Producthandleiding. McAfee Endpoint Security 10.5

Transcriptie

1 Producthandleiding McAfee Endpoint Security 10.5

2 COPYRIGHT 2016 Intel Corporation HANDELSMERKEN Intel en het Intel logo zijn gedeponeerde handelsmerken van Intel Corporation in de Verenigde Staten en/of andere landen. McAfee, het McAfee logo, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource, VirusScan zijn handelsmerken of gedeponeerde handelsmerken van McAfee, Inc. of haar dochterondernemingen in de Verenigde Staten en andere landen. Andere namen en merken kunnen worden geclaimd als het eigendom van anderen. LICENTIE-INFORMATIE Licentieovereenkomst KENNISGEVING VOOR ALLE GEBRUIKERS: LEES DE JURIDISCHE OVEREENKOMST DIE BIJ DE DOOR U GEKOCHTE LICENTIE HOORT ZORGVULDIG DOOR. DEZE OVEREENKOMST BETREFT DE ALGEMENE VOORWAARDEN EN BEPALINGEN VOOR HET GEBRUIK VAN DE SOFTWARE ONDER DEZE LICENTIE. ALS U NIET WEET WELK TYPE LICENTIE U HEBT AANGESCHAFT, RAADPLEEGT U DE VERKOOPOVEREENKOMST OF ANDERE DOCUMENTEN DIE BIJ DE SOFTWARE ZIJN GELEVERD OF DIE U AFZONDERLIJK HEBT ONTVANGEN BIJ DE AANKOOP. (DIT KUNNEN DOCUMENTEN ZIJN IN DE VORM VAN EEN BOEKJE, EEN BESTAND OP DE CD VAN HET PRODUCT OF EEN BESTAND OP DE WEBSITE VANWAAR U HET SOFTWAREPAKKET HEBT GEDOWNLOAD.) INDIEN U NIET INSTEMT MET EEN OF MEERDERE BEPALINGEN VAN DEZE OVEREENKOMST, MAG U DE SOFTWARE NIET INSTALLEREN. INDIEN VAN TOEPASSING, KUNT U HET PRODUCT TERUGSTUREN NAAR MCAFEE OF TERUGBRENGEN NAAR DE PLAATS WAAR U DIT HEBT AANGESCHAFT, WAARNA HET VOLLEDIGE AANKOOPBEDRAG ZAL WORDEN GERESTITUEERD. 2 McAfee Endpoint Security 10.5 Producthandleiding

3 Inhoud McAfee Endpoint Security 7 1 Inleiding 9 Endpoint Security-modules Hoe Endpoint Security uw computer beveiligt Hoe uw beveiliging up-to-date blijft Werken met Endpoint Security Endpoint Security-taken openen via het McAfee-systeemvakpictogram Meldingsberichten De Endpoint Security-client De Endpoint Security-client gebruiken 19 De Endpoint Security-client openen Help-informatie Reageren op prompts Reageren op een prompt van een bedreigingsdetectie Reageren op een scanprompt Informatie over uw beveiliging verkrijgen Beheertypen Beveiliging en software handmatig bijwerken Wat er bijgewerkt wordt Het Gebeurtenislogboek bekijken Namen en locaties van Endpoint Security-logboekbestanden Endpoint Security beheren Aanmelden als beheerder De clientinterface ontgrendelen Functies uit- en inschakelen De AMCore-inhoudsversie wijzigen Extra.DAT-bestanden gebruiken Algemene instellingen configureren Updategedrag configureren Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen Pagina Gebeurtenislogboek Gedeelde instellingen: opties Gedeelde instellingen: Taken Bedreigingspreventie Gebruiken 59 Uw computer scannen op malware Typen scans Een Volledige scan of Snelle scan uitvoeren Een bestand of map scannen Bedreigingsdetecties beheren Items in quarantaine beheren Namen gedetecteerde items Items in quarantaine opnieuw scannen McAfee Endpoint Security 10.5 Producthandleiding 3

4 Inhoud Bedreigingspreventie beheren Uitsluitingen configureren De toegangspunten van uw systeem beveiligen Misbruik van bufferoverloop blokkeren Mogelijk ongewenste programma's detecteren Algemene scaninstellingen configureren Werking van McAfee GTI Configureer de instellingen voor Scannen bij toegang instellingen voor Scan op verzoek configureren Scantaken configureren, plannen en uitvoeren Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Pagina Quarantaine Bedreigingspreventie: Toegangsbeveiliging Bedreigingspreventie: Exploitpreventie Bedreigingspreventie: Scan bij toegang Bedreigingspreventie: Scannen op verzoek Scanlocaties McAfee GTI Acties Uitsluiting toevoegen of Uitsluiting bewerken Bedreigingspreventie Opties AMCore-inhoud terugzetten Firewall gebruiken 141 Zo werkt Firewall Firewall in- en uitschakelen in het McAfee-systeemvakpictogram Getimede groepen van Firewall inschakelen of weergeven via het McAfee-systeemvakpictogram. 142 Getimede groepen Firewall beheren Firewall-opties wijzigen Firewall-regels en -groepen beheren Naslaggids voor Endpoint Security-client-interface Firewall Firewall: opties Firewall: regels Webcontrole gebruiken 171 Functies van Webcontrole Hoe Webcontrole een site of download blokkeert of voorziet van een waarschuwing De knop Webcontrole geeft bedreigingen tijdens het surfen weer Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken Siterapporten bieden informatie Hoe veiligheidsclassificaties worden samengesteld Webcontrole-functies gebruiken De invoegtoepassing Webcontrole inschakelen via de browser Informatie over een site bekijken tijdens het surfen Siterapport weergeven tijdens zoeken Webcontrole beheren Webcontrole-opties configureren Classificatieacties opgeven en sitetoegang blokkeren op basis van webcategorie Naslaggids voor Endpoint Security-client-interface Webcontrole Webcontrole: Opties Webcontrole: Inhoudsacties Adaptieve bescherming tegen bedreigingen gebruiken 189 Info over Adaptieve bescherming tegen bedreigingen Voordelen van Adaptieve bescherming tegen bedreigingen McAfee Endpoint Security 10.5 Producthandleiding

5 Inhoud Onderdelen van Adaptieve bescherming tegen bedreigingen Werking van Adaptieve bescherming tegen bedreigingen Hoe een reputatie wordt bepaald Reageren op een vraag over bestandsreputatie Adaptieve bescherming tegen bedreigingen beheren Aan de slag Toepassingen dynamisch insluiten Opties voor Adaptieve bescherming tegen bedreigingen configureren Naslaggids voor Endpoint Security-client-interface Adaptieve bescherming tegen bedreigingen 207 Adaptieve bescherming tegen bedreigingen: Dynamische insluiting van applicaties Adaptieve bescherming tegen bedreigingen: Opties Index 217 McAfee Endpoint Security 10.5 Producthandleiding 5

6 Inhoud 6 McAfee Endpoint Security 10.5 Producthandleiding

7 McAfee Endpoint Security McAfee Endpoint Security is een uitgebreide beveiligingsbeheeroplossing voor netwerkcomputers waarmee bedreigingen automatisch worden geïdentificeerd en gestopt. In deze Help wordt toegelicht hoe u eenvoudige beveiligingsfuncties kunt gebruiken en problemen kunt oplossen. Als u Endpoint Security Help met Internet Explorer wilt gebruiken, moet Beveiligingsinstellingen Uitvoeren van scripts Actief uitvoeren van scripts in de browser zijn ingeschakeld. Aan de slag Endpoint Security-modules op pagina 9 Hoe Endpoint Security uw computer beveiligt op pagina 10 Werken met Endpoint Security op pagina 12 Vaak uitgevoerde taken De Endpoint Security-client openen op pagina 19 Beveiliging en software handmatig bijwerken op pagina 22 Uw computer scannen op malware op pagina 59 De clientinterface ontgrendelen op pagina 27 Meer informatie Meer informatie over dit product vindt u hier: McAfee Endpoint Security - Installatiehandleiding McAfee Endpoint Security - Migratiehandleiding Versie-informatie McAfee Endpoint Security Endpoint Security-bedreigingspreventie Endpoint Security-bedreigingspreventie Help van Endpoint Security-firewall Help van Endpoint Security-webcontrole Endpoint Security Adaptieve bescherming tegen bedreigingen Help Ondersteuning van McAfee McAfee Endpoint Security 10.5 Producthandleiding 7

8 McAfee Endpoint Security 8 McAfee Endpoint Security 10.5 Producthandleiding

9 1 1 Inleiding Endpoint Security is een uitgebreide beveiligingsbeheeroplossing voor netwerkcomputers waarmee bedreigingen automatisch worden geïdentificeerd en gestopt. In deze Help wordt toegelicht hoe u eenvoudige beveiligingsfuncties kunt gebruiken en problemen kunt oplossen. Als uw computer wordt beheerd, wordt de set-up en configuratie van Endpoint Security uitgevoerd door een beheerder via een van deze beheerservers: McAfee epolicy Orchestrator (McAfee epo ) McAfee epolicy Orchestrator Cloud (McAfee epo Cloud) Voor de meest recente informatie over licenties voor en het recht op het beheren van Endpoint Security raadpleegt u KB Adaptieve bescherming tegen bedreigingen wordt niet ondersteund op systemen die worden beheerd door McAfee epo Cloud. Hebt u een computer in eigen beheer, ook wel onbeheerd genoemd, dan wordt de software door u of uw beheerder geconfigureerd via de Endpoint Security-client. Inhoud Endpoint Security-modules Hoe Endpoint Security uw computer beveiligt Werken met Endpoint Security Endpoint Security-modules De beheerder configureert en installeert een of meer Endpoint Security-modules op clientcomputers. Bedreigingspreventie : hiermee wordt gecontroleerd op virussen, spyware, ongewenste programma's en andere bedreigingen door middel van automatische scans wanneer u een programma opent of op aanvraag op een ander gewenst moment. Firewall : hiermee wordt de communicatie tussen de computer en resources op het netwerk en internet gecontroleerd. Verdachte communicatie wordt onderschept. McAfee Endpoint Security 10.5 Producthandleiding 9

10 1 Inleiding Hoe Endpoint Security uw computer beveiligt Webcontrole : hiermee worden veiligheidsclassificaties en rapporten voor websites weergegeven tijdens online surfen en zoeken. Met Webcontrole kan de sitebeheerder toegang tot websites blokkeren op basis van veiligheidsclassificatie of inhoud. Adaptieve bescherming tegen bedreigingen : analyseert inhoud van uw onderneming en bepaalt welke actie moet worden genomen op basis van bestandsreputatie, regels en reputatiedrempelwaarden. Adaptieve bescherming tegen bedreigingen is een optionele Endpoint Security-module. Implementeer voor aanvullende bedreigingsinformatiebronnen en -functies de Threat Intelligence Exchange-server. Neem voor informatie contact op met uw reseller of verkoopvertegenwoordiger. Adaptieve bescherming tegen bedreigingen wordt niet ondersteund op systemen die worden beheerd door McAfee epo Cloud. Bovendien biedt de module Gedeelde instellingen instellingen voor algemene functies, zoals interfacebeveiliging en registratie in logboek. Deze module wordt automatisch geïnstalleerd als er een andere module wordt geïnstalleerd. Hoe Endpoint Security uw computer beveiligt Een beheerder stelt gewoonlijk Endpoint Security in, installeert de software op clientcomputers, controleert de beveiligingsstatus en stelt beveiligingsregels (een beleid) in. Als gebruiker van een clientcomputer verloopt uw interactie met Endpoint Security via clientsoftware die op uw computer is geïnstalleerd. Het beleid dat door de beheerder is ingesteld, bepaalt hoe de modules en functies op uw computer werken en of u ze kunt aanpassen. Als Endpoint Security in eigen beheer is, kunt u opgeven hoe de modules en functies werken. Bekijk de pagina Info om het beheertype te bepalen. Met regelmatige tussenpozen wordt door de clientsoftware op uw computer verbinding gemaakt met een internetsite om de softwareonderdelen bij te werken. Tegelijkertijd worden gegevens over detecties op uw computer naar de beheerserver verzonden. Met deze gegevens worden voor de beheerder rapporten over detecties en beveiligingsproblemen op uw computer gegenereerd. Normaal gesproken werkt de clientsoftware op de achtergrond bij en is er geen interactie van uw kant vereist. Soms is er echter wel interactie nodig. U wilt bijvoorbeeld controleren of er software-updates zijn of handmatig een malwarescan uitvoeren. Afhankelijk van het beleid dat de beheerder heeft ingesteld, kunt u mogelijk ook de beveiligingsinstellingen aanpassen. Als u beheerder bent, kunt u de clientsoftware centraal beheren en configureren met McAfee epo of McAfee epo Cloud. Voor de meest recente informatie over licenties voor en het recht op het beheren van Endpoint Security raadpleegt u KB Zie ook Informatie over uw beveiliging verkrijgen op pagina McAfee Endpoint Security 10.5 Producthandleiding

11 Inleiding Hoe Endpoint Security uw computer beveiligt 1 Hoe uw beveiliging up-to-date blijft Dankzij geregelde updates van Endpoint Security wordt uw computer altijd beveiligd tegen de nieuwste bedreigingen. Bij het uitvoeren van updates maakt de clientsoftware verbinding met een lokale of externe McAfee epo-server of rechtstreeks met een site op internet. Endpoint Security controleer op het volgende: Updates voor de inhoudsbestanden die worden gebruikt voor het detecteren van bedreigingen. In inhoudsbestanden zijn definities opgenomen voor bedreigingen zoals virussen en spyware, en deze definities worden bijgewerkt zodra zich nieuwe bedreigingen voordoen. Upgrades voor softwareonderdelen, zoals patches en hotfixes. Ter vereenvoudiging van terminologie wordt de term updates in deze Help gebruikt voor updates en upgrades. Updates worden meestal automatisch op de achtergrond uitgevoerd. Wellicht moet u tevens handmatig controleren of er updates zijn. Afhankelijk van uw instellingen kunt u uw bescherming handmatig bijwerken vanuit de Endpoint Security-client door op te klikken. Zie ook Beveiliging en software handmatig bijwerken op pagina 22 Werking van inhoudsbestanden Wanneer de scanengine bestanden doorzoekt op bedreigingen, wordt de inhoud van de gescande bestanden vergeleken met gegevens van bekende bedreigingen in de AMCore-inhoudsbestanden. Exploitpreventie gebruikt eigen inhoudsbestanden om te beschermen tegen exploits. McAfee Labs vindt informatie over bekende bedreigingen (handtekeningen) en voegt deze toe aan de inhoudsbestanden. Naast de handtekeningen bevatten inhoudsbestanden informatie over het opschonen en oplossen van schade die de gedetecteerde malware kan veroorzaken. Nieuwe bedreigingen ontstaan, en McAfee Labs geeft daarom regelmatig bijgewerkte inhoudsbestanden uit. Als de handtekening van een bedreiging zich niet in de geïnstalleerde inhoudsbestanden bevindt, kan de scanengine die bedreiging niet detecteren en is uw systeem kwetsbaar voor aanvallen. Endpoint Security slaat het op dat moment geladen inhoudsbestand en de eerdere twee versies op in de map Program Files\Common Files\McAfee\Engine\content. Indien vereist kunt u naar een eerdere versie terugkeren. Als nieuwe malware wordt ontdekt en buiten het gewone inhoudsupdateschema om extra detectie is vereist, brengt McAfee Labs een ExtraDat-bestand uit. AMCore-inhoudspakket McAfee Labs geeft dagelijks om 7:00 uur AMCore-inhoudspakketten uit (GMT/UTC). Als dat voor een nieuwe bedreiging nodig is, worden de dagelijkse AMCore-inhoudsbestanden eerder uitgebracht en in bepaalde omstandigheden worden releases juist uitgesteld. Als u waarschuwingen over vertragingen of belangrijke meldingen wilt ontvangen, neem dan een abonnement op de Support Notification Service (SNS). Zie KB McAfee Endpoint Security 10.5 Producthandleiding 11

12 1 Inleiding Werken met Endpoint Security Het AMCore-inhoudspakket bevat de volgende onderdelen: AMCore: engine en inhoud Bevat updates voor de scanengine van Bedreigingspreventie en handtekeningen op basis van resultaten van huidig bedreigingsonderzoek. Adaptieve bescherming tegen bedreigingen: scanner en regels Bevat regels om de reputatie van bestanden en processen op de eindpunten dynamisch te berekenen. McAfee geeft om de twee maanden nieuwe inhoudsbestanden voor Adaptieve bescherming tegen bedreigingen uit. Adaptieve bescherming tegen bedreigingen is een optionele Endpoint Security-module. Implementeer voor aanvullende bedreigingsinformatiebronnen en -functies de Threat Intelligence Exchange-server. Neem voor informatie contact op met uw reseller of verkoopvertegenwoordiger. Real Protect: engine en inhoud Bevat updates voor de scanengine en handtekeningen van Real Protect op basis van resultaten van huidig bedreigingsonderzoek. Real Protect is een onderdeel van de optionele module Adaptieve bescherming tegen bedreigingen. Inhoudspakket van exploitpreventie Het inhoudspakket van exploitpreventie bestaat uit: Handtekeningen voor geheugenbeveiliging: algemene bufferoverloopbeveiliging (GBOP), aanroepcontrole, Escalatie van algemene bevoegdheden voorkomen (GPEP) en gerichte API-controle. Lijst met beveiligde toepassingen: processen die worden beschermd door Exploitpreventie. De inhoud van Exploitpreventie komt overeen met die van de inhoudsbestanden van McAfee Host IPS. Zie KB McAfee geeft maandelijks nieuwe inhoudsbestanden voor exploitpreventie uit. Werken met Endpoint Security Endpoint Security heeft visuele onderdelen voor het werken met de Endpoint Security-client. McAfee-pictogram in het Windows-systeemvak: hiermee kunt u de Endpoint Security-client starten en de beveiligingsstatus weergeven. Meldingen: stellen u op de hoogte van scan- en firewallinbraakdetecties en bestanden met een onbekende reputatie en vragen u om invoer. De pagina Scan bij toegang: hiermee wordt de lijst met bedreigingsdetecties weergegeven wanneer de scanner bij toegang een bedreiging detecteert. Endpoint Security-client: geeft de huidige beveiligingsstatus weer en biedt toegang tot functies. Voor beheerde systemen configureert de beheerder beleidsregels die worden toegewezen om op te geven welke onderdelen worden weergegeven. 12 McAfee Endpoint Security 10.5 Producthandleiding

13 Inleiding Werken met Endpoint Security 1 Zie ook Endpoint Security-taken openen via het McAfee-systeemvakpictogram op pagina 13 Meldingsberichten op pagina 14 Bedreigingsdetecties beheren op pagina 63 De Endpoint Security-client op pagina 15 Endpoint Security-taken openen via het McAfeesysteemvakpictogram Het McAfee-pictogram in het Windows-systeemvak biedt toegang tot de Endpoint Security-client en enkele basistaken. Of het McAfee-pictogram beschikbaar is, is afhankelijk van de configuratie-instellingen. Klik met de rechtermuisknop op het McAfee-systeemvakpictogram om het volgende te doen: De beveiligingsstatus controleren. Endpoint Security-client openen. Beveiliging en software handmatig bijwerken. Firewall uitschakelen of opnieuw inschakelen. Getimede groepen van Firewall inschakelen, uitschakelen of weergeven. Selecteer Beveiligingsstatus bekijken om de pagina McAfee-beveiligingsstatus weer te geven. Selecteer McAfee Mobile Security. Selecteer Beveiliging bijwerken. Selecteer Endpoint Security-firewall uitschakelen in het menu Snelinstellingen. Wanneer Firewall is uitgeschakeld, is de optie Endpoint Security-firewall inschakelen. Selecteer een optie in het menu Snelinstellingen: Getimede groepen van Firewall inschakelen: hiermee worden getimede groepen gedurende een opgegeven tijd ingeschakeld om toegang tot internet toe te staan, voordat regels die de toegang beperken worden toegepast. Wanneer getimede groepen zijn ingeschakeld, is deze optie Getimede groepen van Firewall uitschakelen. Telkens als u deze optie selecteert, wordt de tijd voor de groepen opnieuw ingesteld. Afhankelijk van de instellingen kan aan u worden gevraagd om een reden op te geven voor het inschakelen van getimede groepen. Getimede groepen van Firewall weergeven: hiermee worden de namen van de getimede groepen weergegeven, evenals de actieve tijd die over is voor elke groep. Deze opties zijn mogelijk niet beschikbaar, afhankelijk van hoe de instellingen zijn geconfigureerd. Hoe het pictogram de status van Endpoint Security aanduidt De weergave van het pictogram duidt de status van Endpoint Security aan. Houd de aanwijzer boven het pictogram om een bericht weer te geven waarin de status wordt beschreven. McAfee Endpoint Security 10.5 Producthandleiding 13

14 1 Inleiding Werken met Endpoint Security Pictogram Betekenis... Endpoint Security beschermt uw systeem en er zijn geen problemen. Endpoint Security detecteert een probleem met uw beveiliging, bijvoorbeeld een module of technologie is uitgeschakeld. Firewall is uitgeschakeld. Bedreigingspreventie: Exploitpreventie, Scan bij toegang of ScriptScan is uitgeschakeld. Endpoint Security rapporteert problemen anders, afhankelijk van het beheertype. Eigen beheer: Een of meer technologieën zijn uitgeschakeld. Een of meer technologieën reageren niet. Beheerd: Een of meer technologieën zijn uitgeschakeld, niet als resultaat van beleidshandhaving door de beheerserver of via de Endpoint Security-client. Een of meer technologieën reageren niet. Bij detectie van een probleem wordt op de pagina McAfee-beveiligingsstatus aangegeven welke module of technologie is uitgeschakeld. Zie ook Wat er bijgewerkt wordt op pagina 23 Meldingsberichten Endpoint Security gebruikt twee typen berichten om u op de hoogte te stellen over problemen met uw bescherming of om invoer te vragen. Sommige berichten worden mogelijk niet weergegeven, afhankelijk van hoe de instellingen zijn geconfigureerd. Het proces McTray.exe moet voor Endpoint Security worden uitgevoerd om meldingen weer te geven. Endpoint Security verzendt twee typen meldingen: Waarschuwingen verschijnen vijf seconden lang via het pictogram McAfee en verdwijnen vervolgens weer. Waarschuwingen stellen u op de hoogte van bedreigingsdetecties, zoals Firewall-inbraken of wanneer een scan op verzoek wordt gepauzeerd of hervat. U hoeft geen actie te ondernemen. Prompts openen een pagina onder aan uw scherm en blijven zichtbaar tot u een optie selecteert. Bijvoorbeeld: Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, vraagt Endpoint Security u mogelijk om de scan uit te stellen. Wanneer de scan bij toegang een bedreiging detecteert, vraagt Endpoint Security u misschien om op de detectie te reageren. Wanneer Adaptieve bescherming tegen bedreigingen een bestand met een onbekende reputatie detecteert, vraagt Endpoint Security u mogelijk of u het bestand wilt toestaan of blokkeren. Windows 8 en 10 gebruiken pop-upmeldingen: berichten die verschijnen om u op de hoogte te stellen van waarschuwingen en prompts. Klik op de pop-upmelding om de melding in Bureaubladmodus weer te geven. 14 McAfee Endpoint Security 10.5 Producthandleiding

15 Inleiding Werken met Endpoint Security 1 Zie ook Reageren op een prompt van een bedreigingsdetectie op pagina 20 Reageren op een scanprompt op pagina 21 Reageren op een vraag over bestandsreputatie op pagina 195 De Endpoint Security-client Met de Endpoint Security-client kunt u de beveiligingsstatus en de toegangsfuncties op uw computer controleren. Opties in het menu Actie bieden toegang tot functies. Instellingen Extra.DAT laden AMCore-inhoud terugzetten Help Ondersteuningskoppelingen Aanmelden als beheerder Info Afsluiten Hiermee worden instellingen van functies geconfigureerd. Deze menuoptie is beschikbaar als aan een van de volgende voorwaarden is voldaan: De Clientinterfacemodus is ingesteld op Volledige toegang. U bent aangemeld als beheerder. Hiermee kunt u een gedownload Extra.DAT-bestand installeren. Hiermee wordt AMCore-inhoud hersteld naar een eerdere versie. Deze menuoptie is beschikbaar als er een eerdere versie van AMCore-inhoud op het systeem staat en aan een van de volgende voorwaarden wordt voldaan: De Clientinterfacemodus is ingesteld op Volledige toegang. U bent aangemeld als beheerder. Hiermee geeft u de Help weer. Hiermee wordt een pagina weergegeven met koppelingen naar nuttige pagina's, zoals de McAfee ServicePortal en het Kenniscentrum. Hiermee wordt u aangemeld als sitebeheerder. (Hiervoor zijn beheerdersrechten vereist.) Deze menuoptie is beschikbaar als de Clientinterfacemodus niet is ingesteld op Volledige toegang. Als u al bent aangemeld als beheerder, is deze optie Afmelden als beheerder. Hiermee geeft u informatie weer over Endpoint Security. Hiermee sluit u de Endpoint Security-client af. Knoppen rechtsboven aan de pagina bieden snel toegang tot veelgebruikte taken. Hiermee wordt op malware gecontroleerd met een Volledige scan of Snelle scan van uw systeem. Deze knop is alleen beschikbaar als de module Bedreigingspreventie is geïnstalleerd. Hiermee worden inhoudsbestanden en softwareonderdelen op uw computer bijgewerkt. Deze knop wordt mogelijk niet weergegeven, afhankelijk van hoe de instellingen zijn geconfigureerd. McAfee Endpoint Security 10.5 Producthandleiding 15

16 1 Inleiding Werken met Endpoint Security Knoppen aan de linkerkant van de pagina bieden informatie over uw beveiliging. Status Gebeurtenislogboek Quarantaine Hiermee keert u terug naar de hoofdpagina van Status. Hiermee wordt het logboek van alle beveiligings- en bedreigingsgebeurtenissen op deze computer weergegeven. Hiermee wordt de Quarantine Manager geopend. Deze knop is alleen beschikbaar als de module Bedreigingspreventie is geïnstalleerd. In het bedreigingsoverzicht vindt u informatie over bedreigingen die Endpoint Security in de afgelopen 30 dagen op uw systeem heeft gedetecteerd. Zie ook Een Extra.DAT-bestand op pagina 29 Aanmelden als beheerder op pagina 26 Uw computer scannen op malware op pagina 59 Beveiliging en software handmatig bijwerken op pagina 22 Het Gebeurtenislogboek bekijken op pagina 23 Items in quarantaine beheren op pagina 64 Endpoint Security beheren op pagina 26 Het Bedreigingsoverzicht op pagina 16 Het Bedreigingsoverzicht De pagina Endpoint Security-client Status biedt een realtime-overzicht van bedreigingen die in de afgelopen 30 dagen op uw systeem zijn gedetecteerd. Wannneer nieuwe bedreigingen worden gedetecteerd, werkt de pagina Status de gegevens in het gedeelte Bedreigingsoverzicht in het onderste venster dynamisch bij. Het Bedreigingsoverzicht bevat: Datum van de bedreiging die het laatst is geëlimineerd Belangrijkste twee bedreigingsvectoren op categorie: Web Extern toestel of externe media Netwerk Lokaal systeem Bestanden delen Expresbericht Onbekend Aantal bedreigingen per bedreigingsvector Bedreigingen van webpagina's of downloads. Bedreigingen van externe apparaten, zoals USB, 1394 firewire, esata, tape, cd, dvd of schijf. Bedreigingen van het netwerk (niet van bestandsdeling via netwerk). Bedreigingen van het lokale station met opstartbestanden (meestal C:) of stations anders dan Extern toestel of externe media. Bedreigingen van bestandsdeling via netwerk. Bedreigingen van berichten. Bedreigingen van expresberichten. Bedreigingen waarbij aanvalsvector niet is vastgesteld (vanwege foutconditie of andere fout). Als de Endpoint Security-client de Event Manager niet kan bereiken, geeft Endpoint Security-client een communicatiefoutbericht weer. In dit geval start u uw systeem opnieuw op om het Bedreigingsoverzicht weer te geven. 16 McAfee Endpoint Security 10.5 Producthandleiding

17 Inleiding Werken met Endpoint Security 1 Het effect van instellingen op uw toegang tot de client Clientinterfacemodus-instellingen die aan uw computer zijn toegewezen, bepalen tot welke modules en functies u toegang hebt. Wijzig de Clientinterfacemodus in de Gedeelde instellingen. Voor beheerde systemen is het mogelijk dat beleidswijzigingen vanuit McAfee epo wijzigingen vanuit de pagina Instellingen overschrijven. De opties van de Clientinterfacemodus voor de client zijn: Volledige toegang Hiermee wordt toegang tot alle functies ingeschakeld, waaronder: Afzonderlijke modules en functies in- en uitschakelen. De pagina Instellingen oproepen om alle instellingen voor de Endpoint Security-client weer te geven of te wijzigen. (Standaardinstelling) Standaardtoegang Hiermee wordt de beveiligingsstatus weergegeven en is toegang tot de meeste functies toegestaan: De inhoudsbestanden en softwareonderdelen op uw computer bijwerken (indien ingeschakeld door de beheerder). Een grondige controle van alle gebieden van uw systeem uitvoeren, aanbevolen als u denkt dat uw systeem is geïnfecteerd. Gebieden van uw systeem die het meest vatbaar zijn voor infectie snel scannen (2 minuten). Het Gebeurtenislogboek oproepen. Items in de Quarantaine beheren. Via de interfacemodus Standaardtoegang kunt u zich aanmelden als beheerder om toegang te krijgen tot alle functies, waaronder alle instellingen. Clientinterface vergrendelen Er is een wachtwoord vereist voor toegang tot de client. Wanneer u de clientinterface hebt ontgrendeld, hebt u toegang tot alle functies. Neem contact op met uw beheerder als u geen toegang hebt tot de Endpoint Security-client of specifieke taken en functies die u nodig hebt voor uw werk. Zie ook Toegang tot de clientinterface beperken op pagina 32 Hoe geïnstalleerde modules de client beïnvloeden Bepaalde aspecten van de client zijn mogelijk niet beschikbaar, afhankelijk van de geïnstalleerde modules op uw computer. Deze functies zijn alleen beschikbaar als Bedreigingspreventie geïnstalleerd is: Knop Knop Quarantaine McAfee Endpoint Security 10.5 Producthandleiding 17

18 1 Inleiding Werken met Endpoint Security De functies die op het systeem zijn geïnstalleerd, bepalen welke functies worden weergegeven: In de vervolgkeuzelijst Gebeurtenislogboek Filteren op module. Op de pagina Instellingen. Gedeelde instellingen Bedreigingspreventie Firewall Webcontrole Adaptieve bescherming tegen bedreigingen Wordt weergegeven als een module is geïnstalleerd. Wordt alleen weergegeven als Bedreigingspreventie is geïnstalleerd. Wordt alleen weergegeven als Firewall is geïnstalleerd. Wordt alleen weergegeven als Webcontrole is geïnstalleerd. Wordt alleen weergegeven als Adaptieve bescherming tegen bedreigingen en Bedreigingspreventie zijn geïnstalleerd. Adaptieve bescherming tegen bedreigingen wordt niet ondersteund op systemen die worden beheerd door McAfee epo Cloud. Afhankelijk van de Clientinterfacemodus en hoe de beheerder uw toegang heeft geconfigureerd, zijn enkele of al deze functies mogelijk niet beschikbaar. Zie ook Het effect van instellingen op uw toegang tot de client op pagina McAfee Endpoint Security 10.5 Producthandleiding

