Producthandleiding. McAfee Endpoint Security 10

Transcriptie

1 Producthandleiding McAfee Endpoint Security 10

2 COPYRIGHT Copyright 2014 McAfee, Inc. Kopiëren zonder toestemming is verboden. HANDELSMERKEN McAfee, het McAfee logo, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure zijn handelsmerken of gedeponeerde handelsmerken van McAfee, Inc. of haar dochterondernemingen in de VS en andere landen. Andere namen en merken kunnen eigendom van anderen zijn. De product- en functienamen en beschrijvingen kunnen zonder kennisgeving worden gewijzigd. Ga naar mcafee.com voor de recentste producten en functies. LICENTIE-INFORMATIE Licentieovereenkomst KENNISGEVING VOOR ALLE GEBRUIKERS: LEES DE JURIDISCHE OVEREENKOMST DIE BIJ DE DOOR U GEKOCHTE LICENTIE HOORT ZORGVULDIG DOOR. DEZE OVEREENKOMST BETREFT DE ALGEMENE VOORWAARDEN EN BEPALINGEN VOOR HET GEBRUIK VAN DE SOFTWARE ONDER DEZE LICENTIE. ALS U NIET WEET WELK TYPE LICENTIE U HEBT AANGESCHAFT, RAADPLEEGT U DE VERKOOPOVEREENKOMST OF ANDERE DOCUMENTEN DIE BIJ DE SOFTWARE ZIJN GELEVERD OF DIE U AFZONDERLIJK HEBT ONTVANGEN BIJ DE AANKOOP. (DIT KUNNEN DOCUMENTEN ZIJN IN DE VORM VAN EEN BOEKJE, EEN BESTAND OP DE CD VAN HET PRODUCT OF EEN BESTAND OP DE WEBSITE VANWAAR U HET SOFTWAREPAKKET HEBT GEDOWNLOAD.) INDIEN U NIET INSTEMT MET EEN OF MEERDERE BEPALINGEN VAN DEZE OVEREENKOMST, MAG U DE SOFTWARE NIET INSTALLEREN. INDIEN VAN TOEPASSING, KUNT U HET PRODUCT TERUGSTUREN NAAR MCAFEE OF TERUGBRENGEN NAAR DE PLAATS WAAR U DIT HEBT AANGESCHAFT, WAARNA HET VOLLEDIGE AANKOOPBEDRAG ZAL WORDEN GERESTITUEERD. 2 McAfee Endpoint Security 10 Producthandleiding

3 Inhoud McAfee Endpoint Security 5 1 Inleiding 7 Endpoint Security-modules Hoe Endpoint Security uw computer beveiligt Hoe uw beveiliging up-to-date blijft Werken met Endpoint Security Het McAfee-systeemvakpictogram Meldingen De Endpoint Security Client De Endpoint Security Client gebruiken 17 De Endpoint Security Client openen Help-informatie Reageren op prompts Reageren op een prompt van een bedreigingsdetectie Reageren op een scanprompt Informatie over uw beveiliging verkrijgen Beheertypen Beveiliging en software handmatig bijwerken Het Gebeurtenislogboek Logboekbestanden Endpoint Security beheren Aanmelden als beheerder De clientinterface ontgrendelen Functies uit- en inschakelen De AMCore-inhoudsversie wijzigen Extra.DAT-bestanden gebruiken Algemene instellingen configureren Threat Prevention Gebruiken 35 Uw computer scannen op malware Typen scans Een Volledige scan of Snelle scan uitvoeren Een bestand of map scannen Bedreigingsdetecties beheren Items in quarantaine beheren Namen gedetecteerde items Threat Prevention beheren Items uitsluiten van scans Mogelijk ongewenste programma's detecteren Configureer instellingen voor Toegangsbeveiliging Configureer instellingen voor Exploitpreventie Configureer de instellingen voor Scannen bij toegang Configureer instellingen voor Scannen op aanvraag McAfee Endpoint Security 10 Producthandleiding 3

4 Inhoud De taken Volledige scan en Snelle scan plannen Algemene scaninstellingen configureren De Firewall gebruiken 63 Hoe de Firewall werkt Firewall beheren Firewall-opties wijzigen Firewall-regels en -groepen beheren Web Control gebruiken 77 Functies van Web Control Web Control-knop geeft bedreigingen tijdens het surfen weer Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken Siterapporten bieden informatie Hoe veiligheidsclassificaties worden samengesteld Web Control-functies gebruiken Functies oproepen tijdens surfen Siterapport weergeven tijdens zoeken Siterapporten weergeven Communicatieproblemen oplossen Web Control beheren Web Control-opties configureren Classificatieacties opgeven en sitetoegang blokkeren op basis van webcategorie Index McAfee Endpoint Security 10 Producthandleiding

5 McAfee Endpoint Security McAfee Endpoint Security is een uitgebreide beveiligingsbeheeroplossing voor netwerkcomputers waarmee bedreigingen automatisch worden geïdentificeerd en gestopt. In deze Help wordt toegelicht hoe u eenvoudige beveiligingsfuncties kunt gebruiken en problemen kunt oplossen. Aan de slag Endpoint Security-modules op pagina 7 Hoe Endpoint Security uw computer beveiligt op pagina 8 Werken met Endpoint Security op pagina 9 Vaak uitgevoerde taken De Endpoint Security Client openen op pagina 17 Beveiliging en software handmatig bijwerken op pagina 20 Uw computer scannen op malware op pagina 35 De clientinterface ontgrendelen op pagina 25 Meer informatie Meer informatie over dit product vindt u hier: McAfee Endpoint Security Installatiehandleiding Endpoint Security Firewall Help McAfee Endpoint Security Versie-informatie Endpoint Security Web Control Help Endpoint Security Threat Prevention Help Ondersteuning van McAfee McAfee Endpoint Security 10 Producthandleiding 5

6 McAfee Endpoint Security 6 McAfee Endpoint Security 10 Producthandleiding

7 1 1 Inleiding Endpoint Security is een uitgebreide beveiligingsbeheeroplossing voor netwerkcomputers waarmee bedreigingen automatisch worden geïdentificeerd en gestopt. In deze Help wordt toegelicht hoe u eenvoudige beveiligingsfuncties kunt gebruiken en problemen kunt oplossen. Als uw computer wordt beheerd, wordt de set-up en configuratie van Endpoint Security uitgevoerd door een beheerder via een van deze beheerservers: McAfee epolicy Orchestrator (McAfee epo ) McAfee epolicy Orchestrator Cloud (McAfee epo Cloud) McAfee SecurityCenter Hebt u een computer in eigen beheer, dan wordt de configuratie van de software via de Endpoint Security Client uitgevoerd door u (of uw beheerder). Inhoud Endpoint Security-modules Hoe Endpoint Security uw computer beveiligt Werken met Endpoint Security Endpoint Security-modules De beheerder configureert en installeert een of meer Endpoint Security-modules op clientcomputers. Threat Prevention : hiermee wordt gecontroleerd op virussen, spyware, ongewenste programma's en andere bedreigingen door middel van automatische scans wanneer u een item opent of op aanvraag op een ander gewenst moment. Firewall : hiermee wordt de communicatie tussen de computer en resources op het netwerk en internet gecontroleerd. Verdachte communicatie wordt onderschept. Web Control : hiermee worden veiligheidsclassificaties en -rapporten voor websites weergegeven tijdens online surfen en zoeken. Met Web Control kan de sitebeheerder toegang tot websites blokkeren op basis van veiligheidsclassificatie of inhoud. Bovendien biedt de module Common instellingen voor algemene functies, zoals interfacebeveiliging en registreren in logboek. Deze module wordt automatisch geïnstalleerd als er een andere module wordt geïnstalleerd. McAfee Endpoint Security 10 Producthandleiding 7

8 1 Inleiding Hoe Endpoint Security uw computer beveiligt Hoe Endpoint Security uw computer beveiligt Een beheerder stelt gewoonlijk Endpoint Security in, installeert de software op clientcomputers, controleert de beveiligingsstatus en stelt beveiligingsregels (een beleid) in. Als gebruiker van een clientcomputer verloopt uw interactie met Endpoint Security via clientsoftware die op uw computer is geïnstalleerd. Het beleid dat door de beheerder is ingesteld, bepaalt hoe de modules en functies op uw computer werken en of u ze kunt aanpassen. Als Endpoint Security in eigen beheer is, kunt u opgeven hoe de modules en functies werken. Bekijk de pagina Info om het beheertype te bepalen. Met regelmatige tussenpozen wordt door de clientsoftware op uw computer verbinding gemaakt met een internetsite om de softwareonderdelen bij te werken. Tegelijkertijd worden gegevens over detecties op uw computer naar de beheerserver verzonden. Met deze gegevens worden rapporten voor de beheerder gegenereerd over detecties en beveiligingsproblemen op uw computer. Normaal gesproken werkt de clientsoftware op de achtergrond bij en is er geen interactie van uw kant vereist. Soms is er echter wel interactie nodig. U wilt bijvoorbeeld controleren of er software-updates zijn of handmatig een malwarescan uitvoeren. Afhankelijk van het beleid dat de beheerder heeft ingesteld, kunt u mogelijk ook de beveiligingsinstellingen aanpassen. Als u beheerder bent, kunt u de clientsoftware centraal beheren en configureren met McAfee epo, McAfee epo Cloud of SecurityCenter. Informatie over uw beveiliging verkrijgen op pagina 19 Hoe uw beveiliging up-to-date blijft Dankzij geregelde updates van Endpoint Security wordt uw computer altijd beveiligd tegen de nieuwste bedreigingen. Bij het uitvoeren van updates maakt de clientsoftware verbinding met een lokale of externe McAfee epo-server of rechtstreeks met een site op internet. Endpoint Security controleer op het volgende: Updates voor de inhoudsbestanden die worden gebruikt voor het detecteren van bedreigingen. In inhoudsbestanden zijn definities opgenomen voor bedreigingen zoals virussen en spyware, en deze definities worden bijgewerkt zodra zich nieuwe bedreigingen voordoen. Upgrades voor softwareonderdelen, zoals patches en hotfixes. Op systemen in eigen beheer werkt de taak Standaard clientupdate alle inhoud en software bij. Op beheerde systemen werkt deze taak alleen de inhoud bij. Ter vereenvoudiging van terminologie wordt de term updates in deze Help gebruikt voor updates en upgrades. Updates worden meestal automatisch op de achtergrond uitgevoerd. Wellicht moet u tevens handmatig controleren of er updates zijn. Afhankelijk van uw instellingen kunt u uw bescherming handmatig bijwerken vanuit de Endpoint Security Client door op te klikken. Beveiliging en software handmatig bijwerken op pagina 20 8 McAfee Endpoint Security 10 Producthandleiding

9 Inleiding Werken met Endpoint Security 1 Hoe inhoudsbestanden werken Wanneer de scanengine bestanden doorzoekt op bedreigingen, wordt de inhoud van de gescande bestanden vergeleken met gegevens van bekende bedreigingen in de AMCore-inhoudsbestanden. Exploitpreventie gebruikt eigen inhoudsbestanden om te beschermen tegen exploits. AMCore-inhoud McAfee Labs vindt informatie over bekende bedreigingen (handtekeningen) en voegt deze toe aan de inhoudsbestanden. Naast handtekeningen bevatten inhoudsbestanden informatie over het verwijderen en oplossen van schade die het gedetecteerde virus kan veroorzaken. Als de handtekening van een virus zich niet in een van de geïnstalleerde inhoudsbestanden bevindt, kan de scanengine dat virus niet detecteren en verwijderen. Er duiken regelmatig nieuwe bedreigingen op. McAfee Labs brengt bijna elke dag rond uur (GMT) updates en nieuwe inhoudsbestanden uit, waarin de resultaten van het voortdurende onderzoek met betrekking tot bedreigingen zijn verwerkt. Endpoint Security slaat het huidig geladen inhoudsbestand en de eerdere twee versies op in de Program Files\Common Files\McAfee\Engine\content-map op. Indien vereist kunt u naar een eerdere versie terugkeren. Als nieuwe malware wordt ontdekt en extra detectie is vereist buiten het gewone inhoudsupdateschema om, brengtmcafee Labs een Extra.DAT-bestand uit. Inhoud van Exploitpreventie De inhoud van Exploitpreventie bestaat uit: Handtekeningen voor geheugenbeveiliging: generieke bufferoverloopbeveiliging en Kevlar. Lijst met beveiligde toepassingen: processen die worden beschermd door Exploitpreventie. McAfee geeft maandelijks nieuwe Exploitpreventie-inhoudsbestanden uit. Werken met Endpoint Security Endpoint Security heeft visuele onderdelen voor het werken met de Endpoint Security Client. Het McAfee-pictogram in het Windows-systeemvak: hiermee kunt u de Endpoint Security Client starten en de beveiligingsstatus weergeven. Meldingen: stellen u op de hoogte van scan- en firewallinbraakdetecties en vragen u om invoer. De pagina Scan bij toegang: hiermee wordt de lijst met bedreigingsdetecties weergegeven wanneer de scanner bij toegang een bedreiging detecteert. Endpoint Security Client: geeft de huidige beveiligingsstatus weer en biedt toegang tot functies. Voor beheerde systemen configureert de beheerder beleidsregels die worden toegewezen om op te geven welke onderdelen worden weergegeven. Het McAfee-systeemvakpictogram op pagina 10 Meldingen op pagina 10 Bedreigingsdetecties beheren op pagina 39 De Endpoint Security Client op pagina 11 McAfee Endpoint Security 10 Producthandleiding 9

10 1 Inleiding Werken met Endpoint Security Het McAfee-systeemvakpictogram Het McAfee-pictogram in het Windows-systeemvak biedt toegang tot de Endpoint Security Client. Het McAfee-pictogram is mogelijk niet beschikbaar, afhankelijk van hoe de instellingen zijn geconfigureerd. Gebruik het systeemvakpictogram om het volgende te doen: De beveiligingsstatus controleren: klik met de rechtermuisknop op het pictogram en selecteer Beveiligingsstatus bekijken om de pagina McAfee-beveiligingsstatus weer te geven. Endpoint Security Client openen: klik met de rechtermuisknop op het pictogram en selecteer McAfee Endpoint Security. Hoe het pictogram de status van Endpoint Security aanduidt De weergave van het pictogram duidt de status van Endpoint Security aan. Houd de aanwijzer boven het pictogram om een bericht weer te geven waarin de status wordt beschreven. Pictogram Betekenis... Endpoint Security beschermt uw systeem en er zijn geen problemen. Endpoint Security detecteert een probleem met uw beveiliging, bijvoorbeeld een module of technologie is uitgeschakeld. Firewall is uitgeschakeld. Threat Prevention: Exploitpreventie, Scan bij toegang of ScriptScan is uitgeschakeld. Endpoint Security rapporteert problemen anders, afhankelijk van het beheertype. Eigen beheer Beheerd Een of meer technologieën zijn uitgeschakeld. Een of meer technologieën zijn handmatig uitgeschakeld, niet als resultaat van beleidshandhaving door de beheerserver. Bij detectie van een probleem wordt op de pagina McAfee-beveiligingsstatus aangegeven welke module of technologie is uitgeschakeld. Meldingen Endpoint Security gebruikt twee typen berichten om u op de hoogte te stellen over problemen met uw bescherming of om invoer te vragen. Sommige berichten worden mogelijk niet weergegeven, afhankelijk van hoe de instellingen zijn geconfigureerd. Endpoint Security verzendt twee typen meldingen: Waarschuwingen verschijnen vijf seconden lang via het McAfee-pictogram en verdwijnen vervolgens weer. Waarschuwingen stellen u op de hoogte van dreigingsdetecties, zoals Firewall-inbraken of wanneer een scan op aanvraag wordt gepauzeerd of hervat. U hoeft geen actie te ondernemen. Prompts openen een pagina onder aan uw scherm en blijven zichtbaar tot u een optie selecteert. Bijvoorbeeld: Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, vraagt Endpoint Security u mogelijk om de scan uit te stellen. Wanneer de scan bij toegang een bedreiging detecteert, vraagt Endpoint Security u misschien om op de detectie te reageren. 10 McAfee Endpoint Security 10 Producthandleiding

11 Inleiding Werken met Endpoint Security 1 In de Metromodus van Windows 8 worden pop-upmeldingen in de rechterbovenhoek van het scherm weergegeven om u op de hoogte te stellen van waarschuwingen en prompts. Klik op de pop-upmelding om de melding in Bureaubladmodus weer te geven. Het proces McTray.exe moet voor Endpoint Security worden uitgevoerd om waarschuwingen en prompts weer te geven. Reageren op een prompt van een bedreigingsdetectie op pagina 18 Reageren op een scanprompt op pagina 19 De Endpoint Security Client Met de Endpoint Security Client kunt u de beveiligingsstatus van uw computer controleren en functies gebruiken. Opties in het menu Actie bieden toegang tot functies. Instellingen Extra.DAT laden AMCore-inhoud terugzetten Help Ondersteuningskoppelingen Aanmelden als beheerder Info Afsluiten Hiermee worden instellingen van functies geconfigureerd. Deze menuoptie is beschikbaar als aan een van de volgende voorwaarden is voldaan: De Clientinterfacemodus is ingesteld op Volledige toegang. U bent aangemeld als beheerder. Hiermee kunt u een gedownload Extra.DAT-bestand installeren. Hiermee wordt AMCore-inhoud hersteld naar een eerdere versie. Deze menuoptie is beschikbaar als er een eerdere versie van AMCore-inhoud op het systeem staat en aan een van de volgende voorwaarden wordt voldaan: De Clientinterfacemodus is ingesteld op Volledige toegang. U bent aangemeld als beheerder. Hiermee wordt de Help weergegeven. Hiermee wordt een pagina weergegeven met koppelingen naar nuttige pagina's, zoals de McAfee ServicePortal en het Kenniscentrum. Hiermee wordt u aangemeld als sitebeheerder. (Hiervoor zijn beheerdersrechten vereist.) Het standaardwachtwoord is mcafee. Deze menuoptie is beschikbaar als de Clientinterfacemodus niet is ingesteld op Volledige toegang. Als u al bent aangemeld als beheerder, is deze optie Afmelden als beheerder. Hiermee wordt informatie over Endpoint Security weergegeven. Hiermee wordt de Endpoint Security Client afgesloten. McAfee Endpoint Security 10 Producthandleiding 11

12 1 Inleiding Werken met Endpoint Security Knoppen rechtsboven aan de pagina bieden snel toegang tot veelgebruikte taken. Hiermee wordt op malware gecontroleerd met een Volledige scan of Snelle scan van uw systeem. Deze knop is alleen beschikbaar als de module Threat Prevention is geïnstalleerd. Hiermee worden inhoudsbestanden en softwareonderdelen op uw computer bijgewerkt. Deze knop wordt mogelijk niet weergegeven, afhankelijk van hoe de instellingen zijn geconfigureerd. Knoppen aan de linkerkant van de pagina bieden informatie over uw beveiliging. Status Gebeurtenislogboek Quarantaine Hiermee keert u terug naar de hoofdpagina Status. Hiermee wordt het logboek van alle beveiligings- en bedreigingsgebeurtenissen op deze computer weergegeven. Hiermee wordt de Quarantine Manager geopend. Deze knop is alleen beschikbaar als de module Threat Prevention is geïnstalleerd. Het Bedreigingsoverzicht biedt u informatie over bedreigingen die Endpoint Security in de afgelopen 30 dagen op uw systeem heeft gedecteerd. Een Extra.DAT-bestand op pagina 27 Aanmelden als beheerder op pagina 24 Uw computer scannen op malware op pagina 35 Beveiliging en software handmatig bijwerken op pagina 20 Het Gebeurtenislogboek op pagina 21 Items in quarantaine beheren op pagina 39 Endpoint Security beheren op pagina 24 Het Bedreigingsoverzicht op pagina 12 Het Bedreigingsoverzicht De pagina Endpoint Security Client Status biedt een realtime-overzicht van bedreigingen die in de afgelopen 30 dagen op uw systeem zijn gedetecteerd. Wannneer nieuwe bedreigingen worden gedetecteerd, werkt de pagina Status de gegevens in het gedeelte Bedreigingsoverzicht in het onderste venster dynamisch bij. 12 McAfee Endpoint Security 10 Producthandleiding

13 Inleiding Werken met Endpoint Security 1 Het Bedreigingsoverzicht bevat: Datum van de bedreiging die het laatst is geëlimineerd Belangrijkste twee bedreigingsvectoren op categorie: Web Extern toestel of externe media Netwerk Lokaal systeem Bestanden delen Expresbericht Onbekend Aantal bedreigingen per bedreigingsvector Bedreigingen van webpagina's of downloads. Bedreigingen van externe apparaten, zoals USB, 1394 firewire, esata, tape, cd, dvd of schijf. Bedreigingen van het netwerk (niet van bestandsdeling via netwerk). Bedreigingen van het lokale station met opstartbestanden (meestal C:) of stations anders dan Extern toestel of externe media. Bedreigingen van bestandsdeling via netwerk. Bedreigingen van berichten. Bedreigingen van expresberichten. Bedreigingen waarbij aanvalsvector niet is vastgesteld (vanwege foutconditie of andere fout). Als de Endpoint Security Client de Event Manager niet kan bereiken, geeft Endpoint Security Client een communicatiefoutbericht weer. In dit geval start u uw systeem opnieuw op om het Bedreigingsoverzicht weer te geven. Het effect van instellingen op uw toegang tot de client Clientinterfacemodus-instellingen die aan uw computer zijn toegewezen, bepalen tot welke modules en functies u toegang hebt. Wijzig de Clientinterfacemodus in de Common-instellingen. Voor beheerde systemen kunnen beleidswijzigingen van McAfee epo, McAfee epo Cloud of de SecurityCenter wijzigingen overschrijven van de pagina Instellingen. De opties van de Clientinterfacemodus voor de client zijn: McAfee Endpoint Security 10 Producthandleiding 13

14 1 Inleiding Werken met Endpoint Security Volledige toegang Standaardtoegang Clientinterface vergrendelen Hiermee wordt toegang tot alle functies ingeschakeld, waaronder: Afzonderlijke modules en functies in- en uitschakelen. De pagina Instellingen oproepen om alle instellingen voor de Endpoint Security Client weer te geven of te wijzigen. Dit is de standaardinstelling voor systemen in eigen beheer. Hiermee wordt de beveiligingsstatus weergegeven en is toegang tot de meeste functies toegestaan: De inhoudsbestanden en softwareonderdelen op uw computer bijwerken (indien ingeschakeld door de beheerder). Een grondige controle van alle gebieden van uw systeem uitvoeren, aanbevolen als u denkt dat uw systeem is geïnfecteerd. Gebieden van uw systeem die het meest vatbaar zijn voor infectie snel scannen (2 minuten). Het Gebeurtenislogboek oproepen. Items in de quarantaine beheren. Deze modus is de standaardinstelling voor beheerde systemen. Via de interfacemodus Standaardtoegang kunt u zich aanmelden als beheerder om toegang te krijgen tot alle functies, waaronder alle instellingen. Er is een wachtwoord vereist voor toegang tot de client. Het standaardwachtwoord is mcafee. Wanneer u de clientinterface hebt ontgrendeld, hebt u toegang tot alle functies. Neem contact op met uw beheerder als u geen toegang hebt tot de Endpoint Security Client of specifieke taken en functies die u nodig hebt voor uw werk. Instellingen voor de beveiliging van de clientinterface configureren op pagina 29 Hoe geïnstalleerde modules de client beïnvloeden Bepaalde aspecten van de client zijn mogelijk niet beschikbaar, afhankelijk van de geïnstalleerde modules op uw computer. Deze functies zijn alleen beschikbaar als Threat Prevention geïnstalleerd is: knop Knop Quarantaine 14 McAfee Endpoint Security 10 Producthandleiding

15 Inleiding Werken met Endpoint Security 1 De functies die op het systeem zijn geïnstalleerd, bepalen welke functies worden weergegeven: In de vervolgkeuzelijst Gebeurtenislogboek Filteren op module. Op de pagina Instellingen. Common Threat Prevention Firewall Web Control Wordt weergegeven als een module is geïnstalleerd. Wordt alleen weergegeven als Threat Prevention is geïnstalleerd. Wordt alleen weergegeven als Firewall is geïnstalleerd. Wordt alleen weergegeven als Web Control is geïnstalleerd. Afhankelijk van de Clientinterfacemodus en hoe de beheerder uw toegang heeft geconfigureerd, zijn enkele of al deze functies mogelijk niet beschikbaar. Het effect van instellingen op uw toegang tot de client op pagina 13 McAfee Endpoint Security 10 Producthandleiding 15

16 1 Inleiding Werken met Endpoint Security 16 McAfee Endpoint Security 10 Producthandleiding

17 2 De 2 Endpoint Security Client gebruiken Gebruik de client in de modus Standaardtoegang om de meeste functies uit te voeren, zoals systeemscans en beheer van items in quarantaine. Inhoud De Endpoint Security Client openen Help-informatie Reageren op prompts Informatie over uw beveiliging verkrijgen Beveiliging en software handmatig bijwerken Het Gebeurtenislogboek Endpoint Security beheren De Endpoint Security Client openen Open de Endpoint Security Client om de status van de beveiligingsfuncties die op de computer zijn geïnstalleerd, weer te geven. Als de interfacemodus is ingesteld op Clientinterface vergrendelen, moet u het beheerderswachtwoord invoeren om de Endpoint Security Client te openen. Procedure 1 U geeft de Endpoint Security Client op een van de volgende manieren weer: Klik met de rechtermuisknop op het pictogram in het systeemvak en selecteer McAfee Endpoint Security. Selecteren Start Alle programma's McAfee McAfee Endpoint Security. Start de McAfee Endpoint Security-app op Windows 8. 1 Druk op de Windows-toets om het startscherm weer te geven. 2 Voer McAfee Endpoint Security in en dubbelklik op de McAfee Endpoint Security-app of raak de app aan. 2 Indien u daarom gevraagd wordt, voert u het beheerderswachtwoord op de pagina Aanmelden als beheerder in en klikt u op Aanmelden. Endpoint Security Client wordt geopend in de interfacemodus die de beheerder heeft geconfigureerd. De clientinterface ontgrendelen op pagina 25 McAfee Endpoint Security 10 Producthandleiding 17

18 2 De Endpoint Security Client gebruiken Help-informatie Help-informatie U kunt op twee manieren hulp verkrijgen wanneer u in de client werkt: de menuoptie Help en het pictogram?. Procedure 1 Open de Endpoint Security Client. 2 Afhankelijk van de pagina waarop u zich bevindt: De pagina's Status, Gebeurtenislogboek en Quarantaine: selecteer in het menu Actie de optie Help. De pagina's Instellingen, Update, Systeem scannen, AMCore-inhoud terugzetten en Extra.DAT laden: klik op? in de interface. Reageren op prompts Afhankelijk van hoe instellingen zijn geconfigureerd, vraagt Endpoint Security u mogelijk om invoer wanneer een geplande scan op aanvraag op het punt staat om te starten. Taken Reageren op een prompt van een bedreigingsdetectie op pagina 18 Wanneer de scanner een bedreiging detecteert, vraagt Endpoint Security u misschien om invoer om door te gaan, afhankelijk van hoe de instellingen zijn geconfigureerd. Reageren op een scanprompt op pagina 19 Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, vraagt Endpoint Security u mogelijk om invoer om verder te gaan. De prompt wordt alleen weergegeven als de scan zo is geconfigureerd dat u de scan kunt uitstellen, onderbreken, hervatten of annuleren. Reageren op een prompt van een bedreigingsdetectie Wanneer de scanner een bedreiging detecteert, vraagt Endpoint Security u misschien om invoer om door te gaan, afhankelijk van hoe de instellingen zijn geconfigureerd. In de Metromodus van Windows 8 worden pop-upmeldingen in de rechterbovenhoek van het scherm weergegeven om u op de hoogte te stellen van bedreigingsdetecties. Klik op de pop-upmelding om de prompt in Bureaubladmodus weer te geven. Procedure Klik voor optiedefinities op? in de interface. Selecteer op de pagina Scan bij toegang opties om bedreigingsdetecties te beheren. U kunt de scanpagina op elk moment opnieuw openen om detecties te beheren. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. Bedreigingsdetecties beheren op pagina McAfee Endpoint Security 10 Producthandleiding

19 De Endpoint Security Client gebruiken Informatie over uw beveiliging verkrijgen 2 Reageren op een scanprompt Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, vraagt Endpoint Security u mogelijk om invoer om verder te gaan. De prompt wordt alleen weergegeven als de scan zo is geconfigureerd dat u de scan kunt uitstellen, onderbreken, hervatten of annuleren. Als u geen optie selecteert, gaat de scan automatisch van start. (Alleen beheerde systemen) Als de scan is geconfigureerd om de scan alleen uit te voeren wanneer de computer niet actief is, geeft Endpoint Security een dialoogvenster weer wanneer de scan wordt onderbroken. Als deze optie is geconfigureerd, kunt u deze onderbroken scans ook hervatten of opnieuw instellen zodat ze alleen worden uitgevoerd wanneer u niet actief bent. In de Metromodus van Windows 8 worden pop-upmeldingen in de rechterbovenhoek van het scherm weergegeven om u om invoer te vragen. Klik op de pop-upmelding om de prompt in Bureaubladmodus weer te geven. Procedure Klik voor optiedefinities op? in de interface. Selecteer een van de volgende opties bij de prompt. Welke opties worden weergegeven, is afhankelijk van hoe de scan is geconfigureerd. Nu scannen Scan weergeven Scan onderbreken Scan hervatten Scan annuleren Scan uitstellen Hiermee wordt de scan onmiddellijk gestart. Hiermee worden detecties weergegeven voor een scan die wordt uitgevoerd. Hiermee wordt de scan gepauzeerd. Afhankelijk van de configuratie wordt de scan, wanneer u op Scan onderbreken klikt, misschien opnieuw ingesteld om alleen te worden uitgevoerd wanneer u niet actief bent. Klik op Scan hervatten om de scan te hervatten op het punt waarop de scan werd onderbroken. Hiermee wordt een onderbroken scan hervat. Hiermee wordt de scan geannuleerd. Hiermee wordt de scan met het opgegeven aantal uur vertraagd. Opties voor geplande scans bepalen hoe vaak u de scan met één uur kunt uitstellen. U kunt de scan misschien meer dan een keer uitstellen. Sluiten Hiermee wordt de scanpagina gesloten. Wanneer de scanner een bedreiging detecteert, vraagt Endpoint Security u misschien om invoer om door te gaan, afhankelijk van hoe de instellingen zijn geconfigureerd. Reageren op een prompt van een bedreigingsdetectie op pagina 18 Informatie over uw beveiliging verkrijgen U kunt informatie verkrijgen over Endpoint Security-bescherming, waaronder beheertype, beveiligingsmodules, functies, status, versienummers en licenties. Procedure 1 Open de Endpoint Security Client. 2 Selecteer in het menu Actie de optie Info. McAfee Endpoint Security 10 Producthandleiding 19

20 2 De Endpoint Security Client gebruiken Beveiliging en software handmatig bijwerken 3 Klik op de naam van een module of functie aan de linkerkant om naar informatie over dat item te springen. 4 Klik op de knop Sluiten van de browser om de pagina Info te sluiten. Beheertypen op pagina 20 De Endpoint Security Client openen op pagina 17 Beheertypen Het beheertype geeft aan hoe Endpoint Security wordt beheerd. Voor beheerde systemen kunnen beleidswijzigingen van McAfee epo, McAfee epo Cloud of de SecurityCenter wijzigingen overschrijven van de pagina Instellingen. Beheertype McAfee epolicy Orchestrator McAfee epolicy Orchestrator Cloud McAfee SecurityCenter Eigen beheer Beschrijving Een beheerder beheert Endpoint Security via McAfee epo (op locatie). Een beheerder beheert Endpoint Security via McAfee epo Cloud. Een beheerder beheert Endpoint Security via SecurityCenter. Endpoint Security wordt lokaal beheerd via Endpoint Security Client. Deze modus wordt ook onbeheerd of zelfstandig genoemd. Beveiliging en software handmatig bijwerken Afhankelijk van uw instellingen, kunt u handmatig op updates voor inhoudsbestanden en softwareonderdelen controleren en deze downloaden op uw computer. Als niet in de client wordt weergegeven, kunt u de optie in de instellingen inschakelen. Raadpleeg Updategedrag van configureren op pagina 31 voor meer informatie. Handmatige updates staan bekend als updates op aanvraag. Op systemen in eigen beheer werkt de taak Standaard clientupdate alle inhoud en software bij. Op beheerde systemen werkt deze taak alleen de inhoud bij. Klik voor optiedefinities op? in de interface. Procedure 1 Open de Endpoint Security Client. 2 Klik op. Endpoint Security Client controleert op updates. Klik op Annuleren om de update te annuleren. Deze optie is alleen beschikbaar op systemen in eigen beheer en in beheer van McAfee epo. 20 McAfee Endpoint Security 10 Producthandleiding

21 De Endpoint Security Client gebruiken Het Gebeurtenislogboek 2 Als uw systeem up-to-date is, wordt Geen updates beschikbaar en de datum en tijd van de laatste update op de pagina weergegeven. Als de update goed wordt voltooid, worden de huidige datum en tijd voor de laatste update weergegeven. Berichten of fouten worden in het gedeelte Berichten weergegeven. Bekijk het PackageManager_Activity.log of PackageManager_Debug.log voor meer informatie. 3 Klik op Sluiten om de pagina Bijwerken te sluiten. Hoe uw beveiliging up-to-date blijft op pagina 8 Logboekbestanden op pagina 22 De Endpoint Security Client openen op pagina 17 Updategedrag van configureren op pagina 31 Het Gebeurtenislogboek In de activiteits- en foutopsporingslogboeken wordt bijgehouden welke gebeurtenissen plaatsvinden op uw met McAfee beveiligde systeem. U kunt het Gebeurtenislogboek bekijken via de Endpoint Security Client. Selecteer in het menu Actie de optie Help voor hulp. Procedure 1 Open de Endpoint Security Client. 2 Klik op Gebeurtenislogboek aan de linkerkant van de pagina. Op de pagina staan gebeurtenissen die Endpoint Security de afgelopen 30 dagen op uw systeem heeft geregistreerd. Als de Endpoint Security Client de Event Manager niet kan bereiken, wordt een communicatiefoutbericht weergegeven. In dit geval start u uw systeem opnieuw op om het Gebeurtenislogboek weer te geven. 3 Selecteer een gebeurtenis in het bovenste deelvenster om de details in het onderste deelvenster weer te geven. Als u de relatieve grootte van de deelvensters wilt wijzigen, klikt u op het raamwidget en versleept u dit tussen de deelvensters. McAfee Endpoint Security 10 Producthandleiding 21

22 2 De Endpoint Security Client gebruiken Het Gebeurtenislogboek 4 Op de pagina Gebeurtenislogboek kunt u gebeurtenissen sorteren, doorzoeken, filteren of opnieuw laden. Welke opties worden weergegeven, zijn afhankelijk van hoe de scan is geconfigureerd. Gebeurtenissen op datum, functies, uitgevoerde actie en ernst sorteren Zoeken in het gebeurtenislogboek Gebeurtenissen op ernstigheidsgraad of module filteren De weergave van het Gebeurtenislogboek vernieuwen met gegevens van nieuwe gebeurtenissen De map met de logboekbestanden openen Klik op de tabelkolomkop. Voer de zoektekst in het veld Zoeken in en druk op Enter of klik op Zoeken. De zoekopdracht is niet hoofdlettergevoelig en doorzoekt alle velden van het gebeurtenislogboek op de zoektekst. In de gebeurtenislijst ziet u alle elementen met de overeenkomende tekst. Als u de zoekopdracht wilt annuleren en alle gebeurtenissen wilt weergeven, klikt u op x in het veld Zoeken. Selecteer een optie in de filtervervolgkeuzelijst. Selecteer Alle gebeurtenissen weergeven in de vervolgkeuzelijst. Klik op. Klik op Map met logboeken weergeven. 5 Navigeer door het Gebeurtenislogboek. De vorige pagina met gebeurtenissen weergeven De volgende pagina met gebeurtenissen weergeven Een specifieke pagina in het logboek weergeven Klik op Vorige pagina. Klik op Volgende pagina. Voer een paginanummer in en druk op Enter of klik op OK. Het Gebeurtenislogboek geeft standaard 20 gebeurtenissen per pagina weer. Selecteer een optie in de vervolgkeuzelijst Gebeurtenissen per pagina om meer gebeurtenissen per pagina weer te geven. Logboekbestanden op pagina 22 De Endpoint Security Client openen op pagina 17 Logboekbestanden In de activiteits-, fout- en foutopsporingslogboeken wordt bijgehouden welke gebeurtenissen plaatsvinden op systemen waarop Endpoint Security is ingeschakeld. U configureert registratie in de instellingen van Common. Logboekbestanden worden altijd weergegeven in de taal die in de standaardlandinstellingen van het systeem is opgegeven. Alle activiteits- en foutopsporingslogboeken worden op een van de volgende standaardlocaties opgeslagen, afhankelijk van het besturingssysteem. 22 McAfee Endpoint Security 10 Producthandleiding

