 25 Configureer de instellingen voor Scannen bij toegang op pagina 65 instellingen voor Scan op verzoek configureren op pagina 70 Configureer de instellingen voor Scannen bij toegang Met deze instellingen worden de scans bij toegang ingeschakeld en geconfigureerd, waaronder het opgeven van berichten die moeten worden verstuurd wanneer een bedreiging wordt gedetecteerd, en andere instellingen op basis van procestype. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Raadpleeg de Help voor de instellingen van de Opties van Bedreigingspreventie voor meer scanconfiguratieopties. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Scannen bij toegang. 5 Selecteer Scannen bij toegang inschakelen om de scanner bij toegang in te schakelen en opties te bewerken. 6 Geef op of standaardinstellingen voor alle processen moeten worden gebruikt, of verschillende instellingen voor processen met hoog en laag risico. Standaardinstellingen: configureer de scaninstellingen op het tabblad Standaard. Verschillende instellingen op basis van procestype: selecteer het tabblad (Standaard, Hoog risico of Laag risico) en configureer de scaninstellingen voor elk procestype. 7 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 25 Algemene scaninstellingen configureren op pagina 64 Hoe scannen bij toegang werkt De scanner bij toegang kan op het laagste niveau met het systeem geïntegreerd worden (Bestandssysteem Filterstation) en scant bestanden wanneer ze voor het eerst in het systeem binnenkomen. De scanner bij toegang stuurt meldingen naar de service-interface bij detectie. McAfee Endpoint Security 10.1 Producthandleiding 65

66 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Wanneer er een poging wordt gedaan om een bestand te openen of sluiten, onderschept de scanner de handeling en wordt een van de volgende acties uitgevoerd: 1 De scanner bepaalt of het item moet worden gescand aan de hand van deze criteria: De extensie van het bestand komt overeen met de configuratie. Het bestand is niet in de cache geplaatst, uitgesloten of eerder gescand. De scanner op verzoek gebruikt heuristische methodes om te controleren op verdachte bestanden als u McAfee GTI instelt. 2 Als het bestand voldoet aan de scancriteria, vergelijkt de scanner het met de signaturen in het momenteel ingestelde AMCore-inhoudsbestand. Als het bestand schoon is, wordt het resultaat gecached en worden lees- of schrijfhandelingen toegekend. Als het bestand een bedreiging bevat, wordt de handeling geweigerd en neemt de scanner de geconfigureerde actie. Is de actie bijvoorbeeld om het bestand op te schonen, dan zal de scanner het volgende doen: 1 Informatie in het momenteel ingestelde AMCore-inhoudsbestand gebruiken om het bestand op te schonen. 2 De resultaten in het activiteitenlogboek registreren. 3 De gebruiker waarschuwen dat er een bedreiging in het bestand is gedetecteerd en de te nemen actie aanvragen (het bestand opschonen of verwijderen). Windows 8 en 10: als de scanner een bedreiging detecteert in het pad van een geïnstalleerde Windows Store-app, wordt de bedreiging door de scanner gemarkeerd als gemanipuleerd. Windows voegt de markering Gemanipuleerd toe aan de tegel voor de app. Wanneer u probeert de app uit te voeren, stelt Windows u op de hoogte van het probleem en wordt u naar de Windows Store geleid om de app opnieuw te installeren. 66 McAfee Endpoint Security 10.1 Producthandleiding

67 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 3 Als het bestand niet aan de scanvereisten voldoet, slaat de scanner het bestand in de cache op en staat deze de handeling toe. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. Bedreigingspreventie leegt de algemene scancache en scant alle bestanden opnieuw wanneer: De configuratie voor Scannen bij toegang verandert. Er een Extra.DAT-bestand wordt toegevoegd. Scannen bij schrijven naar schijf, lezen van schijf of McAfee laten beslissen U kunt instellen wanneer de scanner bij toegang bestanden moet scannen: bij schrijven naar schijf, bij lezen van schijf, of McAfee toestaan te beslissen wanneer er wordt gescand. Als bestanden naar schijf worden geschreven, scant de scanner bij toegang deze bestanden: Inkomende bestanden die naar de vaste schijf worden geschreven. Bestanden (nieuw, gewijzigd of gekopieerd van de ene naar de andere schijf) die zijn gemaakt op de lokale vaste schijf of op een toegewezen netwerkstation (indien ingeschakeld). Omdat de scan mogelijk niet lukt als het bestand naar de schijf wordt geschreven, raden wij ten zeerste aan om Bij lezen van schijf in te schakelen. McAfee Endpoint Security 10.1 Producthandleiding 67

68 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Als bestanden van schijf worden gelezen, scant de scanner deze bestanden: Uitgaande bestanden die worden gelezen van de lokale vaste schijf of op toegewezen netwerkstations (indien ingeschakeld). Bestanden die proberen een proces uit te voeren op de lokale vaste schijf. Bestanden die op de lokale vaste schijf worden geopend. Wanneer u McAfee laat beslissen of een bestand moet worden gescand, gebruikt de scanner bij toegang vertrouwenslogica om het scannen te optimaliseren. Vertrouwenslogica verbetert uw beveiliging en prestaties doordat onnodig scannen wordt vermeden. Stel McAfee analyseert een aantal programma's en besluit dat deze betrouwbaar zijn. Als McAfee verifieert dat deze programma's niet zijn gemanipuleerd, voert de scanner mogelijk een beperkte of geoptimaliseerde scan uit. Scriptscan De Bedreigingspreventie-scriptscanner fungeert als een proxycomponent voor de native Windows Script Host, en onderschept en scant scripts voordat ze worden uitgevoerd. Als het script schoon is, geeft de scriptscanner het script door aan de native Windows Script Host. Als het script een mogelijke bedreiging bevat, voorkomt de scriptscanner dat het script wordt uitgevoerd. Uitsluitingen voor ScriptScan Bij scriptintensieve websites en webtoepassingen verslechteren mogelijk de prestaties wanneer ScriptScan is ingeschakeld. In plaats van ScriptScan uit te schakelen, is het raadzaam URL-uitsluitingen op te geven voor vertrouwde sites, zoals sites met een intranet of webtoepassingen waarvan u weet dat ze veilig zijn. 68 McAfee Endpoint Security 10.1 Producthandleiding

69 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Wanneer u URL-uitsluitingen maakt: Gebruik geen jokertekens. Neem geen poortnummers op. Het is raadzaam om alleen FQDN (Fully Qualified Domain Names) en NetBIOS-namen te gebruiken. Op Windows Server 2008-systemen werken ScriptScan URL-uitsluitingen niet met Internet Explorer tenzij u browseruitbreidingen van derden inschakelt en het systeem opnieuw opstart. Zie het KnowledgeBase-artikel KB ScriptScan en Internet Explorer Wanneer Bedreigingspreventie is geïnstalleerd, wordt een prompt weergegeven om een of meer McAfee-invoegtoepassingen in te schakelen wanneer u Internet Explorer de eerste keer start. Als ScriptScan scripts moet scannen: De instelling Scriptscan inschakelen moet geselecteerd zijn. De invoegtoepassing moet zijn ingeschakeld in de browser. Als ScriptScan is uitgeschakeld wanneer Internet Explorer wordt gestart en vervolgens wordt ingeschakeld, worden geen schadelijke scripts in dat exemplaar van Internet Explorer gedetecteerd. Nadat u ScriptScan hebt ingeschakeld, moet u Internet Explorer opnieuw starten zodat schadelijke scripts worden gedetecteerd. Scaninstellingen voor processen bepalen Voer dit proces uit om te bepalen of u verschillende instellingen op basis van procestype moet configureren. McAfee Endpoint Security 10.1 Producthandleiding 69

70 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren instellingen voor Scan op verzoek configureren Met deze instellingen wordt de werking van drie, vooraf gedefinieerde scans op aanvraag geconfigureerd: Volledige scan, Snelle scan en Rechtermuisknopscan. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Raadpleeg de Help voor de instellingen van de Opties van Bedreigingspreventie voor meer scanconfiguratieopties. 70 McAfee Endpoint Security 10.1 Producthandleiding

71 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Scannen op aanvraag. 5 Klik op een tabblad om instellingen voor de opgegeven scan te configureren. Volledige scan Snelle scan Rechtermuisknopscan 6 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 25 Algemene scaninstellingen configureren op pagina 64 Scantaken configureren, plannen en uitvoeren op pagina 75 Hoe scannen op verzoek werkt De scanner op verzoek doorzoekt bestanden, mappen, geheugen en register op malware die mogelijk uw computer heeft geïnfecteerd. U besluit wanneer en hoe vaak de scans op aanvraag plaatsvinden. U kunt systemen handmatig scannen, op een geplande tijd, of tijdens opstarten. 1 De scanner op verzoek gebruikt de volgende criteria om te bepalen of het item moet worden gescand: De extensie van het bestand komt overeen met de configuratie. Het bestand is niet in de cache geplaatst, uitgesloten of eerder gescand (als de scanner de scancache gebruikt). De scanner op verzoek gebruikt heuristische methodes om te controleren op verdachte bestanden als u McAfee GTI instelt. 2 Als het bestand voldoet aan de scancriteria, vergelijkt de scanner de informatie in het item met bekende malwaresignaturen in de momenteel ingestelde AMCore-inhoudsbestanden. Als er niets in het bestand wordt gevonden, wordt het resultaat in de cache opgeslagen en controleert de scanner het volgende item. Als het bestand een bedreiging bevat, neemt de scanner de geconfigureerde actie. McAfee Endpoint Security 10.1 Producthandleiding 71

72 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Is de actie bijvoorbeeld om het bestand op te schonen, dan zal de scanner het volgende doen: 1 Informatie in het momenteel ingestelde AMCore-inhoudsbestand gebruiken om het bestand op te schonen. 2 De resultaten in het activiteitenlogboek registreren. 3 De gebruiker waarschuwen dat er een bedreiging in het bestand is gedetecteerd met vermelding van de itemnaam en genomen actie. Windows 8 en 10: als de scanner een bedreiging detecteert in het pad van een geïnstalleerde Windows Store-app, wordt de bedreiging door de scanner gemarkeerd als gemanipuleerd. Windows voegt de markering Gemanipuleerd toe aan de tegel voor de app. Wanneer u probeert de app uit te voeren, stelt Windows u op de hoogte van het probleem en wordt u naar de Windows Store geleid om de app opnieuw te installeren. 3 Als het item niet aan de scanvereisten voldoet, wordt het niet door de scanner gecontroleerd. De scanner gaat dan door totdat alle gegevens zijn gescand. De detectielijst van de scan op verzoek wordt gewist wanneer de volgende scan op verzoek wordt gestart. Bedreigingspreventie leegt de algemene scancache en scant alle bestanden opnieuw wanneer een Extra.DAT wordt geladen. De impact van scans op gebruikers beperken Specificeer prestatieopties wanneer u scans op verzoek configureert om de impact die deze scans op een systeem hebben te minimaliseren. 72 McAfee Endpoint Security 10.1 Producthandleiding

73 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Alleen scannen wanneer het systeem niet actief is De gemakkelijkste manier om ervoor te zorgen dat de scan geen impact heeft op gebruikers, is de scan op verzoek alleen uit te voeren wanneer de computer niet actief is. Wanneer deze optie is geselecteerd, pauzeert Bedreigingspreventie de scan wanneer schijf- of gebruikersactiviteit wordt gedetecteerd, zoals gebruik van toetsenbord of muis. Bedreigingspreventie hervat de scan wanneer de gebruiker drie minuten lang geen toegang tot het systeem heeft gezocht. Kunt u desgewenst: Gebruikers toestaan scans te hervatten die door gebruikersactiviteit zijn onderbroken. De scan zo instellen dat deze alleen wordt uitgevoerd wanneer het systeem niet actief is. McAfee raadt aan om deze optie alleen uit te schakelen op serversystemen en systemen waartoe gebruikers toegang krijgen via Verbinding met extern bureaublad. Bedreigingspreventie is afhankelijk van McTray om te bepalen of het systeem inactief is. Op systemen die alleen toegankelijk zijn via Verbinding met extern bureaublad, wordt McTray niet gestart en wordt de scan op verzoek nooit uitgevoerd. Gebruikers kunnen dit probleem oplossen door McTray (standaard in C:\Program Files \McAfee\Agent\mctray.exe) handmatig te starten wanneer zij zich aanmelden via Verbinding met extern bureaublad. Selecteer Alleen scannen wanneer het systeem niet actief is in de sectie Prestaties van het tabblad Instellingen van de Scantaak. Scans automatisch onderbreken U kunt scans op aanvraag onderbreken wanneer het systeem op de accu werkt om prestaties te verbeteren. U kunt de scan ook onderbreken wanneer een toepassing, zoals een browser, mediaspeler of presentatie, op volledig scherm wordt uitgevoerd. De scan wordt hervat zodra het systeem op netvoeding wordt aangesloten of de modus voor volledig scherm wordt uitgeschakeld. Selecteer deze opties in de sectie Prestaties van het tabblad Instellingen van de Scantaak: Niet scannen als het systeem op batterijvermogen draait Niet scannen als het systeem in presentatiemodus staat (beschikbaar wanneer Op elk moment scannen is geselecteerd) Gebruikers toestaan scans uit te stellen Als u Op elk moment scannen selecteert, kunt u gebruikers toestaan geplande scans telkens één uur uit te stellen, tot 24 uur, of onbeperkt. Elk uitstel door een gebruiker kan één uur duren. Als de optie Maximum aantal uren dat gebruiker kan uitstellen bijvoorbeeld op 2 is ingesteld, kan de gebruiker de scan twee keer (twee uur) uitstellen. Als de maximum tijdsduur van het uitstel is verstreken, wordt de scan voortgezet. Als u een onbeperkt uitstel toestaat door de optie op nul in te stellen, kan de gebruiker de scan voor onbepaalde tijd uitstellen. Selecteer Gebruiker kan scan uitstellen in de sectie Prestaties van het tabblad Instellingen van de Scantaak: Scanactiviteit beperken met incrementele scans Gebruik incrementele, of hervatbare scans om te beperken wanneer scanactiviteit op aanvraag plaatsvindt en toch het volledige systeem te scannen in meerdere sessies. Voeg een tijdslimiet aan de geplande scan toe om incrementeel scannen te gebruiken. De scan stopt wanneer de tijdslimiet wordt bereikt. De volgende keer dat deze taak start, wordt deze hervat vanaf het punt in het bestand en de bestandsstructuur waar de vorige scan is gestopt. McAfee Endpoint Security 10.1 Producthandleiding 73

74 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Selecteer Taak stoppen als deze wordt uitgevoerd gedurende in de sectie Opties van het tabblad Scantaak Planning. Zie Scantaken configureren, plannen en uitvoeren op pagina 75. Systeemgebruik configureren Met Systeemgebruik kan de hoeveelheid CPU-tijd worden ingesteld die beschikbaar wordt gesteld aan de scanner tijdens de scan. Stel voor systemen met activiteit van eindgebruikers het systeemgebruik in op Laag. Selecteer Systeemgebruik in de sectie Prestaties van het tabblad Instellingen van de Scantaak. Zie ook instellingen voor Scan op verzoek configureren op pagina 70 Scantaken configureren, plannen en uitvoeren op pagina 75 De werking van systeemgebruik De scanner op verzoek gebruikt de instelling Prioriteit instellen in Windows voor de scanprocessen en de prioriteit van threads. Met de systeemgebruikinstelling (beperking) kan het besturingssysteem opgeven hoeveel CPU-tijd de scanner op verzoek krijgt tijdens het scanproces. Als u het systeemgebruik voor de scan instelt op Laag, worden de prestaties voor andere actieve toepassingen verbeterd. De lage instelling is handig voor systemen met activiteit van eindgebruikers. Omgekeerd is het zo dat als u het systeemgebruik instelt op Normaal, de scan sneller wordt voltooid. De normale instelling is handig voor systemen met grote volumes en maar weinig activiteit van eindgebruikers. Elke taak wordt onafhankelijk uitgevoerd, zonder rekening te houden met de beperkingen voor andere taken. Tabel 3-3 Standaardprocesinstellingen Instellingen voor Bedreigingspreventie-proces Laag Lager dan normaal Normaal (standaard) Deze optie... Biedt verbeterde prestaties voor andere actieve toepassingen. Selecteer deze optie voor systemen met activiteit van eindgebruikers. Stelt het systeemgebruik voor de scan in op de standaardwaarde van McAfee epo. Hiermee kan de scan sneller worden uitgevoerd. Selecteer deze optie voor systemen met grote volumes en weinig activiteit van eindgebruikers. Windows-instelling Prioriteit instellen Laag Lager dan normaal Normaal Hoe het scannen van Externe opslag werkt U kunt de scanner op verzoek configureren om de inhoud van bestanden die door Externe opslag worden beheerd, te scannen. Externe opslag controleert de hoeveelheid beschikbare ruimte op het lokale systeem. Wanneer nodig migreert Externe opslag de inhoud (gegevens) uit in aanmerking komende bestanden van het clientsysteem naar een opslagapparaat, zoals een tapestation. Wanneer een gebruiker een bestand opent waarvan de gegevens zijn gemigreerd, haalt Externe opslag de gegevens automatisch op van het opslagapparaat. 74 McAfee Endpoint Security 10.1 Producthandleiding

75 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Selecteer de optie Bestanden scannen die zijn gemigreerd naar de opslag om de scan op verzoek te configureren zodat bestanden worden gescand die Externe opslag beheert. Wanneer de scanner een bestand aantreft met gemigreerde inhoud, wordt het bestand naar het lokale systeem hersteld voordat het wordt gescand. Zie Wat is Externe opslag? voor meer informatie. Scantaken configureren, plannen en uitvoeren U kunt de standaardtaken Volledige scan en Snelle scan plannen of aangepaste scantaken maken via de Endpoint Security-client in de Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik via Gedeelde instellingen op Taken. 5 Configureer de instellingen voor de scantaak op de pagina. Als u het volgende wilt doen... Een aangepaste scantaak maken. Volgt u deze stappen 1 Klik op Toevoegen. 2 Voer de naam in, selecteer Aangepaste scan in de vervolgkeuzelijst en klik op Volgende. 3 Configureer de instellingen en planning van de scantaak, en klik op OK om de taak op te slaan. Een scantaak wijzigen. Een aangepaste scantaak verwijderen. Een kopie van een scantaak maken. Dubbelklik op de taak, breng uw wijzigingen aan en klik op OK om de taak op te slaan. Selecteer de taak en klik op Verwijderen. 1 Selecteer de taak en klik op Dupliceren. 2 Voer de naam in, configureer de instellingen en klik op OK om de taak op te slaan. McAfee Endpoint Security 10.1 Producthandleiding 75

76 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Als u het volgende wilt doen... De planning voor een Volledige scan of Snelle scan uitvoeren. Volgt u deze stappen 1 Dubbelklik op Volledige scan of Snelle scan. 2 Klik op de tab Planning, wijzig de planning en klik op OK om de taak op te slaan. U kunt instellingen voor de taken Volledige scan en Snelle scan alleen op systemen in eigen beheer configureren. Zie instellingen voor Scan op verzoek configureren op pagina 70 voor informatie over het configureren van het standaardgedrag van de taken Volledige scan en Snelle scan die zijn gestart vanuit de Endpoint Security-client. De Volledige scan wordt standaard elke woensdag om 12 uur 's nachts uitgevoerd. De snelle scan wordt dagelijks om 7 uur 's ochtends uitgevoerd. De planningen zijn ingeschakeld. Een scantaak uitvoeren. Selecteer de taak en klik op Nu uitvoeren. Als de taak al wordt uitgevoerd, of is gepauzeerd of uitgesteld, verandert de knop in Weergeven. Als u een taak uitvoert voordat u wijzigingen toepast, vraagt de Endpoint Security-client u de instellingen op te slaan. 6 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 25 instellingen voor Scan op verzoek configureren op pagina 70 Een Volledige scan of Snelle scan uitvoeren op pagina McAfee Endpoint Security 10.1 Producthandleiding

77 4 Firewall gebruiken De Firewall fungeert als filter tussen uw computer en het netwerk of internet. Inhoud Zo werkt Firewall Getimede groepen van Firewall inschakelen of weergeven Firewall beheren Zo werkt Firewall De Firewall scant al het binnenkomende en uitgaande verkeer. Tijdens de controle van binnenkomend of uitgaand verkeer controleert de Firewall de lijst met regels. Dit is een reeks criteria met bijbehorende acties. Als het verkeer aan alle criteria in een regel voldoet, gaat de Firewall te werk op basis van de regel en wordt verkeer via de Firewall geblokkeerd of toegestaan. Informatie over bedreigingsdetecties wordt opgeslagen voor rapporten waarmee de beheerder op de hoogte wordt gesteld van eventuele beveiligingsproblemen op uw computer. Firewall-opties en -regels definiëren hoe de Firewall werkt. Firewall-regels worden georganiseerd in regelgroepen voor eenvoudiger beheer. Als de Clientinterfacemodus is ingesteld op Volledige toegang of als u bent aangemeld als beheerder, kunt u regels en groepen configureren met behulp van Endpoint Security-client. Voor beheerde systemen worden regels en groepen die u maakt, mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert. Zie ook Opties van Firewall configureren op pagina 78 Hoe firewallregels werken op pagina 81 Hoe firewallregelgroepen werken op pagina 82 Getimede groepen van Firewall inschakelen of weergeven Getimede groepen van Firewall inschakelen of weergeven via het McAfee-systeemvakpictogram. Deze opties zijn mogelijk niet beschikbaar, afhankelijk van hoe de instellingen zijn geconfigureerd. McAfee Endpoint Security 10.1 Producthandleiding 77

78 4 Firewall gebruiken Firewall beheren Procedure Klik met de rechtermuisknop op het McAfee-systeemvakpictogram en selecteer een optie in het menu Snelinstellingen. Getimede groepen van Firewall inschakelen: hiermee worden getimede groepen gedurende een opgegeven tijd ingeschakeld om toegang tot het internet zonder netwerk toe te staan, voordat regels die de toegang beperken worden toegepast. Telkens als u deze optie selecteert, wordt de tijd voor de groepen opnieuw ingesteld. Getimede groepen van Firewall weergeven: hiermee worden de namen van de getimede groepen weergegeven, evenals de actieve tijd die over is voor elke groep. Firewall beheren Als beheerder kunt u Firewall-opties configureren en regels en groepen maken in de Endpoint Security-client. Voor beheerde systemen kunnen beleidswijzigingen van McAfee epo wijzigingen overschrijven van de pagina Instellingen. Firewall-opties wijzigen Als beheerder kunt u Firewall-opties bewerken via de Endpoint Security-client. Taken Opties van Firewall configureren op pagina 78 Configureer instellingen in Opties om firewallbeveiliging in en uit te schakelen, de aanpassingsmodus in te schakelen, en andere Firewall-opties te configureren. DNS-verkeer blokkeren op pagina 79 Als u firewallbeveiliging wilt verfijnen, maakt u een lijst van FQDN's die u wilt blokkeren. Firewall blokkeert verbindingen met de IP-adressen die worden omgezet naar de domeinnamen. Zie ook Veelgestelde vragen: McAfee GTI en Firewall op pagina 79 Opties van Firewall configureren Configureer instellingen in Opties om firewallbeveiliging in en uit te schakelen, de aanpassingsmodus in te schakelen, en andere Firewall-opties te configureren. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 78 McAfee Endpoint Security 10.1 Producthandleiding

79 Firewall gebruiken Firewall beheren 4 3 Selecteer Firewall inschakelen om de firewall te activeren en de opties te bewerken. Host Intrusion Prevention 8.0 kan worden geïnstalleerd op hetzelfde systeem als Endpoint Security Als McAfee Host IPS geïnstalleerd en ingeschakeld is, wordt de Endpoint Security-firewall uitgeschakeld, ook al is deze ingeschakeld in de beleidsinstellingen. 4 Klik op Geavanceerd weergeven. 5 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 25 DNS-verkeer blokkeren Als u firewallbeveiliging wilt verfijnen, maakt u een lijst van FQDN's die u wilt blokkeren. Firewall blokkeert verbindingen met de IP-adressen die worden omgezet naar de domeinnamen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Klik onder DNS-blokkering op Toevoegen. 4 Voer de door FQDN in van de domeinen die moeten worden geblokkeerd. U kunt de jokertekens * en? gebruiken. Bijvoorbeeld *domein.com. Dubbele vermeldingen worden automatisch verwijderd. 5 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Veelgestelde vragen: McAfee GTI en Firewall Antwoorden op veelgestelde vragen. Met instellingen voor Firewall Opties kunt u inkomend en uitgaand verkeer blokkeren voor een netwerkverbinding die McAfee GTI heeft geclassificeerd als hoog risico. In deze veelgestelde vragen wordt uitgelegd hoe McAfee GTI werkt en het effect op de firewall. Wat is McAfee GTI? McAfee GTI is een wereldwijd internetreputatiesysteem dat goed en slecht gedrag op internet bepaalt. McAfee GTI gebruikt realtime-analyse van wereldwijde gedrags- en verzendpatronen voor , webactiviteiten, malware en gedrag tussen systemen. Aan de hand van analysegegevens berekent McAfee GTI op dynamische wijze reputatiescores die het risiconiveau voor uw netwerk representeren wanneer u een webpagina bezoekt. Het resultaat is een database met reputatiescores voor IP-adressen, domeinen, specifieke berichten, URL's en afbeeldingen. Hoe werkt het? McAfee Endpoint Security 10.1 Producthandleiding 79

80 4 Firewall gebruiken Firewall beheren Wanneer de opties van McAfee GTI worden geselecteerd, worden twee firewallregels gemaakt: McAfee GTI Allow Endpoint Security Firewall Service (McAfee GTI: Endpoint Security Firewall-service toestaan) en McAfee GTI Get Rating (McAfee GTI: Classificatie verkrijgen). De eerste regel staat een verbinding met McAfee GTI toe en de tweede blokkeert verkeer of staat het toe op basis van de reputatie van de verbinding en de ingestelde blokkeringsdrempel. Wat betekent 'reputatie'? McAfee GTI berekent een reputatiewaarde voor elk IP-adres op internet. McAfee GTI baseert de waarde op het verzend- of hostgedrag en verschillende omgevingsgegevens die zijn verzameld van klanten en partners over de staat van internetdreigingen. De reputatie wordt uitgedrukt in vier klassen, gebaseerd op onze analyse: Niet blokkeren (minimumrisico): deze site is een legitieme bron of bestemming van inhoud/ verkeer. Niet gecontroleerd: deze site lijkt een legitieme bron of bestemming van inhoud/verkeer te zijn. Deze site heeft echter ook bepaalde eigenschappen die nadere controle vereisen. Gemiddeld risico: deze bron/bestemming toont gedrag dat als verdacht wordt beschouwd en inhoud/verkeer van naar deze bron/bestemming moet nader onderzocht worden. Hoog risico: van deze bron/bestemming is bekend dat mogelijk schadelijk(e) inhoud/verkeer wordt verzonden/gehost. We zijn van mening dat het hier om een ernstig risico gaat. Veroorzaakt McAfee GTI vertraging? En hoeveel? Wanneer McAfee GTI wordt gevraagd om een reputatie vast te stellen, is een kleine vertraging onvermijdelijk. McAfee heeft er alles aan gedaan om deze vertraging tot een minimum te beperken. McAfee GTI: Controleert alleen reputaties wanneer de opties zijn geselecteerd. Gebruikt een intelligente cache-architectuur. Bij normale netwerkgebruikspatronen zet de cache de meest gevraagde verbindingen om zonder een livezoekopdracht naar de reputatie. Stopt het verkeer als de firewall de servers van McAfee GTI niet kan bereiken? Als de firewall geen van de servers van McAfee GTI kan bereiken, krijgen alle toepasselijke verbindingen automatisch een standaard toegestane reputatie toegewezen. De firewall blijft vervolgens de regels die volgen, analyseren. Firewall-regels en -groepen beheren Als beheerder kunt u Firewall-regels en -groepen configureren via de Endpoint Security-client. Taken Firewall -regels en -groepen maken en beheren op pagina 86 Voor beheerde systemen worden regels en groepen die u configureert in de Endpoint Security-client, mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert. Groepen voor isolatie van verbindingen maken op pagina 88 Maak een firewallregelgroep voor isolatie van verbindingen om een reeks regels op te stellen die alleen van toepassing zijn wanneer verbinding wordt gemaakt met een netwerk met bepaalde parameters. Getimede groepen maken op pagina 89 Maak getimede groepen voor de Firewall om internettoegang te beperken tot een clientsysteem verbinding maakt via een VPN. 80 McAfee Endpoint Security 10.1 Producthandleiding