19 2 De 2 Endpoint Security-client gebruiken Gebruik de client in de modus Standaardtoegang om de meeste functies uit te voeren, zoals systeemscans en beheer van items in quarantaine. Inhoud De Endpoint Security-client openen Help-informatie Reageren op prompts Informatie over uw beveiliging verkrijgen Beveiliging en software handmatig bijwerken Het Gebeurtenislogboek bekijken Endpoint Security beheren Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen De Endpoint Security-client openen Open de Endpoint Security-client om de status van de beveiligingsfuncties die op de computer zijn geïnstalleerd, weer te geven. Als de interfacemodus is ingesteld op Clientinterface vergrendelen, moet u het beheerderswachtwoord invoeren om de Endpoint Security-client te openen. Procedure 1 U geeft de Endpoint Security-client op een van de volgende manieren weer: Klik met de rechtermuisknop op het pictogram in het systeemvak en selecteer McAfee Endpoint Security. Selecteren Start Alle programma's McAfee McAfee Endpoint Security. Start de McAfee Endpoint Security-app in Windows 8 en Druk op de Windows-toets. 2 Voer McAfee Endpoint Security in het zoekvak in en dubbelklik op de McAfee Endpoint Security-app of raak de app aan. 2 Indien u daarom gevraagd wordt, voert u het beheerderswachtwoord op de pagina Aanmelden als beheerder in en klikt u op Aanmelden. Endpoint Security-client wordt geopend in de interfacemodus die de beheerder heeft geconfigureerd. Zie ook De clientinterface ontgrendelen op pagina 27 McAfee Endpoint Security 10.5 Producthandleiding 19

20 2 De Endpoint Security-client gebruiken Help-informatie Help-informatie U kunt op twee manieren hulp verkrijgen wanneer u in de client werkt: de menuoptie Help en het pictogram?. Als u Endpoint Security Help met Internet Explorer wilt gebruiken, moet Beveiligingsinstellingen Uitvoeren van scripts Actief uitvoeren van scripts in de browser zijn ingeschakeld. Procedure 1 Open de Endpoint Security-client. 2 Afhankelijk van de pagina waarop u zich bevindt: De pagina's Status, Gebeurtenislogboek en Quarantaine: selecteer in het menu Actie de optie Help. De pagina's Instellingen, Update, Systeem scannen, AMCore-inhoud terugzetten en Extra.DAT laden: klik op? in de interface. Reageren op prompts Afhankelijk van hoe instellingen zijn geconfigureerd, vraagt Endpoint Security u mogelijk om invoer wanneer er een bedreiging is gedetecteerd of voordat een geplande scan op verzoek wordt gestart. Taken Reageren op een prompt van een bedreigingsdetectie op pagina 20 Wanneer de scanner een bedreiging detecteert, vraagt Endpoint Security u misschien om invoer om door te gaan, afhankelijk van hoe de instellingen zijn geconfigureerd. Reageren op een scanprompt op pagina 21 Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, vraagt Endpoint Security u mogelijk om invoer om verder te gaan. De prompt wordt alleen weergegeven als de scan zo is geconfigureerd dat u de scan kunt uitstellen, onderbreken, hervatten of annuleren. Reageren op een prompt van een bedreigingsdetectie Wanneer de scanner een bedreiging detecteert, vraagt Endpoint Security u misschien om invoer om door te gaan, afhankelijk van hoe de instellingen zijn geconfigureerd. Windows 8 en 10 gebruiken pop-upmeldingen: berichten die verschijnen om u op de hoogte te stellen van waarschuwingen en prompts. Klik op de pop-upmelding om de melding in Bureaubladmodus weer te geven. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. Selecteer op de pagina Scan bij toegang opties om bedreigingsdetecties te beheren. U kunt de scanpagina op elk moment opnieuw openen om detecties te beheren. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. Zie ook Bedreigingsdetecties beheren op pagina McAfee Endpoint Security 10.5 Producthandleiding

21 De Endpoint Security-client gebruiken Informatie over uw beveiliging verkrijgen 2 Reageren op een scanprompt Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, vraagt Endpoint Security u mogelijk om invoer om verder te gaan. De prompt wordt alleen weergegeven als de scan zo is geconfigureerd dat u de scan kunt uitstellen, onderbreken, hervatten of annuleren. Als u geen optie selecteert, gaat de scan automatisch van start. (Alleen beheerde systemen) Als de scan is geconfigureerd om de scan alleen uit te voeren wanneer de computer niet actief is, geeft Endpoint Security een dialoogvenster weer wanneer de scan wordt onderbroken. Als deze optie is geconfigureerd, kunt u deze onderbroken scans ook hervatten of opnieuw instellen zodat ze alleen worden uitgevoerd wanneer u niet actief bent. Windows 8 en 10 gebruiken pop-upmeldingen: berichten die verschijnen om u op de hoogte te stellen van waarschuwingen en prompts. Klik op de pop-upmelding om de melding in Bureaubladmodus weer te geven. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. Selecteer een van de volgende opties bij de prompt. Welke opties worden weergegeven, is afhankelijk van hoe de scan is geconfigureerd. Nu scannen Scan weergeven Scan onderbreken Scan hervatten Scan annuleren Scan uitstellen Hiermee wordt de scan onmiddellijk gestart. Hiermee worden detecties weergegeven voor een scan die wordt uitgevoerd. Hiermee wordt de scan gepauzeerd. Afhankelijk van de configuratie wordt de scan, wanneer u op Scan onderbreken klikt, misschien opnieuw ingesteld om alleen te worden uitgevoerd wanneer u niet actief bent. Klik op Scan hervatten om de scan te hervatten op het punt waarop de scan werd onderbroken. Hiermee wordt een onderbroken scan hervat. Hiermee wordt de scan geannuleerd. Hiermee wordt de scan met het opgegeven aantal uur vertraagd. Opties voor geplande scans bepalen hoe vaak u de scan met één uur kunt uitstellen. U kunt de scan misschien meer dan een keer uitstellen. Sluiten Hiermee wordt de scanpagina gesloten. Wanneer de scanner een bedreiging detecteert, vraagt Endpoint Security u misschien om invoer om door te gaan, afhankelijk van hoe de instellingen zijn geconfigureerd. Informatie over uw beveiliging verkrijgen U kunt informatie verkrijgen over Endpoint Security-bescherming, waaronder beheertype, beveiligingsmodules, functies, status, versienummers en licenties. Procedure 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Info. McAfee Endpoint Security 10.5 Producthandleiding 21

22 2 De Endpoint Security-client gebruiken Beveiliging en software handmatig bijwerken 3 Klik op de naam van een module of functie aan de linkerkant om naar informatie over dat item te springen. 4 Klik op de knop Sluiten van de browser om de pagina Info te sluiten. Zie ook Beheertypen op pagina 22 De Endpoint Security-client openen op pagina 19 Beheertypen Het beheertype geeft aan hoe Endpoint Security wordt beheerd. Voor beheerde systemen is het mogelijk dat beleidswijzigingen vanuit McAfee epo wijzigingen vanuit de pagina Instellingen overschrijven. Beheertype McAfee epolicy Orchestrator McAfee epolicy Orchestrator Cloud Eigen beheer Beschrijving Een beheerder beheert Endpoint Security via McAfee epo (op locatie). Een beheerder beheert Endpoint Security via McAfee epo Cloud. Voor de meest recente informatie over licenties voor en het recht op het beheren van Endpoint Security raadpleegt u KB Endpoint Security wordt lokaal beheerd via Endpoint Security-client. Deze modus wordt ook onbeheerd of zelfstandig genoemd. Beveiliging en software handmatig bijwerken U kunt handmatig op bijgewerkte inhoudsbestanden en softwareonderdelen controleren en deze downloaden van de Endpoint Security-client. Handmatige updates staan bekend als updates op verzoek. U kunt ook handmatige updates uitvoeren via het McAfee-systeemvakpictogram. Endpoint Security biedt geen ondersteuning voor het handmatig ophalen en kopiëren van bijgewerkte inhoudsbestanden naar het clientsysteem. Als u hulp nodig hebt bij het bijwerken naar een specifieke inhoudsversie, neem dan contact op met Ondersteuning van McAfee Procedure 1 Open de Endpoint Security-client. 2 Klik op Nu bijwerken. Als deze knop niet in de client wordt weergegeven, kunt u deze inschakelen in de instellingen. Endpoint Security-client controleert op updates. De pagina Update bevat informatie over de meest recente update: Nooit, Vandaag of de datum en tijd van de laatste update als die niet vandaag heeft plaatsgevonden. 22 McAfee Endpoint Security 10.5 Producthandleiding

23 De Endpoint Security-client gebruiken Het Gebeurtenislogboek bekijken 2 Klik op Annuleren om de update te annuleren. Als de update is uitgevoerd, wordt Update voltooid op de pagina weergegeven en wordt bij de laatste update Vandaag vermeld. Als de update niet is geslaagd, worden er fouten in het gebied Berichten weergegeven. Bekijk het PackageManager_Activity.log of PackageManager_Debug.log voor meer informatie. 3 Klik op Sluiten om de pagina Bijwerken te sluiten. Zie ook Endpoint Security-taken openen via het McAfee-systeemvakpictogram op pagina 13 Hoe uw beveiliging up-to-date blijft op pagina 11 Namen en locaties van Endpoint Security-logboekbestanden op pagina 24 Wat er bijgewerkt wordt op pagina 23 Het standaardgedrag configureren voor updates op pagina 36 De Endpoint Security-client openen op pagina 19 Wat er bijgewerkt wordt Endpoint Security werkt beveiligingsinhoud en software (hotfixes en patches) op verschillende manieren bij, afhankelijk van de updatemethode en -instellingen. De zichtbaarheid en het gedrag van de knop Nu bijwerken kunnen worden geconfigureerd. Updatemethode Optie Beveiliging bijwerken in het menu van het McAfee-systeemvakpictogram Knop Nu bijwerken in de Endpoint Security-client Updates Inhoud en software. Inhoud of software, of beide, afhankelijk van de instellingen. Zie ook Beveiliging en software handmatig bijwerken op pagina 22 Het Gebeurtenislogboek bekijken In de activiteits- en foutopsporingslogboeken wordt bijgehouden welke gebeurtenissen plaatsvinden op het met McAfee beveiligde systeem. U kunt het Gebeurtenislogboek bekijken via de Endpoint Security-client. Procedure Selecteer in het menu Actie de optie Help voor hulp. 1 Open de Endpoint Security-client. 2 Klik op Gebeurtenislogboek aan de linkerkant van de pagina. Op de pagina staan gebeurtenissen die Endpoint Security de afgelopen 30 dagen op het systeem heeft geregistreerd. Als de Endpoint Security-client de Event Manager niet kan bereiken, wordt een communicatiefoutbericht weergegeven. In dit geval start u het systeem opnieuw op om het Gebeurtenislogboek weer te geven. McAfee Endpoint Security 10.5 Producthandleiding 23

24 2 De Endpoint Security-client gebruiken Het Gebeurtenislogboek bekijken 3 Selecteer een gebeurtenis in het bovenste deelvenster om de details in het onderste deelvenster weer te geven. Als u de relatieve grootte van de deelvensters wilt wijzigen, klikt u op het raamwidget en versleept u dit tussen de deelvensters. 4 Op de pagina Gebeurtenislogboek kunt u gebeurtenissen sorteren, doorzoeken, filteren of opnieuw laden. Welke opties worden weergegeven, is afhankelijk van hoe de scan is geconfigureerd. Als u het volgende wilt doen... Gebeurtenissen op datum, functies, uitgevoerde actie en ernst sorteren. Zoek in het gebeurtenislogboek. Filter gebeurtenissen op ernst of module. Vernieuw de weergave van het Gebeurtenislogboek met gegevens van nieuwe gebeurtenissen. Open de map met de logboekbestanden. Stappen Klik op de tabelkolomkop. Voer de zoektekst in het veld Zoeken in en druk op Enter of klik op Zoeken. De zoekopdracht is niet hoofdlettergevoelig en doorzoekt alle velden van het gebeurtenislogboek op de zoektekst. In de gebeurtenislijst ziet u alle elementen met de overeenkomende tekst. Als u de zoekopdracht wilt annuleren en alle gebeurtenissen wilt weergeven, klikt u op x in het veld Zoeken. Selecteer een optie in de filtervervolgkeuzelijst. Selecteer Alle gebeurtenissen weergeven in de vervolgkeuzelijst om het filter te verwijderen en alle gebeurtenissen weer te geven. Klik op. Klik op Map met logboeken weergeven. 5 Navigeer door het Gebeurtenislogboek. Als u het volgende wilt doen... Geef de vorige pagina met gebeurtenissen weer. Stappen Klik op Vorige pagina. Geef de volgende pagina met gebeurtenissen weer. Klik op Volgende pagina. Geef een specifieke pagina in het logboek weer. Voer een paginanummer in en druk op Enter of klik op OK. Het Gebeurtenislogboek geeft standaard 20 gebeurtenissen per pagina weer. Selecteer een optie in de vervolgkeuzelijst Gebeurtenissen per pagina om meer gebeurtenissen per pagina weer te geven. Zie ook Namen en locaties van Endpoint Security-logboekbestanden op pagina 24 De Endpoint Security-client openen op pagina 19 Namen en locaties van Endpoint Security-logboekbestanden In de activiteiten-, fout- en foutopsporingslogboeken worden de gebeurtenissen geregistreerd die plaatsvinden op systemen waarop Endpoint Security is ingeschakeld. U configureert de logboekregistratie in de Gedeelde instellingen. Activiteitenlogboekbestanden worden altijd weergegeven in de taal die in de standaardlandinstellingen van het systeem is opgegeven. 24 McAfee Endpoint Security 10.5 Producthandleiding

25 De Endpoint Security-client gebruiken Het Gebeurtenislogboek bekijken 2 Hier worden alle activiteits- en foutopsporingslogboekbestanden opgeslagen: %ProgramData%\McAfee\Endpoint Security\Logs Elke module, functie of technologie plaatst activiteits- of foutopsporingsgegevens in een apart bestand. Alle modules plaatsen foutgegevens in één EndpointSecurityPlatform_Errors.log. Als u foutregistratie voor een willekeurige module inschakelt, wordt ook foutregistratie voor de functies van de module Gedeelde instellingen ingeschakeld, zoals Zelfbeveiliging. Tabel 2-1 Logboekbestanden Module Functie of technologie Bestandsnaam Gedeelde instellingen Zelfbeveiliging Updates Fouten EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log SelfProtection_Activity.log SelfProtection_Debug.log PackageManager_Activity.log PackageManager_Debug.log EndpointSecurityPlatform_Errors.log Bevat logboeken voor alle modules. Endpoint Security-client Bedreigingspreventie Als u foutregistratie voor een willekeurige Bedreigingspreventie-technologie inschakelt, wordt ook foutregistratie voor de Endpoint Security-client ingeschakeld. Firewall Webcontrole Toegangsbeveiliging Exploitpreventie Scan bij toegang Scannen op verzoek Snelle scan Volledige scan Rechtermuisknopscan MFEConsole_Debug.log ThreatPrevention_Activity.log ThreatPrevention_Debug.log AccessProtection_Activity.log AccessProtection_Debug.log ExploitPrevention_Activity.log ExploitPrevention_Debug.log OnAccessScan_Activity.log OnAccessScan_Debug.log OnDemandScan_Activity.log OnDemandScan_Debug.log Firewall_Activity.log Firewall_Debug.log FirewallEventMonitor.log Legt geblokkeerde en toegestane verkeersgebeurtenissen in logboek vast, als dit is geconfigureerd. WebControl_Activity.log WebControl_Debug.log McAfee Endpoint Security 10.5 Producthandleiding 25

26 2 De Endpoint Security-client gebruiken Endpoint Security beheren Tabel 2-1 Logboekbestanden (vervolg) Module Functie of technologie Bestandsnaam Adaptieve bescherming tegen bedreigingen Dynamische insluiting van toepassingen De installatielogboeken worden standaard hier opgeslagen: %TEMP%\McAfeeLogs, de TEMP-map van de Windows-gebruiker. AdaptiveThreatProtection_Activity.log AdaptiveThreatProtection_Debug.log DynamicApplicationContainment_Activity.log DynamicApplicationContainment_Debug.log Endpoint Security beheren Als beheerder kunt u Endpoint Security beheren via de Endpoint Security-client. U kunt hier functies in- en uitschakelen, inhoudsbestanden beheren, opgeven hoe de clientinterface werkt, taken plannen en algemene instellingen configureren. Voor beheerde systemen is het mogelijk dat beleidswijzigingen vanuit McAfee epo wijzigingen vanuit de pagina Instellingen overschrijven. Zie ook Aanmelden als beheerder op pagina 26 De clientinterface ontgrendelen op pagina 27 Functies uit- en inschakelen op pagina 27 De AMCore-inhoudsversie wijzigen op pagina 28 Extra.DAT-bestanden gebruiken op pagina 28 Algemene instellingen configureren op pagina 29 Aanmelden als beheerder Meld u als beheerder aan bij de Endpoint Security-client om functies in en uit te schakelen en instellingen te configureren. Voordat u begint De interfacemodus voor de Endpoint Security-client moet zijn ingesteld op Standaardtoegang. Procedure Selecteer in het menu Actie de optie Help voor hulp. 1 Open de Endpoint Security-client. 2 Selecteer Aanmelden als beheerder in het menu Actie. 3 Voer in het veld Wachtwoord het beheerderswachtwoord in en klik op Aanmelden. U hebt nu toegang tot alle functies van de Endpoint Security-client. Als u zich wilt afmelden, selecteert u Actie Afmelden als beheerder. De client keert terug naar de interfacemodus Standaardtoegang. 26 McAfee Endpoint Security 10.5 Producthandleiding

27 De Endpoint Security-client gebruiken Endpoint Security beheren 2 De clientinterface ontgrendelen Als de interface voor de Endpoint Security-client is vergrendeld, ontgrendelt u deze met het beheerderswachtwoord om toegang te krijgen tot alle instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client moet zijn ingesteld op Clientinterface vergrendelen. Procedure 1 Open de Endpoint Security-client. 2 Voer op de pagina Aanmelden als beheerder het beheerderswachtwoord in het veld Wachtwoord in en klik op Aanmelden. Endpoint Security-client wordt geopend, en u hebt toegang tot alle functies van de client. 3 Wilt u zich afmelden en de client sluiten, dan selecteert u in het menu Actie de optie Afmelden als beheerder. Functies uit- en inschakelen Als beheerder kunt u Endpoint Security-functies in- en uitschakelen via de Endpoint Security-client. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Op de pagina Status wordt de ingeschakelde status van de module weergegeven. Dit is misschien niet de werkelijke status van functies. U kunt de status van elke functie op de pagina Instellingen zien. Als de instelling ScriptScan inschakelen bijvoorbeeld niet goed is toegepast, is de status mogelijk (Status: uitgeschakeld). Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op de modulenaam (zoals Bedreigingspreventie of Firewall) op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik vervolgens op de modulenaam op de pagina Instellingen. 3 Schakel de optie Module of Functie inschakelen in of uit. Wanneer u een van de Bedreigingspreventie-functies inschakelt, wordt de Bedreigingspreventie-module ingeschakeld. Zie ook Aanmelden als beheerder op pagina 26 McAfee Endpoint Security 10.5 Producthandleiding 27

28 2 De Endpoint Security-client gebruiken Endpoint Security beheren De AMCore-inhoudsversie wijzigen Gebruik Endpoint Security-client om de versie van AMCore-inhoud op uw systeem te wijzigen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Endpoint Security slaat het op dat moment geladen inhoudsbestand en de eerdere twee versies op in de map Program Files\Common Files\McAfee\Engine\content. Indien vereist kunt u naar een eerdere versie terugkeren. Updates van Exploitpreventie-inhoud kunnen niet worden teruggedraaid. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie AMCore-inhoud terugzetten. 3 Selecteer in de vervolgkeuzelijst de versie die moet worden geladen. 4 Klik op Toepassen. De detecties in het geladen AMCore-inhoudsbestand worden onmiddellijk geïmplementeerd. Zie ook Werking van inhoudsbestanden op pagina 11 Aanmelden als beheerder op pagina 26 Extra.DAT-bestanden gebruiken U kunt een Extra.DAT-bestand installeren om uw systeem te beschermen tegen een grote malware-uitbraak tot de volgende geplande update van AMCore-inhoud wordt uitgegeven. Taken Extra.DAT-bestanden downloaden op pagina 29 Als u een Extra.DAT-bestand wilt downloaden, klikt u op de downloadkoppeling die u van McAfee Labs hebt ontvangen. Een Extra.DAT-bestand op pagina 29 Gebruik Endpoint Security-client om het gedownloade Extra.DAT-bestand te installeren. Zie ook Extra.DAT-bestanden op pagina 28 Extra.DAT-bestanden Als nieuwe malware wordt ontdekt en extra detectie is vereist, brengt McAfee Labs een Extra.DAT-bestand uit. Extra.DAT-bestanden bevatten informatie die Bedreigingspreventie gebruikt voor verwerking van de nieuwe malware. U kunt Extra.DAT-bestanden voor specifieke bedreigingen downloaden via de McAfee Labs Extra.DAT-aanvraagpagina. Bedreigingspreventie ondersteunt alleen het gebruik van één Extra.DAT-bestand. 28 McAfee Endpoint Security 10.5 Producthandleiding

29 De Endpoint Security-client gebruiken Endpoint Security beheren 2 In elk Extra.DAT-bestand is een vervaldatum ingebouwd. Wanneer het Extra.DAT-bestand is geladen, wordt deze vervaldatum vergeleken met de build-datum van de AMCore-inhoud die op het systeem is geïnstalleerd. Als de build-datum van de AMCore-inhoudset later is dan de vervaldatum van Extra.DAT, wordt Extra.DAT beschouwd als verlopen en niet langer geladen en gebruikt door de engine. Bij de volgende update wordt de Extra.DAT uit het systeem verwijderd. Als de volgende update van AMCore-inhoud de Extra.DAT-handtekening bevat, wordt de Extra.DAT verwijderd. Endpoint Security slaat Extra.DAT-bestanden op in de map c:\program Files\Common Files\McAfee \Engine\content\avengine\extradat. Extra.DAT-bestanden downloaden Als u een Extra.DAT-bestand wilt downloaden, klikt u op de downloadkoppeling die u van McAfee Labs hebt ontvangen. Procedure 1 Klik op de downloadkoppeling, geef een locatie op waar het Extra.DAT-bestand moet worden opgeslagen, en klik op Opslaan. 2 Indien nodig pakt u het EXTRA.ZIP-bestand uit. 3 Laad het Extra.DAT-bestand met Endpoint Security-client. Een Extra.DAT-bestand Gebruik Endpoint Security-client om het gedownloade Extra.DAT-bestand te installeren. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Extra.DAT laden. 3 Klik op Bladeren, ga naar de locatie waar u het Extra.DAT-bestand hebt gedownload en klik op Openen. 4 Klik op Toepassen. De nieuwe detecties in de Extra.DAT worden onmiddellijk geïmplementeerd.. Zie ook Aanmelden als beheerder op pagina 26 Algemene instellingen configureren Configureer instellingen die van toepassing zijn op alle modules en functies van Endpoint Security in de module Gedeelde instellingen. Deze instellingen bestaan onder meer uit Endpoint McAfee Endpoint Security 10.5 Producthandleiding 29

30 2 De Endpoint Security-client gebruiken Endpoint Security beheren Security-client-interfacebeveiliging en taalinstellingen, registratie, proxyserverinstellingen voor McAfee GTI en updateconfiguratie. Taken Endpoint Security-bronnen beveiligen op pagina 30 Tijdens een aanval probeert malware als eerste de beveiligingssoftware van uw systeem uit te schakelen. Configureer Zelfbeveiliging in de Gedeelde instellingen om te voorkomen dat services en bestanden van Endpoint Security worden gestopt of gewijzigd. Registratie-instellingen configureren op pagina 31 Configureer Endpoint Security-registratie in de instellingen van Gedeelde instellingen. Verificatie certificaat toestaan op pagina 31 Met certificaten kan een leverancier code uitvoeren in McAfee-processen. Toegang tot de clientinterface beperken op pagina 32 Beperk de toegang tot de Endpoint Security-client door een wachtwoord in te stellen in de instellingen van Gedeelde instellingen. Proxyserverinstellingen configureren voor McAfee GTI op pagina 33 In de Gedeelde instellingen kunt u proxyserveropties opgeven voor het ophalen van de McAfee GTI-reputatie. Endpoint Security-bronnen beveiligen Tijdens een aanval probeert malware als eerste de beveiligingssoftware van uw systeem uit te schakelen. Configureer Zelfbeveiliging in de Gedeelde instellingen om te voorkomen dat services en bestanden van Endpoint Security worden gestopt of gewijzigd. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Als u Endpoint Security-zelfbeveiliging uitschakelt, is uw systeem kwetsbaar voor aanvallen. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Controleer via Zelfbeveiliging of Zelfbeveiliging is ingeschakeld. 5 Geef de actie voor elk van de volgende Endpoint Security-bronnen op: Bestanden en mappen: hiermee wordt voorkomen dat gebruikers de database, binaire bestanden, bestanden voor beveiligd zoeken en configuratiebestanden van McAfee wijzigen. Register: hiermee wordt voorkomen dat gebruikers het McAfee-registeronderdeel of COM-onderdelen wijzigen en verwijderen via de registerwaarde. Processen: hiermee wordt voorkomen dat McAfee-processen worden gestopt. 6 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina McAfee Endpoint Security 10.5 Producthandleiding

31 De Endpoint Security-client gebruiken Endpoint Security beheren 2 Registratie-instellingen configureren Configureer Endpoint Security-registratie in de instellingen van Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Configureer de instellingen van Klantlogboekgebruik op de pagina. 5 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Namen en locaties van Endpoint Security-logboekbestanden op pagina 24 Aanmelden als beheerder op pagina 26 Verificatie certificaat toestaan Met certificaten kan een leverancier code uitvoeren in McAfee-processen. Wanneer een proces wordt gedetecteerd, wordt de certificaattabel gevuld met de Leverancier, het Onderwerp en de Hash van de bijbehorende openbare sleutel. Deze instelling kan resulteren in compatibiliteitsproblemen en verminderde beveiliging. Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. Procedure 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Selecteer in de sectie Certificaten de optie Toestaan. 5 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. De certificaatgegevens worden weergegeven in de tabel. McAfee Endpoint Security 10.5 Producthandleiding 31

32 2 De Endpoint Security-client gebruiken Endpoint Security beheren Toegang tot de clientinterface beperken Beperk de toegang tot de Endpoint Security-client door een wachtwoord in te stellen in de instellingen van Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. De Clientinterfacemodus is standaard ingesteld op Volledige toegang, zodat gebruikers hun beveiligingsconfiguratie kunnen wijzigen en systemen mogelijk niet beveiligd zijn tegen malwareaanvallen. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Configureer de instellingen van de Clientinterfacemodus op de pagina. Aanbevolen procedure: wijzig de Clientinterfacemodus in Standaard of Clientinterface vergrendelen om de beveiliging te verbeteren. Voor beide opties is een beheerderswachtwoord nodig voor toegang tot de instellingen van de Endpoint Security-client. Aanbevolen procedure: wijzig de beheerderswachtwoorden regelmatig. 4 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Effecten van een beheerderswachtwoord instellen op pagina 32 Aanmelden als beheerder op pagina 26 Effecten van een beheerderswachtwoord instellen Wanneer u de interfacemodus instelt op Standaardtoegang of Clientinterface vergrendelen, moet u ook een beheerderswachtwoord instellen. De beheerder kan ook een tijdelijk wachtwoord genereren, dat gebruikers kunnen invoeren om tijdelijk toegang te krijgen tot Endpoint Security-client. Het instellen van de interfacemodus op Standaardtoegang of Clientinterface vergrendelen heeft invloed op de volgende gebruikers: 32 McAfee Endpoint Security 10.5 Producthandleiding

33 De Endpoint Security-client gebruiken Endpoint Security beheren 2 Alle gebruikers Niet-beheerders (gebruikers zonder beheerdersrechten) Beheerders (gebruikers met beheerdersrechten) In de modus Clientinterface vergrendelen moeten gebruikers het beheerders- of tijdelijke wachtwoord invoeren om toegang te krijgen tot de Endpoint Security-client. Wanneer de gebruiker het wachtwoord heeft ingevoerd, heeft deze toegang tot de gehele interface, inclusief de configuratie-instellingen op de pagina Instellingen. In de modus Standaardtoegang kunnen niet-beheerders het volgende doen: Informatie krijgen over welke Endpoint Security-modules zijn geïnstalleerd, inclusief versie en status. Scans uitvoeren. Controleren op updates (indien ingeschakeld). Items in de quarantaine weergeven en beheren. Het Gebeurtenislogboek weergeven. Hulp vragen en de pagina's Veelgestelde vragen en Ondersteuning openen. In de modus Standaardtoegang kunnen niet-beheerders het volgende niet doen: Configuratie-instellingen op de pagina Instellingen weergeven of wijzigen. AMCore-inhoud terugzetten. ExtraDat-bestanden laden. In de modus Standaardtoegang moeten beheerders het beheerders- of tijdelijke wachtwoord invoeren. Wanneer de beheerder het wachtwoord heeft ingevoerd, heeft deze toegang tot de gehele interface, inclusief de configuratie-instellingen op de pagina Instellingen. Proxyserverinstellingen configureren voor McAfee GTI In de Gedeelde instellingen kunt u proxyserveropties opgeven voor het ophalen van de McAfee GTI-reputatie. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Configureer instellingen voor Proxyserver voor McAfee GTI op de pagina. Aanbevolen procedure: sluit de McAfee GTI-adressen uit voor de proxyserver. Zie KB79640 en KB84374 voor informatie. 5 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. McAfee Endpoint Security 10.5 Producthandleiding 33

34 2 De Endpoint Security-client gebruiken Endpoint Security beheren Zie ook Aanmelden als beheerder op pagina 26 Updategedrag configureren Geef het gedrag op voor updates die worden gestart via de Endpoint Security-client in de Gedeelde instellingen. Taken Bronlocaties configureren voor updates op pagina 34 U kunt de sites waarvan de Endpoint Security-client bijgewerkte beveiligingsbestanden ontvangt configureren in de instellingen van de Gedeelde instellingen. Het standaardgedrag configureren voor updates op pagina 36 U kunt het standaardgedrag opgeven voor updates die worden gestart via de Endpoint Security-client in de instellingen van de Gedeelde instellingen. Updatetaken configureren, plannen en uitvoeren op pagina 37 U kunt aangepaste updatetaken configureren of de taakplanning van de Standaard clientupdate wijzigen via de Endpoint Security-client in de instellingen van de module Gedeelde instellingen. Spiegeltaken configureren, plannen en uitvoeren op pagina 38 U kunt spiegeltaken wijzigen of plannen vanuit de Endpoint Security-client in de module Gedeelde instellingen. Bronlocaties configureren voor updates U kunt de sites waarvan de Endpoint Security-client bijgewerkte beveiligingsbestanden ontvangt configureren in de instellingen van de Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik via Gedeelde instellingen op Opties. 5 Configureer de instellingen van Bronlocaties voor updates op de pagina. U kunt de standaardbronlocatie voor back-up, McAfeeHttp en de beheerserver (voor beheerde systemen) in- en uitschakelen, maar u kunt ze verder niet wijzigen of verwijderen. De volgorde van de sites bepaalt de volgorde die Endpoint Security gebruikt om naar de updatelocatie te zoeken. 34 McAfee Endpoint Security 10.5 Producthandleiding