23 De Endpoint Security Client gebruiken Het Gebeurtenislogboek 2 Besturingssysteem Standaardlocatie Microsoft Windows 8.1 (blauw) %ProgramData%\McAfee\Endpoint Security\Logs Microsoft Windows 8 %ProgramData%\McAfee\Endpoint Security\Installer\Logs Microsoft Windows 7 Microsoft Vista Microsoft Windows P C:\Documents and Settings\All Users\Application Data\McAfee \Endpoint Security\Logs De map McAfee\Endpoint Security\Logs onder de map Application Data Elke module, functie of technologie plaatst activiteits- of foutopsporingsregistratie in een apart bestand. Alle modules plaatsen foutregistratie in één EndpointSecurityPlatform_Errors.log. Wanneer u foutregistratie voor een willekeurige module inschakelt, wordt ook foutregistratie voor de functies van de Common-module ingeschakeld, zoals Zelfbeveiliging. Tabel 2-1 Logboekbestanden Module Functie of technologie Bestandsnaam Common EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log Zelfbeveiliging SelfProtection_Activity.log SelfProtection_Debug.log Updates PackageManager_Activity.log PackageManager_Debug.log Fouten EndpointSecurityPlatform_Errors.log Threat Prevention Wanneer u foutregistratie voor een willekeurige Threat Prevention-technologie inschakelt, wordt ook foutregistratie voor de Endpoint Security Client ingeschakeld. ThreatPrevention_Activity.log ThreatPrevention_Debug.log Firewall Toegangsbeveiliging Exploitpreventie Scanner bij toegang Scanner op verzoek Snelle scan Volledige scan Rechtermuisknopscan Endpoint Security Client AccessProtection_Activity.log AccessProtection_Debug.log ExploitPrevention_Activity.log ExploitPrevention_Debug.log OnAccessScan_Activity.log OnAccessScan_Debug.log OnDemandScan_Activity.log OnDemandScan_Debug.log MFEConsole_Debug.log Firewall_Activity.log Firewall_Debug.log McAfee Endpoint Security 10 Producthandleiding 23

24 2 De Endpoint Security Client gebruiken Endpoint Security beheren Tabel 2-1 Logboekbestanden (vervolg) Module Functie of technologie Bestandsnaam FirewallEventMonitor.log Registreert geblokkeerde en toegestane verkeersgebeurtenissen, indien geconfigureerd. Web Control WebControl_Activity.log WebControl_Debug.log Endpoint Security beheren Als beheerder kunt u Endpoint Security beheren via de Endpoint Security Client. U kunt hier functies in- en uitschakelen, inhoudsbestanden beheren, opgeven hoe de clientinterface werkt en Common-instellingen configureren. Voor beheerde systemen kunnen beleidswijzigingen van McAfee epo, McAfee epo Cloud of de SecurityCenter wijzigingen overschrijven van de pagina Instellingen. Aanmelden als beheerder op pagina 24 De clientinterface ontgrendelen op pagina 25 Functies uit- en inschakelen op pagina 25 De AMCore-inhoudsversie wijzigen op pagina 26 Extra.DAT-bestanden gebruiken op pagina 26 Algemene instellingen configureren op pagina 27 Aanmelden als beheerder Als de interfacemodus voor Endpoint Security Client is ingesteld op Standaardtoegang, kunt u zich aanmelden als beheerder om toegang te krijgen tot alle instellingen. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Standaardtoegang. Selecteer in het menu Actie de optie Help voor hulp. Procedure 1 Open de Endpoint Security Client. 2 Selecteer Aanmelden als beheerder in het menu Actie. 3 Voer in het veld Wachtwoord het beheerderswachtwoord in en klik op Aanmelden. U hebt nu toegang tot alle functies van de Endpoint Security Client. Als u zich wilt afmelden, selecteert u Actie Afmelden als beheerder. De client keert terug naar de interfacemodus Standaardtoegang. 24 McAfee Endpoint Security 10 Producthandleiding

25 De Endpoint Security Client gebruiken Endpoint Security beheren 2 De clientinterface ontgrendelen Als de interface voor Endpoint Security Client is vergrendeld, ontgrendelt u deze met het beheerderswachtwoord om toegang te krijgen tot alle instellingen. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Clientinterface vergrendelen. Procedure 1 Open de Endpoint Security Client. 2 Voer op de pagina Aanmelden als beheerder het beheerderswachtwoord in het veld Wachtwoord in en klik op Aanmelden. Endpoint Security Client wordt geopend, en u hebt toegang tot alle functies van de client. Wilt u zich afmelden en de client sluiten, dan selecteert u in het menu Actie de optie Afmelden als beheerder. Functies uit- en inschakelen Als beheerder kunt u Endpoint Security-functies uit- en inschakelen via de Endpoint Security Client. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Op de pagina Status wordt de ingeschakelde status van de module of functie weergegeven. Dit is misschien niet de werkelijke status van de functie. U kunt de status van elke functie op de pagina Instellingen zien. Als de instelling ScriptScan inschakelen bijvoorbeeld niet goed wordt toegepast, is de status mogelijk (Status:uitgeschakeld). Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op de modulenaam (zoals Threat Prevention of Firewall) op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op de modulenaam op de pagina Instellingen. 3 Schakel de optie Module of Functie inschakelen in of uit. Wanneer u een van de Threat Prevention-functies inschakelt, wordt de Threat Prevention-module ingeschakeld. Aanmelden als beheerder op pagina 24 McAfee Endpoint Security 10 Producthandleiding 25

26 2 De Endpoint Security Client gebruiken Endpoint Security beheren De AMCore-inhoudsversie wijzigen Gebruik Endpoint Security Client om de versie van AMCore-inhoud op uw systeem te wijzigen. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Endpoint Security slaat het huidig geladen inhoudsbestand en de eerdere twee versies op in de Program Files\Common Files\McAfee\Engine\content-map op. Indien vereist kunt u naar een eerdere versie terugkeren. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Selecteer in het menu Actie de optie AMCore-inhoud terugzetten. 3 Selecteer in de vervolgkeuzelijst de versie die moet worden geladen. 4 Klik op Toepassen. De detecties in het geladen AMCore-inhoudsbestand worden onmiddellijk geïmplementeerd. Hoe inhoudsbestanden werken op pagina 9 Aanmelden als beheerder op pagina 24 Extra.DAT-bestanden gebruiken U kunt een Extra.DAT-bestand installeren om uw systeem te beschermen tegen een grote malware-uitbraak tot de volgende geplande update van AMCore-inhoud wordt uitgegeven. Taken Extra.DAT-bestanden downloaden op pagina 27 Als u een Extra.DAT-bestand wilt downloaden, klikt u op de downloadkoppeling die u van McAfee Labs hebt ontvangen. Een Extra.DAT-bestand op pagina 27 Gebruik Endpoint Security Client om het gedownloade Extra.DAT-bestand te installeren. Extra.DAT-bestanden op pagina 26 Extra.DAT-bestanden Als nieuwe malware wordt ontdekt en extra detectie is vereist, brengt McAfee Labs een Extra.DAT-bestand uit. Extra.DAT-bestanden bevatten informatie die Threat Prevention gebruikt voor verwerking van de nieuwe malware. U kunt Extra.DAT-bestanden voor specifieke bedreigingen downloaden via de McAfee Labs Extra.DAT-aanvraagpagina. Threat Prevention ondersteunt alleen het gebruik van één Extra.DAT-bestand. 26 McAfee Endpoint Security 10 Producthandleiding

27 De Endpoint Security Client gebruiken Endpoint Security beheren 2 In elk Extra.DAT-bestand is een vervaldatum ingebouwd. Wanneer het Extra.DAT-bestand is geladen, wordt deze vervaldatum vergeleken met de build-datum van de AMCore-inhoud die op het systeem is geïnstalleerd. Als de build-datum van de AMCore-inhoudset later is dan de vervaldatum van Extra.DAT, wordt Extra.DAT beschouwd als verlopen en niet langer geladen en gebruikt door de engine. Bij de volgende update wordt de Extra.DAT uit het systeem verwijderd. Als de volgende update van AMCore-inhoud de Extra.DAT-handtekening bevat, wordt de Extra.DAT verwijderd. Endpoint Security slaat Extra.DAT-bestanden op in de map c:\program Files\Common Files\McAfee \Engine\content\avengine\extradat. Extra.DAT-bestanden downloaden Als u een Extra.DAT-bestand wilt downloaden, klikt u op de downloadkoppeling die u van McAfee Labs hebt ontvangen. Procedure 1 Klik op de downloadkoppeling, geef een locatie op waar het Extra.DAT-bestand moet worden opgeslagen, en klik op Opslaan. 2 Indien nodig pakt u het ETRA.ZIP-bestand uit. 3 Laad het Extra.DAT-bestand met Endpoint Security Client. Een Extra.DAT-bestand Gebruik Endpoint Security Client om het gedownloade Extra.DAT-bestand te installeren. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Selecteer in het menu Actie de optie Extra.DAT laden. 3 Klik op Bladeren, ga naar de locatie waar u het Extra.DAT-bestand hebt gedownload en klik op Openen. 4 Klik op Toepassen. De nieuwe detecties in de Extra.DAT worden onmiddellijk geïmplementeerd.. Aanmelden als beheerder op pagina 24 Algemene instellingen configureren Configureer instellingen die van toepassing zijn op alle modules en functies van Endpoint Security in de module Common. Deze instellingen bestaan onder meer uit Endpoint Security McAfee Endpoint Security 10 Producthandleiding 27

28 2 De Endpoint Security Client gebruiken Endpoint Security beheren Client-interfacebeveiliging en taalinstellingen, registratie, proxyserverinstellingen voor McAfee GTI en updateconfiguratie. Taken Endpoint Security-bronnen beveiligen op pagina 28 Tijdens een aanval probeert malware als eerste de beveiligingssoftware van uw systeem uit te schakelen. Configureer Zelfbeveiliging voor Endpoint Security in de instellingen van Common om te voorkomen dat Endpoint Security-services en -bestanden gestopt of gewijzigd worden. Registratie-instellingen configureren op pagina 29 Configureer Endpoint Security-registratie in de instellingen van Common. Instellingen voor de beveiliging van de clientinterface configureren op pagina 29 Configureer het interfacewachtwoord en de weergaveopties voor Endpoint Security Client in de instellingen van Common. Proxyserverinstellingen configureren voor McAfee GTI op pagina 30 Geef proxyserveropties op om McAfee GTI-reputatie op te halen in de instellingen van Common. Updategedrag van configureren op pagina 31 Geef het gedrag op voor updates die worden gestart via de Endpoint Security Client in de instellingen van Common. Bronsites configureren voor clientupdates op pagina 32 Voor systemen in eigen beheer kunt u de sites configureren waarvan Endpoint Security Client bijgewerkte beveiligingsbestanden ontvangt in de instellingen van Common. De taak Standaard clientupdate plannen op pagina 33 U kunt de taak Standaard clientupdate wijzigen of plannen vanuit de Endpoint Security Client in de instellingen van Common. Endpoint Security-bronnen beveiligen Tijdens een aanval probeert malware als eerste de beveiligingssoftware van uw systeem uit te schakelen. Configureer Zelfbeveiliging voor Endpoint Security in de instellingen van Common om te voorkomen dat Endpoint Security-services en -bestanden gestopt of gewijzigd worden. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Het zou nooit nodig moeten zijn voor gebruikers, beheerders, ontwikkelaars of beveiligingsprofessionals om de Endpoint Security-beveiliging op hun systemen uit te schakelen. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Controleer via Zelfbeveiliging of Zelfbeveiliging is ingeschakeld. 28 McAfee Endpoint Security 10 Producthandleiding

29 De Endpoint Security Client gebruiken Endpoint Security beheren 2 5 Specificeer de actie voor elk van de volgende Endpoint Security-bronnen: Bestanden en mappen: hiermee wordt voorkomen dat gebruikers de database, binaire bestanden, bestanden voor beveiligd zoeken en configuratiebestanden van McAfee wijzigen. Register: hiermee wordt voorkomen dat gebruikers registercomponenten en COM-onderdelen van McAfee wijzigen, en verwijderen met behulp van de registerwaarde. Processen: hiermee wordt voorkomen dat McAfee-processen worden gestopt. 6 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Aanmelden als beheerder op pagina 24 Registratie-instellingen configureren Configureer Endpoint Security-registratie in de instellingen van Common. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Configureer de instellingen van Klantlogboekgebruik op de pagina. 5 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Logboekbestanden op pagina 22 Aanmelden als beheerder op pagina 24 Instellingen voor de beveiliging van de clientinterface configureren Configureer het interfacewachtwoord en de weergaveopties voor Endpoint Security Client in de instellingen van Common. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Ga voorzichtig te werk bij het wijzigen van deze instellingen, omdat gebruikers hierdoor hun beveiligingsconfiguratie kunnen wijzigen en systemen mogelijk niet beschermd worden tegen malwareaanvallen. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Selecteer in het menu Actie de optie Instellingen. McAfee Endpoint Security 10 Producthandleiding 29

30 2 De Endpoint Security Client gebruiken Endpoint Security beheren 3 Configureer de instellingen van de Clientinterfacemodus op de pagina. 4 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Effecten van een beheerderswachtwoord instellen op pagina 30 Aanmelden als beheerder op pagina 24 Effecten van een beheerderswachtwoord instellen Wanneer u de interfacemodus instelt op Standaardtoegang, moet u ook een beheerderswachtwoord instellen. Een beheerderswachtwoord op de Endpoint Security Client instellen is van invloed op de volgende gebruikers: Niet-beheerders (gebruikers zonder beheerdersrechten) Niet-beheerders kunnen: Bepaalde configuratieparameters weergeven. Scans uitvoeren. Controleren op updates (indien ingeschakeld). De Quarantaine weergeven. Het Gebeurtenislogboek bekijken. Roep de pagina Instellingen op om Firewall-regels weer te geven of wijzigen (indien ingeschakeld). Niet-beheerders kunnen niet: Configuratieparameters wijzigen. U kunt instellingen weergeven, maken, verwijderen of wijzigen. Eén uitzondering is de mogelijkheid om Firewall-regels weer te geven of wijzigen (indien ingeschakeld). Beheerders (gebruikers met beheerdersrechten) Beheerders moeten het wachtwoord invoeren om toegang tot de beveiligde delen te krijgen en instellingen te wijzigen. Proxyserverinstellingen configureren voor McAfee GTI Geef proxyserveropties op om McAfee GTI-reputatie op te halen in de instellingen van Common. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Configureer instellingen voor Proxyserver voor McAfee GTI op de pagina. 5 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. 30 McAfee Endpoint Security 10 Producthandleiding

31 De Endpoint Security Client gebruiken Endpoint Security beheren 2 Zo werkt McAfee GTI op pagina 31 Aanmelden als beheerder op pagina 24 Zo werkt McAfee GTI Als u de scanner bij toegang of op verzoek inschakelt voor McAfee GTI, gebruikt de scanner heuristische methoden om te controleren op verdachte bestanden. Op de McAfee GTI-server worden siteclassificaties en -rapporten opgeslagen voor Web Control. Als u Web Control configureert om gedownloade bestanden te scannen, gebruikt de scanner heuristische methodes om te controleren op verdachte bestanden. De scanner dient vingerafdrukken of voorbeelden, of hashes, in bij een centrale databaseserver die gehost wordt door McAfee Labs om te bepalen of het malware betreft. Door hashes in te dienen is detectie mogelijk eerder beschikbaar dan de volgende update van inhoudsbestanden, wanneer McAfee Labs de update publiceert. U kunt het gevoeligheidsniveau instellen dat McAfee GTI gebruikt om te bepalen of een gedetecteerd voorbeeld malware is. Hoe hoger het gevoeligheidsniveau, hoe hoger het aantal malwaredetecties. Als u meer detecties toestaat, krijgt u echter ook mogelijk meer valse positieve resultaten. Het gevoeligheidsniveau van McAfee GTI is standaard ingesteld op Normaal. Configureer het gevoeligheidsniveau voor elke scanner in de Threat Prevention-instellingen. Configureer het gevoeligheidsniveau voor het scannen van bestandsdownloads in Web Control Optiesinstellingen. U kunt instellen dat Endpoint Security een proxyserver moet gebruiken om McAfee GTI-reputatiegegevens op te halen in de instellingen van Common. Updategedrag van configureren Geef het gedrag op voor updates die worden gestart via de Endpoint Security Client in de instellingen van Common. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. U kunt deze instellingen alleen op systemen in eigen beheer en systemen in beheer van McAfee epo configureren. Gebruik de volgende instellingen om te configureren of de knop moet worden weergegeven in de client en wat moet worden bijgewerkt wanneer de gebruiker op de knop klikt of als de Standaard clientupdatetaak wordt uitgevoerd. Op systemen in eigen beheer werkt de taak Standaard clientupdate alle inhoud en software bij. Op beheerde systemen werkt deze taak alleen de inhoud bij. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Configureer instellingen voor de Standaard clientupdate op de pagina. 5 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. McAfee Endpoint Security 10 Producthandleiding 31

32 2 De Endpoint Security Client gebruiken Endpoint Security beheren Aanmelden als beheerder op pagina 24 Bronsites configureren voor clientupdates op pagina 32 De taak Standaard clientupdate plannen op pagina 33 Bronsites configureren voor clientupdates Voor systemen in eigen beheer kunt u de sites configureren waarvan Endpoint Security Client bijgewerkte beveiligingsbestanden ontvangt in de instellingen van Common. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. U kunt deze instellingen alleen op systemen in eigen beheer configureren. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Configureer de instellingen van Bronsites voor updates op de pagina. U kunt de twee standaardbronsites voor back-up in- en uitschakelen (NAIFtp en NAIHttp), maar u kunt ze verder niet wijzigen, verwijderen of in de lijst verplaatsen. Als u het volgende wilt doen... Een site toevoegen. Stappen 1 Klik op Toevoegen. 2 Geef de site-instellingen op. 3 Klik op OK om uw wijzigingen op te slaan. De regel wordt weergegeven aan het begin van de regellijst. Een site verwijderen. Selecteer de site en klik op Verwijderen. 32 McAfee Endpoint Security 10 Producthandleiding

33 De Endpoint Security Client gebruiken Endpoint Security beheren 2 Als u het volgende wilt doen... Een bestaande site wijzigen. Stappen 1 Dubbelklik op de naam van de site. 2 Wijzig de instellingen. 3 Klik op OK om uw wijzigingen op te slaan. De volgorde van de sites in de lijst wijzigen. Elementen verplaatsen: 1 Selecteer elementen om te verplaatsen. De greep wordt links van elementen weergegeven die kunnen worden verplaatst. 2 Versleep de elementen naar de nieuwe locatie. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten. De volgorde bepaalt de volgorde die Endpoint Security gebruikt om naar de updatesite te zoeken. 5 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Hoe de taak Standaard clientupdate werkt op pagina 34 Aanmelden als beheerder op pagina 24 Updategedrag van configureren op pagina 31 De taak Standaard clientupdate plannen op pagina 33 De taak Standaard clientupdate plannen U kunt de taak Standaard clientupdate wijzigen of plannen vanuit de Endpoint Security Client in de instellingen van Common. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. U kunt deze instellingen alleen op systemen in eigen beheer configureren. Gebruik deze instellingen om te configureren wanneer de taak Standaard clientupdate moet worden uitgevoerd. Zie Updategedrag van configureren op pagina 31 om het standaardgedrag in te stellen voor clientupdates die vanuit Endpoint Security Client worden gestart. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Taken. 5 Dubbelklik op Standaard clientupdate en bewerk de planning. Klik vervolgens op OK om uw wijzigingen op te slaan of klik op Annuleren. 6 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. McAfee Endpoint Security 10 Producthandleiding 33

34 2 De Endpoint Security Client gebruiken Endpoint Security beheren Hoe de taak Standaard clientupdate werkt op pagina 34 Updategedrag van configureren op pagina 31 Bronsites configureren voor clientupdates op pagina 32 Hoe de taak Standaard clientupdate werkt De taak Standaard clientupdate downloadt de meest recente beveiliging voor de Endpoint Security Client. Endpoint Security omvat de taak Standaard clientupdate die elke dag om wordt uitgevoerd en elke vier uur wordt herhaald tot De taak Standaard clientupdate: 1 Maakt een verbinding met de eerste ingeschakelde bronsite in de lijst. Als deze site niet beschikbaar is, maakt de taak contact met de volgende site totdat er een verbinding wordt gemaakt of het einde van de lijst wordt bereikt. 2 Downloadt een versleuteld CATALOG.Z-bestand van de site. Het bestand bevat informatie die vereist is om de update uit te voeren, inclusief beschikbare bestanden en updates. 3 Vergelijkt de softwareversies in het bestand met de versies op de computer en downloadt nieuwe software-updates als deze beschikbaar zijn. Als de taak Standaard clientupdate tijdens de update wordt onderbroken: Update van HTTP, UNC of een lokale site FTP-site (download van één bestand) FTP-site (download van meerdere bestanden) Onderbroken download Wordt hervat waar de update is gestopt wanneer de updatetaak de volgende keer wordt gestart. Wordt niet hervat na onderbreking. Wordt hervat vóór het bestand dat op het moment van de onderbreking werd gedownload. Bronsites configureren voor clientupdates op pagina 32 De taak Standaard clientupdate plannen op pagina McAfee Endpoint Security 10 Producthandleiding

35 3 Threat 3 Prevention Gebruiken Threat Prevention hiermee wordt gecontroleerd op virussen, spyware, ongewenste programma's en andere bedreigingen door items op uw computer te scannen. Inhoud Uw computer scannen op malware Bedreigingsdetecties beheren Items in quarantaine beheren Threat Prevention beheren Uw computer scannen op malware Scan uw computer op malware door opties te selecteren in de Endpoint Security Client of Windows Verkenner. Taken Een Volledige scan of Snelle scan uitvoeren op pagina 36 Gebruik de Endpoint Security Client om een handmatige Volledige scan of Snelle scan op uw computer uit te voeren. Een bestand of map scannen op pagina 38 Klik met de rechtermuisknop in Windows Verkenner om een afzonderlijk bestand of afzonderlijke map waarvan u denkt dat deze is geïnfecteerd, onmiddellijk te scannen. Typen scans op pagina 35 Typen scans Endpoint Security biedt twee typen scans: scans bij toegang en scans op aanvraag. Scannen bij toegang: de beheerder configureert scans bij toegang, die op beheerde computers moeten worden uitgevoerd. Voor computers in eigen beheer kunt u de scanner bij toegang op de pagina Instellingen configureren. Wanneer u bestanden, mappen en programma's opent, onderschept de scanner bij toegang de bewerking en wordt het item gescand op basis van criteria die door de beheerder zijn gedefinieerd. Scannen op aanvraag McAfee Endpoint Security 10 Producthandleiding 35

36 3 Threat Prevention Gebruiken Uw computer scannen op malware Handmatig De beheerder (of gebruiker, voor systemen in eigen beheer) configureert vooraf gedefinieerde scans op aanvraag die gebruikers op beheerde computers kunnen uitvoeren. U kunt op elk moment een vooraf gedefinieerde scan op aanvraag uitvoeren via de Endpoint Security Client door te klikken op te selecteren: en een scantype Snelle scan: hiermee wordt een snelle controle uitgevoerd van de gebieden van het systeem die het meest vatbaar zijn voor infectie. Volledige scan: voert een grondige controle uit van alle delen van het systeem. (Aanbevolen als u vermoedt dat de computer is geïnfecteerd.) Scan een afzonderlijk bestand of afzonderlijke map per keer via Windows Verkenner door met de rechtermuisknop op het bestand of de map te klikken en Scannen op bedreigingen te selecteren in het pop-upmenu. Gepland De beheerder (of gebruiker, voor systemen in eigen beheer) configureert en plant scans op aanvraag die op computers moeten worden uitgevoerd. Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, geeft Endpoint Security een scanbericht onder aan het scherm weer. U kunt de scan onmiddellijk starten of uitstellen, indien dit is ingesteld. Zo kunt u de vooraf gedefinieerde scans op aanvraag, Snelle scan en Volledige scan, configureren en plannen: 1 Instellingen Scannen op aanvraag, Volledige scan of Snelle scan (tabblad) om scans op aanvraag te configureren. 2 Instellingen Common Taken om scans op aanvraag te plannen. De taken Volledige scan en Snelle scan plannen op pagina 60 Reageren op een scanprompt op pagina 19 Een Volledige scan of Snelle scan uitvoeren Gebruik de Endpoint Security Client om een handmatige Volledige scan of Snelle scan op uw computer uit te voeren. Voordat u begint De module Threat Prevention moet zijn geïnstalleerd. De werking van de Volledige scan en Snelle scan is afhankelijk van hoe de instellingen zijn geconfigureerd. Met beheerdersrechten kunt u deze scans wijzigen en plannen via de instellingen voor Scannen op aanvraag. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op. 36 McAfee Endpoint Security 10 Producthandleiding

37 Threat Prevention Gebruiken Uw computer scannen op malware 3 3 Klik op de pagina Systeem scannen op Nu scannen voor de scan die u wilt uitvoeren. Volledige scan Snelle scan Hiermee wordt een grondige controle uitgevoerd van alle gebieden van uw systeem (aanbevolen als u denkt dat uw computer is geïnfecteerd). Hiermee wordt een snelle controle uitgevoerd van de gebieden van uw systeem die het meest vatbaar zijn voor infectie. Als er al een scan wordt uitgevoerd, verandert de knop van Nu scannen in Scan weergeven. U ziet misschien ook de knop Detecties bekijken voor de scanner bij toegang, afhankelijk van hoe de instellingen zijn geconfigureerd en of een bedreiging is gedetecteerd. Klik op deze knop om de pagina Scannen bij toegang te openen en detecties op elk moment te beheren. Zie Bedreigingsdetecties beheren op pagina 39. Endpoint Security Client geeft de status van de scan op een nieuwe pagina weer. De AMCore-inhoud gemaakt op geeft aan wanneer de inhoud voor het laatst is bijgewerkt. Als de inhoud meer dan 2 dagen oud is, raadt McAfee aan uw bescherming bij te werken voordat u de scan uitvoert. 4 Klik op knoppen boven aan de statuspagina om de scan te regelen. Scan onderbreken Scan hervatten Scan annuleren Hiermee wordt de scan onderbroken voordat deze wordt voltooid. Hiermee wordt een onderbroken scan hervat. Hiermee wordt een actieve scan geannuleerd. 5 Wanneer de scan wordt voltooid, worden eventuele detecties op de pagina weergegeven. Detectienaam Type Bestandsnaam Actie Hier vindt u de naam van de gedetecteerde malware. Hiermee wordt het type bedreiging weergegeven. Hiermee wordt het geïnfecteerde bestand geïdentificeerd. Hiermee wordt de beveiligingsactie beschreven die het laatst is uitgevoerd op het geïnfecteerde bestand: Toegang geweigerd Opgeschoond Verwijderd Geen De detectielijst van de scan op aanvraag wordt gewist wanneer de volgende scan op aanvraag wordt gestart. 6 Selecteer een detectie in de tabel en klik op Opschonen of Verwijderen om het geïnfecteerde bestand op te schonen of te verwijderen. Afhankelijk van het bedreigingstype en de scaninstellingen zijn deze acties misschien niet beschikbaar. 7 Klik op Sluiten om de pagina te sluiten. Typen scans op pagina 35 Configureer instellingen voor Scannen op aanvraag op pagina 55 De taken Volledige scan en Snelle scan plannen op pagina 60 Namen gedetecteerde items op pagina 41 Beveiliging en software handmatig bijwerken op pagina 20 Bedreigingsdetecties beheren op pagina 39 McAfee Endpoint Security 10 Producthandleiding 37

38 3 Threat Prevention Gebruiken Uw computer scannen op malware Een bestand of map scannen Klik met de rechtermuisknop in Windows Verkenner om een afzonderlijk bestand of afzonderlijke map waarvan u denkt dat deze is geïnfecteerd, onmiddellijk te scannen. Voordat u begint De module Threat Prevention moet zijn geïnstalleerd. De werking van de Rechtermuisknopscan is afhankelijk van hoe de instellingen zijn geconfigureerd. Met beheerdersrechten kunt u deze scans wijzigen via de instellingen voor Scannen op aanvraag. Procedure 1 Klik in Windows Verkenner met de rechtermuisknop op het bestand of de map dat/die u wilt scannen, en selecteer Scannen op bedreigingen in het pop-upmenu. Endpoint Security Client geeft de status van de scan weer op de pagina Scannen op bedreigingen. 2 Klik op knoppen boven aan de pagina om de scan te regelen. Scan onderbreken Scan hervatten Scan annuleren Hiermee wordt de scan onderbroken voordat deze wordt voltooid. Hiermee wordt een onderbroken scan hervat. Hiermee wordt een actieve scan geannuleerd. 3 Wanneer de scan wordt voltooid, worden eventuele detecties op de pagina weergegeven. Detectienaam Type Bestandsnaam Actie Hier vindt u de naam van de gedetecteerde malware. Hiermee wordt het type bedreiging weergegeven. Hiermee wordt het geïnfecteerde bestand geïdentificeerd. Hiermee wordt de beveiligingsactie beschreven die het laatst is uitgevoerd op het geïnfecteerde bestand: Toegang geweigerd Opgeschoond Verwijderd Geen De detectielijst van de scan op aanvraag wordt gewist wanneer de volgende scan op aanvraag wordt gestart. 4 Selecteer een detectie in de tabel en klik op Opschonen of Verwijderen om het geïnfecteerde bestand op te schonen of te verwijderen. Afhankelijk van het bedreigingstype en de scaninstellingen zijn deze acties misschien niet beschikbaar. 5 Klik op Sluiten om de pagina te sluiten. Typen scans op pagina 35 Configureer instellingen voor Scannen op aanvraag op pagina 55 Namen gedetecteerde items op pagina McAfee Endpoint Security 10 Producthandleiding

39 Threat Prevention Gebruiken Bedreigingsdetecties beheren 3 Bedreigingsdetecties beheren Afhankelijk van hoe instellingen zijn geconfigureerd, kunt u bedreigingsdetecties beheren via Endpoint Security Client. Voordat u begint De module Threat Prevention moet zijn geïnstalleerd. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op Nu scannen om de pagina Systeem scannen te openen. 3 Klik via Scan bij toegang op Detecties bekijken. Deze optie is niet beschikbaar als de lijst geen detecties bevat of als de optie voor gebruikersberichten is uitgeschakeld. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. 4 Selecteer een van de volgende opties op de pagina Scan bij toegang. Opschonen Proberen het item (bestand, registervermelding) op te schonen en in quarantaine te plaatsen. Endpoint Security gebruikt informatie in de inhoudsbestanden om bestanden op te schonen. Als het inhoudsbestand niet kan worden opgeschoond of als het bestand niet kan worden gerepareerd, krijgt de scanner er geen toegang toe. In dit geval raadt McAfee aan het bestand te verwijderen uit de quarantaine en het te herstellen vanaf een schone back-upkopie. Verwijderen Item verwijderen Sluiten Hiermee wordt het item dat de bedreiging bevat, verwijderd. Hiermee wordt het item uit de detectielijst verwijderd. Hiermee wordt de scanpagina gesloten. Als er geen actie beschikbaar is voor de bedreiging, is de bijbehorende optie niet beschikbaar. De actie Opschonen is bijvoorbeeld niet beschikbaar als het bestand al is verwijderd. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. Items in quarantaine beheren Endpoint Security slaat items die als bedreigingen worden gedetecteerd, in de Quarantaine op. U kunt acties uitvoeren op de items in de quarantaine. Voordat u begint De module Threat Prevention moet zijn geïnstalleerd. McAfee Endpoint Security 10 Producthandleiding 39

40 3 Threat Prevention Gebruiken Items in quarantaine beheren Zo kunt u misschien een item herstellen wanneer u een nieuwere versie van de inhoud hebt gedownload die informatie bevat waarmee de bedreiging wordt opgeschoond. Items in quarantaine kunnen meerdere typen gescande objecten omvatten, zoals bestanden, registers of alles dat Endpoint Security scant op malware. Selecteer in het menu Actie de optie Help voor hulp. Procedure 1 Open de Endpoint Security Client. 2 Klik op Quarantaine aan de linkerkant van de pagina. Op deze pagina staan alle items in de quarantaine. Als de Endpoint Security Client de Quarantine Manager niet kan bereiken, wordt een communicatiefoutbericht weergegeven. In dit geval start u uw systeem opnieuw op om de pagina Quarantaine weer te geven. 3 Selecteer een item in het bovenste deelvenster om de details in het onderste deelvenster weer te geven. De relatieve grootte van deelvensters wijzigen Items in de tabel op naam van bedreiging of type sorteren Klik en versleep het raamwidget tussen de deelvensters. Klik op de tabelkolomkop. 4 Voer acties op geselecteerde items uit op de pagina Quarantaine. Items verwijderen uit de quarantaine Selecteer items, klik op Verwijderen en klik nogmaals op Verwijderen om te bevestigen. Het is niet mogelijk verwijderde items te herstellen. Items herstellen uit de quarantaine Selecteer items, klik op Herstellen en klik nogmaals op Herstellen om te bevestigen. Endpoint Security herstelt items naar hun oorspronkelijke locatie en verwijdert ze uit de quarantaine. Als een item nog steeds een geldige bedreiging is, zet Endpoint Security het item terug in de quarantaine als het nog eens wordt geopend. Items opnieuw scannen Een item weergeven in het Gebeurtenislogboek Meer informatie over een bedreiging Selecteer items en klik op Opnieuw scannen. U wilt een item bijvoorbeeld opnieuw scannen nadat u uw beveiliging hebt bijgewerkt. Als het item niet langer een bedreiging is, kunt u het item naar de oorspronkelijke locatie herstellen en uit de quarantaine verwijderen. Selecteer een item en klik op de koppeling weergeven in Gebeurtenislogboek in het detailvenster. De pagina Gebeurtenislogboek wordt geopend met de gebeurtenis van het geselecteerde item gemarkeerd. Selecteer een item en klik op de koppeling Meer informatie over deze bedreiging in het detailvenster. Er wordt een nieuw browservenster geopend op de McAfee Labs-website met meer informatie over de bedreiging waardoor het item in quarantaine is geplaatst. 40 McAfee Endpoint Security 10 Producthandleiding