81 Firewall gebruiken Firewall beheren 4 Hoe firewallregels werken Firewallregels bepalen hoe netwerkverkeer wordt verwerkt. Elke regel bevat een reeks voorwaarden waaraan verkeer moet voldoen, en een actie om verkeer toe te staan of te blokkeren. Wanneer Firewall verkeer vindt dat aan de voorwaarden van een regel voldoet, wordt de bijbehorende actie uitgevoerd. U kunt de regels algemeen (bijvoorbeeld al het IP-verkeer) of specifieker (bijvoorbeeld een specifieke toepassing of service identificeren) definiëren en opties opgeven. U kunt regels groeperen volgens een werkfunctie, service of toepassing om ze gemakkelijker te beheren. Net als regels kunt u regelgroepen definiëren op netwerk, transport, toepassing, planning en locatie. Firewall gebruikt prioriteit om regels toe te passen: 1 Firewall past de regel boven aan de lijst met firewallregels toe. Als het verkeer voldoet aan de voorwaarden van deze regel, wordt het verkeer door Firewall toegestaan of geblokkeerd. Er wordt niet geprobeerd andere regels in de lijst toe te passen. 2 Als het verkeer niet voldoet aan de voorwaarden van de eerste regel, kijkt Firewall naar de volgende regel in de lijst, tot een regel wordt gevonden waaraan het verkeer voldoet. 3 Als er geen regels zijn waaraan wordt voldaan, blokkeert de firewall het verkeer automatisch. Als de adaptieve modus is geactiveerd, wordt een regel gemaakt om het verkeer toe te staan. Soms komt het onderschepte verkeer overeen met meer dan een regel in de lijst. In dit geval betekent voorrang dat Firewall alleen de eerste regel op de lijst waaraan wordt voldaan, toepast. McAfee Endpoint Security 10.1 Producthandleiding 81

82 4 Firewall gebruiken Firewall beheren Aanbevolen procedures Zet de specifiekere regels boven aan de lijst en de algemenere regels onderaan. Deze volgorde zorgt dat Firewall het verkeer goed filtert. Als u bijvoorbeeld alle HTTP-aanvragen wilt toestaan met uitzondering van een specifiek adres (bijvoorbeeld IP-adres ), maakt u twee regels: Blokkeringsregel: blokkeer HTTP-verkeer van IP-adres Dit is een specifieke regel. Toestaan-regel: sta al het verkeer toe dat gebruik maakt van de HTTP-service. Dit is een algemene regel. Zet de blokkeringsregel hoger in de lijst met firewallregels dan de toestaan-regel. Wanneer de firewall de HTTP-aanvraag van adres onderschept, is de regel die dit verkeer via de firewall blokkeert, de eerste overeenkomende regel die wordt gevonden. Als de algemene toestaan-regel hoger staat dan de specifieke blokkeringsregel, zoekt Firewall aanvragen bij de toestaan-regel voordat de blokkeringsregel wordt gevonden. Het verkeer wordt nu toegestaan, zelfs als u de HTTP-aanvraag van een specifiek adres wilde blokkeren. Hoe firewallregelgroepen werken Gebruik Firewallregelgroepen om firewallregels te organiseren voor eenvoudiger beheer. Firewall-regelgroepen hebben geen invloed op de manier waarop Firewall de regels erin verwerkt; Firewall verwerkt regels nog steeds van boven naar beneden. Firewall verwerkt de instellingen voor de groep voordat de instellingen voor de regels die de groep bevat, worden verwerkt. Als deze instellingen een conflict bevatten, krijgen de groepsinstellingen voorrang. Locatiedetectie voor groepen instellen Met Firewall kunt u locatiedetectie voor groepsregels instellen en verbindingsisolatie opzetten. Met de Locatie en Netwerkopties van de groep kunt u netwerkadapterdetectie voor de groepen instellen. Gebruik netwerkadaptergroepen om adapterspecifieke regels toe te passen voor computers met meerdere netwerkinterfaces. Nadat u locatiestatus hebt ingeschakeld en de locatie hebt opgegeven, kunnen parameters voor toegestane verbindingen het volgende voor elke netwerkadapter bevatten: Locatie: Vereisen dat McAfee epo bereikbaar is Verbindingsspecifiek DNS-achtervoegsel IP-adres van standaardgateway IP-adres DHCP-server Query uitgevoerd op DNS-server om URL's om te zetten IP-adres primaire WINS-server IP-adres secundaire WINS-server Domeinbereikbaarheid (HTTPS) Registersleutel 82 McAfee Endpoint Security 10.1 Producthandleiding

83 Firewall gebruiken Firewall beheren 4 Netwerken: IP-adres lokaal netwerk Verbindingstypen Als twee groepen met locatiedetectie van toepassing zijn op een verbinding, gebruikt Firewall normale prioriteit en wordt de eerste toepasselijke groep in de regellijst verwerkt. Als er geen regel in de eerste groep overeenkomt, wordt regelverwerking voortgezet. Wanneer Firewall de parameters van een groep met locatiedetectie bij een actieve verbinding zoekt, worden de regels binnen de groep toegepast. De regels worden als kleine regelset behandeld en normale prioriteit wordt gebruikt. Als sommige regels niet overeenkomen met het onderschepte verkeer, worden ze genegeerd door de firewall. Wanneer deze optie is geselecteerd... Locatiedetectie inschakelen Vereisen dat McAfee epo bereikbaar is Lokaal netwerk Verbindingsspecifiek DNS-achtervoegsel Standaardgateway DHCP-server DNS-server Primaire WINS-server Secundaire WINS-server Domeinbereikbaarheid (HTTPS) Ga daarna als volgt te werk: Er is een locatienaam vereist. De McAfee epo is bereikbaar en de FQDN van de server is omgezet. Het IP-adres van de adapter moet overeenkomen met een van de lijstvermeldingen. Het DNS-achtervoegsel van de adapter moet overeenkomen met een van de lijstvermeldingen. Het gateway-ip-adres van de standaardadapter moet overeenkomen met ten minste een van de lijstvermeldingen. Het IP-adres van de DHCP-server van de adapter moet overeenkomen met ten minste een van de lijstvermeldingen. Het IP-adres van de DNS-server van de adapter moet overeenkomen met een van de lijstvermeldingen. Het IP-adres van de primaire WINS-server van de adapter moet overeenkomen met ten minste een van de lijstvermeldingen. Het IP-adres van de secundaire WINS-server van de adapter moet overeenkomen met ten minste een van de lijstvermeldingen. Het opgegeven domein moet bereikbaar zijn via HTTPS. Firewall-regelgroepen en verbindingsisolatie Gebruik verbindingsisolatie voor groepen om te voorkomen dat ongewenst verkeer toegang krijgt tot een specifiek netwerk. Wanneer isolatie van verbindingen is ingeschakeld voor een groep, en een actieve NIC (Network Interface Card) komt overeen met de groepscriteria, verwerkt Firewall alleen het verkeer dat overeenkomt met: Regels toestaan boven de groep in de lijst met firewallregels Groepscriteria Al het andere verkeer wordt geblokkeerd. Een groep waarvoor isolatie van verbindingen is ingeschakeld, kan geen bijbehorende transportopties of uitvoerbare bestanden hebben. McAfee Endpoint Security 10.1 Producthandleiding 83

84 4 Firewall gebruiken Firewall beheren Als voorbeelden van isolatie van verbindingen bekijkt u deze twee situaties: een bedrijfsomgeving en een hotel. De lijst met actieve firewallregels bevat regels en groepen in deze volgorde: 1 Regels voor basisverbinding 2 Regels voor VPN-verbindingen 3 Groep met regels voor zakelijke LAN-verbindingen 4 Groep met regels voor VPN-verbindingen 84 McAfee Endpoint Security 10.1 Producthandleiding

85 Firewall gebruiken Firewall beheren 4 Voorbeeld: isolatie van verbindingen op het bedrijfsnetwerk Verbindingsregels worden verwerkt tot de groep met regels voor zakelijke LAN-verbindingen wordt aangetroffen. Deze groep bevat de volgende instellingen: Verbindingstype = Met draad Verbindingsspecifiek DNS-achtervoegsel = mijnbedrijf.nl Standaardgateway Isolatie van verbindingen = ingeschakeld De computer heeft zowel LAN- als draadloze netwerkadapters. De computer maakt verbinding met het bedrijfsnetwerk via een verbinding met draad. De draadloze interface is echter nog steeds actief, zodat verbinding wordt gemaakt met een hotspot buiten het kantoor. De computer maakt verbinding met beide netwerken, omdat de regels voor basistoegang boven aan de lijst met firewallregels staan. De LAN-verbinding met draad is actief en voldoet aan de criteria van de zakelijke LAN-groep. De firewall verwerkt het verkeer via de LAN, maar omdat isolatie van verbindingen is ingeschakeld, wordt al het verkeer dat niet via de LAN verloopt, geblokkeerd. Voorbeeld: isolatie van verbindingen in een hotel Verbindingsregels worden verwerkt tot de groep met regels voor VPN-verbindingen wordt aangetroffen. Deze groep bevat de volgende instellingen: Verbindingstype = Virtueel Verbindingsspecifiek DNS-achtervoegsel = vpn.mijnbedrijf.nl IP-adres = een adres in een bereik dat specifiek is voor de VPN-concentrator Isolatie van verbindingen = ingeschakeld Algemene verbindingsregels staan de set-up van een getimede account in het hotel voor internettoegang toe. De VPN-verbindingsregels staan verbinding met en gebruik van de VPN-tunnel toe. Nadat de tunnel tot stand is gebracht, maakt de VPN-client een virtuele adapter die overeenkomt met de criteria van de VPN-groep. Het enige verkeer dat de firewall toestaat, is binnen de VPN-tunnel en het basisverkeer op de daadwerkelijke adapter. Pogingen van andere hotelgasten om via het netwerk toegang te krijgen tot de computer, al dan niet draadloos, worden geblokkeerd. Vooraf gedefinieerde firewallregelgroepen Firewall heeft meerdere vooraf gedefinieerde firewallgroepen. Firewallgroep Kernnetwerken van McAfee Beschrijving Bevat de kernnetwerkregels die door McAfee worden geleverd, en heeft regels om McAfee-toepassingen en DNS toe te staan. U kunt deze regels niet wijzigen of verwijderen. U kunt de groep uitschakelen in Firewall Opties, maar als u dit doet, verstoort dit mogelijk de netwerkcommunicatie op de client. Beheerder toegevoegd Bevat regels die door de beheerder op de beheerserver zijn gedefinieerd. Deze regels kunnen niet worden gewijzigd of verwijderd op de Endpoint Security-client. McAfee Endpoint Security 10.1 Producthandleiding 85

86 4 Firewall gebruiken Firewall beheren Firewallgroep Gebruiker toegevoegd Beschrijving Bevat regels die zijn gedefinieerd op de Endpoint Security-client Afhankelijk van de beleidsinstellingen worden deze regels mogelijk overschreven wanneer het beleid wordt gehandhaafd. Dynamisch Adaptief Bevat regels die dynamisch zijn gemaakt door andere Endpoint Security-modules op het systeem. Bedreigingspreventie stuurt bijvoorbeeld een gebeurtenis naar de module Endpoint Security-client om een regel te maken waarmee toegang tot een systeem op het netwerk wordt geblokkeerd. Bevat clientuitzonderingsregels die automatisch worden gemaakt wanneer de Adaptieve modus van het systeem ingeschakeld is. Afhankelijk van de beleidsinstellingen worden deze regels mogelijk overschreven wanneer het beleid wordt gehandhaafd. Standaard Bevat standaardregels die worden geleverd door McAfee. Deze regels kunnen niet worden gewijzigd of verwijderd. Firewall -regels en -groepen maken en beheren Voor beheerde systemen worden regels en groepen die u configureert in de Endpoint Security-client, mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. De groepen en regels worden in volgorde van prioriteit weergegeven in de tabel Firewall-regels. U kunt regels niet op kolom sorteren. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Met de volgende taken worden firewallregels en -groepen beheerd. Taak De regels in een firewallgroep weergeven. Stappen Klik op. Een firewallgroep samenvouwen. Klik op. Een bestaande regel wijzigen. U kunt regels alleen aanpassen in de groep Gebruiker toegevoegd. 1 Vouw de groep Gebruiker toegevoegd uit. 2 Dubbelklik op de regel. 3 Wijzig de regelinstellingen. 4 Klik op OK om uw wijzigingen op te slaan. 86 McAfee Endpoint Security 10.1 Producthandleiding

87 Firewall gebruiken Firewall beheren 4 Taak Een bestaande regel in een groep weergeven. Een regel maken. Stappen 1 Vouw de groep uit. 2 Selecteer de regel om de details ervan weer te geven in het onderste deelvenster. 1 Klik op Regel toevoegen. 2 Geef de regelinstellingen op. 3 Klik op OK om uw wijzigingen op te slaan. De regel wordt onder aan de groep Gebruiker toegevoegd weergegeven. Kopieën van regels maken. Regels verwijderen. U kunt regels alleen verwijderen uit de groepen Gebruiker toegevoegd en Adaptief. 1 Selecteer de regel of regels en klik op Dupliceren. Gekopieerde regels worden met dezelfde naam weergegeven onder aan de groep Gebruiker toegevoegd. 2 Pas de regels aan om de naam en instellingen te wijzigen. 1 Vouw de groep uit. 2 Selecteer de regel of regels en klik op Verwijderen. Een groep maken. 1 Klik op Groep toevoegen. 2 Geef de groepsinstellingen op. 3 Klik op OK om uw wijzigingen op te slaan. De groep wordt weergegeven in de groep Gebruiker toegevoegd. Regels en groepen verplaatsen binnen en tussen groepen. U kunt regels en groepen alleen in de groep Gebruiker toegevoegd verplaatsen. Elementen verplaatsen: 1 Selecteer elementen om te verplaatsen. De greep wordt weergegeven links van elementen die kunnen worden verplaatst. 2 Versleep de elementen naar de nieuwe locatie. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten. 4 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Jokertekens in firewallregels op pagina 87 Aanmelden als beheerder op pagina 25 Groepen voor isolatie van verbindingen maken op pagina 88 Jokertekens in firewallregels U kunt jokertekens gebruiken voor sommige waarden in firewallregels. Jokertekens in pad- en adreswaarden Gebruik deze jokertekens voor paden van bestanden, registersleutels, uitvoerbare bestanden en URL's. Paden van registersleutels voor locaties van firewallgroepen herkennen jokertekenwaarden niet. McAfee Endpoint Security 10.1 Producthandleiding 87

88 4 Firewall gebruiken Firewall beheren? Vraagteken Een enkel teken. * Sterretje Meerdere tekens, met uitzondering van slash (/) en backslash (\). Gebruik dit teken voor overeenkomst met de inhoud op hoofdniveau van een map zonder submappen. ** Dubbel sterretje Meerdere tekens, inclusief slash (/) en backslash (\). Pipe Escape-teken jokerteken. Voor het dubbele sterretje (**) is het escape-teken * *. Jokertekens in alle andere waarden Gebruik deze jokertekens voor waarden die gewoonlijk geen padinformatie met slashes bevatten.? Vraagteken Een enkel teken. * Sterretje Meerdere tekens, inclusief slash (/) en backslash (\). Pipe Escape-teken jokerteken. Groepen voor isolatie van verbindingen maken Maak een firewallregelgroep voor isolatie van verbindingen om een reeks regels op te stellen die alleen van toepassing zijn wanneer verbinding wordt gemaakt met een netwerk met bepaalde parameters. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Klik onder REGELS op Groep toevoegen. 4 Geef onder Beschrijving opties voor de groep op. 5 Selecteer onder Locatie de opties Locatiedetectie inschakelen en Isolatie van verbindingen inschakelen. Selecteer vervolgens de locatiecriteria voor het vinden van overeenkomsten. 6 Selecteer onder Netwerken voor Verbindingstypen het type verbinding (Met draad, Draadloos of Virtueel) om op de regels in deze groep toe te passen. Instellingen voor Transport en Uitvoerbare bestanden zijn niet beschikbaar voor groepen voor isolatie van verbindingen. 7 Klik op OK. 8 Maak nieuwe regels in deze groep of verplaats bestaande regels naar deze groep uit de lijst met firewallregels. 9 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. 88 McAfee Endpoint Security 10.1 Producthandleiding

89 Firewall gebruiken Firewall beheren 4 Zie ook Firewall-regelgroepen en verbindingsisolatie op pagina 83 Hoe firewallregelgroepen werken op pagina 82 Getimede groepen maken Maak getimede groepen voor de Firewall om internettoegang te beperken tot een clientsysteem verbinding maakt via een VPN. Wanneer gebruikers verbinding moeten maken om toegang tot interne websites vanaf openbare netwerk te krijgen, kunt u een getimede groep maken om toe te staan dat een VPN-verbinding tot stand wordt gebracht. Als u deze getimede groep wilt activeren, klikt u met de rechtermuisknop op het clientsysteem op het McAfee-systeemvakpictogram en selecteert u Snelinstellingen Getimede groepen van Firewall inschakelen. De groep blijft vervolgens actief voor het opgegeven aantal minuten, en het clientsysteem kan verbinding maken met een openbaar netwerk en een VPN-verbinding tot stand brengen. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Maak een Firewall-groep met standaardinstellingen waarmee een internetverbinding wordt toegestaan. Sta bijvoorbeeld poort 80 HTTP-verkeer toe. 4 In Planning selecteert u Planning uitschakelen en de groep inschakelen via het McAfee-pictogram in het systeemvak en voert u in hoeveel minuten de groep actief moet zijn. 5 Klik op OK om uw wijzigingen op te slaan. 6 Maak een groep voor verbindingsisolatie die overeenkomt met het VPN-netwerk en waarmee het vereiste verkeer wordt toegestaan. Zie Groepen voor isolatie van verbindingen maken op pagina 88. Als u uitgaand verkeer van het clientsysteem wilt voorkomen met uitzondering van verkeer van de groep voor verbindingsisolatie, plaatst u geen Firewallregels onder deze groep. 7 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. McAfee Endpoint Security 10.1 Producthandleiding 89

90 4 Firewall gebruiken Firewall beheren 90 McAfee Endpoint Security 10.1 Producthandleiding

91 5 Webcontrole 5 gebruiken Beveiligingsfuncties van Webcontrole verschijnen in uw browser terwijl u surft of zoekt. Inhoud Functies van Webcontrole Webcontrole-functies gebruiken Webcontrole beheren Functies van Webcontrole Terwijl Webcontrole op elk beheerde systeem wordt uitgevoerd, stelt de toepassing u op de hoogte van bedreigingen terwijl u op websites zoekt of surft. Een McAfee-team analyseert elke website en wijst op basis van testresultaten een veiligheidsclassificatie met kleurcodering toe. De kleur geeft het veiligheidsniveau van de website aan. De software gebruikt de testresultaten om u op de hoogte te brengen van webbedreigingen die u kunt tegenkomen. Op pagina's met zoekresultaten: er wordt een pictogram naast elke vermelde website weergegeven. De kleur van het pictogram geeft de veiligheidsclassificatie van de website aan. De pictogrammen bieden u meer informatie. In het browservenster: er wordt in de browser een knop weergegeven. De kleur van de knop geeft de veiligheidsclassificatie van de website aan. Door op de knop te klikken wordt u meer informatie geboden. De knop stelt u ook op de hoogte van communicatieproblemen en biedt snelle toegang tot tests die helpen om algemene diagnoses te stellen. In veiligheidsrapporten: details geven aan hoe de veiligheidsclassificatie is berekend op basis van typen gedetecteerde bedreigingen, testresultaten en andere gegevens. Voor beheerde systemen maken beheerders beleidsregels om: Webcontrole op uw systeem in of uit te schakelen, en uitschakelen van de browserinvoegtoepassing te voorkomen of toe te staan. Toegang tot sites, pagina's en downloads te regelen, gebaseerd op hun veiligheidsclassificatie of type inhoud. Bijvoorbeeld rode sites blokkeren en gebruikers waarschuwen wanneer ze gele sites openen. Sites te identificeren als geblokkeerd of toegestaan op basis van URL's en domeinen. Te voorkomen dat u bestanden, registersleutels, registerwaarden, services en processen van Webcontrole verwijdert of wijzigt. McAfee Endpoint Security 10.1 Producthandleiding 91

92 5 Webcontrole gebruiken Functies van Webcontrole De melding aan te passen die wordt weergegeven wanneer u naar een geblokkeerde website probeert te gaan. Browseractiviteit op netwerkcomputers te bewaken en regelen, en gedetailleerde rapporten over websites te maken. Voor systemen in eigen beheer kunt u instellingen configureren om: Webcontrole op uw systeem in of uit te schakelen. Toegang tot sites, pagina's en downloads te regelen, gebaseerd op hun veiligheidsclassificatie of type inhoud. Bijvoorbeeld rode sites blokkeren en gebruikers waarschuwen wanneer ze gele sites openen. De software ondersteunt de browsers Microsoft Internet Explorer, Mozilla Firefox en Google Chrome. Op systemen in eigen beheer zijn alle browsers standaard toegestaan, ongeacht of ze ondersteund of niet ondersteund zijn. Chrome biedt geen ondersteuning voor handhaving bestandsdownload of de optie Ballon weergeven. Zie ook De knop Webcontrole geeft bedreigingen tijdens het surfen weer op pagina 93 Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken op pagina 94 Siterapporten bieden informatie op pagina 94 Hoe veiligheidsclassificaties worden samengesteld op pagina 95 Hoe Webcontrole een site of download blokkeert of voorziet van een waarschuwing Wanneer een gebruiker een site bezoekt die geblokkeerd is of is voorzien van een waarschuwing, geeft Webcontrole een pagina of pop-upbericht weer die de reden vermeldt. Als classificatieacties voor een site zijn ingesteld op: Waarschuwen: Webcontrole geeft een bericht weer om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan de site. Met Annuleren gaat u terug naar de vorige geopende site. Als het browsertabblad geen eerder weergegeven website bevat, is Annuleren niet beschikbaar. Met Doorgaan gaat u verder naar de site. Blokkeren: Webcontrole geeft een bericht weer dat de site geblokkeerd is en voorkomt dat ander gebruikers de site oproepen. Met OK gaat u terug naar de vorige geopende site. Als het browsertabblad geen eerder weergegeven site bevat, is OK niet beschikbaar. Als classificatieacties voor downloads van een site zijn ingesteld op: Waarschuwen: Webcontrole geeft een bericht weer om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan het downloadbestand. Met Blokkeren wordt de download voorkomen en keert u terug naar de site. Met Doorgaan wordt de download voortgezet. 92 McAfee Endpoint Security 10.1 Producthandleiding

93 Webcontrole gebruiken Functies van Webcontrole 5 Blokkeren: Webcontrole geeft een bericht weer dat de site geblokkeerd is en voorkomt de download. Met OK gaat u terug naar de site. De knop Webcontrole geeft bedreigingen tijdens het surfen weer Tijdens het surfen naar een website wordt een knop met kleurcodering weergegeven in de browser. De kleur van de knop komt overeen met de veiligheidsclassificatie van de website. De veiligheidsclassificering is alleen van toepassing op URL's van HTTP- en HTTPS-protocollen. Internet Explorer en Safari (Macintosh) Firefox en Chrome Beschrijving Deze site wordt dagelijks getest en als veilig gecertificeerd door McAfee SECURE. (alleen Windows) Deze site is veilig. Deze site heeft mogelijk problemen. Deze site heeft ernstige problemen. Er is geen classificatie beschikbaar voor deze site. Deze knop wordt weergegeven voor URL's van BESTANDSprotocollen (file://). Er is een communicatiefout opgetreden met de McAfee GTI-server die classificatie-informatie bevat. Webcontrole heeft geen query uitgevoerd voor McAfee GTI voor deze site, wat aangeeft dat de site intern is of zich in een privébereik met IP-adressen bevindt. Deze site is een phishingsite. Phishing is een manier om vertrouwelijke informatie te verkrijgen, bijvoorbeeld gebruikersnamen, wachtwoorden en creditcardgegevens. Phishingsites doen zich voor als betrouwbare entiteiten in elektronische communicatie. Deze site wordt toegestaan door een instelling. Een instelling heeft Webcontrole uitgeschakeld. De locatie van de knop is afhankelijk van de browser: Internet Explorer: werkbalk Webcontrole Firefox: rechterhoek van de Firefox-werkbalk Chrome: adresbalk Zie ook Informatie over een site bekijken tijdens het surfen op pagina 97 McAfee Endpoint Security 10.1 Producthandleiding 93

94 5 Webcontrole gebruiken Functies van Webcontrole Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken Wanneer door u trefwoorden in een zoekengine wordt getypt, zoals Google, Yahoo, Bing of Ask, worden op de pagina met zoekresultaten veiligheidspictogrammen naast sites weergegeven. De kleur van de knop komt overeen met de veiligheidsclassificatie van de site. Tests hebben geen grote problemen gevonden. Tests hebben problemen aan het licht gebracht waarvan u op de hoogte moeten worden gesteld. De site heeft bijvoorbeeld geprobeerd om de standaardinstellingen van de browser van de tester te wijzigen, heeft pop-ups weergegeven of heeft de tester een aanzienlijk aantal niet-spam berichten gestuurd. Tests hebben ernstige problemen aan het licht gebracht waaraan door u serieus aandacht moet worden besteden alvorens deze site te bezoeken. De site heeft testers bijvoorbeeld spam- gestuurd of adware aan een download gekoppeld. Deze site is geblokkeerd door een instelling. Deze website is niet-geclassificeerd. Zie ook Siterapport weergeven tijdens zoeken op pagina 97 Siterapporten bieden informatie Het siterapport voor een website bevat details over specifieke bedreigingen en kan door u worden bekeken. Siterapporten worden verstrekt door de server met McAfee GTI-classificaties en bevatten de volgende informatie. Dit item... Overzicht Onlinerelaties Geeft het volgende aan... De algehele classificatie van de website, bepaald op basis van deze tests: Evaluatie van de - en downloadprocedures van een website aan de hand van onze eigen gegevensverzameling en analysetechnieken. Onderzoek van de website om na te gaan of deze er hinderlijke praktijken op na houdt, bijvoorbeeld een overmatig aantal pop-ups of verzoeken om uw startpagina te wijzigen. Analyse van de onlinerelaties van de website om te zien of er relaties zijn met andere verdachte sites. Combinatie van de beoordeling door McAfee van verdachte sites met feedback van onze Threat Intelligence-services. Geeft aan hoe dwingend de website probeert u naar andere sites te sturen die McAfee met een rode classificatie heeft gemarkeerd. Verdachte sites gaan vaak samen met andere verdachte sites. Het hoofddoel van feedersites is u ertoe te brengen de verdachte site te bezoeken. Een site kan een rode classificatie krijgen als er bijvoorbeeld te dwingend wordt gekoppeld naar andere rode sites. In dit geval beschouwt Webcontrole de site als rood vanwege de relatie. 94 McAfee Endpoint Security 10.1 Producthandleiding