35 De Endpoint Security-client gebruiken Endpoint Security beheren 2 Als u het volgende wilt doen... Voeg een site toe aan de lijst. Volgt u deze stappen 1 Klik op Toevoegen. 2 Geef de site-instellingen op en klik op OK. De site wordt weergegeven aan het begin van de lijst. Een bestaande site wijzigen. 1 Dubbelklik op de naam van de site. 2 Wijzig de instellingen en klik op OK. Een site verwijderen. Sites importeren van een bestand met een bronlocatielijst. Selecteer de site en klik op Verwijderen. 1 Klik op Importeren. 2 Selecteer het bestand dat u wilt importeren en klik op OK. Het bestand met de locatielijst vervangt de bestaande lijst met bronlocaties. De bronlocatielijst exporteren naar een SiteList.xml-bestand. De volgorde van de sites in de lijst wijzigen. 1 Klik op Alles exporteren. 2 Selecteer de locatie om het bestand met de bronlocatielijst naar op te slaan, en klik op OK. Elementen verplaatsen: 1 Selecteer elementen om te verplaatsen. De greep wordt links van elementen die kunnen worden verplaatst weergegeven. 2 Versleep de elementen naar de nieuwe locatie. 6 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Inhoud van de lijst met opslagplaatsen op pagina 35 Hoe de taak Standaard clientupdate werkt op pagina 37 Aanmelden als beheerder op pagina 26 Updatetaken configureren, plannen en uitvoeren op pagina 37 Inhoud van de lijst met opslagplaatsen Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten. De lijst met opslagplaatsen bevat informatie over opslagplaatsen die McAfee Agent gebruikt om McAfee-producten bij te werken, waaronder engine- en DAT-bestanden. De lijst met opslagplaatsen omvat: informatie en locatie van opslagplaatsen voorkeursvolgorde van opslagplaatsen proxyserverinstellingen, waar vereist versleutelde aanmeldingsgegevens die vereist zijn voor toegang tot de opslagplaatsen. De clienttaak McAfee Agent Productupdate maakt verbinding met de eerste ingeschakelde opslagplaats (updatelocatie) in de lijst met opslagplaatsen. Als deze opslagplaats niet beschikbaar is, maakt de taak contact met de volgende site totdat er een verbinding wordt gemaakt of het einde van de lijst wordt bereikt. McAfee Endpoint Security 10.5 Producthandleiding 35

36 2 De Endpoint Security-client gebruiken Endpoint Security beheren Als uw netwerk een proxyserver gebruikt, kunt u opgeven welke proxy-instellingen moeten worden gebruikt, wat het adres van de proxyserver is en of u verificatie wilt gebruiken. Proxygegevens worden opgeslagen in de lijst met opslagplaatsen. De proxy-instellingen die u configureert, zijn van toepassing op alle opslagplaatsen in de lijst. De locatie van de lijst met opslagplaatsen is afhankelijk van het besturingssysteem: Besturingssysteem Locatie van lijst met opslagplaatsen Microsoft Windows 8 Microsoft Windows 7 Eerdere versies C:\ProgramData\McAfee\Common Framework\SiteList.xml C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\SiteList.xml Het standaardgedrag configureren voor updates U kunt het standaardgedrag opgeven voor updates die worden gestart via de Endpoint Security-client in de instellingen van de Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Gebruik deze instellingen om: De knop in de client weer te geven of te verbergen. Specificeer wat er moet worden bijgewerkt wanneer de gebruiker op de knop klikt of de taak Standaard clientupdate uitvoert. De taak Standaard clientupdate wordt elke dag uitgevoerd om 1:00 uur en wordt elke vier uur herhaald tot 23:59 uur. Op systemen in eigen beheer werkt de taak Standaard clientupdate alle inhoud en software bij. Op beheerde systemen werkt deze taak alleen de inhoud bij. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Configureer instellingen voor de Standaard clientupdate op de pagina. 5 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 26 Bronlocaties configureren voor updates op pagina 34 Updatetaken configureren, plannen en uitvoeren op pagina McAfee Endpoint Security 10.5 Producthandleiding

37 De Endpoint Security-client gebruiken Endpoint Security beheren 2 Hoe de taak Standaard clientupdate werkt De taak Standaard clientupdate downloadt de meest recente beveiliging voor de Endpoint Security-client. Endpoint Security bevat de taak Standaard clientupdate die standaard elke dag om 1 uur 's nachts wordt uitgevoerd en elke vier uur wordt herhaald tot uur. De taak Standaard clientupdate: 1 Maakt een verbinding met de eerste ingeschakelde bronsite in de lijst. Als deze site niet beschikbaar is, maakt de taak contact met de volgende site totdat er een verbinding wordt gemaakt of het einde van de lijst wordt bereikt. 2 Downloadt een versleuteld CATALOG.Z-bestand van de site. Het bestand bevat informatie die vereist is om de update uit te voeren, inclusief beschikbare bestanden en updates. 3 Vergelijkt de softwareversies in het bestand met de versies op de computer en downloadt nieuwe software-updates als deze beschikbaar zijn. Als de taak Standaard clientupdate tijdens de update wordt onderbroken: Updates van... HTTP, UNC of een lokale site FTP-site (download van één bestand) FTP-site (download van meerdere bestanden) Indien onderbroken... Wordt hervat waar de update is gestopt wanneer de updatetaak de volgende keer wordt gestart. Wordt niet hervat na onderbreking. Wordt hervat vóór het bestand dat op het moment van de onderbreking werd gedownload. Zie ook Bronlocaties configureren voor updates op pagina 34 Updatetaken configureren, plannen en uitvoeren op pagina 37 Inhoud van de lijst met opslagplaatsen op pagina 35 Updatetaken configureren, plannen en uitvoeren U kunt aangepaste updatetaken configureren of de taakplanning van de Standaard clientupdate wijzigen via de Endpoint Security-client in de instellingen van de module Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Gebruik deze instellingen om vanuit de client te configureren wanneer de taak Standaard clientupdate moet worden uitgevoerd. U kunt ook het standaardgedrag configureren voor clientupdates die vanuit de Endpoint Security-client worden gestart. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. McAfee Endpoint Security 10.5 Producthandleiding 37

38 2 De Endpoint Security-client gebruiken Endpoint Security beheren 4 Klik via Gedeelde instellingen op Taken. 5 Configureer de instellingen voor de updatetaak op de pagina. Als u het volgende wilt doen... Een aangepaste updatetaak maken. Volgt u deze stappen 1 Klik op Toevoegen. 2 Voer de naam in en selecteer via de vervolgkeuzelijst Selecteer taaktype de optie Update. 3 Configureer de instellingen en klik op OK om de taak op te slaan. Een updatetaak wijzigen. Een aangepaste updatetaak verwijderen. Een kopie van een updatetaak maken. De planning wijzigen voor een Standaard clientupdatetaak. Een updatetaak uitvoeren. Dubbelklik op de taak, breng uw wijzigingen aan en klik op OK om de taak op te slaan. Selecteer de taak en klik op Verwijderen. 1 Selecteer de taak en klik op Dupliceren. 2 Voer de naam in, configureer de instellingen en klik op OK om de taak op te slaan. 1 Dubbelklik op Standaard clientupdate. 2 Klik op het tabblad Planning, wijzig de planning en klik op OK om de taak op te slaan. U kunt ook het standaardgedrag configureren voor clientupdates die vanuit de Endpoint Security-client worden gestart. Selecteer de taak en klik op Nu uitvoeren. Als de taak al wordt uitgevoerd, of is gepauzeerd of uitgesteld, verandert de knop in Weergeven. Als u een taak uitvoert voordat u wijzigingen toepast, vraagt de Endpoint Security-client u de instellingen op te slaan. 6 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Hoe de taak Standaard clientupdate werkt op pagina 37 Bronlocaties configureren voor updates op pagina 34 Het standaardgedrag configureren voor updates op pagina 36 Spiegeltaken configureren, plannen en uitvoeren U kunt spiegeltaken wijzigen of plannen vanuit de Endpoint Security-client in de module Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. 38 McAfee Endpoint Security 10.5 Producthandleiding

39 De Endpoint Security-client gebruiken Endpoint Security beheren 2 Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik via Gedeelde instellingen op Taken. 5 Configureer de instellingen voor de spiegeltaak op de pagina. Als u het volgende wilt doen... Een spiegeltaak maken. Volgt u deze stappen 1 Klik op Toevoegen. 2 Voer de naam in en selecteer via de vervolgkeuzelijst Selecteer taaktype de optie Spiegelen. 3 Configureer de instellingen en klik op OK. Een spiegeltaak wijzigen. Een spiegeltaak verwijderen. Een kopie van een spiegeltaak maken. Een spiegeltaak plannen. Een spiegeltaak uitvoeren. Dubbelklik op de spiegeltaak, breng uw wijzigingen aan en klik op OK. Selecteer de taak en klik op Verwijderen. 1 Selecteer de taak en klik op Dupliceren. 2 Voer de naam in, configureer de instellingen en klik op OK. 1 Dubbelklik op de taak. 2 Klik op de tab Planning, wijzig de planning en klik op OK om de taak op te slaan. Selecteer de taak en klik op Nu uitvoeren. Als de taak al wordt uitgevoerd, of is gepauzeerd of uitgesteld, verandert de knop in Weergeven. Als u een taak uitvoert voordat u wijzigingen toepast, vraagt de Endpoint Security-client u de instellingen op te slaan. 6 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Hoe spiegeltaken werken Met de spiegeltaak kunt u de updatebestanden van de eerst toegankelijke opslagplaats in de lijst met sites repliceren op een spiegellocatie op uw netwerk. Doorgaans wordt met deze taak de inhoud van de McAfee-downloadsite op een lokale server gespiegeld. Nadat u de McAfee-site met de updatebestanden hebt gerepliceerd, kunnen de bestanden worden gedownload vanaf de spiegellocatie naar computers op uw netwerk. Via deze benadering kunt u elke computer op uw netwerk bijwerken, ongeacht of de computer internettoegang heeft. Gebruik van een gerepliceerde site is efficiënter omdat uw systemen communiceren met een server die zich dichterbij bevindt dan een McAfee-internetsite, waardoor toegangs- en downloadtijden worden verkort. Endpoint Security maakt gebruik van een map om zichzelf bij te werken. U moet daarom bij het spiegelen van een site zorgen dat u de hele mapstructuur repliceert. McAfee Endpoint Security 10.5 Producthandleiding 39

40 2 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen Biedt contextafhankelijke hulp voor pagina's in de interface van Endpoint Security-client. Inhoud Pagina Gebeurtenislogboek Gedeelde instellingen: opties Gedeelde instellingen: Taken Pagina Gebeurtenislogboek Geeft de activiteiten- en foutopsporingsgebeurtenissen in het Gebeurtenislogboek weer. Tabel 2-2 Opties Optie Aantal gebeurtenissen Map met logboeken weergeven Alle gebeurtenissen weergeven Filteren op ernstigheidsgraad Filteren op module Definitie Geeft het aantal gebeurtenissen aan dat Endpoint Security de afgelopen dertig dagen op het systeem heeft geregistreerd. Vernieuwt de weergave van het Gebeurtenislogboek met gegevens van nieuwe gebeurtenissen. Hiermee wordt de map met de logboekbestanden geopend in Windows Explorer. Hiermee kunt u filters verwijderen. Hiermee worden gebeurtenissen op ernstigheidsgraad gefilterd: Waarschuwing Alleen gebeurtenissen met ernstigheidsgraad 1 worden weergegeven. Kritiek en hoger Alleen gebeurtenissen met ernstigheidsgraad 1 en 2 worden weergegeven. Waarschuwing en hoger Alleen gebeurtenissen met ernstigheidsgraad 1, 2 en 3 worden weergegeven. Melding en hoger Gebeurtenissen met ernstigheidsgraad 1, 2, 3 en 4 worden weergegeven.. Hiermee worden gebeurtenissen op module gefilterd: Gedeelde instellingen Bedreigingspreventie Firewall Webcontrole Adaptieve bescherming tegen bedreigingen Alleen Gedeelde instellingen-gebeurtenissen worden weergegeven. Alleen gebeurtenissen van Bedreigingspreventie worden weergegeven. Alleen gebeurtenissen van Firewall worden weergegeven. Alleen gebeurtenissen van Webcontrole worden weergegeven. Toont alleen gebeurtenissen voor Adaptieve bescherming tegen bedreigingen. Welke functies in de vervolgkeuzelijst worden weergegeven, is afhankelijk van de functies die op het systeem zijn geïnstalleerd op het moment dat u het Gebeurtenislogboek opent. Zoeken Gebeurtenissen per pagina Hiermee kunt u in het Gebeurtenislogboek naar een tekenreeks zoeken. Hiermee wordt het aantal gebeurtenissen geselecteerd dat op een pagina moet worden weergegeven. (Standaard 20 gebeurtenissen per pagina) 40 McAfee Endpoint Security 10.5 Producthandleiding

41 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen 2 Tabel 2-2 Opties (vervolg) Optie Vorige pagina Volgende pagina Pagina x van x Kolomkop Datum Functie Ondernomen actie Definitie Hiermee wordt de vorige pagina in het Gebeurtenislogboek weergegeven. Hiermee wordt de volgende pagina in het Gebeurtenislogboek weergegeven. Selecteer een pagina in het Gebeurtenislogboek die u wilt weergeven. Voer een getal in het veld Pagina in en druk op Enter of klik op OK om naar de pagina te gaan. De lijst met gebeurtenissen wordt gesorteerd op... De datum waarop de gebeurtenis is opgetreden. De functie die de gebeurtenis heeft geregistreerd. Actie die Endpoint Security (eventueel) heeft genomen als reactie op de gebeurtenis. De actie wordt in de instellingen geconfigureerd. Toegang geweigerd Toegestaan Geblokkeerd Opgeschoond Ingesloten Doorgaan met scannen Verwijderd Verplaatst Zou blokkeren Zou opschonen Zou insluiten Toegang tot bestand geweigerd. Toegang tot bestand toegestaan. Toegang tot het bestand is geblokkeerd. Bedreiging is automatisch uit het bestand verwijderd. Het bestand is op basis van diens reputatie uitgevoerd in een container. Er is een bedreiging gedetecteerd en het volgende bestand wordt gescand zonder actie (Opschonen of Verwijderen) voor het huidige bestand te uit te voeren. Bestand is automatisch verwijderd. Het bestand is naar de quarantainemap verplaatst. Een regel zou de toegang tot het bestand blokkeren als de regel werd afgedwongen. Waarnemingsmodus is ingeschakeld. Een regel zou het bestand hebben opgeschoond als de regel werd afgedwongen. Waarnemingsmodus is ingeschakeld. Een regel zou het bestand hebben ingesloten als de regel werd afgedwongen. Waarnemingsmodus is ingeschakeld. Ernstigheidsgraad Ernstigheidsgraad van de gebeurtenis. Kritiek 1 Belangrijk 2 Minder belangrijk 3 Waarschuwing 4 Informatief 5 Zie ook Het Gebeurtenislogboek bekijken op pagina 23 McAfee Endpoint Security 10.5 Producthandleiding 41

42 2 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen Gedeelde instellingen: opties Configureer instellingen voor de Endpoint Security-clientinterface, Zelfbeveiliging, activiteitenlogboek en foutregistratie en de proxyserver. Tabel 2-3 Opties Sectie Optie Definitie Clientinterfacemodus Volledige toegang Hiermee wordt toegang tot alle functies toegestaan. (Standaardinstelling) Standaardtoegang Hiermee wordt de beveiligingsstatus weergegeven en is toegang tot de meeste functies toegestaan, zoals het uitvoeren van updates en scans. Voor de modus Standaardtoegang is een wachtwoord vereist om instellingen te kunnen bekijken en wijzigen op de pagina Instellingen van de Endpoint Security-client. Clientinterface vergrendelen Beheerderswachtwoord instellen Er is een wachtwoord vereist voor toegang tot de Endpoint Security-client. Voor Standaardtoegang en Clientinterface vergrendelen wordt hier het beheerderswachtwoord opgegeven voor toegang tot alle functies van de interface van de Endpoint Security-client. Wachtwoord: hier geeft u het wachtwoord op. Wachtwoord bevestigen: hier bevestigt u het wachtwoord. Aanbevolen procedure: wijzig de beheerderswachtwoorden regelmatig. Verwijderen Wachtwoord vereisen om de client te verwijderen Hiermee wordt een wachtwoord opgegeven en vereist om Endpoint Security-client te verwijderen. Het standaardwachtwoord is mcafee. (Standaard uitgeschakeld) Wachtwoord: hier geeft u het wachtwoord op. Wachtwoord bevestigen: hier bevestigt u het wachtwoord. Tabel 2-4 Geavanceerde opties Sectie Optie Definitie Taal clientinterface Automatisch Hiermee wordt automatisch de taal ingesteld die moet worden gebruikt voor de interfacetekst van Endpoint Security-client, gebaseerd op de taal op het clientsysteem. Taal De taal die moet worden gebruikt voor de interfacetekst van Endpoint Security-client. Voor beheerde systemen hebben taalwijzigingen die gemaakt zijn vanuit de Endpoint Security-client, voorrang op beleidswijzigingen van de beheerserver. De taalwijziging wordt toegepast nadat de Endpoint Security-client opnieuw is opgestart. De taal van de client is niet van invloed op de logboekbestanden. Logboekbestanden worden altijd weergegeven in de taal die in de standaardlandinstellingen van het systeem is opgegeven. 42 McAfee Endpoint Security 10.5 Producthandleiding

43 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen 2 Tabel 2-4 Geavanceerde opties (vervolg) Sectie Optie Definitie Zelfbeveiliging Zelfbeveiliging inschakelen Hiermee worden Endpoint Security-systeembronnen beschermd tegen schadelijke activiteiten. Actie De actie die moet worden genomen wanneer schadelijke activiteit plaatsvindt: Blokkeren en rapporteren: activiteit wordt geblokkeerd en gerapporteerd bij McAfee epo. (Standaardinstelling) Alleen blokkeren: activiteit wordt geblokkeerd maar wordt niet gerapporteerd bij McAfee epo. Alleen rapporteren: activiteit wordt gerapporteerd bij McAfee epo maar wordt niet geblokkeerd. Bestanden en mappen Register Processen De volgende processen uitsluiten Voorkomt dat McAfee-systeembestanden en -mappen worden gewijzigd of verwijderd. Voorkomt dat McAfee-registersleutels en -waarden worden gewijzigd of verwijderd. Voorkomt dat McAfee-processen worden gestopt. Hiermee wordt de toegang voor de opgegeven processen toegestaan. Jokertekens zijn toegestaan. Toevoegen: hiermee wordt een proces aan de lijst met uitsluitingen toegevoegd. Klik op Toevoegen en voer de naam van de bron exact in, zoals avtask.exe. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Selecteer de bron en klik op Verwijderen. Certificaten Certificaatopties. Toestaan Hiermee wordt toegestaan dat een leverancier code uitvoert in McAfee-processen. Deze instelling kan resulteren in compatibiliteitsproblemen en verminderde beveiliging. Leverancier De CN (Common Name) van de instantie die het certificaat heeft ondertekend en uitgegeven. McAfee Endpoint Security 10.5 Producthandleiding 43

44 2 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen Tabel 2-4 Geavanceerde opties (vervolg) Sectie Optie Definitie Aanvrager Hash De SND (Signer Distinguished Name) die de entiteit definieert die aan het certificaat is gekoppeld. Deze informatie kan bestaan uit: CN: Common Name OU: Organization Unit of organisatie-eenheid O: Organisatie L: Lokaliteit ST: Staat of provincie C: Country Code of landcode De hash van de bijbehorende openbare sleutel. Clientlogboekgebruik Locatie logboekbestanden De locatie voor de logboekbestanden. De standaardlocatie is: <SYSTEEMSTATION>:\ProgramData\McAfee \Endpoint\Logs Druk op Enter of klik op Bladeren om naar een locatie te gaan. Activiteitenlogboekregistratie Foutregistratie Activiteitenlogboekregistratie inschakelen Maximale grootte van alle activiteitenlogboeken (MB) Hiermee wordt registratie van alle Endpoint Security-activiteiten ingeschakeld. Beperkt de grootte van elk activiteitenlogboek tot de opgegeven maximumgrootte (tussen 1 en 999 MB). De standaardinstelling is 10 MB. Als het logboekbestand deze grootte overschrijdt, wordt de eerste 25 procent van de vermeldingen in het bestand overschreven door nieuwe gegevens. Schakel deze optie uit als logboekbestanden onbeperkt in omvang mogen toenemen. Als u foutregistratie voor een willekeurige module inschakelt, wordt ook foutregistratie voor de functies van de module Gedeelde instellingen ingeschakeld, zoals Zelfbeveiliging. Aanbevolen procedure: schakel het vastleggen van fouten in het logboek minimaal 24 uur in gedurende tests en testfasen. Als er gedurende deze tijd geen problemen optreden, kunt u foutregistratie uitschakelen om te voorkomen dat de prestaties op clientsystemen beïnvloed worden. 44 McAfee Endpoint Security 10.5 Producthandleiding

45 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen 2 Tabel 2-4 Geavanceerde opties (vervolg) Sectie Optie Definitie Inschakelen voor Bedreigingspreventie Hiermee wordt uitgebreide registratie van activiteiten voor Bedreigingspreventie en afzonderlijke technologieën ingeschakeld: Inschakelen voor Toegangsbeveiliging: registreert in AccessProtection_Debug.log. Inschakelen voor Exploitpreventie: registreert in ExploitPrevention_Debug.log. Inschakelen voor scannen bij toegang: registreert in OnAccessScan_Debug.log. Inschakelen voor scannen op verzoek: registreert in OnDemandScan_Debug.log. Als u foutregistratie voor een willekeurige Bedreigingspreventie-technologie inschakelt, wordt ook foutregistratie voor de Endpoint Security-client ingeschakeld. Logboekregistratie Inschakelen voor Firewall Inschakelen voor Webcontrole Inschakelen voor Adaptieve bescherming tegen bedreigingen Maximale grootte van alle foutopsporingslogboeken (MB) Gebeurtenissen naar McAfee epo versturen Gebeurtenissen in het Windows-toepassingslogboek registreren Hiermee wordt uitgebreide registratie van Firewall-activiteit ingeschakeld. Hiermee wordt uitgebreide registratie van Webcontrole-activiteit ingeschakeld. Hiermee wordt uitgebreide registratie van activiteiten voor Adaptieve bescherming tegen bedreigingen ingeschakeld. Beperkt de grootte van elk foutopsporingslogboek tot de opgegeven maximumgrootte (tussen 1 en 999 MB). De standaardinstelling is 50 MB. Als het logboekbestand deze grootte overschrijdt, wordt de eerste 25 procent van de vermeldingen in het bestand overschreven door nieuwe gegevens. Schakel deze optie uit als logboekbestanden onbeperkt in omvang mogen toenemen. Hiermee worden alle gebeurtenissen die in het gebeurtenislogboek op de Endpoint Security-client zijn geregistreerd naar McAfee epo gestuurd. Deze optie is alleen beschikbaar op systemen die door McAfee epo worden beheerd. Hiermee worden alle gebeurtenissen die in het gebeurtenislogboek op de Endpoint Security-client zijn geregistreerd naar het Windows-toepassingslogboek gestuurd. Het Windows-toepassingslogboek kan in Windows worden geopend via Logboeken Windows Logboeken Toepassing. McAfee Endpoint Security 10.5 Producthandleiding 45

46 2 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen Tabel 2-4 Geavanceerde opties (vervolg) Sectie Optie Definitie Risiconiveaus De ernstigheidsgraad van de gebeurtenissen die naar het gebeurtenislogboek op de Endpoint Security-client moeten worden gestuurd: Geen: er worden geen waarschuwingen gestuurd Alleen waarschuwing: er worden alleen waarschuwingen van niveau 1 gestuurd. Kritiek en waarschuwing: er worden waarschuwingen van niveau 1 en 2 gestuurd. Melding, kritiek en waarschuwing: er worden waarschuwingen van niveau 1-3 gestuurd. Alle behalve informatief: er worden waarschuwingen van niveau 1-4 gestuurd. Alle: er worden waarschuwingen van niveau 1-5 gestuurd. 1: Waarschuwing 2: Kritiek 3: Melding 4: Bericht 5: Informatief Gebeurtenissen van Bedreigingspreventie die moeten worden geregistreerd Firewall-gebeurtenissen die moeten worden geregistreerd Webcontrole-gebeurtenissen die moeten worden geregistreerd Adaptieve bescherming tegen bedreigingen-gebeurtenissen die moeten worden geregistreerd De ernstigheidsgraad van de gebeurtenissen voor elke functie van Bedreigingspreventie die moet worden geregistreerd: Toegangsbeveiliging: wordt vastgelegd in AccessProtection_Activity.log. Wanneer u gebeurtenisregistratie voor Toegangsbeveiliging inschakelt, wordt ook gebeurtenisregistratie voor Zelfbeveiliging ingeschakeld. Exploitpreventie: wordt vastgelegd in ExploitPrevention_Activity.log. Scan bij toegang: wordt vastgelegd in OnAccessScan_Activity.log. Scannen op verzoek: wordt vastgelegd in OnDemandScan_Activity.log. De ernstigheidsgraad van de Firewall-gebeurtenissen die moeten worden geregistreerd. De ernstigheidsgraad van de Webcontrole-gebeurtenissen die moeten worden geregistreerd. De ernstigheidsgraad van de gebeurtenissen binnen Adaptieve bescherming tegen bedreigingen die moeten worden geregistreerd. 46 McAfee Endpoint Security 10.5 Producthandleiding

47 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen 2 Tabel 2-4 Geavanceerde opties (vervolg) Sectie Optie Definitie Proxyserver voor McAfee GTI Geen proxyserver Hiermee wordt opgegeven dat de beheerde systemen McAfee GTI-reputatiegegevens rechtstreeks via internet en niet via een proxyserver ophalen. (Standaardinstelling) Proxy-instellingen van het systeem gebruiken Proxyserver configureren Hiermee wordt opgegeven dat de proxy-instellingen van het clientsysteem moeten worden gebruikt en dat HTTP-proxyverificatie eventueel moet worden ingeschakeld. Hiermee worden proxyinstellingen aangepast. Adres: het IP-adres of volledig gekwalificeerde domeinnaam van de HTTP-proxyserver. Poort: hiermee wordt toegang via de opgegeven poort beperkt. De volgende adressen uitsluiten: gebruik de HTTP-proxyserver niet voor websites of IP-adressen die met de opgegeven vermeldingen beginnen. Klik op Toevoegen en voer het adres in dat u wilt uitsluiten. Aanbevolen procedure: sluit de McAfee GTI-adressen uit voor de proxyserver. Zie KB79640 en KB84374 voor informatie. Standaard clientupdate HTTP-proxyverificatie inschakelen De knop Nu bijwerken inschakelen in de client Bepaalt dat de HTTP-proxyserver verificatie vereist. (Deze optie is alleen beschikbaar wanneer u een HTTP-proxyserver selecteert.) Voer HTTP-proxyaanmeldreferenties in: Gebruikersnaam: het gebruikersaccount dat toegang heeft tot de HTTP-proxyserver. Wachtwoord: het wachtwoord voor Gebruikersnaam. Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. Hiermee kunt u de knop Nu bijwerken op de hoofdpagina van de Endpoint Security-client weergeven of verbergen. Klik op deze knop om handmatig op updates voor inhoudsbestanden en softwareonderdelen te controleren en deze te downloaden op het clientsysteem. McAfee Endpoint Security 10.5 Producthandleiding 47

48 2 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen Tabel 2-4 Geavanceerde opties (vervolg) Sectie Optie Definitie Wat er bijgewerkt moet worden Bepaalt wat er moet worden bijgewerkt wanneer er op de knop Nu bijwerken wordt geklikt. Veiligheidsinhoud, hotfixes en patches: hiermee worden veiligheidsinhoud (inclusief engine, AMCore en inhoud van Exploitpreventie), hotfixes en patches naar de nieuwste versies bijgewerkt. Veiligheidsinhoud: hiermee wordt alleen de veiligheidsinhoud bijgewerkt. (Standaardinstelling) Hotfixes en patches: hiermee worden alleen hotfixes en patches bijgewerkt. Bronlocaties voor updates Hiermee worden de sites geconfigureerd vanwaar updates voor inhoudsbestanden en softwareonderdelen kunnen worden opgehaald. U kunt de standaardbronlocatie voor back-up, McAfeeHttp en de beheerserver (voor beheerde systemen) in- en uitschakelen, maar u kunt ze verder niet wijzigen of verwijderen. Hiermee worden elementen aangegeven die in de lijst kunnen worden verplaatst. Selecteer elementen en sleep ze naar de nieuwe locatie. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten. Toevoegen Dubbelklik op een item Verwijderen Importeren Hiermee wordt een site aan de lijst met bronlocaties toegevoegd. Hiermee wordt het geselecteerde item gewijzigd. Hiermee wordt de geselecteerde site uit de lijst met bronlocaties verwijderd. Hiermee worden sites geïmporteerd van een bestand met een bronlocatielijst. Selecteer het bestand dat u wilt importeren en klik op OK. Het bestand met de locatielijst vervangt de bestaande lijst met bronlocaties. Alles exporteren Exporteert de bronlocatielijst naar een SiteList.xml-bestand. Selecteer de locatie om het bestand met de bronlocatielijst naar op te slaan, en klik op OK. Proxyserver voor bronsites Geen proxyserver Bepaalt dat de beheerde systemen McAfee GTI-reputatiegegevens rechtstreeks via internet ophalen, niet via een proxyserver. (Standaardinstelling) Proxy-instellingen van het systeem gebruiken Bepaalt dat de proxyinstellingen van het clientsysteem moeten worden gebruikt, en dat HTTP- of FTP-proxyverificatie eventueel moet worden ingeschakeld. 48 McAfee Endpoint Security 10.5 Producthandleiding

49 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen 2 Tabel 2-4 Geavanceerde opties (vervolg) Sectie Optie Definitie Proxyserver configureren Hiermee worden proxyinstellingen aangepast. HTTP-/FTP-adres: het DNS-, IPv4- of IPv6-adres van de HTTP- of FTP-proxyserver. Poort: hiermee wordt toegang via de opgegeven poort beperkt. De volgende adressen uitsluiten: de adressen voor Endpoint Security-clientsystemen die de proxyserver niet moet gebruiken voor het ophalen van McAfee GTI-classificaties. Klik op Toevoegen en voer vervolgens de adresnaam in die moet worden uitgesloten. HTTP-/FTP-proxyverificatie inschakelen Bepaalt dat de HTTP- of FTP-proxyserver verificatie vereist. (Deze optie is alleen beschikbaar wanneer u een HTTP- of FTP-proxyserver hebt geselecteerd.) Voer proxyaanmeldingsgegevens in: Gebruikersnaam: het gebruikersaccount dat toegang heeft tot de proxyserver. Wachtwoord: het wachtwoord voor de opgegeven Gebruikersnaam. Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. Zie ook Endpoint Security-bronnen beveiligen op pagina 30 Registratie-instellingen configureren op pagina 31 Toegang tot de clientinterface beperken op pagina 32 Proxyserverinstellingen configureren voor McAfee GTI op pagina 33 Het standaardgedrag configureren voor updates op pagina 36 Bronlocaties configureren voor updates op pagina 34 Site toevoegen of Site bewerken op pagina 49 Site toevoegen of Site bewerken Hiermee wordt een site in de lijst met bronlocaties geplaatst of bewerkt. Tabel 2-5 Optiedefinities Optie Naam Inschakelen Bestanden ophalen van Definitie Geeft de naam aan van de bronsite die de updatebestanden bevat. Hiermee wordt gebruik van de bronsite voor het downloaden van updatebestanden in- of uitgeschakeld. Hier wordt opgegeven waar de bestanden moeten worden opgehaald. McAfee Endpoint Security 10.5 Producthandleiding 49