41 Threat Prevention Gebruiken Items in quarantaine beheren 3 Namen gedetecteerde items op pagina 41 De Endpoint Security Client openen op pagina 17 Beveiliging en software handmatig bijwerken op pagina 20 Namen gedetecteerde items De quarantaine rapporteert bedreigingen per detectienaam. Detectienaam Adware Dialer Grapvirus Keylogger Wachtwoordkraker Mogelijk ongewenste programma s Hulpprogramma voor extern beheer Spyware Beschrijving Genereert inkomsten door reclame weer te geven die op de gebruiker is gericht. Adware genereert inkomsten via de leverancier of de partners van de leverancier. Bepaalde typen adware kunnen persoonlijke gegevens registreren of verzenden. Leidt internetverbindingen om naar een partij die niet de standaardinternetprovider van de gebruiker is. Dialers zijn ontworpen om in aanvullende verbindingskosten voor een inhoudsprovider, leverancier of andere derde partij te resulteren. Beweert een computer te beschadigen, maar heeft geen schadelijke nettolading of gebruik. Grapvirussen hebben geen effect op beveiliging of privacy, maar kunnen een gebruiker wel schrik aanjagen of alarmeren. Onderschept gegevens tussen de gebruiker die de gegevens invoert en de bedoelde ontvangende toepassing. Trojaanse paarden en mogelijk ongewenste keylogger-programma's kunnen functioneel identiek zijn. McAfee-software detecteert beide typen om privacy-inbraak te voorkomen. Hiermee kan een gebruiker of beheerder kwijtgeraakte of vergeten wachtwoorden voor accounts of gegevensbestanden achterhalen. Wanneer deze programma's door een aanvaller worden gebruikt, kunnen ze toegang verschaffen tot vertrouwelijke informatie en een gevaar vormen voor de veiligheid en privacy. Meestal legitieme software (niet-malware) waarmee de beveiligingsstatus of de privacy van het systeem kan worden gewijzigd. Deze software kan worden gedownload samen met een programma dat de gebruiker wil installeren. De software kan bestaan uit spyware, adware, keyloggers, wachtwoordkrakers, hackergereedschappen en dialer-toepassingen. Geeft een beheerder extern toegang tot een systeem. Deze hulpprogramma's kunnen een aanzienlijke bedreiging van de beveiliging vormen wanneer ze door een aanvaller worden gebruikt. Verzendt persoonlijke gegevens naar een derde partij zonder medeweten of toestemming van de gebruiker. Spyware maakt gebruik van geïnfecteerde computers voor commercieel gewin door: Ongewenste pop-upreclames weer te geven Persoonlijke gegevens te stelen, waaronder financiële gegevens zoals creditcardnummers Toezicht te houden op webactiviteiten voor marketingdoeleinden HTTP-aanvragen om te leiden naar reclamesites Mogelijk ongewenst programma. McAfee Endpoint Security 10 Producthandleiding 41

42 3 Threat Prevention Gebruiken Threat Prevention beheren Detectienaam Stealth Trojaans paard Virus Beschrijving Is een type virus dat probeert detectie door antivirussoftware te voorkomen. Ook bekend als interruptinterceptor. Veel stealth-virussen onderscheppen verzoeken tot schijftoegang. Wanneer een antivirustoepassing vervolgens probeert bestanden of opstartsectors te lezen om het virus te vinden, geeft het virus een 'schone' kopie van het verzochte item weer. Andere virussen verbergen de feitelijke grootte van een geïnfecteerd bestand en geven de grootte van het bestand weer voordat het werd geïnfecteerd. Is een kwaadaardig programma dat zich voordoet als een onschuldige toepassing. Een trojaans paard vermenigvuldigt zichzelf niet, maar brengt schade aan of brengt de beveiliging van uw computer in gevaar. Een computer raakt meestal geïnfecteerd in de volgende situaties: Een gebruiker opent een bijlage met een trojaans paard in een . Een gebruiker downloadt een trojaans paard van een website. Peer-to-peernetwerken. Aangezien trojaanse paarden zichzelf niet vermenigvuldigen, worden ze niet als virussen beschouwd. Bevestigt zich aan schijven of andere bestanden en vermenigvuldigt zichzelf meermaals, meestal zonder medeweten of toestemming van de gebruiker. Sommige virussen bevestigen zich aan bestanden, zodat met het uitvoeren van het geïnfecteerde bestand ook het virus wordt uitgevoerd. Andere virussen blijven in het computergeheugen aanwezig en infecteren bestanden wanneer de computer bestanden opent, wijzigt of maakt. Sommige virussen hebben symptomen, terwijl andere bestanden en computersystemen beschadigen. Threat Prevention beheren Als beheerder kunt u Threat Prevention-instellingen opgeven om toegang door bedreigingen te voorkomen en scans te configureren. Voor beheerde systemen kunnen beleidswijzigingen van McAfee epo, McAfee epo Cloud of de SecurityCenter wijzigingen overschrijven van de pagina Instellingen. Items uitsluiten van scans op pagina 42 Mogelijk ongewenste programma's detecteren op pagina 44 Configureer instellingen voor Toegangsbeveiliging op pagina 46 Configureer instellingen voor Exploitpreventie op pagina 48 Configureer de instellingen voor Scannen bij toegang op pagina 50 Configureer instellingen voor Scannen op aanvraag op pagina 55 De taken Volledige scan en Snelle scan plannen op pagina 60 Algemene scaninstellingen configureren op pagina 60 Items uitsluiten van scans Threat Prevention stelt u in staat om de lijst met gescande items aan te passen door items op te geven die moeten worden uitgesloten. U moet bijvoorbeeld bepaalde bestandstypen uitsluiten om te voorkomen dat een scanner een bestand vergrendelt dat door een database of server wordt gebruikt. (Een database of server kan vastlopen of fouten genereren door een geblokkeerd bestand.) 42 McAfee Endpoint Security 10 Producthandleiding

43 Threat Prevention Gebruiken Threat Prevention beheren 3 Voor deze functie... Items opgeven om uit te sluiten Toegangsbeveiliging Processen (voor alle regels of een opgegeven regel) Waar configureren Toegangsbeveiliging instellingen Exploitpreventie Processen Exploitpreventie instellingen Scannen bij toegang Standaard Hoog risico Laag risico Scannen op aanvraag Snelle scan Volledige scan Rechtermuisknopscan Bestanden, bestandstypen en mappen ScriptScan-URL's Namen gedetecteerde items Mogelijk ongewenste programma's Bestanden, mappen en stations Namen gedetecteerde items Mogelijk ongewenste programma's Jokertekens in scanuitsluitingen op pagina 43 Jokertekens in scanuitsluitingen Scannen bij toegang instellingen Scannen bij toegang instellingen Opties instellingen Items uitsluiten per Procesnaam Procesnaam Patroon, bestandstype of bestandsdatum URL-naam Detectienaam (hoofdlettergevoelig) Opties instellingen Naam Ja Scan op aanvraag instellingen Opties instellingen Patroon, bestandstype of bestandsdatum Detectienaam (hoofdlettergevoelig) Opties instellingen Naam Ja Jokertekens gebruiken? Nee Nee Ja Nee Nee Ja (* en?) U kunt jokertekens voor tekens in scanuitsluitingen van bestanden, mappen en mogelijk ongewenste programma's. Tabel 3-1 Geldige jokertekens Jokerteken Naam Staat voor? Vraagteken Eén teken. Nee Dit jokerteken is alleen van toepassing als het aantal tekens overeenkomt met de lengte van het bestand of de mapnaam. Bijvoorbeeld: met de uitsluiting w?? wordt www uitgesloten, maar niet ww of wwww. * Sterretje Meerdere tekens. ** Dubbel sterretje Nul of meer van een willekeurig aantal tekens, inclusief backslash (\). Dit jokerteken komt overeen met nul of meer tekens. Bijvoorbeeld: C:\ABC\**\YZ komt overeen met C:\ABC\DEF\YZ en C:\ABC\YZ. Jokertekens kunnen in een pad vóór een backslash (\) staan. Bijvoorbeeld: C:\ABC\*\YZ komt overeen met C:\ABC\DEF\YZ. McAfee Endpoint Security 10 Producthandleiding 43

44 3 Threat Prevention Gebruiken Threat Prevention beheren Mogelijk ongewenste programma's detecteren Om de beheerde computer te beschermen tegen mogelijk ongewenste programma's geeft u bestanden en programma's op die in uw omgeving moeten worden gedetecteerd, en schakelt u detectie in. Mogelijk ongewenste programma's zijn softwareprogramma's die ergerlijk zijn of de beveiligingsstaat of het privacybeleid van het systeem kunnen wijzigen. Mogelijk ongewenste programma's kunnen worden ingesloten in programma's die gebruikers opzettelijk downloaden. Spyware, adware en dialers zijn voorbeelden van ongewenste programma's. 1 Geef aangepaste ongewenste programma's op die de scanner bij toegang en scanner op verzoek moeten detecteren in de instellingen voor de Opties. 2 Schakel detectie van ongewenste programma's in en geef in de volgende instellingen op welke acties moeten worden uitgevoerd wanneer detecties plaatsvinden: instellingen voor Scannen bij toegang instellingen voor Scannen op aanvraag Aangepaste, mogelijk ongewenste programma's opgeven die gedetecteerd moeten worden op pagina 44 Detecties en reacties van mogelijk ongewenste programma's inschakelen en configureren op pagina 45 Configureer de instellingen voor Scannen bij toegang op pagina 50 Configureer instellingen voor Scannen op aanvraag op pagina 55 Aangepaste, mogelijk ongewenste programma's opgeven die gedetecteerd moeten worden Bij de instellingen voor Opties kunt u aanvullende programma's opgeven die de scanners bij toegang en op verzoek als ongewenste programma s moeten behandelen. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. De scanners detecteren de programma's die u opgeeft, evenals de programma's die in de AMCore-inhoudsbestanden zijn opgegeven. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Opties. 5 Vanuit Detecties van mogelijk ongewenste programma's: Klik op Toevoegen om de naam en desgewenst een beschrijving op te geven van een bestand of programma dat als mogelijk ongewenst programma moet worden behandeld. De Beschrijving wordt weergegeven als de detectienaam wanneer er een detectie plaatsvindt. 44 McAfee Endpoint Security 10 Producthandleiding

45 Threat Prevention Gebruiken Threat Prevention beheren 3 Dubbelklik op de naam of beschrijving van een bestaand, mogelijk ongewenst programma om deze te wijzigen. Selecteer een bestaand, mogelijk ongewenst programma en klik op Verwijderen om het uit de lijst te halen. Aanmelden als beheerder op pagina 24 Detecties en reacties van mogelijk ongewenste programma's inschakelen en configureren Schakel de scanners bij toegang en op verzoek in om mogelijk ongewenste programma's te detecteren en op te geven hoe moet worden gereageerd wanneer een mogelijk ongewenst programma wordt aangetroffen. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Configureer de instellingen voor Scannen bij toegang. a Open de Endpoint Security Client. b Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. c d e f Klik op Geavanceerd weergeven. Klik op Scannen bij toegang. Selecteer onder Procesinstellingen voor elk type Scannen bij toegang de optie Ongewenste programma's detecteren. Configureer onder Acties hoe op ongewenste programma's moet worden gereageerd. 2 Configureer instellingen voor Scannen op aanvraag. a Open de Endpoint Security Client. b Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. c d e Klik op Geavanceerd weergeven. Klik op Scannen op aanvraag. Voor elk scantype (Volledige scan, Snelle scan en Rechtermuisknopscan): Selecteer Ongewenste programma's detecteren. Configureer onder Acties hoe op ongewenste programma's moet worden gereageerd. McAfee Endpoint Security 10 Producthandleiding 45

46 3 Threat Prevention Gebruiken Threat Prevention beheren Configureer de instellingen voor Scannen bij toegang op pagina 50 Configureer instellingen voor Scannen op aanvraag op pagina 55 Aanmelden als beheerder op pagina 24 Configureer instellingen voor Toegangsbeveiliging Gebruik regels in de instellingen voor Toegangsbeveiliging om de toegangspunten van uw systeem te beschermen. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. U kunt deze regels in- en uitschakelen en bewerken, maar u kunt ze niet verwijderen. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Toegangsbeveiliging. 5 Verifieer dat Toegangsbeveiliging is ingeschakeld. Toegangsbeveiliging is standaard ingeschakeld. 6 Voeg in de sectie Uitsluitingen processen toe die van alle regels moeten worden uitgesloten. Gebruik de exacte procesnaam. Geef bijvoorbeeld de volgende uitsluitingen op: avtask.exe, cfgwiz.exe, fssm32.exe, kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe. Toegangsbeveiliging staat toegang toe tot de processen die u opgeeft. 7 Selecteer in de sectie Regels de optie Blokkeren, Rapporteren of beide voor elke regel. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Block (Blokkeren) of Report (Rapporteren) in de eerste rij. Als u een regel wilt uitschakelen, moet u zowel de actie Blokkeren als Rapporteren uitschakelen. 8 Selecteer een regel, klik op Toevoegen en voer vervolgens een proces in dat van de geselecteerde regel moet worden uitgesloten. 9 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Aanmelden als beheerder op pagina McAfee Endpoint Security 10 Producthandleiding

47 Threat Prevention Gebruiken Threat Prevention beheren 3 De toegangspunten van uw systeem beveiligen De eerste verdediging tegen malware is toegangspunten van clientsystemen te beveiligen tegen toegang door bedreigingen. Toegangsbeveiliging voorkomt ongewenste veranderingen op beheerde computers door toegang tot specifieke poorten, bestanden, shares, registers en sleutels te beperken. Toegangsbeveiliging maakt gebruik van regels om toegang tot items te rapporteren of blokkeren. De Scanner bij toegang vergelijkt een gevraagde actie met de lijst van regels en neemt de actie die door de regel wordt gespecificeerd. De scanner bij toegang moet worden ingeschakeld om pogingen te detecteren tot het openen van poorten, bestanden, mappen, shares en registersleutels en -waarden. Hoe dreigingen toegang krijgen Dreigingen krijgen toegang tot uw systeem via verschillende toegangspunten. Toegangspunt Macro's Uitvoerbare bestanden Scripts IRC-berichten (Internet Relay Chat) Help-bestanden van browsers en toepassingen Combinaties van al deze toegangspunten Beschrijving Als onderdeel van tekstverwerkingsdocumenten en spreadsheettoepassingen. Schijnbaar goedaardige programma's kunnen virussen bevatten naast het verwachte programma. Een aantal veelvoorkomende bestandsextensies zijn.ee,.com,.vbs,.bat,.hlp en.dll. Wanneer scripts zoals Active en JavaScript aan webpagina's en zijn gekoppeld en wordt toegestaan dat ze worden uitgevoerd, kunnen ze virussen bevatten. Bestanden die samen met deze berichten worden verzonden, kunnen gemakkelijk malware bevatten als deel van het bericht. Automatische opstartprocessen kunnen bijvoorbeeld wormen en trojaanse paarden bevatten. Het systeem wordt blootgesteld aan ingesloten virussen en uitvoerbare bestanden wanneer deze Help-bestanden worden gedownload. Grapjes, spelletjes en afbeeldingen die onderdeel zijn van berichten met bijlagen. Zeer goede malwaremakers combineren al deze afleveringsmethoden en sluiten zelfs malware in andere malware in om toegang te krijgen tot de beheerde computer. Hoe Toegangsbeveiliging bedreigingen stopt Toegangsbeveiliging stopt potentiële bedreigingen door acties te beheren die zijn gebaseerd op vooraf gedefinieerde beveiligingsregels. Threat Prevention volgt deze basisprocedure om toegangsbeveiliging te leveren. Wanneer een dreiging optreedt Wanneer een gebruiker of proces actie onderneemt: 1 Toegangsbeveiliging onderzoekt de actie aan de hand van de gedefinieerde regels. 2 Als de actie een regel overtreedt, beheert Toegangsbeveiliging de actie met behulp van de informatie in de geconfigureerde regels. 3 Toegangsbeveiliging werkt het logboekbestand bij en genereert en verzendt een gebeurtenis naar de beheerserver, indien beheerd. McAfee Endpoint Security 10 Producthandleiding 47

48 3 Threat Prevention Gebruiken Threat Prevention beheren Voorbeeld van een toegangsdreiging 1 Een gebruiker downloadt een legitiem programma (geen malware), MyProgram.exe, van internet. 2 De gebruiker start MyProgram.exe en het lijkt alsof het wordt gestart zoals verwacht. 3 MyProgram.exe start een onderliggend proces met de naam AnnoyMe.exe. 4 AnnoyMe.exe probeert het besturingssysteem te wijzigen om te zorgen dat AnnoyMe.exe bij het opstarten altijd wordt geladen. 5 Toegangsbeveiliging verwerkt het verzoek en controleert de actie tegen de bestaande regel voor blokkeren en rapporteren. 6 Toegangsbeveiliging voorkomt dat AnnoyMe.exe het besturingssysteem bewerkt en registreert de details van de poging. Toegangsbeveiliging genereert ook een waarschuwing die naar de beheerserver wordt gestuurd. Configureer instellingen voor Exploitpreventie Om te voorkomen dat toepassingen willekeurige code uitvoeren op uw computer, configureert u de instellingen voor Exploitpreventie. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Exploitpreventie. 5 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Aanmelden als beheerder op pagina 24 Misbruik van bufferoverloop blokkeren Exploitpreventie voorkomt dat willekeurige code wordt uitgevoerd via onrechtmatig gebruik van bufferoverloop. Deze functie controleert API-aanroepen van de gebruikersmodus en stelt vast of deze aanroepen het gevolg van een bufferoverloop zijn. Als een inbreuk wordt gedetecteerd, wordt er informatie vastgelegd in het activiteitenlogboek, weergegeven op het clientsysteem en naar de beheerserver gestuurd, indien geconfigureerd. Threat Prevention gebruikt het inhoudsbestand van Exploitpreventie om toepassingen te beschermen zoals Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word en MSN Messenger. 48 McAfee Endpoint Security 10 Producthandleiding

49 Threat Prevention Gebruiken Threat Prevention beheren 3 Hoe bufferoverloopmisbruik plaatsvindt Aanvallers kunnen bufferoverloop misbruiken om uitvoerbare code te implementeren door de buffer met een vaste grootte, die is gereserveerd voor een invoerproces, te laten overlopen. Met deze code kan de aanvaller de doelcomputer overnemen of de gegevens schade toebrengen. Ruim 25 procent van alle malwareaanvallen zijn bufferoverloopaanvallen die proberen om aangrenzend geheugen in de stackframe te overschrijven. Er zijn twee soorten misbruik van bufferoverloop: Stack-gebaseerde aanvallen: gebruiken de stackgeheugenobjecten om gebruikersinvoer op te slaan (komen het meeste voor). Heap-gebaseerde aanvallen: overspoelen de geheugenruimte die is gereserveerd voor een programma (komt weinig voor). Het stackgeheugenobject met vaste grootte is leeg en gereed voor invoer van de gebruiker. Wanneer een programma invoer van de gebruiker ontvangt, worden de gegevens boven op de stack opgeslagen en wordt een geheugenretouradres toegewezen. Wanneer de stack wordt verwerkt, wordt de invoer van de gebruiker verzonden naar het retouradres dat is opgegeven door het programma. Hieronder wordt een stack-gebaseerde bufferoverloopaanval beschreven: 1 De stack laten overlopen. Wanneer het programma wordt geschreven, wordt een bepaalde hoeveelheid geheugenruimte gereserveerd voor de gegevens. De stack loopt over als de gegevens die worden geschreven, een grotere omvang hebben dan de ruimte die hiervoor is gereserveerd in de geheugenstack. Dit is alleen een probleem als dit in combinatie met schadelijke invoer gebeurt. 2 Misbruik maken van de overloop. Het programma wacht op invoer van de gebruiker. Als de aanvaller een uitvoerbare opdracht invoert die groter is dan de stackgrootte, wordt die opdracht buiten de gereserveerde ruimte opgeslagen. 3 De malware uitvoeren. De opdracht wordt niet automatisch uitgevoerd wanneer de stackbufferruimte wordt overschreden. Het programma loopt eerst vast vanwege de bufferoverloop. Als de aanvaller een geheugenretouradres heeft opgegeven dat verwijst naar de schadelijke opdracht, probeert het programma te herstellen door het retouradres te gebruiken. Als het retouradres een geldig adres is, wordt de schadelijke opdracht uitgevoerd. 4 Misbruik maken van de machtigingen. De malware wordt nu uitgevoerd met dezelfde machtigingen als de beschadigde toepassing. Aangezien programma's meestal in kernelmodus worden uitgevoerd, of met machtigingen die van een serviceaccount zijn overgenomen, krijgt de aanvaller nu volledige controle over het besturingssysteem. McAfee Endpoint Security 10 Producthandleiding 49

50 3 Threat Prevention Gebruiken Threat Prevention beheren Configureer de instellingen voor Scannen bij toegang Met deze instellingen worden de scans bij toegang ingeschakeld en geconfigureerd, waaronder het opgeven van berichten die moeten worden verstuurd wanneer een bedreiging wordt gedetecteerd, en andere instellingen op basis van procestype. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Zie de instellingen van Common voor meer configuratieopties. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Scannen bij toegang. 5 Selecteer Scannen bij toegang inschakelen om de scanner bij toegang in te schakelen en opties te bewerken. 6 Geef op of standaardinstellingen voor alle processen moeten worden gebruikt, of verschillende instellingen voor processen met hoog en laag risico. Standaardinstellingen: configureer de scaninstellingen op het tabblad Standaard. Verschillende instellingen op basis van procestype: selecteer het tabblad (Standaard, Hoog risico of Laag risico) en configureer de scaninstellingen voor elk procestype. 7 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Aanmelden als beheerder op pagina 24 Algemene scaninstellingen configureren op pagina 60 Hoe scannen bij toegang werkt De scanner bij toegang kan op het laagste niveau met het systeem geïntegreerd worden (Bestandssysteem Filterstation) en scant bestanden wanneer ze voor het eerst in het systeem binnenkomen. De scanner bij toegang stuurt waarschuwingen naar de interface van de systeemservice bij detectie. Wanneer er een poging wordt gedaan om een bestand te openen of sluiten, onderschept de scanner de handeling en wordt een van de volgende acties uitgevoerd: 1 De scanner bepaalt of het item moet worden gescand aan de hand van deze criteria: De extensie van het bestand komt overeen met de configuratie. Het bestand is niet in de cache geplaatst, uitgesloten of eerder gescand. De scanner op verzoek gebruikt heuristische methodes om te controleren op verdachte bestanden als u McAfee GTI instelt. 50 McAfee Endpoint Security 10 Producthandleiding

51 Threat Prevention Gebruiken Threat Prevention beheren 3 2 Als het bestand voldoet aan de scancriteria, vergelijkt de scanner het met de signaturen in het momenteel ingestelde AMCore-inhoudsbestand. Als het bestand schoon is, wordt het resultaat gecached en worden lees- of schrijfhandelingen toegekend. Als het bestand een bedreiging bevat, wordt de handeling geweigerd en neemt de scanner de geconfigureerde actie. Is de actie bijvoorbeeld om het bestand op te schonen, dan zal de scanner het volgende doen: 1 Informatie in het momenteel ingestelde AMCore-inhoudsbestand gebruiken om het bestand op te schonen. 2 De resultaten in het activiteitenlogboek registreren. 3 De gebruiker waarschuwen dat er een bedreiging in het bestand is gedetecteerd en de te nemen actie aanvragen (het bestand opschonen of verwijderen). Windows 8: als de scanner een bedreiging detecteert in het pad van een geïnstalleerde Windows Store-app, wordt de bedreiging door de scanner gemarkeerd als gemanipuleerd. Windows 8 voegt de markering Gemanipuleerd toe aan de tegel voor de app. Wanneer u probeert de app uit te voeren, stelt Windows u op de hoogte van het probleem en wordt u naar de Windows Store geleid om de app opnieuw te installeren. McAfee Endpoint Security 10 Producthandleiding 51

52 3 Threat Prevention Gebruiken Threat Prevention beheren 3 Als het bestand niet aan de scanvereisten voldoet, slaat de scanner het bestand in de cache op en staat deze de handeling toe. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. Threat Prevention leegt de algemene scancache en scant alle bestanden opnieuw wanneer: De configuratie voor Scannen bij toegang verandert. Er een Extra.DAT-bestand wordt toegevoegd. Scannen bij schrijven naar schijf, lezen van schijf of McAfee laten beslissen U kunt instellen wanneer de scanner bij toegang bestanden moet scannen: bij schrijven naar schijf, bij lezen van schijf, of McAfee toestaan te beslissen wanneer er wordt gescand. 52 McAfee Endpoint Security 10 Producthandleiding

53 Threat Prevention Gebruiken Threat Prevention beheren 3 Als bestanden naar schijf worden geschreven, scant de scanner bij toegang deze bestanden: Inkomende bestanden die naar de vaste schijf worden geschreven. Bestanden (nieuw, gewijzigd of gekopieerd van de ene naar de andere schijf) die zijn gemaakt op de lokale vaste schijf of op een toegewezen netwerkstation (indien ingeschakeld). Als bestanden van schijf worden gelezen, scant de scanner deze bestanden: Uitgaande bestanden die worden gelezen van de lokale vaste schijf of op toegewezen netwerkstations (indien ingeschakeld). Bestanden die proberen een proces uit te voeren op de lokale vaste schijf. Bestanden die op de lokale vaste schijf worden geopend. Wanneer u McAfee laat beslissen of een bestand moet worden gescand, gebruikt de scanner bij toegang vertrouwenslogica om het scannen te optimaliseren. Vertrouwenslogica verbetert uw beveiliging en prestaties doordat onnodig scannen wordt vermeden. Stel McAfee analyseert een aantal programma's en besluit dat deze betrouwbaar zijn. Als McAfee verifieert dat deze programma's niet zijn gemanipuleerd, voert de scanner mogelijk een beperkte of geoptimaliseerde scan uit. Scannen van scripts The Threat Prevention-scriptscanner fungeert als een proxycomponent voor de native Windows Script Host, en onderschept en scant scripts voordat ze worden uitgevoerd. Bijvoorbeeld: Als het script schoon is, geeft de scriptscanner het script door aan de native Windows Script Host. Het script wordt niet uitgevoerd als dit een mogelijke dreiging bevat. Als ScriptScan is uitgeschakeld wanneer Internet Explorer wordt gestart en vervolgens wordt ingeschakeld, worden geen schadelijke scripts in dat exemplaar van Internet Explorer gedetecteerd. Nadat u ScriptScan hebt ingeschakeld, moet u Internet Explorer opnieuw starten zodat schadelijke scripts worden gedetecteerd. Hef selectie van deze optie op, zodat de clientcomputer de uitsluitingen kan gebruiken die hier zijn opgegeven en die lokaal op de client zijn opgegeven. U kunt opgeven welke websites van inspectie moeten worden uitgesloten als ze scripts gebruiken. Op Windows Server 2008-systemen werken ScriptScan URL-uitsluitingen niet met Windows Internet Explorer tenzij u browseruitbreidingen van derden inschakelt selecteert en het systeem opnieuw opstart. Zie het KnowledgeBase-artikel KB McAfee Endpoint Security 10 Producthandleiding 53

54 3 Threat Prevention Gebruiken Threat Prevention beheren Scaninstellingen voor processen bepalen Voer dit proces uit om te bepalen wat u moet configureren: verschillende instellingen op basis van procestype. 54 McAfee Endpoint Security 10 Producthandleiding

55 Threat Prevention Gebruiken Threat Prevention beheren 3 Configureer instellingen voor Scannen op aanvraag Met deze instellingen wordt de werking van drie, vooraf gedefinieerde scans op aanvraag geconfigureerd: Volledige scan, Snelle scan en Rechtermuisknopscan. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Zie de instellingen van Common voor meer configuratieopties. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Scannen op aanvraag. 5 Klik op een tabblad om instellingen voor de opgegeven scan te configureren. Volledige scan Snelle scan Rechtermuisknopscan 6 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Aanmelden als beheerder op pagina 24 Algemene scaninstellingen configureren op pagina 60 De taken Volledige scan en Snelle scan plannen op pagina 60 Hoe scannen op verzoek werkt De scanner op verzoek doorzoekt bestanden, mappen, geheugen en register op malware die mogelijk uw computer heeft geïnfecteerd. U besluit wanneer en hoe vaak de scans op aanvraag plaatsvinden. U kunt systemen handmatig scannen, op een geplande tijd, of tijdens opstarten. 1 De scanner op verzoek gebruikt de volgende criteria om te bepalen of het item moet worden gescand: De extensie van het bestand komt overeen met de configuratie. Het bestand is niet in de cache geplaatst, uitgesloten of eerder gescand (als de scanner de scancache gebruikt). De scanner op verzoek gebruikt heuristische methodes om te controleren op verdachte bestanden als u McAfee GTI instelt. McAfee Endpoint Security 10 Producthandleiding 55

56 3 Threat Prevention Gebruiken Threat Prevention beheren 2 Als het bestand voldoet aan de scancriteria, vergelijkt de scanner de informatie in het item met bekende malwaresignaturen in de momenteel ingestelde AMCore-inhoudsbestanden. Als er niets in het bestand wordt gevonden, wordt het resultaat in de cache opgeslagen en controleert de scanner het volgende item. Als het bestand een bedreiging bevat, neemt de scanner de geconfigureerde actie. Is de actie bijvoorbeeld om het bestand op te schonen, dan zal de scanner het volgende doen: 1 Informatie in het momenteel ingestelde AMCore-inhoudsbestand gebruiken om het bestand op te schonen. 2 De resultaten in het activiteitenlogboek registreren. 3 De gebruiker waarschuwen dat er een bedreiging in het bestand is gedetecteerd met vermelding van de itemnaam en genomen actie. Windows 8: als de scanner een bedreiging detecteert in het pad van een geïnstalleerde Windows Store-app, wordt de bedreiging door de scanner gemarkeerd als gemanipuleerd. Windows 8 voegt de markering Gemanipuleerd toe aan de tegel voor de app. Wanneer u probeert de app uit te voeren, stelt Windows u op de hoogte van het probleem en wordt u naar de Windows Store geleid om de app opnieuw te installeren. 3 Als het item niet aan de scanvereisten voldoet, wordt het niet door de scanner gecontroleerd. De scanner gaat dan door totdat alle gegevens zijn gescand. 56 McAfee Endpoint Security 10 Producthandleiding

57 Threat Prevention Gebruiken Threat Prevention beheren 3 De detectielijst van de scan op aanvraag wordt gewist wanneer de volgende scan op aanvraag wordt gestart. Threat Prevention leegt de algemene scancache en scant alle bestanden opnieuw wanneer een Extra.DAT wordt geladen. De impact van scans op gebruikers beperken Specificeer prestatie-opties wanneer u scans op aanvraag configureert om de impact die deze scans op een systeem hebben te minimaliseren. Alleen scannen wanneer het systeem niet actief is De gemakkelijkste manier om ervoor te zorgen dat de scan geen impact heeft op gebruikers, is de scan op aanvraag alleen uit te voeren wanneer de computer niet actief is. Wanneer deze optie is geselecteerd, pauzeert Threat Prevention de scan wanneer schijf- of gebruikersactiviteit wordt gedetecteerd, zoals gebruik van toetsenbord of muis. Threat Prevention hervat de scan wanneer de gebruiker drie minuten lang geen toegang tot het systeem heeft gezocht. McAfee Endpoint Security 10 Producthandleiding 57

58 3 Threat Prevention Gebruiken Threat Prevention beheren Kunt u desgewenst: Gebruikers toestaan scans te hervatten die door gebruikersactiviteit zijn onderbroken. De scan zo instellen dat deze alleen wordt uitgevoerd wanneer het systeem niet actief is. McAfee raadt aan om deze optie alleen uit te schakelen op serversystemen en systemen waartoe gebruikers toegang krijgen via Verbinding met extern bureaublad. Threat Prevention is afhankelijk van McTray om te bepalen of het systeem inactief is. Op systemen die alleen toegankelijk zijn via Verbinding met extern bureaublad, wordt McTray niet gestart en wordt de scanner op verzoek nooit uitgevoerd. Gebruikers kunnen dit probleem oplossen door McTray (standaard in C:\Program Files \McAfee\Agent\mctray.exe) handmatig te starten wanneer zij zich aanmelden via Verbinding met extern bureaublad. Selecteer Alleen scannen wanneer het systeem niet actief is in de sectie Prestaties van de Scan op aanvraag-instellingen. Scans automatisch onderbreken U kunt scans op aanvraag onderbreken wanneer het systeem op de accu werkt om prestaties te verbeteren. U kunt de scan ook onderbreken wanneer een toepassing, zoals een browser, mediaspeler of presentatie, op volledig scherm wordt uitgevoerd. De scan wordt hervat zodra het systeem op netvoeding wordt aangesloten of de modus voor volledig scherm wordt uitgeschakeld. Selecteer deze opties in de sectie Prestaties van de Scan op aanvraag-instellingen: Niet scannen als het systeem op batterijvermogen draait Niet scannen als het systeem in presentatiemodus staat (beschikbaar wanneer Op elk moment scannen is geselecteerd) Gebruikers toestaan scans uit te stellen Als u Op elk moment scannen selecteert, kunt u gebruikers toestaan geplande scans telkens één uur uit te stellen, tot 24 uur, of onbeperkt. Elk uitstel door een gebruiker kan één uur duren. Als de optie Maximum aantal uren dat gebruiker kan uitstellen bijvoorbeeld op 2 is ingesteld, kan de gebruiker de scan twee keer (twee uur) uitstellen. Als de maximum tijdsduur van het uitstel is verstreken, wordt de scan voortgezet. Als u een onbeperkt uitstel toestaat door de optie op nul in te stellen, kan de gebruiker de scan voor onbepaalde tijd uitstellen. Selecteer Gebruiker kan scan uitstellen in de sectie Prestaties van de Scan op aanvraag-instellingen. Scanactiviteit beperken met incrementele scans Gebruik incrementele, of hervatbare scans om te beperken wanneer scanactiviteit op aanvraag plaatsvindt en toch het volledige systeem te scannen in meerdere sessies. Voeg een tijdslimiet aan de geplande scan toe om incrementeel scannen te gebruiken. De scan stopt wanneer de tijdslimiet wordt bereikt. De volgende keer dat deze taak start, wordt deze hervat vanaf het punt in het bestand en de bestandsstructuur waar de vorige scan is gestopt. Selecteer Deze taak stoppen als deze langer wordt uitgevoerd dan in de categorie Time-out voor de Scan op aanvraag-taak. Zie De taken Volledige scan en Snelle scan plannen op pagina 60. Systeemgebruik configureren Met Systeemgebruik kan de hoeveelheid CPU-tijd worden ingesteld die beschikbaar wordt gesteld aan de scanner tijdens de scan. Stel voor systemen met activiteit van eindgebruikers het systeemgebruik op Laag. 58 McAfee Endpoint Security 10 Producthandleiding

59 Threat Prevention Gebruiken Threat Prevention beheren 3 Selecteer Systeemgebruik in de sectie Prestaties van de Scan op aanvraag-instellingen. Configureer instellingen voor Scannen op aanvraag op pagina 55 De taken Volledige scan en Snelle scan plannen op pagina 60 De werking van systeemgebruik De scanner op verzoek gebruikt de instelling Prioriteit instellen in Windows voor de scanprocessen en de prioriteit van threads. Met de systeemgebruikinstelling (beperking) kan het besturingssysteem opgeven hoeveel CPU-tijd de scanner op verzoek krijgt tijdens het scanproces. Als u het systeemgebruik voor de scan instelt op Laag, worden de prestaties voor andere actieve toepassingen verbeterd. De lage instelling is handig voor systemen met activiteit van eindgebruikers. Omgekeerd is het zo dat als u het systeemgebruik instelt op Normaal, de scan sneller wordt voltooid. De normale instelling is handig voor systemen met grote volumes en maar weinig activiteit van eindgebruikers. Elke taak wordt onafhankelijk uitgevoerd, zonder rekening te houden met de beperkingen voor andere taken. Tabel 3-2 Standaardprocesinstellingen Instellingen voor Threat Prevention-proces Laag Lager dan normaal Normaal (standaard) Deze optie... Biedt verbeterde prestaties voor andere actieve toepassingen. Selecteer deze optie voor systemen met activiteit van eindgebruikers. Stelt het systeemgebruik voor de scan in op de standaardwaarde van McAfee epo. Hiermee kan de scan sneller worden uitgevoerd. Selecteer deze optie voor systemen met grote volumes en weinig activiteit van eindgebruikers. Windows-instelling Prioriteit instellen Laag Lager dan normaal Normaal Hoe het scannen van Externe opslag werkt U kunt de scanner op verzoek configureren om de inhoud van bestanden die door Externe opslag worden beheerd, te scannen. Externe opslag controleert de hoeveelheid beschikbare ruimte op het lokale systeem. Wanneer nodig migreert Externe opslag de inhoud (gegevens) uit in aanmerking komende bestanden van het clientsysteem naar een opslagapparaat, zoals een tapestation. Wanneer een gebruiker een bestand opent waarvan de gegevens zijn gemigreerd, haalt Externe opslag de gegevens automatisch op van het opslagapparaat. Selecteer de optie Bestanden scannen die zijn gemigreerd naar de opslag om de scanner op verzoek te configureren zodat bestanden worden gescand die Externe opslag beheert. Wanneer de scanner een bestand aantreft met gemigreerde inhoud, wordt het bestand naar het lokale systeem hersteld voordat het wordt gescand. Zie Wat is Externe opslag? voor meer informatie. McAfee Endpoint Security 10 Producthandleiding 59