95 Webcontrole gebruiken Functies van Webcontrole 5 Dit item... Testen op webspam Downloadtests Geeft het volgende aan... De algehele classificatie voor de praktijken van een website, op basis van de testresultaten. McAfee classificeert sites op basis van het aantal s dat na invoer van een adres op de website wordt ontvangen en op het spamgehalte van de ontvangen . Als een van deze factoren hoger is dan wat aanvaardbaar is, classificeert McAfee de site als een gele site. Als beide factoren hoog zijn of een van de factoren extreem hoog lijkt, classificeert McAfee de site als een rode site. De algehele classificatie voor de impact die downloadbare software van een site op onze testcomputer had, op basis van de testresultaten. McAfee wijst rode markeringen toe aan sites waarvan de downloads met virussen zijn geïnfecteerd of aan sites die niet-verwante, algemeen als adware of spyware beschouwde software toevoegen. Bij het bepalen van de classificatie wordt ook rekening gehouden met de netwerkservers waarmee een gedownload programma tijdens zijn werking contact opneemt, en met eventuele wijzigingen in browserinstellingen of de registerbestanden van een computer. Zie ook Siterapport weergeven tijdens zoeken op pagina 97 Informatie over een site bekijken tijdens het surfen op pagina 97 Hoe veiligheidsclassificaties worden samengesteld Een team van McAfee bepaalt de veiligheidsclassificaties door voor elke website criteria te testen en de resultaten te evalueren om zo bekende dreigingen te kunnen detecteren. Met behulp van geautomatiseerde tests worden veligheidsclassificaties bepaald. De tests omvatten het volgende: Bestanden downloaden om te controleren op virussen en potentieel ongewenste programma's die met de software worden meegestuurd. Contactgegevens invullen in aanmeldingsformulieren en controleren op resulterende spam of een groot aantal niet-spam berichten dat door de website of daaraan gelieerde websites wordt verstuurd. Controleren op overmatig veel pop-upvensters. Controleren op pogingen door de site om kwetsbaarheden van de browser te misbruiken. Controleren op misleidende of frauduleuze praktijken van een website. Het team verzamelt testresultaten in een veiligheidsrapport dat bovendien het volgende kan bevatten: Feedback die is ingediend door website-eigenaars met beschrijvingen van de gebruikte veiligheidsmaatregelen op de site of reacties op feedback van gebruikers over de site. Feedback die is ingediend door de gebruikers van een website, die rapporten kunnen bevatten over phishing-scams of slechte ervaringen bij het aankopen. Meer analyses door McAfee-experts. Op McAfee GTI-server worden siteclassificaties en -rapporten opgeslagen. McAfee Endpoint Security 10.1 Producthandleiding 95

96 5 Webcontrole gebruiken Webcontrole-functies gebruiken Webcontrole-functies gebruiken Gebruik Webcontrole-functies vanuit de browser. Taken De invoegtoepassing Webcontrole inschakelen via de browser op pagina 96 Op sommige browsers moet u de invoegtoepassing Webcontrole handmatig inschakelen om meldingen over webbedreigingen te ontvangen wanneer u surft en zoekt. Informatie over een site bekijken tijdens het surfen op pagina 97 Klik op de knop Webcontrole in de browser om informatie over een site te bekijken. De werking van de knop is afhankelijk van de browser. Siterapport weergeven tijdens zoeken op pagina 97 Gebruik het veiligheidspictogram op een pagina met zoekresultaten om meer informatie over de site weer te geven. De invoegtoepassing Webcontrole inschakelen via de browser Op sommige browsers moet u de invoegtoepassing Webcontrole handmatig inschakelen om meldingen over webbedreigingen te ontvangen wanneer u surft en zoekt. Voordat u begint De module Webcontrole moet zijn ingeschakeld. Wanneer u Internet Explorer of Chrome voor het eerst start, wordt u gevraagd om invoegtoepassingen in te schakelen. De invoegtoepassing Webcontrole is standaard ingeschakeld in Firefox. Procedure Klik voor optiedefinities op? in de interface. Bij de prompt klikt u op de knop om de invoegtoepassing in te schakelen. Internet Explorer Chrome Klik op Inschakelen. Als er meer dan een invoegtoepassing beschikbaar is, klikt u op Invoegtoepassingen selecteren en vervolgens op Inschakelen voor de werkbalk Webcontrole. Klik op Extensie inschakelen. Als u in Internet Explorer de werkbalk Webcontrole uitschakelt, wordt u gevraagd om ook de invoegtoepassing Webcontrole uit te schakelen. Als beleidsinstellingen op beheerde systemen voorkomen dat de invoegtoepassing wordt verwijderd of uitgeschakeld, blijft de invoegtoepassing Webcontrole ingeschakeld, ook al is de werkbalk niet zichtbaar. 96 McAfee Endpoint Security 10.1 Producthandleiding

97 Webcontrole gebruiken Webcontrole-functies gebruiken 5 Informatie over een site bekijken tijdens het surfen Klik op de knop Webcontrole in de browser om informatie over een site te bekijken. De werking van de knop is afhankelijk van de browser. Voordat u begint De module Webcontrole moet zijn ingeschakeld. De invoegtoepassing Webcontrole moet zijn ingeschakeld in de browser. De optie De werkbalk in de clientbrowser verbergen in de instellingen van Opties moet zijn uitgeschakeld. Wanneer Internet Explorer op volledig scherm wordt uitgevoerd, wordt de Webcontrole-werkbalk niet weergegeven. Het menu Webcontrole weergeven: Internet Explorer en Firefox Chrome Klik op de knop Klik op de knop in de werkbalk. in de adresbalk. Procedure 1 Geef een ballon weer met een samenvatting van het veiligheidsrapport voor de site: houd de aanwijzer boven de knop op de werkbalk Webcontrole. (Alleen Internet Explorer en Firefox) 2 Geef het gedetailleerde siterapport weer, inclusief meer informatie over de veiligheidsclassificatie van de site: Klik op de knop Webcontrole. Selecteer Siterapport weergeven in het menu Webcontrole. Klik op de koppeling Siterapport lezen in de siteballon. (Alleen Internet Explorer en Firefox) Zie ook De knop Webcontrole geeft bedreigingen tijdens het surfen weer op pagina 93 Siterapporten bieden informatie op pagina 94 Siterapport weergeven tijdens zoeken Gebruik het veiligheidspictogram op een pagina met zoekresultaten om meer informatie over de site weer te geven. Procedure 1 Zet de muiswijzer op het veiligheidspictogram. In een tekstballon wordt een samenvatting op hoog niveau van het veiligheidsrapport voor de site weergegeven. 2 Klik op Siterapport lezen (in de ballon) om een gedetailleerd rapport over de veiligheid van de site te lezen in een ander browservenster. Zie ook Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken op pagina 94 Siterapporten bieden informatie op pagina 94 McAfee Endpoint Security 10.1 Producthandleiding 97

98 5 Webcontrole gebruiken Webcontrole beheren Webcontrole beheren Als beheerder kunt u Webcontrole-instellingen opgeven om bescherming in te schakelen en aan te passen, te blokkeren op basis van webcategorieën, en registratie te configureren. Voor beheerde systemen kunnen beleidswijzigingen van McAfee epo wijzigingen overschrijven van de pagina Instellingen. Webcontrole-opties configureren U kunt Webcontrole inschakelen en opties vanuit de Endpoint Security-client configureren. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Web Control op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Web Control op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Opties. 98 McAfee Endpoint Security 10.1 Producthandleiding

99 Webcontrole gebruiken Webcontrole beheren 5 5 Selecteer Webcontrole inschakelen om Webcontrole te activeren en de opties te bewerken. Als u het volgende wilt doen... De werkbalk van Webcontrole in de browser verbergen zonder de beveiliging uit te schakelen. Browsergebeurtenissen traceren om voor rapporten te gebruiken. Onbekende URL's blokkeren of waarschuwen. Bestanden scannen alvorens te downloaden. Riskante sites blokkeren zodat ze niet in zoekresultaten worden weergegeven. Gaat u als volgt te werk... Selecteer De werkbalk in de clientbrowser verbergen. Instellingen in de sectie Gebeurtenisregistratie configureren. Selecteer in Actiehandhaving, de actie (Blokkeren, Toestaan of Waarschuwen) voor sites die nog niet zijn geverifieerd door McAfee GTI. Selecteer Scannen van gedownloade bestanden inschakelen, en selecteer vervolgens het McAfee GTI-risiconiveau voor blokkering. Selecteer in Beveiligd zoeken de optie Beveiligd zoeken inschakelen, selecteer de zoekengine en geef op of koppelingen naar riskante sites moeten worden geblokkeerd. Opmerkingen Configureer Webcontrole-gebeurtenissen die van clientsystemen naar de beheerserver worden gestuurd voor gebruik in query's en rapporten. Bij Beveiligd zoeken worden kwaadaardige sites automatisch uit de zoekresultaten gefilterd op basis van hun veiligheidsclassificatie. Webcontrole gebruikt Yahoo als de standaardzoekengine. Als u de standaardzoekengine wijzigt, moet u de browser opnieuw opstarten om de wijzigingen te implementeren. 6 Configureer andere opties waar nodig. 7 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Hoe bestandsdownloads worden gescand op pagina 100 Aanmelden als beheerder op pagina 25 McAfee Endpoint Security 10.1 Producthandleiding 99

100 5 Webcontrole gebruiken Webcontrole beheren Hoe bestandsdownloads worden gescand Webcontrole stuurt verzoeken voor bestandsdownloads naar Bedreigingspreventie om te worden gescand voordat wordt gedownload. 100 McAfee Endpoint Security 10.1 Producthandleiding

101 Webcontrole gebruiken Webcontrole beheren 5 Classificatieacties opgeven en sitetoegang blokkeren op basis van webcategorie Configureer Inhoudsacties sinstellingen om de acties op te geven die op sites en bestandsdownloads moeten worden toegepast, op basis van veiligheidsclassificaties. U kunt ook in elke webcategorie opgeven welke sites moeten worden geblokkeerd of toegestaan. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Gebruik de instellingen in Handhavingsbericht om het bericht aan te passen dat moet worden weergegeven voor geblokkeerde sites en bestandsdownloads, sites en downloads met waarschuwingen en geblokkeerde phishingpagina's. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Web Control op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Web Control op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Inhoudsacties. 5 Schakel in de sectie Webcategorie blokkeren voor elke Webcategorie de optie Blokkeren in of uit. Voor sites in de niet-geblokkeerde categorieën past Webcontrole ook de classificatieacties toe. 6 Specificeer in de sectie Classificatieacties de acties die op sites en bestandsdownloads moeten worden toegepast, op basis van veiligheidsclassificaties gedefinieerd door McAfee. Deze acties worden ook toegepast op sites die niet worden geblokkeerd door Webcategorie blokkeren. 7 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Zie ook Webcategorieën gebruiken om toegang te beheren op pagina 101 Veiligheidsclassificaties gebruiken voor toegangscontrole op pagina 102 Aanmelden als beheerder op pagina 25 Webcategorieën gebruiken om toegang te beheren Met behulp van webcategorieën kunt u de toegang tot sites beperken op basis van categorieën die door McAfee worden gedefinieerd. U kunt opties instellen om de toegang tot sites toe te staan of te blokkeren op basis van de inhoudscategorie die ze bevatten. Wanneer u blokkering van webcategorieën inschakelt in de instellingen van Inhoudsacties, zal de software websitecategorieën blokkeren of toestaan. Deze webcategorieën omvatten Gokken, Games en Expresberichten. McAfee definieert en onderhoudt de lijst van ongeveer 105 webcategorieën. Wanneer een clientgebruiker naar een site gaat, controleert de software de webcategorie voor de site. Als de site tot een gedefinieerde categorie behoort, wordt de toegang geblokkeerd of toegestaan, afhankelijk van de instellingen voor Inhoudsacties. Voor sites en bestandsdownloads in de niet-geblokkeerde categorieën past de software de opgegeven Classificatieacties toe. McAfee Endpoint Security 10.1 Producthandleiding 101

102 5 Webcontrole gebruiken Webcontrole beheren Veiligheidsclassificaties gebruiken voor toegangscontrole Configureer acties op basis van veiligheidsclassificaties om te bepalen of gebruikers een site, of bronnen op een site, kunnen openen. Specificeer voor elke site of bestandsdownload of deze, op basis van de classificatie moet worden toegestaan of geblokkeerd, of een waarschuwing moet krijgen. Zo kunt u nauwkeuriger werken bij het beschermen van gebruikers tegen bestanden die een mogelijke bedreiging vormen op sites met een globale groene classificatie. 102 McAfee Endpoint Security 10.1 Producthandleiding

103 6 Bedreigingsinformatie gebruiken Bedreigingsinformatie biedt aanpasbare, contextbewuste beveiliging voor uw netwerkomgeving. Bedreigingsinformatie analyseert de inhoud van uw onderneming en beslist aan de hand van de reputatie van een bestand en de criteria van uw beheerder of het betrouwbaar is. Inhoud Zo werkt Bedreigingsinformatie Bedreigingsinformatie beheren Zo werkt Bedreigingsinformatie Bedreigingsinformatie gebruikt het Data Exchange Layer-framework om bestands- en bedreigingsinformatie direct te delen over het hele netwerk. In het verleden verzond u een onbekend bestand of certificaat naar McAfee voor analyse, en vervolgens werkte u dagen later de bestandsinformatie bij op het netwerk. Met Bedreigingsinformatie kan bestandsreputatie worden beheerd op lokaal niveau, uw omgeving. U beslist welke bestanden mogen worden uitgevoerd en welke worden geblokkeerd, en de Data Exchange Layer deelt de informatie direct in uw omgeving. Scenario's voor het gebruik van Bedreigingsinformatie Een bestand direct blokkeren: Bedreigingsinformatie waarschuwt de netwerkbeheerder voor een onbekend bestand in de omgeving. In plaats van de bestandsinformatie naar McAfee te verzenden voor analyse, blokkeert de beheerder het bestand direct. De beheerder kan vervolgens Bedreigingsinformatie gebruiken om te weten te komen of het bestand een bedreiging vormt en hoeveel systemen het bestand hebben uitgevoerd. Toestaan dat een aangepast bestand wordt uitgevoerd: een bedrijf gebruikt doorgaans een bestand waarvan de standaardreputatie verdacht of schadelijk is, zoals een aangepast bestand dat voor het bedrijf is gemaakt. Omdat dit bestand is toegestaan, kan de beheerder in plaats van de bestandsinformatie naar McAfee te verzenden en een bijgewerkt DAT-bestand te ontvangen, de reputatie van het bestand wijzigen naar vertrouwd en toestaan dat het wordt uitgevoerd zonder waarschuwingen of prompts. Bedreigingsinformatie beheren Als beheerder kunt u de Bedreigingsinformatie-instellingen specificeren. U kunt bijvoorbeeld regelgroepen selecteren en reputatiedrempels instellen. Beleidswijzigingen van McAfee epo overschrijven wijzigingen van de pagina Instellingen. Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee epo. McAfee Endpoint Security 10.1 Producthandleiding 103

104 6 Bedreigingsinformatie gebruiken Bedreigingsinformatie beheren Info over Bedreigingsinformatie Bedreigingsinformatie biedt een ecosysteem van beveiliging waarin rechtstreekse communicatie tussen systemen en apparaten in uw omgeving mogelijk is. Deze communicatie wordt mogelijk gemaakt met het Data Exchange Layer-framework. U kunt het specifieke systeem zien waarop de bedreiging voor het eerst werd gedetecteerd en waar deze daarna heen ging. Bovendien kunt u de bedreiging onmiddellijk tegenhouden. Bedreigingsinformatie biedt deze voordelen: Snelle detectie en bescherming tegen beveiligingsbedreigingen en malware. De mogelijkheid om te weten welke systemen of apparaten zijn aangevallen en hoe de bedreiging zich verspreidt door uw omgeving. De mogelijkheid om bepaalde bestanden en certificaten direct te blokkeren of toe te staan op basis van hun bedreigingsreputaties en uw risicocriteria. Realtime-integratie met McAfee Advanced Threat Defense en McAfee GTI voor een uitgebreide beoordeling en gegevens over de classificatie van malware. Met deze integratie kunt u reageren op bedreigingen en de informatie delen in uw omgeving. Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee epo. Bedreigingsinformatie-onderdelen Bedreigingsinformatie bevat de volgende onderdelen. Een module voor Endpoint Security waarmee u beleidsregels kunt maken voor het blokkeren en toestaan van een bestand of certificaat op basis van reputatie. Een server die informatie opslaat over de reputatie van bestanden en certificaten op en deelt die informatie vervolgens met andere systemen. Data Exchange Layer-brokers die bidirectionele communicatie tussen beheerde systemen op een netwerk toestaan. Deze onderdelen worden geïnstalleerd als McAfee epolicy Orchestrator (McAfee epo ) -extensies en voegen diverse nieuwe functies en rapporten toe. 104 McAfee Endpoint Security 10.1 Producthandleiding

105 Bedreigingsinformatie gebruiken Bedreigingsinformatie beheren 6 De module en server geven informatie over bestandsreputatie door. Het Data Exchange Layer-framework stuurt die informatie onmiddellijk door naar beheerde eindpunten. Het deelt ook informatie met andere McAfee-producten die de Data Exchange Layer gebruiken, zoals McAfee Enterprise Security Manager (McAfee ESM) en McAfee Network Security Platform. Bedreigingsinformatie-module Met de module Bedreigingsinformatie kunt u vaststellen wat er gebeurt wanneer in uw omgeving een bestand met een schadelijke of onbekende reputatie wordt gedetecteerd. U kunt ook informatie over de bedreigingsgeschiedenis bekijken, en de ondernomen acties. U kunt deze taken uitvoeren met de module Bedreigingsinformatie. Beleidsregels maken om: Bestanden en certificaten toe te staan of blokkeren, afhankelijk van hun reputatie. Een melding te ontvangen telkens wanneer er pogingen worden gedaan om een bestand of certificaat met een bepaalde reputatie uit te voeren. Bestanden automatisch naar Advanced Threat Defense sturen voor nadere evaluatie. Gebeurtenissen bekijken op de Bedreigingsinformatie-dashboards. Gebeurtenissen die zijn opgeschoond, geblokkeerd of toegestaan, kunt u weergeven voor de afgelopen 30 dagen of weergeven op type gebeurtenis. McAfee Endpoint Security 10.1 Producthandleiding 105

106 6 Bedreigingsinformatie gebruiken Bedreigingsinformatie beheren Bedreigingsinformatie Exchange-server De server slaat informatie over de reputatie van bestanden en certificaten op en deelt die informatie vervolgens met andere systemen in uw omgeving. Raadpleeg de Bedreigingsinformatie Exchange-producthandleiding voor informatie over de server. Bridging TIE-servers en databases Als u TIE-servers en -databases hebt die worden beheerd door verschillende McAfee epo-systemen, kunt u deze overbruggen om reputatiegegevens te delen. Voor informatie over bridging TIE-servers en -databases, raadpleeg de Data Exchange Layer-producthandleiding en het KnowledgeBase-artikel KB83896 Data Exchange Layer De Data Exchange Layer bevat clientsoftware en brokers die bidirectionele communicatie tussen eindpunten op een netwerk toestaan. De Data Exchange Layer werkt op de achtergrond en communiceert met services, databases, eindpunten en toepassingen. De Data Exchange Layer-client wordt geïnstalleerd op elk beheerd eindpunt, zodat bedreigingsinformatie van beveiligingsproducten die DXL gebruiken, direct kan worden gedeeld met alle andere services en apparaten. Het delen van reputatiegegevens zodra deze beschikbaar zijn, vermindert de beveiligingsveronderstellingen die toepassingen en services over elkaar hebben wanneer ze informatie uitwisselen. Deze gedeelde informatie vermindert de verspreiding van bedreigingen. Zie de Data Exchange Layer-producthandleiding voor meer informatie over het installeren en gebruiken van Data Exchange Layer. Hoe een reputatie wordt bepaald Bestands- en certificaatreputatie wordt bepaald wanneer een poging wordt gedaan om een bestand uit te voeren op een beheerd systeem. Dit zijn de stappen voor het bepalen van de reputatie van een bestand of certificaat. 1 Een gebruiker of systeem probeert een bestand uit te voeren. 2 Endpoint Security inspecteert het bestand en kan de geldigheid en reputatie niet bepalen. 3 De Bedreigingsinformatie-module inspecteert het bestand en verzamelt relevante eigenschappen van het bestand en lokale systeem. 4 De module controleert de lokale reputatiecache voor de hash van het bestand. Als de hash van het bestand wordt gevonden, ontvangt de module de ondernemingsprevalentie en reputatiegegevens voor het bestand uit de cache. 5 Als de hash van het bestand niet wordt gevonden in de lokale reputatiecache, voert de module query's uit op de TIE-server. Als de hash wordt gevonden, ontvangt de module de ondernemingsprevalentiegegevens (en beschikbare reputaties) voor die bestandshash. 6 Als de hash van het bestand niet wordt gevonden in de TIE-servercache of -database, voert de server query's uit op de McAfee GTI voor de reputatie van de bestandshash. McAfee GTI verzendt de beschikbare informatie, bijvoorbeeld 'onbekende reputatie', en de server slaat die informatie op. 106 McAfee Endpoint Security 10.1 Producthandleiding

107 Bedreigingsinformatie gebruiken Bedreigingsinformatie beheren 6 De server verzendt het bestand om te worden gescand als aan een van de volgende voorwaarden is voldaan: Advanced Threat Defense is aanwezig en de hash van het bestand is niet gevonden in McAfee GTI. Het beleid op het eindpunt is geconfigureerd om het bestand te verzenden naar Advanced Threat Defense. Zie de extra stappen onder Als Advanced Threat Defense aanwezig is. 7 De server retourneert de leeftijd, prevalentie, gegevens en reputatie van de bestandshash aan de module op basis van de gevonden gegevens. Als het bestand nieuw is in de omgeving, verzendt de server ook een eerste exemplaarmarkering naar de module Bedreigingsinformatie. Als McAfee Web Gateway aanwezig is en uiteindelijk een reputatiescore verzendt, retourneert Bedreigingsinformatie de reputatie van het bestand. 8 De module evalueert deze metagegevens om de reputatie van het bestand te bepalen: Bestands- en systeemeigenschappen Ondernemingsleeftijd en prevalentiegegevens Reputatie 9 De module handelt op basis van het beleid dat wordt toegewezen aan het systeem waarop het bestand wordt uitgevoerd. 10 De module werkt de server bij met de reputatiegegevens en of het bestand is toegestaan of wordt geblokkeerd. Deze verzendt bovendien bedreigingsgebeurtenissen naar McAfee epo via de McAfee Agent. 11 De server publiceert de gebeurtenis van de reputatiewijziging voor de bestandshash. Als Advanced Threat Defense aanwezig is Als Advanced Threat Defense aanwezig is, treedt het volgende proces op. 1 Als het systeem is geconfigureerd om bestanden te verzenden naar Advanced Threat Defense en het bestand nieuw is voor de omgeving, verzendt het systeem het bestand naar de TIE-server. De TIE-server verzendt het vervolgens naar Advanced Threat Defense om te worden gescand. 2 Advanced Threat Defense scant het bestand en verzendt de bestandsreputatieresultaten naar de TIE-server met de Data Exchange Layer. De server werkt bovendien de database bij en verzendt de bijgewerkte reputatiegegevens naar alle Bedreigingsinformatie-systemen om uw omgeving direct te beveiligen. Bedreigingsinformatie of elk ander McAfee-product kan dit proces initialiseren. In beide gevallen verwerkt Bedreigingsinformatie de reputatie die wordt opgeslagen in de database. Voor informatie over hoe Advanced Threat Defense is geïntegreerd met Bedreigingsinformatie, raadpleegt u het hoofdstuk Malwaredetectie en Advanced Threat Defense in de McAfee Advanced Threat Defense-producthandleiding. Als McAfee Web Gateway aanwezig is Als McAfee Web Gateway aanwezig is, treedt het volgende proces op. McAfee Endpoint Security 10.1 Producthandleiding 107

108 6 Bedreigingsinformatie gebruiken Bedreigingsinformatie beheren Wanneer bestanden worden gedownload, verzendt McAfee Web Gateway een rapport naar de TIE-server die de reputatiescore in de database opslaat. Wanneer de server een bestandsreputatieverzoek van de module ontvangt, wordt de reputatie die de server ontvangt van McAfee Web Gateway en andere reputatieproviders ook geretourneerd. Voor informatie over hoe McAfee Web Gateway informatie uitwisselt via een TIE-server, raadpleegt u het hoofdstuk over proxy's McAfee Web Gateway-producthandleiding. Aan de slag Wat moet u doen nadat u Bedreigingsinformatie hebt geïnstalleerd? Doe het volgende om met Bedreigingsinformatie aan de slag te gaan: 1 Maak Bedreigingsinformatie-beleidsregels om te bepalen wat is toegestaan en wat wordt geblokkeerd. Voer Bedreigingsinformatie vervolgens uit in Waarnemingsmodus om bestandsprevalentie op te bouwen en te observeren wat Bedreigingsinformatie detecteert in uw omgeving. Bestandsprevalentie geeft aan hoe vaak een bestand voorkomt in uw omgeving. 2 Controleer de beleidsregels of individuele bestands- of certificaatreputaties en pas deze aan om te bepalen wat is toegestaan in uw omgeving. Bestandsprevalentie opbouwen en observeren Na installatie en implementatie begint u met het opbouwen van bestandsprevalentie en actuele bedreigingsinformatie. U kunt zien wat wordt uitgevoerd in uw omgeving en u kunt reputatiegegevens voor bestanden en certificaten toevoegen aan de TIE-database. Deze informatie wordt bovendien ingevuld in de diagrammen en dashboards die beschikbaar zijn in de module, waar u gedetailleerde reputatiegegevens over bestanden en certificaten kunt bekijken. Om aan de slag te gaan, maakt u een of meer beleidsregels voor Bedreigingsinformatie om op enkele systemen in uw omgeving uit te voeren. De beleidsregels bepalen: Wanneer een bestand of certificaat met een specifieke reputatie op een systeem mag worden uitgevoerd Wanneer een bestand of certificaat wordt geblokkeerd Wanneer de gebruiker wordt gevraagd wat moet worden gedaan Wanneer een bestand wordt verzonden naar Advanced Threat Defense voor verdere analyse Terwijl u bestandsprevalentie opbouwt, kunt u de beleidsregels uitvoeren in de Waarnemingsmodus. Bestands- en certificaatreputaties worden aan de database toegevoegd maar er wordt geen actie ondernomen. U kunt zien wat Bedreigingsinformatie blokkeert of toestaat als het beleid wordt gehandhaafd. Lees BedreigingsinformatieBedreigingsinformatie configureren voor meer informatie. Controle en aanpassingen Terwijl de beleidsregels worden uitgevoerd in uw omgeving, worden reputatiegegevens toegevoegd aan de database. Gebruik de McAfee epo-dashboards en gebeurtenisweergaven om de bestanden en certificaten te zien die worden toegestaan of geblokkeerd op basis van de beleidsregels. 108 McAfee Endpoint Security 10.1 Producthandleiding