50 2 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen Tabel 2-5 Optiedefinities (vervolg) Optie HTTP-opslagplaats Definitie Hiermee worden bestanden uit de toegewezen HTTP-opslagplaatslocatie opgehaald. HTTP biedt de mogelijkheid updates onafhankelijk van de netwerkbeveiliging uit te voeren, maar ondersteunt meer gelijktijdige verbindingen dan FTP. URL Verificatie gebruiken DNS-naam: geeft aan dat de URL een domeinnaam is. IPv4: geeft aan dat de URL een IPv4-adres is. IPv6: geeft aan dat de URL een IPv6-adres is. : specificeert het adres van de HTTP-server en -map waar de updatebestanden zich bevinden. Poort: geeft het poortnummer voor de HTTP-server aan. Hier kunt u selecteren of u verificatie wilt gebruiken en de aanmeldingsgegevens voor toegang tot de map met updatebestanden opgeven. Gebruikersnaam: geeft de gebruikersaccount op die leesrechten heeft voor de map met updatebestanden. Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. 50 McAfee Endpoint Security 10.5 Producthandleiding

51 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen 2 Tabel 2-5 Optiedefinities (vervolg) Optie FTP-opslagplaats Definitie Hiermee worden bestanden uit de toegewezen FTP-opslagplaatslocatie opgehaald. Een FTP-site biedt de flexibiliteit van bijwerken zonder u aan netwerkbeveiligingsrechten te hoeven houden. Omdat FTP minder snel last heeft van aanvallen door ongewenste codes dan HTTP, kan dit een betere tolerantie bieden. URL Anoniem inloggen gebruiken DNS-naam: geeft aan dat de URL een domeinnaam is. IPv4: geeft aan dat de URL een IPv4-adres is. IPv6: geeft aan dat de URL een IPv6-adres is. ftp:// : specificeert het adres van de FTP-server en -map waar de updatebestanden zich bevinden. Poort: geeft het poortnummer voor de FTP-server aan. Hiermee kunt u ervoor kiezen anonieme FTP te gebruiken om de map met updatebestanden op te roepen. Hef de selectie van deze optie op om aanmeldingsgegevens voor toegang op te geven. Gebruikersnaam: geeft de gebruikersaccount op die leesrechten heeft voor de map met updatebestanden. Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. UNC-pad of Lokaal pad Hiermee worden bestanden uit de toegewezen UNC of het toegewezen lokale pad opgehaald. Een UNC-site is het snelst en gemakkelijkst in te stellen. Voor UNC-updates tussen domeinen zijn beveiligingsmachtigingen voor elk van de domeinen nodig, hetgeen het configureren van updates ingewikkelder maakt. Pad Aanmeldingsaccount gebruiken UNC-pad: hiermee wordt het pad opgegeven dat UNC-notatie gebruikt (\\servernaam\pad\). Lokaal pad: hiermee wordt het pad opgegeven van een map op een lokaal of netwerkstation. Hiermee wordt de aanmeldingsaccount gebruikt voor toegang tot de updatebestanden. Deze account moet leesrechten hebben voor de mappen met de updatebestanden. Hef de selectie van deze optie op om aanmeldingsgegevens voor toegang op te geven. Domein: geeft het domein op voor de gebruikersaccount. Gebruikersnaam: geeft de gebruikersaccount op die leesrechten heeft voor de map met updatebestanden. Wachtwoord: hiermee wordt het wachtwoord voor de opgegeven Gebruikersnaam opgegeven. McAfee Endpoint Security 10.5 Producthandleiding 51

52 2 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen Tabel 2-5 Optiedefinities (vervolg) Optie Definitie Wachtwoord bevestigen: hiermee wordt het opgegeven wachtwoord bevestigd. Gedeelde instellingen: Taken Endpoint Security-clienttaken configureren en plannen. Op beheerde systemen kunt u geen Beheerderstaken starten, stoppen of verwijderen. Tabel 2-6 Opties Sectie Optie Taken Dubbelklik op een item Toevoegen Verwijderen Definitie Geeft de momenteel gedefinieerde en geplande taken aan. Naam: naam van de geplande taak. Functie: module of functie waaraan de taak is gekoppeld. Schema: wanneer de taak moet worden uitgevoerd en of deze is uitgeschakeld. Het schema voor de Standaard clientupdatetaak kan op beheerde systemen bijvoorbeeld zijn uitgeschakeld door de beheerder. Status: status van de laatste keer dat de taak werd uitgevoerd: (geen status): nooit uitgevoerd Wordt uitgevoerd wordt nu uitgevoerd of is hervat Onderbroken onderbroken door gebruiker (zoals een scan) Uitgesteld uitgesteld door gebruiker (zoals een scan) Voltooid uitgevoerd zonder fouten Voltooid (fouten) uitgevoerd met fouten Mislukt: niet voltooid Laatst uitgevoerd: datum en tijd waarop de taak de laatste keer werd uitgevoerd. Oorsprong: oorsprong van de taak: McAfee: geleverd door McAfee. Beheerder: (alleen beheerde systemen) gedefinieerd door de beheerder. Gebruiker: gedefinieerd op de Endpoint Security-client Afhankelijk van de oorsprong kunnen sommige taken niet worden gewijzigd of verwijderd. De Standaard clientupdatetaak kan bijvoorbeeld alleen worden gewijzigd op systemen in eigen beheer. Beheerderstaken, gedefinieerd door de beheerder op beheerde systemen, kunnen niet worden gewijzigd of verwijderd op de Endpoint Security-client. Hiermee wordt het geselecteerde item gewijzigd. Hiermee wordt een scan-, update- of spiegeltaak gemaakt. Verwijdert de geselecteerde taak. 52 McAfee Endpoint Security 10.5 Producthandleiding

53 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen 2 Tabel 2-6 Opties (vervolg) Sectie Optie Dupliceren Nu uitvoeren Definitie Hiermee wordt een kopie van de geselecteerde taak gemaakt. De geselecteerde taak uitvoeren. Als de taak al wordt uitgevoerd, of is gepauzeerd of uitgesteld, verandert de knop in Weergeven. Snelle scan: opent het dialoogvenster Snelle scan en start de scan. Volledige scan: opent het dialoogvenster Volledige scan en start de scan. Aangepaste scan: opent het dialoogvenster Aangepaste scan en start de scan. Standaard clientupdate: opent het dialoogvenster Update en start de update. Update: opent het dialoogvenster Aangepaste update en start de update. Spiegelen: opent het dialoogvenster Aangepaste Spiegelen en start de replicatie van de opslagplaats. Als u een taak uitvoert voordat u wijzigingen toepast, vraagt de Endpoint Security-client u de instellingen op te slaan. Zie ook Een Volledige scan of Snelle scan uitvoeren op pagina 60 Beveiliging en software handmatig bijwerken op pagina 22 Spiegeltaken configureren, plannen en uitvoeren op pagina 38 Taak toevoegen op pagina 53 Taak toevoegen Hier voegt u aangepaste scan-, spiegel- of updatetaken toe. Optie Naam Selecteer taaktype: Definitie Hiermee geeft u de naam van de taak op. Geeft het type taak op: Aangepaste scan: hiermee wordt een aangepaste scan geconfigureerd en gepland, zoals dagelijkse geheugenscans. Spiegelen: hiermee worden de bijgewerkte inhouds- en engine-bestanden van de eerst toegankelijke opslagplaats gerepliceerd naar een spiegellocatie op uw netwerk. Update: hiermee wordt een update van de inhoudsbestanden, scanengine of het product geconfigureerd en gepland. Zie ook Scantaak toevoegen of Scantaak bewerken op pagina 53 Spiegeltaak toevoegen of Spiegeltaak bewerken op pagina 55 Updatetaak toevoegen of Updatetaak bewerken op pagina 54 Scantaak toevoegen of Scantaak bewerken Plan de taak Volledige scan of Snelle scan of configureer en plan aangepaste scantaken die op het clientsysteem worden uitgevoerd. Tabel 2-7 Opties Tabblad Optie Definitie Instellingen Naam Hier worden instellingen voor de scantaak geconfigureerd. De naam van de clienttaak. McAfee Endpoint Security 10.5 Producthandleiding 53

54 2 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen Tabel 2-7 Opties (vervolg) Tabblad Optie Definitie Opties Hiermee worden de instellingen voor scannen op verzoek voor de scan geconfigureerd. U kunt instellingen voor de taken Volledige scan en Snelle scan alleen op systemen in eigen beheer configureren. Schema Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd. Zie ook Scantaken configureren, plannen en uitvoeren op pagina 100 instellingen voor Scan op verzoek configureren op pagina 96 Een Volledige scan of Snelle scan uitvoeren op pagina 60 Bedreigingspreventie: Scannen op verzoek op pagina 128 Schema op pagina 55 Updatetaak toevoegen of Updatetaak bewerken Hier wordt de taak Standaard clientupdate gepland of worden aangepaste updatetaken geconfigureerd en gepland die op het clientsysteem worden uitgevoerd. Tabel 2-8 Opties Tabblad Optie Definitie Instellingen Naam Wat er bijgewerkt moet worden Hiermee configureert u instellingen voor updatetaken. De naam van de clienttaak. Geeft op wat er bijgewerkt moet worden: Veiligheidsinhoud, hotfixes en patches Veiligheidsinhoud Hotfixes en patches U kunt deze instellingen alleen op systemen in eigen beheer configureren. Schema Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd. De taak Standaard clientupdate wordt standaard elke dag om middernacht uitgevoerd en elke vier uur herhaald tot uur. Zie ook Gedeelde instellingen: opties op pagina 42 Het standaardgedrag configureren voor updates op pagina 36 Updatetaken configureren, plannen en uitvoeren op pagina 37 Schema op pagina McAfee Endpoint Security 10.5 Producthandleiding

55 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen 2 Spiegeltaak toevoegen of Spiegeltaak bewerken Hiermee worden spiegeltaken geconfigureerd en gepland. Tabel 2-9 Opties Tabblad Optie Definitie Instellingen Naam De naam van de clienttaak. Schema Spiegellocatie Geeft de map op waar de replicatie van de opslagplaats moet worden bewaard. Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd. Zie ook Spiegeltaken configureren, plannen en uitvoeren op pagina 38 Schema op pagina 55 Schema Scan-, update- en spiegeltaken plannen. Tabel 2-10 Opties Categorie Optie Definitie Schema Schema inschakelen Hiermee wordt ingesteld dat de taak op een opgegeven tijdstip wordt uitgevoerd. (Standaard ingeschakeld) Deze optie moet worden geselecteerd om de taak te plannen. Type planning Frequentie Uitvoeren op Hier wordt het interval opgegeven waarmee de taak moet worden uitgevoerd. Dagelijks: de taak wordt elke dag uitgevoerd, op een bepaald tijdstip, herhaald tussen twee tijdstippen op de dag, of een combinatie van beide. Wekelijks: de taak wordt wekelijks uitgevoerd: op een bepaalde dag van de week, op elke dag van de week, in de weekenden of een combinatie van deze opties op een bepaald tijdstip op de geselecteerde dagen, of herhaald tussen twee tijdstippen op de geselecteerde dagen Maandelijks: de taak wordt maandelijks uitgevoerd op: de opgegeven dag van de maand de opgegeven dagen van de week: eerste, tweede, derde, vierde of laatste Eenmaal: de taak wordt gestart op de datum en tijd die u opgeeft. Bij opstarten van systeem: de taak wordt uitgevoerd wanneer het systeem opstart. Bij aanmelden: de taak wordt gestart wanneer de gebruiker zich de volgende keer aanmeldt. Onmiddellijk uitvoeren: de taak wordt onmiddellijk gestart. Hiermee wordt de frequentie ingesteld voor de taken Dagelijks en Wekelijks. Hiermee worden de dagen van de week opgegeven voor de taken Wekelijks en Maandelijks. McAfee Endpoint Security 10.5 Producthandleiding 55

56 2 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen Tabel 2-10 Opties (vervolg) Categorie Optie Uitvoeren in: Deze taak slechts eenmaal per dag uitvoeren Deze taak uitstellen met Begindatum Einddatum Begintijd Definitie Hiermee worden de maanden van het jaar opgegeven voor de taken Maandelijks. Voert de taak eenmaal per dag uit voor de taken Bij opstarten van systeem en Bij aanmelden. Hiermee wordt het aantal minuten vertraging opgegeven voordat de taken Bij opstarten van systeem en Bij aanmelden worden uitgevoerd. Geeft de begindatum op voor de taken Dagelijks, Wekelijks, Maandelijks en Eenmaal. Geeft de einddatum op voor de taken Dagelijks, Wekelijks en Maandelijks. Specificeert de tijd waarop de taak moet starten. Eenmaal uitvoeren op die tijd: voert de taak eenmaal uit op de opgegeven Begintijd. Uitvoeren op die tijd, en dan herhalen tot: voert de taak uit op de opgegeven Begintijd. Vervolgens wordt de taak telkens na het aantal uren/ minuten dat door Taak starten elk(e) herhaald tot de ingestelde eindtijd. Uitvoeren op die tijd, en dan herhalen: voert de taak uit op de opgegeven Begintijd. Vervolgens wordt de taak telkens na het aantal uren/ minuten dat door Taak starten elk(e) is opgegeven, gestart tot de taak voor de opgegeven periode is uitgevoerd. Opties Account Deze taak uitvoeren volgens Coordinated Universal Time (UTC) Deze taak stoppen als deze langer wordt uitgevoerd dan Randomiseer de begintijd van de taak met: Gemiste taak uitvoeren Gebruikersnaam Wachtwoord Wachtwoord bevestigen Domein Bepaalt of de taak wordt uitgevoerd op basis van de lokale tijd op het beheerde systeem of op basis van de Coordinated Universal Time (UTC). Stopt de taak nadat het opgegeven aantal uren en minuten is verstreken. Als de taak wordt onderbroken voordat deze is voltooid, begint deze de volgende keer dat de taak wordt gestart op het punt waarop de taak is onderbroken. Geeft op dat deze taak willekeurig wordt uitgevoerd binnen de tijdsperiode die u opgeeft. Als deze optie niet wordt opgegeven, wordt de taak op de geplande tijd gestart, ongeacht of andere clienttaken op hetzelfde tijdstip zijn gepland. Hiermee wordt de taak uitgevoerd na het aantal minuten dat is opgegeven door Taak uitstellen met wanneer het beheerde systeem opnieuw is gestart. Hier worden de aanmeldingsgegevens weergegeven die gebruikt moeten worden om de taak uit te voeren. Als er geen aanmeldingsgegevens zijn opgegeven, wordt de taak als de lokale systeembeheerdersaccount uitgevoerd. Geeft de gebruikersaccount op. Geeft het wachtwoord voor de opgegeven gebruikersaccount op. Bevestigt het wachtwoord voor de opgegeven gebruikersaccount. Geeft het domein op voor de opgegeven gebruikersaccount. 56 McAfee Endpoint Security 10.5 Producthandleiding

57 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen 2 Zie ook Scantaak toevoegen of Scantaak bewerken op pagina 53 Updatetaak toevoegen of Updatetaak bewerken op pagina 54 Spiegeltaak toevoegen of Spiegeltaak bewerken op pagina 55 McAfee Endpoint Security 10.5 Producthandleiding 57

58 2 De Endpoint Security-client gebruiken Naslaggids voor Endpoint Security-client-interface Gedeelde instellingen 58 McAfee Endpoint Security 10.5 Producthandleiding

59 3 Bedreigingspreventie 3 Gebruiken Bedreigingspreventie hiermee wordt gecontroleerd op virussen, spyware, ongewenste programma's en andere bedreigingen door items op uw computer te scannen. Inhoud Uw computer scannen op malware Bedreigingsdetecties beheren Items in quarantaine beheren Bedreigingspreventie beheren Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Uw computer scannen op malware Scan uw computer op malware door opties te selecteren in de Endpoint Security-client of Windows Verkenner. Taken Een Volledige scan of Snelle scan uitvoeren op pagina 60 Gebruik de Endpoint Security-client om een handmatige Volledige scan of Snelle scan op uw computer uit te voeren. Een bestand of map scannen op pagina 62 Klik met de rechtermuisknop in Windows Verkenner om een afzonderlijk bestand of afzonderlijke map waarvan u denkt dat deze is geïnfecteerd, onmiddellijk te scannen. Zie ook Typen scans op pagina 59 Typen scans Endpoint Security biedt twee typen scans: scans bij toegang en scans op aanvraag. Scan bij toegang: de beheerder configureert scans bij toegang, die op beheerde computers moeten worden uitgevoerd. Voor computers in eigen beheer kunt u de scanner bij toegang op de pagina Instellingen configureren. Wanneer u bestanden, mappen en programma's opent, onderschept de scanner bij toegang de bewerking en wordt het item gescand op basis van criteria die in de instellingen zijn gedefinieerd. Scan op verzoek McAfee Endpoint Security 10.5 Producthandleiding 59

60 3 Bedreigingspreventie Gebruiken Uw computer scannen op malware Handmatig De beheerder (of gebruiker, voor systemen in eigen beheer) configureert vooraf gedefinieerde of aangepaste scans op verzoek die gebruikers op beheerde computers kunnen uitvoeren. U kunt op elk moment een vooraf gedefinieerde scan op verzoek uitvoeren via de Endpoint Security-client door te klikken op te selecteren: en een scantype Snelle scan: hiermee wordt een snelle controle uitgevoerd van de gebieden van het systeem die het meest vatbaar zijn voor infectie. Volledige scan: voert een grondige controle uit van alle delen van het systeem. (Aanbevolen als u vermoedt dat de computer is geïnfecteerd.) Scan een afzonderlijk bestand of afzonderlijke map per keer via Windows Verkenner door met de rechtermuisknop op het bestand of de map te klikken en Scannen op bedreigingen te selecteren in het pop-upmenu. Configureer een aangepaste scan op verzoek als beheerder vanuit de Endpoint Security-client en voer deze uit: 1 Selecteer Instellingen Gedeelde instellingen Taken. 2 Selecteer de taak die moet worden uitgevoerd. 3 Klik op Nu uitvoeren. Gepland De beheerder (of gebruiker, voor systemen in eigen beheer) configureert en plant scans op aanvraag die op computers moeten worden uitgevoerd. Wanneer een geplande scan op aanvraag op het punt staat om te worden gestart, geeft Endpoint Security een scanbericht onder aan het scherm weer. U kunt de scan onmiddellijk starten of uitstellen, indien dit is ingesteld. Zo kunt u de vooraf gedefinieerde scans op verzoek, Snelle scan en Volledige scan configureren en plannen: 1 Instellingen Scan op verzoek Volledige scan of Snelle scan: hier configureert u scans op verzoek. 2 Instellingen Common Taken om scans op aanvraag te plannen. Zie ook Scantaken configureren, plannen en uitvoeren op pagina 100 Reageren op een scanprompt op pagina 21 Een Volledige scan of Snelle scan uitvoeren Gebruik de Endpoint Security-client om een handmatige Volledige scan of Snelle scan op uw computer uit te voeren. Voordat u begint De module Bedreigingspreventie moet zijn geïnstalleerd. De werking van de Volledige scan en Snelle scan is afhankelijk van hoe de instellingen zijn geconfigureerd. Met beheerdersrechten kunt u deze scans wijzigen en plannen via de instellingen voor Scannen op aanvraag. 60 McAfee Endpoint Security 10.5 Producthandleiding

61 Bedreigingspreventie Gebruiken Uw computer scannen op malware 3 Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op. 3 Klik op de pagina Systeem scannen op Nu scannen voor de scan die u wilt uitvoeren. Volledige scan Snelle scan Hiermee wordt een grondige controle uitgevoerd van alle gebieden van uw systeem (aanbevolen als u denkt dat uw computer is geïnfecteerd). Hiermee wordt een snelle controle uitgevoerd van de gebieden van uw systeem die het meest vatbaar zijn voor infectie. Als er al een scan wordt uitgevoerd, verandert de knop van Nu scannen in Scan weergeven. U ziet misschien ook de knop Detecties bekijken voor de scanner bij toegang, afhankelijk van hoe de instellingen zijn geconfigureerd en of een bedreiging is gedetecteerd. Klik op deze knop om de pagina Scan bij toegang te openen en detecties op elk moment te beheren. Endpoint Security-client geeft de status van de scan op een nieuwe pagina weer. Aanbevolen procedure: de datum bij AMCore-inhoud gemaakt op geeft aan wanneer de inhoud voor het laatst is bijgewerkt. Als de inhoud meer dan twee dagen oud is, werkt dan uw bescherming bij voordat u de scan uitvoert. 4 Klik op knoppen boven aan de statuspagina om de scan te regelen. Scan onderbreken Scan hervatten Scan annuleren Hiermee wordt de scan onderbroken voordat deze wordt voltooid. Hiermee wordt een onderbroken scan hervat. Hiermee wordt een actieve scan geannuleerd. 5 Wanneer de scan is voltooid, worden het aantal gescande pagina's, de verstreken tijd en eventuele detecties weergegeven op de pagina. Detectienaam Type Bestand Ondernomen actie Hier vindt u de naam van de gedetecteerde malware. Hiermee wordt het type bedreiging weergegeven. Hiermee wordt het geïnfecteerde bestand geïdentificeerd. Hiermee wordt de beveiligingsactie beschreven die het laatst is uitgevoerd op het geïnfecteerde bestand: Toegang geweigerd Opgeschoond Verwijderd Geen De detectielijst van scannen op verzoek wordt gewist wanneer de volgende scan op verzoek wordt gestart. McAfee Endpoint Security 10.5 Producthandleiding 61

62 3 Bedreigingspreventie Gebruiken Uw computer scannen op malware 6 Selecteer een detectie in de tabel en klik op Opschonen of Verwijderen om het geïnfecteerde bestand op te schonen of te verwijderen. Afhankelijk van het bedreigingstype en de scaninstellingen zijn deze acties misschien niet beschikbaar. 7 Klik op Sluiten om de pagina te sluiten. Zie ook Typen scans op pagina 59 Namen gedetecteerde items op pagina 66 Beveiliging en software handmatig bijwerken op pagina 22 Bedreigingsdetecties beheren op pagina 63 instellingen voor Scan op verzoek configureren op pagina 96 Scantaken configureren, plannen en uitvoeren op pagina 100 Een bestand of map scannen Klik met de rechtermuisknop in Windows Verkenner om een afzonderlijk bestand of afzonderlijke map waarvan u denkt dat deze is geïnfecteerd, onmiddellijk te scannen. Voordat u begint De module Bedreigingspreventie moet zijn geïnstalleerd. De werking van de Rechtermuisknopscan is afhankelijk van hoe de instellingen zijn geconfigureerd. Met beheerdersrechten kunt u deze scans wijzigen via de instellingen voor Scannen op aanvraag. Procedure 1 Klik in Windows Verkenner met de rechtermuisknop op het bestand of de map dat/die u wilt scannen, en selecteer Scannen op bedreigingen in het pop-upmenu. Endpoint Security-client geeft de status van de scan weer op de pagina Scannen op bedreigingen. 2 Klik op knoppen boven aan de pagina om de scan te regelen. Scan onderbreken Scan hervatten Scan annuleren Hiermee wordt de scan onderbroken voordat deze wordt voltooid. Hiermee wordt een onderbroken scan hervat. Hiermee wordt een actieve scan geannuleerd. 3 Wanneer de scan is voltooid, worden het aantal gescande pagina's, de verstreken tijd en eventuele detecties weergegeven op de pagina. Detectienaam Type Bestand Ondernomen actie Hier vindt u de naam van de gedetecteerde malware. Hiermee wordt het type bedreiging weergegeven. Hiermee wordt het geïnfecteerde bestand geïdentificeerd. Hiermee wordt de beveiligingsactie beschreven die het laatst is uitgevoerd op het geïnfecteerde bestand: Toegang geweigerd Opgeschoond Verwijderd Geen De detectielijst van scannen op verzoek wordt gewist wanneer de volgende scan op verzoek wordt gestart. 62 McAfee Endpoint Security 10.5 Producthandleiding

63 Bedreigingspreventie Gebruiken Bedreigingsdetecties beheren 3 4 Selecteer een detectie in de tabel en klik op Opschonen of Verwijderen om het geïnfecteerde bestand op te schonen of te verwijderen. Afhankelijk van het bedreigingstype en de scaninstellingen zijn deze acties misschien niet beschikbaar. 5 Klik op Sluiten om de pagina te sluiten. Zie ook Typen scans op pagina 59 Namen gedetecteerde items op pagina 66 instellingen voor Scan op verzoek configureren op pagina 96 Bedreigingsdetecties beheren Afhankelijk van hoe instellingen zijn geconfigureerd, kunt u bedreigingsdetecties beheren via Endpoint Security-client. Voordat u begint De module Bedreigingspreventie moet zijn geïnstalleerd. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Nu scannen om de pagina Systeem scannen te openen. 3 Klik via Scan bij toegang op Detecties bekijken. Deze optie is niet beschikbaar als de lijst geen detecties bevat of als de optie voor gebruikersberichten is uitgeschakeld. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. 4 Selecteer een van de volgende opties op de pagina Scan bij toegang. Opschonen Proberen het item (bestand, registervermelding) op te schonen en in quarantaine te plaatsen. Endpoint Security gebruikt informatie in de inhoudsbestanden om bestanden op te schonen. Als het inhoudsbestand niet kan worden opgeschoond of als het bestand niet kan worden gerepareerd, krijgt de scanner er geen toegang toe. In dit geval raadt McAfee aan het bestand te verwijderen uit de quarantaine en het te herstellen vanaf een schone back-upkopie. Verwijderen Item verwijderen Sluiten Hiermee wordt het item dat de bedreiging bevat, verwijderd. Hiermee wordt het item uit de detectielijst verwijderd. Hiermee wordt de scanpagina gesloten. Als er geen actie beschikbaar is voor de bedreiging, is de bijbehorende optie niet beschikbaar. De actie Opschonen is bijvoorbeeld niet beschikbaar als het bestand al is verwijderd. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. McAfee Endpoint Security 10.5 Producthandleiding 63

64 3 Bedreigingspreventie Gebruiken Items in quarantaine beheren Items in quarantaine beheren Endpoint Security slaat items die als bedreigingen worden gedetecteerd, in de Quarantaine op. U kunt acties uitvoeren op de items in de quarantaine. Voordat u begint De module Bedreigingspreventie moet zijn geïnstalleerd. Zo kunt u misschien een item herstellen wanneer u een nieuwere versie van de inhoud hebt gedownload die informatie bevat waarmee de bedreiging wordt opgeschoond. Items in quarantaine kunnen meerdere typen gescande objecten omvatten, zoals bestanden, registers of alles dat Endpoint Security scant op malware. Procedure Selecteer in het menu Actie de optie Help voor hulp. 1 Open de Endpoint Security-client. 2 Klik op Quarantaine aan de linkerkant van de pagina. Op deze pagina staan alle items in de quarantaine. Als de Endpoint Security-client de Quarantainebeheerder niet kan bereiken, wordt een communicatiefoutbericht weergegeven. In dit geval start u het systeem opnieuw op om de pagina Quarantaine weer te geven. 64 McAfee Endpoint Security 10.5 Producthandleiding

65 Bedreigingspreventie Gebruiken Items in quarantaine beheren 3 3 Selecteer een item in het bovenste deelvenster om de details in het onderste deelvenster weer te geven. Als u het volgende wilt doen... De relatieve grootte van de deelvensters wijzigen. Items in de tabel op naam van bedreiging of type sorteren. Gaat u als volgt te werk Klik en versleep het raamwidget tussen de deelvensters. Klik op de tabelkolomkop. 4 Voer acties op geselecteerde items uit op de pagina Quarantaine. Als u het volgende wilt doen... Items verwijderen uit de quarantaine. Volgt u deze stappen Selecteer items, klik op Verwijderen en klik nogmaals op Verwijderen om te bevestigen. Het is niet mogelijk verwijderde items te herstellen. Items herstellen uit de quarantaine. Selecteer items, klik op Herstellen en klik nogmaals op Herstellen om te bevestigen. Endpoint Security herstelt items naar hun oorspronkelijke locatie en verwijdert ze uit de quarantaine. Als een item nog steeds een geldige bedreiging is, zet Endpoint Security het item terug in de quarantaine als het nog eens wordt geopend. Items opnieuw scannen. Een item weergeven in het Gebeurtenislogboek. Meer informatie over een bedreiging ontvangen. Selecteer items en klik op Opnieuw scannen. U wilt een item bijvoorbeeld opnieuw scannen nadat u uw beveiliging hebt bijgewerkt. Als het item niet langer een bedreiging is, kunt u het item naar de oorspronkelijke locatie herstellen en uit de quarantaine verwijderen. Selecteer een item en klik op de koppeling Weergeven in Gebeurtenislogboek in het detailvenster. De pagina Gebeurtenislogboek wordt geopend met de gebeurtenis van het geselecteerde item gemarkeerd. Selecteer een item en klik op de koppeling Meer informatie over deze bedreiging in het detailvenster. Er wordt een nieuw browservenster geopend op de McAfee Labs-website met meer informatie over de bedreiging waardoor het item in quarantaine is geplaatst. Zie ook Namen gedetecteerde items op pagina 66 Items in quarantaine opnieuw scannen op pagina 67 De Endpoint Security-client openen op pagina 19 Beveiliging en software handmatig bijwerken op pagina 22 McAfee Endpoint Security 10.5 Producthandleiding 65