60 3 Threat Prevention Gebruiken Threat Prevention beheren De taken Volledige scan en Snelle scan plannen U kunt de standaardtaken Volledige scan en Snelle scan vanuit de Endpoint Security Client in de module Common plannen. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Gebruik deze instellingen om in te stellen wanneer de taken Volledige scan en Snelle scan moeten worden uitgevoerd. Zie Configureer instellingen voor Scannen op aanvraag op pagina 55 om het standaardgedrag in te stellen voor scans die vanuit Endpoint Security Client worden gestart. U kunt deze instellingen alleen op systemen in eigen beheer configureren. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Taken. 5 Dubbelklik op Volledige scan of Snelle scan en bewerk de planning. Klik vervolgens op OK om uw wijzigingen op te slaan of klik op Annuleren. 6 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Aanmelden als beheerder op pagina 24 Configureer instellingen voor Scannen op aanvraag op pagina 55 Algemene scaninstellingen configureren Als u instellingen wilt opgeven die van toepassing zijn op scans op ven scans bij toegang, configureert u de instellingen voor Opties van Threat Prevention. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Deze instellingen zijn van toepassing op alle scans: Quarantainelocatie en het aantal dagen dat items in quarantaine bewaard moeten blijven voordat ze automatisch worden verwijderd Detectienamen die moeten worden uitgesloten van scans Mogelijk ongewenste programma's die moeten worden gedetecteerd, zoals spyware en adware 60 McAfee Endpoint Security 10 Producthandleiding

61 Threat Prevention Gebruiken Threat Prevention beheren 3 Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op Threat Prevention op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Opties. 5 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Aanmelden als beheerder op pagina 24 Configureer de instellingen voor Scannen bij toegang op pagina 50 Configureer instellingen voor Scannen op aanvraag op pagina 55 McAfee Endpoint Security 10 Producthandleiding 61

62 3 Threat Prevention Gebruiken Threat Prevention beheren 62 McAfee Endpoint Security 10 Producthandleiding

63 4 De 4 Firewall gebruiken De Firewall fungeert als filter tussen uw computer en het netwerk of internet. Inhoud Hoe de Firewall werkt Firewall beheren Hoe de Firewall werkt De Firewall scant al het binnenkomende en uitgaande verkeer. Tijdens de controle van binnenkomend of uitgaand verkeer controleert de Firewall de lijst met regels. Dit is een reeks criteria met bijbehorende acties. Als het verkeer aan alle criteria in een regel voldoet, gaat de Firewall te werk op basis van de regel en wordt verkeer via de Firewall geblokkeerd of toegestaan. Informatie over bedreigingsdetecties wordt opgeslagen voor rapporten waarmee de beheerder op de hoogte wordt gesteld van eventuele beveiligingsproblemen op uw computer. Firewall-opties en -regels definiëren hoe de Firewall werkt. Firewall-regels worden georganiseerd in regelgroepen voor eenvoudiger beheer. Als de Clientinterfacemodus is ingesteld op Volledige toegang of als u bent aangemeld als beheerder, kunt u regels en groepen configureren met behulp van Endpoint Security Client. Voor beheerde systemen worden regels en groepen die u maakt, mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert. Opties van Firewall configureren op pagina 64 Hoe firewallregels werken op pagina 66 Hoe firewallregelgroepen werken op pagina 68 Firewall beheren Als beheerder kunt u Firewall-opties configureren en regels en groepen maken in de Endpoint Security Client. Voor beheerde systemen kunnen beleidswijzigingen van McAfee epo, McAfee epo Cloud of de SecurityCenter wijzigingen overschrijven van de pagina Instellingen. Firewall-opties wijzigen op pagina 64 Firewall -regels en -groepen maken en beheren op pagina 72 McAfee Endpoint Security 10 Producthandleiding 63

64 4 De Firewall gebruiken Firewall beheren Firewall-opties wijzigen Als beheerder kunt u Firewall-opties bewerken via de Endpoint Security Client. Taken Opties van Firewall configureren op pagina 64 Configureer instellingen in Opties om firewallbeveiliging in en uit te schakelen, de aanpassingsmodus in te schakelen, en andere Firewall-opties te configureren. DNS-verkeer blokkeren op pagina 64 Als u firewallbeveiliging wilt verfijnen, maakt u een lijst van FQDN's die u wilt blokkeren. Firewall blokkeert verbindingen met de IP-adressen die worden omgezet naar de domeinnamen. Veelgestelde vragen: McAfee GTI en Firewall op pagina 65 Opties van Firewall configureren Configureer instellingen in Opties om firewallbeveiliging in en uit te schakelen, de aanpassingsmodus in te schakelen, en andere Firewall-opties te configureren. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Selecteer Firewall inschakelen om de firewall te activeren en de opties te bewerken. 4 Klik op Geavanceerd weergeven. 5 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Aanmelden als beheerder op pagina 24 DNS-verkeer blokkeren Als u firewallbeveiliging wilt verfijnen, maakt u een lijst van FQDN's die u wilt blokkeren. Firewall blokkeert verbindingen met de IP-adressen die worden omgezet naar de domeinnamen. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. 64 McAfee Endpoint Security 10 Producthandleiding

65 De Firewall gebruiken Firewall beheren 4 Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Klik onder DNS-blokkering op Toevoegen. 4 Voer de door FQDN in van de domeinen die moeten worden geblokkeerd. U kunt de jokertekens * en? gebruiken. Bijvoorbeeld *domein.com. Dubbele vermeldingen worden automatisch verwijderd. 5 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Veelgestelde vragen: McAfee GTI en Firewall Antwoorden op veelgestelde vragen. Met instellingen voor Firewall Opties kunt u inkomend en uitgaand verkeer blokkeren voor een netwerkverbinding die McAfee GTI heeft geclassificeerd als hoog risico. In deze veelgestelde vragen wordt uitgelegd hoe McAfee GTI werkt en het effect op de firewall. Wat is McAfee GTI? McAfee GTI is een wereldwijd internetreputatiesysteem dat goed en slecht gedrag op internet bepaalt. McAfee GTI gebruikt realtime-analyse van wereldwijde gedrags- en verzendpatronen voor , webactiviteiten, malware en gedrag tussen systemen. Aan de hand van analysegegevens berekent McAfee GTI op dynamische wijze reputatiescores die het risiconiveau voor uw netwerk representeren wanneer u een webpagina bezoekt. Het resultaat is een database met reputatiescores voor IP-adressen, domeinen, specifieke berichten, URL's en afbeeldingen. Hoe werkt het? Wanneer de opties van McAfee GTI worden geselecteerd, worden twee firewallregels gemaakt: McAfee GTI Allow Endpoint Security Firewall Service (McAfee GTI: Endpoint Security Firewall-service toestaan) en McAfee GTI Get Rating (McAfee GTI: Classificatie verkrijgen). De eerste regel staat een verbinding met McAfee GTI toe en de tweede blokkeert verkeer of staat het toe op basis van de reputatie van de verbinding en de ingestelde blokkeringsdrempel. Wat betekent 'reputatie'? McAfee GTI berekent een reputatiewaarde voor elk IP-adres op internet. McAfee GTI baseert de waarde op het verzend- of hostgedrag en verschillende omgevingsgegevens die zijn verzameld van klanten en partners over de staat van internetdreigingen. De reputatie wordt uitgedrukt in vier klassen, gebaseerd op onze analyse: Niet blokkeren (minimumrisico): deze site is een legitieme bron of bestemming van inhoud/ verkeer. Niet gecontroleerd: deze site lijkt een legitieme bron of bestemming van inhoud/verkeer te zijn. Deze site heeft echter ook bepaalde eigenschappen die nadere controle vereisen. Gemiddeld risico: deze bron/bestemming toont gedrag dat als verdacht wordt beschouwd en inhoud/verkeer van naar deze bron/bestemming moet nader onderzocht worden. Hoog risico: van deze bron/bestemming is bekend dat mogelijk schadelijk(e) inhoud/verkeer wordt verzonden/gehost. We zijn van mening dat het hier om een ernstig risico gaat. Veroorzaakt McAfee GTI vertraging? En hoeveel? McAfee Endpoint Security 10 Producthandleiding 65

66 4 De Firewall gebruiken Firewall beheren Wanneer McAfee GTI wordt gevraagd om een reputatie vast te stellen, is een kleine vertraging onvermijdelijk. McAfee heeft er alles aan gedaan om deze vertraging tot een minimum te beperken. McAfee GTI: Controleert alleen reputaties wanneer de opties zijn geselecteerd. Gebruikt een intelligente cache-architectuur. Bij normale netwerkgebruikspatronen zet de cache de meest gevraagde verbindingen om zonder een livezoekopdracht naar de reputatie. Stopt het verkeer als de firewall de servers van McAfee GTI niet kan bereiken? Als de firewall geen van de servers van McAfee GTI kan bereiken, krijgen alle toepasselijke verbindingen automatisch een standaard toegestane reputatie toegewezen. De firewall blijft vervolgens de regels die volgen, analyseren. Firewall-regels en -groepen beheren Als beheerder kunt u Firewall-regels en -groepen configureren via de Endpoint Security Client. Taken Firewall -regels en -groepen maken en beheren op pagina 72 Voor beheerde systemen worden regels en groepen die u configureert in de Endpoint Security Client, mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert. Groepen voor isolatie van verbindingen maken op pagina 74 Maak een firewallregelgroep voor isolatie van verbindingen om een reeks regels op te stellen die alleen van toepassing zijn wanneer verbinding wordt gemaakt met een netwerk met bepaalde parameters. Hoe firewallregels werken op pagina 66 Hoe firewallregelgroepen werken op pagina 68 Hoe firewallregels werken Firewallregels bepalen hoe netwerkverkeer wordt verwerkt. Elke regel bevat een reeks voorwaarden waaraan verkeer moet voldoen, en een actie om verkeer toe te staan of te blokkeren. Wanneer Firewall verkeer vindt dat aan de voorwaarden van een regel voldoet, wordt de bijbehorende actie uitgevoerd. U kunt de regels algemeen (bijvoorbeeld al het IP-verkeer) of specifieker (bijvoorbeeld een specifieke toepassing of service identificeren) definiëren en opties opgeven. U kunt regels groeperen volgens een werkfunctie, service of toepassing om ze gemakkelijker te beheren. Net als regels kunt u regelgroepen definiëren op netwerk, transport, toepassing, planning en locatie. 66 McAfee Endpoint Security 10 Producthandleiding

67 De Firewall gebruiken Firewall beheren 4 Firewall gebruikt prioriteit om regels toe te passen: 1 Firewall past de regel boven aan de lijst met firewallregels toe. Als het verkeer voldoet aan de voorwaarden van deze regel, wordt het verkeer door Firewall toegestaan of geblokkeerd. Er wordt niet geprobeerd andere regels in de lijst toe te passen. 2 Als het verkeer niet voldoet aan de voorwaarden van de eerste regel, kijkt Firewall naar de volgende regel in de lijst, tot een regel wordt gevonden waaraan het verkeer voldoet. 3 Als er geen regels zijn waaraan wordt voldaan, blokkeert de firewall het verkeer automatisch. Afbeelding 4-1 Regelvoorrang Als de adaptieve modus is geactiveerd, wordt een regel gemaakt om het verkeer toe te staan. Soms komt het onderschepte verkeer overeen met meer dan een regel in de lijst. In dit geval betekent voorrang dat Firewall alleen de eerste regel op de lijst waaraan wordt voldaan, toepast. Aanbevolen procedures Zet de specifiekere regels boven aan de lijst en de algemenere regels onderaan. Deze volgorde zorgt dat Firewall het verkeer goed filtert. Als u bijvoorbeeld alle HTTP-aanvragen wilt toestaan met uitzondering van een specifiek adres (bijvoorbeeld IP-adres ), maakt u twee regels: Blokkeringsregel: blokkeer HTTP-verkeer van IP-adres Dit is een specifieke regel. Toestaan-regel: sta al het verkeer toe dat gebruik maakt van de HTTP-service. Dit is een algemene regel. McAfee Endpoint Security 10 Producthandleiding 67

68 4 De Firewall gebruiken Firewall beheren Zet de blokkeringsregel hoger in de lijst met firewallregels dan de toestaan-regel. Wanneer de firewall de HTTP-aanvraag van adres onderschept, is de regel die dit verkeer via de firewall blokkeert, de eerste overeenkomende regel die wordt gevonden. Als de algemene toestaan-regel hoger staat dan de specifieke blokkeringsregel, zoekt Firewall aanvragen bij de toestaan-regel voordat de blokkeringsregel wordt gevonden. Het verkeer wordt nu toegestaan, zelfs als u de HTTP-aanvraag van een specifiek adres wilde blokkeren. Hoe firewallregelgroepen werken Gebruik Firewall-regelgroepen om firewallregels te organiseren voor eenvoudiger beheer. Firewall-regelgroepen hebben geen invloed op de manier waarop Firewall de regels erin verwerkt; Firewall verwerkt regels nog steeds van boven naar beneden. Firewall verwerkt de instellingen voor de groep voordat de instellingen voor de regels die de groep bevat, worden verwerkt. Als deze instellingen een conflict bevatten, krijgen de groepsinstellingen voorrang. Locatiedetectie voor groepen instellen Met Firewall kunt u locatiedetectie voor groepsregels instellen en verbindingsisolatie opzetten. Met de Locatie en Netwerkopties van de groep kunt u netwerkadapterdetectie voor de groepen instellen. Gebruik netwerkadaptergroepen om adapterspecifieke regels toe te passen voor computers met meerdere netwerkinterfaces. Nadat u locatiestatus hebt ingeschakeld en de locatie hebt opgegeven, kunnen parameters voor toegestane verbindingen het volgende voor elke netwerkadapter bevatten: Locatie: Vereisen dat McAfee epo bereikbaar is Verbindingsspecifiek DNS-achtervoegsel IP-adres van standaardgateway IP-adres DHCP-server Query uitgevoerd op DNS-server om URL's om te zetten IP-adres primaire WINS-server IP-adres secundaire WINS-server Domeinbereikbaarheid Registersleutel Netwerk: Lokaal IP-adres Mediatype Als twee groepen met locatiedetectie van toepassing zijn op een verbinding, gebruikt Firewall normale prioriteit en wordt de eerste toepasselijke groep in de regellijst verwerkt. Als er geen regel in de eerste groep overeenkomt, wordt regelverwerking voortgezet. Wanneer Firewall de parameters van een groep met locatiedetectie bij een actieve verbinding zoekt, worden de regels binnen de groep toegepast. De regels worden als kleine regelset behandeld en normale prioriteit wordt gebruikt. Als sommige regels niet overeenkomen met het onderschepte verkeer, worden ze genegeerd door de firewall. 68 McAfee Endpoint Security 10 Producthandleiding

69 De Firewall gebruiken Firewall beheren 4 Wanneer deze optie is geselecteerd... Locatiedetectie inschakelen Require that McAfee epo is reachable (Vereisen dat McAfee epo bereikbaar is) Lokaal netwerk Verbindingsspecifiek DNS-achtervoegsel Standaardgateway DHCP-server DNS-server Primaire WINS-server Secundaire WINS-server Domeinbereikbaarheid (HTTPS) Dan... Er is een locatienaam vereist. De McAfee epo is bereikbaar en de FQDN van de server is omgezet. Het IP-adres van de adapter moet overeenkomen met een van de lijstvermeldingen. Het DNS-achtervoegsel van de adapter moet overeenkomen met een van de lijstvermeldingen. Het gateway-ip-adres van de standaardadapter moet overeenkomen met ten minste een van de lijstvermeldingen. Het IP-adres van de DHCP-server van de adapter moet overeenkomen met ten minste een van de lijstvermeldingen. Het IP-adres van de DNS-server van de adapter moet overeenkomen met een van de lijstvermeldingen. Het IP-adres van de primaire WINS-server van de adapter moet overeenkomen met ten minste een van de lijstvermeldingen. Het IP-adres van de secundaire WINS-server van de adapter moet overeenkomen met ten minste een van de lijstvermeldingen. Het opgegeven domein moet bereikbaar zijn via HTTPS. Firewall-regelgroepen en verbindingsisolatie Gebruik verbindingsisolatie voor groepen om te voorkomen dat ongewenst verkeer toegang krijgt tot een specifiek netwerk. Wanneer isolatie van verbindingen is ingeschakeld voor een groep, en een actieve NIC (Network Interface Card) komt overeen met de groepscriteria, verwerkt Firewall alleen het verkeer dat overeenkomt met: Regels toestaan boven de groep in de lijst met firewallregels Groepscriteria McAfee Endpoint Security 10 Producthandleiding 69

70 4 De Firewall gebruiken Firewall beheren Al het andere verkeer wordt geblokkeerd. Een groep waarvoor isolatie van verbindingen is ingeschakeld, kan geen bijbehorende transportopties of uitvoerbare bestanden hebben. Afbeelding 4-2 Isolatie van netwerkverbindingen 70 McAfee Endpoint Security 10 Producthandleiding

71 De Firewall gebruiken Firewall beheren 4 Als voorbeelden van isolatie van verbindingen bekijkt u deze twee situaties: een bedrijfsomgeving en een hotel. De lijst met actieve firewallregels bevat regels en groepen in deze volgorde: 1 Regels voor basisverbinding 2 Regels voor VPN-verbindingen 3 Groep met regels voor zakelijke LAN-verbindingen 4 Groep met regels voor VPN-verbindingen Voorbeeld: isolatie van verbindingen op het bedrijfsnetwerk Verbindingsregels worden verwerkt tot de groep met regels voor zakelijke LAN-verbindingen wordt aangetroffen. Deze groep bevat de volgende instellingen: Mediatype = met draad Verbindingsspecifiek DNS-achtervoegsel = mijnbedrijf.nl Standaardgateway Isolatie van verbindingen = ingeschakeld De computer heeft zowel LAN- als draadloze netwerkadapters. De computer maakt verbinding met het bedrijfsnetwerk via een verbinding met draad. De draadloze interface is echter nog steeds actief, zodat verbinding wordt gemaakt met een hotspot buiten het kantoor. De computer maakt verbinding met beide netwerken, omdat de regels voor basistoegang boven aan de lijst met firewallregels staan. De LAN-verbinding met draad is actief en voldoet aan de criteria van de zakelijke LAN-groep. De firewall verwerkt het verkeer via de LAN, maar omdat isolatie van verbindingen is ingeschakeld, wordt al het verkeer dat niet via de LAN verloopt, geblokkeerd. Voorbeeld: isolatie van verbindingen in een hotel Verbindingsregels worden verwerkt tot de groep met regels voor VPN-verbindingen wordt aangetroffen. Deze groep bevat de volgende instellingen: Mediatype = virtueel Verbindingsspecifiek DNS-achtervoegsel = vpn.mijnbedrijf.nl IP-adres = een adres in een bereik dat specifiek is voor de VPN-concentrator Isolatie van verbindingen = ingeschakeld Algemene verbindingsregels staan de set-up van een getimede account in het hotel voor internettoegang toe. De VPN-verbindingsregels staan verbinding met en gebruik van de VPN-tunnel toe. Nadat de tunnel tot stand is gebracht, maakt de VPN-client een virtuele adapter die overeenkomt met de criteria van de VPN-groep. Het enige verkeer dat de firewall toestaat, is binnen de VPN-tunnel en het basisverkeer op de daadwerkelijke adapter. Pogingen van andere hotelgasten om via het netwerk toegang te krijgen tot de computer, al dan niet draadloos, worden geblokkeerd. McAfee Endpoint Security 10 Producthandleiding 71

72 4 De Firewall gebruiken Firewall beheren Firewall -regels en -groepen maken en beheren Voor beheerde systemen worden regels en groepen die u configureert in de Endpoint Security Client, mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. De groepen en regels worden in volgorde van prioriteit weergegeven in de tabel Firewall-regels. U kunt regels niet op kolom sorteren. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Gebruik deze taken om firewallregels en -groepen te beheren en klik vervolgens op Toepassen om wijzigingen aan Firewall-regels op te slaan. Taak De regels in een firewallgroep weergeven. Stappen Klik op. Een firewallgroep samenvouwen. Klik op. Een bestaande regel wijzigen. U kunt regels alleen aanpassen in de groep Gebruiker toegevoegd. Een bestaande regel in een groep weergeven. Een regel maken. 1 Vouw de groep Gebruiker toegevoegd uit. 2 Dubbelklik op de regel. 3 Wijzig de regelinstellingen. 4 Klik op OK om uw wijzigingen op te slaan. 1 Vouw de groep uit. 2 Selecteer de regel om de details ervan weer te geven in het onderste deelvenster. 1 Klik op Regel toevoegen. 2 Geef de regelinstellingen op. 3 Klik op OK om uw wijzigingen op te slaan. De regel wordt onder aan de groep Gebruiker toegevoegd weergegeven. Kopieën van regels maken. 1 Selecteer de regel of regels en klik op Dupliceren. Gekopieerde regels worden met dezelfde naam weergegeven onder aan de groep Gebruiker toegevoegd. 2 Pas de regels aan om de naam en instellingen te wijzigen. 72 McAfee Endpoint Security 10 Producthandleiding

73 De Firewall gebruiken Firewall beheren 4 Taak Regels verwijderen. U kunt regels alleen verwijderen uit de groepen Gebruiker toegevoegd en Adaptief. Stappen 1 Vouw de groep uit. 2 Selecteer de regel of regels en klik op Verwijderen. Een groep maken. 1 Klik op Groep toevoegen. 2 Geef de groepsinstellingen op. 3 Klik op OK om uw wijzigingen op te slaan. De groep wordt weergegeven in de groep Gebruiker toegevoegd. Regels en groepen verplaatsen binnen en tussen groepen. U kunt regels en groepen alleen in de groep Gebruiker toegevoegd verplaatsen. Elementen verplaatsen: 1 Selecteer elementen om te verplaatsen. De greep wordt weergegeven links van elementen die kunnen worden verplaatst. 2 Versleep de elementen naar de nieuwe locatie. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten. 4 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Jokertekens in firewallregels op pagina 73 FTP-verbindingen toestaan op pagina 74 Aanmelden als beheerder op pagina 24 Groepen voor isolatie van verbindingen maken op pagina 74 Jokertekens in firewallregels U kunt jokertekens gebruiken voor sommige waarden in firewallregels. Jokertekens in pad- en adreswaarden Gebruik deze jokertekens voor paden van bestanden, registersleutels, uitvoerbare bestanden en URL's. Paden van registersleutels voor locaties van firewallgroepen herkennen jokertekenwaarden niet.? Vraagteken Een enkel teken. * Sterretje Meerdere tekens, met uitzondering van slash (/) en backslash (\). Gebruik dit teken voor overeenkomst met de inhoud op hoofdniveau van een map zonder submappen. ** Dubbel sterretje Meerdere tekens, inclusief slash (/) en backslash (\). Pipe Escape-teken jokerteken. Voor het dubbele sterretje (**) is het escape-teken * *. Jokertekens in alle andere waarden Gebruik deze jokertekens voor waarden die gewoonlijk geen padinformatie met slashes bevatten. McAfee Endpoint Security 10 Producthandleiding 73

74 4 De Firewall gebruiken Firewall beheren? Vraagteken Een enkel teken. * Sterretje Meerdere tekens, inclusief slash (/) en backslash (\). Pipe Escape-teken jokerteken. Groepen voor isolatie van verbindingen maken Maak een firewallregelgroep voor isolatie van verbindingen om een reeks regels op te stellen die alleen van toepassing zijn wanneer verbinding wordt gemaakt met een netwerk met bepaalde parameters. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Klik onder REGELS op Groep toevoegen. 4 Geef onder Beschrijving opties voor de groep op. 5 Selecteer onder Locatie de opties Locatiedetectie inschakelen en Isolatie van verbindingen inschakelen. Selecteer vervolgens de locatiecriteria voor het vinden van overeenkomsten. 6 Selecteer onder Netwerkopties voor Mediatypen het type verbinding (Met draad, Draadloos of Virtueel) om op de regels in deze groep toe te passen. Instellingen voor Transport en Uitvoerbare bestanden zijn niet beschikbaar voor groepen voor isolatie van verbindingen. 7 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. 8 Maak nieuwe regels in deze groep of verplaats bestaande regels naar deze groep uit de lijst met firewallregels. Firewall-regelgroepen en verbindingsisolatie op pagina 69 Hoe firewallregelgroepen werken op pagina 68 FTP-verbindingen toestaan Als u actieve FTP-verbindingen wilt toestaan, maakt u firewallregels om binnenkomende en uitgaande verbindingen op specifieke poorten toe te staan. Het FTP-protocol gebruikt twee verbindingen: control voor opdrachten en data voor de informatie. Aangezien Firewall geen FPT-protocolpakketten inspecteert, zijn FTP-verbindingen standaard niet toegestaan. Als u FTP-verbindingen wilt toestaan, maakt u firewallregels om verbindingen op specifieke poorten toe te staan. 74 McAfee Endpoint Security 10 Producthandleiding

75 De Firewall gebruiken Firewall beheren 4 Actieve modus, FTP Wanneer een client verbinding maakt met een FTP-server in actieve modus: Het controlekanaal wordt tot stand gebracht op TCP-poort 21. Het gegevenskanaal wordt tot stand gebracht op TCP-poort 20. Als u een FTP-client wilt toestaan verbinding te maken en gegevens te downloaden/ uploaden naar een FTP-server via actieve modus, maakt u de volgende firewallregels op de client: Sta uitgaande verbindingen voor TCP-poort 21 op de server toe. Sta binnenkomende verbindingen voor TCP-poort 20 op de server toe. Als u een FTP-server wilt inschakelen om een FTP-client toe te staan om verbinding te maken en gegevens te downloaden/uploaden, maakt u de volgende firewallregels op de server: Sta binnenkomende verbindingen voor TCP-poort 21 op de server toe. Sta uitgaande verbindingen voor TCP-poort 20 op de server toe. Passieve modus, FTP Voor de passieve modus voor FTP moet u een reeks poorten voor het gegevenskanaal op de FTP-server openen. Wanneer een client verbinding maakt met een FTP-server in passieve modus: Het controlekanaal wordt tot stand gebracht op TCP-poort 21. Het gegevenskanaal wordt tot stand gebracht op TCP-poortbereik Als u een FTP-client wilt inschakelen om verbinding te maken en gegevens te downloaden/ uploaden naar een FTP-server via passieve modus, maakt u de volgende firewallregels op de client: Sta uitgaande verbindingen voor TCP-poort 21 op de server toe. Sta uitgaande en binnenkomende verbindingen voor het TCP-poortbereik op de server toe. Als u een FTP-server wilt inschakelen om een FTP-client toe te staan om verbinding te maken en gegevens te downloaden/uploaden, maakt u de volgende firewallregels op de server: Sta binnenkomende verbindingen voor TCP-poort 21 op de server toe. Sta uitgaande en binnenkomende verbindingen voor het TCP-poortbereik op de server toe. Firewall -regels en -groepen maken en beheren op pagina 72 McAfee Endpoint Security 10 Producthandleiding 75

76 4 De Firewall gebruiken Firewall beheren 76 McAfee Endpoint Security 10 Producthandleiding

77 5 Web 5 Control gebruiken Roep de beveiligingsfuncties van Web Control op via uw browser terwijl u surft of zoekt. Inhoud Functies van Web Control Web Control-functies gebruiken Web Control beheren Functies van Web Control Terwijl Web Control op elk beheerde systeem wordt uitgevoerd, stelt de toepassing u op de hoogte van bedreigingen terwijl websites door u worden doorzocht of bekeken. Een McAfee-team analyseert elke website en wijst op basis van testresultaten een veiligheidsclassificatie met kleurcodering toe. De kleur geeft het veiligheidsniveau van de website aan. De software gebruikt de testresultaten omu op de hoogte te brengen van webbedreigingen die door u kunnen worden tegengekomen. Op pagina's met zoekresultaten: er wordt een pictogram naast elke vermelde website weergegeven. De kleur van het pictogram geeft de veiligheidsclassificatie van de website aan. De pictogrammen bieden u meer informatie. In het browservenster: er wordt in de rechterbovenhoek een knop weergegeven. De kleur van de knop geeft de veiligheidsclassificatie van de website aan. Door op de knop te klikken wordt u meer informatie geboden. De knop stelt u ook op de hoogte van communicatieproblemen en biedt snelle toegang tot tests die helpen om algemene diagnoses te stellen. In veiligheidsrapporten: details geven aan hoe de veiligheidsclassificatie is berekend op basis van typen gedetecteerde bedreigingen, testresultaten en andere gegevens. Voor beheerde systemen maken beheerders beleid om het volgende te doen: Web Control op uw systeem in- of uitschakelen, en uitschakelen van de software en browserinvoegtoepassing voorkomen of toestaan. Toegang tot sites, pagina's en downloads te regelen, gebaseerd op hun veiligheidsclassificatie of type inhoud. Bijvoorbeeld rode sites blokkeren en gebruikers waarschuwen wanneer ze gele sites openen. Sites te identificeren als geblokkeerd of toegestaan op basis van URL's en domeinen. Te voorkomen dat bestanden, registersleutels, registerwaarden, services en processen van Web Control door u verwijderd of gewijzigd worden. McAfee Endpoint Security 10 Producthandleiding 77

78 5 Web Control gebruiken Functies van Web Control De melding aan te passen die wordt weergegeven wanneer een poging wordt gedaan door u naar een geblokkeerde website te gaan. Bewaak en regel browseractiviteit op netwerkcomputers, en maak gedetailleerde rapporten over websites. Voor systemen in eigen beheer kunt u instellingen configureren om het volgende te doen: Web Control op uw systeem in- of uitschakelen, en uitschakelen van de software en browserinvoegtoepassing voorkomen of toestaan. Toegang tot sites, pagina's en downloads te regelen, gebaseerd op hun veiligheidsclassificatie of type inhoud. Bijvoorbeeld rode sites blokkeren en gebruikers waarschuwen wanneer ze gele sites openen. De software ondersteunt de browsers Microsoft Internet Explorer, Mozilla Firefox en Google Chrome. Firefox staat u niet toe om bestandsdownloads te controleren of de knop Web Control via de opdracht Beeld Werkbalken te verbergen. Chrome biedt geen ondersteuning voor File download enforcement (Handhaving bestandsdownload) of de optie Ballon weergeven. Web Control-knop geeft bedreigingen tijdens het surfen weer op pagina 78 Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken op pagina 79 Siterapporten bieden informatie op pagina 79 Hoe veiligheidsclassificaties worden samengesteld op pagina 80 Web Control-knop geeft bedreigingen tijdens het surfen weer Wanneer door u naar een website wordt genavigeerd, wordt een gekleurde knop in de rechterbovenhoek van de browser weergegeven. De kleur van de knop geeft de veiligheidsclassificatie van de website aan. In het venster van de Chrome-browser wordt een kleine knop weergegeven op de adresbalk. Groen Groen Geel Rood Grijs Deze site wordt dagelijks getest en als veilig gecertificeerd door McAfee SECURE. Deze site is veilig. Deze site heeft mogelijk problemen. Deze site heeft mogelijk ernstige problemen. Er is geen classificatie beschikbaar voor deze site. Oranje Er is een communicatiefout opgetreden met de McAfee GTI-server die classificatie-informatie bevat. Blauw Er is geen informatie beschikbaar om deze site te classificeren. Dit kan zijn omdat de site intern is of zich in een privébereik met IP-adressen bevindt. 78 McAfee Endpoint Security 10 Producthandleiding

79 Web Control gebruiken Functies van Web Control 5 Zwart Deze site is een phishingsite. Phishing is een manier om vertrouwelijke informatie te verkrijgen, bijvoorbeeld gebruikersnamen, wachtwoorden en creditcardgegevens. Phishingsites doen zich voor als betrouwbare entiteiten in elektronische communicatie. Wit Zilver Een instelling staat deze site toe. Een instelling heeft Web Control uitgeschakeld. Functies oproepen tijdens surfen op pagina 81 Communicatieproblemen oplossen op pagina 83 Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken Wanneer door u trefwoorden in een zoekengine wordt getypt, zoals Google, Yahoo, Bing of Ask, worden op de pagina met zoekresultaten veiligheidspictogrammen naast sites weergegeven. De kleur van de knop komt overeen met de veiligheidsclassificatie van de site. Tests hebben geen grote problemen gevonden. Tests hebben problemen aan het licht gebracht waarvan u op de hoogte moeten worden gesteld. De site heeft bijvoorbeeld geprobeerd om de standaardinstellingen van de browser van de tester te wijzigen, heeft pop-ups weergegeven of heeft de tester een aanzienlijk aantal niet-spam berichten gestuurd. Tests hebben ernstige problemen aan het licht gebracht waaraan door u serieus aandacht moet worden besteden alvorens deze site te bezoeken. De site heeft testers bijvoorbeeld spam- gestuurd of adware aan een download gekoppeld. Deze site is geblokkeerd door een instelling. Deze website is niet-geclassificeerd. Siterapport weergeven tijdens zoeken op pagina 82 Siterapporten bieden informatie Het siterapport voor een website bevat details over specifieke bedreigingen en kan door u worden bekeken. Siterapporten worden verstrekt door de server met McAfee GTI-classificaties en bevatten de volgende informatie. McAfee Endpoint Security 10 Producthandleiding 79

80 5 Web Control gebruiken Functies van Web Control Dit item... Overzicht Onlinerelaties Testen op webspam Downloadtests Geeft het volgende aan... De algehele classificatie van de website, bepaald op basis van deze tests: Evaluatie van de - en downloadprocedures van een website aan de hand van onze eigen gegevensverzameling en analysetechnieken. Onderzoek van de website om na te gaan of deze er hinderlijke praktijken op na houdt, bijvoorbeeld een overmatig aantal pop-ups of verzoeken om uw startpagina te wijzigen. Analyse van de onlinerelaties van de website om te zien of er relaties zijn met andere verdachte sites. Combinatie van de beoordeling door McAfee van verdachte sites met feedback van onze Threat Intelligence-services. Geeft aan hoe dwingend de website probeert u naar andere sites te sturen die McAfee met een rode classificatie heeft gemarkeerd. Verdachte sites gaan vaak samen met andere verdachte sites. Het hoofddoel van feedersites is u ertoe te brengen de verdachte site te bezoeken. Een site kan een rode classificatie krijgen als er bijvoorbeeld te dwingend wordt gekoppeld naar andere rode sites. In dit geval beschouwt Web Control de site als rood vanwege de relatie. De algehele classificatie voor de praktijken van een website, op basis van de testresultaten. McAfee classificeert sites op basis van het aantal s dat na invoer van een adres op de website wordt ontvangen en op het spamgehalte van de ontvangen . Als een van deze factoren hoger is dan wat aanvaardbaar is, classificeert McAfee de site als een gele site. Als beide factoren hoog zijn of een van de factoren extreem hoog lijkt, classificeert McAfee de site als een rode site. De algehele classificatie voor de impact die downloadbare software van een site op onze testcomputer had, op basis van de testresultaten. McAfee wijst rode markeringen toe aan sites waarvan de downloads met virussen zijn geïnfecteerd of aan sites die niet-verwante, algemeen als adware of spyware beschouwde software toevoegen. Bij het bepalen van de classificatie wordt ook rekening gehouden met de netwerkservers waarmee een gedownload programma tijdens zijn werking contact opneemt, en met eventuele wijzigingen in browserinstellingen of de registerbestanden van een computer. Siterapport weergeven tijdens zoeken op pagina 82 Siterapporten weergeven op pagina 82 Hoe veiligheidsclassificaties worden samengesteld Een team van McAfee bepaalt de veiligheidsclassificaties door voor elke website criteria te testen en de resultaten te evalueren om zo bekende dreigingen te kunnen detecteren. Met behulp van geautomatiseerde tests worden veligheidsclassificaties bepaald. De tests omvatten het volgende: Bestanden downloaden om te controleren op virussen en potentieel ongewenste programma's die met de software worden meegestuurd. Contactgegevens invullen in aanmeldingsformulieren en controleren op resulterende spam of een groot aantal niet-spam berichten dat door de website of daaraan gelieerde websites wordt verstuurd. Controleren op overmatig veel pop-upvensters. 80 McAfee Endpoint Security 10 Producthandleiding