109 Bedreigingsinformatie gebruiken Bedreigingsinformatie beheren 6 U kunt gedetailleerde informatie zien op systeem (computer), bestand, regel of certificaat, en snel het aantal geïdentificeerde items bekijken en de acties die zijn ondernomen. U kunt details bekijken door op een item te klikken en de reputatie-instellingen voor specifieke bestanden of certificaten aanpassen zodat de toepasselijke actie wordt ondernomen. Als bijvoorbeeld de standaardreputatie van een bestand verdacht of onbekend is maar u weet dat het een vertrouwd bestand is, kunt u de reputatie wijzigen naar vertrouwd zodat het wordt uitgevoerd in uw omgeving zonder geblokkeerd te worden of de gebruiker tot actie aan te sporen. Dit is vooral nuttig voor interne of aangepaste bestanden die in uw omgeving worden gebruikt. Gebruik de functie TIE-reputaties om naar een specifieke bestands- of certificaatnaam te zoeken. U kunt details over het bestand of certificaat bekijken, waaronder de naam, SHA-1-hash, beschrijving en McAfee GTI-informatie van het bedrijf. Voor bestanden hebt u bovendien toegang tot VirusTotal-gegevens rechtstreeks op de detailpagina TIE-reputaties om aanvullende informatie te zien. Gebruik de pagina Reporting Dashboard (Rapportagedashboard) om verschillende typen reputatiegegevens tegelijk te zien. U kunt het volgende bekijken: het aantal nieuwe bestanden dat in de afgelopen week in uw omgeving voorkwam, bestanden op reputatie, bestanden waarvan de reputatie onlangs is gewijzigd, systemen die onlangs nieuwe bestanden hebben uitgevoerd en meer. Wanneer u op een item in het dashboard klikt, wordt gedetailleerde informatie weergegeven. Als u een schadelijk of verdacht bestand hebt geïdentificeerd, kunt u snel zien welke systemen het bestand hebben uitgevoerd en mogelijk gevaar lopen. Wijzig de reputatie van een bestand of certificaat naar wens voor uw omgeving. De informatie wordt direct bijgewerkt in de database en verzonden naar alle apparaten in uw omgeving. Bestanden en certificaten worden geblokkeerd of toegestaan op basis van hun reputatie. Als u niet zeker weet wat u moet doen met een bepaald bestand of certificaat, kunt u het blokkeren terwijl u er meer informatie over zoekt. In tegenstelling tot een opschoningsactie van Bedreigingspreventie, waarbij het bestand kan worden verwijderd, wordt met blokkeren het bestand op dezelfde locatie gehouden maar kan het niet worden uitgevoerd. Het bestand blijft intact terwijl u het onderzoekt en beslist wat u wilt doen. Importeer bestands- of certificaatreputaties in de database om bepaalde bestanden of certificaten toe te staan of te blokkeren op basis van andere reputatiebronnen. Hiermee kunt u de geïmporteerde instellingen voor bepaalde bestanden en certificaten gebruiken zonder dat u ze afzonderlijk moet instellen op de server. Bestanden indienen voor verdere analyse Als de reputatie van een bestand onbekend of onzeker is, kunt u het bij Advanced Threat Defense indienen voor verdere analyse. U bepaalt of bestanden worden verzonden naar Advanced Threat Defense in het Bedreigingsinformatie-beleid. Advanced Threat Defense detecteert zero-day malware en combineert antivirushandtekeningen, reputatie en realtime-emulatieverdedigingen. Bestanden kunnen automatisch worden verzonden van Bedreigingsinformatie naar Advanced Threat Defense op basis van hun reputatieniveau en bestandsgrootte. Bestandsreputatiegegevens die worden verzonden van Advanced Threat Defense, worden toegevoegd aan de TIE-serverdatabase. Bestands- en certificaatinformatie wordt rechtstreeks naar McAfee verzonden voor analyse. De informatie wordt gebruikt om een beter inzicht te krijgen in reputatiegegevens en deze te verbeteren. McAfee verzamelt geen persoonsgegevens en deelt geen informatie buiten McAfee. McAfee Endpoint Security 10.1 Producthandleiding 109

110 6 Bedreigingsinformatie gebruiken Bedreigingsinformatie beheren Bestands- en certificaatinformatie TIE-server- en -moduleversies Overschrijvingsinstellingen voor reputaties die zijn gemaakt met de TIE-server Externe reputatiegegevens, zoals van Advanced Threat Defense Informatie alleen over bestanden Bestandsnaam, pad, grootte, product, publicatieserver en prevalentie Informatie over SHA1-, SHA256- en MD5-hash Besturingssysteemversie van de rapporterende computer Maximale, minimale en gemiddelde reputatie ingesteld voor het bestand Of de rapportagemodule in Waarnemingsmodus staat Of het bestand mocht worden uitgevoerd, geblokkeerd werd of is opgeschoond Het product dat het bestand detecteerde, bijvoorbeeld Advanced Threat Defense of Bedreigingspreventie Alleen certificaatinformatie Informatie over SHA-hash De naam van de verlener en het onderwerp van het certificaat De datum dat het certificaat geldig was en de verloopdatum ervan Opties van Bedreigingsinformatie configureren Gebruik instellingen om te bepalen wanneer een bestand of certificaat mag worden uitgevoerd, opgeschoond of geblokkeerd, of als gebruikers wordt gevraagd wat er moet gebeuren. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Beleidswijzigingen van McAfee epo overschrijven wijzigingen van de pagina Instellingen. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security-client. 2 Klik op Threat Intelligence Exchange op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen. de optie Instellingen en klik op Threat Intelligence Exchange op de pagina 3 Klik op Geavanceerd weergeven. 4 Klik op Opties. 5 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. 110 McAfee Endpoint Security 10.1 Producthandleiding

111 Bedreigingsinformatie gebruiken Bedreigingsinformatie beheren 6 Bestanden en certificaten blokkeren of toestaan Bestanden en certificaten hebben bedreigingsreputaties op basis van hun inhoud en eigenschappen. De Bedreigingsinformatie-beleidsregels bepalen of bestanden en certificaten worden geblokkeerd of toegestaan op systemen in uw omgeving op basis van reputatieniveaus. Er zijn drie beveiligingsniveaus afhankelijk van hoe u de regels voor bepaalde typen systemen wilt verdelen. Elk niveau is aan specifieke regels gekoppeld die schadelijke en verdachte bestanden en certificaten identificeren. Productiviteit: systemen die regelmatig worden gewijzigd, waarop vaak programma's worden geïnstalleerd en waarvan programma's worden verwijderd en die regelmatig updates ontvangen. Voorbeelden van deze systemen zijn computers die worden gebruikt in ontwikkelingsomgevingen. Er worden minder regels gebruikt bij beleid voor deze instelling. Gebruikers zien een minimumaantal blokkeringen en prompts wanneer nieuwe bestanden worden gedetecteerd. Evenwichtig: typische bedrijfssystemen waarop nieuwe programma's en wijzigingen sporadisch worden geïnstalleerd. Er worden meer regels gebruikt voor beleidsregels voor deze instelling. Gebruikers ontvangen meer blokkeringen en prompts. Beveiliging: IT-beheerde systemen met strikte controle en weinig wijzigingen. Voorbeelden zijn systemen die toegang geven tot kritieke of vertrouwelijke informatie in een financiële of overheidsomgeving. Deze instelling wordt ook voor servers gebruikt. Het maximumaantal regels wordt gebruikt voor beleidsregels voor deze instelling. Gebruikers ontvangen nog meer blokkeringen en prompts. Selecteer Menu Serverinstellingen om de specifieke regels weer te geven die aan elk beveiligingsniveau zijn gekoppeld. In de lijst Setting Categories (Instellingscategorieën) selecteert u Bedreigingsinformatie. Bij het bepalen van welk beveiligingsniveau aan een beleid moet worden toegewezen, moet u rekening houden met op welk type systeem het beleid wordt gebruikt en hoeveel blokkeringen en prompts u wilt dat de gebruiker ontvangt. Nadat u een beleid hebt gemaakt, wijst u het toe aan computers of apparaten om te bepalen hoeveel blokkeringen en prompts optreden. McAfee Endpoint Security 10.1 Producthandleiding 111

112 6 Bedreigingsinformatie gebruiken Bedreigingsinformatie beheren 112 McAfee Endpoint Security 10.1 Producthandleiding

113 7 Referentie van clientinterface De helponderwerpen van interfacereferentie bieden contextgevoelige hulp voor pagina's in de clientinterface. Inhoud Pagina Gebeurtenislogboek Pagina Quarantaine Gedeelde instellingen: opties Gedeelde instellingen: Taken Bedreigingspreventie: Toegangsbeveiliging Bedreigingspreventie Exploitpreventie Bedreigingspreventie: Scan bij toegang Bedreigingspreventie: Scannen op verzoek Scanlocaties McAfee GTI Acties Uitsluiting toevoegen of Uitsluiting bewerken Bedreigingspreventie Opties AMCore-inhoud terugzetten Firewall: opties Firewall: regels Webcontrole Opties Webcontrole: Inhoudsacties Bedreigingsinformatie: opties Pagina Gebeurtenislogboek Geeft de activiteiten- en foutopsporingsgebeurtenissen in het Gebeurtenislogboek weer. Optie Aantal gebeurtenissen Map met logboeken weergeven Alle gebeurtenissen weergeven Definitie Geeft het aantal gebeurtenissen aan dat Endpoint Security de afgelopen 30 dagen op het systeem heeft geregistreerd. Vernieuwt de weergave van het Gebeurtenislogboek met gegevens van nieuwe gebeurtenissen. Hiermee wordt de map met de logboekbestanden geopend in Windows Explorer. Hiermee worden alle filters verwijderd. McAfee Endpoint Security 10.1 Producthandleiding 113

114 7 Referentie van clientinterface Pagina Gebeurtenislogboek Optie Filteren op ernst Definitie Hiermee worden gebeurtenissen op risiconiveau gefilterd: Kritiek Belangrijk en hoger Minder belangrijk en hoger Hiermee worden alleen gebeurtenissen met risiconiveau 1 weergegeven. Hiermee worden alleen gebeurtenissen met risiconiveau 1 en 2 weergegeven. Hiermee worden alleen gebeurtenissen met risiconiveau 1, 2 en 3 weergegeven. Waarschuwing en hoger Hiermee worden gebeurtenissen met risiconiveau 1, 2, 3 en 4 weergegeven. Filteren op module Hiermee worden gebeurtenissen op module gefilterd: Common Threat Prevention Firewall Web Control Hiermee worden alleen Gedeelde instellingen-gebeurtenissen weergegeven. Hiermee worden alleen Bedreigingspreventie-gebeurtenissen weergegeven. Hiermee worden alleen Firewall-gebeurtenissen weergegeven. Hiermee worden alleen Webcontrole-gebeurtenissen weergegeven. Welke functies in de vervolgkeuzelijst worden weergegeven, is afhankelijk van de functies die op het systeem zijn geïnstalleerd op het moment dat u het Gebeurtenislogboek opent. Zoeken Gebeurtenissen per pagina Vorige pagina Volgende pagina Pagina x van x Hiermee kunt u in het Gebeurtenislogboek naar een tekenreeks zoeken. Hiermee wordt het aantal gebeurtenissen geselecteerd dat op een pagina moet worden weergegeven. (Standaard 20 gebeurtenissen per pagina) Hiermee wordt de vorige pagina in het Gebeurtenislogboek weergegeven. Hiermee wordt de volgende pagina in het Gebeurtenislogboek weergegeven. Hiermee wordt een pagina in het Gebeurtenislogboek geselecteerd om ernaar toe te gaan. Voer een getal in het veld Pagina in en druk op Enter of klik op OK om naar de pagina te gaan. Kolomkop Hiermee wordt de gebeurtenislijst gesorteerd op... Datum De datum waarop de gebeurtenis plaatsvond. Functie De functie die de gebeurtenis registreerde. 114 McAfee Endpoint Security 10.1 Producthandleiding

115 Referentie van clientinterface Pagina Quarantaine 7 Kolomkop Hiermee wordt de gebeurtenislijst gesorteerd op... Actie Actie die Endpoint Security (eventueel) heeft genomen als reactie op de gebeurtenis. De actie wordt in de instellingen geconfigureerd. Toegestaan Toegang geweigerd Verwijderd Doorgaan Opgeschoond Verplaatst Geblokkeerd Zou blokkeren Toegang tot bestand toegestaan. Toegang tot bestand geweigerd. Bestand is automatisch verwijderd. Bedreiging is automatisch uit het bestand verwijderd. Het bestand is naar de quarantainemap verplaatst. Toegang tot het bestand is geblokkeerd. Een toegangsbeveiligingsregel zou de toegang tot het bestand blokkeren als de regel werd afgedwongen. Ernst Ernstigheidsgraad van de gebeurtenis. Kritiek 1 Belangrijk 2 Minder belangrijk 3 Waarschuwing 4 Informatief 5 Zie ook Het Gebeurtenislogboek op pagina 22 Pagina Quarantaine Items in de Quarantaine beheren. Tabel 7-1 Opties Optie Verwijderen Definitie Hiermee worden geselecteerde items uit de quarantaine verwijderd. Het is niet mogelijk verwijderde items te herstellen. Herstellen Hiermee worden items uit de quarantaine hersteld. Endpoint Security herstelt items naar hun oorspronkelijke locatie en verwijdert ze uit de quarantaine. Als een item nog steeds een geldige bedreiging is, zet Endpoint Security het item onmiddellijk terug in de quarantaine. Opnieuw scannen Hiermee worden geselecteerde items in quarantaine opnieuw gescand. Als het item niet langer een bedreiging is, zet Endpoint Security het item terug op de oorspronkelijke locatie en wordt het uit de quarantaine verwijderd. McAfee Endpoint Security 10.1 Producthandleiding 115

116 7 Referentie van clientinterface Gedeelde instellingen: opties Kolomkop Detectienaam Type Tijd in quarantaine geplaatst Aantal objecten Versie van AMCore-inhoud Status opnieuw scannen Sorteert de quarantainelijst op... Naam van de detectie. Type bedreiging, bijvoorbeeld Trojaans paard of adware. Hoelang het item in quarantaine is geplaatst. Het aantal objecten in de detectie. Het versienummer van de AMCore-inhoud die de bedreiging heeft geïdentificeerd. De status voor opnieuw scannen, als het item opnieuw is gescand: Opgeschoond: bij het opnieuw scannen zijn geen bedreigingen gedetecteerd. Geïnfecteerd: bij het opnieuw scannen heeft Endpoint Security een bedreiging gedetecteerd. Zie ook Items in quarantaine beheren op pagina 46 Namen gedetecteerde items op pagina 48 Items in quarantaine opnieuw scannen op pagina 49 Gedeelde instellingen: opties Configureer instellingen voor de Endpoint Security-clientinterface, Zelfbeveiliging, activiteitenlogboek en foutregistratie en de proxyserver. Tabel 7-2 Opties Sectie Optie Definitie Clientinterfacemodus Volledige toegang Hiermee wordt toegang tot alle functies toegestaan. (standaard voor systemen in eigen beheer) Standaardtoegang Hiermee wordt de beveiligingsstatus weergegeven en is toegang tot de meeste functies toegestaan, zoals het uitvoeren van updates en scans. Voor de modus Standaardtoegang is een wachtwoord vereist om instellingen weer te geven en te wijzigen op de pagina Instellingenvan de Endpoint Security-client. Het standaardwachtwoord is mcafee. (standaard voor door McAfee epo beheerde systemen) Clientinterface vergrendelen Er is een wachtwoord vereist voor toegang tot de Endpoint Security-client. 116 McAfee Endpoint Security 10.1 Producthandleiding

117 Referentie van clientinterface Gedeelde instellingen: opties 7 Tabel 7-2 Opties (vervolg) Sectie Optie Definitie Beheerderswachtwoord instellen Hiermee wordt het beheerderswachtwoord opgegeven dat is vereist voor toegang tot alle functies van de Endpoint Security-clientinterface, voor Standaardtoegang en Clientinterface vergrendelen. Wachtwoord Wachtwoord bevestigen Hiermee wordt het wachtwoord opgegeven. Hiermee wordt het wachtwoord bevestigd. Installatie verwijderen Wachtwoord vereisen om de client te verwijderen Hiermee wordt een wachtwoord opgegeven en vereist om Endpoint Security-client te verwijderen. (standaard uitgeschakeld voor systemen in eigen beheer) Het standaardwachtwoord is mcafee. Wachtwoord Wachtwoord bevestigen Hiermee wordt het wachtwoord opgegeven. Hiermee wordt het wachtwoord bevestigd. Tabel 7-3 Geavanceerde opties Sectie Optie Definitie Taal clientinterface Automatisch Hiermee wordt automatisch de taal ingesteld die moet worden gebruikt voor de interfacetekst van Endpoint Security-client, gebaseerd op de taal op het clientsysteem. Taal Hiermee wordt de taal opgegeven die moet worden gebruikt voor de interfacetekst van Endpoint Security-client. Voor beheerde systemen hebben taalwijzigingen die gemaakt zijn vanuit de Endpoint Security-client, voorrang op wijzigingen van de beheerserver. De taalwijziging wordt toegepast nadat de Endpoint Security-client opnieuw is opgestart. De taal van de client is niet van invloed op de logboekbestanden. Logboekbestanden worden altijd weergegeven in de taal die in de standaardlandinstellingen van het systeem is opgegeven. Zelfbeveiliging Zelfbeveiliging inschakelen Hiermee worden Endpoint Security-systeembronnen beschermd tegen schadelijke activiteiten. McAfee Endpoint Security 10.1 Producthandleiding 117

118 7 Referentie van clientinterface Gedeelde instellingen: opties Tabel 7-3 Geavanceerde opties (vervolg) Sectie Optie Definitie Actie Hiermee wordt de actie opgegeven die moet worden genomen wanneer schadelijke activiteit plaatsvindt: Blokkeren en rapporteren: activiteit wordt geblokkeerd en gerapporteerd bij McAfee epo. (Standaardinstelling) Alleen blokkeren: activiteit wordt geblokkeerd maar wordt niet gerapporteerd bij McAfee epo. Alleen rapporteren: activiteit wordt gerapporteerd bij McAfee epo maar wordt niet geblokkeerd. Bestanden en mappen Register Processen De volgende processen uitsluiten Voorkomt dat McAfee-systeembestanden en -mappen worden gewijzigd of verwijderd. Voorkomt dat McAfee-registersleutels en -waarden worden gewijzigd of verwijderd. Voorkomt dat McAfee-processen worden gestopt. Hiermee wordt de toegang voor de opgegeven processen toegestaan. Jokertekens zijn toegestaan. Toevoegen: hiermee wordt een proces aan de uitsluitingslijst toegevoegd. Klik op Toevoegen en voer de naam van de bron exact in, zoals avtask.exe. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen : Hiermee wordt het geselecteerde item verwijderd. Selecteer de bron en klik op Verwijderen. Certificaten Hiermee worden certificaatopties opgegeven. Toestaan Hiermee wordt een leverancier toegestaan om code in McAfee-processen uit te voeren. Deze instelling kan resulteren in compatibiliteitsproblemen en verminderde beveiliging. Leverancier Hiermee wordt de CN (Common Name) opgegeven van de instantie die het certificaat heeft ondertekend en uitgegeven. 118 McAfee Endpoint Security 10.1 Producthandleiding

119 Referentie van clientinterface Gedeelde instellingen: opties 7 Tabel 7-3 Geavanceerde opties (vervolg) Sectie Optie Definitie Onderwerp Openbare sleutel SHA-1 Hiermee wordt de SND (Signer Distinguished Name) opgegeven die de entiteit definieert die aan het certificaat is gekoppeld. Deze informatie kan bestaan uit: CN (Common Name) OU (Organization Unit of organisatie-eenhei d) O (Organisatie) L (Lokaliteit) ST (Staat of provincie) C (Country Code of landcode) Hiermee wordt de SHA-1-hash van de bijbehorende openbare sleutel opgegeven. Clientlogboekgebruik Locatie van logboekbestanden Hiermee wordt de locatie voor de logboekbestanden opgegeven. De standaardlocatie is: <SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint \Logs Druk op Enter of klik op Bladeren om naar een locatie te gaan. Activiteitenlogboekregistratie Activiteitenlogboekregistratie inschakelen Maximale grootte van alle activiteitenlogboeken (MB) Hiermee wordt registratie van alle Endpoint Security-activiteiten ingeschakeld. Beperkt de grootte van elk activiteitenlogboek tot de opgegeven maximumgrootte (tussen 1 en 999 MB). De standaardinstelling is 10 MB. Schakel deze optie uit om toe te staan dat logboekbestanden onbeperkt kunnen groeien. Als het logboekbestand deze grootte overschrijdt, wordt de eerste 25 procent van de vermeldingen in het bestand overschreven door nieuwe gegevens. Foutregistratie Wanneer u foutregistratie voor een willekeurige module inschakelt, wordt ook foutregistratie voor de functies van de module Gedeelde instellingen ingeschakeld, zoals Zelfbeveiliging. We raden u aan om foutregistratie gedurende tests en testfasen minstens de eerste 24 uur ingeschakeld te houden. Als er zich gedurende deze tijd geen problemen voordoen, kunt u foutregistratie uitschakelen om te voorkomen dat de prestaties op het clientsysteem beïnvloed worden. McAfee Endpoint Security 10.1 Producthandleiding 119

120 7 Referentie van clientinterface Gedeelde instellingen: opties Tabel 7-3 Geavanceerde opties (vervolg) Sectie Optie Definitie Inschakelen voor Bedreigingspreventie Hiermee wordt uitgebreide registratie voor Bedreigingspreventie en afzonderlijke technologieën ingeschakeld: Inschakelen voor Toegangsbeveiliging: registreert in AccessProtection_Debug.log. Inschakelen voor Exploitpreventie: registreert in ExploitPrevention_Debug.log. Inschakelen voor Scannen bij toegang: registreert in OnAccessScan_Debug.log. Inschakelen voor Scannen op verzoek: registreert in OnDemandScan_Debug.log. Wanneer u foutregistratie voor een willekeurige Bedreigingspreventie-technologie inschakelt, wordt ook foutregistratie voor de Endpoint Security-client ingeschakeld. Wanneer u foutregistratie voor een willekeurige Bedreigingspreventie-technologie inschakelt, wordt ook foutregistratie voor Bedreigingsinformatie ingeschakeld. Inschakelen voor Firewall Inschakelen voor Webcontrole Maximale grootte van alle foutopsporingslogboeken (MB) Hiermee wordt uitgebreide registratie van Firewall-activiteit ingeschakeld. Hiermee wordt uitgebreide registratie van Webcontrole-activiteit ingeschakeld. Beperkt de grootte van elk foutopsporingslogboek tot de opgegeven maximumgrootte (tussen 1 en 999 MB). De standaardinstelling is 50 MB. Schakel deze optie uit om toe te staan dat logboekbestanden onbeperkt kunnen groeien. Als het logboekbestand deze grootte overschrijdt, wordt de eerste 25 procent van de vermeldingen in het bestand overschreven door nieuwe gegevens. Logboekregistratie Gebeurtenissen naar McAfee epo sturen Hiermee worden alle gebeurtenissen die in het Gebeurtenislogboek op de Endpoint Security-client zijn geregistreerd naar McAfee epo gestuurd. Deze optie is alleen beschikbaar op systemen in beheer van McAfee epo. Gebeurtenissen in het Windows-toepassingslogboek registreren Hiermee worden alle gebeurtenissen die in het Gebeurtenislogboek op de Endpoint Security-client zijn geregistreerd naar het Windows-toepassingslogboek gestuurd. Het Windows-toepassingslogboek kan in Windows worden geopend via Logboeken Windows Logboeken Toepassing. 120 McAfee Endpoint Security 10.1 Producthandleiding

121 Referentie van clientinterface Gedeelde instellingen: opties 7 Tabel 7-3 Geavanceerde opties (vervolg) Sectie Optie Definitie Risiconiveaus Hiermee wordt het risiconiveau opgegeven van gebeurtenissen die naar het Gebeurtenislogboek op de Endpoint Security-client moeten worden gestuurd: Geen: hiermee worden geen waarschuwingen gestuurd Alleen kritiek: hiermee worden alleen waarschuwingen van niveau 1 gestuurd. Belangrijk en kritiek: hiermee worden waarschuwingen van niveau 1 en 2 gestuurd. Minder belangrijk, belangrijk en kritiek: hiermee worden waarschuwingsniveaus 1 3 gestuurd. Alle behalve informatief: hiermee worden waarschuwingsniveaus 1 4 gestuurd. Alle: hiermee worden waarschuwingsniveaus 1 5 gestuurd. 1: Kritiek 2: Belangrijk 3: Minder belangrijk 4: Waarschuwing 5: Informatief Gebeurtenissen van Bedreigingspreventie die moeten worden geregistreerd Hiermee wordt het risiconiveau opgegeven van gebeurtenissen voor elke Bedreigingspreventie-functie die moet worden geregistreerd: Toegangsbeveiliging Firewall-gebeurtenissen die moeten worden geregistreerd Webcontrole-gebeurtenissen die moeten worden geregistreerd Exploitpreventie Scanner bij toegang Scanner op verzoek Wanneer u gebeurtenisregistratie voor Toegangsbeveiliging inschakelt, wordt ook gebeurtenisregistratie voor Zelfbeveiliging ingeschakeld. Hiermee wordt het risiconiveau opgegeven van Firewall-gebeurtenissen die moeten worden geregistreerd. Hiermee wordt het risiconiveau opgegeven van Webcontrole-gebeurtenissen die moeten worden geregistreerd. Proxyserver voor McAfee GTI Geen proxyserver Hiermee wordt opgegeven dat de beheerde systemen McAfee GTI-reputatiegegevens rechtstreeks via internet ophalen, niet via een proxyserver. (Standaardinstelling) Proxy-instellingen van het systeem gebruiken Hiermee wordt opgegeven dat de proxy-instellingen van het clientsysteem moeten worden gebruikt, en dat HTTP-proxyverificatie eventueel moet worden ingeschakeld. McAfee Endpoint Security 10.1 Producthandleiding 121

122 7 Referentie van clientinterface Gedeelde instellingen: opties Tabel 7-3 Geavanceerde opties (vervolg) Sectie Optie Definitie Proxyserver configureren Hiermee worden proxyinstellingen aangepast. Adres: hiermee wordt het IP-adres of volledig gekwalificeerde domeinnaam van de HTTP-proxyserver opgegeven. Poort: hiermee wordt toegang via de opgegeven poort beperkt. De volgende adressen uitsluiten: gebruik de HTTP-proxyserver niet voor websites of IP-adressen die met de opgegeven vermeldingen beginnen. Klik op Toevoegen en voer vervolgens de adresnaam in die moet worden uitgesloten. Standaard clientupdate HTTP-proxyverificatie inschakelen De knop Nu bijwerken inschakelen in de client Wat er bijgewerkt moet worden Hiermee wordt opgegeven dat de HTTP-proxyserver verificatie vereist. (Deze optie is alleen beschikbaar wanneer u een HTTP-proxyserver hebt geselecteerd.) Voer HTTP-proxyreferenties in: Gebruikersnaam: hiermee wordt de gebruikersaccount met machtigingen voor de HTTP-proxyserver opgegeven. Wachtwoord: hiermee wordt het wachtwoord voor Gebruikersnaam opgegeven. Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. Hiermee wordt de knop op de hoofdpagina van de Endpoint Security-client ingeschakeld. Klik op deze knop om handmatig op updates voor inhoudsbestanden en softwareonderdelen te controleren en deze te downloaden op het clientsysteem. Hiermee wordt opgegeven wat er moet worden bijgewerkt wanneer er op de knop wordt geklikt. Veiligheidsinhoud, hotfixes en patches: hiermee worden veiligheidsinhoud (inclusief engine, AMCore en inhoud van Exploitpreventie), hotfixes en patches naar de nieuwste versies bijgewerkt. Veiligheidsinhoud: hiermee wordt alleen de veiligheidsinhoud bijgewerkt (standaard). Hotfixes en patches: hiermee worden alleen hotfixes en patches bijgewerkt. 122 McAfee Endpoint Security 10.1 Producthandleiding

123 Referentie van clientinterface Gedeelde instellingen: opties 7 Tabel 7-3 Geavanceerde opties (vervolg) Sectie Optie Definitie Bronlocaties voor updates Hiermee worden de sites geconfigureerd vanwaar updates voor inhoudsbestanden en softwareonderdelen kunnen worden opgehaald. U kunt de standaardbronlocatie voor back-up, McAfeeHttp en de beheerserver (voor beheerde systemen) in- en uitschakelen, maar u kunt ze verder niet wijzigen of verwijderen. Hiermee worden elementen aangegeven die in de lijst kunnen worden verplaatst. Selecteer elementen en sleep ze naar de nieuwe locatie. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten. Toevoegen Dubbelklik op een item Verwijderen Importeren Hiermee wordt een site aan de lijst met bronlocaties toegevoegd. Raadpleeg Site toevoegen of Site bewerken op pagina 124 voor meer informatie. Hiermee wordt het geselecteerde item gewijzigd. Hiermee wordt de geselecteerde site uit de lijst met bronlocaties verwijderd. Hiermee worden sites geïmporteerd van een bestand met een bronlocatielijst. Selecteer het bestand dat u wilt importeren en klik op OK. Het bestand met de locatielijst vervangt de bestaande lijst met bronlocaties. Alles exporteren Exporteert de bronlocatielijst naar een SiteList.xml-bestand. Selecteer de locatie om het bestand met de bronlocatielijst naar op te slaan, en klik op OK. Proxyserver voor bronsites Geen proxyserver Hiermee wordt opgegeven dat de beheerde systemen McAfee GTI-reputatiegegevens rechtstreeks via internet ophalen, niet via een proxyserver. (Standaardinstelling) Proxyinstellingen van het systeem gebruiken Hiermee wordt opgegeven dat de proxyinstellingen van het clientsysteem moeten worden gebruikt, en dat HTTP- of FTP-proxyverificatie eventueel moet worden ingeschakeld. McAfee Endpoint Security 10.1 Producthandleiding 123