66 3 Bedreigingspreventie Gebruiken Items in quarantaine beheren Namen gedetecteerde items De quarantaine rapporteert bedreigingen per detectienaam. Detectienaam Adware Dialer Grapvirus Keylogger Wachtwoordkraker Mogelijk ongewenste programma s Hulpprogramma voor extern beheer Spyware Stealth Beschrijving Genereert inkomsten door reclame weer te geven die op de gebruiker is gericht. Adware genereert inkomsten via de leverancier of de partners van de leverancier. Bepaalde typen adware kunnen persoonlijke gegevens registreren of verzenden. Leidt internetverbindingen om naar een partij die niet de standaardinternetprovider van de gebruiker is. Dialers zijn ontworpen om in aanvullende verbindingskosten voor een inhoudsprovider, leverancier of andere derde partij te resulteren. Beweert een computer te beschadigen, maar heeft geen schadelijke nettolading of gebruik. Grapvirussen hebben geen effect op beveiliging of privacy, maar kunnen een gebruiker wel schrik aanjagen of alarmeren. Onderschept gegevens tussen de gebruiker die de gegevens invoert en de bedoelde ontvangende toepassing. Trojaanse paarden en mogelijk ongewenste keylogger-programma's kunnen functioneel identiek zijn. McAfee-software detecteert beide typen om privacy-inbraak te voorkomen. Hiermee kan een gebruiker of beheerder kwijtgeraakte of vergeten wachtwoorden voor accounts of gegevensbestanden achterhalen. Wanneer deze programma's door een aanvaller worden gebruikt, kunnen ze toegang verschaffen tot vertrouwelijke informatie en een gevaar vormen voor de veiligheid en privacy. Meestal legitieme software (niet-malware) waarmee de beveiligingsstatus of de privacy van het systeem kan worden gewijzigd. Deze software kan worden gedownload samen met een programma dat de gebruiker wil installeren. De software kan bestaan uit spyware, adware, keyloggers, wachtwoordkrakers, hackergereedschappen en dialer-toepassingen. Geeft een beheerder extern toegang tot een systeem. Deze hulpprogramma's kunnen een aanzienlijke bedreiging van de beveiliging vormen wanneer ze door een aanvaller worden gebruikt. Verzendt persoonlijke gegevens naar een derde partij zonder medeweten of toestemming van de gebruiker. Spyware maakt gebruik van geïnfecteerde computers voor commercieel gewin door: Ongewenste pop-upreclames weer te geven Persoonlijke gegevens te stelen, waaronder financiële gegevens zoals creditcardnummers Toezicht te houden op webactiviteiten voor marketingdoeleinden HTTP-aanvragen om te leiden naar reclamesites Zie ook Mogelijk ongewenst programma. Is een type virus dat probeert detectie door antivirussoftware te voorkomen. Ook bekend als interruptinterceptor. Veel stealth-virussen onderscheppen verzoeken tot schijftoegang. Wanneer een antivirustoepassing vervolgens probeert bestanden of opstartsectors te lezen om het virus te vinden, geeft het virus een 'schone' kopie van het verzochte item weer. Andere virussen verbergen de feitelijke grootte van een geïnfecteerd bestand en geven de grootte van het bestand weer voordat het werd geïnfecteerd. 66 McAfee Endpoint Security 10.5 Producthandleiding

67 Bedreigingspreventie Gebruiken Items in quarantaine beheren 3 Detectienaam Trojaans paard Virus Beschrijving Is een kwaadaardig programma dat zich voordoet als een onschuldige toepassing. Een trojaans paard vermenigvuldigt zichzelf niet, maar brengt schade aan of brengt de beveiliging van uw computer in gevaar. Een computer raakt meestal geïnfecteerd in de volgende situaties: Een gebruiker opent een bijlage met een trojaans paard in een . Een gebruiker downloadt een trojaans paard van een website. Peer-to-peernetwerken. Aangezien trojaanse paarden zichzelf niet vermenigvuldigen, worden ze niet als virussen beschouwd. Bevestigt zich aan schijven of andere bestanden en vermenigvuldigt zichzelf meermaals, meestal zonder medeweten of toestemming van de gebruiker. Sommige virussen bevestigen zich aan bestanden, zodat met het uitvoeren van het geïnfecteerde bestand ook het virus wordt uitgevoerd. Andere virussen blijven in het computergeheugen aanwezig en infecteren bestanden wanneer de computer bestanden opent, wijzigt of maakt. Sommige virussen hebben symptomen, terwijl andere bestanden en computersystemen beschadigen. Items in quarantaine opnieuw scannen Wanneer items in quarantaine opnieuw worden gescand, gebruikt Endpoint Security scaninstellingen ontworpen om maximale beveiliging te bieden. Aanbevolen procedure: we adviseren u om items in quarantaine altijd opnieuw te scannen voordat u ze herstelt. U wilt een item bijvoorbeeld opnieuw scannen nadat u uw beveiliging hebt bijgewerkt. Als het item niet langer een bedreiging is, kunt u het item naar de oorspronkelijke locatie herstellen en uit quarantaine halen. De scanomstandigheden kunnen tussen het moment waarop een bedreiging voor het eerst werd ontdekt en de scan opnieuw werd uitgevoerd veranderen, wat de detectie van in quarantaine geplaatste items kan aantasten. Wanneer in quarantaine geplaatste items opnieuw worden gescand, doet Endpoint Security altijd het volgende: Scant bestanden met MIME-codering. Scant gecomprimeerde archiefbestanden. Voert een McAfee GTI-zoekactie uit op items. Stelt het gevoeligheidsniveau van McAfee GTI in op Zeer hoog. Zelfs als deze scaninstellingen worden gebruikt, wordt een bedreiging mogelijk niet gedetecteerd bij het opnieuw scannen van de items in quarantaine. Als de metagegevens van het item (pad of registerlocatie) bijvoorbeeld worden gewijzigd, wordt het item bij opnieuw scannen mogelijk onterecht aangeduid als veilig, hoewel het item nog steeds geïnfecteerd is. McAfee Endpoint Security 10.5 Producthandleiding 67

68 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Bedreigingspreventie beheren Als beheerder kunt u Bedreigingspreventie-instellingen opgeven om toegang door bedreigingen te voorkomen en scans te configureren. Voor beheerde systemen is het mogelijk dat beleidswijzigingen vanuit McAfee epo wijzigingen vanuit de pagina Instellingen overschrijven. Uitsluitingen configureren Met Bedreigingspreventie kunt u uw beveiliging aanpassen door items op te geven die moeten worden uitgesloten. U moet bijvoorbeeld bepaalde bestandstypen uitsluiten om te voorkomen dat een scanner een bestand vergrendelt dat door een database of server wordt gebruikt. Een database of server kan vastlopen of fouten genereren door een geblokkeerd bestand. Aanbevolen procedure: u kunt de prestaties van scannen bij toegang en op verzoek verbeteren door scanvermijdingstechnieken te gebruiken in plaats van bestands- en mapuitsluitingen toe te voegen. Uitsluitingen op uitsluitingslijsten sluiten elkaar wederzijds uit. Elke uitsluiting wordt apart van de overige uitsluitingen op de lijst geëvalueerd. Als u een map op Windows-systemen wilt uitsluiten, voegt u een backslash (\) toe aan het pad. Voor deze functie... Toegangsbeveiliging Items opgeven om uit te sluiten Processen (voor alle regels of een opgegeven regel) Waar configureren Toegangsbeveiliging Items uitsluiten per Bestandsnaam of pad van proces, MD5-hash of ondertekenaar Exploitpreventie Processen Exploitpreventie Bestandsnaam of pad van proces, MD5-hash of ondertekenaar Alle scans Scan bij toegang Standaard Hoog risico Laag risico Aanroepmodules API's Bestandsnaam of -pad van aanroepmodule, MD5-hash of ondertekenaar API-naam Handtekeningen Handtekening-id Nee Namen gedetecteerde items Mogelijk ongewenste programma's Bestanden, bestandstypen en mappen Bedreigingspreventie Opties Scan bij toegang Detectienaam (hoofdlettergevoelig) Naam Bestandsnaam of -map, bestandstype of bestandsdatum ScriptScan-URL's URL-naam Nee Jokertekens gebruiken? Alles behalve MD5-hash Alles behalve MD5-hash Ja Ja Ja 68 McAfee Endpoint Security 10.5 Producthandleiding

69 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Voor deze functie... Items opgeven om uit te sluiten Waar configureren Items uitsluiten per Jokertekens gebruiken? Scannen op verzoek Snelle scan Volledige scan Bestanden, mappen en stations Scannen op verzoek Bestandsnaam of -map, bestandstype of bestandsdatum Ja Rechtermuisknopscan Aangepast scannen op verzoek Bestanden, mappen en stations Gedeelde instellingen Taken Taak toevoegen Aangepaste scan Bestandsnaam of -map, bestandstype of bestandsdatum Ja Zie ook Jokertekens in uitsluitingen op pagina 69 Jokertekens in uitsluitingen U kunt jokertekens gebruiken voor tekens in scanuitsluitingen van bestanden, mappen, detectienamen en mogelijk ongewenste programma's. Tabel 3-1 Geldige jokertekens Jokerteken Naam Staat voor? Vraagteken Eén teken. Dit jokerteken is alleen van toepassing als het aantal tekens overeenkomt met de lengte van het bestand of de mapnaam. Bijvoorbeeld: met de uitsluiting w?? wordt www uitgesloten, maar niet ww of wwww. * Sterretje Meerdere tekens, met uitzondering van backslash (\). *\ aan het begin van een bestandspad is niet geldig. Gebruik in plaats daarvan **\. Bijvoorbeeld: **\ABC\*. ** Dubbel sterretje Nul of meer van een willekeurig aantal tekens, inclusief backslash (\). Dit jokerteken komt overeen met nul of meer tekens. Bijvoorbeeld: C: \ABC\**\XYZ komt overeen met C:\ABC\DEF\XYZ en C:\ABC\XYZ. Jokertekens kunnen in een pad vóór een backslash (\) staan. Bijvoorbeeld: C:\ABC\*\XYZ komt overeen met C:\ABC\DEF\XYZ. Uitsluitingen op hoofdniveau Bedreigingspreventie vereist een absoluut pad voor uitsluitingen op hoofdniveau. Dit houdt in dat u aan het begin niet de jokertekens \ of?:\ mag gebruiken om overeen te komen met stationsnamen op hoofdniveau. Dit gedrag wijkt af van VirusScan Enterprise. Zie de migratiehandleiding van McAfee Endpoint Security. Met Bedreigingspreventie mogen uitsluitingen voorafgegaan worden door de jokertekens **\ in uitsluitingen op hoofdniveau, zodat deze overeenkomen met stations en submappen. **\test hoort bijvoorbeeld bij: C:\test D:\test McAfee Endpoint Security 10.5 Producthandleiding 69

70 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren C:\temp\test D:\foo\test De toegangspunten van uw systeem beveiligen De eerste verdediging tegen malware is toegangspunten van clientsystemen te beveiligen tegen toegang door bedreigingen. Toegangsbeveiliging voorkomt ongewenste wijzigingen in beheerde computers, door de toegang te beperken tot opgegeven bestanden, shares en registersleutels, registerwaarden, processen en services. Toegangsbeveiliging maakt gebruik van regels die door McAfee en door de gebruiker zijn gedefinieerd (ook wel aangepaste regels genoemd) om toegang tot items te rapporteren of blokkeren. Toegangsbeveiliging vergelijkt een gevraagde actie met de lijst met regels en handelt volgens de regel. Toegangsbeveiliging moet zijn ingeschakeld als u pogingen wilt detecteren om bestanden, shares, registersleutels, registerwaarden, processen en services te openen. Hoe dreigingen toegang krijgen Dreigingen krijgen toegang tot uw systeem via verschillende toegangspunten. Toegangspunt Macro's Uitvoerbare bestanden Scripts IRC-berichten (Internet Relay Chat) Help-bestanden van browsers en toepassingen Combinaties van al deze toegangspunten Beschrijving Als onderdeel van tekstverwerkingsdocumenten en spreadsheettoepassingen. Schijnbaar goedaardige programma's kunnen virussen bevatten naast het verwachte programma. Een aantal veelvoorkomende bestandsextensies zijn.exe,.com,.vbs,.bat,.hlp en.dll. Wanneer scripts zoals ActiveX en JavaScript aan webpagina's en zijn gekoppeld en wordt toegestaan dat ze worden uitgevoerd, kunnen ze virussen bevatten. Bestanden die samen met deze berichten worden verzonden, kunnen gemakkelijk malware bevatten als deel van het bericht. Automatische opstartprocessen kunnen bijvoorbeeld wormen en trojaanse paarden bevatten. Het systeem wordt blootgesteld aan ingesloten virussen en uitvoerbare bestanden wanneer deze Help-bestanden worden gedownload. Grapjes, spelletjes en afbeeldingen die onderdeel zijn van berichten met bijlagen. Zeer goede malwaremakers combineren al deze afleveringsmethoden en sluiten zelfs malware in andere malware in om toegang te krijgen tot de beheerde computer. Hoe Toegangsbeveiliging bedreigingen stopt Toegangsbeveiliging stopt potentiële bedreigingen door acties te beheren die zijn gebaseerd op door McAfee gedefinieerde en door gebruikers gedefinieerde beveiligingsregels. Bedreigingspreventie volgt deze basisprocedure om toegangsbeveiliging te leveren. 70 McAfee Endpoint Security 10.5 Producthandleiding

71 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Wanneer een dreiging optreedt Wanneer een gebruiker of proces actie onderneemt: 1 Toegangsbeveiliging onderzoekt de actie aan de hand van de gedefinieerde regels. 2 Als de actie een regel overtreedt, beheert Toegangsbeveiliging de actie met behulp van de informatie in de geconfigureerde regels. 3 Toegangsbeveiliging werkt het logboekbestand bij en genereert en verzendt een gebeurtenis naar de beheerserver, indien beheerd. Voorbeeld van een toegangsdreiging 1 Een gebruiker downloadt een legitiem programma (geen malware), MyProgram.exe, van internet. 2 De gebruiker start MyProgram.exe en het lijkt alsof het wordt gestart zoals verwacht. 3 MyProgram.exe start een onderliggend proces met de naam AnnoyMe.exe. 4 AnnoyMe.exe probeert het besturingssysteem te wijzigen om te zorgen dat AnnoyMe.exe bij het opstarten altijd wordt geladen. 5 Toegangsbeveiliging verwerkt het verzoek en controleert de actie tegen de bestaande regel voor blokkeren en rapporteren. 6 Toegangsbeveiliging voorkomt dat AnnoyMe.exe het besturingssysteem bewerkt en registreert de details van de poging. Toegangsbeveiliging genereert ook een waarschuwing die naar de beheerserver wordt gestuurd. Toegangsbeveiligingsregels Gebruik door McAfee gedefinieerde en door de gebruiker gedefinieerde toegangsbeveiligingsregels om de toegangspunten van uw systeem te beveiligen. Door McAfee gedefinieerde regels worden altijd toegepast vóór regels die door gebruikers zijn gedefinieerd. Type regel Door McAfee gedefinieerde regels Door gebruiker gedefinieerde regels Beschrijving Deze regels voorkomen dat gangbare bestanden en instellingen worden gewijzigd. U kunt de configuratie van door McAfee gedefinieerde regels inschakelen, uitschakelen en wijzigen, maar u kunt deze regels niet verwijderen. Deze regels vormen een aanvulling op de beveiliging die de door McAfee gedefinieerde regels bieden. Een lege tabel met Uitvoerbare bestanden geeft aan dat de regel op alle uitvoerbare bestanden van toepassing is. Een lege tabel met Gebruikersnamen geeft aan dat de regel op alle gebruikers van toepassing is. U kunt deze regels toevoegen en verwijderen, en configuratie ervan inschakelen, uitschakelen en wijzigen. Uitsluitingen Op regelniveau zijn uitsluitingen en insluitingen van toepassing op de opgegeven regel. Op beleidsniveau zijn uitsluitingen van toepassing op alle regels. Uitsluitingen zijn optioneel. McAfee Endpoint Security 10.5 Producthandleiding 71

72 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Zie ook Processen uitsluiten van Toegangsbeveiliging op pagina 78 Door McAfee gedefinieerde toegangsbeveiligingsregels configureren Door McAfee gedefinieerde regels voorkomen dat gangbare bestanden en instellingen worden gewijzigd. U kunt: Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. De instellingen voor blokkeren en rapporteren wijzigen. Uitgesloten en opgenomen uitvoerbare bestanden aan deze regels toevoegen. U kunt niet: Deze regels verwijderen. De bestanden en instellingen die door deze regels worden beveiligd wijzigen. Subregels of gebruikersnamen aan deze regels toevoegen. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen. de optie Instellingen en klik op Bedreigingspreventie op de pagina 3 Klik op Geavanceerd weergeven. 4 Klik op Toegangsbeveiliging. 5 Wijzig de regel: a Selecteer in de sectie Regels de optie Blokkeren, Rapporteren of beide voor de regel. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Blokkeren of Rapporteren in de eerste rij. Hef de selectie van Blokkeren en Rapporteren op als u de regel wilt uitschakelen. b c d Dubbelklik op een door McAfee gedefinieerde regel om deze te bewerken. Configureer de instellingen op de pagina Door McAfee gedefinieerde regel bewerken. Klik in de sectie Uitvoerbare bestanden op Toevoegen, configureer de instellingen en klik tweemaal op Opslaan om de regel op te slaan. 6 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Door McAfee gedefinieerde regels voor toegangsbeveiliging op pagina 73 Aanmelden als beheerder op pagina 26 Processen uitsluiten van Toegangsbeveiliging op pagina McAfee Endpoint Security 10.5 Producthandleiding

73 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Door McAfee gedefinieerde regels voor toegangsbeveiliging U kunt door McAfee gedefinieerde toegangsbeveiligingsregels gebruiken als u uw computer wilt beveiligen tegen ongewenste wijzigingen. Door McAfee gedefinieerde regel Browsers starten bestanden vanuit de map Gedownloade programmabestanden Registratie van bestandsextensies wijzigen Beschrijving Voorkomt dat software via de webbrowser wordt geïnstalleerd. Omdat deze regel ook het installeren van legitieme software kan blokkeren, is het raadzaam de toepassing te installeren voordat u deze regel inschakelt of het installatieproces als een uitsluiting toe te voegen. Deze regel is ingesteld om standaard te Rapporteren. Deze regel voorkomt dat adware en spyware uitvoerbare bestanden vanuit deze map installeren en uitvoeren. Hiermee worden de registersleutels onder HKEY_CLASSES_ROOT beveiligd waar bestandsextensies zijn geregistreerd. Deze regel voorkomt dat malware de bestandsextensieregistraties wijzigt zodat malware op de achtergrond kan worden uitgevoerd. Aanbevolen procedure: schakel deze regel uit wanneer u geldige toepassingen installeert die bestandsextensieregistraties in het register wijzigen. Deze regel is een strenger alternatief voor.exe en andere extensies van uitvoerbare bestanden hijacken. Gebruiksrechtbeleid wijzigen Hiermee worden registerwaarden beschermd die Windows-beveiligingsgegevens bevatten. Deze regel voorkomt dat wormen accounts wijzigen die beheerdersrechten hebben. Nieuwe uitvoerbare bestanden maken in de map Program Files Hiermee wordt voorkomen dat nieuwe uitvoerbare bestanden in de map Program Files worden gemaakt. Deze regel voorkomt dat adware en spyware nieuwe EXE- en DLL-bestanden maken en nieuwe uitvoerbare bestanden in de map Program Files installeren. Aanbevolen procedure: het is raadzaam toepassingen te installeren voordat u deze regel inschakelt of de geblokkeerde processen op de lijst met uitsluitingen plaatst. Nieuwe uitvoerbare bestanden maken in de Windows-map Voorkomt het maken van bestanden uit alle processen, niet alleen via het netwerk. Deze regel voorkomt het maken van EXE- en DLL-bestanden in de Windows-map. Aanbevolen procedure: voeg processen die bestanden in de Windows-map plaatsen, toe aan de lijst met uitsluitingen. Register-editor en Taakbeheer uitschakelen Hiermee worden Windows-registervermeldingen beveiligd, omdat wordt voorkomen dat de Register-editor en Taakbeheer worden uitgeschakeld. Schakel in geval van een uitbraak deze regel uit om het register te kunnen wijzigen, of open Taakbeheer om actieve processen te stoppen. McAfee Endpoint Security 10.5 Producthandleiding 73

74 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Door McAfee gedefinieerde regel Scripts door Windows-scripthost (CScript.exe of Wscript.exe) uitvoeren vanuit algemene gebruikersmappen.exe of andere uitvoerbare extensies hijacken Browser-helpobjecten of shell-extensies installeren Beschrijving Hiermee wordt voorkomen dat de Windows-scripthost VBScript- en JavaScript-scripts uitvoert in alle mappen met 'temp' (tijdelijk) in de naam. Deze regel beschermt tegen veel trojaanse paarden en verdachte webinstallatiemethoden die worden gebruikt door adware- en spyware-toepassingen. Deze regel kan voorkomen dat legitieme scripts en toepassingen van derden worden geïnstalleerd of uitgevoerd. Hiermee worden.exe,.bat en andere uitvoerbare registersleutels onder HKEY_CLASSES_ROOT beschermd. Deze regel voorkomt dat malware registersleutels wijzigt om het virus uit te voeren wanneer een ander uitvoerbaar bestand wordt uitgevoerd. Deze regel is een minder streng alternatief voor Registratie van bestandsextensies wijzigen. Hiermee wordt voorkomen dat adware, spyware en trojaanse paarden die worden geïnstalleerd als browser-helpobjecten, op de hostcomputer worden geïnstalleerd. Deze regel voorkomt dat adware en spyware op systemen wordt geïnstalleerd. Aanbevolen procedure: als legitieme aangepaste toepassingen of toepassingen van derden deze objecten mogen installeren, moet u ze aan de lijst met uitsluitingen toevoegen. Na installatie kunt u de regel opnieuw inschakelen, omdat niet wordt voorkomen dat geïnstalleerde browser-helpobjecten werken. Installatie van nieuwe CLSID's, APPID's en TYPELIB's Hiermee wordt de installatie of registratie van nieuwe COM-servers voorkomen. Deze regel beschermt tegen adware- en spywareprogramma's die zichzelf installeren als COM-invoegtoepassing in Internet Explorer of Microsoft Office-toepassingen. Aanbevolen procedure: sta legitieme toepassingen die COM-invoegtoepassingen registreren, inclusief enkele algemene toepassingen zoals Adobe Flash, toe door deze toe te voegen aan de lijst met uitsluitingen. Windows-kernprocessen bewerken Internet Explorer-instellingen wijzigen Hiermee wordt voorkomen dat bestanden worden gemaakt of uitgevoerd met de meest voorkomende vervalste namen. Deze regel voorkomt dat virussen en trojaanse paarden worden uitgevoerd onder de naam van een Windows-proces. Deze regel sluit authentieke Windows-bestanden uit. Hiermee wordt voorkomen dat processen instellingen in Internet Explorer wijzigen. Deze regel voorkomt dat trojaanse paarden, adware en spyware op de startpagina browserinstellingen wijzigen, zoals de startpagina wijzigen of Favorieten installeren. 74 McAfee Endpoint Security 10.5 Producthandleiding

75 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Door McAfee gedefinieerde regel Netwerkinstellingen wijzigen Beschrijving Deze regel voorkomt dat processen die niet worden weergegeven op de lijst met uitsluitingen, de netwerkinstellingen van een systeem wijzigen. Deze regel beschermt u tegen Layered Service Providers die gegevens zoals uw browseractiviteiten overdragen, door netwerkverkeer te registreren en naar externe sites te sturen. Aanbevolen procedure: voeg processen die netwerkinstellingen moeten wijzigen toe aan de lijst met uitzonderingen of schakel de regel uit wanneer wijzigingen worden aangebracht. Registreren dat programma's automatisch worden uitgevoerd Blokkeert adware, spyware, trojaanse paarden en virussen die zichzelf proberen te registreren en steeds worden geladen wanneer het systeem opnieuw wordt opgestart. Deze regel voorkomt dat processen die niet op de lijst met uitsluitingen staan, processen registreren die worden uitgevoerd wanneer een systeem opnieuw wordt opgestart. Aanbevolen procedure: voeg legitieme toepassingen toe aan de lijst met uitsluitingen of installeer ze voordat deze regel wordt ingeschakeld. Lokale bestanden of mappen op afstand openen Automatisch uitvoerbare bestanden op afstand maken Bestanden of mappen op afstand maken of wijzigen Hiermee wordt lees- en schrijftoegang voor externe computers op de computer geblokkeerd. Deze regel voorkomt dat een worm die van share naar share gaat, zich kan verspreiden. In een standaardomgeving is deze regel geschikt voor werkstations, maar niet servers, en alleen wanneer computers actief worden aangevallen. Als een computer wordt beheerd door er bestanden naar te duwen, voorkomt deze regel dat er updates of patches worden geïnstalleerd. Deze regel heeft geen effect op de beheerfuncties van McAfee epo. Hiermee wordt voorkomen dat andere computers een verbinding maken en automatisch uitvoerbare bestanden (autorun.inf) maken of wijzigen. Dergelijke bestanden worden gebruikt om automatisch programmatypen te starten, meestal set-upbestanden op cd's. Deze regel voorkomt dat spyware en adware op cd's worden uitgevoerd. Deze regel is geselecteerd om standaard te Blokkeren en Rapporteren. Hiermee wordt schrijftoegang tot alle shares geblokkeerd. Deze regel is nuttig bij een uitbraak, omdat schrijftoegang wordt geblokkeerd en de verspreiding van een infectie wordt beperkt. De regel blokkeert malware die anders het gebruik van de computer of een netwerk in ernstige mate zou beperken. In een standaardomgeving is deze regel geschikt voor werkstations, maar niet servers, en alleen wanneer computers actief worden aangevallen. Als een computer wordt beheerd door er bestanden naar te duwen, voorkomt deze regel dat er updates of patches worden geïnstalleerd. Deze regel heeft geen effect op de beheerfuncties van McAfee epo. Portable Executable-, INI- en PIF-bestandstypen en kernsysteemlocaties op afstand maken of wijzigen Hiermee wordt voorkomen dat andere computers een verbinding maken en uitvoerbare bestanden wijzigen, zoals bestanden in de Windows-map. Deze regel is alleen van toepassing op bestandstypen die gewoonlijk worden geïnfecteerd door virussen. Deze regel beschermt tegen zich snel verspreidende wormen of virussen, die via open of beheershares door een netwerk gaan. McAfee Endpoint Security 10.5 Producthandleiding 75

76 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Door McAfee gedefinieerde regel Bestanden uitvoeren vanuit algemene gebruikersmappen Bestanden in algemene gebruikersmappen uitvoeren door algemene programma's Beschrijving Hiermee wordt voorkomen dat uitvoerbare bestanden worden uitgevoerd of gestart vanuit een map met 'temp' (tijdelijk) in de naam. Deze regel beschermt tegen malware die wordt opgeslagen en uitgevoerd via een tijdelijke map van de gebruiker of het systeem. Dergelijke malware kan bijvoorbeeld bestaan uit uitvoerbare bijlagen in en gedownloade programma's. Hoewel deze regel de beste bescherming biedt, kan het gebeuren dat legitieme toepassingen niet kunnen worden geïnstalleerd. Voorkomt dat toepassingen software vanuit de browser of de client installeren. Deze regel voorkomt dat bijlagen en uitvoerbare bestanden worden uitgevoerd op webpagina's. Aanbevolen procedure: als u een toepassing wilt installeren die de map Temp gebruikt, voegt u het proces toe aan de lijst met uitsluitingen. Zie ook Door McAfee gedefinieerde toegangsbeveiligingsregels configureren op pagina 72 Door de gebruiker gedefinieerde regels voor Toegangsbeveiliging configureren Door de gebruiker gedefinieerde regels vormen een aanvulling op de beveiliging die de door McAfee gedefinieerde regels bieden. U kunt deze regels toevoegen en verwijderen, en configuratie ervan inschakelen, uitschakelen en wijzigen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Aanbevolen procedure: zie PD25203 voor informatie over het maken van toegangsbeveiligingsregels als bescherming tegen ransomware. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen. de optie Instellingen en klik op Bedreigingspreventie op de pagina 3 Klik op Geavanceerd weergeven. 4 Klik op Toegangsbeveiliging. 5 Maak de regel: klik in de sectie Regels op Toevoegen. 76 McAfee Endpoint Security 10.5 Producthandleiding

77 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Configureer de instellingen op de pagina Regel toevoegen. a b c Klik in de sectie Uitvoerbare bestanden op Toevoegen, configureer de eigenschappen van het uitvoerbare bestand en klik op Opslaan. Een lege tabel met Uitvoerbare bestanden geeft aan dat de regel op alle uitvoerbare bestanden van toepassing is. Klik in de sectie Gebruikersnamen op Toevoegen en configureer de eigenschappen van de gebruikersnaam. Een lege tabel met Gebruikersnamen geeft aan dat de regel op alle gebruikers van toepassing is. Klik in de sectie Subregels op Toevoegen en configureer vervolgens eigenschappen voor subregels. Aanbevolen procedure: om te voorkomen dat de prestaties minder worden, moet u de bewerking Lezen niet selecteren. Klik in de sectie Doelen op Toevoegen, configureer doelgegevens en klik tweemaal op Opslaan. 6 Selecteer in de sectie Regels de optie Blokkeren, Rapporteren of beide voor de regel. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Blokkeren of Rapporteren in de eerste rij. Hef de selectie van Blokkeren en Rapporteren op als u de regel wilt uitschakelen. 7 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Processen uitsluiten van Toegangsbeveiliging op pagina 78 Hoe doelen in subregels van Toegangsbeveiliging worden geëvalueerd Elk doel wordt toegevoegd met de instructie Opnemen of Uitsluiten. McAfee Endpoint Security 10.5 Producthandleiding 77

78 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Wanneer u een systeemgebeurtenis evalueert op basis van een subregel, gaat de subregel naar waar als: Minstens één instructie voor Opnemen evalueert naar waar. en Alle instructies voor Uitsluiten evalueren naar onwaar. Uitsluiten krijgt voorrang op Opnemen. Enkele voorbeelden: Als één subregel het bestand C:\marketing\jjansen zowel in- als uitsluit, wordt de subregel niet geactiveerd. Als een subregel alle bestanden opneemt maar het bestand C:\marketing\jjansen uitsluit, wordt de subregel geactiveerd als het bestand niet C:\marketing\jjansen is. Als een subregel het bestand C:\marketing\* opneemt, maar het bestand C:\marketing\jjansen uitsluit, wordt de subregel wel voor C:\marketing\iedereen, maar niet voor C:\marketing\jjansen geactiveerd. Processen uitsluiten van Toegangsbeveiliging Als een vertrouwd programma wordt geblokkeerd, sluit dan het proces uit door een uitsluiting op basis van beleid of regels te maken. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen. de optie Instellingen en klik op Bedreigingspreventie op de pagina 3 Klik op Geavanceerd weergeven. 4 Klik op Toegangsbeveiliging. 5 Verifieer dat Toegangsbeveiliging is ingeschakeld. 6 Voer een van de volgende handelingen uit: 78 McAfee Endpoint Security 10.5 Producthandleiding

79 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Als u het volgende wilt doen... Processen uitsluiten voor alle regels. Gaat u als volgt te werk... 1 Klik in de sectie Uitsluitingen op Toevoegen om processen toe te voegen die van alle regels moeten worden uitgesloten. 2 Configureer de eigenschappen van de uitvoerbare bestanden op de pagina Uitvoerbaar bestand toevoegen. 3 Klik op Opslaan en vervolgens op Toepassen om de instellingen op te slaan. Geef de processen voor insluiting of uitsluiting op in een door de gebruiker gedefinieerde regel. 1 Bewerk een bestaande door de gebruiker gedefinieerde regel of voeg een regel toe. 2 Klik op de pagina Regel toevoegen of Regel bewerken in de sectie Uitvoerbare bestanden op Toevoegen om een uitvoerbaar bestand toe te voegen dat u wilt uit- of insluiten. 3 Op de pagina Uitvoerbaar bestand toevoegen configureert u de eigenschappen van het uitvoerbare bestand en geeft u op of u het uitvoerbare bestand wilt opnemen of uitsluiten. 4 Klik tweemaal op Opslaan en vervolgens op Toepassen om de instellingen op te slaan. Misbruik van bufferoverloop blokkeren Exploitpreventie voorkomt dat willekeurige code wordt uitgevoerd via onrechtmatig gebruik van bufferoverloop. Deze functie controleert API-aanroepen van de gebruikersmodus en stelt vast of deze aanroepen het gevolg van een bufferoverloop zijn. Als een inbreuk wordt gedetecteerd, wordt er informatie vastgelegd in het activiteitenlogboek, weergegeven op het clientsysteem en naar de beheerserver gestuurd, indien geconfigureerd. Bedreigingspreventie gebruikt het inhoudsbestand van Exploitpreventie om toepassingen te beschermen zoals Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word en MSN Messenger. Host Intrusion Prevention 8.0 kan op hetzelfde systeem worden geïnstalleerd als Endpoint Security Als McAfee Host IPS ingeschakeld is, wordt Exploitpreventie uitgeschakeld, ook al is deze ingeschakeld in de beleidsinstellingen. Hoe bufferoverloopmisbruik plaatsvindt Aanvallers kunnen bufferoverloop misbruiken om uitvoerbare code te implementeren door de buffer met een vaste grootte, die is gereserveerd voor een invoerproces, te laten overlopen. Met deze code kan de aanvaller de doelcomputer overnemen of de gegevens schade toebrengen. Een groot percentage van alle malwareaanvallen zijn bufferoverloopaanvallen die proberen om aangrenzend geheugen in de stackframe te overschrijven. Er zijn twee soorten misbruik van bufferoverloop: Stackaanvallen: gebruiken de stackgeheugenobjecten om gebruikersinvoer op te slaan (komen het meeste voor). Heapaanvallen: overspoelen de geheugenruimte die is gereserveerd voor een programma (komt weinig voor). McAfee Endpoint Security 10.5 Producthandleiding 79