81 Web Control gebruiken Web Control-functies gebruiken 5 Controleren op pogingen door de site om kwetsbaarheden van de browser te misbruiken. Controleren op misleidende of frauduleuze praktijken van een website. Het team verzamelt testresultaten in een veiligheidsrapport dat bovendien het volgende kan bevatten: Feedback die is ingediend door website-eigenaars met beschrijvingen van de gebruikte veiligheidsmaatregelen op de site of reacties op feedback van gebruikers over de site. Feedback die is ingediend door de gebruikers van een website, die rapporten kunnen bevatten over phishing-scams of slechte ervaringen bij het aankopen. Meer analyses door McAfee-experts. Op McAfee GTI-server worden siteclassificaties en -rapporten opgeslagen. Web Control-functies gebruiken Gebruik Web Control-functies vanuit de browser. Taken Functies oproepen tijdens surfen op pagina 81 Roep Web Control-functies op via de knop in de browser. De werking van de knop is afhankelijk van de browser. Siterapport weergeven tijdens zoeken op pagina 82 Gebruik het veiligheidspictogram op een pagina met zoekresultaten om meer informatie over de site weer te geven. Siterapporten weergeven op pagina 82 Bekijk de siterapporten voor meer informatie over de veiligheidsclassificatie van een site. Communicatieproblemen oplossen op pagina 83 Voer op de clientcomputer tests uit vanuit de browser om te bepalen wat de oorzaak is voor communicatieproblemen met de server voor McAfee GTI-veiligheidsclassificaties. Functies oproepen tijdens surfen Roep Web Control-functies op via de knop in de browser. De werking van de knop is afhankelijk van de browser. Internet Explorer en Firefox Houd de aanwijzer boven deze knop om een ballon weer te geven met een samenvatting van het veiligheidsrapport voor de site. Klik op de knop om het gedetailleerde veiligheidsrapport weer te geven. Klik op de knop naast het pictogram om een menu met functies weer te geven. Chrome: klik op de knop om een menu met functies weer te geven. In Chrome kunt u geen ballonnen met de menuknop weergeven. Deze zijn alleen beschikbaar op pagina's met zoekresultaten. McAfee Endpoint Security 10 Producthandleiding 81

82 5 Web Control gebruiken Web Control-functies gebruiken Procedure 1 Via het menu kunt u opties selecteren. Optie Doet het volgende... Opmerkingen Siterapport weergeven Het veiligheidsrapport voor de huidige site weergeven. U kunt ook in de siteballon op Siterapport lezen klikken. Alleen beschikbaar wanneer Web Control is ingeschakeld. Ballon weergeven De balloon weergeven voor de huidige site. Alleen beschikbaar wanneer Web Control is ingeschakeld, en voor alle browsers behalve Chrome. 2 Verschijnt de knop voor een communicatiefout website dan weer en klik op Problemen oplossen., geef de ballon voor de Op de geopende pagina met de verbindingsstatus wordt de mogelijke oorzaak van de communicatiefout aangegeven. Web Control-knop geeft bedreigingen tijdens het surfen weer op pagina 78 Siterapport weergeven tijdens zoeken Gebruik het veiligheidspictogram op een pagina met zoekresultaten om meer informatie over de site weer te geven. Procedure 1 Zet de muiswijzer op het veiligheidspictogram. In een tekstballon wordt een samenvatting op hoog niveau van het veiligheidsrapport voor de site weergegeven. 2 Klik op Siterapport lezen (in de ballon) om een gedetailleerd rapport over de veiligheid van de site te lezen in een ander browservenster. Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken op pagina 79 Siterapporten bieden informatie op pagina 79 Siterapporten weergeven Bekijk de siterapporten voor meer informatie over de veiligheidsclassificatie van een site. Procedure Bekijk het rapport voor een site. Locatie Website Pagina met zoekresultaten Actie Selecteer Siterapport weergeven in het menu Web Control. Klik op de ballon. Klik op Siterapport lezen in de ballon. Klik op het veiligheidspictogram na de koppeling van de webpagina. Siterapporten bieden informatie op pagina McAfee Endpoint Security 10 Producthandleiding

83 Web Control gebruiken Web Control beheren 5 Communicatieproblemen oplossen Voer op de clientcomputer tests uit vanuit de browser om te bepalen wat de oorzaak is voor communicatieproblemen met de server voor McAfee GTI-veiligheidsclassificaties. Een oranje knop in de rechterbovenhoek van de browser duidt op communicatieproblemen met de McAfee GTI-server. U kunt in Chrome geen communicatieproblemen oplossen. Gebruik Internet Explorer of Firefox om deze tests uit te voeren. Procedure 1 In Internet Explorer of Firefox houdt u de aanwijzer boven de oranje knop om de ballon weer te geven. 2 Klik op Problemen oplossen om tests uit te voeren en de resultaten weer te geven. Wanneer deze tests zijn voltooid, wordt een verbindingsstatuspagina weergegeven met de reden voor de communicatiefout en mogelijke oplossingen. Test Controleert op... Een niet geslaagde test betekent... Internettoegang McAfee GTI Server Availability (Beschikbaarheid van McAfee GTI) Heeft de browser internettoegang? Is de McAfee GTI-server uitgeschakeld? Uw computer heeft geen toegang tot internet. Dit kan betekenen dat uw netwerkverbinding is verbroken of dat de proxyinstellingen onjuist zijn geconfigureerd. Neem contact op met uw beheerder. De McAfee GTI-servers zijn uitgeschakeld. 3 Controleer de weergegeven resultaten en volg de instructies om het probleem op te lossen. 4 Test de verbinding opnieuw door op Tests herhalen te klikken. Met de knop Tests herhalen kunt u controleren of het probleem zich nog steeds voordoet of is opgelost terwijl de pagina is geopend. Web Control-knop geeft bedreigingen tijdens het surfen weer op pagina 78 Web Control beheren Als beheerder kunt u Web Control-instellingen opgeven om bescherming in te schakelen en aan te passen, te blokkeren op basis van webcategorieën, en registratie te configureren. Voor beheerde systemen kunnen beleidswijzigingen van McAfee epo, McAfee epo Cloud of de SecurityCenter wijzigingen overschrijven van de pagina Instellingen. Web Control-opties configureren op pagina 84 Classificatieacties opgeven en sitetoegang blokkeren op basis van webcategorie op pagina 87 McAfee Endpoint Security 10 Producthandleiding 83

84 5 Web Control gebruiken Web Control beheren Web Control-opties configureren U kunt Web Control inschakelen en opties configureren vanuit de Endpoint Security Client. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op Web Control op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Web Control op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Opties. 5 Selecteer Web Control inschakelen om Web Control te activeren en de opties te bewerken. Als u het volgende wilt doen... De werkbalk van Web Control in de browser verbergen zonder de beveiliging uit te schakelen. Browsergebeurtenissen traceren om voor rapporten te gebruiken. Onbekende URL's blokkeren of waarschuwen. Bestanden scannen alvorens te downloaden. Riskante sites blokkeren zodat ze niet in zoekresultaten worden weergegeven. Doet u het volgende... Selecteer De werkbalk in de clientbrowser verbergen. Configureer instellingen in de sectie Gebeurtenisregistratie. Selecteer in Actiehandhaving, de actie (Blokkeren, Toestaan of Waarschuwen) voor sites die nog niet zijn geverifieerd door McAfee GTI. Selecteer Scannen van gedownloade bestanden inschakelen, en selecteer vervolgens het McAfee GTI-risiconiveau voor blokkering. Selecteer in Beveiligd zoeken de optie Beveiligd zoeken inschakelen, selecteer de zoekengine en geef op of koppelingen naar riskante sites moeten worden geblokkeerd. Opmerkingen Gebruik deze instelling om compatibiliteitsproblemen met derde partijen op te lossen. Configureer Web Control-gebeurtenissen die van clientsystemen naar de beheerserver worden gestuurd voor gebruik in query's en rapporten. Bij Beveiligd zoeken worden kwaadaardige sites automatisch uit de zoekresultaten gefilterd op basis van hun veiligheidsclassificatie. Web Control gebruikt Yahoo als de standaardzoekmachine. Als u de standaardzoekmachine wijzigt, moet u de browser opnieuw opstarten om de wijzigingen te implementeren. 84 McAfee Endpoint Security 10 Producthandleiding

85 Web Control gebruiken Web Control beheren 5 6 Configureer andere opties waar nodig. 7 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Hoe bestandsdownloads worden gescand op pagina 86 Aanmelden als beheerder op pagina 24 McAfee Endpoint Security 10 Producthandleiding 85

86 5 Web Control gebruiken Web Control beheren Hoe bestandsdownloads worden gescand Web Control stuurt verzoeken voor bestandsdownloads naar Threat Prevention om te worden gescand voordat wordt gedownload. 86 McAfee Endpoint Security 10 Producthandleiding

87 Web Control gebruiken Web Control beheren 5 Classificatieacties opgeven en sitetoegang blokkeren op basis van webcategorie Configureer instellingen voor Inhoudsacties om de acties op te geven die op sites en bestandsdownloads moeten worden toegepast, op basis van veiligheidsclassificaties. U kunt ook in elke webcategorie opgeven welke sites moeten worden geblokkeerd of toegestaan. Voordat u begint De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Web Control past de classificatieacties toe op sites in de niet-geblokkeerde categorieën die in de sectie Webcategorie blokkeren onder Geavanceerd zijn opgegeven. Gebruik de instellingen in Berichten voor beleidshandhaving om het bericht aan te passen dat moet worden weergegeven voor geblokkeerde sites en bestandsdownloads, sites en downloads met waarschuwingen en geblokkeerde phishingpagina's. Procedure Klik voor optiedefinities op? in de interface. 1 Open de Endpoint Security Client. 2 Klik op Web Control op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Web Control op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Inhoudsacties. 5 Schakel in de sectie Webcategorie blokkeren voor elke Webcategorie de optie Blokkeren in of uit. Voor sites in de niet-geblokkeerde categorieën past Web Control ook de classificatieacties toe. 6 Specificeer in de sectie Classificaties de acties die op sites en bestandsdownloads moeten worden toegepast, op basis van veiligheidsclassificaties gedefinieerd door McAfee. Deze acties worden ook toegepast op sites die niet worden geblokkeerd door Webcategorie blokkeren. 7 Klik op Toepassen om uw wijzigingen op te slaan, of klik op Annuleren. Webcategorieën gebruiken om toegang te beheren op pagina 87 Veiligheidsclassificaties gebruiken voor toegangscontrole op pagina 88 Aanmelden als beheerder op pagina 24 Webcategorieën gebruiken om toegang te beheren Met behulp van webcategorieën kunt u de toegang tot sites beperken op basis van categorieën die door McAfee worden gedefinieerd. U kunt opties instellen om de toegang tot sites toe te staan of te blokkeren op basis van de inhoudscategorie die ze bevatten. Wanneer u blokkering van webcategorieën inschakelt in de instellingen van Inhoudsacties, zal de software categorieën websites blokkeren of toestaan. Deze webcategorieën omvatten Gokken, Games en Expresberichten. McAfee definieert en onderhoudt de lijst van ongeveer 105 webcategorieën. McAfee Endpoint Security 10 Producthandleiding 87

88 5 Web Control gebruiken Web Control beheren Standaard worden de meeste webcategorieën met een groene classificatie door McAfee toegestaan, gele voorzien van een waarschuwing, en rode geblokkeerd. Voor sommige niet-geclassificeerde inhoudscategorieën geldt echter dat zij standaard een waarschuwing krijgen of geblokkeerd worden, op aanbeveling van McAfee GTI. Gebruik de instellingen voor Inhoudsacties om webcategorieën te blokkeren of toe te staan. Gebruik de instellingen voor Classificatieacties om de acties te specificeren voor sites en downloads in niet-geblokkeerde categorieën. Wanneer een clientgebruiker naar een site gaat, controleert de software de webcategorie voor de site. Als de site tot een gedefinieerde categorie behoort, wordt de toegang geblokkeerd of toegestaan, afhankelijk van de instellingen voor Inhoudsacties. Voor sites en bestandsdownloads in de niet-geblokkeerde categorieën past de software de opgegeven Classificatieacties toe. Veiligheidsclassificaties gebruiken voor toegangscontrole Configureer acties op basis van veiligheidsclassificaties om te bepalen of gebruikers een site, of bronnen op een site, kunnen openen. Specificeer voor elke site of bestandsdownload of deze, op basis van de classificatie moet worden toegestaan of geblokkeerd, of een waarschuwing moet krijgen. Zo kunt u nauwkeuriger werken bij het beschermen van gebruikers tegen bestanden die een mogelijke bedreiging vormen op sites met een globale groene classificatie. 88 McAfee Endpoint Security 10 Producthandleiding

89 6 Referentie van clientinterface De helponderwerpen van interfacereferentie bieden contextgevoelige hulp voor pagina's in de clientinterface. Inhoud Pagina Gebeurtenislogboek Pagina Quarantaine Common Opties Common Taken Threat Prevention Toegangsbeveiliging Threat Prevention Exploitpreventie Threat Prevention Scannen bij toegang Threat Prevention Scannen op aanvraag Scanlocaties McAfee GTI Acties Uitsluitingen toevoegen of bewerken Threat Prevention Opties AMCore-inhoud terugzetten Firewall Opties Firewall Regels Web Control Opties Web Control Inhoudsacties Pagina Gebeurtenislogboek Geeft de activiteiten- en foutopsporingsgebeurtenissen in het Gebeurtenislogboek weer. Optie Definitie Aantal gebeurtenissen Geeft het aantal gebeurtenissen aan dat Endpoint Security de afgelopen 30 dagen op het systeem heeft geregistreerd. Map met logboeken weergeven Alle gebeurtenissen weergeven Vernieuwt de weergave van het Gebeurtenislogboek met gegevens van nieuwe gebeurtenissen. Hiermee wordt de map met de logboekbestanden geopend in Windows Explorer. Hiermee worden alle filters verwijderd. McAfee Endpoint Security 10 Producthandleiding 89

90 6 Referentie van clientinterface Pagina Gebeurtenislogboek Optie Filteren op ernst Definitie Hiermee worden gebeurtenissen op risiconiveau gefilterd: Kritiek Belangrijk en hoger Minder belangrijk en hoger Hiermee worden alleen gebeurtenissen met risiconiveau 1 weergegeven. Hiermee worden alleen gebeurtenissen met risiconiveau 1 en 2 weergegeven. Hiermee worden alleen gebeurtenissen met risiconiveau 1, 2 en 3 weergegeven. Waarschuwing en hoger Hiermee worden gebeurtenissen met risiconiveau 1, 2, 3 en 4 weergegeven. Filteren op module Hiermee worden gebeurtenissen op module gefilterd: Common Threat Prevention Firewall Web Control Hiermee worden alleen Common-gebeurtenissen weergegeven. Hiermee worden alleen Threat Prevention-gebeurtenissen weergegeven. Hiermee worden alleen Firewall-gebeurtenissen weergegeven. Hiermee worden alleen Web Control-gebeurtenissen weergegeven. Welke functies in de vervolgkeuzelijst worden weergegeven, is afhankelijk van de functies die op het systeem zijn geïnstalleerd op het moment dat u het Gebeurtenislogboek opent. Zoeken Gebeurtenissen per pagina Vorige pagina Volgende pagina Pagina x van x Hiermee kunt u in het Gebeurtenislogboek naar een tekenreeks zoeken. Hiermee wordt het aantal gebeurtenissen geselecteerd dat op een pagina moet worden weergegeven. (Standaard 20 gebeurtenissen per pagina) Hiermee wordt de vorige pagina in het Gebeurtenislogboek weergegeven. Hiermee wordt de volgende pagina in het Gebeurtenislogboek weergegeven. Hiermee wordt een pagina in het Gebeurtenislogboek geselecteerd om ernaar toe te gaan. Voer een getal in het veld Pagina in en druk op Enter of klik op OK om naar de pagina te gaan. Kolomkop Hiermee wordt de gebeurtenislijst gesorteerd op... Datum De datum waarop de gebeurtenis plaatsvond. Functie De functie die de gebeurtenis registreerde. 90 McAfee Endpoint Security 10 Producthandleiding

91 Referentie van clientinterface Pagina Quarantaine 6 Kolomkop Hiermee wordt de gebeurtenislijst gesorteerd op... Actie Actie die Endpoint Security (eventueel) heeft genomen als reactie op de gebeurtenis. De actie wordt in de instellingen geconfigureerd. Toegestaan Toegang geweigerd Verwijderd Doorgaan Opgeschoond Verplaatst Geblokkeerd Zou blokkeren Toegang tot bestand toegestaan. Toegang tot bestand geweigerd. Bestand is automatisch verwijderd. Bedreiging is automatisch uit het bestand verwijderd. Het bestand is naar de quarantainemap verplaatst. Toegang tot het bestand is geblokkeerd. Een toegangsbeveiligingsregel zou de toegang tot het bestand blokkeren als de regel werd afgedwongen. Ernst Ernstigheidsgraad van de gebeurtenis. Kritiek 1 Belangrijk 2 Minder belangrijk 3 Waarschuwing 4 Informatief 5 Het Gebeurtenislogboek op pagina 21 Pagina Quarantaine Hiermee worden items in quarantaine beheerd. Optie Verwijderen Definitie Hiermee worden geselecteerde items uit de quarantaine verwijderd. Het is niet mogelijk verwijderde items te herstellen. Herstellen Hiermee worden items uit de quarantaine hersteld. Endpoint Security herstelt items naar hun oorspronkelijke locatie en verwijdert ze uit de quarantaine. Als een item nog steeds een geldige bedreiging is, zet Endpoint Security het item onmiddellijk terug in de quarantaine. Opnieuw scannen Kolomkop Detectienaam Type Hiermee worden geselecteerde items in quarantaine opnieuw gescand. Als het item niet langer een bedreiging is, zet Endpoint Security het item terug op de oorspronkelijke locatie en wordt het uit de quarantaine verwijderd. Sorteert de quarantainelijst op... Naam van de detectie. Type bedreiging, bijvoorbeeld Trojaans paard of adware. McAfee Endpoint Security 10 Producthandleiding 91

92 6 Referentie van clientinterface Common Opties Kolomkop Tijd in quarantaine geplaatst Aantal objecten Versie van AMCore-inhoud Sorteert de quarantainelijst op... Hoelang het item in quarantaine is geplaatst. Het aantal objecten in de detectie. Items in quarantaine beheren op pagina 39 Namen gedetecteerde items op pagina 41 Het versienummer van de AMCore-inhoud die de bedreiging heeft geïdentificeerd. Common Opties Hiermee worden instellingen voor Endpoint Security Client-interface, Zelfbeveiliging, activiteitenlogboek en foutregistratie en de proxyserver geconfigureerd. Tabel 6-1 Sectie Optie Definitie Clientinterfacemodus Volledige toegang Hiermee wordt toegang tot alle functies toegestaan. (standaard voor systemen in eigen beheer) Standaardtoegang Hiermee wordt de beveiligingsstatus weergegeven en is toegang tot de meeste functies toegestaan, zoals het uitvoeren van updates en scans. Voor de modus Standaardtoegang is een wachtwoord vereist om weer te geven en te wijzigen op de pagina Endpoint Security Client Instellingen. Het standaardwachtwoord is mcafee. (standaard voor beheerde systemen) Clientinterface vergrendelen Beheerderswachtwoord instellen Er is een wachtwoord vereist voor toegang tot de Endpoint Security Client. Hiermee wordt het beheerderswachtwoord opgegeven dat is vereist voor toegang tot alle functies van de Endpoint Security Client-interface, voor Standaardtoegang en Clientinterface vergrendelen. Wachtwoord Wachtwoord bevestigen Hiermee wordt het beheerderswachtwoord opgegeven. Hiermee wordt het beheerderswachtwoord bevestigd. Installatie verwijderen Wachtwoord vereisen om de client te verwijderen Hiermee wordt een wachtwoord opgegeven en vereist om Endpoint Security Client te verwijderen. (standaard uitgeschakeld voor systemen in eigen beheer) Het standaardwachtwoord is mcafee. Wachtwoord Wachtwoord bevestigen Hiermee wordt het wachtwoord voor verwijderen opgegeven. Hiermee wordt het wachtwoord voor verwijderen bevestigt. 92 McAfee Endpoint Security 10 Producthandleiding

93 Referentie van clientinterface Common Opties 6 Tabel 6-2 Geavanceerde opties Sectie Optie Definitie Taal clientinterface Automatisch Hiermee wordt automatisch de taal ingesteld die moet worden gebruikt voor de interfacetekst van Endpoint Security Client, gebaseerd op de taal op het clientsysteem. Taal Hiermee wordt de taal opgegeven die moet worden gebruikt voor de interfacetekst van Endpoint Security Client. Voor beheerde systemen zijn de wijzigingen die vanaf het clientsysteem worden toegepast, van invloed op de Endpoint Security Client-interface. De taalwijziging wordt toegepast nadat de Endpoint Security Client opnieuw is opgestart. De taal van de client is niet van invloed op de logboekbestanden. Logboekbestanden worden altijd weergegeven in de taal die in de standaardlandinstellingen van het systeem is opgegeven. Zelfbeveiliging Zelfbeveiliging inschakelen Hiermee worden Endpoint Security-systeembronnen beschermd tegen schadelijke activiteiten. Actie Hiermee wordt de actie opgegeven die moet worden genomen wanneer schadelijke activiteit plaatsvindt: Blokkeren en rapporteren: activiteit wordt geblokkeerd en gerapporteerd bij McAfee epo. (standaard geselecteerd) Alleen blokkeren: activiteit wordt geblokkeerd maar wordt niet gerapporteerd bij McAfee epo. Alleen rapporteren: activiteit wordt gerapporteerd bij McAfee epo maar wordt niet geblokkeerd. Bestanden en mappen Register Processen De volgende processen uitsluiten Voorkomt dat McAfee-systeembestanden en -mappen worden gewijzigd of verwijderd. Voorkomt dat McAfee-registersleutels en -waarden worden gewijzigd of verwijderd. Voorkomt dat McAfee-processen worden gestopt. Hiermee wordt de toegang tot de opgegeven processen toegestaan. Toevoegen Verwijderen Hiermee wordt een proces aan de lijst met uitsluitingen toegevoegd. Klik op Toevoegen en voer de naam van de bron exact in, zoals avtask.exe. Hiermee wordt een proces van de lijst met uitsluitingen verwijderd. Selecteer de bron en klik op Verwijderen. McAfee Endpoint Security 10 Producthandleiding 93

94 6 Referentie van clientinterface Common Opties Tabel 6-2 Geavanceerde opties (vervolg) Sectie Optie Definitie Klantlogboekgebruik Locatie logboekbestanden Hiermee wordt de locatie van het updatelogboekbestand opgegeven. De standaardlocatie is: <SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint \Logs Druk op Enter of klik op Bladeren om naar een locatie te gaan. Activiteitenlogboekregistratie Activiteitenlogboekregistratie inschakelen Maximale grootte van alle activiteitenlogboeken (MB) Hiermee wordt registratie van alle Endpoint Security-activiteiten ingeschakeld. Beperkt de grootte van elk activiteitenlogboek tot de opgegeven maximumgrootte (tussen 1 en 999 MB). De standaardinstelling is 10 MB. Schakel deze optie uit om toe te staan dat logboekbestanden onbeperkt kunnen groeien. Als het logboekbestand deze grootte overschrijdt, wordt de eerste 25 procent van de vermeldingen in het bestand overschreven door nieuwe gegevens. Foutregistratie Wanneer u foutregistratie voor een willekeurige module inschakelt, wordt ook foutregistratie voor de functies van de Common-module ingeschakeld, zoals Zelfbeveiliging. Inschakelen voor Threat Prevention Hiermee wordt uitgebreide registratie voor Threat Prevention en afzonderlijke technologieën ingeschakeld: Inschakelen voor Toegangsbeveiliging Inschakelen voor Exploitpreventie Inschakelen voor scanner bij toegang Inschakelen voor scanner op verzoek Registreert in AccessProtection_Debug.log Registreert in ExploitPrevention_Debug.log Registreert in OnAccessScan_Debug.log Registreert in OnDemandScan_Debug.log Wanneer u foutregistratie voor een willekeurige Threat Prevention-technologie inschakelt, wordt ook foutregistratie voor de Endpoint Security Client ingeschakeld. Inschakelen voor Firewall Inschakelen voor Web Control Hiermee wordt uitgebreide registratie van Firewall-activiteit ingeschakeld. Hiermee wordt uitgebreide registratie van Web Control-activiteit ingeschakeld. 94 McAfee Endpoint Security 10 Producthandleiding

95 Referentie van clientinterface Common Opties 6 Tabel 6-2 Geavanceerde opties (vervolg) Sectie Optie Definitie Maximale grootte van alle foutopsporingslogboeken (MB) Beperkt de grootte van elk foutopsporingslogboek tot de opgegeven maximumgrootte (tussen 1 en 999 MB). De standaardinstelling is 50 MB. Schakel deze optie uit om toe te staan dat logboekbestanden onbeperkt kunnen groeien. Als het logboekbestand deze grootte overschrijdt, wordt de eerste 25 procent van de vermeldingen in het bestand overschreven door nieuwe gegevens. Logboekregistratie Gebeurtenissen naar McAfee epo sturen Hiermee worden alle gebeurtenissen die in het Gebeurtenislogboek op de Endpoint Security Client zijn geregistreerd naar McAfee epo. Deze optie is alleen beschikbaar op systemen die door McAfee epo of McAfee epo Cloud worden beheerd. Gebeurtenissen in het Windows-toepassingslogboek registreren Hiermee worden alle gebeurtenissen die in het Gebeurtenislogboek op de Endpoint Security Client zijn geregistreerd naar het Windows-toepassingslogboek. Het Windows-toepassingslogboek kan in Windows worden geopend via Logboeken Windows-logboeken Toepassing. Risiconiveaus Hiermee wordt het risiconiveau opgegeven van gebeurtenissen die naar het Gebeurtenislogboek op de Endpoint Security Client moeten worden gestuurd: Geen Alleen kritiek Belangrijk en kritiek Minder belangrijk, belangrijk en kritiek Alle behalve informatief Alle Hiermee worden geen waarschuwingen gestuurd Hiermee worden alleen waarschuwingen van niveau 1 gestuurd Hiermee worden waarschuwingen van niveau 1 en 2 gestuurd Hiermee worden waarschuwingen van niveau 1 3 gestuurd Hiermee worden waarschuwingen van niveau 1 4 gestuurd Hiermee worden waarschuwingen van niveau 1 5 gestuurd 1 Kritiek 2 Belangrijk 3 Minder belangrijk 4 Waarschuwing 5 Informatief McAfee Endpoint Security 10 Producthandleiding 95

96 6 Referentie van clientinterface Common Opties Tabel 6-2 Geavanceerde opties (vervolg) Sectie Optie Definitie Threat Prevention-gebeurtenissen die moeten worden geregistreerd Firewall-gebeurtenissen die moeten worden geregistreerd Web Control-gebeurtenissen die moeten worden geregistreerd Hiermee wordt het risiconiveau opgegeven van gebeurtenissen voor elke Threat Prevention-functie die moeten worden geregistreerd: Toegangsbeveiliging Exploitpreventie Scanner bij toegang Scanner op aanvraag Hiermee wordt het risiconiveau opgegeven van Firewall-gebeurtenissen die moeten worden geregistreerd. Hiermee wordt het risiconiveau opgegeven van Web Control-gebeurtenissen die moeten worden geregistreerd. Proxyserver voor McAfee GTI Geen proxyserver Hiermee wordt opgegeven dat de beheerde systemen McAfee GTI-reputatiegegevens rechtstreeks via internet ophalen, niet via een proxyserver. (Standaardinstelling) Proxyinstellingen van het systeem gebruiken Proxyserver configureren Hiermee wordt opgegeven dat de proxyinstellingen van het clientsysteem moeten worden gebruikt, en dat HTTP-proxyverificatie eventueel moet worden ingeschakeld. Hiermee worden proxyinstellingen aangepast. Adres: hiermee wordt het IP-adres of volledig gekwalificeerde domeinnaam van de HTTP-proxyserver opgegeven. Poort: hiermee wordt toegang via de opgegeven poort beperkt. De volgende adressen uitsluiten: gebruik de HTTP-proxyserver niet voor websites of IP-adressen die met de opgegeven vermeldingen beginnen. Klik op Toevoegen en voer vervolgens de adresnaam in die moet worden uitgesloten. HTTP-proxyverificatie inschakelen Hiermee wordt opgegeven dat de HTTP-proxyserver verificatie vereist. (Deze optie is alleen beschikbaar wanneer u een HTTP-proxyserver hebt geselecteerd.) Voer HTTP-proxyreferenties in: Gebruikersnaam: hiermee wordt de gebruikersaccount met machtigingen voor de HTTP-proxyserver opgegeven. Wachtwoord: hiermee wordt het wachtwoord voor Gebruikersnaam opgegeven. Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. 96 McAfee Endpoint Security 10 Producthandleiding

97 Referentie van clientinterface Common Opties 6 Tabel 6-2 Geavanceerde opties (vervolg) Sectie Optie Definitie Standaard clientupdate De knop Nu bijwerken inschakelen in de client Hiermee wordt de knop op de hoofdpagina van de Endpoint Security Client ingeschakeld. Klik op deze knop om handmatig op updates voor inhoudsbestanden en softwareonderdelen te controleren en deze te downloaden op het clientsysteem. U kunt deze instellingen alleen op systemen in eigen beheer en systemen in beheer van McAfee epo configureren. Wat er bijgewerkt moet worden Hiermee wordt opgegeven wat er moet worden bijgewerkt, wanneer er op de knop wordt geklikt. Veiligheidsinhoud, hotfixes en patches Veiligheidsinhoud Hotfixes en patches Hiermee worden veiligheidsinhoud (inclusief engine, AMCore en inhoud van exploitpreventie), hotfixes en patches naar de nieuwste versies bijgewerkt. Hiermee wordt alleen de veiligheidsinhoud bijgewerkt (standaard). Hiermee worden alleen hotfixes en patches bijgewerkt. McAfee Endpoint Security 10 Producthandleiding 97

98 6 Referentie van clientinterface Common Opties Tabel 6-2 Geavanceerde opties (vervolg) Sectie Optie Definitie Bronsites voor updates Hiermee worden de sites geconfigureerd vanwaar updates voor inhoudsbestanden en softwareonderdelen kunnen worden opgehaald. U kunt deze instellingen alleen op systemen in eigen beheer configureren. Toevoegen Importeren Verwijderen Hiermee wordt een site aan de lijst met bronlocaties toegevoegd. Raadpleeg Bronsites Toevoegen of Bewerken op pagina 99 voor meer informatie. Hiermee wordt een lijst met sites uit een ML-bestand geïmporteerd. Hiermee wordt de geselecteerde site uit de lijst met bronlocaties verwijderd. Hiermee worden elementen aangegeven die in de lijst kunnen worden verplaatst. Selecteer elementen, sleep ze naar de nieuwe locatie en zet ze daar vervolgens neer. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten. U kunt de twee standaardbronsites voor back-up in- en uitschakelen (NAIFtp en NAIHttp), maar u kunt ze verder niet wijzigen, verwijderen of in de lijst verplaatsen. Proxyserver voor bronsites Geen proxyserver Hiermee wordt opgegeven dat de beheerde systemen McAfee GTI-reputatiegegevens rechtstreeks via internet ophalen, niet via een proxyserver. (Standaardinstelling) Proxyinstellingen van het systeem gebruiken Hiermee wordt opgegeven dat de proxyinstellingen van het clientsysteem moeten worden gebruikt, en dat HTTP- of FTP-proxyverificatie eventueel moet worden ingeschakeld. 98 McAfee Endpoint Security 10 Producthandleiding

99 Referentie van clientinterface Common Opties 6 Tabel 6-2 Geavanceerde opties (vervolg) Sectie Optie Definitie Proxyserver configureren Hiermee worden proxyinstellingen aangepast. HTTP-/FTP-adres: hiermee wordt het DNS-, IPv4- of IPv6-adres van de HTTP- of FTP-proxyserver opgegeven. Poort: hiermee wordt toegang via de opgegeven poort beperkt. De volgende adressen uitsluiten: hiermee worden de adressen opgegeven voor Endpoint Security Client-systemen die de proxyserver niet moeten gebruiken voor het ophalen van McAfee GTI-classificaties. Klik op Toevoegen en voer vervolgens de adresnaam in die moet worden uitgesloten. HTTP-/FTP-proxyverificatie inschakelen Hiermee wordt opgegeven dat de HTTP- of FTP-proxyserver verificatie vereist. (Deze optie is alleen beschikbaar wanneer u een HTTP- of FTP-proxyserver hebt geselecteerd.) Voer proxyreferenties in: Gebruikersnaam: hiermee wordt de gebruikersaccount met machtigingen voor de proxyserver opgegeven. Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. Endpoint Security-bronnen beveiligen op pagina 28 Registratie-instellingen configureren op pagina 29 Instellingen voor de beveiliging van de clientinterface configureren op pagina 29 Proxyserverinstellingen configureren voor McAfee GTI op pagina 30 Updategedrag van configureren op pagina 31 Bronsites configureren voor clientupdates op pagina 32 Bronsites Toevoegen of Bewerken op pagina 99 Bronsites Toevoegen of Bewerken Hiermee wordt een site in de lijst met bronlocaties geplaatst of bewerkt. Tabel 6-3 Optiedefinities Optie Naam Inschakelen Bestanden ophalen van Definitie Geeft de naam aan van de bronsite die de updatebestanden bevat. Hiermee wordt gebruik van de bronsite voor het downloaden van updatebestanden in- of uitgeschakeld. Hier wordt opgegeven waar de bestanden moeten worden opgehaald. McAfee Endpoint Security 10 Producthandleiding 99

100 6 Referentie van clientinterface Common Opties Tabel 6-3 Optiedefinities (vervolg) Optie HTTP-opslagplaats Definitie Hiermee worden bestanden uit de toegewezen HTTP-opslagplaatslocatie opgehaald. HTTP biedt de mogelijkheid updates onafhankelijk van de netwerkbeveiliging uit te voeren, maar ondersteunt meer gelijktijdige verbindingen dan FTP. URL Verificatie gebruiken DNS-naam: geeft aan dat de URL een domeinnaam is. IPv4: geeft aan dat de URL een IPv4-adres is. IPv6: geeft aan dat de URL een IPv6-adres is. : specificeert het adres van de HTTP-server en -map waar de updatebestanden zich bevinden. Poort: geeft het poortnummer voor de HTTP-server aan. Hier kunt u selecteren of u verificatie wilt gebruiken en de aanmeldingsgegevens voor toegang tot de map met updatebestanden opgeven. Gebruikersnaam: geeft de gebruikersaccount op die leesrechten heeft voor de map met updatebestanden. Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. 100 McAfee Endpoint Security 10 Producthandleiding

101 Referentie van clientinterface Common Opties 6 Tabel 6-3 Optiedefinities (vervolg) Optie FTP-opslagplaats Definitie Hiermee worden bestanden uit de toegewezen FTP-opslagplaatslocatie opgehaald. Een FTP-site biedt de flexibiliteit van bijwerken zonder u aan netwerkbeveiligingsrechten te hoeven houden. Omdat FTP minder snel last heeft van aanvallen door ongewenste codes dan HTTP, kan dit een betere tolerantie bieden. URL Anoniem inloggen gebruiken DNS-naam: geeft aan dat de URL een domeinnaam is. IPv4: geeft aan dat de URL een IPv4-adres is. IPv6: geeft aan dat de URL een IPv6-adres is. ftp:// : specificeert het adres van de FTP-server en -map waar de updatebestanden zich bevinden. Poort: geeft het poortnummer voor de FTP-server aan. Hiermee kunt u ervoor kiezen anonieme FTP te gebruiken om de map met updatebestanden op te roepen. Hef de selectie van deze optie op om aanmeldingsgegevens voor toegang op te geven. Gebruikersnaam: geeft de gebruikersaccount op die leesrechten heeft voor de map met updatebestanden. Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. UNC-pad of Lokaal pad Hiermee worden bestanden uit de toegewezen UNC of het toegewezen lokale pad opgehaald. Een UNC-site is het snelst en gemakkelijkst in te stellen. Voor UNC-updates tussen domeinen zijn beveiligingsmachtigingen voor elk van de domeinen nodig, hetgeen het configureren van updates ingewikkelder maakt. Pad Aanmeldingsaccount gebruiken UNC-pad: hiermee wordt het pad opgegeven dat UNC-notatie gebruikt (\\servernaam\pad\). Lokaal pad: hiermee wordt het pad opgegeven van een map op een lokaal of netwerkstation. Hiermee wordt de aanmeldingsaccount gebruikt voor toegang tot de updatebestanden. Deze account moet leesrechten hebben voor de mappen met de updatebestanden. Hef de selectie van deze optie op om aanmeldingsgegevens voor toegang op te geven. Domein: geeft het domein op voor de gebruikersaccount. Gebruikersnaam: geeft de gebruikersaccount op die leesrechten heeft voor de map met updatebestanden. Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. McAfee Endpoint Security 10 Producthandleiding 101