124 7 Referentie van clientinterface Gedeelde instellingen: opties Tabel 7-3 Geavanceerde opties (vervolg) Sectie Optie Definitie Proxyserver configureren Hiermee worden proxyinstellingen aangepast. HTTP-/FTP-adres: hiermee wordt het DNS-, IPv4- of IPv6-adres van de HTTP- of FTP-proxyserver opgegeven. Poort: hiermee wordt toegang via de opgegeven poort beperkt. De volgende adressen uitsluiten: hiermee worden de adressen opgegeven voor Endpoint Security-client-systemen die de proxyserver niet moet gebruiken voor het ophalen van McAfee GTI-classificaties. Klik op Toevoegen en voer vervolgens de adresnaam in die moet worden uitgesloten. HTTP-/FTP-proxyverificatie inschakelen Hiermee wordt opgegeven dat de HTTP- of FTP-proxyserver verificatie vereist. (Deze optie is alleen beschikbaar wanneer u een HTTP- of FTP-proxyserver hebt geselecteerd.) Voer proxyreferenties in: Gebruikersnaam: hiermee wordt de gebruikersaccount met machtigingen voor de proxyserver opgegeven. Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. Zie ook Endpoint Security-bronnen beveiligen op pagina 29 Registratie-instellingen configureren op pagina 30 Instellingen voor de beveiliging van de clientinterface configureren op pagina 31 Proxyserverinstellingen configureren voor McAfee GTI op pagina 32 Het standaardgedrag configureren voor updates op pagina 35 Bronlocaties configureren voor updates op pagina 33 Site toevoegen of Site bewerken op pagina 124 Site toevoegen of Site bewerken Hiermee wordt een site in de lijst met bronlocaties geplaatst of bewerkt. Tabel 7-4 Optiedefinities Optie Naam Inschakelen Bestanden ophalen van Definitie Geeft de naam aan van de bronsite die de updatebestanden bevat. Hiermee wordt gebruik van de bronsite voor het downloaden van updatebestanden in- of uitgeschakeld. Hier wordt opgegeven waar de bestanden moeten worden opgehaald. 124 McAfee Endpoint Security 10.1 Producthandleiding

125 Referentie van clientinterface Gedeelde instellingen: opties 7 Tabel 7-4 Optiedefinities (vervolg) Optie HTTP-opslagplaats Definitie Hiermee worden bestanden uit de toegewezen HTTP-opslagplaatslocatie opgehaald. HTTP biedt de mogelijkheid updates onafhankelijk van de netwerkbeveiliging uit te voeren, maar ondersteunt meer gelijktijdige verbindingen dan FTP. URL Verificatie gebruiken DNS-naam: geeft aan dat de URL een domeinnaam is. IPv4: geeft aan dat de URL een IPv4-adres is. IPv6: geeft aan dat de URL een IPv6-adres is. : specificeert het adres van de HTTP-server en -map waar de updatebestanden zich bevinden. Poort: geeft het poortnummer voor de HTTP-server aan. Hier kunt u selecteren of u verificatie wilt gebruiken en de aanmeldingsgegevens voor toegang tot de map met updatebestanden opgeven. Gebruikersnaam: geeft de gebruikersaccount op die leesrechten heeft voor de map met updatebestanden. Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. McAfee Endpoint Security 10.1 Producthandleiding 125

126 7 Referentie van clientinterface Gedeelde instellingen: opties Tabel 7-4 Optiedefinities (vervolg) Optie FTP-opslagplaats Definitie Hiermee worden bestanden uit de toegewezen FTP-opslagplaatslocatie opgehaald. Een FTP-site biedt de flexibiliteit van bijwerken zonder u aan netwerkbeveiligingsrechten te hoeven houden. Omdat FTP minder snel last heeft van aanvallen door ongewenste codes dan HTTP, kan dit een betere tolerantie bieden. URL Anoniem inloggen gebruiken DNS-naam: geeft aan dat de URL een domeinnaam is. IPv4: geeft aan dat de URL een IPv4-adres is. IPv6: geeft aan dat de URL een IPv6-adres is. ftp:// : specificeert het adres van de FTP-server en -map waar de updatebestanden zich bevinden. Poort: geeft het poortnummer voor de FTP-server aan. Hiermee kunt u ervoor kiezen anonieme FTP te gebruiken om de map met updatebestanden op te roepen. Hef de selectie van deze optie op om aanmeldingsgegevens voor toegang op te geven. Gebruikersnaam: geeft de gebruikersaccount op die leesrechten heeft voor de map met updatebestanden. Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. UNC-pad of Lokaal pad Hiermee worden bestanden uit de toegewezen UNC of het toegewezen lokale pad opgehaald. Een UNC-site is het snelst en gemakkelijkst in te stellen. Voor UNC-updates tussen domeinen zijn beveiligingsmachtigingen voor elk van de domeinen nodig, hetgeen het configureren van updates ingewikkelder maakt. Pad Aanmeldingsaccount gebruiken UNC-pad: hiermee wordt het pad opgegeven dat UNC-notatie gebruikt (\\servernaam\pad\). Lokaal pad: hiermee wordt het pad opgegeven van een map op een lokaal of netwerkstation. Hiermee wordt de aanmeldingsaccount gebruikt voor toegang tot de updatebestanden. Deze account moet leesrechten hebben voor de mappen met de updatebestanden. Hef de selectie van deze optie op om aanmeldingsgegevens voor toegang op te geven. Domein: geeft het domein op voor de gebruikersaccount. Gebruikersnaam: geeft de gebruikersaccount op die leesrechten heeft voor de map met updatebestanden. Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. 126 McAfee Endpoint Security 10.1 Producthandleiding

127 Referentie van clientinterface Gedeelde instellingen: Taken 7 Tabel 7-4 Optiedefinities (vervolg) Optie Definitie Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. Gedeelde instellingen: Taken Endpoint Security-clienttaken configureren en plannen. Op beheerde systemen kunt u geen Beheerderstaken starten, stoppen of verwijderen. Tabel 7-5 Opties Sectie Optie Taken Dubbelklik op een item Toevoegen Verwijderen Definitie Geeft de momenteel gedefinieerde en geplande taken aan. Naam: naam van de geplande taak. Functie: module of functie waaraan de taak is gekoppeld. Schema: wanneer de taak moet worden uitgevoerd en of deze is uitgeschakeld. Het schema voor de Standaard clientupdatetaak kan op beheerde systemen bijvoorbeeld zijn uitgeschakeld door de beheerder. Status: status van de laatste keer dat de taak werd uitgevoerd: (geen status): nooit uitgevoerd Wordt uitgevoerd wordt nu uitgevoerd of is hervat Onderbroken onderbroken door gebruiker (zoals een scan) Uitgesteld uitgesteld door gebruiker (zoals een scan) Voltooid uitgevoerd zonder fouten Voltooid (fouten) uitgevoerd met fouten Mislukt: niet voltooid Laatst uitgevoerd: datum en tijd waarop de taak de laatste keer werd uitgevoerd. Oorsprong: oorsprong van de taak: McAfee: geleverd door McAfee. Beheerder: (alleen beheerde systemen) gedefinieerd door de beheerder. Gebruiker: gedefinieerd op de Endpoint Security-client Afhankelijk van de oorsprong kunnen sommige taken niet worden gewijzigd of verwijderd. De Standaard clientupdatetaak kan bijvoorbeeld alleen worden gewijzigd op systemen in eigen beheer. Beheerderstaken, gedefinieerd door de beheerder op beheerde systemen, kunnen niet worden gewijzigd of verwijderd op de Endpoint Security-client. Hiermee wordt het geselecteerde item gewijzigd. Hiermee wordt een scan-, update- of spiegeltaak gemaakt. Verwijdert de geselecteerde taak. McAfee Endpoint Security 10.1 Producthandleiding 127

128 7 Referentie van clientinterface Gedeelde instellingen: Taken Tabel 7-5 Opties (vervolg) Sectie Optie Dupliceren Nu uitvoeren Definitie Hiermee wordt een kopie van de geselecteerde taak gemaakt. De geselecteerde taak uitvoeren. Als de taak al wordt uitgevoerd, of is gepauzeerd of uitgesteld, verandert de knop in Weergeven. Snelle scan: opent het dialoogvenster Snelle scan en start de scan. Volledige scan: opent het dialoogvenster Volledige scan en start de scan. Aangepaste scan: opent het dialoogvenster Aangepaste scan en start de scan. Standaard clientupdate: opent het dialoogvenster Update en start de update. Update: opent het dialoogvenster Aangepaste update en start de update. Spiegelen: opent het dialoogvenster Aangepaste Spiegelen en start de replicatie van de opslagplaats. Als u een taak uitvoert voordat u wijzigingen toepast, vraagt de Endpoint Security-client u de instellingen op te slaan. Zie ook Een Volledige scan of Snelle scan uitvoeren op pagina 42 Beveiliging en software handmatig bijwerken op pagina 21 Spiegeltaken configureren, plannen en uitvoeren op pagina 38 Taak toevoegen op pagina 128 Taak toevoegen Hier voegt u aangepaste scan-, spiegel- of updatetaken toe. Optie Naam Selecteer taaktype: Definitie Hiermee geeft u de naam van de taak op. Geeft het type taak op: Aangepaste scan: hiermee wordt een aangepaste scan geconfigureerd en gepland, zoals dagelijkse geheugenscans. Spiegelen: hiermee worden de bijgewerkte inhouds- en engine-bestanden van de eerst toegankelijke opslagplaats gerepliceerd naar een spiegellocatie op uw netwerk. Update: hiermee wordt een update van de inhoudsbestanden, scanengine of het product geconfigureerd en gepland. Zie ook Scantaak toevoegen of Scantaak bewerken op pagina 129 Spiegeltaak toevoegen of Spiegeltaak bewerken op pagina 130 Updatetaak toevoegen of Updatetaak bewerken op pagina McAfee Endpoint Security 10.1 Producthandleiding

129 Referentie van clientinterface Gedeelde instellingen: Taken 7 Scantaak toevoegen of Scantaak bewerken Plan de taak Volledige scan of Snelle scan of configureer en plan aangepaste scantaken die op het clientsysteem worden uitgevoerd. Tabel 7-6 Opties Tabblad Optie Definitie Instellingen Naam Hier worden instellingen voor de scantaak geconfigureerd. Geeft de naam van de taak aan. Opties Raadpleeg Bedreigingspreventie: Scannen op verzoek op pagina 146 voor meer informatie. U kunt instellingen voor de taken Volledige scan en Snelle scan alleen op systemen in eigen beheer configureren. Schema Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd. Raadpleeg Schema op pagina 130 voor meer informatie. Zie ook Scantaken configureren, plannen en uitvoeren op pagina 75 instellingen voor Scan op verzoek configureren op pagina 70 Een Volledige scan of Snelle scan uitvoeren op pagina 42 Bedreigingspreventie: Scannen op verzoek op pagina 146 Schema op pagina 130 Updatetaak toevoegen of Updatetaak bewerken Hier wordt de taak Standaard clientupdate gepland of worden aangepaste updatetaken geconfigureerd en gepland die op het clientsysteem worden uitgevoerd. Tabblad Optie Definitie Instellingen Naam Wat er bijgewerkt moet worden Hiermee configureert u instellingen voor updatetaken. Geeft de naam van de taak aan. Geeft op wat er bijgewerkt moet worden: Veiligheidsinhoud, hotfixes en patches Veiligheidsinhoud Hotfixes en patches Als u de instellingen van de taak Standaard clientupdate wilt bewerken, raadpleegt u de sectie Standaard clientupdate in Gedeelde instellingen: opties op pagina 116. U kunt deze instellingen alleen op systemen in eigen beheer configureren. Schema Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd. Raadpleeg Schema op pagina 130 voor meer informatie. De taak Standaard clientupdate wordt standaard elke dag om middernacht uitgevoerd en elke vier uur herhaald tot uur. Zie ook Updatetaken configureren, plannen en uitvoeren op pagina 36 Schema op pagina 130 McAfee Endpoint Security 10.1 Producthandleiding 129

130 7 Referentie van clientinterface Gedeelde instellingen: Taken Spiegeltaak toevoegen of Spiegeltaak bewerken Hiermee worden spiegeltaken geconfigureerd en gepland. Tabblad Optie Definitie Instellingen Naam Geeft de naam van de taak aan. Schema Spiegellocatie Geeft de map op waar de replicatie van de opslagplaats moet worden bewaard. Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd. Raadpleeg Schema op pagina 130 voor meer informatie. Zie ook Spiegeltaken configureren, plannen en uitvoeren op pagina 38 Schema op pagina 130 Schema Scan-, update- en spiegeltaken plannen. Tabel 7-7 Opties Categorie Optie Definitie Schema Schema inschakelen Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd. (Standaard ingeschakeld) Deze optie moet worden geselecteerd om de taak te plannen. Type planning Frequentie Uitvoeren op Hier wordt het interval opgegeven waarmee de taak moet worden uitgevoerd. Dagelijks: de taak wordt elke dag uitgevoerd, op een bepaald tijdstip, herhaald tussen twee tijdstippen op de dag, of een combinatie van beide. Wekelijks: de taak wordt wekelijks uitgevoerd: op een bepaalde dag van de week, op elke dag van de week, in de weekenden of een combinatie van deze opties op een bepaald tijdstip op de geselecteerde dagen, of herhaald tussen twee tijdstippen op de geselecteerde dagen Maandelijks: de taak wordt maandelijks uitgevoerd op: de opgegeven dag van de maand de opgegeven dagen van de week: eerste, tweede, derde, vierde of laatste Eenmaal: de taak wordt gestart op de datum en tijd die u opgeeft. Bij opstarten van systeem: de taak wordt uitgevoerd wanneer het systeem opstart. Bij aanmelden: de taak wordt gestart wanneer de gebruiker zich de volgende keer aanmeldt. Onmiddellijk uitvoeren: de taak wordt onmiddellijk gestart. Hiermee wordt de frequentie ingesteld voor de taken Dagelijks en Wekelijks. Hiermee worden de dagen van de week opgegeven voor de taken Wekelijks en Maandelijks. 130 McAfee Endpoint Security 10.1 Producthandleiding

131 Referentie van clientinterface Gedeelde instellingen: Taken 7 Tabel 7-7 Opties (vervolg) Categorie Optie Uitvoeren in: Deze taak slechts eenmaal per dag uitvoeren Deze taak uitstellen met Begindatum Einddatum Begintijd Definitie Hiermee worden de maanden van het jaar opgegeven voor de taken Maandelijks. Voert de taak eenmaal per dag uit voor de taken Bij opstarten van systeem en Bij aanmelden. Hiermee wordt het aantal minuten vertraging opgegeven voordat de taken Bij opstarten van systeem en Bij aanmelden worden uitgevoerd. Geeft de begindatum op voor de taken Dagelijks, Wekelijks, Maandelijks en Eenmaal. Geeft de einddatum op voor de taken Dagelijks, Wekelijks en Maandelijks. Specificeert de tijd waarop de taak moet starten. Eenmaal uitvoeren op die tijd: voert de taak eenmaal uit op de opgegeven Begintijd. Uitvoeren op die tijd, en dan herhalen tot: voert de taak uit op de opgegeven Begintijd. Vervolgens wordt de taak telkens na het aantal uren/ minuten dat door Taak starten elk(e) herhaald tot de ingestelde eindtijd. Uitvoeren op die tijd, en dan herhalen: voert de taak uit op de opgegeven Begintijd. Vervolgens wordt de taak telkens na het aantal uren/ minuten dat door Taak starten elk(e) is opgegeven, gestart tot de taak voor de opgegeven periode is uitgevoerd. Opties Account Deze taak uitvoeren volgens Coordinated Universal Time (UTC) Deze taak stoppen als deze langer wordt uitgevoerd dan Randomiseer de begintijd van de taak met: Gemiste taak uitvoeren Bepaalt of de taak wordt uitgevoerd op basis van de lokale tijd op het beheerde systeem of op basis van de Coordinated Universal Time (UTC). Stopt de taak nadat het opgegeven aantal uren en minuten is verstreken. Als de taak wordt onderbroken voordat deze is voltooid, begint deze de volgende keer dat de taak wordt gestart op het punt waarop de taak is onderbroken. Geeft op dat deze taak willekeurig wordt uitgevoerd binnen de tijdsperiode die u opgeeft. Als deze optie niet wordt opgegeven, wordt de taak op de geplande tijd gestart, ongeacht of andere clienttaken op hetzelfde tijdstip zijn gepland. Hiermee wordt de taak uitgevoerd na het aantal minuten dat is opgegeven door Taak uitstellen met wanneer het beheerde systeem opnieuw is gestart. Hier worden de aanmeldingsgegevens weergegeven die gebruikt moeten worden om de taak uit te voeren. Als er geen aanmeldingsgegevens zijn opgegeven, wordt de taak als de lokale systeembeheerdersaccount uitgevoerd. Gebruikersnaam Wachtwoord Wachtwoord bevestigen Domein Geeft de gebruikersaccount op. Geeft het wachtwoord voor de opgegeven gebruikersaccount op. Bevestigt het wachtwoord voor de opgegeven gebruikersaccount. Geeft het domein op voor de opgegeven gebruikersaccount. McAfee Endpoint Security 10.1 Producthandleiding 131

132 7 Referentie van clientinterface Bedreigingspreventie: Toegangsbeveiliging Zie ook Scantaak toevoegen of Scantaak bewerken op pagina 129 Updatetaak toevoegen of Updatetaak bewerken op pagina 129 Spiegeltaak toevoegen of Spiegeltaak bewerken op pagina 130 Bedreigingspreventie: Toegangsbeveiliging Beveilig de toegangspunten van uw systeem op basis van geconfigureerde regels. Zie de instellingen voor Gedeelde instellingen: opties op pagina 116 voor configuratie van logboekregistratie. Toegangsbeveiliging vergelijkt een gevraagde actie met de lijst met geconfigureerde regels en handelt volgens de regel. Tabel 7-8 Opties Sectie Optie Definitie TOEGANGSBEVEILIGING Toegangsbeveiliging inschakelen Hiermee wordt de functie Toegangsbeveiliging ingeschakeld. 132 McAfee Endpoint Security 10.1 Producthandleiding

133 Referentie van clientinterface Bedreigingspreventie: Toegangsbeveiliging 7 Tabel 7-9 Geavanceerde opties Sectie Uitsluitingen Regels Optie Beschrijving Hiermee wordt de toegang tot de opgegeven processen, ook wel uitvoerbare bestanden genoemd, voor alle regels toegestaan. Toevoegen: hiermee wordt een proces aan de uitsluitingslijst toegevoegd. Raadpleeg Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 139 voor meer informatie. Dubbelklik op een item Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. Hiermee worden regels voor Toegangsbeveiliging geconfigureerd. Raadpleeg Door McAfee gedefinieerde regels op pagina 54 voor meer informatie. U kunt door McAfee gedefinieerde regels inschakelen, uitschakelen en wijzigen, maar u kunt deze regels niet verwijderen. Toevoegen: hiermee wordt een aangepaste regel gemaakt en aan de lijst toegevoegd. Raadpleeg Pagina Regel toevoegen of Regel bewerken op pagina 133 voor meer informatie. Dubbelklik op een item Hiermee wordt het geselecteerde item gewijzigd. Raadpleeg Pagina Regel toevoegen of Regel bewerken op pagina 133 voor meer informatie. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. (Alleen) blokkeren: hiermee worden toegangspogingen geblokkeerd zonder dat dit wordt geregistreerd. (Alleen) rapporteren: hiermee verschijnen waarschuwingen maar worden toegangspogingen niet geblokkeerd. Deze instelling kan nuttig zijn als de volledige uitwerking van een regel niet bekend is. Controleer de logboeken en rapporten om te bepalen of toegang moet worden geblokkeerd. Blokkeren en Rapporteren: toegangspogingen worden geblokkeerd en vastgelegd in een logboek. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Blokkeren of Rapporteren in de eerste rij. Hef de selectie van Blokkeren en Rapporteren op als u de regel wilt uitschakelen. Zie ook Door McAfee gedefinieerde regels voor Toegangsbeveiliging configureren op pagina 53 Pagina Regel toevoegen of Regel bewerken op pagina 133 Door McAfee gedefinieerde regels op pagina 54 Pagina Regel toevoegen of Regel bewerken Hiermee worden door de gebruiker gedefinieerde regels voor Toegangsbeveiliging toegevoegd of bewerkt. McAfee Endpoint Security 10.1 Producthandleiding 133

134 7 Referentie van clientinterface Bedreigingspreventie: Toegangsbeveiliging Tabel 7-10 Sectie Optie Definitie Opties Naam Hiermee wordt de naam van de regel opgegeven of aangegeven. (Vereist) Reactie Geeft acties op voor de regel. (Alleen) blokkeren: hiermee worden toegangspogingen geblokkeerd zonder dat dit wordt geregistreerd. (Alleen) rapporteren: hiermee verschijnen waarschuwingen maar worden toegangspogingen niet geblokkeerd. Deze instelling kan nuttig zijn als de volledige uitwerking van een regel niet bekend is. Controleer de logboeken en rapporten om te bepalen of toegang moet worden geblokkeerd. Blokkeren en Rapporteren: toegangspogingen worden geblokkeerd en vastgelegd in een logboek. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Block (Blokkeren) of Report (Rapporteren) in de eerste rij. Hef de selectie van Blokkeren en Rapporteren op als u de regel wilt uitschakelen. Uitvoerbare bestanden Subregels Geeft uitvoerbare bestanden op voor de regel. Toevoegen: hiermee wordt een uitvoerbaar bestand gemaakt en aan de lijst toegevoegd. Raadpleeg Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 139 voor meer informatie. Dubbelklik op een item Hiermee wordt het geselecteerde item gewijzigd. Raadpleeg Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 139 voor meer informatie. Verwijderen Hiermee wordt het geselecteerde item verwijderd. Dupliceren Hiermee wordt een kopie van het geselecteerde item gemaakt. Opnamestatus wisselen: hiermee wordt de opnamestatus van het uitvoerbare bestand gewisseld tussen Opnemen en Uitsluiten. Hiermee worden subregels geconfigureerd. Subregels worden alleen voor regels weergegeven die door de gebruiker zijn gedefinieerd. Raadpleeg Subregel toevoegen of Subregel bewerken op pagina 135 voor meer informatie. Toevoegen: hiermee wordt een subregel gemaakt en aan de lijst toegevoegd. Dubbelklik op een item Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. Opmerkingen Meer informatie over het item. Zie ook Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 139 Subregel toevoegen of Subregel bewerken op pagina McAfee Endpoint Security 10.1 Producthandleiding

135 Referentie van clientinterface Bedreigingspreventie: Toegangsbeveiliging 7 Subregel toevoegen of Subregel bewerken Een standaardsubregel toevoegen of bewerken. Tabel 7-11 Opties Sectie Optie Definitie Beschrijving Naam Hiermee geeft u de naam van de subregel op. Eigenschappen Type regel Hiermee geeft u het regeltype op. Bestanden: hiermee wordt een bestand of map beveiligd. Maak bijvoorbeeld een aangepaste regel om pogingen om een Excel-spreadsheet met vertrouwelijke informatie te verwijderen, te blokkeren of rapporteren. Registersleutel: hiermee wordt de opgegeven sleutel beveiligd. Een registersleutel is de container voor de registerwaarde. Bijvoorbeeld HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run. Registerwaarde: hiermee wordt de opgegeven waarde beveiligd. Registerwaarden worden in registersleutels opgeslagen en hebben een andere referentie dan registersleutels. Bijvoorbeeld HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run\Autorun. Wanneer u het subregeltype wijzigt, worden eerder gedefinieerde vermeldingen in de parametertabel verwijderd. McAfee Endpoint Security 10.1 Producthandleiding 135

136 7 Referentie van clientinterface Bedreigingspreventie: Toegangsbeveiliging Tabel 7-11 Opties (vervolg) Sectie Optie Definitie Bewerkingen Geeft aan welke bewerkingen zijn toegestaan met dit type subregel. Bestanden: De prestaties worden mogelijk beïnvloed als u de bewerking Lezen selecteert. Alleen-lezen of verborgen attributen wijzigen Maken: hiermee wordt het maken van bestanden in de opgegeven map geblokkeerd. Verwijderen: hiermee wordt het verwijderen van bestanden in de opgegeven map geblokkeerd. Uitvoeren: hiermee wordt het uitvoeren van bestanden in de opgegeven map geblokkeerd. Lezen: hiermee wordt leestoegang tot de opgegeven bestanden geblokkeerd. Schrijven: hiermee wordt schrijftoegang tot de opgegeven bestanden geblokkeerd. Registersleutel: Schrijven: hiermee wordt schrijftoegang tot de opgegeven sleutel geblokkeerd. Maken: hiermee wordt het maken van de opgegeven sleutel geblokkeerd. Verwijderen: hiermee wordt het verwijderen van de opgegeven sleutel geblokkeerd. Lezen: hiermee wordt leestoegang tot de opgegeven sleutel geblokkeerd. Opsommen: hiermee wordt opsomming van de subsleutels voor de opgegeven registersleutel geblokkeerd. Laden: hiermee wordt de mogelijkheid geblokkeerd om de opgegeven registersleutel en de subsleutels uit het register te laden. Vervangen: hiermee wordt het vervangen van de opgegeven registersleutel en de subsleutels door een ander bestand geblokkeerd. Herstellen: hiermee wordt de mogelijkheid geblokkeerd om registerinformatie in een opgegeven bestand op te slaan en wordt over de opgegeven sleutel gekopieerd. Registerwaarde: Schrijven: hiermee wordt schrijftoegang tot de opgegeven waarde geblokkeerd. Maken: hiermee wordt het maken van de opgegeven waarde geblokkeerd. Verwijderen: hiermee wordt het verwijderen van de opgegeven waarde geblokkeerd. Lezen: hiermee wordt leestoegang tot de opgegeven waarde geblokkeerd. Parameters Toevoegen: hiermee worden parameters voor de regel opgegeven. Parameters zijn afhankelijk van de geselecteerde typen regels. U moet ten minste één parameter opgeven. 136 McAfee Endpoint Security 10.1 Producthandleiding

137 Referentie van clientinterface Bedreigingspreventie: Toegangsbeveiliging 7 Tabel 7-11 Opties (vervolg) Sectie Optie Definitie Klik op Toevoegen, selecteer de opnamestatus en typ of selecteer de parameter die u wilt opnemen of uitsluiten. Zie Parameters op pagina 138. Dubbelklik op een item Hiermee wordt het geselecteerde item gewijzigd. Zie Parameters op pagina 138. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Zie ook Parameters op pagina 138 McAfee Endpoint Security 10.1 Producthandleiding 137