80 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Het stackgeheugenobject met vaste grootte is leeg en gereed voor invoer van de gebruiker. Wanneer een programma invoer van de gebruiker ontvangt, worden de gegevens boven op de stack opgeslagen en wordt een geheugenretouradres toegewezen. Wanneer de stack wordt verwerkt, wordt de invoer van de gebruiker verzonden naar het retouradres dat is opgegeven door het programma. Hieronder wordt een stack-gebaseerde bufferoverloopaanval beschreven: 1 De stack laten overlopen. Wanneer het programma wordt geschreven, wordt een bepaalde hoeveelheid geheugenruimte gereserveerd voor de gegevens. De stack loopt over als de gegevens die worden geschreven, een grotere omvang hebben dan de ruimte die hiervoor is gereserveerd in de geheugenstack. Dit is alleen een probleem als dit in combinatie met schadelijke invoer gebeurt. 2 Misbruik maken van de overloop. Het programma wacht op invoer van de gebruiker. Als de aanvaller een uitvoerbare opdracht invoert die groter is dan de stackgrootte, wordt die opdracht buiten de gereserveerde ruimte opgeslagen. 3 De malware uitvoeren. De opdracht wordt niet automatisch uitgevoerd wanneer de stackbufferruimte wordt overschreden. Het programma loopt eerst vast vanwege de bufferoverloop. Als de aanvaller een geheugenretouradres heeft opgegeven dat verwijst naar de schadelijke opdracht, probeert het programma te herstellen door het retouradres te gebruiken. Als het retouradres een geldig adres is, wordt de schadelijke opdracht uitgevoerd. 4 Misbruik maken van de machtigingen. De malware wordt nu uitgevoerd met dezelfde machtigingen als de beschadigde toepassing. Aangezien programma's meestal in kernelmodus worden uitgevoerd, of met machtigingen die van een serviceaccount zijn overgenomen, krijgt de aanvaller nu volledige controle over het besturingssysteem. Handtekeningen en hoe ze werken Exploitpreventiehandtekeningen zijn verzamelingen met regels die een gedrag vergelijken met bekende aanvallen en vervolgens een actie uitvoeren wanneer een overeenkomst is gedetecteerd. McAfee levert handtekeningen in inhoudsupdates voor exploitpreventie. Handtekeningen beschermen specifieke toepassingen. Deze zijn gedefinieerd in de lijst Toepassingsbeveiligingregels. Wanneer een aanval wordt gedetecteerd, kan het gedrag dat door de aanval is geïnitieerd door exploitpreventie worden gestopt. Wanneer het inhoudsbestand voor exploitpreventie wordt bijgewerkt, wordt de lijst met handtekeningen indien nodig bijgewerkt. U kunt de actie-instellingen van deze handtekeningen wijzigen, maar het is niet mogelijk om handtekeningen toe te voegen, te verwijderen of anderszins te wijzigen. U kunt aangepaste toegangsbeveiligingsregels maken als u specifieke bestanden, shares, registersleutels, registerwaarden, processen en services wilt beschermen. Acties Een actie is de handeling die door exploitpreventie wordt uitgevoerd wanneer een handtekening wordt geactiveerd. Blokkeren: de bewerking wordt voorkomen. Rapporteren: de bewerking wordt toegestaan en de gebeurtenis wordt gerapporteerd. 80 McAfee Endpoint Security 10.5 Producthandleiding

81 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Als geen van beide opties is geselecteerd, wordt de handtekening uitgeschakeld. Exploitpreventie staat de bewerking toe en de gebeurtenis wordt niet gerapporteerd. Het inhoudsbestand van exploitpreventie stelt de actie voor handtekeningen automatisch in op basis van de ernstigheidsgraad. U kunt de actie voor een specifieke handtekening wijzigen in de sectie Handtekeningen van de instellingen voor Exploitpreventie. Alle wijzigingen die u in de acties voor de handtekening aanbrengt, gelden voor alle inhoudsupdates. Gedragsregels Gedragsregels blokkeren zero-day aanvallen en handhaven een juiste werking van het besturingssysteem en toepassingen. Heuristische gedragsregels definiëren een profiel van legitieme activiteiten. Activiteiten die niet overeenkomen met deze regels worden beschouwd als verdacht en roepen een reactie op. Zo zou een gedragsregel kunnen stellen dat alleen webserverprocessen toegang hebben tot HTML-bestanden. Als een ander proces toegang probeert te krijgen tot een HTML-bestand, voert exploitpreventie de opgegeven actie uit. Dit type bescherming, toepassing-afscherming genoemd, voorkomt dat toepassingen en hun gegevens in gevaar worden gebracht en dat toepassingen worden gebruikt om andere toepassingen aan te vallen. Gedragsregels blokkeren ook misbruik van bufferoverloop door te voorkomen dat code wordt uitgevoerd als gevolg van een aanval via bufferoverloop, een van de meest voorkomende aanvalsmethoden. Ernstigheidsgraden Elke handtekening heeft een standaard ernstigheidsgraad, waarmee het potentiële gevaar van een aanval wordt beschreven. Hoog: handtekeningen die bescherming bieden tegen duidelijk herkenbare beveiligingsbedreigingen of schadelijke acties. De meeste van deze handtekeningen zijn specifiek voor herkenbare exploits en zijn doorgaans van nature niet op gedrag gebaseerd. Om te voorkomen dat systemen worden blootgesteld aan exploitaanvallen, stelt u handtekeningen met ernstigheidsgraad Hoog op elke host in op Blokkeren. Gemiddeld: handtekeningen die van nature op gedrag zijn gebaseerd en die voorkomen dat toepassingen buiten hun omgeving functioneren (relevant voor clients die webservers en Microsoft SQL Server 2000 beschermen). Aanbevolen procedure: stel op belangrijke servers handtekeningen met een ernstigheidsgraad van Gemiddeldna fijnafstelling in op Blokkeren. Laag: handtekeningen die van nature op gedrag zijn gebaseerd en die toepassingen afschermen. Afschermen betekent het vergrendelen van toepassing- en systeembronnen zodat ze niet kunnen worden gewijzigd. Door handtekeningen met de ernstigheidsgraad Laag in te stellen op Blokkeren, verhoogt u de systeemveiligheid, maar dit vereist wel extra fijnafstelling. Informatief: geeft een wijziging in de systeemconfiguratie aan die mogelijk een beveiligingsrisico is of een poging om toegang te krijgen tot gevoelige systeemgegevens. Gebeurtenissen op dit niveau doen zich tijdens normale systeemactiviteiten voor en wijzen in het algemeen niet op een aanval. Uitgeschakeld: een lijst met handtekeningen die zijn uitgeschakeld in het inhoudsbestand van Exploitpreventie. U kunt handtekeningen met de ernstigheidsgraad Uitgeschakeld niet inschakelen. McAfee Endpoint Security 10.5 Producthandleiding 81

82 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Regels voor toepassingsbeveiliging en de werking ervan Regel voor toepassingsbeveiliging bepalen welke uitvoerbare bestanden worden bewaakt voor exploitpreventiehandtekeningen. Als een uitvoerbaar bestand niet in de lijst staat, wordt het niet bewaakt. Exploitpreventiehandtekeningen komen in twee klassen voor: Bufferoverloophandtekeningen bieden geheugenbescherming door de geheugenruimte te bewaken die door de processen wordt gebruikt. API-handtekeningen bewaken API-aanroepen tussen de processen die in de gebruikersmodus worden uitgevoerd en de kernel. De exploitpreventie-inhoud die door McAfee wordt verstrekt, bevat een lijst met beschermde toepassingen. In Bedreigingspreventie worden deze toepassingen weergegeven in de sectie Toepassingsbeveiligingsregels van de instellingen voor exploitpreventie. Als u de bescherming up-to-date wilt houden met de inhoud van exploitpreventie, vervangt u de door McAfee gedefinieerde toepassingsbeveiligingsregels in de instellingen voor exploitpreventie door de meest recente toepassingsbeveiligingsregels. U kunt de insluitingsstatus van de door McAfee gedefinieerde toepassingsbeveiligingsregels in- of uitschakelen, verwijderen en wijzigen. Daarnaast kunt u uw eigen toepassingsbeveiligingsregels maken en dupliceren. Alle wijzigingen die u in deze regels aanbrengt, gelden voor alle inhoudsupdates. Als de lijst tegenstrijdige toepassingsbeveiligingsregels bevat, hebben regels met de Insluitingsstatus Uitsluiten voorrang op die met de insluitingsstatus Insluiten. In Endpoint Security-client wordt een lijst weergegeven van alle onbeschermde toepassingen, niet alleen de toepassingen die op dat moment op het clientsysteem worden uitgevoerd. Dit werkt anders dan in McAfee Host IPS. In beheerde systemen worden toepassingsbeveiligingsregels die op de Endpoint Security-client zijn gemaakt, niet verzonden naar McAfee epo. Ze worden mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert. Instellingen voor Exploitpreventie configureren Om te voorkomen dat toepassingen willekeurige code op het clientsysteem uitvoeren, kunt u Exploitpreventie-uitsluitingen, door McAfee gedefinieerde handtekeningen en regels voor toepassingsbeveiliging configureren. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. U kunt de actie instellen voor door McAfee gedefinieerde handtekeningen. U kunt de opnamestatus van door McAfee gedefinieerde regels voor toepassingsbeveiliging inschakelen, uitschakelen, verwijderen en wijzigen. U kunt ook uw eigen regels voor toepassingsbeveiliging maken en dupliceren. Alle wijzigingen die u in deze regels aanbrengt, gelden voor alle inhoudsupdates. Voor een lijst met processen die worden beschermd door Exploitpreventie raadpleegt u KB McAfee Endpoint Security 10.5 Producthandleiding

83 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen. de optie Instellingen en klik op Bedreigingspreventie op de pagina 3 Klik op Geavanceerd weergeven. 4 Klik op Exploitpreventie. 5 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 26 Processen uitsluiten voor Exploitpreventie Als een vertrouwd programma wordt geblokkeerd, kunt u een uitsluiting maken om het uit te sluiten voor Exploitpreventie. U kunt het proces uitsluiten op procesnaam, aanroepmodule, API of handtekening-id. U kunt ook regels voor toepassingsbeveiliging maken om processen in of uit te sluiten voor bescherming. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen. de optie Instellingen en klik op Bedreigingspreventie op de pagina 3 Klik op Geavanceerd weergeven. 4 Klik op Exploitpreventie. 5 Controleer of Exploitpreventie is ingeschakeld. 6 Voer een van de volgende handelingen uit: McAfee Endpoint Security 10.5 Producthandleiding 83

84 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Als u het volgende wilt doen... Processen uitsluiten voor alle regels. Gaat u als volgt te werk... 1 Klik in de sectie Uitsluitingen op Toevoegen. 2 Configureer de uitsluitingseigenschappen op de pagina Uitsluiting toevoegen. 3 Klik op Opslaan en vervolgens op Toepassen om de instellingen op te slaan. Geef de processen voor insluiting of uitsluiting op in een door de gebruiker gedefinieerde regel voor toepassingsbeveiliging. 1 Bewerk een bestaande door de gebruiker gedefinieerde regel voor toepassingsbeveiliging of voeg een regel toe. 2 Klik op de pagina Regel toevoegen of Regel bewerken in de sectie Uitvoerbare bestanden op Toevoegen om uitvoerbare bestanden toe te voegen die u wilt uit- of insluiten. 3 Configureer de eigenschappen van de uitvoerbare bestanden op de pagina Uitvoerbaar bestand toevoegen. 4 Klik tweemaal op Opslaan en vervolgens op Toepassen om de instellingen op te slaan. Uitsluitingen voor Exploitpreventie en de werking ervan Een onterecht als verdacht aangeduid item betekent dat gedrag dat een normaal onderdeel is van de werkroutine van een gebruiker, wordt geïnterpreteerd als een aanval. U kunt onterecht als verdacht aangeduide items voorkomen door een uitsluiting voor dat gedrag te maken. Met uitsluitingen kunt u het aantal onterechte waarschuwingen voor verdachte items verminderen door nodeloze gegevensstromen te verminderen en ervoor te zorgen dat waarschuwingen op terechte beveiligingsbedreigingen wijzen. Tijdens het testen van clients herkent een client bijvoorbeeld de handtekening 'Java - het maken van verdachte bestanden in de map'. Deze handtekening geeft aan dat de Java-toepassing een bestand probeert te maken in de Windows-map Temp. Een gebeurtenis die door deze handtekening wordt geactiveerd, is reden voor alarm, omdat misschien een Java-toepassing is gebruikt om malware te downloaden naar de Temp-map van Windows. In dat geval kunt u redelijkerwijs denken dat er een trojaans paard is neergezet. Als het echter normaal is dat het proces bestanden maakt in Temp, bijvoorbeeld wanneer een bestand wordt opgeslagen dat de Java-toepassing gebruikt, kunt u een uitsluiting maken om deze actie toe te staan. Wanneer er een overtreding van exploitpreventie plaatsvindt, bevat de gebeurtenis een bijbehorend proces en een mogelijke aanroepmodule, API of handtekening. Als u vermoedt dat de overtreding onterecht is aangeduid als verdacht, kunt u een uitsluiting toevoegen die een of meer van deze identificatoren toestaat. In beheerde systemen worden uitsluitingen voor exploitpreventie die op de Endpoint Security-client zijn gemaakt, niet verzonden naar McAfee epo. Ze worden mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert. Configureer algemene uitsluitingen in het Exploitpreventiebeleid in McAfee epo. Houd bij het opgeven van uitsluitingen rekening met het volgende: Elke uitsluiting staat op zich: meerdere uitsluitingen zijn verbonden via een logische OF zodat, als één uitsluiting overeenkomt, de overtreding niet kan plaatsvinden. U moet minimaal een Proces, Aanroepmodule, API of handtekening opgeven. 84 McAfee Endpoint Security 10.5 Producthandleiding

85 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Uitsluitingen met Aanroepmodule of API gelden niet voor Windows Preventie van gegevensuitvoering. Voor Proces-uitsluitingen moet u minimaal één identificator opgeven: bestandsnaam of -pad, MD5-hash of Ondertekenaar. Als u meer identificatoren opgeeft, zijn alle identificatorenvan toepassing. Als u meer identificatoren opgeeft en als deze niet overeenkomen (de bestandsnaam en MD5-hash zijn bijvoorbeeld niet op hetzelfde bestand van toepassing), is de uitsluiting ongeldig. Uitsluitingen zijn hoofdletterongevoelig. Jokertekens zijn overal voor toegestaan, behalve voor MD5-hash. Als u handtekening-id's opneemt in een uitsluiting, is de uitsluiting alleen van toepassing op het proces in de opgegeven handtekeningen. Als u geen handtekening-id's opneemt, is de uitsluiting van toepassing op het proces in alle handtekeningen. Mogelijk ongewenste programma's detecteren Om de beheerde computer te beschermen tegen mogelijk ongewenste programma's geeft u bestanden en programma's op die in uw omgeving moeten worden gedetecteerd, en schakelt u detectie in. Mogelijk ongewenste programma's zijn softwareprogramma's die ergerlijk zijn of de beveiligingsstaat of het privacybeleid van het systeem kunnen wijzigen. Mogelijk ongewenste programma's kunnen worden ingesloten in programma's die gebruikers opzettelijk downloaden. Spyware, adware en dialers zijn voorbeelden van ongewenste programma's. 1 Geef aangepaste ongewenste programma's op die de scanner bij toegang en scanner op verzoek moeten detecteren in de instellingen voor de Opties. 2 Schakel detectie van ongewenste programma's in en geef in de volgende instellingen op welke acties moeten worden uitgevoerd wanneer detecties plaatsvinden: instellingen voor Scannen bij toegang instellingen voor Scannen op aanvraag Zie ook Aangepaste, mogelijk ongewenste programma's opgeven die gedetecteerd moeten worden op pagina 85 Detecties en reacties van mogelijk ongewenste programma's inschakelen en configureren op pagina 86 Configureer de instellingen voor Scannen bij toegang op pagina 88 instellingen voor Scan op verzoek configureren op pagina 96 Aangepaste, mogelijk ongewenste programma's opgeven die gedetecteerd moeten worden Bij de instellingen voor Opties kunt u aanvullende programma's opgeven die de scanners bij toegang en op verzoek als ongewenste programma s moeten behandelen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. De scanners detecteren de programma's die u opgeeft, evenals de programma's die in de AMCore-inhoudsbestanden zijn opgegeven. McAfee Endpoint Security 10.5 Producthandleiding 85

86 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen. de optie Instellingen en klik op Bedreigingspreventie op de pagina 3 Klik op Geavanceerd weergeven. 4 Klik op Opties. 5 Vanuit Detecties van mogelijk ongewenste programma's: Klik op Toevoegen om de naam en desgewenst een beschrijving op te geven van een bestand of programma dat als mogelijk ongewenst programma moet worden behandeld. De Beschrijving wordt weergegeven als de detectienaam wanneer er een detectie plaatsvindt. Dubbelklik op de naam of beschrijving van een bestaand, mogelijk ongewenst programma om deze te wijzigen. Selecteer een bestaand, mogelijk ongewenst programma en klik op Verwijderen om het uit de lijst te halen. Zie ook Aanmelden als beheerder op pagina 26 Detecties en reacties van mogelijk ongewenste programma's inschakelen en configureren Schakel de scanners bij toegang en op verzoek in om mogelijk ongewenste programma's te detecteren en op te geven hoe moet worden gereageerd wanneer een mogelijk ongewenst programma wordt aangetroffen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Configureer de instellingen voor Scannen bij toegang. a Open de Endpoint Security-client. b Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen. de optie Instellingen en klik op Bedreigingspreventie op de pagina c d Klik op Geavanceerd weergeven. Klik op Scannen bij toegang. 86 McAfee Endpoint Security 10.5 Producthandleiding

87 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 e f Selecteer onder Procesinstellingen voor elk type Scannen bij toegang de optie Ongewenste programma's detecteren. Configureer onder Acties hoe op ongewenste programma's moet worden gereageerd. 2 Configureer instellingen voor Scannen op aanvraag. a Open de Endpoint Security-client. b Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen. de optie Instellingen en klik op Bedreigingspreventie op de pagina c d e Klik op Geavanceerd weergeven. Klik op Scannen op aanvraag. Voor elk scantype (Volledige scan, Snelle scan en Rechtermuisknopscan): Selecteer Ongewenste programma's detecteren. Configureer onder Acties hoe op ongewenste programma's moet worden gereageerd. Zie ook Configureer de instellingen voor Scannen bij toegang op pagina 88 instellingen voor Scan op verzoek configureren op pagina 96 Aanmelden als beheerder op pagina 26 Algemene scaninstellingen configureren Als u instellingen wilt opgeven die van toepassing zijn op scans bij toegang, configureert u de instellingen voor Opties van Bedreigingspreventie. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Deze instellingen zijn van toepassing op alle scans: Quarantainelocatie en het aantal dagen dat items in quarantaine bewaard moeten blijven voordat ze automatisch worden verwijderd Detectienamen die moeten worden uitgesloten van scans Mogelijk ongewenste programma's die moeten worden gedetecteerd, zoals spyware en adware telemetriefeedback op basis van McAfee GTI Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen. de optie Instellingen en klik op Bedreigingspreventie op de pagina 3 Klik op Geavanceerd weergeven. McAfee Endpoint Security 10.5 Producthandleiding 87

88 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 4 Klik op Opties. 5 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 26 Configureer de instellingen voor Scannen bij toegang op pagina 88 instellingen voor Scan op verzoek configureren op pagina 96 Werking van McAfee GTI Als u McAfee GTI voor de scan bij toegang of op verzoek inschakelt, gebruikt de scanner heuristische methoden om op verdachte bestanden te controleren. De scanner dient vingerafdrukken of voorbeelden, of hashes, in bij een centrale databaseserver die gehost wordt door McAfee Labs om te bepalen of het malware betreft. Door hashes in te dienen is detectie mogelijk eerder beschikbaar dan de volgende update van inhoudsbestanden, wanneer McAfee Labs de update publiceert. U kunt het gevoeligheidsniveau instellen dat McAfee GTI gebruikt om te bepalen of een gedetecteerd voorbeeld malware is. Hoe hoger het gevoeligheidsniveau, hoe hoger het aantal malwaredetecties. Als u meer detecties toestaat, kunt u echter ook meer resultaten krijgen die onterecht als verdacht zijn aangeduid. Het gevoeligheidsniveau van McAfee GTI is standaard ingesteld op Gemiddeld. U configureert het gevoeligheidsniveau voor elke scanner in de instellingen voor Scan bij toegang en Scannen op verzoek. U kunt instellen dat Endpoint Security een proxyserver moet gebruiken om McAfee GTI-reputatiegegevens op te halen in de instellingen van de Gedeelde instellingengedeelde instellingen. Voor veelgestelde vragen over McAfee GTI raadpleegt u KB Configureer de instellingen voor Scannen bij toegang Met deze instellingen worden de scans bij toegang ingeschakeld en geconfigureerd, waaronder het opgeven van berichten die moeten worden verstuurd wanneer een bedreiging wordt gedetecteerd, en andere instellingen op basis van procestype. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Raadpleeg de Help-functie voor de instellingen van de Opties van Bedreigingspreventie voor meer scanconfiguratieopties. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie Instellingen. de optie Instellingen en klik op Bedreigingspreventie op de pagina 3 Klik op Geavanceerd weergeven. 88 McAfee Endpoint Security 10.5 Producthandleiding

89 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 4 Klik op Scannen bij toegang. 5 Selecteer Scannen bij toegang inschakelen om de scanner bij toegang in te schakelen en opties te bewerken. 6 Geef op of standaardinstellingen voor alle processen moeten worden gebruikt, of verschillende instellingen voor processen met hoog en laag risico. Standaardinstellingen: configureer de scaninstellingen op het tabblad Standaard. Verschillende instellingen op basis van procestype: selecteer het tabblad (Standaard, Hoog risico of Laag risico) en configureer de scaninstellingen voor elk procestype. 7 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 26 Algemene scaninstellingen configureren op pagina 87 Kiezen wanneer u bestanden wilt scannen met de scanner bij toegang U kunt opgeven wanneer de scanner bij toegang bestanden controleert: bij schrijven naar schijf, bij lezen van schijf of u kunt McAfee laten bepalen wanneer er wordt gescand. Bij schrijven naar schijf (Schrijfscan) Met de optie Schrijfscan wordt toegang tot bestanden niet voorkomen, niet vóór noch na het scannen. Het systeem blijft dus kwetsbaar voor een aanval. Wanneer u Schrijfscan selecteert, wordt het bestand pas door de scanner gecontroleerd nadat u het naar schijf hebt geschreven en hebt gesloten. Een proces kan een bestand dus lezen, openen of uitvoeren voordat de scanner een schrijfscan uitvoert, wat tot infectie kan leiden. Bovendien kunnen er SHARING_VIOLATION-fouten in toepassingen optreden als een toepassing toegang tot een bestand probeert te krijgen nadat het bestand is weggeschreven maar terwijl er een schrijfscan wordt uitgevoerd. De scan bij toegang controleert bestanden wanneer: Ze op de lokale vaste schijf worden gemaakt of gewijzigd. Ze vanuit een toegewezen schijf worden gekopieerd of verplaatst naar de lokale vaste schijf (als de optie Op netwerkstations ook is ingeschakeld). Ze vanuit de lokale vaste schijf worden gekopieerd of verplaatst naar een toegewezen schijf (als de optie Op netwerkstations ook is ingeschakeld). Bij lezen van schijf (Leesscan) Aanbevolen procedure: schakel de optie Leesscan in als bescherming tegen uitbraken. Als u Leesscan selecteert, weigert de scanner de toegang tot bestanden, tenzij is vastgesteld dat de bestanden schoon zijn. De scan bij toegang controleert bestanden wanneer: Ze van de lokale vaste schijf worden gelezen, geopend of uitgevoerd. Ze worden gelezen, geopend of uitgevoerd vanuit toegewezen netwerkstation (als de optie Op netwerkstations ook is ingeschakeld). McAfee Endpoint Security 10.5 Producthandleiding 89

90 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Laat McAfee beslissen Aanbevolen procedure: schakel deze optie in voor de beste beveiliging en de beste prestaties. Wanneer u deze optie selecteert, maakt de scan bij toegang gebruik van vertrouwenslogica om het scannen te optimaliseren. Vertrouwenslogica verbetert uw beveiliging en prestaties door middel van scanvermijding, het vermijden van onnodig scannen. Stel McAfee analyseert een aantal programma's en constateert dat deze betrouwbaar zijn. Als McAfee verifieert dat deze programma's niet zijn gemanipuleerd, voert de scanner mogelijk een beperkte of geoptimaliseerde scan uit. Werking van Scan bij toegang De scanner bij toegang kan op het laagste niveau met het systeem geïntegreerd worden (Bestandssysteem Filterstation) en scant bestanden wanneer ze voor het eerst in het systeem binnenkomen. Wanneer er detecties zijn, stuurt de scan bij toegang meldingen naar de service-interface. De scanner op verzoek gebruikt heuristische methodes om te controleren op verdachte bestanden als u McAfee GTI instelt. Windows 8 en 10: als de scanner een bedreiging detecteert in het pad van een geïnstalleerde Windows Store-app, wordt de bedreiging door de scanner gemarkeerd als gemanipuleerd. Windows voegt de markering Gemanipuleerd toe aan de tegel voor de app. Wanneer u probeert de app uit te voeren, stelt Windows u op de hoogte van het probleem en wordt u naar de Windows Store geleid om de app opnieuw te installeren. De scanner gebruikt deze criteria om te bepalen of een item moet worden gescand: De extensie van het bestand komt overeen met de configuratie. De bestandsgegevens staan niet in de algemene scancache. Het bestand is niet uitgesloten of eerder gescand. Leesscan Als Leesscan is geselecteerd en er wordt geprobeerd een bestand te lezen, te openen of uit te voeren: 1 De scanner blokkeert het verzoekt. 2 De scanner bepaalt of het item moet worden gescand. Als het bestand niet gescand hoeft te worden, wordt het bestand door de scanner gedeblokkeerd, worden de bestandsgegevens in de cache opgeslagen en mag de bewerking worden uitgevoerd. Als het bestand moet worden gescand, wordt het bestand door de scanengine gescand waarbij het wordt vergeleken met handtekeningen in het geladen AMCore-inhoudsbestand. Als het bestand schoon is, wordt het bestand door de scanner gedeblokkeerd en wordt het resultaat opgeslagen in de cache. Als het bestand een bedreiging bevat, weigert de scanner de toegang tot het bestand en wordt de geconfigureerde actie uitgevoerd. 90 McAfee Endpoint Security 10.5 Producthandleiding

91 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Is de actie bijvoorbeeld om het bestand op te schonen, dan zal de scanner het volgende doen: 1 Informatie in het momenteel ingestelde AMCore-inhoudsbestand gebruiken om het bestand op te schonen. 2 De resultaten in het activiteitenlogboek registreren. 3 De gebruiker waarschuwen dat er een bedreiging in het bestand is gedetecteerd en de te nemen actie aanvragen (het bestand opschonen of verwijderen). Schrijfscan De scanner bestudeert het bestand pas nadat het naar schijf is geschreven en is gesloten. Als Schrijfscan is geselecteerd en een bestand naar schijf wordt geschreven: 1 De scanner bepaalt of het item moet worden gescand. a Als het bestand niet gescand hoeft te worden, worden de bestandsgegevens in de cache opgeslagen en mag de bewerking worden uitgevoerd. b Als het bestand moet worden gescand, wordt het bestand door de scanengine gescand waarbij het wordt vergeleken met handtekeningen in het geladen AMCore-inhoudsbestand. Als het bestand schoon is, wordt het resultaat door de scanner opgeslagen in de cache. Als het bestand een bedreiging bevat, neemt de scanner de geconfigureerde actie. De scanner weigert de toegang tot het bestand niet. McAfee Endpoint Security 10.5 Producthandleiding 91

92 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Wanneer wordt de algemene scancache leeggemaakt? De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. Bedreigingspreventie leegt de algemene scancache en scant alle bestanden opnieuw wanneer: De configuratie voor Scan bij toegang verandert. Er een ExtraDAT-bestand wordt toegevoegd. Het systeem start op in de veilige modus. Als het proces is ondertekend door een vertrouwd certificaat, wordt het ondertekenende certificaat opgeslagen in de cache waar het blijft staan, ook wanneer het systeem opnieuw wordt opgestart. Het is niet waarschijnlijk dat de scanner bestanden scant die worden benaderd door processen die zijn ondertekend door een vertrouwd certificaat in de cache. Dit leidt tot scanvermijding en betere prestaties. 92 McAfee Endpoint Security 10.5 Producthandleiding

93 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Aanbevolen procedures: de impact van scans bij toegang voor gebruikers verminderen Om de impact te beperken die scans bij toegang op een systeem hebben, selecteert u opties die invloed op de systeemprestaties vermijden en waarmee alleen wordt gescand wat echt gescand moet worden. Prestatieopties kiezen Sommige scanopties hebben een negatieve invloed op de systeemprestaties. Selecteer deze opties daarom alleen als u specifieke items moet scannen. Schakel deze opties in of uit in de instellingen voor Scan bij toegang. Processen scannen bij opstarten van service en update van inhoud: hiermee worden alle processen die zich in het geheugen bevinden telkens opnieuw gescand: U scans bij toegang opnieuw inschakelt. Inhoudsbestanden worden bijgewerkt. Het systeem wordt opgestart. Het McShield.exe-proces wordt gestart. omdat sommige programma's of uitvoerbare bestanden automatisch worden gestart wanneer u het systeem start, kunt u deze optie uitschakelen om de opstarttijd van het systeem te versnellen. Vertrouwde installatieprogramma's scannen: hiermee worden MSI-bestanden gescand (geïnstalleerd door msiexec.exe en ondertekend door McAfee of Microsoft) of servicebestanden van vertrouwde Windows-installatieprogramma's. schakel deze optie uit als u de prestaties van installatieprogramma's voor grote Microsoft-applicaties wilt verbeteren. Alleen scannen wat gescand moet worden Het scannen van sommige typen bestanden kan een negatieve invloed hebben op de systeemprestaties. Selecteer deze opties daarom alleen als u specifieke typen bestanden moet scannen. Schakel deze opties in of uit in de sectie Wat scannen van de instellingen voor Scan bij toegang. Op netwerkstations: hiermee worden bronnen op toegewezen netwerkstation gescand. schakel deze optie uit als u de prestaties wilt verbeteren. Geopend voor back-ups: Scant bestanden wanneer deze worden geopend door back-upsoftware. voor de meeste omgevingen hoeft u deze instelling niet in te schakelen. Gecomprimeerde archiefbestanden: Onderzoekt de inhoud van archiefbestanden (gecomprimeerde bestanden), waaronder JAR-bestanden. Zelfs als een archief geïnfecteerde bestanden bevat, kunnen de bestanden het systeem pas infecteren wanneer het archief wordt uitgepakt. Wanneer het archief is uitgepakt, worden de bestanden gecontroleerd door Scan bij toegang en wordt eventuele malware gedetecteerd. Scriptscan ScriptScan is een Browser-helpobject dat JavaScript- en VBScript-code op schadelijk scripts controleert voordat deze worden uitgevoerd. Als het script schoon is, wordt het aan JavaScript of McAfee Endpoint Security 10.5 Producthandleiding 93