102 6 Referentie van clientinterface Common Taken Tabel 6-3 Optiedefinities (vervolg) Optie Definitie Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. Common Taken Hiermee worden Endpoint Security Client-taken gepland. Sectie Optie Taken Definitie Geeft de momenteel gedefinieerde en geplande taken aan. Dubbelklik op de taakrij om een bestaande taak te bewerken. Naam Functie Schema Status Laatst uitgevoerd Naam van de geplande taak. Module of functie waaraan de taak is gekoppeld. Wanneer de taak moet worden uitgevoerd en of deze is uitgeschakeld. Status van de laatste keer waarop de taak is uitgevoerd: (geen status) nooit uitgevoerd Wordt uitgevoerd wordt nu uitgevoerd of is hervat Onderbroken onderbroken door gebruiker (zoals een scan) Uitgesteld uitgesteld door gebruiker (zoals een scan) Voltooid uitgevoerd zonder fouten Voltooid (fouten) uitgevoerd met fouten Mislukt niet voltooid Datum en tijd waarop de taak de laatste keer is uitgevoerd. Nu uitvoeren Opent het dialoogvenster dat aan de geselecteerde taak is gekoppeld. Snelle scan Volledige scan Standaard clientupdate Opent het dialoogvenster Snelle scan en start de scan. Opent het dialoogvenster Volledige scan en start de scan. Opent het dialoogvenster Bijwerken en start de update. Verwijderen Toevoegen Verwijdert de geselecteerde taak. Voegt een nieuwe geplande taak toe. Een Volledige scan of Snelle scan uitvoeren op pagina 36 Beveiliging en software handmatig bijwerken op pagina 20 Taken Volledige scan of Snelle scan bewerken op pagina 103 Taak Standaard clientupdate bewerken op pagina McAfee Endpoint Security 10 Producthandleiding

103 Referentie van clientinterface Common Taken 6 Taken Volledige scan of Snelle scan bewerken Hiermee kan de taak Volledige scan of Snelle scan gepland en bewerkt worden. Zie Configureer instellingen voor Scannen op aanvraag op pagina 55 voor informatie over het configureren van de instellingen voor Volledige scan en Snelle scan. Standaard is ingesteld dat de Volledige scan en de Snelle scan beide elke dag om worden uitgevoerd. De planningen zijn uitgeschakeld. Tabel 6-4 U kunt deze instellingen alleen op systemen in eigen beheer configureren. Categorie Optie Definitie Schema Schema inschakelen Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd. (Standaard uitgeschakeld) Deze optie moet worden geselecteerd om de taak te plannen. Herhalingen Hiermee wordt de taakfrequentie opgegeven. Dagelijks Wekelijks Maandelijks Voert de taak elke dag uit op de opgegeven Begintijd. Voert de taak wekelijks uit op: de weken die zijn opgegeven in Frequentie de dagen die zijn opgegeven in Uitvoeren op Voert de taak maandelijks uit op: de opgegeven dag van de maand de opgegeven dagen van de week; eerste, tweede, derde, vierde of laatste Begintijd Specificeert de tijd waarop de taak moet starten. Eenmaal uitvoeren op die tijd Uitvoeren op die tijd, en dan herhalen tot Uitvoeren op die tijd, en dan herhalen Voert de taak eenmaal uit op de opgegeven Begintijd. Voert de taak uit op de opgegeven Begintijd. Vervolgens wordt de taak telkens na een gespecificeerd aantal uren/minuten herhaald tot de ingestelde eindtijd. Voert de taak uit op de opgegeven Begintijd. Vervolgens wordt de taak telkens na een gespecificeerd aantal uren/minuten herhaald tot de ingestelde hoeveelheid tijd is verstreken. Time-out Account Deze taak stoppen als deze langer wordt uitgevoerd dan Stopt de taak nadat het opgegeven aantal Uren en Minuten is verstreken. Als de taak wordt onderbroken voordat deze is voltooid, begint deze de volgende keer dat de taak wordt gestart op het punt waarop de taak is onderbroken. Hier worden de aanmeldingsgegevens weergegeven die gebruikt moeten worden om de taak uit te voeren. Als er geen aanmeldingsgegevens zijn opgegeven, wordt de taak als de lokale systeembeheerdersaccount uitgevoerd. McAfee Endpoint Security 10 Producthandleiding 103

104 6 Referentie van clientinterface Common Taken Tabel 6-4 (vervolg) Categorie Optie Gebruikersnaam Wachtwoord Wachtwoord bevestigen Domein Definitie Geeft de gebruikersaccount op. Geeft het wachtwoord voor de opgegeven gebruikersaccount op. Bevestigt het wachtwoord voor de opgegeven gebruikersaccount. Geeft het domein op voor de opgegeven gebruikersaccount. Configureer instellingen voor Scannen op aanvraag op pagina 55 Een Volledige scan of Snelle scan uitvoeren op pagina 36 De taken Volledige scan en Snelle scan plannen op pagina 60 Taak Standaard clientupdate bewerken Hiermee kan de Standaard clientupdate gepland en bewerkt worden. Zie Updategedrag van configureren op pagina 31 voor informatie over het configureren van de instellingen voor Standaard clientupdate. De taak Standaard clientupdate wordt standaard elke dag om uitgevoerd en elke vier uur herhaald tot Tabel 6-5 U kunt deze instellingen alleen op systemen in eigen beheer configureren. Categorie Optie Definitie Schema Schema inschakelen Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd. (Standaard ingeschakeld) Deze optie moet worden geselecteerd om de taak te plannen. Herhalingen Hiermee wordt de taakfrequentie opgegeven. Dagelijks Wekelijks Maandelijks Voert de taak elke dag uit op de opgegeven Begintijd. Voert de taak wekelijks uit op: de weken die zijn opgegeven in Frequentie de dagen die zijn opgegeven in Uitvoeren op Voert de taak maandelijks uit op: de opgegeven dag van de maand de opgegeven dagen van de week; eerste, tweede, derde, vierde of laatste 104 McAfee Endpoint Security 10 Producthandleiding

105 Referentie van clientinterface Threat Prevention Toegangsbeveiliging 6 Tabel 6-5 (vervolg) Categorie Optie Begintijd Definitie Specificeert de tijd waarop de taak moet starten. Eenmaal uitvoeren op die tijd Uitvoeren op die tijd, en dan herhalen tot Uitvoeren op die tijd, en dan herhalen Voert de taak eenmaal uit op de opgegeven Begintijd. Voert de taak uit op de opgegeven Begintijd. Vervolgens wordt de taak telkens na een gespecificeerd aantal uren/minuten herhaald tot de ingestelde eindtijd. Voert de taak uit op de opgegeven Begintijd. Vervolgens wordt de taak telkens na een gespecificeerd aantal uren/minuten herhaald tot de ingestelde hoeveelheid tijd is verstreken. Time-out Deze taak stoppen als deze langer wordt uitgevoerd dan Stopt de taak nadat het opgegeven aantal Uren en Minuten is verstreken. Als de taak wordt onderbroken voordat deze is voltooid, begint deze de volgende keer dat de taak wordt gestart op het punt waarop de taak is onderbroken. Account Hier worden de aanmeldingsgegevens weergegeven die gebruikt moeten worden om de taak uit te voeren. Als er geen aanmeldingsgegevens zijn opgegeven, wordt de taak als de lokale systeembeheerdersaccount uitgevoerd. Gebruikersnaam Wachtwoord Wachtwoord bevestigen Domein Geeft de gebruikersaccount op. Geeft het wachtwoord voor de opgegeven gebruikersaccount op. Bevestigt het wachtwoord voor de opgegeven gebruikersaccount. Geeft het domein op voor de opgegeven gebruikersaccount. Updategedrag van configureren op pagina 31 De taak Standaard clientupdate plannen op pagina 33 Common Taken op pagina 102 Threat Prevention Toegangsbeveiliging Hiermee worden de toegangspunten van uw systeem beveiligd op basis van geconfigureerde regels. Zie Common Opties op pagina 92 instellingen voor configuratie van logboekregistratie. Toegangsbeveiliging vergelijkt een gevraagde actie met de lijst met geconfigureerde regels en handelt volgens de regel. Tabel 6-6 Sectie Optie Definitie TOEGANGSBEVEILIGING Toegangsbeveiliging inschakelen Hiermee wordt de functie Toegangsbeveiliging ingeschakeld. McAfee Endpoint Security 10 Producthandleiding 105

106 6 Referentie van clientinterface Threat Prevention Toegangsbeveiliging Tabel 6-7 Geavanceerde opties Sectie Optie Beschrijving Uitsluitingen De volgende processen uitsluiten voor alle regels Hiermee wordt de toegang tot de opgegeven processen voor alle regels toegestaan. Toevoegen Verwijderen Hiermee wordt een proces aan de lijst met uitsluitingen toegevoegd. Klik op Toevoegen en voer de naam van het proces exact in, zoals avtask.exe. Hiermee wordt een proces van de lijst met uitsluitingen verwijderd. Selecteer het proces en klik op Verwijderen. Regels Specificeert acties voor toegangsbeveiligingsregels. Alleen blokkeren Alleen rapporteren Blokkeren en rapporteren Hiermee worden toegangspogingen geblokkeerd zonder dat dit wordt geregistreerd. Hiermee verschijnen waarschuwingen maar worden toegangspogingen niet geblokkeerd. Deze instelling kan nuttig zijn als de volledige uitwerking van een regel niet bekend is. Controleer de logboeken en rapporten om te bepalen of toegang moet worden geblokkeerd. Hiermee worden toegangspogingen geblokkeerd en geregistreerd. Als u alle pogingen wilt blokkeren en rapporteren, selecteert u Block (Blokkeren) of Report (Rapporteren) in de eerste rij. Hef de selectie van Blokkeren en Rapporteren op als u de regel wilt uitschakelen. De volgende processen uitsluiten voor de geselecteerde regel Installatie van nieuwe CLSID's, APPID's en TYPELIB's Hiermee worden de uitsluitingen voor de geselecteerde regel gewijzigd. Selecteer een regel, klik op Toevoegen en voer vervolgens een proces in dat van de geselecteerde regel moet worden uitgesloten. Wilt u een uitsluiting verwijderen, dan selecteert u deze en klikt u op Verwijderen. Hiermee wordt de installatie of registratie van nieuwe COM-servers voorkomen. Deze regel beschermt tegen adware- en spywareprogramma's die zichzelf installeren als COM-invoegtoepassing in Internet Explorer of Microsoft Office-toepassingen. Als u wilt voorkomen dat legitieme toepassingen worden geblokkeerd die COM-invoegtoepassingen registreren, waaronder veelvoorkomende toepassingen zoals Macromedia Flash, voegt u ze toe aan de lijst met uitsluitingen. Register-editor en Taakbeheer uitschakelen Hiermee worden Windows-registervermeldingen beveiligd, omdat wordt voorkomen dat de Register-editor en Taakbeheer worden uitgeschakeld. Schakel in geval van een uitbraak deze regel uit om het register te kunnen wijzigen, of open Taakbeheer om actieve processen te stoppen. 106 McAfee Endpoint Security 10 Producthandleiding

107 Referentie van clientinterface Threat Prevention Toegangsbeveiliging 6 Tabel 6-7 Geavanceerde opties (vervolg) Sectie Optie Beschrijving Gebruiksrechtbeleid wijzigen Hiermee worden registerwaarden beschermd die Windows-beveiligingsgegevens bevatten. Deze regel voorkomt dat wormen accounts wijzigen die beheerdersrechten hebben. Registratie van bestandsextensies wijzigen Hiermee worden de registersleutels onder HKEY_CLASSES_ROOT beveiligd waar bestandsextensies zijn geregistreerd. Deze regel voorkomt dat malware de bestandsextensieregistraties wijzigt zodat malware op de achtergrond kan worden uitgevoerd. Schakel deze regel uit wanneer u geldige toepassingen installeert die bestandsextensieregistraties in het register wijzigen. Deze regel is een strenger alternatief voor.ee en andere extensies van uitvoerbare bestanden hijacken. Portable Executable-, INI- en PIF-bestandstypen en kernsysteemlocaties op afstand maken of wijzigen Hiermee wordt voorkomen dat andere computers een verbinding maken en uitvoerbare bestanden wijzigen, zoals bestanden in de Windows-map. Deze regel is alleen van toepassing op bestandstypen die gewoonlijk worden geïnfecteerd door virussen. Deze regel beschermt tegen zich snel verspreidende wormen of virussen, die via open of beheershares door een netwerk gaan. Deze regel is een minder strenge versie van Alle shares alleen-lezen maken. Automatisch uitvoerbare bestanden op afstand maken Bestanden uitvoeren vanuit een willekeurige tijdelijke map Hiermee wordt voorkomen dat andere computers een verbinding maken en automatisch uitvoerbare bestanden (autorun.inf) maken of wijzigen. Dergelijke bestanden worden gebruikt om automatisch programmatypen te starten, meestal set-upbestanden op cd's. Deze regel voorkomt dat spyware en adware op cd's worden uitgevoerd. Deze regel is geselecteerd om standaard te Blokkeren en Rapporteren. Hiermee wordt voorkomen dat uitvoerbare bestanden worden uitgevoerd of gestart vanuit een map met 'temp' (tijdelijk) in de naam. Deze regel beschermt tegen malware die wordt opgeslagen en uitgevoerd via een tijdelijke map van de gebruiker of het systeem, zoals uitvoerbare bijlagen in en gedownloade programma's. Hoewel deze regel de beste bescherming biedt, kan het gebeuren dat legitieme toepassingen niet kunnen worden geïnstalleerd. McAfee Endpoint Security 10 Producthandleiding 107

108 6 Referentie van clientinterface Threat Prevention Toegangsbeveiliging Tabel 6-7 Geavanceerde opties (vervolg) Sectie Optie Beschrijving Scripts uitvoeren door Windows-scripthost (CScript.exe of Wscript.exe) vanuit een willekeurige tijdelijke map Hiermee wordt voorkomen dat de Windows-scripthost VBScripten JavaScript-scripts uitvoert in alle mappen met 'temp' (tijdelijk) in de naam. Deze regel beschermt tegen veel trojaanse paarden en verdachte webinstallatiemethoden die worden gebruikt door adware- en spywaretoepassingen. Deze regel kan voorkomen dat legitieme scripts en toepassingen van derden worden geïnstalleerd of uitgevoerd. Deze regel is geselecteerd om standaard te Rapporteren. Telefoonboekbestanden met externe toegang oproepen of wijzigen Tftp.exe uitvoeren en lezen Hiermee wordt voorkomen dat malware de contactlijsten van gebruikers leest, die worden opgeslagen in rasphone.pbk-bestanden in de profielmappen van gebruikers. Hiermee wordt het gebruik van TFTP (Trivial File Transfer Protocol) voorkomen, een protocol voor bestandsoverdracht zonder gebruikersverificatie. Deze regel voorkomt dat malware TFTP gebruikt om nog meer malware naar het systeem te downloaden, waardoor verdere infecties worden voorkomen. Aangezien Windows toegang vereist tot tftp.exe bij het installeren van Windows Servicepacks, moet u deze regel uitschakelen wanneer u patches en Servicepacks installeert. Bestanden in Internet Explorer-cache lezen Hiermee wordt toegang tot items in de cache van Internet Explorer beperkt tot alleen Internet Explorer. Deze regel voorkomt dat malware in de Internet Explorer-cache zoekt naar adressen en wachtwoorden voor websites. Alle processen die de WinInet-bibliotheek gebruiken of een Internet Explorer-besturingselement in een venster hosten, hebben toegang tot de cache. Als deze regel is ingeschakeld, moet u misschien processen aan de regel toevoegen. Lokale bestanden of mappen op afstand openen Hiermee wordt lees- en schrijftoegang voor externe computers op de computer geblokkeerd. Deze regel voorkomt dat een worm die van share naar share gaat, zich kan verspreiden. In een standaardomgeving is deze regel geschikt voor werkstations, maar niet servers, en alleen wanneer computers actief worden aangevallen. Als een computer wordt beheerd door er bestanden naar te duwen, voorkomt deze regel dat er updates of patches worden geïnstalleerd. Deze regel heeft geen effect op de beheerfuncties van McAfee epo. 108 McAfee Endpoint Security 10 Producthandleiding

109 Referentie van clientinterface Threat Prevention Toegangsbeveiliging 6 Tabel 6-7 Geavanceerde opties (vervolg) Sectie Optie Beschrijving Bestanden of mappen op afstand maken of wijzigen Hiermee wordt schrijftoegang tot alle shares geblokkeerd. Deze regel is nuttig bij een uitbraak, omdat schrijftoegang wordt geblokkeerd en de verspreiding van een infectie wordt beperkt. De regel blokkeert malware die anders het gebruik van de computer of een netwerk in ernstige mate zou beperken. In een standaardomgeving is deze regel geschikt voor werkstations, maar niet servers, en alleen wanneer computers actief worden aangevallen. Als een computer wordt beheerd door er bestanden naar te duwen, voorkomt deze regel dat er updates of patches worden geïnstalleerd. Deze regel heeft geen effect op de beheerfuncties van McAfee epo..ee en andere uitvoerbare extensies hijacken Hiermee worden.ee,.bat en andere uitvoerbare registersleutels onder HKEY_CLASSES_ROOT beschermd. Deze regel voorkomt dat malware registersleutels wijzigt om het virus uit te voeren wanneer een ander uitvoerbaar bestand wordt uitgevoerd. Deze regel is een minder streng alternatief voor Registratie van alle bestandsextensies wijzigen. Mogelijk schadelijke uitvoerbare bestanden uitvoeren door Svchost Windows-kernprocessen bewerken Mozilla-bestanden en -instellingen wijzigen Internet Explorer-instellingen wijzigen Hiermee wordt voorkomen dat svchost.exe andere DLL-bestanden laadt dan DLL-bestanden van Windows-services. Deze regel voorkomt dat malware svchost.exe gebruikt om DLL-bestanden te registreren die geen deel uitmaken van Windows. Hiermee wordt voorkomen dat bestanden worden gemaakt of uitgevoerd met de meest voorkomende vervalste namen. Deze regel voorkomt dat virussen en trojaanse paarden worden uitgevoerd onder de naam van een Windows-proces. Deze regel sluit authentieke Windows-bestanden uit. Hiermee wordt voorkomen dat processen Favorieten en instellingen in Firefox wijzigen. Deze regel voorkomt dat trojaanse paarden, adware en spyware op de startpagina browserinstellingen wijzigen, zoals de startpagina wijzigen of Favorieten installeren. Hiermee wordt voorkomen dat processen instellingen in Internet Explorer wijzigen. Deze regel voorkomt dat trojaanse paarden, adware en spyware op de startpagina browserinstellingen wijzigen, zoals de startpagina wijzigen of Favorieten installeren. McAfee Endpoint Security 10 Producthandleiding 109

110 6 Referentie van clientinterface Threat Prevention Exploitpreventie Tabel 6-7 Geavanceerde opties (vervolg) Sectie Optie Beschrijving Browser-helpobjecten of shell-extensies installeren Hiermee wordt voorkomen dat adware, spyware en trojaanse paarden die worden geïnstalleerd als browser-helpobjecten, op de hostcomputer worden geïnstalleerd. Deze regel voorkomt dat adware en spyware op systemen wordt geïnstalleerd. Als u wilt dat legitieme aangepaste toepassingen of toepassingen van derde partijen deze objecten kunnen installeren, moet u ze aan de lijst met uitsluitingen toevoegen. Na installatie kunt u de regel opnieuw inschakelen, omdat niet wordt voorkomen dat geïnstalleerde browser-helpobjecten werken. Windows Help en ondersteuning-url's uitvoeren in Internet Explorer of Windows Media Player Favorieten of instellingen van Internet Explorer wijzigen Hiermee wordt voorkomen dat Internet Explorer en Media Player HCP (Help Center en Support) URL's (hcp://) uitvoeren. Deze regel voorkomt dat een aanvaller een hcp:// URL gebruikt om willekeurige code op de computer uit te voeren met de toestemming van de gebruiker. Hiermee wordt voorkomen dat processen configuraties en bestanden van Internet Explorer wijzigen. Deze regel voorkomt dat trojaanse paarden, adware en spyware op de startpagina browserinstellingen wijzigen, zoals de startpagina wijzigen of Favorieten installeren. Configureer instellingen voor Toegangsbeveiliging op pagina 46 Threat Prevention Exploitpreventie Hiermee wordt Exploitpreventie ingeschakeld en geconfigureerd om te voorkomen dat willekeurige code op uw computer wordt uitgevoerd via onrechtmatig gebruik van bufferoverloop. Tabel 6-8 Zie Common Opties op pagina 92 instellingen voor configuratie van logboekregistratie. Sectie Optie Definitie EPLOITPREVENTIE Exploitpreventie inschakelen Hiermee wordt de functie Exploitpreventie ingeschakeld. Als u deze functie niet inschakelt, wordt uw systeem niet beschermd tegen malwareaanvallen. 110 McAfee Endpoint Security 10 Producthandleiding

111 Referentie van clientinterface Threat Prevention Scannen bij toegang 6 Tabel 6-9 Geavanceerde opties Sectie Optie Definitie Windows Preventie van gegevensuitvoering Windows Preventie van gegevensuitvoering gebruiken Hiermee wordt Windows Preventie van gegevensuitvoering ingeschakeld. (Standaard uitgeschakeld) Het uitschakelen van deze optie heeft geen effect op processen waarvoor DEP is ingeschakeld als resultaat van het Windows DEP-beleid. Beveiligingsniveau Standaard Maximum Hiermee wordt het beschermingsniveau Exploitpreventie opgegeven. Hiermee worden alleen ernstige bufferoverloopexploits gedetecteerd en geblokkeerd die in het inhoudsbestand van exploitpreventie zijn gedetecteerd, en wordt de gedetecteerde bedreiging gestopt. Gebruik de functie enige tijd in modus Standaard. Bepaal vervolgens aan de hand van het logboek of u moet overschakelen naar Maximumbeveiliging. Hiermee worden alleen ernstige en gemiddelde bufferoverloopexploits gedetecteerd en geblokkeerd die in het inhoudsbestand van exploitpreventie zijn gedetecteerd, en wordt de gedetecteerde bedreiging gestopt. Deze instelling kan resulteren in valse positieven. Uitsluitingen De volgende processen uitsluiten Hiermee wordt de naam van het proces opgegeven dat eigenaar is van het schrijfgeheugen van waaruit de aanroep plaatsvindt. Voer de procesnaam in die moet worden uitgesloten. Exploitpreventie sluit het proces uit, ongeacht de locatie. Uitsluitingen zijn hoofdlettergevoelig en jokertekens zijn niet toegestaan. Toevoegen Verwijderen Hiermee wordt een proces aan de lijst met uitsluitingen toegevoegd. Voer de naam van het proces of de naam van het proces met het pad in. Hiermee wordt het geselecteerde proces van de lijst met uitsluitingen verwijderd. Configureer instellingen voor Exploitpreventie op pagina 48 Threat Prevention Scannen bij toegang Hiermee worden de instellingen voor scannen bij toegang ingeschakeld en geconfigureerd. Zie Common Opties op pagina 92 instellingen voor configuratie van logboekregistratie. McAfee Endpoint Security 10 Producthandleiding 111

112 6 Referentie van clientinterface Threat Prevention Scannen bij toegang Tabel 6-11 Sectie Optie Definitie SCANNEN BIJ TOEGANG Scannen bij toegang inschakelen Scannen bij toegang inschakelen bij opstarten van systeem Maximumaantal seconden opgeven voor elke bestandsscan Hiermee wordt de functie Scannen bij toegang ingeschakeld. Standaard ingeschakeld. Hiermee wordt de functie Scannen bij toegang ingeschakeld wanneer u de computer opstart. Standaard ingeschakeld. Hiermee wordt elke bestandsscan beperkt tot het opgegeven aantal seconden. Standaard ingeschakeld. Als een scan de tijdslimiet overschrijdt, wordt de scan afgerond en wordt er een bericht in het logboek opgenomen. Opstartsectoren scannen Hiermee wordt de opstartsector onderzocht. Standaard ingeschakeld. Wanneer een schijf een unieke of abnormale opstartsector heeft die niet kan worden gescand, kunt u het scannen van de opstartsector uitschakelen. Scanprocessen bij inschakeling Hiermee worden alle processen die momenteel in het geheugen staan, opnieuw gescand wanneer: U scans bij toegang uitschakelt en opnieuw inschakelt. Het systeem opnieuw wordt opgestart. Aangezien sommige programma's of uitvoerbare bestanden automatisch van start gaan wanneer u uw systeem start, kunnen de prestaties van uw systeem vertragen en wordt uw systeem mogelijk trager opgestart wanneer u deze optie inschakelt. Standaard uitgeschakeld. Wanneer de scanner bij toegang is ingeschakeld, worden alle processen altijd gescand wanneer ze worden uitgevoerd. Vertrouwde installatieprogramma's scannen Hiermee worden MSI-bestanden (geïnstalleerd door msiexec.exe en ondertekend door McAfee of Microsoft) of servicebestanden van vertrouwde Windows-installatieprogramma's gescand. Standaard uitgeschakeld. Als deze optie is uitgeschakeld, worden de prestaties van installatieprogramma's voor grote Microsoft-toepassingen verbeterd. McAfee GTI Scannen wanneer tussen lokale mappen wordt gekopieerd Hiermee worden bestanden gekopieerd telkens wanneer de gebruiker deze van de ene lokale folder naar de andere kopieert. Wanneer deze optie is: Uitgeschakeld: alleen items in de doelmap worden gescand. Ingeschakeld: items in zowel bronmap (lezen), als doelmap (schrijven) worden gescand. Standaard uitgeschakeld. Raadpleeg McAfee GTI op pagina 120 voor meer informatie. 112 McAfee Endpoint Security 10 Producthandleiding

113 Referentie van clientinterface Threat Prevention Scannen bij toegang 6 Tabel 6-12 Geavanceerde opties Sectie Optie Definitie Gebruikersberichten bij bedreigingsdetectie Het venster Scannen bij toegang aan gebruikers tonen wanneer een dreiging wordt gedetecteerd Hiermee wordt de pagina Scannen bij toegang met het opgegeven bericht weergegeven aan clientgebruikers wanneer er een detectie plaatsvindt. Standaard ingeschakeld. Wanneer deze optie is geselecteerd, kunnen gebruikers deze pagina openen vanuit de pagina Nu scannen, telkens wanneer de detectielijst ten minste één bedreiging bevat. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. Instellingen van processen Bericht Standaardinstellingen voor alle processen gebruiken Verschillende instellingen voor processen met Hoog risico en Laag risico configureren Hiermee wordt het bericht opgegeven dat aan clientgebruikers zien bij detectie. Het standaardbericht is: McAfee Endpoint Security heeft een bedreiging gedetecteerd. Hiermee worden dezelfde geconfigureerde instellingen toegepast op alle processen tijdens een scan bij toegang. Hiermee worden verschillende scaninstellingen geconfigureerd voor elk procestype dat u configureert. Standaard: processen die niet als hoog of laag risico zijn geïdentificeerd. Standaard ingeschakeld. Hoog risico: processen met een hoog risico. Laag risico: processen met een laag risico. Toevoegen Verwijderen Hiermee wordt een proces aan de lijst Hoog risico of Laag risico toegevoegd. Hiermee wordt een proces van de lijst Hoog risico of Laag risico verwijderd. Scannen Opgeven wanneer moet worden gescand Bij schrijven naar schijf Bij lezen van schijf Laat McAfee beslissen Niet scannen bij lezen van of schrijven naar schijf Op netwerkstations Hiermee worden alle bestanden gescand wanneer deze naar de computer of een ander apparaat voor gegevensopslag worden geschreven of wanneer deze daarop worden gewijzigd. Hiermee worden alle bestanden gescand wanneer deze vanaf de computer of een ander apparaat voor gegevensopslag worden gelezen. McAfee raadt ten sterkste aan om deze optie in te schakelen. Staat McAfee toe te beslissen of een bestand moet worden gescand. Daarbij wordt vertrouwenslogica gebruikt om het scannen te optimaliseren. Vertrouwenslogica verbetert uw beveiliging en prestaties doordat onnodig scannen wordt vermeden. Hiermee wordt opgegeven dat alleen processen met Laag risico niet hoeven te worden gescand. Hiermee worden bronnen op toegewezen netwerkstations gescand. Het scannen van netwerkbronnen kan van invloed zijn op de prestaties. McAfee Endpoint Security 10 Producthandleiding 113

114 6 Referentie van clientinterface Threat Prevention Scannen bij toegang Tabel 6-12 Geavanceerde opties (vervolg) Sectie Optie Definitie Geopend voor back-ups Bestandstypen die moeten worden gescand Alle bestanden Hiermee worden bestanden onderzocht die zijn geopend voor back-up. Scant alle bestanden, ongeacht extensie. McAfee raadt ten sterkste aan om deze optie in te schakelen. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen. Opgegeven en standaardbestandstypen Alleen opgegeven bestandstypen Geef op wat gescand moet worden Gecomprimeerde archiefbestanden Gecomprimeerde bestanden met MIME-codering Ongewenste programma's detecteren Scant: Standaardlijst met extensies in het huidige AMCore-inhoudsbestand. (Optioneel) Bekende macrovirussen. Eventuele extra extensies die u opgeeft. (Optioneel) Bestanden zonder extensie. Scant alleen bestanden met de opgegeven extensies, en eventueel bestanden zonder extensie. Onderzoekt de inhoud van archiefbestanden (gecomprimeerde bestanden), waaronder JAR-bestanden. Aangezien het scannen van gecomprimeerde bestanden een negatieve invloed op systeemprestaties kan hebben, raadt McAfee aan om in archieven te scannen wanneer het systeem niet wordt gebruikt. Detecteert, decodeert en scant bestanden met MIME-codering (Multipurpose Internet Mail Extensions). Hiermee wordt opgegeven dat de scanner bij toegang mogelijk ongewenste programma's detecteert. De scanner maakt gebruik van de informatie die u in de instellingen voor Opties hebt geconfigureerd voor het detecteren van mogelijk ongewenste programma's. Acties Uitsluitingen Raadpleeg Acties op pagina 121 voor meer informatie. Met deze functie kunt u bestanden, mappen en stations opgeven die u wilt uitsluiten van scanbewerkingen. Raadpleeg Uitsluitingen toevoegen of bewerken op pagina 123 voor meer informatie. Toevoegen Verwijderen Hiermee wordt een item aan de uitsluitingslijst Standaard, Hoog risico of Laag risico toegevoegd. Hiermee wordt een item van de uitsluitingslijst Standaard, Hoog risico of Laag risico verwijderd. 114 McAfee Endpoint Security 10 Producthandleiding

115 Referentie van clientinterface Threat Prevention Scannen op aanvraag 6 Tabel 6-12 Geavanceerde opties (vervolg) Sectie Optie Definitie ScriptScan ScriptScan inschakelen Hiermee wordt het scannen van JavaScript- en VBScript-scripts ingeschakeld, zodat ongewenste scripts niet kunnen worden uitgevoerd. Standaard ingeschakeld. Als ScriptScan is uitgeschakeld wanneer Internet Explorer wordt gestart en vervolgens wordt ingeschakeld, worden geen schadelijke scripts in dat exemplaar van Internet Explorer gedetecteerd. Nadat u ScriptScan hebt ingeschakeld, moet u Internet Explorer opnieuw starten zodat schadelijke scripts worden gedetecteerd. Hef selectie van deze optie op, zodat de clientcomputer de uitsluitingen kan gebruiken die hier zijn opgegeven en die lokaal op de client zijn opgegeven. De volgende URL's uitsluiten Hiermee worden ScriptScan-uitsluitingen per URL opgegeven. Toevoegen Verwijderen Hiermee wordt een URL aan de lijst met uitsluitingen toegevoegd. Hiermee wordt een URL van de lijst met uitsluitingen verwijderd. URL's mogen geen jokertekens bevatten. Een URL die een tekenreeks van een uitgesloten URL bevat, wordt ook uitgesloten. Als de URL msn.com bijvoorbeeld is uitgesloten, zijn de volgende URL's ook uitgesloten: Configureer de instellingen voor Scannen bij toegang op pagina 50 McAfee GTI op pagina 120 Acties op pagina 121 Uitsluitingen toevoegen of bewerken op pagina 123 Op Windows Server 2008-systemen werken ScriptScan URL-uitsluitingen niet met Windows Internet Explorer tenzij u Browseruitbreidingen van derden inschakelen selecteert en het systeem opnieuw opstart. Raadpleeg het KB-artikel URL-uitsluitingen voor ScriptScan voor meer informatie. Threat Prevention Scannen op aanvraag Hiermee worden de instellingen van Scannen op aanvraag geconfigureerd voor de vooraf geconfigureerde scans die op uw systeem worden uitgevoerd. Zie Common Opties op pagina 92 instellingen voor configuratie van logboekregistratie. McAfee Endpoint Security 10 Producthandleiding 115

116 6 Referentie van clientinterface Threat Prevention Scannen op aanvraag Met deze instellingen wordt de scannerwerking opgegeven wanneer u: Volledige scan of Snelle scan selecteert op de pagina Nu scannen in de Endpoint Security Client. Klik met de rechtermuisknop op een bestand of map en selecteer Scannen op bedreigingen in het pop-upmenu. Tabel 6-14 Sectie Optie Definitie Scantype Opstartsectoren scannen Hiermee wordt de opstartsector onderzocht. Wanneer een schijf een unieke of abnormale opstartsector heeft die niet kan worden gescand, kunt u het scannen van de opstartsector uitschakelen. Ongewenste programma's detecteren Bestanden met MIME-codering decoderen Archieven (.ZIP) scannen Hiermee kan de scanner mogelijk ongewenste programma's detecteren. De scanner maakt gebruik van de informatie die u in de instellingen van Common hebt geconfigureerd voor het detecteren van ongewenste programma's. Detecteert, decodeert en scant bestanden met MIME-codering (Multipurpose Internet Mail Extensions). Onderzoekt de inhoud van archiefbestanden (gecomprimeerde bestanden), waaronder JAR-bestanden. Aangezien het scannen van gecomprimeerde bestanden een negatieve invloed op systeemprestaties kan hebben, raadt McAfee aan om deze optie in scans buiten werkuren te gebruiken. Bestanden scannen die zijn gemigreerd naar de opslag Onbekende programmavirussen zoeken Onbekende macrovirussen zoeken Submappen scannen Scant bestanden die worden beheerd door Externe opslag. Wanneer de scanner een bestand aantreft met gemigreerde inhoud, wordt het bestand naar het lokale systeem hersteld voordat het wordt gescand. Gebruikt McAfee GTI om uitvoerbare bestanden te zoeken die code bevatten die op malware lijkt. Gebruikt McAfee GTI om onbekende macrovirussen te detecteren. Onderzoekt alle submappen van de opgegeven map. Deze optie is alleen van toepassing op de instellingen voor Rechtermuisknopscan. Scanlocaties Raadpleeg Scanlocaties op pagina 119 voor meer informatie. Deze opties zijn alleen van toepassing op de Volledige scan en Snelle scan. Bestandstypen die moeten worden gescand Alle bestanden Scant alle bestanden, ongeacht extensie. McAfee raadt ten sterkste aan om Alle bestanden in te schakelen. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen. 116 McAfee Endpoint Security 10 Producthandleiding