138 7 Referentie van clientinterface Bedreigingspreventie: Toegangsbeveiliging Parameters Hiermee wordt de opnamestatus en definitie voor een parameter opgegeven. Tabel 7-12 Sectie Optie Definitie Parameters Bepaalt of de parameter een positieve overeenkomst voor de subregel is. Geeft ook de opnamestatus voor de parameter op. Opnemen: geeft aan dat de subregel overeen kan komen met de opgegeven parameter. Uitsluiten: geeft aan dat de subregel niet overeen moet komen met de opgegeven parameter. Als u het regeltype Bestanden hebt geselecteerd... Blader om het bestand te selecteren. Systeemomgevingsvariabelen worden ondersteund. Omgevingsvariabelen kunnen in een van de volgende indelingen worden opgegeven: $(EnvVar) - $(SystemDrive), $(SystemRoot) %EnvVar% - %SystemRoot%, %SystemDriver% Niet alle door het systeem gedefinieerde omgevingsvariabelen kunnen worden opgeroepen met de $(var)-syntaxis, met name omgevingsvariabelen die de tekens or bevatten. U kunt de syntaxis %var% gebruiken om dit probleem te voorkomen. Gebruikersomgevingsvariabelen worden niet ondersteund. U kunt de tekens?, * en ** als jokertekens gebruiken. Als u het regeltype Registersleutel of Registerwaarde hebt geselecteerd... Gebruik basissleutels om registerwaarden en -sleutels te definiëren. De volgende basissleutels worden ondersteund: HKLM of HKEY_LOCAL_MACHINE HKCU of HKEY_CURRENT_USER HKCR of HKEY_CLASSES_ROOT HKCCS komt overeen met HKLM/SYSTEM/CurrentControlSet en HKLM/SYSTEM/ControlSet00X HKLMS komt overeen met HKLM/Software op 32- en 64-bits systemen, en HKLM/Software/Wow6432Node alleen op 64-bits systemen HKCUS komt overeen met HKCU/Software op 32-bits en 64-bits systemen, en HKCU/Software/Wow6432Node alleen op 64-bits systemen HKULM behandeld als HKLM en HKCU HKULMS behandeld als HKLMS en HKCUS HKALL behandeld als HKLM en HKU U kunt de tekens?, * en ** als jokertekens gebruiken en (pijp) als escapeteken. 138 McAfee Endpoint Security 10.1 Producthandleiding

139 Referentie van clientinterface Bedreigingspreventie: Toegangsbeveiliging 7 Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken Hiermee wordt een uitvoerbaar bestand toegevoegd of bewerkt. Tabel 7-13 Optie Naam Opnamestatus Definitie Hiermee wordt de naam opgegeven van het uitvoerbare bestand. Dit veld is verplicht met ten minste één ander veld: Bestandsnaam of -pad, MD5 hash of Ondertekenaar. Hiermee wordt de opnamestatus voor het uitvoerbare bestand bepaald. Opnamestatus wordt alleen weergegeven wanneer u een uitvoerbaar bestand aan een regel toevoegt. Opnemen: geeft aan dat het uitvoerbare bestand overeen kan komen met de opgegeven parameter. Uitsluiten: geeft aan dat het uitvoerbare bestand niet overeen moet komen met de opgegeven parameter. Bestandsnaam of -pad Hiermee wordt de naam of het pad opgegeven van het uitvoerbare bestand dat moet worden toegevoegd of bewerkt. Klik op Bladeren om het uitvoerbare bestand te selecteren. Het bestandspad mag jokertekens bevatten. MD5 hash Ondertekenaar Hiermee wordt de MD5-hash (32-cijferige hexadecimale nummer) van het proces aangegeven. Controle op digitale handtekening inschakelen Hiermee wordt gegarandeerd dat code niet is gewijzigd of beschadigd sinds de code is ondertekend met een cryptografische hash. Als de optie is ingeschakeld, geeft u het volgende op: Elke handtekening toestaan: hiermee worden bestanden toegestaan die zijn ondertekend door een willekeurige procesondertekenaar. Ondertekend door: hiermee worden alleen bestanden toegestaan die zijn ondertekend door de opgegeven procesondertekenaar. Een SDN (Signer Distinguished Name) voor het uitvoerbare bestand is vereist en moet exact overeenkomen met de invoer in het bijbehorende veld, inclusief komma's en spaties. Zo haalt u de SDN van een uitvoerbaar bestand op: 1 Klik met de rechtermuisknop op een uitvoerbaar bestand en selecteer Eigenschappen. 2 Selecteer een ondertekenaar op het tabblad Digitale handtekeningen en klik op Details. 3 Klik op het tabblad Algemeen op Certificaat weergeven. 4 Selecteer op het tabblad Details het veld Onderwerp. De Signer Distinguished Name wordt weergegeven. Firefox heeft bijvoorbeeld de volgende Signer Distinguished Name: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Opmerkingen Meer informatie over het item. McAfee Endpoint Security 10.1 Producthandleiding 139

140 7 Referentie van clientinterface Bedreigingspreventie Exploitpreventie Zie ook Pagina Regel toevoegen of Regel bewerken op pagina 133 Bedreigingspreventie Exploitpreventie Hiermee wordt Exploitpreventie ingeschakeld en geconfigureerd om te voorkomen dat willekeurige code op uw computer wordt uitgevoerd via onrechtmatig gebruik van bufferoverloop. Zie Gedeelde instellingen: opties op pagina 116 instellingen voor configuratie van logboekregistratie. Tabel 7-14 Host Intrusion Prevention 8.0 kan worden geïnstalleerd op hetzelfde systeem als Endpoint Security Als McAfee Host IPS ingeschakeld is, wordt Exploitpreventie uitgeschakeld, ook al is deze ingeschakeld in de beleidsinstellingen. Sectie Optie Definitie EXPLOITPREVENTIE Exploitpreventie inschakelen Hiermee wordt de functie Exploitpreventie ingeschakeld. Als u deze functie niet inschakelt, wordt uw systeem niet beschermd tegen malwareaanvallen. Tabel 7-15 Geavanceerde opties Sectie Optie Definitie Beveiligingsniveau Standaard Hiermee wordt het beschermingsniveau Exploitpreventie opgegeven. Hiermee worden alleen ernstige bufferoverloopexploits gedetecteerd en geblokkeerd die in het inhoudsbestand van Exploitpreventie zijn gedetecteerd, en wordt de gedetecteerde bedreiging gestopt. Gebruik de functie enige tijd in modus Standaard. Bepaal vervolgens aan de hand van het logboek of u moet overschakelen naar Maximumbeveiliging. Maximum Hiermee worden alleen ernstige en gemiddelde bufferoverloopexploits gedetecteerd en geblokkeerd die in het inhoudsbestand van exploitpreventie zijn gedetecteerd, en wordt de gedetecteerde bedreiging gestopt. Deze instelling kan resulteren in valse positieven. Windows Preventie van gegevensuitvoering Actie Windows Preventie van gegevensuitvoering inschakelen Hiermee wordt Windows Preventie van gegevensuitvoering ingeschakeld. (Standaard uitgeschakeld) Het uitschakelen van deze optie heeft geen effect op processen waarvoor DEP is ingeschakeld als resultaat van het Windows DEP-beleid. Hiermee worden de acties Blokkeren of Rapporteren voor Exploitpreventie opgegeven. De instelling Rapporteren is niet van toepassing wanneer Windows Preventie van gegevensuitvoering is ingeschakeld. 140 McAfee Endpoint Security 10.1 Producthandleiding

141 Referentie van clientinterface Bedreigingspreventie Exploitpreventie 7 Tabel 7-15 Geavanceerde opties (vervolg) Sectie Optie Definitie Blokkeren Hiermee wordt het opgegeven proces geblokkeerd. Selecteer Blokkeren om Exploitpreventie in te schakelen of hef de selectie op om Exploitpreventie uit te schakelen. Als u toegangspogingen wilt blokkeren zonder dat deze worden vastgelegd in het logboek, selecteert u Blokkeren, maar schakelt u Rapporteren niet in. Rapporteren Hiermee kunt u pogingen om inbreuk op Exploitpreventie rapporteren. Als een inbreuk wordt gedetecteerd, wordt er informatie vastgelegd in het activiteitslogboek. Schakel Rapporteren in en zorg ervoor dat de optie Blokkeren is uitgeschakeld als een waarschuwing wilt ontvangen, zonder dat de toegang wordt geblokkeerd. Dit kan nuttig zijn als de volledige uitwerking van een regel niet bekend is. Controleer de logboeken en rapporten enige tijd om te bepalen of u de toegang wilt blokkeren. Uitsluitingen Hiermee wordt de naam van het proces opgegeven dat eigenaar is van het schrijfgeheugen van waaruit de aanroep plaatsvindt. Uitsluitingen met Aanroepmodule of API gelden niet voor Windows Preventie van gegevensuitvoering. Toevoegen Hiermee wordt een proces aan de lijst met uitsluitingen toegevoegd. Voer de naam van het proces of de naam van het proces met het pad in. Uitsluitingen zijn hoofdlettergevoelig en jokertekens zijn niet toegestaan. Dubbelklik op een item Verwijderen Hiermee wordt het geselecteerde item gewijzigd. Hiermee wordt het geselecteerde item verwijderd. Proces Aanroepmodule API Hiermee wordt de naam opgegeven van het proces dat moet worden uitgesloten. Exploitpreventie sluit het proces uit, ongeacht de locatie. Hiermee wordt de naam opgegeven van de module die eigenaar is van het schrijfbare geheugen dat de aanroep doet. Hiermee wordt de API (Application Programming Interface) opgegeven die wordt aangeroepen. Zie ook Configureer instellingen voor Exploitpreventie op pagina 61 McAfee Endpoint Security 10.1 Producthandleiding 141

142 7 Referentie van clientinterface Bedreigingspreventie: Scan bij toegang Bedreigingspreventie: Scan bij toegang De instellingen voor scannen bij toegang inschakelen en configureren. Zie de instellingen voor Gedeelde instellingen: opties op pagina 116 voor configuratie van logboekregistratie. Tabel 7-17 Opties Sectie Optie Definitie SCAN BIJ TOEGANG Scan bij toegang inschakelen Scannen bij toegang inschakelen bij opstarten van systeem Hiermee wordt de functie Scan bij toegang ingeschakeld. Standaard ingeschakeld. Hiermee wordt de functie Scan bij toegang ingeschakeld wanneer u de computer opstart. Standaard ingeschakeld. Maximumaantal seconden opgeven voor elke bestandsscan Opstartsectoren scannen Hiermee wordt elke bestandsscan beperkt tot het opgegeven aantal seconden. Standaard ingeschakeld. Als een scan de tijdslimiet overschrijdt, wordt de scan afgerond en wordt er een bericht in het logboek opgenomen. Hiermee wordt de opstartsector onderzocht. Standaard ingeschakeld. Wanneer een schijf een unieke of abnormale opstartsector heeft die niet kan worden gescand, kunt u het scannen van de opstartsector uitschakelen. Processen scannen bij opstarten van service en update van inhoud Hiermee worden alle processen die momenteel in het geheugen staan, opnieuw gescand wanneer: U scans bij toegang opnieuw inschakelt. Inhoudsbestanden worden bijgewerkt. Het systeem wordt opgestart. Het McShield.exe-proces wordt gestart. Aangezien sommige programma's of uitvoerbare bestanden automatisch van start gaan wanneer u uw systeem start, kunnen de prestaties van uw systeem vertragen en wordt uw systeem mogelijk trager opgestart wanneer u deze optie inschakelt. Standaard uitgeschakeld. Wanneer de scanner bij toegang is ingeschakeld, worden alle processen altijd gescand wanneer ze worden uitgevoerd. Vertrouwde installatieprogramma's scannen Hiermee worden MSI-bestanden (geïnstalleerd door msiexec.exe en ondertekend door McAfee of Microsoft) of servicebestanden van vertrouwde Windows-installatieprogramma's gescand. Standaard uitgeschakeld. Als deze optie is uitgeschakeld, worden de prestaties van installatieprogramma's voor grote Microsoft-toepassingen verbeterd. 142 McAfee Endpoint Security 10.1 Producthandleiding

143 Referentie van clientinterface Bedreigingspreventie: Scan bij toegang 7 Tabel 7-17 Opties (vervolg) Sectie Optie Definitie McAfee GTI Scannen wanneer tussen lokale mappen wordt gekopieerd Hiermee worden bestanden gekopieerd telkens wanneer de gebruiker deze van de ene lokale folder naar de andere kopieert. Wanneer deze optie is: Uitgeschakeld: alleen items in de doelmap worden gescand. Ingeschakeld: items in zowel bronmap (lezen), als doelmap (schrijven) worden gescand. Standaard uitgeschakeld. Raadpleeg McAfee GTI op pagina 152 voor meer informatie. ScriptScan ScriptScan inschakelen Hiermee wordt het scannen van JavaScript- en VBScript-scripts ingeschakeld, zodat ongewenste scripts niet kunnen worden uitgevoerd. Standaard ingeschakeld. Als ScriptScan is uitgeschakeld wanneer Internet Explorer wordt gestart en vervolgens wordt ingeschakeld, worden geen schadelijke scripts in dat exemplaar van Internet Explorer gedetecteerd. Nadat u ScriptScan hebt ingeschakeld, moet u Internet Explorer opnieuw starten zodat schadelijke scripts worden gedetecteerd. Tabel 7-18 Geavanceerde opties Sectie Optie Definitie Gebruikersberichten bij bedreigingsdetectie Het venster Scan bij toegang aan gebruikers tonen wanneer een bedreiging wordt gedetecteerd Hiermee wordt de pagina Scan bij toegang met het opgegeven bericht weergegeven aan clientgebruikers wanneer er een detectie plaatsvindt. Standaard ingeschakeld. Wanneer deze optie is geselecteerd, kunnen gebruikers deze pagina openen vanuit de pagina Nu scannen, telkens wanneer de detectielijst ten minste één bedreiging bevat. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. Procesinstellingen Bericht Standaardinstellingen voor alle processen gebruiken Verschillende instellingen voor processen met Hoog risico en Laag risico configureren Standaard Hiermee wordt het bericht opgegeven dat clientgebruikers zien bij detectie. Het standaardbericht is: McAfee Endpoint Security heeft een bedreiging gedetecteerd. Hiermee worden dezelfde geconfigureerde instellingen toegepast op alle processen tijdens een scan bij toegang. Hiermee worden verschillende scaninstellingen geconfigureerd voor elk procestype dat u configureert. Hiermee worden de instellingen geconfigureerd voor processen die niet als hoog of laag risico zijn geïdentificeerd. Standaard ingeschakeld. McAfee Endpoint Security 10.1 Producthandleiding 143

144 7 Referentie van clientinterface Bedreigingspreventie: Scan bij toegang Tabel 7-18 Geavanceerde opties (vervolg) Sectie Optie Definitie Scannen Hoog risico Laag risico Toevoegen Verwijderen Wanneer scannen Bij schrijven naar schijf Hiermee worden de instellingen geconfigureerd voor processen met een hoog risico. Hiermee worden de instellingen geconfigureerd voor processen met een laag risico. Hiermee wordt een proces aan de lijst Hoog risico of Laag risico toegevoegd. Hiermee wordt een proces van de lijst Hoog risico of Laag risico verwijderd. Hiermee wordt geprobeerd alle bestanden te scannen wanneer deze naar de computer of een ander apparaat voor gegevensopslag worden geschreven of wanneer deze daarop worden gewijzigd. Omdat de scan mogelijk niet lukt als het bestand naar de schijf wordt geschreven, raden wij ten zeerste aan om Bij lezen van schijf in te schakelen. Bij lezen van schijf Hiermee worden alle bestanden gescand wanneer deze vanaf de computer of een ander apparaat voor gegevensopslag worden gelezen. We raden ten sterkste aan om deze optie in te schakelen. Laat McAfee beslissen Niet scannen bij lezen van of schrijven naar schijf Wat scannen Alle bestanden Staat McAfee toe te beslissen of een bestand moet worden gescand. Daarbij wordt vertrouwenslogica gebruikt om het scannen te optimaliseren. Vertrouwenslogica verbetert uw beveiliging en prestaties doordat onnodig scannen wordt vermeden. Hiermee wordt opgegeven dat alleen processen met Laag risico niet hoeven te worden gescand. Scant alle bestanden, ongeacht extensie. We raden ten sterkste aan om Alle bestanden in te schakelen. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen. Opgegeven en standaardbestandstypen Scant: Standaardlijst met bestandsextensies die zijn gedefinieerd in het huidige AMCore-inhoudsbestand, inclusief bestanden zonder extensie Eventuele extra bestandsextensies die u opgeeft Scheid extensies van elkaar met een komma. (Optioneel) Bekende macrobedreigingen in de lijst met standaard en opgegeven bestandsextensies Raadpleeg voor de lijst met standaard bestandstypen voor Macintosh-systemen het KnowledgeBase-artikel KB McAfee Endpoint Security 10.1 Producthandleiding

145 Referentie van clientinterface Bedreigingspreventie: Scan bij toegang 7 Tabel 7-18 Geavanceerde opties (vervolg) Sectie Optie Definitie Alleen opgegeven bestandstypen Scant alleen of allebei: Alleen bestanden met de (door komma's gescheiden) extensies die u specificeert Alle bestanden zonder extensie Op netwerkstations Hiermee worden bronnen op toegewezen netwerkstations gescand. Het scannen van netwerkbronnen kan van invloed zijn op de prestaties. Geopend voor back-ups Scant bestanden wanneer deze worden geopend door back-upsoftware. Voor de meeste omgevingen wordt het afgeraden deze instelling in te schakelen. Gecomprimeerde archiefbestanden Onderzoekt de inhoud van archiefbestanden (gecomprimeerde bestanden), waaronder JAR-bestanden. Aangezien het scannen van gecomprimeerde bestanden een negatieve invloed op systeemprestaties kan hebben, raden we aan om deze optie in scans buiten werkuren te gebruiken. Gecomprimeerde bestanden met MIME-codering Aanvullende scanopties Ongewenste programma's detecteren Detecteert, decodeert en scant bestanden met MIME-codering (Multipurpose Internet Mail Extensions) (Apple Mail-berichten op Macintosh-systemen). Hiermee kan de scanner mogelijk ongewenste programma's detecteren. De scanner maakt gebruik van de informatie die u in de instellingen voor Bedreigingspreventie van Bedreigingspreventie hebt geconfigureerd voor het detecteren van mogelijk ongewenste programma's. Acties Uitsluitingen Onbekende programmabedreigingen detecteren Onbekende macrobedreigingen detecteren Gebruikt McAfee GTI om uitvoerbare bestanden te detecteren die code bevatten die op malware lijkt. Gebruikt McAfee GTI om onbekende macrovirussen te detecteren. Raadpleeg Acties op pagina 153 voor meer informatie. Met deze functie kunt u bestanden, mappen en stations opgeven die u wilt uitsluiten van scanbewerkingen. Raadpleeg Uitsluiting toevoegen of Uitsluiting bewerken op pagina 155 voor meer informatie. Toevoegen Hiermee wordt een item aan de uitsluitingslijst toegevoegd. McAfee Endpoint Security 10.1 Producthandleiding 145

146 7 Referentie van clientinterface Bedreigingspreventie: Scannen op verzoek Tabel 7-18 Geavanceerde opties (vervolg) Sectie Optie Definitie Verwijderen Hiermee wordt een item uit de uitsluitingslijst verwijderd. ScriptScan De volgende URL's uitsluiten Hiermee worden ScriptScan-uitsluitingen per URL opgegeven. Toevoegen: hiermee wordt een URL aan de lijst met uitsluitingen toegevoegd. Verwijderen: hiermee wordt een URL van de lijst met uitsluitingen verwijderd. URL's mogen geen jokertekens bevatten. Een URL die een tekenreeks van een uitgesloten URL bevat, wordt ook uitgesloten. Als de URL msn.com bijvoorbeeld is uitgesloten, zijn de volgende URL's ook uitgesloten: Op Windows Server 2008-systemen werken ScriptScan URL-uitsluitingen niet met Internet Explorer tenzij u browseruitbreidingen van derden inschakelt en het systeem opnieuw opstart. Zie het KnowledgeBase-artikel KB Zie ook Configureer de instellingen voor Scannen bij toegang op pagina 65 McAfee GTI op pagina 152 Acties op pagina 153 Uitsluiting toevoegen of Uitsluiting bewerken op pagina 155 Bedreigingspreventie: Scannen op verzoek Configureer de instellingen van Scannen op verzoek voor de vooraf geconfigureerde een aangepaste scans die op uw systeem worden uitgevoerd. Zie de instellingen voor Gedeelde instellingen: opties op pagina 116 voor configuratie van logboekregistratie. Met deze instellingen wordt de scannerwerking opgegeven wanneer u: Volledige scan of Snelle scan selecteert op de pagina Nu scannen in de Endpoint Security-client. Voer als beheerder een aangepaste scan op verzoek uit vanuit Instellingen Gedeelde instellingen Taken in de Endpoint Security-client. Klik met de rechtermuisknop op een bestand of map en selecteer Scannen op bedreigingen in het pop-upmenu. 146 McAfee Endpoint Security 10.1 Producthandleiding

147 Referentie van clientinterface Bedreigingspreventie: Scannen op verzoek 7 Tabel 7-19 Opties Sectie Optie Definitie Wat scannen Opstartsectoren Hiermee wordt de opstartsector onderzocht. Wanneer een schijf een unieke of abnormale opstartsector heeft die niet kan worden gescand, kunt u het scannen van de opstartsector uitschakelen. Bestanden die zijn gemigreerd naar opslag Gecomprimeerde bestanden met MIME-codering Gecomprimeerde archiefbestanden Scant bestanden die worden beheerd door Externe opslag. Sommige offline oplossingen voor gegevensopslag vervangen bestanden door een stub-bestand. Wanneer de scanner een stub-bestand detecteert, wat aangeeft dat het bestand is gemigreerd, herstelt de scanner het bestand naar het lokale systeem voordat de scan wordt hervat. We raden u aan deze optie uit te schakelen. Detecteert, decodeert en scant bestanden met MIME-codering (Multipurpose Internet Mail Extensions) (Apple Mail-berichten op Macintosh-systemen). Onderzoekt de inhoud van archiefbestanden (gecomprimeerde bestanden), waaronder JAR-bestanden. Aangezien het scannen van gecomprimeerde bestanden een negatieve invloed op systeemprestaties kan hebben, raden we aan om deze optie in scans buiten werkuren te gebruiken. Aanvullende scanopties Scanlocaties Submappen (alleen Rechtermuisknopscan) Ongewenste programma's detecteren Onbekende programmabedreigingen detecteren Onbekende macrobedreigingen detecteren (Alleen Volledige scan en Snelle scan) Onderzoekt alle submappen van de opgegeven map. Hiermee kan de scanner mogelijk ongewenste programma's detecteren. De scanner maakt gebruik van de informatie die u in de instellingen voor Bedreigingspreventie van Bedreigingspreventie hebt geconfigureerd voor het detecteren van mogelijk ongewenste programma's. Gebruikt McAfee GTI om uitvoerbare bestanden te detecteren die code bevatten die op malware lijkt. Gebruikt McAfee GTI om onbekende macrovirussen te detecteren. Raadpleeg Scanlocaties op pagina 150 voor meer informatie. Deze opties zijn alleen van toepassing op Volledige scan, Snelle scan en aangepaste scans. Bestandstypen die moeten worden gescand Alle bestanden Scant alle bestanden, ongeacht extensie. McAfee raadt ten sterkste aan om Alle bestanden in te schakelen. We raden ten sterkste aan om Alle bestanden in te schakelen. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen. McAfee Endpoint Security 10.1 Producthandleiding 147

148 7 Referentie van clientinterface Bedreigingspreventie: Scannen op verzoek Tabel 7-19 Opties (vervolg) Sectie Optie Definitie Opgegeven en standaardbestandstypen Scant: Standaardlijst met bestandsextensies die zijn gedefinieerd in het huidige AMCore-inhoudsbestand, inclusief bestanden zonder extensie Eventuele extra bestandsextensies die u opgeeft Scheid extensies van elkaar met een komma. (Optioneel) Bekende macrobedreigingen in de lijst met standaard en opgegeven bestandsextensies Raadpleeg voor de lijst met standaard bestandstypen voor Macintosh-systemen het KnowledgeBase-artikel KB Alleen opgegeven bestandstypen Scant alleen of allebei: Alleen bestanden met de (door komma's gescheiden) extensies die u specificeert Alle bestanden zonder extensie McAfee GTI Uitsluitingen Raadpleeg McAfee GTI op pagina 152 voor meer informatie. Met deze functie kunt u bestanden, mappen en stations opgeven die u wilt uitsluiten van scanbewerkingen. Raadpleeg Uitsluiting toevoegen of Uitsluiting bewerken op pagina 155 voor meer informatie. Acties Toevoegen Verwijderen Hiermee wordt een item aan de uitsluitingslijst toegevoegd. Hiermee wordt een item uit de uitsluitingslijst verwijderd. Raadpleeg Acties op pagina 153 voor meer informatie. Prestaties De scancache gebruiken Hiermee kan de scanner de bestaande schone scanresultaten gebruiken. Selecteer deze optie om dubbele scans te reduceren en prestaties te verbeteren. Systeemgebruik Hiermee kan het besturingssysteem de hoeveelheid CPU-tijd instellen die beschikbaar wordt gesteld aan de scanner tijdens de scan. Elke taak wordt onafhankelijk uitgevoerd, zonder rekening te houden met de beperkingen voor andere taken. Laag: biedt verbeterde prestaties voor andere actieve toepassingen. Selecteer deze optie voor systemen met activiteit van eindgebruikers. Lager dan normaal: stelt het systeem gebruik voor de scan in op de standaardinstelling van McAfee epo. Normaal (standaard): hiermee kan de scan sneller worden uitgevoerd. Selecteer deze optie voor systemen met grote volumes en weinig activiteit van eindgebruikers. 148 McAfee Endpoint Security 10.1 Producthandleiding

149 Referentie van clientinterface Bedreigingspreventie: Scannen op verzoek 7 Tabel 7-19 Opties (vervolg) Sectie Optie Definitie Opties voor geplande scan Deze opties zijn alleen van toepassing op Volledige scan, Snelle scan en aangepaste scans. Alleen scannen wanneer het systeem niet actief is Voert de scan alleen uit wanneer de gebruiker niet actief is. Bedreigingspreventie pauzeert de scan wanneer de gebruiker het systeem activeert met het toetsenbord of de muis. Bedreigingspreventie hervat de scan wanneer de gebruiker (en CPU) vijf minuten niet actief is. McAfee raadt aan om deze optie alleen uit te schakelen op serversystemen en systemen waartoe gebruikers toegang krijgen via Verbinding met extern bureaublad. Bedreigingspreventie is afhankelijk van McTray om te bepalen of het systeem inactief is. Op systemen die alleen toegankelijk zijn via Verbinding met extern bureaublad, wordt McTray niet gestart en wordt de scan op verzoek nooit uitgevoerd. Gebruikers kunnen dit probleem oplossen door McTray (standaard in C:\Program Files\McAfee \Agent\mctray.exe) handmatig te starten wanneer zij zich aanmelden via Verbinding met extern bureaublad. Op elk moment scannen Niet scannen als het systeem op batterijvermogen draait Voert de scan ook uit als de gebruiker actief is en opties voor de scan opgeeft. Gebruiker kan scan uitstellen: hiermee kan de gebruiker geplande scans uitstellen en opties voor het uitstellen van scans instellen. Maximumaantal keren dat gebruiker per uur kan uitstellen: geeft aan hoe vaak (1-23 keer) de gebruiker de scan één uur kan uitstellen. Gebruikersbericht: geeft het bericht op dat moet worden weergegeven wanneer een scan wordt gestart. Het standaardbericht is: McAfee Endpoint Security staat op het punt uw systeem te scannen. Berichtduur (seconden): geeft aan hoe lang het bericht wordt weergegeven (in seconden) wanneer een scan wordt gestart. Het geldige bereik voor de duur is ; de standaardinstelling is 45 seconden. Niet scannen als het systeem in presentatiemodus staat: hiermee wordt de scan uitgesteld wanneer de presentatiemodus van het systeem actief is. Stelt de scan uit wanneer het systeem op batterijen werkt. McAfee Endpoint Security 10.1 Producthandleiding 149