94 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren VBScript doorgegeven voor afhandeling. Als ScriptScan een schadelijk script detecteert, wordt de uitvoering van het script geblokkeerd. ScriptScan controleert scripts alleen voor Internet Explorer. Hiermee worden niet alle scripts in het systeem gecontroleerd en scripts worden evenmin gecontroleerd met wscript.exe of cscript.exe. Als Bedreigingspreventie is geïnstalleerd, wordt een prompt weergegeven om een of meer McAfee-invoegtoepassingen in te schakelen wanneer u Internet Explorer de eerste keer start. Als ScriptScan scripts moet scannen: De instelling Scriptscan inschakelen moet geselecteerd zijn. ScriptScan is standaard uitgeschakeld. De invoegtoepassing moet zijn ingeschakeld in de browser. Als ScriptScan is uitgeschakeld wanneer Internet Explorer wordt gestart en vervolgens wordt ingeschakeld, worden geen schadelijke scripts in dat exemplaar van Internet Explorer gedetecteerd. Nadat u ScriptScan hebt ingeschakeld, moet u Internet Explorer opnieuw starten zodat schadelijke scripts worden gedetecteerd. Als het script schoon is, geeft de scriptscanner het script door aan de native Windows Script Host. Als het script een mogelijke bedreiging bevat, voorkomt de scriptscanner dat het script wordt uitgevoerd. Aanbevolen procedures: ScriptScan-uitsluitingen Bij scriptintensieve websites en webtoepassingen verslechteren mogelijk de prestaties wanneer ScriptScan is ingeschakeld. In plaats van ScriptScan uit te schakelen, is het beter om URL-uitsluitingen voor vertrouwde sites op te geven, zoals sites met een intranet of webtoepassingen waarvan u weet dat ze veilig zijn. U kunt subtekenreeksen of gedeeltelijke URL's voor ScriptScan-uitsluitingen opgeven. Als een uitsluitingstekenreeks overeenkomt met een deel van de URL, wordt de URL uitgesloten. 94 McAfee Endpoint Security 10.5 Producthandleiding

95 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Voor URL-uitsluitingen geldt het volgende: Jokertekens worden niet ondersteund. Completere URL's leveren betere prestaties. Neem geen poortnummers op. Gebruik alleen FQDN- (Fully Qualified Domain Names - volledig gekwalificeerde domeinnamen) en NetBIOS-namen. Scaninstellingen voor processen bepalen Voer dit proces uit om te bepalen of u verschillende instellingen op basis van procestype moet configureren. McAfee Endpoint Security 10.5 Producthandleiding 95

96 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren instellingen voor Scan op verzoek configureren Met deze instellingen wordt de werking van drie, vooraf gedefinieerde scans op aanvraag geconfigureerd: Volledige scan, Snelle scan en Rechtermuisknopscan. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Raadpleeg de Help-functie voor de instellingen van de Opties van Bedreigingspreventie voor meer scanconfiguratieopties. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Bedreigingspreventie op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Threat Prevention op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Scannen op aanvraag. 5 Klik op een tabblad om instellingen voor de opgegeven scan te configureren. Volledige scan Snelle scan Rechtermuisknopscan 6 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 26 Algemene scaninstellingen configureren op pagina 87 Scantaken configureren, plannen en uitvoeren op pagina 100 Hoe scannen op verzoek werkt De scanner op verzoek doorzoekt bestanden, mappen, geheugen en register op malware die mogelijk uw computer heeft geïnfecteerd. U besluit wanneer en hoe vaak de scans op aanvraag plaatsvinden. U kunt systemen handmatig scannen, op een geplande tijd, of tijdens opstarten. 1 De scanner op verzoek gebruikt de volgende criteria om te bepalen of het item moet worden gescand: De extensie van het bestand komt overeen met de configuratie. Het bestand is niet in de cache geplaatst, uitgesloten of eerder gescand (als de scanner de scancache gebruikt). De scanner op verzoek gebruikt heuristische methodes om te controleren op verdachte bestanden als u McAfee GTI instelt. 96 McAfee Endpoint Security 10.5 Producthandleiding

97 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 2 Als het bestand voldoet aan de scancriteria, vergelijkt de scanner de informatie in het item met bekende malwaresignaturen in de momenteel ingestelde AMCore-inhoudsbestanden. Als er niets in het bestand wordt gevonden, wordt het resultaat in de cache opgeslagen en controleert de scanner het volgende item. Als het bestand een bedreiging bevat, neemt de scanner de geconfigureerde actie. Is de actie bijvoorbeeld om het bestand op te schonen, dan zal de scanner het volgende doen: 1 Informatie in het momenteel ingestelde AMCore-inhoudsbestand gebruiken om het bestand op te schonen. 2 De resultaten in het activiteitenlogboek registreren. 3 De gebruiker waarschuwen dat er een bedreiging in het bestand is gedetecteerd met vermelding van de itemnaam en genomen actie. Windows 8 en 10: als de scanner een bedreiging detecteert in het pad van een geïnstalleerde Windows Store-app, wordt de bedreiging door de scanner gemarkeerd als gemanipuleerd. Windows voegt de markering Gemanipuleerd toe aan de tegel voor de app. Wanneer u probeert de app uit te voeren, stelt Windows u op de hoogte van het probleem en wordt u naar de Windows Store geleid om de app opnieuw te installeren. 3 Als het item niet aan de scanvereisten voldoet, wordt het niet door de scanner gecontroleerd. De scanner gaat dan door totdat alle gegevens zijn gescand. De detectielijst van scannen op verzoek wordt gewist wanneer de volgende scan op verzoek wordt gestart. Bedreigingspreventie leegt de algemene scancache en scant alle bestanden opnieuw wanneer een Extra.DAT wordt geladen. McAfee Endpoint Security 10.5 Producthandleiding 97

98 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren Aanbevolen procedures: de impact van scans op verzoek op gebruikers beperken Om de impact te beperken die scans op verzoek op een systeem hebben, selecteert u opties die invloed op de systeemprestaties vermijden en waarmee alleen wordt gescand wat echt gescand moet worden. Alleen scannen wanneer het systeem niet actief is De gemakkelijkste manier om ervoor te zorgen dat de scan geen impact heeft op gebruikers, is de scan op verzoek alleen uit te voeren wanneer de computer niet actief is. Als deze optie is ingeschakeld, onderbreekt Bedreigingspreventie de scan wanneer schijf- of gebruikersactiviteit wordt gedetecteerd, zoals gebruik van toetsenbord of muis. Bedreigingspreventie hervat de scan wanneer de gebruiker drie minuten lang geen toegang tot het systeem heeft gezocht. Kunt u desgewenst: Gebruikers toestaan scans te hervatten die door gebruikersactiviteit zijn onderbroken. De scan zo instellen dat deze alleen wordt uitgevoerd wanneer het systeem niet actief is. Schakel deze optie alleen uit op serversystemen en systemen waartoe gebruikers toegang krijgen via Verbinding met extern bureaublad. Bedreigingspreventie is afhankelijk van McTray om te bepalen of het systeem inactief is. Op systemen die alleen toegankelijk zijn via Verbinding met extern bureaublad, wordt McTray niet gestart en wordt de scan op verzoek nooit uitgevoerd. Gebruikers kunnen dit probleem oplossen door McTray (standaard in C:\Program Files\McAfee\Agent\mctray.exe) handmatig te starten wanneer zij zich aanmelden via Verbinding met extern bureaublad. Selecteer Alleen scannen wanneer het systeem niet actief is in de sectie Prestaties van het tabblad Instellingen van de Scantaak. Scans automatisch onderbreken U kunt scans op aanvraag onderbreken wanneer het systeem op de accu werkt om prestaties te verbeteren. U kunt de scan ook onderbreken wanneer een toepassing, zoals een browser, mediaspeler of presentatie, op volledig scherm wordt uitgevoerd. De scan wordt hervat zodra het systeem op netvoeding wordt aangesloten of de modus voor volledig scherm wordt uitgeschakeld. Niet scannen als het systeem op batterijvermogen draait Niet scannen als het systeem in presentatiemodus staat (beschikbaar wanneer Op elk moment scannen is ingeschakeld) Selecteer deze opties in de sectie Prestaties van het tabblad Instellingen van de Scantaak. Gebruikers toestaan scans uit te stellen Als u Op elk moment scannen selecteert, kunt u gebruikers toestaan geplande scans telkens één uur uit te stellen, tot 24 uur, of onbeperkt. Elk uitstel door een gebruiker kan één uur duren. Als de optie Maximum aantal uren dat gebruiker kan uitstellen bijvoorbeeld op 2 is ingesteld, kan de gebruiker de scan twee keer (twee uur) uitstellen. Als de maximum tijdsduur van het uitstel is verstreken, wordt de scan voortgezet. Als u een onbeperkt uitstel toestaat door de optie op 0 in te stellen, kan de gebruiker de scan voor onbepaalde tijd uitstellen. Selecteer Gebruiker kan scan uitstellen in de sectie Prestaties van het tabblad Instellingen van de Scantaak. 98 McAfee Endpoint Security 10.5 Producthandleiding

99 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Scanactiviteit beperken met incrementele scans Gebruik incrementele, of hervatbare scans om te beperken wanneer scanactiviteit op verzoek plaatsvindt en toch het volledige systeem te scannen in meerdere sessies. Voeg een tijdslimiet aan de geplande scan toe om incrementeel scannen te gebruiken. De scan stopt wanneer de tijdslimiet wordt bereikt. De volgende keer dat deze taak start, wordt deze hervat vanaf het punt in het bestand en de bestandsstructuur waar de vorige scan is gestopt. Selecteer Taak stoppen als deze wordt uitgevoerd gedurende in de sectie Opties van het tabblad Scantaak Planning. Systeemgebruik configureren Met Systeemgebruik kan de hoeveelheid CPU-tijd worden ingesteld die beschikbaar wordt gesteld aan de scanner tijdens de scan. Stel voor systemen met activiteit van eindgebruikers het systeemgebruik in op Laag. Selecteer Systeemgebruik in de sectie Prestaties van het tabblad Instellingen van de Scantaak. Alleen scannen wat gescand moet worden Het scannen van sommige typen bestanden kan een negatieve invloed hebben op de systeemprestaties. Selecteer deze opties daarom alleen als u specifieke typen bestanden moet scannen. Schakel deze opties in of uit in de sectie Wat scannen van het tabblad Instellingen van de Scantaak. Bestanden die zijn gemigreerd naar opslag Sommige offline oplossingen voor gegevensopslag vervangen bestanden door een stub-bestand. Wanneer de scanner een stub-bestand detecteert, wat aangeeft dat het bestand is gemigreerd, herstelt de scanner het bestand naar het lokale systeem voordat de scan wordt hervat. Het herstelproces kan negatieve invloed hebben op de systeemprestaties. Schakel deze optie uit, tenzij het werkelijk noodzakelijk is om bestanden in opslag te scannen. Gecomprimeerde archiefbestanden Zelfs als een archief geïnfecteerde bestanden bevat, kunnen de bestanden het systeem pas infecteren wanneer het archief wordt uitgepakt. Wanneer het archief is uitgepakt, worden de bestanden gecontroleerd door Scan bij toegang en wordt eventuele malware gedetecteerd. Aanbevolen procedure: omdat het scannen van gecomprimeerde archiefbestanden de systeemprestaties negatief kan beïnvloeden, kunt u deze optie uitschakelen als u de systeemprestaties wilt verbeteren. Zie ook instellingen voor Scan op verzoek configureren op pagina 96 Scantaken configureren, plannen en uitvoeren op pagina 100 McAfee Endpoint Security 10.5 Producthandleiding 99

100 3 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren De werking van systeemgebruik De scanner op verzoek gebruikt de instelling Prioriteit instellen in Windows voor de scanprocessen en de prioriteit van threads. Met de systeemgebruikinstelling (beperking) kan het besturingssysteem opgeven hoeveel CPU-tijd de scanner op verzoek krijgt tijdens het scanproces. Als u het systeemgebruik voor de scan instelt op Laag, worden de prestaties voor andere actieve toepassingen verbeterd. De lage instelling is handig voor systemen met activiteit van eindgebruikers. Omgekeerd is het zo dat als u het systeemgebruik instelt op Normaal, de scan sneller wordt voltooid. De normale instelling is handig voor systemen met grote volumes en maar weinig activiteit van eindgebruikers. Elke taak wordt onafhankelijk uitgevoerd, zonder rekening te houden met de beperkingen voor andere taken. Tabel 3-2 Standaardprocesinstellingen Instellingen voor Bedreigingspreventie-proces Laag Lager dan normaal Normaal (standaard) Deze optie... Biedt verbeterde prestaties voor andere actieve toepassingen. Selecteer deze optie voor systemen met activiteit van eindgebruikers. Stelt het systeemgebruik voor de scan in op de standaardwaarde van McAfee epo. Hiermee kan de scan sneller worden uitgevoerd. Selecteer deze optie voor systemen met grote volumes en weinig activiteit van eindgebruikers. Windows-instelling Prioriteit instellen Laag Lager dan normaal Normaal Hoe het scannen van Externe opslag werkt U kunt de scanner op verzoek configureren om de inhoud van bestanden die door Externe opslag worden beheerd, te scannen. Externe opslag controleert de hoeveelheid beschikbare ruimte op het lokale systeem. Wanneer nodig migreert Externe opslag de inhoud (gegevens) uit in aanmerking komende bestanden van het clientsysteem naar een opslagapparaat, zoals een tapestation. Wanneer een gebruiker een bestand opent waarvan de gegevens zijn gemigreerd, haalt Externe opslag de gegevens automatisch op van het opslagapparaat. Selecteer de optie Bestanden scannen die zijn gemigreerd naar de opslag om de scan op verzoek te configureren zodat bestanden worden gescand die Externe opslag beheert. Wanneer de scanner een bestand aantreft met gemigreerde inhoud, wordt het bestand naar het lokale systeem hersteld voordat het wordt gescand. Zie Wat is Externe opslag? voor meer informatie. Scantaken configureren, plannen en uitvoeren U kunt de standaardtaken Volledige scan en Snelle scan plannen of aangepaste scantaken maken via de Endpoint Security-client in de Gedeelde instellingen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. 100 McAfee Endpoint Security 10.5 Producthandleiding

101 Bedreigingspreventie Gebruiken Bedreigingspreventie beheren 3 Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik via Gedeelde instellingen op Taken. 5 Configureer de instellingen voor de scantaak op de pagina. Als u het volgende wilt doen... Een aangepaste scantaak maken. Volgt u deze stappen 1 Klik op Toevoegen. 2 Voer de naam in, selecteer Aangepaste scan in de vervolgkeuzelijst en klik op Volgende. 3 Configureer de instellingen en planning van de scantaak, en klik op OK om de taak op te slaan. Een scantaak wijzigen. Een aangepaste scantaak verwijderen. Een kopie van een scantaak maken. De planning voor een Volledige scan of Snelle scan uitvoeren. Een scantaak uitvoeren. Dubbelklik op de taak, breng uw wijzigingen aan en klik op OK om de taak op te slaan. Selecteer de taak en klik op Verwijderen. 1 Selecteer de taak en klik op Dupliceren. 2 Voer de naam in, configureer de instellingen en klik op OK om de taak op te slaan. 1 Dubbelklik op Volledige scan of Snelle scan. 2 Klik op de tab Planning, wijzig de planning en klik op OK om de taak op te slaan. U kunt instellingen voor de taken Volledige scan en Snelle scan alleen op systemen in eigen beheer configureren. De Volledige scan wordt standaard elke woensdag om 12 uur 's nachts uitgevoerd. De snelle scan wordt dagelijks om 7 uur 's ochtends uitgevoerd. De planningen zijn ingeschakeld. Selecteer de taak en klik op Nu uitvoeren. Als de taak al wordt uitgevoerd, of is gepauzeerd of uitgesteld, verandert de knop in Weergeven. Als u een taak uitvoert voordat u wijzigingen toepast, vraagt de Endpoint Security-client u de instellingen op te slaan. 6 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 26 instellingen voor Scan op verzoek configureren op pagina 96 Een Volledige scan of Snelle scan uitvoeren op pagina 60 McAfee Endpoint Security 10.5 Producthandleiding 101

102 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Biedt contextafhankelijke hulp voor pagina's in de interface van Endpoint Security-client. Inhoud Pagina Quarantaine Bedreigingspreventie: Toegangsbeveiliging Bedreigingspreventie: Exploitpreventie Bedreigingspreventie: Scan bij toegang Bedreigingspreventie: Scannen op verzoek Scanlocaties McAfee GTI Acties Uitsluiting toevoegen of Uitsluiting bewerken Bedreigingspreventie Opties AMCore-inhoud terugzetten Pagina Quarantaine Items in de Quarantaine beheren. Tabel 3-3 Opties Optie Verwijderen Definitie Hiermee worden geselecteerde items uit de quarantaine verwijderd. Het is niet mogelijk verwijderde items te herstellen. Herstellen Opnieuw scannen Hiermee worden items uit de quarantaine hersteld. Endpoint Security herstelt items naar hun oorspronkelijke locatie en verwijdert ze uit de quarantaine. Als een item nog steeds een geldige bedreiging is, zet Endpoint Security het item onmiddellijk terug in de quarantaine. Hiermee worden geselecteerde items in quarantaine opnieuw gescand. Als het item niet langer een bedreiging is, zet Endpoint Security het item terug op de oorspronkelijke locatie en wordt het uit de quarantaine verwijderd. Kolomkop Detectienaam Type Tijd in quarantaine geplaatst Aantal objecten Versie van AMCore-inhoud Status opnieuw scannen Sorteert de quarantainelijst op... Naam van de detectie. Type bedreiging, bijvoorbeeld Trojaans paard of adware. Hoelang het item in quarantaine is geplaatst. Het aantal objecten in de detectie. Het versienummer van de AMCore-inhoud die de bedreiging heeft geïdentificeerd. De status voor opnieuw scannen, als het item opnieuw is gescand: Opgeschoond: bij het opnieuw scannen zijn geen bedreigingen gedetecteerd. Geïnfecteerd: bij het opnieuw scannen heeft Endpoint Security een bedreiging gedetecteerd. Zie ook Items in quarantaine beheren op pagina 64 Namen gedetecteerde items op pagina 66 Items in quarantaine opnieuw scannen op pagina McAfee Endpoint Security 10.5 Producthandleiding

103 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Bedreigingspreventie: Toegangsbeveiliging Beveilig de toegangspunten van uw systeem op basis van geconfigureerde regels. Bij Toegangsbeveiliging wordt een gevraagde actie vergeleken met de lijst met geconfigureerde regels en wordt volgens de regel gehandeld. Aanbevolen procedure: zie PD25203 voor informatie over het maken van toegangsbeveiligingsregels als bescherming tegen ransomware. Tabel 3-4 Opties Sectie Optie Definitie TOEGANGSBEVEILIGING Toegangsbeveiliging inschakelen Hiermee wordt de functie Toegangsbeveiliging ingeschakeld. Tabel 3-5 Geavanceerde opties Sectie Uitsluitingen Regels Optie Beschrijving Hiermee wordt de toegang tot de opgegeven processen, ook wel uitvoerbare bestanden genoemd, voor alle regels toegestaan. Toevoegen: hiermee wordt een proces aan de lijst met uitsluitingen toegevoegd. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. Hiermee worden regels voor Toegangsbeveiliging geconfigureerd. U kunt door McAfee gedefinieerde regels inschakelen, uitschakelen en wijzigen, maar u kunt deze regels niet verwijderen. Toevoegen: hiermee wordt een aangepaste regel gemaakt en aan de lijst toegevoegd. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. (Alleen) blokkeren: hiermee worden toegangspogingen geblokkeerd zonder dat dit wordt geregistreerd. (Alleen) Rapporteren: toegangspogingen worden wel in het logboek geregistreerd, maar niet geblokkeerd. Blokkeren en Rapporteren: toegangspogingen worden geblokkeerd en vastgelegd in een logboek. Aanbevolen procedure: wanneer het volledige effect van een regel niet bekend is, selecteert u Rapporteren, maar niet Blokkeren, om een waarschuwing te ontvangen zonder dat toegangspogingen worden geblokkeerd. Controleer de logboeken en rapporten om te bepalen of toegang moet worden geblokkeerd. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Blokkeren of Rapporteren in de eerste rij. Hef de selectie van Blokkeren en Rapporteren op als u de regel wilt uitschakelen. McAfee Endpoint Security 10.5 Producthandleiding 103

104 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Zie ook Door McAfee gedefinieerde toegangsbeveiligingsregels configureren op pagina 72 Door de gebruiker gedefinieerde regels voor Toegangsbeveiliging configureren op pagina 76 Uitsluiting toevoegen of Uitsluiting bewerken op pagina 114 Pagina Regel toevoegen of Regel bewerken op pagina 104 Door McAfee gedefinieerde regels voor toegangsbeveiliging op pagina 73 Pagina Regel toevoegen of Regel bewerken Hiermee worden door de gebruiker gedefinieerde toegangsbeveiligingregels toegevoegd of bewerkt. Tabel 3-6 Opties Sectie Optie Definitie Opties Naam Hiermee wordt de naam van de regel opgegeven of aangegeven. (Vereist) Actie Geeft acties op voor de regel. (Alleen) blokkeren: hiermee worden toegangspogingen geblokkeerd zonder dat dit wordt geregistreerd. (Alleen) rapporteren: hiermee verschijnen waarschuwingen maar worden toegangspogingen niet geblokkeerd. Blokkeren en Rapporteren: toegangspogingen worden geblokkeerd en vastgelegd in een logboek. Aanbevolen procedure: wanneer het volledige effect van een regel niet bekend is, selecteert u Rapporteren, maar niet Blokkeren, om een waarschuwing te ontvangen zonder dat toegangspogingen worden geblokkeerd. Controleer de logboeken en rapporten om te bepalen of toegang moet worden geblokkeerd. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Blokkeren of Rapporteren in de eerste rij. Hef de selectie van Blokkeren en Rapporteren op als u de regel wilt uitschakelen. Uitvoerbare bestanden Gebruikersnamen Geeft uitvoerbare bestanden op voor de regel. Toevoegen: hiermee wordt een uitvoerbaar bestand gemaakt en aan de lijst toegevoegd. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. Opnamestatus wisselen: Hiermee wordt de inperkingsstatus van het item gewijzigd in Opnemen of Uitsluiten. Hiermee worden gebruikersnamen waarop de regel van toepassing is opgegeven (alleen voor regels die door gebruikers zijn gedefinieerd). Toevoegen: hiermee wordt een gebruikersnaam geselecteerd en aan de lijst toegevoegd. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. Opnamestatus wisselen: Hiermee wordt de inperkingsstatus van het item gewijzigd in Opnemen of Uitsluiten. 104 McAfee Endpoint Security 10.5 Producthandleiding

105 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-6 Opties (vervolg) Sectie Optie Subregels Opmerkingen Definitie Hiermee worden subregels geconfigureerd (alleen voor regels die door gebruikers zijn gedefinieerd). Toevoegen: hiermee wordt een subregel gemaakt en aan de lijst toegevoegd. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. Meer informatie over het item. Zie ook Uitsluiting toevoegen of Uitsluiting bewerken op pagina 114 Pagina Gebruikersnaam toevoegen of Gebruikersnaam bewerken op pagina 105 Pagina Subregel toevoegen of Subregel bewerken op pagina 106 Pagina Gebruikersnaam toevoegen of Gebruikersnaam bewerken De gebruiker waarop de regel van toepassing is toevoegen of bewerken (alleen voor regels die door gebruikers zijn gedefinieerd). Tabel 3-7 Opties Optie Naam Opnamestatus Definitie De naam van de gebruiker waarop de regel van toepassing is. Gebruik de volgende indeling om de gebruiker op te geven: Lokale gebruiker: geldige vermeldingen zijn onder meer: <machine_name>\<local_user_name>.\<local_user_name>.\administrator (voor de lokale beheerder) Domeingebruiker: <domeinnaam>\<naam_van_domeingebruiker> Lokaal systeem: Local\System is het NT AUTHORITY\System-account in het systeem. De opnamestatus voor de gebruiker. Opnemen: de regel wordt geactiveerd als de opgegeven gebruiker het uitvoerbare bestand uitvoert dat in strijd is met een subregel. Uitsluiten: de regel wordt niet geactiveerd als de opgegeven gebruiker het uitvoerbare bestand uitvoert dat in strijd is met een subregel. Zie ook Pagina Regel toevoegen of Regel bewerken op pagina 104 McAfee Endpoint Security 10.5 Producthandleiding 105

106 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Pagina Subregel toevoegen of Subregel bewerken U kunt door gebruiker gedefinieerde subregels voor toegangsbeveiliging toevoegen of bewerken. Tabel 3-8 Opties Optie Naam Type subregel Definitie De naam van de subregel. Geeft het type subregel aan. Wanneer u het subregeltype wijzigt, worden eerder gedefinieerde vermeldingen in de tabel Doelen verwijderd. Bestanden: hiermee wordt een bestand of map beveiligd. Maak bijvoorbeeld een aangepaste regel om pogingen om een Excel-spreadsheet met vertrouwelijke informatie te verwijderen, te blokkeren of rapporteren. Registersleutel: hiermee wordt de opgegeven sleutel beveiligd. Een registersleutel is de container voor de registerwaarde. Bijvoorbeeld HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run. Registerwaarde: hiermee wordt de opgegeven waarde beveiligd. Registerwaarden worden in registersleutels opgeslagen en hebben een andere referentie dan registersleutels. Bijvoorbeeld HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run\Autorun. Processen: beveiligt het opgegeven proces. Maak bijvoorbeeld een aangepaste regel die bewerkingen van een proces blokkeert of rapporteert. Services: beschermt de genoemde service. Maak bijvoorbeeld een aangepaste regel om te voorkomen dat een service wordt gestopt of gestart. 106 McAfee Endpoint Security 10.5 Producthandleiding

107 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-8 Opties (vervolg) Optie Bewerkingen Definitie Geeft aan welke bewerkingen zijn toegestaan met dit type subregel. U moet ten minste één bewerking opgeven voor de subregel. Bestanden: Aanbevolen procedure: om te voorkomen dat de prestaties minder worden, moet u de bewerking Lezen niet selecteren. Kenmerk Alleen lezen of Verborgen wijzigen: het wijzigen van deze kenmerken van bestanden in de opgegeven map wordt dit geblokkeerd of gerapporteerd. Maken: het maken van bestanden in de opgegeven map wordt geblokkeerd of gerapporteerd. Verwijderen: het verwijderen van bestanden in de opgegeven map wordt geblokkeerd of gerapporteerd. Uitvoeren: het uitvoeren van bestanden in de opgegeven map wordt geblokkeerd of gerapporteerd. Machtiging wijzigen: het wijzigen van machtigingen van bestanden in de opgegeven map wordt geblokkeerd of gerapporteerd. Lezen: het lezen van de opgegeven bestanden wordt geblokkeerd of gerapporteerd. Naam wijzigen: het wijzigen van de naam van de opgegeven bestanden wordt geblokkeerd of gerapporteerd. McAfee Endpoint Security 10.5 Producthandleiding 107

108 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-8 Opties (vervolg) Optie Definitie Als het doel Doelbestand is geselecteerd, is Naam wijzigen de enige geldige bewerking. Schrijven: het schrijven naar de opgegeven bestanden wordt geblokkeerd of gerapporteerd. Registersleutel: Schrijven: het schrijven van de opgegeven sleutel wordt geblokkeerd of gerapporteerd. Maken: het maken van de opgegeven sleutel wordt geblokkeerd of gerapporteerd. Verwijderen: het verwijderen van de opgegeven sleutel wordt geblokkeerd of gerapporteerd. Lezen: het lezen van de opgegeven sleutel wordt geblokkeerd of gerapporteerd. Opsommen: de opsomming van de subsleutels voor de opgegeven registersleutel wordt geblokkeerd of gerapporteerd. Laden: het laden van de opgegeven registersleutel en de subsleutels uit het register wordt geblokkeerd of gerapporteerd. Vervangen: het vervangen van de opgegeven registersleutel en de subsleutels door een ander bestand wordt geblokkeerd of gerapporteerd. Herstellen: het opslaan van registerinformatie in een opgegeven bestand en over de opgegeven sleutel te kopiëren, wordt geblokkeerd of gerapporteerd. Machtiging wijzigen: het wijzigen van machtigingen van opgegeven registersleutels en subsleutels wordt geblokkeerd of gerapporteerd. Registerwaarde: Schrijven: het schrijven van de opgegeven waarde wordt geblokkeerd of gerapporteerd. Maken: het maken van de opgegeven waarde wordt geblokkeerd of gerapporteerd. Verwijderen: het verwijderen van de opgegeven waarde wordt geblokkeerd of gerapporteerd. Lezen: het lezen van de opgegeven waarde wordt geblokkeerd of gerapporteerd. Processen Elk toegangsrecht: het openen van het proces met elk toegangsrecht wordt geblokkeerd of gerapporteerd. Thread maken: het openen van het proces met het recht om een thread te maken, wordt geblokkeerd of gerapporteerd. Wijzigen: het openen van het proces met het recht om te wijzigen, wordt geblokkeerd of gerapporteerd. Beëindigen: het openen van het proces met het recht om te beëindigen, wordt geblokkeerd of gerapporteerd. Uitvoeren: de uitvoering van het opgegeven uitvoerbare doelbestand wordt geblokkeerd of gerapporteerd. U moet ten minste één uitvoerbaar doelbestand toevoegen aan de regel. 108 McAfee Endpoint Security 10.5 Producthandleiding