117 Referentie van clientinterface Threat Prevention Scannen op aanvraag 6 Tabel 6-14 (vervolg) Sectie Optie Definitie Opgegeven en standaardbestandstypen Scant: Standaardlijst met extensies in het huidige AMCore-inhoudsbestand. (Optioneel) Bekende macrovirussen. Eventuele extra extensies die u opgeeft. (Optioneel) Bestanden zonder extensie. McAfee GTI Alleen opgegeven bestandstypen Uitsluitingen Scant alleen bestanden met de opgegeven extensies, en eventueel bestanden zonder extensie. Raadpleeg McAfee GTI op pagina 120 voor meer informatie. Met deze functie kunt u bestanden, mappen en stations opgeven die u wilt uitsluiten van scanbewerkingen. Raadpleeg Uitsluitingen toevoegen of bewerken op pagina 123 voor meer informatie. Toevoegen Verwijderen Hiermee wordt een item aan de uitsluitingslijst toegevoegd. Hiermee wordt een item uit de uitsluitingslijst verwijderd. Selecteer het item in de tabel en klik vervolgens op Verwijderen. Acties Raadpleeg Acties op pagina 121 voor meer informatie. Prestaties De scancache gebruiken Hiermee kan de scanner de bestaande schone scanresultaten gebruiken. Selecteer deze optie om dubbele scans te reduceren en prestaties te verbeteren. Systeemgebruik Hiermee kan het besturingssysteem de hoeveelheid CPU-tijd instellen die beschikbaar wordt gesteld aan de scanner tijdens de scan. Elke taak wordt onafhankelijk uitgevoerd, zonder rekening te houden met de beperkingen voor andere taken. Normaal Lager dan normaal Laag Hiermee kan de scan sneller worden uitgevoerd. Selecteer deze optie voor systemen met grote volumes en weinig activiteit van eindgebruikers. Stelt het systeemgebruik voor de scan in op de standaardinstelling van McAfee epo. Biedt verbeterde prestaties voor andere actieve toepassingen. Selecteer deze optie voor systemen met activiteit van eindgebruikers. Opties voor geplande scan Deze opties zijn alleen van toepassing op de Volledige scan en Snelle scan. McAfee Endpoint Security 10 Producthandleiding 117

118 6 Referentie van clientinterface Threat Prevention Scannen op aanvraag Tabel 6-14 (vervolg) Sectie Optie Definitie Alleen scannen wanneer het systeem niet actief is Voert de scan alleen uit wanneer het systeem niet actief is. Threat Prevention pauzeert de scan wanneer schijf- of gebruikersactiviteit wordt gedetecteerd, zoals gebruik van toetsenbord of muis. Threat Prevention hervat de scan wanneer de gebruiker drie minuten lang geen toegang tot het systeem heeft gezocht. McAfee raadt aan om deze optie alleen uit te schakelen op serversystemen en systemen waartoe gebruikers toegang krijgen via Verbinding met extern bureaublad. Threat Prevention is afhankelijk van McTray om te bepalen of het systeem inactief is. Op systemen die alleen toegankelijk zijn via Verbinding met extern bureaublad, wordt McTray niet gestart en wordt de scanner op verzoek nooit uitgevoerd. Gebruikers kunnen dit probleem oplossen door McTray (standaard in C:\Program Files\McAfee\Agent \mctray.exe) handmatig te starten wanneer zij zich aanmelden via Verbinding met extern bureaublad. Op elk moment scannen Voert de scan ook uit als de gebruiker actief is en opties voor de scan opgeeft. Gebruiker kan scan uitstellen: hiermee kan de gebruiker geplande scans uitstellen en opties voor het uitstellen van scans instellen. Maximumaantal keren dat gebruiker per uur kan uitstellen Gebruikersbericht Berichtduur (seconden) Hiermee wordt het aantal keren (1 23) opgegeven dat de gebruiker de scan één uur kan uitstellen. Hiermee wordt het bericht opgegeven dat moet worden weergegeven wanneer een scan wordt gestart. Het standaardbericht is: McAfee Endpoint Security staat op het punt uw systeem te scannen. Hiermee wordt opgegeven hoelang het gebruikersbericht wordt weergegeven (in seconden) wanneer een scan wordt gestart. Het geldige bereik voor de duur is ; de standaardinstelling is 45 seconden. Niet scannen als het systeem in presentatiemodus staat: hiermee wordt de scan uitgesteld wanneer de presentatiemodus van het systeem actief is. Niet scannen als het systeem op batterijvermogen draait Stelt de scan uit wanneer het systeem op batterijen werkt. Configureer instellingen voor Scannen op aanvraag op pagina 55 Een Volledige scan of Snelle scan uitvoeren op pagina 36 Een bestand of map scannen op pagina 38 Scanlocaties op pagina 119 McAfee GTI op pagina 120 Acties op pagina 121 Uitsluitingen toevoegen of bewerken op pagina McAfee Endpoint Security 10 Producthandleiding

119 Referentie van clientinterface Scanlocaties 6 Scanlocaties Hiermee worden de locaties opgegeven die moeten worden gescand. Tabel 6-15 Deze opties zijn alleen van toepassing op de Volledige scan en Snelle scan. Sectie Optie Definitie Scanlocaties Submappen scannen Onderzoekt alle submappen in de opgegeven volumes wanneer een van de volgende opties is geselecteerd: Basismap Profielmap gebruiker Map Program Files Map Temp Station of map Schakel deze optie uit als u alleen de hoofdmap van de volumes wilt scannen. Locaties opgeven Hiermee worden de locaties opgegeven die moeten worden gescand. Toevoegen Verwijderen Hiermee wordt een locatie aan de scan toegevoegd. Klik op Toevoegen en selecteer vervolgens de locatie in de vervolgkeuzelijst. Hiermee wordt een locatie van de scan verwijderd. Selecteer de locatie en klik op Verwijderen. Geheugen voor rootkits Scant het systeemgeheugen op geïnstalleerde rootkits, verborgen processen en ander gedrag dat kan wijzen op de aanwezigheid van verborgen malware. Deze scan wordt uitgevoerd vóór alle andere scans. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen. Actieve processen Scant het geheugen van alle actieve processen. Andere acties dan Bestanden opschonen worden behandeld als Doorgaan met scannen. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen. Geregistreerde bestanden Deze computer Alle lokale stations Alle vaste stations Alle verwisselbare stations Scant de bestanden waarnaar het Windows-register verwijst. De scanner zoekt eerst naar bestandsnamen in het register, bepaalt of de bestanden bestaan, maakt een lijst met te scannen bestanden en scant de bestanden vervolgens. Scant alle stations die fysiek zijn verbonden met uw computer of die zijn toegewezen aan een stationsletter op uw computer. Scant alle stations en submappen op uw computer. Scant alle stations die een fysieke verbinding met de computer hebben. Scant alle verwisselbare stations of andere opslagapparatuur die op de computer zijn aangesloten. McAfee Endpoint Security 10 Producthandleiding 119

120 6 Referentie van clientinterface McAfee GTI Tabel 6-15 (vervolg) Sectie Optie Definitie Alle toegewezen stations Basismap Profielmap gebruiker Windows-map Map Programmabestanden Map Temp Prullenbak Bestand of map Scant de netwerkstations die aan een netwerkschijf op uw computer zijn toegewezen. De basismap scannen van de gebruiker die de scan start. Scant het profiel van de gebruiker die de scan start, inclusief de map Mijn documenten van de gebruiker. Scant de inhoud van de Windows-map. Scant de inhoud van de map Program Files. Scant de inhoud van de map Temp. Scant de inhoud van de prullenbak. Threat Prevention Scannen op aanvraag op pagina 115 Scant het opgegeven bestand of de opgegeven map. McAfee GTI Hiermee worden de McAfee GTI-instellingen ingeschakeld en geconfigureerd. Tabel 6-16 Sectie Optie Definitie McAfee GTI inschakelen Hiermee worden heuristische controles in- en uitgeschakeld. Wanneer de optie is ingeschakeld, worden vingerafdrukken van voorbeelden, of hashes, ingediend bij McAfee Labs om te bepalen of het malware betreft. Door hashes in te dienen is detectie mogelijk eerder beschikbaar dan de volgende uitgave van AMCore-inhoudsbestanden, wanneer McAfee Labs de update publiceert. Wanneer de optie is uitgeschakeld, worden geen vingerafdrukken of gegevens ingediend bij McAfee Labs. Gevoeligheidsniveau Hiermee wordt het gevoeligheidsniveau geconfigureerd dat moet worden gebruikt wanneer wordt vastgesteld of gedetecteerd voorbeeld malware is. Hoe hoger het gevoeligheidsniveau, hoe hoger het aantal malwaredetecties. Als u meer detecties toestaat, krijgt u echter ook mogelijk meer valse positieve resultaten. Risiconiveau Zeer laag De detecties en het risico op valse positieven zijn hetzelfde als met reguliere AMCore-inhoudsbestanden. Een detectie kan beschikbaar worden gemaakt aan Threat Prevention als deze door McAfee Labs wordt gepubliceerd, in plaats van te wachten op de volgende update van AMCore-inhoudsbestanden. Gebruik deze instelling voor desktops en servers met beperkte gebruikersrechten en een sterke beveiliging. Deze instelling resulteert in gemiddeld query's per dag per computer. 120 McAfee Endpoint Security 10 Producthandleiding

121 Referentie van clientinterface Acties 6 Tabel 6-16 (vervolg) Sectie Optie Definitie Laag Gebruik minimaal deze instelling voor laptops of desktops en servers met een sterke beveiliging. Deze instelling resulteert in gemiddeld query's per dag per computer. Gemiddeld Hoog Zeer hoog Gebruik dit niveau wanneer het gewone risico op blootstelling aan malware groter is dan het risico op een valse positief. De eigen heuristische controle van McAfee Labs leidt tot detecties die waarschijnlijk malware zijn. Sommige detecties kunnen echter een vals positief resultaat opleveren. Met deze instelling controleert McAfee Labs of detecties geen valse positieven veroorzaken bij veelgebruikte toepassingen en besturingssysteembestanden. Gebruik minimaal deze instelling voor laptops of desktops en servers. Deze instelling resulteert in gemiddeld query's per dag per computer. Gebruik deze instelling voor implementatie op systemen of in gebieden die regelmatig worden geïnfecteerd. Deze instelling resulteert in gemiddeld query's per dag per computer. McAfee raadt aan dit niveau alleen te gebruiken om volumes en directory's te scannen die het uitvoeren van programma's of besturingssystemen niet ondersteunen. Detecties die met dit niveau worden gevonden, worden verondersteld kwaadwillend te zijn, maar zijn niet voldoende getest om te bepalen of het geen valse positieven zijn. Gebruik deze instelling voor scans op aanvraag op volumes die niet van het besturingssysteem zijn. Deze instelling resulteert in gemiddeld query's per dag per computer. Threat Prevention Scannen bij toegang op pagina 111 Threat Prevention Scannen op aanvraag op pagina 115 Web Control Opties op pagina 135 Acties Hiermee wordt opgegeven hoe de scanner reageert wanneer een bedreiging wordt gedetecteerd. Tabel 6-17 Sectie Optie Definitie Scantype Eerste reactie bij bedreigingsdetectie Toegang tot bestanden weigeren Scannen bij toegang Scannen op aanvraag Hiermee wordt de eerste actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een bedreiging. Hiermee wordt voorkomen dat gebruikers toegang krijgen tot bestanden met potentiële bedreigingen. McAfee Endpoint Security 10 Producthandleiding 121

122 6 Referentie van clientinterface Acties Tabel 6-17 (vervolg) Sectie Optie Definitie Scantype Doorgaan met scannen Bestanden opschonen Bestanden verwijderen Als eerste reactie mislukt Toegang tot bestanden weigeren Doorgaan met scannen Bestanden verwijderen Eerste reactie bij ongewenst programma Hiermee wordt het scannen van bestanden voortgezet wanneer een bedreiging wordt gedetecteerd. De scanner plaatst items niet in quarantaine. Hiermee wordt de bedreiging indien mogelijk uit het gedetecteerde bestand verwijderd. Hiermee worden bestanden met mogelijke bedreigingen verwijderd. Scannen bij toegang Scannen op aanvraag Hiermee wordt de actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een bedreiging, als de eerste actie mislukt. Hiermee wordt voorkomen dat gebruikers toegang krijgen tot bestanden met potentiële bedreigingen. Hiermee wordt het scannen van bestanden voortgezet wanneer een bedreiging wordt gedetecteerd. De scanner plaatst items niet in quarantaine. Hiermee worden bestanden met mogelijke bedreigingen verwijderd. Hiermee wordt de eerste actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een mogelijk ongewenst programma. Deze optie is alleen beschikbaar als Ongewenste programma's detecteren is geselecteerd. Toegang tot bestanden weigeren Hiermee wordt voorkomen dat gebruikers toegang krijgen tot bestanden met potentiële bedreigingen. Toegang tot bestanden toestaan Hiermee krijgen gebruikers toegang tot bestanden met potentiële bedreigingen. Doorgaan met scannen Hiermee wordt het scannen van bestanden voortgezet wanneer een bedreiging wordt gedetecteerd. De scanner plaatst items niet in quarantaine. Bestanden opschonen Hiermee wordt de bedreiging indien mogelijk uit het mogelijk ongewenste programma verwijderd. Bestanden verwijderen Hiermee worden mogelijk ongewenste programma's verwijderd. 122 McAfee Endpoint Security 10 Producthandleiding

123 Referentie van clientinterface Uitsluitingen toevoegen of bewerken 6 Tabel 6-17 (vervolg) Sectie Optie Definitie Scantype Als eerste reactie mislukt Scannen bij toegang Scannen op aanvraag Hiermee wordt de actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een mogelijk ongewenst programma en als de eerste actie mislukt. Deze optie is alleen beschikbaar als Ongewenste programma's detecteren is geselecteerd. Toegang tot bestanden weigeren Hiermee wordt voorkomen dat gebruikers toegang krijgen tot bestanden met potentiële bedreigingen. Toegang tot bestanden toestaan Hiermee krijgen gebruikers toegang tot bestanden met potentiële bedreigingen. Doorgaan met scannen Hiermee wordt het scannen van bestanden voortgezet wanneer een bedreiging wordt gedetecteerd. De scanner plaatst items niet in quarantaine. Bestanden verwijderen Hiermee worden mogelijk ongewenste programma's automatisch verwijderd. Threat Prevention Scannen bij toegang op pagina 111 Threat Prevention Scannen op aanvraag op pagina 115 Uitsluitingen toevoegen of bewerken Hiermee wordt een uitsluitingsdefinitie toegevoegd of bewerkt. Tabel 6-18 Sectie Optie Definitie Scantype Wat uitsluiten Patroon Bij toegang Op aanvraag Geeft het type uitsluiting en de details voor de uitsluiting op. Geeft het patroon op dat moet worden uitgesloten. Selecteer indien nodig Submappen uitsluiten. Wanneer uitsluiten Bestandstype Bestandsdatum Geeft de bestandstypen (bestandsextensies) op die moeten worden uitgesloten. Geeft het toegangstype (Gewijzigd, Opgeroepen of Gemaakt) van bestanden die moeten worden uitgesloten, en de Minimumleeftijd in dagen. Geeft op wanneer het geselecteerde item moet worden uitgesloten. McAfee Endpoint Security 10 Producthandleiding 123

124 6 Referentie van clientinterface Threat Prevention Opties Tabel 6-18 (vervolg) Sectie Optie Definitie Scantype Bij schrijven naar schijf of lezen van schijf Bij lezen van schijf Bij schrijven naar schijf Hiermee worden bestanden uitgesloten van scans wanneer ze worden geschreven naar of gelezen van schijf of een ander apparaat voor gegevensopslag. Hiermee worden bestanden uitgesloten van scans wanneer ze worden gelezen van de computer of een ander apparaat voor gegevensopslag. Hiermee worden bestanden uitgesloten van scans wanneer ze worden geschreven naar of gewijzigd op de schijf of een ander apparaat voor gegevensopslag. Threat Prevention Scannen bij toegang op pagina 111 Threat Prevention Scannen op aanvraag op pagina 115 Bij toegang Op aanvraag Threat Prevention Opties Hiermee worden de instellingen geconfigureerd die van toepassing zijn op de functie Threat Prevention, waaronder de quarantaine, mogelijk ongewenste programma's en uitsluitingen. Zie Common Opties op pagina 92 instellingen voor configuratie van logboekregistratie. Tabel 6-19 Deze sectie bevat alleen Geavanceerde opties. Sectie Optie Definitie Quarantine Manager Quarantainemap Hiermee wordt de locatie voor de quarantainemap opgegeven of wordt de standaardlocatie geaccepteerd: c:\quarantaine Geef het maximumaantal dagen op waarvoor quarantainegegevens moeten worden bewaard Hiermee wordt het aantal dagen (1 999) opgegeven waarna items in de quarantaine automatisch worden verwijderd. De standaardinstelling is 30 dagen. 124 McAfee Endpoint Security 10 Producthandleiding

125 Referentie van clientinterface AMCore-inhoud terugzetten 6 Tabel 6-19 (vervolg) Sectie Optie Definitie Uitsluitingen per detectienaam De volgende detectienamen uitsluiten Hiermee worden detectie-uitsluitingen op naam van de detectie opgegeven. Als u bijvoorbeeld wilt opgeven dat de scanner bij toegang en de scanner op aanvraag niet bedreigingen van het type Installatiecontrole moeten detecteren, voert u Installatiecontrole in. Toevoegen Verwijderen Hiermee wordt een detectienaam aan de lijst met uitsluitingen toegevoegd. Klik op Toevoegen en voer vervolgens de detectienaam in. Hiermee wordt een detectienaam van de lijst met uitsluitingen verwijderd. Selecteer de naam en klik vervolgens op Verwijderen. Detecties van mogelijk ongewenste programma's Aangepaste ongewenste programma's uitsluiten Hiermee worden afzonderlijke bestanden of programma's opgegeven die als mogelijk ongewenste programma's moeten worden behandeld. De scanners detecteren de programma's die u opgeeft, evenals de programma's die in de AMCore-inhoudsbestanden zijn opgegeven. De scanner detecteert geen zero-byte door de gebruiker gedefinieerd ongewenst programma. Toevoegen Verwijderen Hiermee wordt een aangepast ongewenst programma gedefinieerd. klik op Toevoegen, voer de naam in en druk vervolgens op Tab om de beschrijving in te voeren. Naam : hiermee wordt de bestandsnaam van het mogelijk ongewenste programma opgegeven. Beschrijving: hiermee wordt de informatie opgegeven die moet worden weergegeven als de detectienaam bij detectie. Hiermee wordt een mogelijk ongewenst programma van de lijst verwijderd. Selecteer het programma in de tabel en klik vervolgens op Verwijderen. Algemene scaninstellingen configureren op pagina 60 AMCore-inhoud terugzetten Hiermee wordt AMCore-inhoud hersteld naar een eerdere versie. McAfee Endpoint Security 10 Producthandleiding 125

126 6 Referentie van clientinterface Firewall Opties Optie Te laden versie selecteren Definitie Hiermee wordt het versienummer van een eerder AMCore-inhoudsbestand opgegeven dat moet worden geladen. Endpoint Security bewaart de vorige twee versies op het clientsysteem. Wanneer u overschakelt naar een eerdere versie, verwijdert Endpoint Security de huidige versie van AMCore-inhoud van het systeem. De AMCore-inhoudsversie wijzigen op pagina 26 Firewall Opties Hiermee wordt de module Firewall in- en uitgeschakeld en worden beveiligingsopties ingesteld. Zie Common Opties op pagina 92 instellingen voor configuratie van logboekregistratie. De interfacemodus voor de Endpoint Security Client moet zijn ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Tabel 6-21 Sectie Optie Definitie Beveiligingsopties Firewall inschakelen Verkeer voor niet-ondersteunde protocollen toestaan Alleen uitgaand verkeer toestaan totdat firewallservices zijn gestart Hiermee wordt de module Firewall in- en uitgeschakeld. Hiermee wordt alle verkeer toegestaan dat niet-ondersteunde protocollen gebruikt. Als deze optie is uitgeschakeld, wordt alle verkeer dat niet-ondersteunde protocollen gebruikt, geblokkeerd. Hiermee wordt uitgaand verkeer toegestaan, maar geen inkomend verkeer tot de service Firewall start. Als deze optie is uitgeschakeld, staat Firewall al het verkeer toe voordat services zijn gestart. Verkeer via bruggen toestaan Beveiliging tegen IP-spoofing inschakelen Hiermee wordt verkeer met een lokaal MAC-adres toegestaan. Het MAC-adres is een adres op de lijst met VM's die Firewall ondersteunt, niet het MAC-adres van het lokale systeem. Gebruik deze optie om verkeer toe te staan in een brugomgeving met virtuele machines. Hiermee wordt netwerkverkeer van niet-lokale host-ip-adressen of van lokale processen die proberen hun IP-adres te vervalsen, geblokkeerd. 126 McAfee Endpoint Security 10 Producthandleiding

127 Referentie van clientinterface Firewall Opties 6 Tabel 6-21 (vervolg) Sectie Optie Definitie Waarschuwingen voor firewallinbraak inschakelen Hiermee worden automatisch waarschuwingen weergegeven wanneer Firewall een potentiële aanval detecteert. DNS-blokkering Domeinnaam Hiermee worden de domeinnamen opgeven die moeten worden geblokkeerd. Indien toegepast, voegt deze instelling een regel toe hoog in de firewallregels die verbindingen blokkeert met de IP-adressen die omgezet worden naar de domeinnamen. Toevoegen Hiermee wordt een domeinnaam aan de lijst Geblokkeerd toegevoegd. U kunt de jokertekens * en? gebruiken. Bijvoorbeeld *domein.com. Scheid meerdere domeinen met een komma (,) of een Enter-teken. Dubbele vermeldingen worden automatisch verwijderd. Verwijderen Hiermee wordt de geselecteerde domeinnaam van de lijst Geblokkeerd verwijderd. Tabel 6-22 Geavanceerde opties Sectie Optie Definitie Aanpassingsopties Adaptieve modus inschakelen Hiermee worden automatisch regels gemaakt om verkeer toe te staan. Schakel deze optie tijdelijk in wanneer u een implementatie afstemt. Alle geblokkeerde verkeer registreren Alle toegestane verkeer registreren Hiermee wordt al het geblokkeerde verkeer in het Firewall-gebeurtenislogboek (FirewallEventMonitor.log) op de Endpoint Security Client geregistreerd. (Standaard ingeschakeld) Hiermee wordt al het toegestane verkeer in het Firewall-gebeurtenislogboek (FirewallEventMonitor.log) op de Endpoint Security Client geregistreerd. (Standaard uitgeschakeld) Wanneer u deze optie inschakelt, kan dit een negatieve invloed op prestaties hebben. McAfee GTI-netwerkreputatie McAfee GTI-gebeurtenissen naar server verzenden Hiermee worden gebeurtenissen naar de McAfee epo-server gestuurd als de drempelwaarde voor blokkering van McAfee GTI voor binnenkomend of uitgaand verkeer overeenkomt. (Standaard uitgeschakeld) Alle IP-adressen voor vertrouwde netwerken worden van McAfee GTI-opzoekacties uitgesloten. McAfee Endpoint Security 10 Producthandleiding 127

128 6 Referentie van clientinterface Firewall Regels Tabel 6-22 Geavanceerde opties (vervolg) Sectie Optie Definitie Incoming/Outgoing network-reputation threshold (Drempelwaarde voor reputatie van inkomend/ uitgaand netwerk) Hiermee wordt de McAfee GTI-drempelwaarde opgegeven om binnenkomend of uitgaand verkeer van een netwerkverbinding te blokkeren. Niet blokkeren Hoog risico Middelhoog risico Niet gecontroleerd Deze site lijkt een legitieme bron of bestemming van inhoud/verkeer te zijn. Deze bron/bestemming stuurt of host mogelijk schadelijke inhoud/ schadelijk verkeer dat door McAfee als riskant wordt beschouwd. Deze bron/bestemming laat gedrag zien dat McAfee als verdacht beschouwt. Alle inhoud/verkeer van de site vereist nader onderzoek. Deze site lijkt een legitieme bron of bestemming van inhoud/verkeer te zijn, maar heeft ook kenmerken die erop duiden dat verdere controle noodzakelijk is. Status-Firewall Aantal seconden (1-240) voordat er een time-out voor de TCP-verbinding optreedt Aantal seconden (1-300) voordat er een time-out voor de virtuele UDP- en ICMP-echoverbindingen optreedt Hiermee wordt in seconden opgegeven hoelang een niet-gevestigde TCP-verbinding actief blijft als niet langer pakketten worden verzonden of ontvangen die met de verbinding overeenkomen. Het standaardaantal is 30; het geldige bereik is Hiermee wordt in seconden opgegeven hoelang een virtuele UDP- of ICMP-echoverbinding actief blijft als niet langer pakketten worden verzonden of ontvangen die met de verbinding overeenkomen. Deze optie wordt opnieuw ingesteld op de geconfigureerde waarde wanneer een pakket wordt verzonden of ontvangen dat overeenkomt met de virtuele verbinding. Het standaardaantal is 30; het geldige bereik is Opties van Firewall configureren op pagina 64 Firewall Regels Hiermee worden firewallregels en -groepen beheerd. Tabel 6-23 U kunt regels en groepen alleen in de groep Gebruiker toegevoegd toevoegen en verwijderen. Sectie Optie Definitie Regel Groep REGELS Regel toevoegen Hiermee wordt een firewallregel toegevoegd. Zie Regels en groepen toevoegen of bewerken op pagina 129 voor informatie. Groep toevoegen Hiermee wordt een firewallgroep toegevoegd. Dupliceren Hiermee wordt een kopie van het geselecteerde item gemaakt. 128 McAfee Endpoint Security 10 Producthandleiding

129 Referentie van clientinterface Firewall Regels 6 Tabel 6-23 (vervolg) Sectie Optie Definitie Regel Groep Verwijderen Hiermee wordt een geselecteerd firewallitem verwijderd. Hiermee worden elementen aangegeven die in de lijst kunnen worden verplaatst. Selecteer elementen, sleep ze naar de nieuwe locatie en zet ze daar vervolgens neer. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten. Firewall -regels en -groepen maken en beheren op pagina 72 Regels en groepen toevoegen of bewerken op pagina 129 Regels en groepen toevoegen of bewerken Hiermee worden firewallregels en -groepen toegevoegd of bewerkt. Tabel 6-24 Sectie Optie Definitie Regel Groep Beschrijving Naam Hiermee wordt de beschrijving van het item opgegeven (verplicht). Status Hiermee wordt het item in- of uitgeschakeld. Acties opgeven Richting Toestaan: hiermee wordt verkeer door de firewall toegestaan als het item overeenkomt. Block (Blokkeren): hiermee wordt verkeer door de firewall geblokkeerd als het item overeenkomt. Overeenkomst beschouwen als inbraak: hiermee wordt verkeer dat overeenkomt met de regel, als aanval behandeld en wordt een gebeurtenis gegenereerd die naar de McAfee epo-server wordt gestuurd. De actie Blokkeren voor de regel moet zijn geselecteerd om een gebeurtenis te kunnen genereren. Overeenkomend verkeer registreren: hiermee wordt een record van overeenkomend verkeer bewaard in het activiteitslogboek van Firewall op de Endpoint Security Client. Hiermee wordt de richting opgegeven: In: bewaakt binnenkomend verkeer. Uit: bewaakt uitgaand verkeer. Beide: bewaakt binnenkomend en uitgaand verkeer. Locatie Opmerkingen Meer informatie over het item. Locatiedetectie inschakelen Hiermee wordt locatie-informatie voor de groep in- of uitgeschakeld. Naam Hiermee geeft u de naam van de locatie op (vereist). McAfee Endpoint Security 10 Producthandleiding 129

130 6 Referentie van clientinterface Firewall Regels Tabel 6-24 (vervolg) Sectie Optie Definitie Regel Groep Verbindingsisolatie inschakelen Hiermee wordt verkeer geblokkeerd op netwerkadapters die niet overeenkomen met de groep, wanneer een adapter aanwezig is die niet overeenkomt met de groep. Instellingen voor Transport en Uitvoerbare bestanden zijn niet beschikbaar voor groepen voor isolatie van verbindingen. Deze optie kan onder andere worden gebruikt om verkeer te blokkeren dat wordt gegenereerd door mogelijk ongewenste bronnen buiten het bedrijfsnetwerk. Zo wordt voorkomen dat dit verkeer het bedrijfsnetwerk binnenkomt. Verkeer kan alleen op deze manier geblokkeerd worden als de groep in de firewall niet voorafgegaan wordt door een regel die het verkeer toestaat. Wanneer isolatie van verbindingen ingeschakeld is en een NIC komt overeen met de groep, wordt verkeer alleen toegestaan wanneer aan een van de volgende voorwaarden wordt voldaan: Verkeer komt overeen met een Toestaan-regel vóór de groep. Verkeer dat over een NIC gaat, komt overeen met de groep en er staat een regel in of onder de groep die het verkeer toestaat. Als er geen NIC met de groep overeenkomt, wordt de groep genegeerd en het overeenstemmen van regels voortgezet. Require that epolicy Orchestrator be reachable (Vereisen dat epolicy Orchestrator bereikbaar is) Wanneer dit geselecteerd is kan de groep alleen overeenkomsten vinden als communicatie met de McAfee epo-server mogelijk is en de FQDN van de server is omgezet. 130 McAfee Endpoint Security 10 Producthandleiding

131 Referentie van clientinterface Firewall Regels 6 Tabel 6-24 (vervolg) Sectie Optie Definitie Regel Groep Locatiecriteria Verbindingsspecifiek DNS-achtervoegsel Standaardgateway DHCP-server DNS-server Primaire WINS Secundaire WINS Domeinbereikbaarheid Bijvoorbeeld: IPv Hiermee wordt een verbindingsspecifiek DNS-achtervoegsel opgegeven in de indeling: example.com. Hiermee wordt één IP-adres opgegeven voor een standaardgateway in IPv4- of IPv6-indeling. Hiermee wordt één IP-adres opgegeven voor een DHCP-server in IPv4- of IPv6-indeling. Hiermee wordt één IP-adres opgegeven voor een domeinnaamserver in IPv4- of IPv6-indeling. Hiermee wordt één IP-adres opgegeven voor een primaire WINS-server in IPv4- of IPv6-indeling. Hiermee wordt één IP-adres opgegeven voor een secundaire WINS-server in IPv4- of IPv6-indeling. Hiermee wordt gecontroleerd of het opgegeven domein bereikbaar is. IPv6 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 Registersleutel Hiermee worden de registersleutel en sleutelwaarde opgegeven. 1 Geef in het eerste veld de registersleutel op in de volgende indeling: <ROOT>\<KEY>\[VALUE_NAME] <ROOT>: moet de volledige hoofdnaam gebruiken, zoals HKEY_LOCAL_MACHINE, en niet de afkorting HKLM. <KEY>: de sleutelnaam onder de hoofdnaam. [VALUE_NAME]: is de naam van de sleutelwaarde. Als er geen waardenaam is opgenomen, wordt van de standaardwaarde uitgegaan. 2 Voer in het tweede veld na het gelijkteken de gegevens voor de sleutelwaarde in. Wilt u een registersleutel kopiëren en plakken, klik dan met de rechtermuisknop op een sleutel in Register-editor (voer regedit uit) en selecteer Sleutelnaam kopiëren om de sleutel te kopiëren. McAfee Endpoint Security 10 Producthandleiding 131

132 6 Referentie van clientinterface Firewall Regels Tabel 6-24 (vervolg) Sectie Optie Definitie Regel Groep Netwerken Netwerkprotocol Elk protocol Hiermee worden de netwerkhostopties opgegeven die van toepassing zijn op het item. Hiermee wordt het netwerkprotocol opgegeven dat van toepassing is op het item. Zowel IP- als niet-ip-protocollen zijn toegestaan. Als er een transportprotocol of een toepassing is opgegeven, zijn alleen IP-protocollen toegestaan. IP-protocol Hiermee worden niet-ip-protocollen uitgesloten. IPv4-protocol IPv6-protocol Als geen van beide selectievakjes zijn ingeschakeld, is een willekeurig IP-protocol van toepassing. Zowel IPv4 als IPv6 kunnen worden geselecteerd. Niet-IP-protocol Omvat alleen niet-ip-protocollen. Selecteer ethertype in de lijst: hiermee wordt een ethertype opgegeven. Geef aangepast EtherType op: hiermee worden de vier tekens van een hexadecimale ethertype-waarde van het niet-ip-protocol opgegeven. Zie Ethernetnummers voor ethertype-waarden. Typ bijvoorbeeld 809B voor AppleTalk, 8191 voor NetBEUI of 8037 voor IP. Verbindingstypen Hiermee wordt aangegeven of een of alle verbindingstypen van toepassing zijn: Bekabeld Draadloos Virtueel Het verbindingstype Virtueel is een adapter die wordt aangeboden door een VPN of een toepassing voor virtuele machines, zoals VMware, in plaats van een fysieke adapter. Netwerken opgeven Hiermee worden de netwerken opgegeven die van toepassing zijn op het item. Toevoegen: hiermee wordt een netwerk gemaakt en toegevoegd. Zie Netwerken toevoegen op pagina 134 voor informatie. Importeren: hiermee kan een lijst met netwerknamen uit een ML-bestand geïmporteerd worden. Verwijderen: hiermee wordt het netwerk uit de lijst verwijderd. Transport Hiermee worden de transportopties opgegeven die van toepassing zijn op het item. 132 McAfee Endpoint Security 10 Producthandleiding

133 Referentie van clientinterface Firewall Regels 6 Tabel 6-24 (vervolg) Sectie Optie Definitie Regel Groep Transportprotocol Hiermee wordt het transportprotocol opgegeven dat aan het item is gekoppeld. Selecteer het protocol en klik op Toevoegen om poorten toe te voegen. Alle protocollen TCP en UDP ICMP en ICMPv6 Overige Hiermee worden IP-, niet-ip- en niet-ondersteunde protocollen toegestaan. Selecteer het volgende in de vervolgkeuzelijst: Lokale poort: hiermee wordt de service of poort van het lokale verkeer opgegeven waarop het item van toepassing is. Externe poort: hiermee wordt de service of poort van het verkeer op een andere computer opgegeven waarop het item van toepassing is. Lokale poort en Externe poort kunnen zijn: Eén service, bijvoorbeeld 23. Een bereik, bijvoorbeeld Een door komma's gescheiden lijst met enkelvoudige poorten en bereiken, bijvoorbeeld 80, 8080, 1-10, 8443 (tot vier items). Regels zijn standaard van toepassing op alle services en poorten. In de vervolgkeuzelijst Type bericht geeft u een ICMP-berichttype op. ICMP ICMPv6 Hiermee selecteert u een optie in een lijst met minder bekende protocollen. Uitvoerbare bestanden Hiermee worden de uitvoerbare bestanden opgegeven die van toepassing zijn op de regel. Toevoegen: hiermee wordt een uitvoerbaar bestand gemaakt en toegevoegd. Raadpleeg Toevoegen of Bewerken van uitvoerbare bestanden op pagina 134 voor meer informatie. Importeren: hiermee kan een lijst met namen van uitvoerbare bestanden uit een ML-bestand geïmporteerd worden. Verwijderen: hiermee wordt een uitvoerbaar bestand uit de lijst verwijderd. Firewall -regels en -groepen maken en beheren op pagina 72 Netwerken toevoegen op pagina 134 Toevoegen of Bewerken van uitvoerbare bestanden op pagina 134 McAfee Endpoint Security 10 Producthandleiding 133

134 6 Referentie van clientinterface Firewall Regels Toevoegen of Bewerken van uitvoerbare bestanden Hiermee wordt een uitvoerbaar bestand dat aan een regel of groep is gekoppeld, toegevoegd en bewerkt, of wordt een uitvoerbaar bestand aan de Firewall Catalogue (Firewallcatalogus) toegevoegd. Tabel 6-25 Optie Definitie Regel Groep Naam Bestandspad Hiermee wordt de naam opgegeven van het uitvoerbare bestand. Hiermee wordt het bestandspad opgegeven naar het uitvoerbare bestand dat moet worden toegevoegd of bewerkt. Klik op Bladeren om het uitvoerbare bestand te selecteren. Het bestandspad mag jokertekens bevatten. Bestandsbeschrijving Dit is de beschrijving van het bestand. Dit veld wordt automatisch ingevuld wanneer u een uitvoerbaar bestand selecteert. Vingerafdruk Hiermee wordt de MD5-hash van het proces opgegeven. Dit veld wordt automatisch ingevuld wanneer u een uitvoerbaar bestand selecteert. Controle op digitale handtekening inschakelen Hiermee wordt de controle op digitale handtekening in- of uitgeschakeld, waarmee wordt gegarandeerd dat code niet is gewijzigd of beschadigd sinds de code is ondertekend met een cryptografische hash. Als de optie is ingeschakeld, geeft u het volgende op: Elke handtekening toestaan: hiermee worden bestanden toegestaan die zijn ondertekend door een willekeurige procesondertekenaar. Ondertekend door: hiermee worden alleen bestanden toegestaan die zijn ondertekend door de opgegeven procesondertekenaar. Netwerken toevoegen Hiermee wordt een netwerk dat aan een regel of groep is gekoppeld, toegevoegd of bewerkt, of hiermee wordt een netwerk aan de Firewall Catalogue (Firewallcatalogus) toegevoegd. Tabel 6-26 Optie Definitie Regel Groep Naam Hiermee wordt de naam van het netwerkadres opgegeven (verplicht). Type Hiermee wordt een van de volgende opties geselecteerd: Lokaal netwerk: hiermee wordt een lokaal netwerk gemaakt en toegevoegd. Extern netwerk: hiermee wordt een extern netwerk gemaakt en toegevoegd. Toevoegen Hiermee wordt een netwerktype aan de netwerklijst toegevoegd. Verwijderen Hiermee worden de geselecteerde items verwijderd. 134 McAfee Endpoint Security 10 Producthandleiding