150 7 Referentie van clientinterface Scanlocaties Zie ook instellingen voor Scan op verzoek configureren op pagina 70 Scantaken configureren, plannen en uitvoeren op pagina 75 Een Volledige scan of Snelle scan uitvoeren op pagina 42 Een bestand of map scannen op pagina 44 Scanlocaties op pagina 150 McAfee GTI op pagina 152 Acties op pagina 153 Uitsluiting toevoegen of Uitsluiting bewerken op pagina 155 Scanlocaties Geef de locaties op die moeten worden gescand. Deze opties zijn alleen van toepassing op Volledige scan, Snelle scan en aangepaste scans. Tabel 7-20 Opties Sectie Optie Definitie Scanlocaties Submappen scannen Onderzoekt alle submappen in de opgegeven volumes wanneer een van de volgende opties is geselecteerd: Basismap Profielmap gebruiker Map Programmabestanden Map Temp Station of map Schakel deze optie uit als u alleen de hoofdmap van de volumes wilt scannen. Locaties opgeven Hiermee worden de locaties opgegeven die moeten worden gescand. Toevoegen Dubbelklik op een item Verwijderen Hiermee wordt een locatie aan de scan toegevoegd. Klik op Toevoegen en selecteer vervolgens de locatie in de vervolgkeuzelijst. Hiermee wordt het geselecteerde item gewijzigd. Hiermee wordt een locatie van de scan verwijderd. Selecteer de locatie en klik op Verwijderen. Geheugen voor rootkits Scant het systeemgeheugen op geïnstalleerde rootkits, verborgen processen en ander gedrag dat kan wijzen op de aanwezigheid van verborgen malware. Deze scan wordt uitgevoerd vóór alle andere scans. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen. 150 McAfee Endpoint Security 10.1 Producthandleiding

151 Referentie van clientinterface Scanlocaties 7 Tabel 7-20 Opties (vervolg) Sectie Optie Definitie Actieve processen Scant het geheugen van alle actieve processen. Andere acties dan Bestanden opschonen worden behandeld als Doorgaan met scannen. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen. Geregistreerde bestanden Deze computer Alle lokale stations Alle vaste stations Alle verwisselbare stations Alle toegewezen stations Basismap Profielmap gebruiker Windows-map Map Programmabestanden Map Temp Prullenbak Bestand of map Scant de bestanden waarnaar het Windows-register verwijst. De scanner zoekt eerst naar bestandsnamen in het register, bepaalt of de bestanden bestaan, maakt een lijst met te scannen bestanden en scant de bestanden vervolgens. Scant alle stations die fysiek zijn verbonden met uw computer of die zijn toegewezen aan een stationsletter op uw computer. Scant alle stations en submappen op uw computer. Scant alle stations die een fysieke verbinding met de computer hebben. Scant alle verwisselbare stations of andere opslagapparatuur die op de computer zijn aangesloten. Scant de netwerkstations die aan een netwerkschijf op uw computer zijn toegewezen. Scant de basismap van de gebruiker die de scan start. Scant het profiel van de gebruiker die de scan start, inclusief de map Mijn documenten van de gebruiker. Scant de inhoud van de Windows-map. Scant de inhoud van de map Program Files. Scant de inhoud van de map Temp. Scant de inhoud van de prullenbak. Scant het opgegeven bestand of de opgegeven map. Zie ook Bedreigingspreventie: Scannen op verzoek op pagina 146 McAfee Endpoint Security 10.1 Producthandleiding 151

152 7 Referentie van clientinterface McAfee GTI McAfee GTI Hiermee worden de McAfee GTI-instellingen ingeschakeld en geconfigureerd. Tabel 7-21 Sectie Optie Definitie McAfee GTI inschakelen Hiermee worden heuristische controles in- en uitgeschakeld. Wanneer de optie is ingeschakeld, worden vingerafdrukken van voorbeelden, of hashes, ingediend bij McAfee Labs om te bepalen of het malware betreft. Door hashes in te dienen is detectie mogelijk eerder beschikbaar dan de volgende uitgave van AMCore-inhoudsbestanden, wanneer McAfee Labs de update publiceert. Wanneer de optie is uitgeschakeld, worden geen vingerafdrukken of gegevens ingediend bij McAfee Labs. Gevoeligheidsniveau Hiermee wordt het gevoeligheidsniveau geconfigureerd dat moet worden gebruikt wanneer wordt vastgesteld of een gedetecteerd voorbeeld malware is. Hoe hoger het gevoeligheidsniveau, hoe hoger het aantal malwaredetecties. Als u meer detecties toestaat, krijgt u echter ook mogelijk meer valse positieve resultaten. Zeer laag Laag Gemiddeld De detecties en het risico op valse positieven zijn hetzelfde als met reguliere AMCore-inhoudsbestanden. Een detectie kan beschikbaar worden gemaakt aan Bedreigingspreventie als deze door McAfee Labs wordt gepubliceerd, in plaats van te wachten op de volgende update van AMCore-inhoudsbestanden. Gebruik deze instelling voor desktops en servers met beperkte gebruikersrechten en een sterke beveiliging. Deze instelling resulteert in gemiddeld query's per dag per computer. Gebruik minimaal deze instelling voor laptops of desktops en servers met een sterke beveiliging. Deze instelling resulteert in gemiddeld query's per dag per computer. Gebruik dit niveau wanneer het gewone risico op blootstelling aan malware groter is dan het risico op een valse positief. De eigen heuristische controle van McAfee Labs leidt tot detecties die waarschijnlijk malware zijn. Sommige detecties kunnen echter een vals positief resultaat opleveren. Met deze instelling controleert McAfee Labs of detecties geen valse positieven veroorzaken bij veelgebruikte toepassingen en besturingssysteembestanden. Gebruik minimaal deze instelling voor laptops of desktops en servers. Deze instelling resulteert in gemiddeld query's per dag per computer. 152 McAfee Endpoint Security 10.1 Producthandleiding

153 Referentie van clientinterface Acties 7 Tabel 7-21 (vervolg) Sectie Optie Definitie Hoog Gebruik deze instelling voor implementatie op systemen of in gebieden die regelmatig worden geïnfecteerd. Deze instelling resulteert in gemiddeld query's per dag per computer. Zeer hoog McAfee raadt aan dit niveau alleen te gebruiken om volumes en directory's te scannen die het uitvoeren van programma's of besturingssystemen niet ondersteunen. Detecties die met dit niveau worden gevonden, worden verondersteld kwaadwillend te zijn, maar zijn niet voldoende getest om te bepalen of het geen valse positieven zijn. Gebruik deze instelling voor scans op verzoek op volumes die niet van het besturingssysteem zijn. Gebruik deze instelling op volumes die niet van het besturingssysteem zijn. Deze instelling resulteert in gemiddeld query's per dag per computer. Zie ook Bedreigingspreventie: Scan bij toegang op pagina 142 Bedreigingspreventie: Scannen op verzoek op pagina 146 Webcontrole Opties op pagina 171 Acties Specificeer hoe de scanner reageert wanneer een bedreiging wordt gedetecteerd. Tabel 7-22 Opties Sectie Optie Definitie Scantype Eerste reactie bij bedreigingsdetectie Toegang tot bestanden weigeren Doorgaan met scannen Bestanden opschonen Bestanden verwijderen Scan bij toegang Scannen op verzoek Hiermee wordt de eerste actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een bedreiging. Hiermee wordt voorkomen dat gebruikers toegang krijgen tot bestanden met potentiële bedreigingen. Hiermee wordt het scannen van bestanden voortgezet wanneer een bedreiging wordt gedetecteerd. De scanner plaatst items niet in quarantaine. Hiermee wordt de bedreiging indien mogelijk uit het gedetecteerde bestand verwijderd. Hiermee worden bestanden met mogelijke bedreigingen verwijderd. McAfee Endpoint Security 10.1 Producthandleiding 153

154 7 Referentie van clientinterface Acties Tabel 7-22 Opties (vervolg) Sectie Optie Definitie Scantype Als eerste reactie mislukt Eerste reactie bij ongewenst programma Toegang tot bestanden weigeren Doorgaan met scannen Bestanden verwijderen Scan bij toegang Scannen op verzoek Hiermee wordt de actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een bedreiging, als de eerste actie mislukt. Hiermee wordt voorkomen dat gebruikers toegang krijgen tot bestanden met potentiële bedreigingen. Hiermee wordt het scannen van bestanden voortgezet wanneer een bedreiging wordt gedetecteerd. De scanner plaatst items niet in quarantaine. Hiermee worden bestanden met mogelijke bedreigingen verwijderd. Hiermee wordt de eerste actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een mogelijk ongewenst programma. Deze optie is alleen beschikbaar als Ongewenste programma's detecteren is geselecteerd. Als eerste reactie mislukt Toegang tot bestanden weigeren Toegang tot bestanden toestaan Doorgaan met scannen Bestanden opschonen Bestanden verwijderen Hiermee wordt voorkomen dat gebruikers toegang krijgen tot bestanden met potentiële bedreigingen. Hiermee krijgen gebruikers toegang tot bestanden met potentiële bedreigingen. Hiermee wordt het scannen van bestanden voortgezet wanneer een bedreiging wordt gedetecteerd. De scanner plaatst items niet in quarantaine. Hiermee wordt de bedreiging indien mogelijk uit het mogelijk ongewenste programma verwijderd. Hiermee worden mogelijk ongewenste programma's verwijderd. Hiermee wordt de actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een mogelijk ongewenst programma en als de eerste actie mislukt. Deze optie is alleen beschikbaar als Ongewenste programma's detecteren is geselecteerd. 154 McAfee Endpoint Security 10.1 Producthandleiding

155 Referentie van clientinterface Uitsluiting toevoegen of Uitsluiting bewerken 7 Tabel 7-22 Opties (vervolg) Sectie Optie Definitie Scantype Scan bij toegang Scannen op verzoek Toegang tot bestanden weigeren Toegang tot bestanden toestaan Doorgaan met scannen Bestanden verwijderen Hiermee wordt voorkomen dat gebruikers toegang krijgen tot bestanden met potentiële bedreigingen. Hiermee krijgen gebruikers toegang tot bestanden met potentiële bedreigingen. Hiermee wordt het scannen van bestanden voortgezet wanneer een bedreiging wordt gedetecteerd. De scanner plaatst items niet in quarantaine. Hiermee worden mogelijk ongewenste programma's automatisch verwijderd. Zie ook Bedreigingspreventie: Scan bij toegang op pagina 142 Bedreigingspreventie: Scannen op verzoek op pagina 146 Uitsluiting toevoegen of Uitsluiting bewerken Een uitsluitingsdefinitie toevoegen of bewerken. Tabel 7-23 Opties Sectie Optie Definitie Scantype Bij toegang Op aanvraag Wat uitsluiten Bestandsnaam of -pad Specificeert het type uitsluiting en de details voor de uitsluiting. Specificeert de bestandsnaam of het bestandspad dat moet worden uitgesloten. Het bestandspad mag jokertekens bevatten. Als u een map op Windows-systemen wilt uitsluiten, voegt u een backslash (\) toe aan het pad. Als u een map op Mac-systemen wilt uitsluiten, voegt u een slash (/) toe aan het pad. Bestandstype Bestandsdatum Selecteer indien nodig Submappen ook uitsluiten. Geeft de bestandstypen (bestandsextensies) op die moeten worden uitgesloten. Specificeert het toegangstype (Gewijzigd, Opgeroepen of Gemaakt) van bestanden die moeten worden uitgesloten, en de Minimumleeftijd in dagen. McAfee Endpoint Security 10.1 Producthandleiding 155

156 7 Referentie van clientinterface Bedreigingspreventie Opties Tabel 7-23 Opties (vervolg) Sectie Optie Definitie Scantype Wanneer uitsluiten Bij schrijven naar schijf of lezen van schijf Bij lezen van schijf Bij schrijven naar schijf Bij toegang Op aanvraag Geeft op wanneer het geselecteerde item moet worden uitgesloten. Hiermee worden bestanden uitgesloten van scans wanneer ze worden geschreven naar of gelezen van schijf of een ander apparaat voor gegevensopslag. Hiermee worden bestanden uitgesloten van scans wanneer ze worden gelezen van de computer of een ander apparaat voor gegevensopslag. Hiermee worden bestanden uitgesloten van scans wanneer ze worden geschreven naar of gewijzigd op de schijf of een ander apparaat voor gegevensopslag. Zie ook Bedreigingspreventie: Scan bij toegang op pagina 142 Bedreigingspreventie: Scannen op verzoek op pagina 146 Jokertekens in uitsluitingen op pagina 51 Uitsluitingen configureren op pagina 50 Bedreigingspreventie Opties Configureer de instellingen die van toepassing zijn op de functie Bedreigingspreventie, waaronder de quarantaine, mogelijk ongewenste programma's en uitsluitingen. Zie de instellingen voor Gedeelde instellingen: opties op pagina 116 voor configuratie van logboekregistratie. Deze sectie bevat alleen Geavanceerde opties. Tabel 7-24 Geavanceerde opties Sectie Optie Definitie Quarantainebeheerder Quarantainemap Hiermee wordt de locatie voor de quarantainemap opgegeven of wordt de standaardlocatie geaccepteerd: c:\quarantaine De quarantainemap is beperkt tot 190 tekens. Geef het maximumaantal dagen op waarvoor quarantainegegevens moeten worden bewaard Hiermee wordt het aantal dagen (1 999) opgegeven waarna items in de quarantaine automatisch worden verwijderd. De standaardinstelling is 30 dagen. 156 McAfee Endpoint Security 10.1 Producthandleiding

157 Referentie van clientinterface Bedreigingspreventie Opties 7 Tabel 7-24 Geavanceerde opties (vervolg) Sectie Optie Definitie Uitsluitingen per detectienaam De volgende detectienamen uitsluiten Hiermee worden detectie-uitsluitingen op naam van de detectie opgegeven. Als u bijvoorbeeld wilt opgeven dat de scanner bij toegang en de scanner op verzoek niet bedreigingen van het type Installatiecontrole moeten detecteren, voert u Installatiecontrole in. Toevoegen: hiermee wordt een detectienaam aan de lijst met uitsluitingen toegevoegd. Klik op Toevoegen en voer vervolgens de detectienaam in. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt een detectienaam van de lijst met uitsluitingen verwijderd. Selecteer de naam en klik vervolgens op Verwijderen. Detecties van mogelijk ongewenste programma's Aangepaste ongewenste programma's uitsluiten Hiermee worden afzonderlijke bestanden of programma's opgegeven die als mogelijk ongewenste programma's moeten worden behandeld. De scanners detecteren de programma's die u opgeeft, evenals de programma's die in de AMCore-inhoudsbestanden zijn opgegeven. De scanner detecteert geen zero-byte door de gebruiker gedefinieerd ongewenst programma. Proactieve gegevensanalyse McAfee GTI-feedback Toevoegen: hiermee wordt een aangepast ongewenst programma gedefinieerd. klik op Toevoegen, voer de naam in en druk vervolgens op Tab om de beschrijving in te voeren. Naam : hiermee wordt de bestandsnaam van het mogelijk ongewenste programma opgegeven. Beschrijving: hiermee wordt de informatie opgegeven die moet worden weergegeven als de detectienaam bij detectie. Dubbelklik op een item Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt een mogelijk ongewenst programma van de lijst verwijderd. Selecteer het programma in de tabel en klik vervolgens op Verwijderen. Hiermee worden anonieme diagnostische en gebruiksgegevens naar McAfee verzonden. Hiermee wordt telemetriefeedback op basis van McAfee GTIingeschakeld waarbij anonieme gegevens worden verzameld over bestanden en processen die worden uitgevoerd op het clientsysteem. McAfee Endpoint Security 10.1 Producthandleiding 157

158 7 Referentie van clientinterface AMCore-inhoud terugzetten Tabel 7-24 Geavanceerde opties (vervolg) Sectie Optie Definitie Veiligheidspuls Hierbij wordt voor en na AMCore-inhoudsbestandsupdates en met regelmatige tussenpozen een statuscontrole uitgevoerd op het clientsysteem, waarvan de resultaten naar McAfee worden gestuurd. De resultaten worden versleuteld en via SSL naar McAfee verzonden. Vervolgens verzamelt en analyseert McAfee de gegevens uit deze rapporten om afwijkingen te identificeren die mogelijk wijzen op problemen die gerelateerd zijn aan de inhoud. Het snel vaststellen van dergelijke problemen is van essentieel belang om ze tijdig te kunnen beperken en corrigeren. Met Veiligheidspuls worden de volgende typen gegevens verzameld: Versie en instelling besturingssysteem McAfee-productversie AMCore-inhoud en engineversie Informatie over processen uitgevoerd door McAfee en Microsoft Reputatie van AMCore-inhoud Hierbij wordt een bestandsreputatiecontrole van McAfee GTI uitgevoerd op het AMCore-inhoudsbestanden voordat het clientsysteem wordt bijgewerkt. Als McAfee GTI het bestand toestaat, werkt Endpoint Security de AMCore-inhoud bij. Als McAfee GTI het bestand niet toestaat, werkt Endpoint Security de AMCore-inhoud niet bij. Zie ook Algemene scaninstellingen configureren op pagina 64 AMCore-inhoud terugzetten Hiermee wordt AMCore-inhoud hersteld naar een eerdere versie. Optie Te laden versie selecteren Definitie Hiermee wordt het versienummer van een eerder AMCore-inhoudsbestand opgegeven dat moet worden geladen. Endpoint Security bewaart de vorige twee versies op het clientsysteem. Wanneer u overschakelt naar een eerdere versie, verwijdert Endpoint Security de huidige versie van AMCore-inhoud van het systeem. Zie ook De AMCore-inhoudsversie wijzigen op pagina McAfee Endpoint Security 10.1 Producthandleiding

159 Referentie van clientinterface Firewall: opties 7 Firewall: opties Hiermee wordt de module Firewall in- en uitgeschakeld en worden beveiligingsopties ingesteld. Zie de instellingen voor Gedeelde instellingen: opties op pagina 116 voor configuratie van logboekregistratie. De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Host Intrusion Prevention 8.0 kan worden geïnstalleerd op hetzelfde systeem als Endpoint Security Als McAfee Host IPS geïnstalleerd en ingeschakeld is, wordt de Endpoint Security-firewall uitgeschakeld, ook al is deze ingeschakeld in de beleidsinstellingen. Tabel 7-25 Opties Sectie Optie Definitie Beveiligingsopties Firewall inschakelen Verkeer voor niet-ondersteunde protocollen toestaan Alleen uitgaand verkeer toestaan totdat firewallservices zijn gestart Hiermee wordt de module Firewall in- en uitgeschakeld. Hiermee wordt alle verkeer toegestaan dat niet-ondersteunde protocollen gebruikt. Als deze optie is uitgeschakeld, wordt alle verkeer dat niet-ondersteunde protocollen gebruikt, geblokkeerd. Hiermee wordt uitgaand verkeer toegestaan, maar geen inkomend verkeer tot de service Firewall start. Als deze optie is uitgeschakeld, staat Firewall al het verkeer toe voordat services zijn gestart. Verkeer via bruggen toestaan Beveiliging tegen IP-spoofing inschakelen Enable dynamic block rules (Dynamische regels voor blokkeren inschakelen) Hiermee wordt verkeer met een MAC-adres in het bereik van ondersteunde VM-software toegestaan dat niet het MAC-adres van het lokale systeem is. Hiermee wordt toegestaan: Inkomende pakketten met het doel-mac-adres. Uitgaande pakketten met het bron-mac-adres. Hiermee wordt netwerkverkeer van niet-lokale host-ip-adressen of van lokale processen die proberen hun IP-adres te vervalsen, geblokkeerd. Hiermee kunnen andere Endpoint Security-modules blokkeringsregels maken en dynamisch toevoegen aan de groep Dynamische regels in de Endpoint Security-client. (Standaard uitgeschakeld) McAfee Endpoint Security 10.1 Producthandleiding 159

160 7 Referentie van clientinterface Firewall: opties Tabel 7-25 Opties (vervolg) Sectie Optie Definitie Waarschuwingen voor firewallinbraak inschakelen Hiermee worden automatisch waarschuwingen weergegeven wanneer Firewall een potentiële aanval detecteert. DNS-blokkering Domeinnaam Hiermee worden de domeinnamen opgegeven die moeten worden geblokkeerd. Indien toegepast voegt deze instelling een regel toe hoog in de firewallregels die verbindingen blokkeert met de IP-adressen die omgezet worden naar de domeinnamen. Toevoegen: hiermee wordt een domeinnaam aan de lijst Geblokkeerd toegevoegd. Scheid meerdere domeinen met een komma (,) of een Enter-teken. U kunt de jokertekens * en? gebruiken. Bijvoorbeeld *domein.com. Dubbele vermeldingen worden automatisch verwijderd. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt de geselecteerde domeinnaam van de lijst Geblokkeerd verwijderd. Tabel 7-26 Geavanceerde opties Sectie Optie Definitie Aanpassingsopties Adaptieve modus inschakelen Hiermee worden automatisch regels gemaakt om verkeer toe te staan. Schakel Adaptieve modus alleen tijdelijk op enkele systemen in bij aanpassen van Firewall. Aangezien het inschakelen van deze modus veel clientregels kan genereren, die de McAfee epo-server moet verwerken, kunnen de prestaties verslechteren. Kernnetwerkregels van McAfee uitschakelen Hiermee worden de ingebouwde netwerkregels van McAfee uitgeschakeld (in de regelgroep Kernnetwerkregels van McAfee). (Standaard uitgeschakeld) Als deze optie wordt ingeschakeld, kan netwerkcommunicatie op de client worden verstoord. Alle geblokkeerde verkeer registreren Alle toegestane verkeer registreren Hiermee wordt al het geblokkeerde verkeer in het Firewall-gebeurtenislogboek (FirewallEventMonitor.log) op de Endpoint Security-client geregistreerd. (Standaard ingeschakeld) Hiermee wordt al het toegestane verkeer in het Firewall-gebeurtenislogboek (FirewallEventMonitor.log) op de Endpoint Security-client geregistreerd. (Standaard uitgeschakeld) Wanneer u deze optie inschakelt, kan dit een negatieve invloed op prestaties hebben. 160 McAfee Endpoint Security 10.1 Producthandleiding

161 Referentie van clientinterface Firewall: opties 7 Tabel 7-26 Geavanceerde opties (vervolg) Sectie Optie Definitie McAfee GTI-netwerkreputatie McAfee GTI-overeenkomst beschouwen als inbraak Behandelt verkeer dat overeenkomt met de McAfee GTI-drempelwaarde voor blokkering als een inbraak. Als u deze optie inschakelt, ziet u een waarschuwing, wordt een gebeurtenis naar de beheerserver gestuurd en wordt de gebeurtenis toegevoegd aan het logboekbestand van de Endpoint Security-client. (Standaard ingeschakeld) Alle IP-adressen voor vertrouwde netwerken worden van McAfee GTI-opzoekacties uitgesloten. Overeenkomend verkeer registreren Behandelt verkeer dat overeenkomt met de McAfee GTI-drempelwaarde voor blokkering als een detectie. Als u deze optie inschakelt, wordt een gebeurtenis naar de beheerserver gestuurd en wordt de gebeurtenis toegevoegd aan het logboekbestand van de Endpoint Security-client. (Standaard ingeschakeld) Alle IP-adressen voor vertrouwde netwerken worden van McAfee GTI-opzoekacties uitgesloten. Stateful Firewall Drempelwaarde voor reputatie van inkomend/ uitgaand netwerk FTP-protocolinspectie gebruiken Hiermee wordt de McAfee GTI-drempelwaarde voor classificatie opgegeven om binnenkomend of uitgaand verkeer van een netwerkverbinding te blokkeren. Niet blokkeren: deze site lijkt een legitieme bron of bestemming van inhoud/verkeer te zijn. Hoog risico: deze bron/bestemming stuurt of host mogelijk schadelijke inhoud/schadelijk verkeer dat door McAfee als riskant wordt beschouwd. Middelhoog risico: deze bron/bestemming laat gedrag zien dat McAfee als verdacht beschouwt. Alle inhoud/ verkeer van de site vereist nader onderzoek. Niet gecontroleerd: deze site lijkt een legitieme bron of bestemming van inhoud/verkeer te zijn, maar heeft ook kenmerken die erop duiden dat verdere controle noodzakelijk is. Hiermee kunnen FTP-verbindingen worden bijgehouden, zodat slechts één firewallregel is vereist voor uitgaand FTP-clientverkeer en binnenkomend FTP-serververkeer. Als de optie niet is geselecteerd, vereisen FTP-verbindingen een afzonderlijke regel voor binnenkomend FTP-clientverkeer en uitgaand FTP-serververkeer. McAfee Endpoint Security 10.1 Producthandleiding 161

162 7 Referentie van clientinterface Firewall: regels Tabel 7-26 Geavanceerde opties (vervolg) Sectie Optie Definitie Aantal seconden (1-240) voordat er een time-out voor de TCP-verbinding optreedt Aantal seconden (1-300) voordat er een time-out voor de virtuele UDP- en ICMP-echoverbindingen optreedt Zie ook Opties van Firewall configureren op pagina 78 Hiermee wordt in seconden opgegeven hoelang een niet-gevestigde TCP-verbinding actief blijft als niet langer pakketten worden verzonden of ontvangen die met de verbinding overeenkomen.. Het geldige bereik is Hiermee wordt in seconden opgegeven hoelang een virtuele UDP- of ICMP-echoverbinding actief blijft als niet langer pakketten worden verzonden of ontvangen die met de verbinding overeenkomen. Deze optie wordt opnieuw ingesteld op de geconfigureerde waarde wanneer een pakket wordt verzonden of ontvangen dat overeenkomt met de virtuele verbinding.. Het geldige bereik is Firewall: regels Beheer firewallregels en -groepen. U kunt regels en groepen alleen in de groep Gebruiker toegevoegd toevoegen en verwijderen. Firewall verplaatst toegevoegde regels automatisch naar deze groep. Tabel 7-27 Opties Sectie Optie Definitie Regel Groep REGELS Regel toevoegen Hiermee wordt een firewallregel gemaakt. Raadpleeg Regel toevoegen of Regel bewerken, Groep toevoegen of Groep bewerken op pagina 163 voor meer informatie. Groep toevoegen Dubbelklik op een item Dupliceren Verwijderen Hiermee wordt een firewallgroep gemaakt. Hiermee wordt het geselecteerde item gewijzigd. Hiermee wordt een kopie van het geselecteerde item gemaakt. Hiermee wordt een geselecteerd firewallitem verwijderd. Hiermee worden elementen aangegeven die in de lijst kunnen worden verplaatst. Selecteer elementen en sleep ze naar de nieuwe locatie. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten. Zie ook Firewall -regels en -groepen maken en beheren op pagina 86 Regel toevoegen of Regel bewerken, Groep toevoegen of Groep bewerken op pagina McAfee Endpoint Security 10.1 Producthandleiding

163 Referentie van clientinterface Firewall: regels 7 Regel toevoegen of Regel bewerken, Groep toevoegen of Groep bewerken Firewallregels en -groepen toevoegen of bewerken. Tabel 7-28 Opties Sectie Optie Definitie Regel Groep Beschrijving Naam Hiermee wordt de beschrijving van het item opgegeven (verplicht). Status Hiermee wordt het item in- of uitgeschakeld. Acties opgeven Toestaan: hiermee wordt verkeer door de firewall toegestaan als het item overeenkomt. Block (Blokkeren): hiermee wordt verkeer door de firewall geblokkeerd als het item overeenkomt. Overeenkomst beschouwen als inbraak: hiermee wordt verkeer dat overeenkomt met de regel als een inbraak beschouwd. Als u deze optie inschakelt, ziet u een waarschuwing, wordt een gebeurtenis naar de beheerserver gestuurd en wordt de gebeurtenis toegevoegd aan het logboekbestand van de Endpoint Security-client. Het wordt afgeraden deze optie in te schakelen voor een Toestaan-regel omdat dit leidt tot veel gebeurtenissen. Locatie Richting Opmerkingen Locatiedetectie inschakelen Naam Overeenkomend verkeer registreren: hiermee wordt verkeer dat overeenkomt met de regel als een detectie behandeld. Als u deze optie inschakelt, wordt een gebeurtenis naar de beheerserver gestuurd en wordt de gebeurtenis toegevoegd aan het logboekbestand van de Endpoint Security-client. Hiermee wordt de richting opgegeven: Beide: bewaakt binnenkomend en uitgaand verkeer. In: bewaakt binnenkomend verkeer. Uit: bewaakt uitgaand verkeer. Meer informatie over het item. Hiermee wordt locatie-informatie voor de groep in- of uitgeschakeld. Hiermee geeft u de naam van de locatie op (vereist). McAfee Endpoint Security 10.1 Producthandleiding 163

164 7 Referentie van clientinterface Firewall: regels Tabel 7-28 Opties (vervolg) Sectie Optie Definitie Regel Groep Verbindingsisolatie inschakelen Hiermee wordt verkeer geblokkeerd op netwerkadapters die niet overeenkomen met de groep, wanneer een adapter aanwezig is die niet overeenkomt met de groep. Instellingen voor Transport en Uitvoerbare bestanden zijn niet beschikbaar voor groepen voor isolatie van verbindingen. Deze optie kan onder andere worden gebruikt om verkeer te blokkeren dat wordt gegenereerd door mogelijk ongewenste bronnen buiten het bedrijfsnetwerk. Zo wordt voorkomen dat dit verkeer het bedrijfsnetwerk binnenkomt. Verkeer kan alleen op deze manier geblokkeerd worden als de groep in de firewall niet voorafgegaan wordt door een regel die het verkeer toestaat. Wanneer isolatie van verbindingen ingeschakeld is en een NIC komt overeen met de groep, wordt verkeer alleen toegestaan wanneer aan een van de volgende voorwaarden wordt voldaan: Verkeer komt overeen met een Toestaan-regel vóór de groep. Verkeer dat over een NIC gaat, komt overeen met de groep en er staat een regel in of onder de groep die het verkeer toestaat. Als er geen NIC met de groep overeenkomt, wordt de groep genegeerd en het overeenstemmen van regels voortgezet. Vereisen dat McAfee epo bereikbaar is Wanneer dit geselecteerd is kan de groep alleen overeenkomsten vinden als communicatie met de McAfee epo-server mogelijk is en de FQDN van de server is omgezet. 164 McAfee Endpoint Security 10.1 Producthandleiding

165 Referentie van clientinterface Firewall: regels 7 Tabel 7-28 Opties (vervolg) Sectie Optie Definitie Regel Groep Locatiecriteria Verbindingsspecifiek DNS-achtervoegsel: hiermee wordt een verbindingsspecifiek DNS-achtervoegsel opgegeven in de indeling: example.com. Standaardgateway: hiermee wordt één IP-adres opgegeven voor een standaardgateway in IPv4- of IPv6-indeling. DHCP-server: hiermee wordt één IP-adres opgegeven voor een DHCP-server in IPv4- of IPv6-indeling. DNS-server: hiermee wordt één IP-adres opgegeven voor een domeinnaamserver in IPv4- of IPv6-indeling. Primaire WINS-server: hiermee wordt één IP-adres opgegeven voor een primaire WINS-server in IPv4- of IPv6-indeling. Secondaire WINS-server: hiermee wordt één IP-adres opgegeven voor een secundaire WINS-server in IPv4- of IPv6-indeling. Domeinbereikbaarheid (HTTPS): hiermee wordt gecontroleerd of het opgegeven domein bereikbaar is via HTTPS. Registersleutel: hiermee worden de registersleutel en sleutelwaarde opgegeven. 1 Klik op Toevoegen. 2 Geef in de kolom Waarde de registersleutel op in de volgende indeling: <ROOT>\<KEY>\[VALUE_NAME] <ROOT>: moet de volledige hoofdnaam gebruiken, zoals HKEY_LOCAL_MACHINE, en niet de afkorting HKLM. <KEY>: de sleutelnaam onder de hoofdnaam. [VALUE_NAME]: is de naam van de sleutelwaarde. Als er geen waardenaam is opgenomen, wordt van de standaardwaarde uitgegaan. Voorbeelden van indelingen: IPv IPv6 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 IPv6-adressen worden niet ondersteund op besturingssystemen van Macintosh. Netwerken Netwerkprotocol Hiermee worden de netwerkhostopties opgegeven die van toepassing zijn op het item. Hiermee wordt het netwerkprotocol opgegeven dat van toepassing is op het item. McAfee Endpoint Security 10.1 Producthandleiding 165

166 7 Referentie van clientinterface Firewall: regels Tabel 7-28 Opties (vervolg) Sectie Optie Definitie Regel Groep Elk protocol Zowel IP- als niet-ip-protocollen zijn toegestaan. Als er een transportprotocol of een toepassing is opgegeven, zijn alleen IP-protocollen toegestaan. IP-protocol Niet-IP-protocol Verbindingstypen Hiermee worden niet-ip-protocollen uitgesloten. IPv4-protocol IPv6-protocol Als geen van beide selectievakjes zijn ingeschakeld, is een willekeurig IP-protocol van toepassing. Zowel IPv4 als IPv6 kunnen worden geselecteerd. Omvat alleen niet-ip-protocollen. Selecteer EtherType in de lijst: hiermee wordt een EtherType opgegeven. Geef aangepast EtherType op: hiermee worden de vier tekens van een hexadecimale EtherType-waarde van het niet-ip-protocol opgegeven. Zie Ethernetnummers voor EtherType-waarden. Typ bijvoorbeeld 809B voor AppleTalk, 8191 voor NetBEUI of 8037 voor IPX. Hiermee wordt aangegeven of een of alle verbindingstypen van toepassing zijn: Bekabeld Draadloos Virtueel Het verbindingstype Virtueel is een adapter die wordt aangeboden door een VPN of een toepassing voor virtuele machines, zoals VMware, in plaats van een fysieke adapter. Netwerken opgeven Hiermee worden de netwerken opgegeven die van toepassing zijn op het item. Toevoegen: hiermee wordt een netwerk gemaakt en toegevoegd. Raadpleeg Pagina Netwerk toevoegen of Netwerk bewerken op pagina 170 voor meer informatie. Dubbelklik op een item Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt het netwerk uit de lijst verwijderd. Transport Hiermee worden de transportopties opgegeven die van toepassing zijn op het item. 166 McAfee Endpoint Security 10.1 Producthandleiding

167 Referentie van clientinterface Firewall: regels 7 Tabel 7-28 Opties (vervolg) Sectie Optie Definitie Regel Groep Transportprotocol Hiermee wordt het transportprotocol opgegeven dat aan het item is gekoppeld. Selecteer het protocol en klik op Toevoegen om poorten toe te voegen. Alle protocollen: hiermee worden IP-, niet-ip- en niet-ondersteunde protocollen toegestaan. TCP en UDPSelecteer in de vervolgkeuzelijst: Lokale poort: hiermee wordt de service of poort van het lokale verkeer opgegeven waarop het item van toepassing is. Externe poort: hiermee wordt de service of poort van het verkeer op een andere computer opgegeven waarop het item van toepassing is. Lokale poort en Externe poort kunnen zijn: Eén service, bijvoorbeeld 23. Een bereik, bijvoorbeeld Een door komma's gescheiden lijst met enkelvoudige poorten en bereiken, Bijvoorbeeld 80, 8080, 1 10, 8443 (tot vier items). Regels zijn standaard van toepassing op alle services en poorten. ICMP: in de vervolgkeuzelijst Type bericht geeft u een ICMP-berichttype op. Zie ICMP. ICMPv6: in de vervolgkeuzelijst Type bericht geeft u een ICMP-berichttype op. Zie ICMPv6. Overige : hiermee selecteert u een optie in een lijst met minder bekende protocollen. Uitvoerbare bestanden Schema Hiermee worden de uitvoerbare bestanden opgegeven die van toepassing zijn op de regel. Toevoegen: hiermee wordt een uitvoerbaar bestand gemaakt en toegevoegd. Raadpleeg Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 169 voor meer informatie. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt een uitvoerbaar bestand uit de lijst verwijderd. Hiermee worden de planningsinstellingen voor de regel of groep gespecificeerd. McAfee Endpoint Security 10.1 Producthandleiding 167

168 7 Referentie van clientinterface Firewall: regels Tabel 7-28 Opties (vervolg) Sectie Optie Definitie Regel Groep Schema inschakelen Hiermee wordt het schema voor de getimede regel of groep ingeschakeld. Wanneer de planning is uitgeschakeld, zijn de regels in de groep niet van toepassing. Begintijd: hiermee wordt de begintijd aangegeven waarop het schema moet worden ingeschakeld. Eindtijd: hiermee wordt het tijdstip aangegeven waarop het schema moet worden uitgeschakeld. Dagen van de week: hiermee worden de dagen van de week aangegeven waarop het schema moet worden geactiveerd. Gebruik een 24-uursnotatie voor de begin- en eindtijd. Bijvoorbeeld 13:00 = 1 uur 's middags U kunt getimede groepen van Firewall plannen of de gebruiker toestaan om deze in te schakelen via het McAfee-systeemvakpictogram. Planning uitschakelen en de groep inschakelen via het McAfee-pictogram in het systeemvak Hiermee wordt opgegeven dat de gebruiker de getimede groep voor een ingesteld aantal minuten kan inschakelen via het McAfee-pictogram in het systeemvak in plaats van het schema te gebruiken. Gebruik deze optie om brede netwerktoegang toe te staan voordat een VPN-verbinding tot stand kan worden gebracht, bijvoorbeeld in een hotel. Als u deze optie selecteert worden meer menu-opties weergegeven onder Snelinstellingen in het McAfee-systeemvakpictogram. Getimede groepen van Firewall inschakelen: hiermee worden getimede groepen gedurende een opgegeven tijd ingeschakeld om toegang tot het internet zonder netwerk toe te staan, voordat regels die de toegang beperken worden toegepast. Telkens als u deze optie selecteert, wordt de tijd voor de groepen opnieuw ingesteld. Getimede groepen van Firewall weergeven: hiermee worden de namen van de getimede groepen weergegeven, evenals de actieve tijd die over is voor elke groep. U kunt getimede groepen van Firewall plannen of de gebruiker toestaan om deze in te schakelen via het McAfee-systeemvakpictogram. Aantal minuten (1-60) om groep in te schakelen Hiermee wordt opgegeven hoeveel minuten (1-60) de getimede groep moet worden ingeschakeld nadat Getimede groepen van Firewall inschakelen is geselecteerd via het McAfee-systeemvakpictogram. 168 McAfee Endpoint Security 10.1 Producthandleiding

169 Referentie van clientinterface Firewall: regels 7 Zie ook Firewall -regels en -groepen maken en beheren op pagina 86 Getimede groepen maken op pagina 89 Getimede groepen van Firewall inschakelen of weergeven op pagina 77 Pagina Netwerk toevoegen of Netwerk bewerken op pagina 170 Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 169 Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken Een uitvoerbaar bestand dat aan een regel of groep is gekoppeld toevoegen en bewerken. Tabel 7-29 Opties Optie Naam Definitie Hiermee wordt de naam opgegeven van het uitvoerbare bestand. Dit veld is verplicht met ten minste één ander veld: Bestandsnaam of -pad, Bestandsbeschrijving, MD5-hash of ondertekenaar. Bestandsnaam of -pad Hiermee wordt de naam of het pad opgegeven van het uitvoerbare bestand dat moet worden toegevoegd of bewerkt. Klik op Bladeren om het uitvoerbare bestand te selecteren. Het bestandspad mag jokertekens bevatten. Bestandsbeschrijving MD5 hash Ondertekenaar Geeft de beschrijving van het bestand aan. Hiermee wordt de MD5-hash (32-cijferige hexadecimale nummer) van het proces aangegeven. Controle op digitale handtekening inschakelen: Hiermee wordt gegarandeerd dat code niet is gewijzigd of beschadigd sinds de code is ondertekend met een cryptografische hash. Als de optie is ingeschakeld, geeft u het volgende op: Elke handtekening toestaan: hiermee worden bestanden toegestaan die zijn ondertekend door een willekeurige procesondertekenaar. Ondertekend door: hiermee worden alleen bestanden toegestaan die zijn ondertekend door de opgegeven procesondertekenaar. Een SDN (Signer Distinguished Name) voor het uitvoerbare bestand is vereist en moet exact overeenkomen met de invoer in het bijbehorende veld, inclusief komma's en spaties. Zo haalt u de SDN van een uitvoerbaar bestand op: 1 Klik met de rechtermuisknop op een uitvoerbaar bestand en selecteer Eigenschappen. 2 Selecteer een ondertekenaar op het tabblad Digitale handtekeningen en klik op Details. 3 Klik op het tabblad Algemeen op Certificaat weergeven. 4 Selecteer op het tabblad Details het veld Onderwerp. De Signer Distinguished Name wordt weergegeven. Firefox heeft bijvoorbeeld de volgende Signer Distinguished Name: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Opmerkingen Meer informatie over het item. McAfee Endpoint Security 10.1 Producthandleiding 169

170 7 Referentie van clientinterface Firewall: regels Pagina Netwerk toevoegen of Netwerk bewerken Hiermee wordt een netwerk toegevoegd of bewerkt dat is gekoppeld aan een regel of groep. Tabel 7-30 Optie Definitie Regel Groep Naam Type Hiermee wordt de naam van het netwerkadres opgegeven (verplicht). Hiermee wordt een van de volgende opties geselecteerd: Lokaal netwerk: hiermee wordt een lokaal netwerk gemaakt en toegevoegd. Extern netwerk: hiermee wordt een extern netwerk gemaakt en toegevoegd. Toevoegen Dubbelklik op een item Verwijderen Adrestype Adres Hiermee wordt een netwerktype aan de netwerklijst toegevoegd. Hiermee wordt het geselecteerde item gewijzigd. Hiermee worden de geselecteerde items verwijderd. Hiermee wordt de afkomst of de bestemming van het verkeer opgegeven. Maak een selectie in de vervolgkeuzelijst Adrestype. Zie Adrestype op pagina 170 voor de lijst met adrestypen. Hiermee worden het IP-adres opgegeven dat aan het netwerk moeten worden toegevoegd. Jokertekens zijn toegestaan. Zie ook Adrestype op pagina 170 Adrestype Specificeer het adrestype voor een gedefinieerd netwerk. IPv6-adressen worden niet ondersteund op besturingssystemen van Macintosh. Tabel 7-31 Opties Optie Eén IP-adres Definitie Hiermee wordt een specifiek IP-adres opgegeven. Bijvoorbeeld: IPv IPv6 2001:db8::c0fa:f340:9219:bd20:9832:0ac7* Subnet Hiermee wordt het subnetadres van een willekeurige adapter op het netwerk opgegeven. Bijvoorbeeld: IPv /24 IPv6 2001:db8::0/32 Lokaal subnet Hiermee wordt het subnetadres van de lokale adapter opgegeven. 170 McAfee Endpoint Security 10.1 Producthandleiding

171 Referentie van clientinterface Webcontrole Opties 7 Tabel 7-31 Opties (vervolg) Optie Bereik Definitie Hiermee wordt een reeks IP-adressen opgegeven. Voer het begin- en eindpunt van het bereik in. Bijvoorbeeld: IPv IPv6 2001:db8::0000:0000:0000: :db8::ffff:ffff:ffff:ffff Fully Qualified Domain Name Elk lokaal IP-adres Elk IPv4-adres Elk IPv6-adres Hiermee wordt de FQDN opgegeven. Bijvoorbeeld Hiermee wordt een willekeurig lokaal IP-adres opgegeven. Hiermee wordt een willekeurig IPv4-adres opgegeven. Hiermee wordt een willekeurig IPv6-adres opgegeven. Webcontrole Opties Configureer algemene instellingen voor Webcontrole, waaronder het inschakelen en opgeven van actiehandhaving, Beveiligd zoeken en annotaties. Zie de instellingen voor Gedeelde instellingen: opties op pagina 116 voor configuratie van logboekregistratie. Tabel 7-32 Opties Sectie Optie Definitie OPTIES Webcontrole inschakelen Hiermee wordt Webcontrole in- of uitgeschakeld. (Standaard ingeschakeld) Logboekregistratie De werkbalk in de clientbrowser verbergen Webcategorieën voor groen geclassificeerde sites registreren Hiermee wordt de werkbalk van Webcontrole in de browser verborgen zonder de functionaliteit uit te schakelen. (Standaard uitgeschakeld) Hiermee worden inhoudscategorieën voor alle groen geclassificeerde sites geregistreerd. Als u deze functie inschakelt, kan dit een negatieve invloed hebben op de prestaties van de McAfee epo-server. Actiehandhaving iframe-gebeurtenissen van Webcontrole registreren Deze actie toepassen op sites die nog niet zijn geverifieerd door McAfee GTI Hiermee wordt geregistreerd wanneer schadelijke sites (rood) en sites met een waarschuwing (geel) die in een HTML iframe worden weergegeven, worden geblokkeerd. Hiermee wordt de standaardactie opgegeven die moet worden toegepast op sites die McAfee GTI nog niet heeft geclassificeerd. Toestaan (standaard): hiermee krijgen gebruikers toestemming om de site op te roepen. Waarschuwen: hiermee wordt een bericht weergegeven om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan de site. Gebruikers moeten de waarschuwing verwijderen voordat ze door kunnen gaan. Blokkeren: hiermee voorkomt u dat gebruikers de site oproepen en wordt een bericht weergegeven dat de download is geblokkeerd. McAfee Endpoint Security 10.1 Producthandleiding 171

172 7 Referentie van clientinterface Webcontrole Opties Tabel 7-32 Opties (vervolg) Sectie Optie Definitie Ondersteuning voor HTML-iFrames inschakelen Sites standaard blokkeren als server met McAfee GTI-classificaties niet bereikbaar is Phishingpagina's voor alle sites blokkeren Scannen van gedownloade bestanden inschakelen Hiermee wordt toegang tot schadelijke sites (Rood) geblokkeerd en wordt gewaarschuwd voor sites (Geel) die in een HTML iframe worden weergegeven. (Standaard ingeschakeld) Hiermee wordt toegang tot websites standaard geblokkeerd als Webcontrole de McAfee GTI-server niet kan bereiken. Hiermee worden alle phishingpagina's geblokkeerd, waarbij inhoudsclassificatieacties worden overschreven. (Standaard ingeschakeld) Hiermee worden alle bestanden (.zip,.exe,.ecx,.cab,.msi,.rar,.scr, en.com) gescand voordat ze worden gedownload. (Standaard ingeschakeld) Deze optie voorkomt dat gebruikers een gedownload bestand openen, tot Webcontrole en Bedreigingspreventie het bestand als schoon markeren. Webcontrole voert een McAfee GTI-zoekactie uit op het bestand. Als McAfee GTI het bestand toestaat, verzendt Webcontrole het bestand naar Bedreigingspreventie om het te laten scannen. Als een gedownload bestand wordt gedetecteerd als bedreiging, voert Endpoint Security een actie uit op het bestand en wordt de gebruiker gewaarschuwd. McAfee GTI-gevoeligheidsniveau Privé-IP-bereik Hiermee wordt het McAfee GTI-gevoeligheidsniveau opgegeven dat moet worden gebruikt door Webcontrole voor het scannen van gedownloade bestanden. Raadpleeg McAfee GTI op pagina 152 voor meer informatie. Hiermee wordt Webcontrole geconfigureerd om niet te classificeren of actie te ondernemen op het opgegeven privé-ip-adresbereik. Toevoegen: hiermee wordt een privé-ip-adres toegevoegd aan de lijst met adressen die moeten worden uitgesloten van classificatie of blokkering. Dubbelklik op een item Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt een privé-ip-adres verwijderd van de lijst met adressen die moeten worden uitgesloten van classificatie of blokkering. Beveiligd zoeken Beveiligd zoeken inschakelen Hiermee wordt Beveiligd zoeken ingeschakeld. Kwaadaardige sites worden automatisch geblokkeerd in zoekresultaten op basis van hun veiligheidsclassificatie. 172 McAfee Endpoint Security 10.1 Producthandleiding

173 Referentie van clientinterface Webcontrole: Inhoudsacties 7 Tabel 7-32 Opties (vervolg) Sectie Optie Definitie De standaardzoekengine in ondersteunde browsers instellen Hiermee wordt de standaardzoekengine opgegeven die in ondersteunde browsers moet worden gebruikt: Yahoo Google Bing Ask Koppelingen naar riskante sites in zoekresultaten blokkeren Hiermee wordt voorkomen dat gebruikers op koppelingen naar riskante sites in zoekresultaten klikken. Tabel 7-33 Geavanceerde opties Sectie Optie Definitie Aantekeningen bij s Aantekeningen in browsermail inschakelen Aantekeningen in niet-browsermail inschakelen Zie ook Webcontrole-opties configureren op pagina 98 Hoe bestandsdownloads worden gescand op pagina 100 McAfee GTI op pagina 152 Hiermee krijgen URL's annotaties in browsermailclients, zoals Yahoo Mail en Gmail. Hiermee krijgen URL's annotaties in 32-bits beheerprogramma's, zoals Microsoft Outlook of Outlook Express. Webcontrole: Inhoudsacties Acties definiëren die moeten worden uitgevoerd voor geclassificeerde sites en webinhoudscategorieën. Voor sites en bestandsdownloads in de niet-geblokkeerde categorieën past Webcontrole de classificatieacties toe. McAfee Endpoint Security 10.1 Producthandleiding 173

174 7 Referentie van clientinterface Webcontrole: Inhoudsacties Tabel 7-35 Opties Sectie Optie Definitie Classificatieacties Classificatieacties voor sites Hiermee worden acties opgegeven voor sites die een rode of gele, of geen classificatie hebben. Groen geclassificeerde sites en downloads worden automatisch toegestaan. Toestaan: hiermee krijgen gebruikers toestemming om de site op te roepen. (Standaardinstelling voor Niet-geclassificeerde sites) Waarschuwen: hiermee wordt een bericht weergegeven om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan de site. Gebruikers moeten klikken op Annuleren om terug te keren naar de eerder weergegeven site of op Doorgaan om door te gaan naar de site. Als het browsertabblad geen eerder weergegeven website bevat, is Annuleren niet beschikbaar. (Standaardinstelling voor Gele sites) Blokkeren: hiermee wordt voorkomen dat gebruikers de site oproepen en wordt een bericht weergegeven dat de site is geblokkeerd. Gebruikers moeten klikken op OK om terug te keren naar de eerder weergegeven site. Als het browsertabblad geen eerder weergegeven site bevat, is OK niet beschikbaar. (Standaardinstelling voor Rode sites) Classificatieacties voor bestandsdownloads Hiermee worden acties opgegeven voor bestandsdownloads die een rode of gele, of geen classificatie hebben. Deze Classificatieacties zijn alleen van toepassing wanneer Scannen van gedownloade bestanden inschakelen is geactiveerd in Opties.instellingen. Toestaan: hiermee staat u gebruikers toe de download voort te zetten. (Standaardinstelling voor Niet-geclassificeerde sites) Waarschuwen: hiermee geeft u een bericht weer om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan het downloadbestand. Gebruikers moeten de waarschuwing verwijderen voor ze de download kunnen beëindigen of voortzetten. (Standaardinstelling voor Gele sites) Blokkeren: hiermee wordt een bericht weergegeven dat de download geblokkeerd is en wordt voorkomen dat gebruikers het bestand downloaden. (Standaardinstelling voor Rode sites) Gebruik instellingen in Handhavingsbericht om het bericht aan te passen. 174 McAfee Endpoint Security 10.1 Producthandleiding

175 Referentie van clientinterface Bedreigingsinformatie: opties 7 Tabel 7-36 Geavanceerde opties Sectie Optie Definitie Webcategorie blokkeren Blokkering van webcategorie inschakelen Blokkeren Webcategorie Hiermee wordt het blokkeren van sites ingeschakeld op basis van inhoudscategorie. Hiermee wordt voorkomen dat gebruikers sites van deze categorie oproepen en wordt een bericht weergegeven dat de site is geblokkeerd. Hiermee worden de webcategorieën weergegeven. Zie ook Classificatieacties opgeven en sitetoegang blokkeren op basis van webcategorie op pagina 101 Veiligheidsclassificaties gebruiken voor toegangscontrole op pagina 102 Webcategorieën gebruiken om toegang te beheren op pagina 101 Bedreigingsinformatie: opties Instellingen configureren voor Bedreigingsinformatie. Bedreigingsinformatie wordt alleen ondersteund op systemen in beheer van McAfee epo. Tabel 7-37 Opties Sectie Optie Definitie Opties Bedreigingsinformatie inschakelen Toestaan dat de server van Bedreigingsinformatie anonieme diagnostische en gebruiksgegevens verzamelt McAfee GTI-bestandsreputatie gebruiken als de server van Bedreigingsinformatie niet bereikbaar is Prevent users from changing settings (Voorkomen dat gebruikers instellingen wijzigen) (alleen Bedreigingsinformatie 1.0-clients) Hiermee wordt de module Bedreigingsinformatie ingeschakeld. Hiermee wordt toegestaan dat de Bedreigingsinformatie-server anonieme bestandsinformatie verstuurt naar McAfee. Hiermee wordt informatie over bestandsreputatie van de Global Threat Intelligence-proxy verkregen als de Bedreigingsinformatie-server niet beschikbaar is. Hiermee wordt voorkomen dat gebruikers op beheerde eindpuntsystemen de instellingen voor Bedreigingsinformatie wijzigen. Regeltoewijzing Productiviteit Hiermee wordt de regelgroep Productiviteit toegewezen aan het beleid. Gebruik deze groep voor systemen met frequente wijzigingen en veelvuldige software-installaties en -updates. Deze groep gebruikt het laagste aantal regels. Gebruikers ontvangen een minimumaantal prompts en blokkeringen bij detectie van nieuwe bestanden. McAfee Endpoint Security 10.1 Producthandleiding 175

176 7 Referentie van clientinterface Bedreigingsinformatie: opties Tabel 7-37 Opties (vervolg) Sectie Optie Definitie Evenwichtig Hiermee wordt de regelgroep Evenwichtig toegewezen aan het beleid. Gebruik de regelgroep Evenwichtig voor gangbare bedrijfssystemen met weinig nieuwe software en wijzigingen. Deze groep gebruikt meer regels en gebruikers ontvangen meer prompts en blokkeringen dan de groep Productiviteit. Beveiliging Hiermee wordt de regelgroep Beveiliging toegewezen aan het beleid. Gebruik deze groep voor systemen met weinig wijzigingen, zoals IT-beheerde systemen en servers met strikte controle. Gebruikers ontvangen meer prompts en blokkeringen dan bij de groep Evenwichtig. Actiehandhaving Waarnemingsmodus inschakelen Blokkeren bij volgende reputatiedrempel Hierbij worden gegevens verzameld en naar de server verzonden, maar wordt het beleid niet gehandhaafd. Met deze optie kunt u zien wat het resultaat van het beleid is, zonder dat het wordt uitgevoerd. Hiermee worden bestanden geblokkeerd wanneer de bestandsreputatie een bepaalde drempelwaarde bereikt, en wordt de drempelwaarde gespecificeerd: Is schadelijk Hoogstwaarschijnlijk schadelijk Mogelijk schadelijk (standaard) Onbekend Mogelijk vertrouwd Hoogstwaarschijnlijk vertrouwd Wanneer een bestand met deze reputatie probeert te openen in uw omgeving wordt de uitvoering ervan verhinderd, maar blijft het op zijn plaats. Als een bestand veilig is en u het wilt uitvoeren, kunt u de reputatie wijzigen naar een niveau dat de uitvoering van het bestand toestaat, zoals Hoogstwaarschijnlijk vertrouwd. Opschonen bij volgende reputatiedrempel Hiermee worden bestanden opgeschoond wanneer de bestandsreputatie een bepaalde drempelwaarde bereikt, en wordt de drempelwaarde gespecificeerd: Is schadelijk (standaard) Hoogstwaarschijnlijk schadelijk Mogelijk schadelijk Onbekend Gebruik deze optie voor bestanden met de reputatie Is schadelijk, want een bestand wordt mogelijk verwijderd bij het opschonen. 176 McAfee Endpoint Security 10.1 Producthandleiding