135 Referentie van clientinterface Web Control Opties 6 Tabel 6-26 (vervolg) Optie Definitie Regel Groep Netwerktype Hiermee wordt de afkomst of de bestemming van het verkeer opgegeven. Maak een selectie in de vervolgkeuzelijst Adrestype. Zie Adrestype op pagina 135 voor de lijst met adrestypen. Adres Hiermee worden het IP-adres opgegeven dat aan het netwerk moeten worden toegevoegd. Jokertekens zijn toegestaan. Adrestype op pagina 135 Adrestype Hiermee wordt het type adres opgegeven. Tabel 6-27 Optiedefinities Optie Eén IP Definitie Hiermee wordt een specifiek IP-adres opgegeven. Bijvoorbeeld: IPv IPv6 2001:db8::c0fa:f340:9219:bd20:9832:0ac7* Subnet Hiermee wordt het subnetadres van een willekeurige adapter op het netwerk opgegeven. Bijvoorbeeld: IPv /24 IPv6 2001:db8::0/32 Lokaal subnet Bereik Hiermee wordt het subnetadres van de lokale adapter opgegeven. Hiermee wordt een reeks IP-adressen opgegeven. Voer het begin- en eindpunt van het bereik in. Bijvoorbeeld: IPv IPv6 2001:db8::0000:0000:0000: :db8::ffff:ffff:ffff:ffff Fully Qualified Domain Name Hiermee wordt de FQDN opgegeven. Bijvoorbeeld Web Control Opties Hiermee worden algemene Web Control-instellingen geconfigureerd, waaronder het inschakelen en opgeven van actiehandhaving, beveiligd zoeken, en aantekeningen bij s. Zie Common Opties op pagina 92 instellingen voor configuratie van logboekregistratie. McAfee Endpoint Security 10 Producthandleiding 135

136 6 Referentie van clientinterface Web Control Opties Tabel 6-28 Sectie Optie Definitie OPTIES Web Control inschakelen Hiermee wordt Web Control in- of uitgeschakeld. (Standaard ingeschakeld) De werkbalk in de clientbrowser verbergen Hiermee wordt de werkbalk van Web Control in de browser verborgen zonder de functionaliteit uit te schakelen. (Standaard uitgeschakeld) Gebruik deze optie om compatibiliteitsproblemen met derde partijen op te lossen. Logboekregistratie Webcategorieën voor groen geclassificeerde sites registreren Hiermee worden inhoudscategorieën voor alle groen geclassificeerde sites geregistreerd. Als u deze functie inschakelt, kan dit een negatieve invloed hebben op de prestaties van de McAfee epo-server. Actiehandhaving Web Control iframe-gebeurtenissen registreren Deze actie toepassen op sites die nog niet zijn geverifieerd door McAfee GTI Hiermee wordt geregistreerd wanneer schadelijke sites (rood) en sites met een waarschuwing (geel) die in een HTML iframe worden weergegeven, worden geblokkeerd. Hiermee wordt de standaardactie opgegeven die moet worden toegepast op sites die McAfee GTI nog niet heeft geclassificeerd. Gebruik instellingen in Berichten voor beleidshandhaving om het bericht aan te passen. Toestaan (standaard) Waarschuwen Blokkeren Hiermee krijgen gebruikers toestemming om de site op te roepen. Hiermee wordt een bericht weergegeven om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan de site. Gebruikers moeten de waarschuwing verwijderen voordat ze door kunnen gaan. Hiermee voorkomt u dat gebruikers de site oproepen en wordt een bericht weergegeven dat de download is geblokkeerd. Ondersteuning voor HTML-iFrames inschakelen Sites standaard blokkeren als server met McAfee GTI-classificaties niet bereikbaar is Phishingpagina's voor alle sites blokkeren Hiermee wordt toegang tot schadelijke sites (Rood) geblokkeerd en wordt gewaarschuwd voor sites (Geel) die in een HTML iframe worden weergegeven. (standaard ingeschakeld) Hiermee wordt toegang tot websites standaard geblokkeerd als Web Control de McAfee GTI-server niet kan bereiken. Hiermee worden alle phishingpagina's geblokkeerd, waarbij inhoudsclassificatieacties worden overschreven. (Standaard ingeschakeld) 136 McAfee Endpoint Security 10 Producthandleiding

137 Referentie van clientinterface Web Control Opties 6 Tabel 6-28 (vervolg) Sectie Optie Definitie Scannen van gedownloade bestanden inschakelen Hiermee worden alle bestanden (inclusief ZIP-bestanden) gescand voordat ze worden gedownload. (Standaard ingeschakeld) Deze optie voorkomt dat gebruikers een gedownload bestand openen, tot Threat Prevention het bestand als schoon markeert. Gedownloade bestanden worden naar Threat Prevention gestuurd om te worden gescand. Threat Prevention voert een McAfee GTI-zoekactie uit op het bestand. Als een gedownload bestand wordt gedetecteerd als bedreiging, voert Endpoint Security een actie uit op het bestand en wordt de gebruiker gewaarschuwd. McAfee GTI-risiconiveau opgeven dat moet worden geblokkeerd Privé-IP-bereik Hiermee wordt het McAfee GTI-risiconiveau opgegeven dat moet worden geblokkeerd wanneer de Threat Prevention-functie voor scannen op aanvraag niet is geïnstalleerd of ingeschakeld. Raadpleeg McAfee GTI op pagina 120 voor meer informatie. Web Control gebruikt het risiconiveau om de score te berekenen wanneer de controlesom-reputatie van McAfee GTI wordt opgehaald. Hiermee wordt Web Control geconfigureerd om niet te classificeren of actie te ondernemen op het opgegeven privé-ip-adresbereik. Toevoegen Verwijderen Hiermee wordt een privé-ip-adres toegevoegd aan de lijst met adressen die moeten worden uitgesloten van classificatie of blokkering. Hiermee wordt een privé-ip-adres verwijderd van de lijst met adressen die moeten worden uitgesloten van classificatie of blokkering. Beveiligd zoeken Beveiligd zoeken inschakelen Hiermee wordt Beveiligd zoeken ingeschakeld. Kwaadaardige sites worden automatisch geblokkeerd in zoekresultaten op basis van hun veiligheidsclassificatie. De standaardzoekengine in ondersteunde browsers instellen Hiermee wordt de standaardzoekengine opgegeven die in ondersteunde browsers moet worden gebruikt: Yahoo Google Bing Ask Koppelingen naar riskante sites in zoekresultaten blokkeren Hiermee wordt voorkomen dat gebruikers op koppelingen naar riskante sites in zoekresultaten klikken. Tabel 6-29 Geavanceerde opties Sectie Optie Definitie Aantekeningen bij s Aantekeningen in browsermail inschakelen Aantekeningen in niet-browsermail inschakelen Hiermee krijgen URL's annotaties in browsermailclients, zoals Yahoo Mail en Gmail. Hiermee krijgen URL's annotaties in 32-bits beheerprogramma's, zoals Microsoft Outlook of Outlook Express. McAfee Endpoint Security 10 Producthandleiding 137

138 6 Referentie van clientinterface Web Control Inhoudsacties Web Control-opties configureren op pagina 84 McAfee GTI op pagina 120 Web Control Inhoudsacties Hiermee worden acties gedefinieerd die moeten worden uitgevoerd voor geclassificeerde sites en webinhoudscategorieën. Tabel 6-31 Voor sites en bestandsdownloads in de niet-geblokkeerde categorieën past Web Control de classificatieacties toe. Sectie Optie Definitie Classificatieacties Classificatieacties voor sites Hiermee worden acties opgegeven voor sites die een rode of gele, of geen classificatie hebben. Groen geclassificeerde sites en downloads worden automatisch toegestaan. Toestaan Waarschuwen Blokkeren Hiermee krijgen gebruikers toestemming om de site op te roepen. (Standaardinstelling voor Niet-geclassificeerde sites) Hiermee wordt een bericht weergegeven om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan de site. Gebruikers moeten de waarschuwing verwijderen voordat ze kunnen annuleren of naar de site kunnen gaan. (Standaardinstelling voor Gele sites) Hiermee wordt voorkomen dat gebruikers de site oproepen en wordt een bericht weergegeven dat de site is geblokkeerd. (Standaardinstelling voor Rode sites) Classificatieacties voor bestandsdownloads Hiermee worden acties opgegeven voor bestandsdownloads die een rode of gele, of geen classificatie hebben. Toestaan Waarschuwen Blokkeren Hiermee staat u gebruikers toe de download voort te zetten. (Standaardinstelling voor Niet-geclassificeerde sites) Hiermee geeft u een bericht weer om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan het downloadbestand. Gebruikers moeten de waarschuwing verwijderen voor ze de download kunnen beëindigen of voortzetten. (Standaardinstelling voor Gele sites) Hiermee voorkomt u dat gebruikers het bestand downloaden en wordt een bericht weergegeven dat de download geblokkeerd is. (Standaardinstelling voor Rode sites) Gebruik instellingen in Berichten voor beleidshandhaving om het bericht aan te passen. 138 McAfee Endpoint Security 10 Producthandleiding

139 Referentie van clientinterface Web Control Inhoudsacties 6 Tabel 6-32 Geavanceerde opties Sectie Optie Definitie Webcategorie blokkeren Blokkering van webcategorie inschakelen Hiermee wordt het blokkeren van sites ingeschakeld op basis van inhoudscategorie. De eerste 7 categorieën worden als Hoog risico beschouwd en standaard ingeschakeld. Verdere categorieën verschijnen in alfabetische volgorde en zijn standaard uitgeschakeld. Blokkeren Webcategorie Hiermee wordt voorkomen dat gebruikers sites van deze categorie oproepen en wordt een bericht weergegeven dat de site is geblokkeerd. Hiermee worden de webcategorieën weergegeven, van hoogste tot laagste risico. Classificatieacties opgeven en sitetoegang blokkeren op basis van webcategorie op pagina 87 Veiligheidsclassificaties gebruiken voor toegangscontrole op pagina 88 Webcategorieën gebruiken om toegang te beheren op pagina 87 McAfee Endpoint Security 10 Producthandleiding 139

140 6 Referentie van clientinterface Web Control Inhoudsacties 140 McAfee Endpoint Security 10 Producthandleiding

141 Index A Aanmelden als beheerder, pagina bij openen van Endpoint Security Client 17 clientinterface ontgrendelen 25 aanmeldingsgegevens, standaardbeheerder 11 aanvallen, misbruik van bufferoverloop 49 Actiemenu, info over 11 acties, Threat Prevention gebruikers toestaan geïnfecteerde bestanden op te schonen en te verwijderen 50, 55 ongewenste programma's 45 opgeven wat er gebeurt als een bedreiging wordt gevonden 50, 55 uitvoeren op items in quarantaine 39 actieve modus, FTP-protocol 74 activiteitslogboeken, Endpoint Security Client 22 Adaptieve modus configureren in Firewall 64 regelvoorrang 66 Adaptieve regels, groep 72 adware, info 41 algemene scancache scans bij toegang 50 scans op aanvraag 55 AMCore-inhoud terugzetten, pagina 26 AMCore-inhoudsbestanden Extra.DAT-bestanden 26, 27 info over 8 over handtekeningen en updates 9 overzicht van scans bij toegang 50 scan op aanvraag, overzicht 55 versie wijzigen 26 apps, Windows Store 50, 55 archieven, scanopties opgeven 50, 55 Ask-zoekengine en veiligheidspictogrammen 79 B back-ups, scanopties opgeven 50, 55 ballonnen, Web Control 79, 82 bedreigingen AMCore-inhoudsbestanden 9 detecties beheren 39 detecties tijdens scannen 38 en veiligheidsclassificaties 80 bedreigingen meer informatie van McAfee Labs 39 overtredingen van toegangspunten 47 Quarantainemap 39 reageren op detecties 18 Toegangsbeveiliging, proces 47 typen 41 Windows Store-apps 50, 55 Bedreigingsoverzicht, info over 12 beheerders aanmelden bij Endpoint Security Client 24 definitie 8 standaardwachtwoord 11 wachtwoord 25 beheertypen info over 20 weergeven 19 beleid clientfuncties 9 definitie 8 toegang tot Endpoint Security Client 13 beleid, Common configureren 27 beleidsregels, Threat Prevention algemene scaninstellingen 60 scans bij toegang 54 scans op aanvraag, uitstellen 57 beperking, configureren 59 berichten, Endpoint Security info over 10 weergeven bij detectie van bedreiging 50, 55 bescherming weergeven, informatie over 19 zelfbeveiliging configureren 28 bestanden beheren in de quarantaine 39 configureren voor quarantaine 60 jokertekens in scanuitsluitingen 43 logboekbestanden 22 logboekbestanden configureren 29 logboeken van Endpoint Security Client 21 scans uitvoeren 38 specifieke items uitsluiten van scans 42 wijziging voorkomen 28 McAfee Endpoint Security 10 Producthandleiding 141

142 Index bestanden voor detectiedefinitie, zie inhoudsbestanden bestanden, inhoud Exploitpreventie 9 Extra.DAT en AMCore 9 Extra.DAT-bestanden 26, 27 Extra.DAT-bestanden gebruiken 26 Extra.DAT-bestanden laden 27 handtekeningen en updates 9 overzicht van scans bij toegang 50 scan op aanvraag, overzicht 55 versie van AMCore-inhoud wijzigen 26 bestandsdownloads blokkeren of waarschuwen op basis van classificaties 87 scannen met Threat Prevention 86 van onbekende sites blokkeren 84 Beveiligd zoeken, Web Control configureren 84 beveiliging clientinterfacebeveiliging configureren 29 up-to-date houden 8 werken met 9 Bing-zoekengine en veiligheidspictogrammen 79 bronsites configureren voor clientupdates 32 browsers communicatieproblemen oplossen 83 ondersteund 77, 81 Web Control-invoegtoepassing uitschakelen 84 Web Control-menuopties weergeven 81 Bureaubladmodus, Windows 8 reageren op prompts bij bedreigingsdetecties 18 Windows 8 10 C cache, algemene scan scans bij toegang 50 scans op aanvraag 55 Chrome ondersteunde browsers 77, 81 Web Control-knoppen 78 Web Control-menuopties weergeven 81 classificaties, veiligheid, zie veiligheidsclassificaties classificaties, Web Control, zie veiligheidsclassificaties client, zie Endpoint Security Client Clientinterfacemodus vergrendelen bij openen van Endpoint Security Client 17 de interface ontgrendelen 25 en beleidsinstellingen 13 Clientinterfacemodus, opties 13 clientsoftware, definitie 8 Common-module configureren bronsites voor clientupdates 32 clientinterfacebeveiliging 29 instellingen 27 instellingen voor bijwerken 31 McAfee GTI-proxyserverinstellingen 30 Common-module configureren registreren in logboek 29 Zelfbeveiliging 28 Common-module, Endpoint Security Client 7, 14 communicatieproblemen, Web Control 83 CPU-tijd, scannen op aanvraag 59 D detecties beheren 36, 39 berichten weergeven aan gebruikers 50, 55 namen 41 rapporteren bij beheerserver 8 reageren op 18 typen 36, 38 uitsluiten op naam 60 Detecties bekijken, knop 39 dialers, info 41 DNS-verkeer blokkeren 64 domeinen, blokkeren 64 downloadverzoeken, zie bestandsdownloads E eigen beheer, info 20 Endpoint Security beheren 24 Endpoint Security Client aanmelden als beheerder 24 bedreigingsdetecties beheren 39 Bedreigingsoverzicht 12 beheertypen 8, 19 beleidsinstellingen 13 bescherming controleren 20 beveiligen met een wachtwoord 30 beveiligingsinformatie weergeven 19 beveiligingsinstellingen configureren 29 de interface ontgrendelen 25 Help weergeven 18 het Gebeurtenislogboek bekijken 21 info over 11 logboeken, info 22 modules 14 openen 10, 17 scannen op malware 35 scans uitvoeren 36 sites configureren voor updates 32 Standaard clientupdate, over taak 34 Standaard clientupdate, taak plannen 33 Standaard clientupdatetaak configureren 31 systeemscans 35 Volledige scan en Snelle scan, plannen 60 werken met 9 Endpoint Security, hoe het uw computer beveiligt McAfee Endpoint Security 10 Producthandleiding

143 Index Exploitpreventie exploits configureren 48 info over 48 inhoudsbestandsupdates 9 logboekbestanden 22 bufferoverloop blokkeren 48 hoe bufferoverloopmisbruik plaatsvindt 49 Extern bureaublad, en functie scannen bij inactief 57 Externe opslag scannen, overzicht 59 Extra.DAT-bestanden F Firefox Firewall AMCore-inhoudsbestanden 9 downloaden 27 gebruiken 26 info over 26 laden 27 overzicht van scans bij toegang 50 scan op aanvraag, overzicht 55 communicatieproblemen testen 83 ondersteunde browsers 77, 81 Web Control-menuopties weergeven 81 activiteitenlogboek 22 beheren 63 bescherming in- en uitschakelen 64 blokkeren, DNS-verkeer 64 Endpoint Security Client 14 foutopsporingslogboek 22 hoe firewallregels werken 66 hoe het werkt 63 inbraakwaarschuwingen 10 info over 7 locatiedetectiegroepen maken 74 locatiedetectiegroepen, info 68 logboekbestanden 22 opties wijzigen 64 regels, zie firewallregels regels en groepen beheren 72 firewallgroepen firewallregelgroepen configureren 66 firewallopties wijzigen 64 firewallregelgroepen en isolatie van verbindingen 69 hoe de Firewall werkt 63 locatiedetectie, info 68 locatiedetectie, maken 74 voorrang geven 68 firewallregels configureren 66 firewallregels hoe de Firewall werkt 63 hoe ze werken 66 jokertekens gebruiken 73 om FTP-verbindingen toe te staan 74 toestaan en blokkeren 66 volgorde en voorrang geven 66 foutberichten, status systeemvakpictogram 10 fouten, update 20 foutlogboeken, Endpoint Security Client 22 FTP-protocol 74 functies G Endpoint Security Client-toegang op basis van beleid 13 inschakelen en uitschakelen 25 gebeurtenislogboeken pagina Gebeurtenislogboek weergeven 21 gebeurtenislogboeken, Endpoint Security Client 22 gebeurtenissen, Web Control-browsergebeurtenissen traceren 84 gebeurtenissenlogboeken updatefouten 20 gebruikersaccounts, toegang tot de client beheren 30 gevoeligheidsniveau, McAfee GTI 31 Google Chrome 77 ondersteunde zoekengines 79 veiligheidspictogrammen 79 grapvirussen, info 41 groepen met locatiedetectie info over 68 isolatie van verbindingen 69 maken 74 groepen, firewall, zie firewallregelgroepen H handmatige scans over scantypes 35 uitvoeren vanuit Endpoint Security Client 36, 38 handmatige updates, uitvoeren 20 handtekeningen, informatie over bekende bedreigingen 9 hashes, over 31 heap-gebaseerde aanvallen, misbruik van bufferoverloop 49 Help weergeven 11, 18 hervatbare scans, zie incrementele scans hulpprogramma's voor extern beheer, info 41 I inbraak, Firewallwaarschuwingen inschakelen 64 incrementele scans 57 Info, pagina 8, 19 informatie, beveiliging weergeven 19 McAfee Endpoint Security 10 Producthandleiding 143

144 Index Inhoudsacties, instellingen Web Control 87, 88 inhoudsbestanden AMCore-versie wijzigen 26 en detecties 18 Extra.DAT-bestanden 26, 27 handmatig controleren op updates 20 info over 8 overzicht van scans bij toegang 50 scan op aanvraag, overzicht 55 updates plannen 33 inhoudscategorieën, zie webcategorieën installatieprogramma's, vertrouwde scannen 50 instellingen bronsites configureren voor 32 updates, configureren voor 31 Instellingen, pagina bronsites voor clientupdates configureren 32 clientinterfacebeveiliging configureren 29 en clientinterfacemodus 13 firewallopties wijzigen 64 firewallregels en -groepen beheren 72 proxyserverinstellingen configureren 30 registratie, configureren 29 update-instellingen configureren 31 Zelfbeveiliging, configureren 28 instellingen, Threat Prevention potentieel ongewenste programma's configureren 44 scans bij toegang 45 scans op aanvraag 45 Toegangsbeveiliging, functie 46 instellingen, Web Control toegang beheren met veiligheidsclassificaties 88 toegang beheren met webcategorieën 87 toegang tot websites beheren 87 interfacemodi clientbeveiligingsinstellingen configureren 29 Standaardtoegang 24, 30 Internet Explorer communicatieproblemen testen 83 en ScriptScan-gedrag 50 ondersteunde browsers 77, 81 Web Control-menuopties weergeven 81 IP-adressen groepen met locatiedetectie 68 regelgroepen 68 J jokertekens gebruiken in firewallregels 73 gebruiken in scanuitsluitingen 43 K keyloggers, info 41 klantlogboekgebruik, configureren 29 kleuren, Web Control-knoppen 78 knoppen Detecties bekijken 39 Nu scannen 36 Scan weergeven 36 knoppen, Web Control 78 kwetsbaarheid, zie bedreigingen L logboekbestanden configureren 29 locaties 22 updatefouten 20 weergeven 21 M malware detecties tijdens scannen 36, 38 reageren op detecties 18 scannen op 35 mappen beheren in de quarantaine 39 configureren voor quarantaine 60 jokertekens in scanuitsluitingen 43 scans uitvoeren 38 McAfee Endpoint Security Client, zie Endpoint Security Client McAfee epo AMCore-inhoudsbestanden ophalen 9 bescherming controleren 8 en beheertypen 20 McAfee epo Cloud-beheertype 20 McAfee GTI bestanden scannen alvorens te downloaden 84, 86 blokkeringsgebeurtenissen naar server verzenden 64 communicatieproblemen oplossen 83 en webcategorieën 87 firewallopties configureren 64 gevoeligheidsniveau configureren 60 netwerkreputatie voor firewall configureren 64 overzicht 31 proxyserverinstellingen opgeven 30 scannen bij toegang, configureren 50 scans bij toegang, hoe het werkt 50 scans op aanvraag configureren 55 scans op aanvraag, hoe het werkt 55 veelgestelde vragen 65 veiligheidsclassificaties van Web Control 80 Web Control-communicatiefout 78 Web Control-siterapporten 79 McAfee Labs AMCore-inhoudsbestandsupdates 9 en McAfee GTI 31 Extra.DAT McAfee Endpoint Security 10 Producthandleiding

145 Index McAfee Labs (vervolg) Extra.DAT downloaden 26 meer informatie over bedreigingen 39 McAfee SECURE, knop Web Control 78 McAfee-beveiligingsclient, zie Endpoint Security Client McAfee-beveiligingsstatuspagina, weergeven 10 McAfee-client, zie Endpoint Security Client McAfee-pictogram, zie systeemvakpictogram, McAfee McTray, starten 57 meldingen info over 10 werken met Endpoint Security Client 9 Windows 8 10 menu's Actie 11, 25 Help 11, 18 Info 19 Instellingen 11, 13, 14, 64, 72 Metromodus, Windows 8 meldingen 10 reageren op prompts bij bedreigingsdetecties 18 Microsoft Internet Explorer, zie Internet Explorer misbruik van bufferoverloop, info 49 modules Endpoint Security Client-toegang op basis van beleid 13 geïnstalleerd in Endpoint Security Client 14 info over Endpoint Security 7 weergeven, informatie over 19 modules, Common clientinterfacebeveiliging configureren 29 clientupdate-instellingen configureren 31 configureren, bronsites voor clientupdates 32 hoe McAfee GTI werkt 31 McAfee GTI-proxyserverinstellingen configureren 30 registratie, configureren 29 update-instellingen configureren 31 Zelfbeveiliging, configureren 28 mogelijk ongewenste programma's detectie configureren 44 detectie inschakelen 45, 50, 55 detecties tijdens scannen 36, 38 info over 41 jokertekens in scanuitsluitingen 43 opgeven 44 programma's opgeven voor detectie 60 Mozilla Firefox, zie Firefox N netwerkadapters, verbinding toestaan 68 netwerkstations, scanopties opgeven 50 Nu scannen, knop 36 O onbeheerd, zie eigen beheer, info op aanvraag, updates, zie handmatige updates, uitvoeren opstartsectoren scannen 50, 55 opties configureren, scans op aanvraag 55 scannen bij toegang configureren 50 scannen op malware 35 Opties, Common bronsites voor clientupdates configureren 32 clientinterfacebeveiliging configureren 29 configureren 27 plannen, scannen op aanvraag 35 proxyserverinstellingen configureren 30 registratie-instellingen configureren 29 update-instellingen configureren 31 Zelfbeveiliging, configureren 28 Opties, Threat Prevention algemene scaninstellingen 60 ongewenste programma's 44 P pagina Bijwerken 20 Pagina Instellingen instellingen voor scannen bij toegang, configureren 50 instellingen voor scannen op aanvraag configureren 55 Pagina Quarantaine 39 Pagina Scannen op bedreigingen 38 pagina's AMCore-inhoud terugzetten 26 Bijwerken 20 Gebeurtenislogboek 21 Info 8, 19 Instellingen 13, 28 32, 55, 64 McAfee-beveiligingsstatus 10 Quarantaine 39 scan weergeven 36 Scannen bij toegang 18, 39 Scannen op bedreigingen 38 Systeem scannen 36, 39 passieve modus, FTP-protocol 74 phishing, rapporten ingediend door sitegebruikers 80 pictogrammen, McAfee, zie systeemvakpictogram, McAfee pictogrammen, Web Control 79 planningen, scans op aanvraag, uitstellen 57 poorten, FTP-verbindingen 74 pop-upmeldingen, Windows 8-metromodus 10, 18 pop-ups, en veiligheidsclassificaties 80 prioriteiten, scans bij toegang 59 procesinstellingen, scannen op aanvraag 59 processen met hoog risico opgeven 50 processen met laag risico opgeven 50 processen, Threat Prevention opgeven, hoog en laag risico 50 opnemen in en uitsluiten van toegangsbeveiliging 46 scannen 50 McAfee Endpoint Security 10 Producthandleiding 145

146 Index productupdates handmatig controleren op 20 plannen 33 programma's, detectie van mogelijk ongewenste inschakelen 50, 55 proxyserver configureren voor McAfee GTI 30 Proxyserver Q hoe McAfee GTI werkt 31 quarantaine, Threat Prevention R locatie- en behoudsinstellingen configureren 60 rapporten, Web Control 79, 80 veiligheid 77 websitebeveiliging 79 weergeven 82 reacties configureren voor detectie van ongewenste programma's 45 Rechtermuisknopscan configureren 55 info over 35 uitvoeren vanuit Windows Verkenner 38 Regelgroep Gebruiker toegevoegd 72 regelgroepen, Firewall, zie firewallregelgroepen regels, firewall, zie Firewall regels, Threat Prevention S configureren 46 hoe Toegangsbeveiliging werkt 47 scan uitstellen, overzicht 57 Scan weergeven, knop 36 scancache scans bij toegang 50 scans op aanvraag 55 scanengines, overzicht AMCore-inhoudsbestanden 9 scannen bij inactief, functie 57 Scannen bij inactief, functie 19 scannen bij toegang aantal methoden 54 bedreigingsdetecties, reageren op 18 configureren 50 detectie van bedreigingen in Windows Store-apps 50 items uitsluiten 42 optimaliseren met vertrouwenslogica 50 overzicht 50 ScriptScan 50 Scannen bij toegang, pagina 39 scanpagina weergeven 18, 36 scans algemene instellingen voor scans op aanvraag en scans bij toegang 60 jokertekens in uitsluitingen gebruiken 43 plannen met Endpoint Security Client 60 reageren op prompts 19 rechtermuisknopscan uitvoeren 38 typen 35 uitstellen, onderbreken, hervatten en annuleren 19 uitvoeren vanuit Endpoint Security Client 36 Web Control 86 scans bij toegang aantal scanmethoden 54 bedreigingsdetecties 18 configureren 60 info over 35 items uitsluiten 42 logboekbestanden 22 mogelijk ongewenste programma's, detectie inschakelen 45 optimaliseren met vertrouwenslogica 50 overzicht 50 scannen van scripts 50 schrijven naar versus lezen van schijf 50 ScriptScan 50 scans op aanvraag alleen uitvoeren bij inactief systeem 57 bestanden of mappen scannen 38 configureren 55, 60 detectie van bedreigingen in Windows Store-apps 55 Externe opslag scannen 59 info over 35 items uitsluiten 42 logboekbestanden 22 mogelijk ongewenste programma's, detectie inschakelen 45 overzicht 55, 57 plannen op de client 60 reageren op prompts 19 rechtermuisknopscan uitvoeren 38 systeemgebruik 59 uitstellen 57 Volledige scan of Snelle scan uitvoeren 36 zero-impact 57 scanvermijding 50 ScriptScan info over 50 inschakelen 50 SecurityCenter-beheertype 20 serversystemen, en functie scannen bij inactief 57 siterapporten, zie rapporten, Web Control sites beveiliging tijdens zoeken 79 browsebeveiliging 78 veiligheidsclassificaties 80 Web Control-siterapporten weergeven McAfee Endpoint Security 10 Producthandleiding

147 Index sites, blokkeren op basis van classificaties 87 op basis van veiligheidsclassificatie 88 op basis van webcategorie 87 sites, toegang tot sites beheren met veiligheidsclassificaties 88 met webcategorieën 87 sites, waarschuwing op basis van classificaties 87 op basis van veiligheidsclassificatie 88 Snelle scan configureren 55 plannen op de client 60 typen scans 35 uitvoeren vanuit Endpoint Security Client 36 software-updates handmatig controleren op 20 plannen 33 spyware, info 41 stack-gebaseerde aanvallen, misbruik van bufferoverloop 49 Standaard clientupdatetaak configureren 31 info over 34 plannen met Endpoint Security Client 33 sites configureren voor updates 32 Standaardtoegangsmodus aanmelden als beheerder 24 clientbeveiligingsinstellingen configureren 29 effecten van een wachtwoord instellen 30 en beleidsinstellingen 13 firewallregels en -groepen beheren 72 standaardwachtwoord, Endpoint Security Client 11 Start-menu, Endpoint Security Client openen 17 status, Endpoint Security, weergeven met McAfeesysteemvakpictogram 10 Statuspagina, Bedreigingsoverzicht weergeven 12 stealth, info 41 Systeem scannen, pagina 36, 39 systeemgebruik (opties), overzicht 59 systeemscans, typen 35 systeemvakpictogram, McAfee 9, 10, 29 T bij openen van Endpoint Security Client 17 definitie 10 toegang tot Endpoint Security configureren 29 taken, Threat Prevention Standaard clientupdate, over 34 Standaard clientupdate, plannen 33 Volledige en Snelle scans, over 35 Volledige scan en Snelle scan, plannen 60 threads, prioriteit 59 Threat Prevention beheren 42 bestanden scannen alvorens te downloaden 84, 86 Threat Prevention Endpoint Security Client 14 Exploitpreventie, functie 48 info over 7 mogelijk ongewenste programma's detecteren 44 Opties, ongewenste programma's 44 scannen bij toegang, configureren 50 scans bij toegang, over 50 scans op aanvraag configureren 55 scans op aanvraag, over 55 Toegangsbeveiliging, functie 46 Toegangsbeveiliging configureren 46 info over 47 logboekbestanden 22 processen opnemen en uitsluiten 46 voorbeelden 47 toegangsmodi, Endpoint Security Client 13 trojaanse paarden U detecties tijdens scannen 36, 38 info over 41 uitsluitingen updates detectienaam 60 jokertekens gebruiken 43 scannen bij toegang, bestanden, mappen en stations opgeven 50 scans op aanvraag opgeven 55 URL's opgeven voor ScriptScan 50 annuleren 20 Nu bijwerken, knop, Endpoint Security Client 20 sites configureren voor updates 32 updates, Endpoint Security gedrag configureren 31 plannen vanuit client 33 updates, Threat Prevention automatisch plannen 33 Extra.DAT-bestanden 27 handmatig controleren op 20 inhoudsbestanden 8 overzicht 9 Standaard clientupdate, over taak 34 upgrades, clientsoftwareonderdelen 8 URL's V onbekend blokkeren 84 uitsluiten van scriptscans 50 veelgestelde vragen, McAfee GTI 65 veiligheidsclassificaties acties configureren voor sites en downloads 87 hoe websiteclassificaties worden samengesteld 80 McAfee Endpoint Security 10 Producthandleiding 147

148 Index veiligheidsclassificaties (vervolg) toegang tot sites controleren 88 veiligheidspictogrammen 79 Web Control en 77 veiligheidsrapporten, zie rapporten, Web Control verkeer gescand door Firewall 63 uitgaand toestaan tot firewallservices starten 64 vertrouwde installatieprogramma's scannen 50 vertrouwenslogica, scans bij toegang optimaliseren 50 virussen detecties tijdens scannen 36, 38 handtekeningen 9 info over 41 reageren op detecties 18 Volledige scan configureren 55 info over 35 plannen op de client 60 uitvoeren vanuit Endpoint Security Client 36 Volledige toegang, modus beleidsinstellingen 13 firewallopties wijzigen 64 voorrang geven firewallgroepen 68 firewallregels 66 vragen, Endpoint Security info over 10 reageren op scan 19 Windows 8 18 W waarschuwing, Threat Prevention overzicht van scans bij toegang 50 scan op aanvraag, overzicht 55 waarschuwingen, Firewall 10 wachtwoorden beheerder 24, 25 clientbeveiliging configureren 29 standaardbeheerder 11 toegang tot de client beheren 30 wachtwoordkrakers, info 41 Web Control activiteitenlogboek 22 ballonnen en pictogrammen 82 beheren 83 communicatieproblemen oplossen 83 configureren 84 Endpoint Security Client 14 foutopsporingslogboek 22 functies 77 Web Control hoe bestandsdownloads worden gescand 86 info over 7 inschakelen 84 knoppen, beschrijving 78 logboekbestanden 22 menu 78 menuopties weergeven in browser 81 pictogrammen, beschrijving 79 siterapporten 79 siterapporten weergeven 82 zoekengines en veiligheidspictogrammen 79 webcategorieën, blokkeren of waarschuwen op basis van 87 websites beveiliging tijdens zoeken 79 browsebeveiliging 78 veiligheidsclassificaties 80 Web Control-siterapporten weergeven 82 websites blokkeren niet geclassificeerd of onbekend 84 op basis van classificaties 87 op basis van veiligheidsclassificatie 88 op basis van webcategorie 87 riskante sites uit zoekresultaten 84 websites, toegang beheren met veiligheidsclassificaties 88 met webcategorieën 87 websites, waarschuwing op basis van classificaties 87 op basis van veiligheidsclassificatie 88 Windows 8 bij openen van Endpoint Security Client 17 meldingen 10 reageren op prompts bij bedreigingsdetecties 18 Windows Store-apps, detectie van bedreigingen 50, 55 Windows-instelling Prioriteit instellen 59 Y Yahoo ondersteunde zoekengine 79 standaardzoekmachine 84 veiligheidspictogrammen 79 Z Zelfbeveiliging, configureren 28 zelfstandig, zie eigen beheer, info zero-impact scans 57 zoekopdrachten riskante sites blokkeren in zoekresultaten 84 veiligheidspictogrammen McAfee Endpoint Security 10 Producthandleiding

149 0-05