109 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-8 Opties (vervolg) Optie Doelen Definitie Voor de bewerking Uitvoeren wordt een gebeurtenis gegenereerd wanneer wordt geprobeerd om het doelproces uit te voeren. Voor alle andere bewerkingen wordt een gebeurtenis gegenereerd wanneer het doel wordt geopend. Services: Starten: het starten van de service wordt geblokkeerd of gerapporteerd. Stoppen: het stoppen van de service wordt geblokkeerd of gerapporteerd. Onderbreken: het onderbreken van de service wordt geblokkeerd of gerapporteerd. Doorgaan: het hervatten van de service na een onderbreking wordt geblokkeerd of gerapporteerd. Maken: het maken van de service wordt geblokkeerd of gerapporteerd. Verwijderen: het verwijderen van de service wordt geblokkeerd of gerapporteerd. Hardwareprofiel inschakelen: het inschakelen van het hardwareprofiel van de service wordt geblokkeerd of gerapporteerd. Hardwareprofiel uitschakelen: het uitschakelen van het hardwareprofiel van de service wordt geblokkeerd of gerapporteerd. Opstartmodus wijzigen: het wijzigen van de opstartmodus (Opstarten, Systeem, Automatisch, Handmatig, Uitgeschakeld) van de service wordt geblokkeerd of gerapporteerd. Aanmeldingsgegevens wijzigen: het wijzigen van de aanmeldingsgegevens van de service wordt geblokkeerd of gerapporteerd. Toevoegen: de doelen voor de regel opgeven. De doelen zijn afhankelijk van de geselecteerde typen regels. U moet ten minste één doel toevoegen aan de subregel. Klik op Toevoegen, selecteer de opnamestatus en typ of selecteer het doel dat u wilt opnemen of uitsluiten. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Zie ook Pagina Regel toevoegen of Regel bewerken op pagina 104 Doelen op pagina 110 Uitsluiting toevoegen of Uitsluiting bewerken op pagina 114 McAfee Endpoint Security 10.5 Producthandleiding 109

110 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Doelen De opnamestatus en de definitie voor een doel opgeven. Tabel 3-9 Opties Sectie Optie Doelen Als u het subregeltype Bestanden hebt geselecteerd... Definitie Bepaalt of het doel een positieve overeenkomst voor de subregel is. Geeft ook de opnamestatus voor het doel op. Opnemen: geeft aan dat de subregel overeen kan komen met het opgegeven doel. Uitsluiten: geeft aan dat de subregel niet overeen mag komen met het opgegeven doel. Voeg een doel toe met een instructie Opnemen of Uitsluiten. Hiermee wordt de bestandsnaam, de mapnaam, het pad of het schijftype voor een subregel Bestanden opgegeven. Bestandspad: Ga naar het geselecteerde bestand. Doelbestand: Blader naar de naam of het pad van het geselecteerde doelbestand voor een bewerking Naam wijzigen. Als het Doelbestand is geselecteerd, moet (alleen) de bewerking Naam wijzigen worden geselecteerd. Stationstype: selecteer het stationstype van het doel in de vervolgkeuzelijst: Verwisselbaar: bestanden op een USB-station of een ander verwisselbaar station dat is aangesloten op een USB-poort, inclusief stations waarop 110 McAfee Endpoint Security 10.5 Producthandleiding

111 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-9 Opties (vervolg) Sectie Optie Definitie Windows To Go is geïnstalleerd. Dit stationstype omvat geen bestanden op een cd, dvd of diskette. Wanneer u dit stationstype blokkeert, worden ook stations geblokkeerd waarop Windows To Go is geïnstalleerd. Netwerk: bestanden op een netwerkshare Vast: bestanden op de lokale harde schijf of op een andere vaste harde schijf Cd/dvd: bestanden op een cd of dvd Diskette: bestanden op een diskette U kunt de tekens?, * en ** als jokertekens gebruiken. Aanbevolen procedures subregeltype Bestanden Bijvoorbeeld ter bescherming: Een bestand of map met de naam c:\testap: gebruik als doel c:\testap of c:\testap\ De inhoud van een map: gebruik de asterisk als jokerteken: c:\testap\* De inhoud van een map en de bijbehorende submappen: gebruik 2 asterisken: c:\testap\** Systeemomgevingsvariabelen worden ondersteund. Omgevingsvariabelen kunnen in een van de volgende indelingen worden opgegeven: $(EnvVar) - $(SystemDrive), $(SystemRoot) %EnvVar% - %SystemRoot%, %SystemDrive% Niet alle door het systeem gedefinieerde omgevingsvariabelen kunnen worden opgeroepen met de $(var)-syntaxis, met name omgevingsvariabelen die de tekens or bevatten. U kunt de syntaxis %var% gebruiken om dit probleem te voorkomen. Gebruikersomgevingsvariabelen worden niet ondersteund. McAfee Endpoint Security 10.5 Producthandleiding 111

112 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-9 Opties (vervolg) Sectie Optie Als u het subregeltype Registersleutel hebt geselecteerd... Definitie Registersleutels worden met behulp van basissleutels gedefinieerd. De volgende basissleutels worden ondersteund: HKLM of HKEY_LOCAL_MACHINE HKCU of HKEY_CURRENT_USER HKCR of HKEY_CLASSES_ROOT HKCCS komt overeen met HKLM/SYSTEM/CurrentControlSet en HKLM/ SYSTEM/ControlSet00X HKLMS komt overeen met HKLM/Software op 32- en 64-bits systemen, en HKLM/Software/Wow6432Node alleen op 64-bits systemen HKCUS komt overeen met HKCU/Software op 32-bits en 64-bits systemen, en HKCU/Software/Wow6432Node alleen op 64-bits systemen HKULM behandeld als HKLM en HKCU HKULMS behandeld als HKLMS en HKCUS HKALL behandeld als HKLM en HKU U kunt de tekens?, * en ** als jokertekens gebruiken en (pijp) als escapeteken. Aanbevolen procedures subregeltype Registersleutel Bijvoorbeeld ter bescherming: Een registersleutel met de naam HKLM\SOFTWARE\testap: gebruik als doel HKLM\SOFTWARE\testap of HKLM\SOFTWARE\testap\ De inhoud van een registersleutel: gebruik de asterisk als jokerteken: HKLM\SOFTWARE\testap\* De inhoud van een registersleutel en de bijbehorende subsleutels: gebruik 2 asterisken: HKLM\SOFTWARE\testap\** Registersleutels en waarden uit een registersleutel: schakel de bewerking Schrijven in 112 McAfee Endpoint Security 10.5 Producthandleiding

113 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-9 Opties (vervolg) Sectie Optie Als u het subregeltype Registerwaarde hebt geselecteerd... Definitie Registerwaarden worden met behulp van basissleutels gedefinieerd. De volgende basissleutels worden ondersteund: HKLM of HKEY_LOCAL_MACHINE HKCU of HKEY_CURRENT_USER HKCR of HKEY_CLASSES_ROOT HKCCS komt overeen met HKLM/SYSTEM/CurrentControlSet en HKLM/ SYSTEM/ControlSet00X HKLMS komt overeen met HKLM/Software op 32- en 64-bits systemen, en HKLM/Software/Wow6432Node alleen op 64-bits systemen HKCUS komt overeen met HKCU/Software op 32-bits en 64-bits systemen, en HKCU/Software/Wow6432Node alleen op 64-bits systemen HKULM behandeld als HKLM en HKCU HKULMS behandeld als HKLMS en HKCUS HKALL behandeld als HKLM en HKU U kunt de tekens?, * en ** als jokertekens gebruiken en (pijp) als escapeteken. Aanbevolen procedures subregeltype Registerwaarde Bijvoorbeeld ter bescherming: Een registerwaarde met de naam HKLM\SOFTWARE\testap: gebruik als doel HKLM\SOFTWARE\testap De registerwaarden uit een registersleutel: gebruik de asterisk als jokerteken: HKLM\SOFTWARE\testap\* De registerwaarden uit een registersleutel en de bijbehorende subsleutels: gebruik 2 asterisken: HKLM\SOFTWARE\testap\** McAfee Endpoint Security 10.5 Producthandleiding 113

114 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-9 Opties (vervolg) Sectie Optie Als u het subregeltype Processen hebt geselecteerd... Als u het subregeltype Services hebt geselecteerd... Definitie Hiermee wordt de bestandsnaam of het pad van een proces, MD5-hash of het ondertekenaardoel voor de subregel Processen opgegeven. Als jokerteken zijn?, * en ** overal voor toegestaan, behalve voor MD5-hash. Aanbevolen procedures subregeltype Processen Bijvoorbeeld ter bescherming: Een proces met de naam c:\testap.exe: gebruik als de naam of het pad van het doelbestand c:\testap.exe Alle processen in een map: gebruik de asterisk als jokerteken: c:\testap \* Alle processen in een map en de bijbehorende submappen: gebruik 2 asterisken: c:\testap\** De service- of weergavenaam voor een subregel van het type Services. Geregistreerde servicenaam: bevat de naam van de service in de bijbehorende registersleutel onder HKLM_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\. Weergavenaam van service: bevat de weergavenaam van de service uit de registerwaarde DisplayName onder HKLM_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\<servicenaam>\. Dit is de naam die in Servicebeheer wordt weergegeven. Zo is bijvoorbeeld 'Adobe Acrobat Update Service' de weergavenaam voor de service met de naam 'AdobeARMservice'. U kunt? en * als jokertekens gebruiken. Aanbevolen procedures voor subregels van het type Services Als u bijvoorbeeld alle Adobe-services op weergavenaam wilt beschermen, gebruikt u het sterretje als jokerteken, Adobe* Zie ook Pagina Subregel toevoegen of Subregel bewerken op pagina 106 Uitsluiting toevoegen of Uitsluiting bewerken U kunt een uitvoerbaar bestand toevoegen of bewerken voor uitsluiting op beleidsniveau of voor insluiting of uitsluiting op regelniveau. Houd bij het opgeven van uitsluitingen en insluitingen rekening met het volgende: U moet minimaal één identificator opgeven: Bestandsnaam of -pad, MD5-hash of Ondertekenaar. Als u meer identificatoren opgeeft, zijn alle identificatorenvan toepassing. Als u meer identificatoren opgeeft en als deze niet overeenkomen (de bestandsnaam en MD5-hash zijn bijvoorbeeld niet op hetzelfde bestand van toepassing), is de uitsluiting of insluiting ongeldig. Uitsluitingen en insluitingen zijn hoofdletterongevoelig. Jokertekens zijn overal voor toegestaan, behalve voor MD5-hash. 114 McAfee Endpoint Security 10.5 Producthandleiding

115 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-10 Opties Optie Naam Insluitingsstatus Bestandsnaam of -pad MD5-hash Definitie De naam van het uitvoerbare bestand. Dit veld is verplicht met ten minste één ander veld: Bestandsnaam of -pad, MD5-hash of Ondertekenaar. Hiermee wordt de insluitingsstatus voor het uitvoerbare bestand bepaald. Opnemen: de regel wordt geactiveerd als het uitvoerbare bestand in strijd is met een subregel. Uitsluiten: de regel wordt niet geactiveerd als het uitvoerbare bestand in strijd is met een subregel. De insluitingsstatus wordt alleen weergegeven bij het toevoegen van een uitvoerbaar bestand aan een regel of het doel voor de subregel Processen. De naam of het pad van het uitvoerbare bestand dat moet worden toegevoegd of bewerkt. Klik op Bladeren om het uitvoerbare bestand te selecteren. Het bestandspad mag jokertekens bevatten. Hiermee wordt de MD5-hash (32-cijferige hexadecimale nummer) van het proces aangegeven. McAfee Endpoint Security 10.5 Producthandleiding 115

116 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-10 Opties (vervolg) Optie Ondertekenaar Definitie Controle op digitale handtekening inschakelen: Hiermee wordt gegarandeerd dat code niet is gewijzigd of beschadigd sinds de code is ondertekend met een cryptografische hash. Als de optie is ingeschakeld, geeft u het volgende op: Elke handtekening toestaan: hiermee worden bestanden toegestaan die zijn ondertekend door een willekeurige procesondertekenaar. Ondertekend door: hiermee worden alleen bestanden toegestaan die zijn ondertekend door de opgegeven procesondertekenaar. Een SDN (Signer Distinguished Name) voor het uitvoerbare bestand is vereist en moet exact overeenkomen met de invoer in het bijbehorende veld, inclusief komma's en spaties. De procesondertekenaar wordt in de juiste indeling weergegeven in het gebeurtenislogboek van Endpoint Security-client en het logboek met bedreigingsgebeurtenissen van McAfee epo. Bijvoorbeeld: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Zo haalt u de SDN van een uitvoerbaar bestand op: 1 Klik met de rechtermuisknop op een uitvoerbaar bestand en selecteer Eigenschappen. 2 Selecteer een ondertekenaar op het tabblad Digitale handtekeningen en klik op Details. 3 Klik op het tabblad Algemeen op Certificaat weergeven. 4 Selecteer op het tabblad Details het veld Aanvrager. De Signer Distinguished Name wordt weergegeven. Firefox heeft bijvoorbeeld de volgende Signer Distinguished Name: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Opmerkingen Meer informatie over het item. Zie ook Pagina Regel toevoegen of Regel bewerken op pagina 104 Bedreigingspreventie: Exploitpreventie Exploitpreventie inschakelen en configureren om te voorkomen dat bufferoverloopexploits willekeurige code uitvoeren op de computer. Voor een lijst met processen die worden beschermd door Exploitpreventie raadpleegt u KB Host Intrusion Prevention 8.0 kan op hetzelfde systeem worden geïnstalleerd als Endpoint Security Als McAfee Host IPS ingeschakeld is, wordt Exploitpreventie uitgeschakeld, ook al is deze ingeschakeld in de beleidsinstellingen. 116 McAfee Endpoint Security 10.5 Producthandleiding

117 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-11 Opties Sectie Optie Definitie EXPLOITPREVENTIE Exploitpreventie inschakelen Hiermee wordt de functie Exploitpreventie ingeschakeld. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen. Tabel 3-12 Geavanceerde opties Sectie Optie Definitie Escalatie van algemene bevoegdheden voorkomen Escalatie van algemene bevoegdheden voorkomen inschakelen Hiermee schakelt u ondersteuning in voor Escalatie van algemene bevoegdheden voorkomen (GPEP). (Standaard uitgeschakeld) GPEP maakt gebruik van GPEP-handtekeningen in de inhoud van Exploitpreventie om exploits van escalatie van bevoegdheden tegen te houden in de kernelmodus en de gebruikersmodus. Door deze optie in te schakelen, verhoogt u de ernstigheidsgraad van GPEP-bufferoverloophandtekening 6052 naar Hoog, zodat deze wordt geblokkeerd of gerapporteerd, afhankelijk van de opgegeven actie. Omdat GPEP rapporten met valse positieven kan genereren, is deze optie standaard uitgeschakeld. Windows Preventie van gegevensuitvoering Windows Preventie van gegevensuitvoering inschakelen Hiermee wordt Windows Preventie van gegevensuitvoering (DEP) ingeschakeld. (Standaard uitgeschakeld) Selecteer deze optie om: Schakel DEP in voor 32-bits toepassingenin de McAfee-lijst met beveiligde toepassingen als dat nog niet is gebeurd, en gebruik deze in plaats van Algemene bufferoverloopbeveiliging (GBOP). Aanroepcontrole en gerichte API-controle worden nog steeds gehandhaafd. Te controleren op DEP-detecties in 32-bits toepassingen waarvoor DEP is ingeschakeld. Te controleren op DEP-detecties in 64-bits toepassingen in de McAfee-lijst met beveiligde toepassingen. Registreer alle DEP-detecties in een logboek en stuur een gebeurtenis naar McAfee epo. Het uitschakelen van deze optie heeft geen effect op processen waarvoor DEP is ingeschakeld als resultaat van het Windows DEP-beleid. McAfee Endpoint Security 10.5 Producthandleiding 117

118 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-12 Geavanceerde opties (vervolg) Sectie Optie Definitie Uitsluitingen Het proces dat of de aanroepmodule, API of handtekening die moet worden uitgesloten. Uitsluitingen met Aanroepmodule of API gelden niet voor Windows Preventie van gegevensuitvoering. Toevoegen: hiermee wordt een uitsluiting gemaakt en aan de lijst toegevoegd. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. Handtekeningen Verandert de actie (Blokkeren of Rapporteren) voor door McAfee gedefinieerde exploitpreventiehandtekeningen. Het is niet mogelijk om de ernstigheidsgraad te wijzigen of handtekeningen te maken. Schakel Blokkeren en Rapporteren uit als u de handtekening wilt uitschakelen. Handtekeningen weergeven bij volgende ernstigheidsgraad Hiermee wordt de lijst met handtekeningen gefilterd op ernstigheidsgraad of status Uitgeschakeld: Hoog Gemiddeld Laag Informatief Uitgeschakeld U kunt handtekeningen met de ernstigheidsgraad Uitgeschakeld niet inschakelen. Alleen blokkeren Alleen Rapporteren Hiermee wordt het gedrag geblokkeerd dat overeenkomt met de handtekening; zonder logboekregistratie. Hiermee wordt het gedrag dat overeenkomt met de handtekening in het logboek geregistreerd; zonder te blokkeren. Het is niet toegestaan om alleen Rapporteren te selecteren voor handtekening-id McAfee Endpoint Security 10.5 Producthandleiding

119 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-12 Geavanceerde opties (vervolg) Sectie Optie Definitie Toepassingsbeveiligingsregels Blokkeren en rapporteren Hiermee wordt het gedrag dat overeenkomt met de handtekening, geblokkeerd en in het logboek geregistreerd. Hiermee worden toepassingsbeveiligingsregels geconfigureerd. Toevoegen: hiermee wordt een toepassingsbeveiligingsregel gemaakt en aan de lijst toegevoegd. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. (alleen door gebruiker gedefinieerde regels) Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. (alleen door gebruiker gedefinieerde regels) Zie ook Instellingen voor Exploitpreventie configureren op pagina 82 Uitsluiting toevoegen of Uitsluiting bewerken op pagina 119 Uitsluiting toevoegen of Uitsluiting bewerken Uitsluitingen voor Exploitpreventie toevoegen of bewerken. Houd bij het opgeven van uitsluitingen rekening met het volgende: U moet minimaal een Proces, Aanroepmodule, API of handtekening opgeven. Uitsluitingen met Aanroepmodule of API gelden niet voor Windows Preventie van gegevensuitvoering. Voor Proces-uitsluitingen moet u minimaal één identificator opgeven: bestandsnaam of -pad, MD5-hash of Ondertekenaar. Als u meer identificatoren opgeeft, zijn alle identificatorenvan toepassing. Als u meer identificatoren opgeeft en als deze niet overeenkomen (de bestandsnaam en MD5-hash zijn bijvoorbeeld niet op hetzelfde bestand van toepassing), is de uitsluiting ongeldig. Uitsluitingen zijn hoofdletterongevoelig. Jokertekens zijn overal voor toegestaan, behalve voor MD5-hash en handtekening-id's. Als u handtekening-id's opneemt in een uitsluiting, is de uitsluiting alleen van toepassing op het proces in de opgegeven handtekeningen. Als u geen handtekening-id's opneemt, is de uitsluiting van toepassing op het proces in alle handtekeningen. McAfee Endpoint Security 10.5 Producthandleiding 119

120 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-13 Opties Sectie Optie Definitie Proces Naam De naam van het proces dat moet worden uitgesloten. Exploitpreventie sluit het proces uit, ongeacht de locatie. Dit veld is verplicht met ten minste één ander veld: Bestandsnaam of -pad, MD5-hash of Ondertekenaar. Bestandsnaam of -pad MD5-hash Ondertekenaar De naam of het pad van het uitvoerbare bestand dat moet worden toegevoegd of bewerkt. Klik op Bladeren om het uitvoerbare bestand te selecteren. Hiermee wordt de MD5-hash (32-cijferige hexadecimale nummer) van het proces aangegeven. Controle op digitale handtekening inschakelen: Hiermee wordt gegarandeerd dat code niet is gewijzigd of beschadigd sinds de code is ondertekend met een cryptografische hash. Als de optie is ingeschakeld, geeft u het volgende op: Elke handtekening toestaan: hiermee worden bestanden toegestaan die zijn ondertekend door een willekeurige procesondertekenaar. Ondertekend door: hiermee worden alleen bestanden toegestaan die zijn ondertekend door de opgegeven procesondertekenaar. Een SDN (Signer Distinguished Name) voor het uitvoerbare bestand is vereist en moet exact overeenkomen met de invoer in het bijbehorende veld, inclusief komma's en spaties. De procesondertekenaar wordt in de juiste indeling weergegeven in het gebeurtenislogboek van Endpoint Security-client en het logboek met bedreigingsgebeurtenissen van McAfee epo. Bijvoorbeeld: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Zo haalt u de SDN van een uitvoerbaar bestand op: 1 Klik met de rechtermuisknop op een uitvoerbaar bestand en selecteer Eigenschappen. 2 Selecteer een ondertekenaar op het tabblad Digitale handtekeningen en klik op Details. 3 Klik op het tabblad Algemeen op Certificaat weergeven. 4 Selecteer op het tabblad Details het veld Aanvrager. De Signer Distinguished Name wordt weergegeven. Firefox heeft bijvoorbeeld de volgende Signer Distinguished Name: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Aanroepmodule Naam De naam van de module (een DLL) die is geladen door een uitvoerbaar bestand dat eigenaar is van het beschrijfbaar geheugen van waaruit de oproep is gedaan. Dit veld is verplicht met ten minste één ander veld: Bestandsnaam of -pad, MD5-hash of Ondertekenaar. 120 McAfee Endpoint Security 10.5 Producthandleiding

121 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-13 Opties (vervolg) Sectie Optie Definitie Bestandsnaam of -pad De naam of het pad van het uitvoerbare bestand dat moet worden toegevoegd of bewerkt. Klik op Bladeren om het uitvoerbare bestand te selecteren. MD5-hash Ondertekenaar Hiermee wordt de MD5-hash (32-cijferige hexadecimale nummer) van het proces aangegeven. Controle op digitale handtekening inschakelen: Hiermee wordt gegarandeerd dat code niet is gewijzigd of beschadigd sinds de code is ondertekend met een cryptografische hash. Als de optie is ingeschakeld, geeft u het volgende op: Elke handtekening toestaan: hiermee worden bestanden toegestaan die zijn ondertekend door een willekeurige procesondertekenaar. Ondertekend door: hiermee worden alleen bestanden toegestaan die zijn ondertekend door de opgegeven procesondertekenaar. Een SDN (Signer Distinguished Name) voor het uitvoerbare bestand is vereist en moet exact overeenkomen met de invoer in het bijbehorende veld, inclusief komma's en spaties. De procesondertekenaar wordt in de juiste indeling weergegeven in het gebeurtenislogboek van Endpoint Security-client en het logboek met bedreigingsgebeurtenissen van McAfee epo. Bijvoorbeeld: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Zo haalt u de SDN van een uitvoerbaar bestand op: 1 Klik met de rechtermuisknop op een uitvoerbaar bestand en selecteer Eigenschappen. 2 Selecteer een ondertekenaar op het tabblad Digitale handtekeningen en klik op Details. 3 Klik op het tabblad Algemeen op Certificaat weergeven. 4 Selecteer op het tabblad Details het veld Aanvrager. De Signer Distinguished Name wordt weergegeven. Firefox heeft bijvoorbeeld de volgende Signer Distinguished Name: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US API Naam De naam van de API (Application Programming Interface) die wordt aangeroepen. Handtekeningen Handtekening-id's Bevat (met komma's gescheiden) identificatoren van exploitpreventiehandtekeningen. Opmerkingen Meer informatie over het item. Zie ook Processen uitsluiten voor Exploitpreventie op pagina 83 McAfee Endpoint Security 10.5 Producthandleiding 121

122 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Pagina Regel toevoegen of Regel bewerken van Hier kunt u door de gebruiker gedefinieerde toepassingsbeveiligingregels toevoegen of bewerken. Tabel 3-14 Opties Sectie Optie Definitie Naam Status Insluitingsstatus De naam van de regel. (Verplicht) Hiermee schakelt u het item in of uit. Bepaalt de insluitingsstatus voor het uitvoerbaar bestand. Insluiten: de regel wordt geactiveerd als een uitvoerbestand in de lijst Uitvoerbare bestanden wordt uitgevoerd. Uitsluiten: de regel wordt niet geactiveerd als een uitvoerbestand in de lijst Uitvoerbare bestanden wordt uitgevoerd. Uitvoerbare bestanden Opmerkingen Uitvoerbare bestanden voor de regel. Toevoegen: hiermee voegt u een uitvoerbaar bestand toe aan de lijst. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. Meer informatie over het item. Voor door McAfee gedefinieerde regels voor toepassingsbeveiliging bevat dit veld de naam van het uitvoerbare bestand dat wordt beveiligd. Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken In een regel voor toepassingsbeveiliging kunt u een uitvoerbaar bestand toevoegen of bewerken. Houd bij de configuratie van uitvoerbare bestanden rekening met het volgende: U moet minimaal één identificator opgeven: Bestandsnaam of -pad, MD5-hash of Ondertekenaar. Als u meer identificatoren opgeeft, zijn alle identificatorenvan toepassing. Als u meer identificatoren opgeeft en deze niet overeenkomen (de bestandsnaam en MD5-hash zijn bijvoorbeeld niet op hetzelfde bestand van toepassing), is de definitie van het uitvoerbare bestand ongeldig. Tabel 3-15 Opties Sectie Optie Definitie Eigenschappen Naam De naam van het proces. Dit veld is verplicht met ten minste één ander veld: Bestandsnaam of -pad, MD5-hash of Ondertekenaar. Bestandsnaam of -pad MD5-hash De naam of het pad van het uitvoerbare bestand dat moet worden toegevoegd of bewerkt. Klik op Bladeren om het uitvoerbare bestand te selecteren. Hiermee wordt de MD5-hash (32-cijferige hexadecimale nummer) van het proces aangegeven. 122 McAfee Endpoint Security 10.5 Producthandleiding

123 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-15 Opties (vervolg) Sectie Optie Definitie Ondertekenaar Controle op digitale handtekening inschakelen: Hiermee wordt gegarandeerd dat code niet is gewijzigd of beschadigd sinds de code is ondertekend met een cryptografische hash. Als de optie is ingeschakeld, geeft u het volgende op: Elke handtekening toestaan: hiermee worden bestanden toegestaan die zijn ondertekend door een willekeurige procesondertekenaar. Ondertekend door: hiermee worden alleen bestanden toegestaan die zijn ondertekend door de opgegeven procesondertekenaar. Een SDN (Signer Distinguished Name) voor het uitvoerbare bestand is vereist en moet exact overeenkomen met de invoer in het bijbehorende veld, inclusief komma's en spaties. De procesondertekenaar wordt in de juiste indeling weergegeven in het gebeurtenislogboek van Endpoint Security-client en het logboek met bedreigingsgebeurtenissen van McAfee epo. Bijvoorbeeld: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Zo haalt u de SDN van een uitvoerbaar bestand op: 1 Klik met de rechtermuisknop op een uitvoerbaar bestand en selecteer Eigenschappen. 2 Selecteer een ondertekenaar op het tabblad Digitale handtekeningen en klik op Details. 3 Klik op het tabblad Algemeen op Certificaat weergeven. 4 Selecteer op het tabblad Details het veld Aanvrager. De Signer Distinguished Name wordt weergegeven. Firefox heeft bijvoorbeeld de volgende Signer Distinguished Name: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Opmerkingen Meer informatie over het item. Bedreigingspreventie: Scan bij toegang De instellingen voor scannen bij toegang inschakelen en configureren. Tabel 3-16 Opties Sectie Optie Definitie SCAN BIJ TOEGANG Scan bij toegang inschakelen Hiermee wordt de functie Scan bij toegang ingeschakeld. (Standaard ingeschakeld) Scan bij toegang inschakelen bij opstarten van systeem Hiermee wordt de functie Scan bij toegang ingeschakeld wanneer u de computer opstart. (Standaard ingeschakeld) McAfee Endpoint Security 10.5 Producthandleiding 123

124 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-16 Opties (vervolg) Sectie Optie Definitie Maximumaantal seconden opgeven voor elke bestandsscan Hiermee wordt elke bestandsscan beperkt tot het opgegeven aantal seconden. (Standaard ingeschakeld) De standaardwaarde is 45 seconden. Als een scan de tijdslimiet overschrijdt, wordt de scan afgerond en wordt er een bericht in het logboek opgenomen. Opstartsectoren scannen Hiermee wordt de opstartsector onderzocht. (Standaard ingeschakeld) Aanbevolen procedure: schakel het scannen van de opstartsector uit wanneer een schijf een unieke of abnormale opstartsector heeft die niet kan worden gescand. Processen scannen bij opstarten van service en update van inhoud Hiermee worden alle processen die momenteel in het geheugen staan, opnieuw gescand wanneer: U scans bij toegang opnieuw inschakelt. Inhoudsbestanden worden bijgewerkt. Het systeem wordt opgestart. Het McShield.exe-proces wordt gestart. (Standaard uitgeschakeld) Aanbevolen procedure: omdat sommige programma's of uitvoerbare bestanden automatisch worden gestart wanneer u het systeem start, kunt u deze optie uitschakelen om de opstarttijd van het systeem te versnellen. Wanneer de scanner bij toegang is ingeschakeld, worden alle processen altijd gescand wanneer ze worden uitgevoerd. Vertrouwde installatieprogramma's scannen Hiermee worden MSI-bestanden (geïnstalleerd door msiexec.exe en ondertekend door McAfee of Microsoft) of servicebestanden van vertrouwde Windows-installatieprogramma's gescand. (Standaard uitgeschakeld) Aanbevolen procedure: schakel deze optie uit als u de prestaties van installatieprogramma's voor grote Microsoft-applicaties wilt verbeteren. Scannen wanneer tussen lokale mappen wordt gekopieerd Hiermee worden bestanden gekopieerd wanneer de gebruiker deze van de ene lokale map naar de andere kopieert. Wanneer deze optie is: Uitgeschakeld: alleen items in de doelmap worden gescand. Ingeschakeld: items in zowel bronmap (lezen), als doelmap (schrijven) worden gescand. (Standaard uitgeschakeld) 124 McAfee Endpoint Security 10.5 Producthandleiding

125 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-16 Opties (vervolg) Sectie Optie Definitie McAfee GTI Scannen wanneer van netwerkmappen en verwisselbare stations wordt gekopieerd Hiermee worden bestanden gescand die de gebruiker kopieert van een netwerkmap of verwisselbaar USB-station. Als u deze optie niet inschakelt, is uw systeem kwetsbaar voor malwareaanvallen. (Standaard ingeschakeld) Hiermee kunt u de instellingen van McAfee GTI inschakelen en configureren. ScriptScan ScriptScan inschakelen Hiermee kunt u het scannen van JavaScript- en VBScript-scripts in Internet Explorer inschakelen, zodat ongewenste scripts niet kunnen worden uitgevoerd. (Standaard uitgeschakeld) Als ScriptScan is uitgeschakeld wanneer Internet Explorer wordt gestart en vervolgens wordt ingeschakeld, worden geen schadelijke scripts in dat exemplaar van Internet Explorer gedetecteerd. Nadat u ScriptScan hebt ingeschakeld, moet u Internet Explorer opnieuw starten zodat schadelijke scripts worden gedetecteerd. De volgende URL's of gedeeltelijke URL's uitsluiten ScriptScan-uitsluitingen per URL. Toevoegen: hiermee wordt een URL aan de lijst met uitsluitingen toegevoegd. Verwijderen: hiermee wordt een URL van de lijst met uitsluitingen verwijderd. URL's mogen geen jokertekens bevatten. Een URL die een tekenreeks uit een uitgesloten URL bevat, wordt echter ook uitgesloten. Als de URL msn.com bijvoorbeeld is uitgesloten, zijn de volgende URL's ook uitgesloten: Tabel 3-17 Geavanceerde opties Sectie Optie Definitie Gebruikersberichten bij bedreigingsdetectie Het venster Scan bij toegang aan gebruikers tonen wanneer een bedreiging wordt gedetecteerd Hiermee wordt de pagina Scan bij toegang met het opgegeven bericht weergegeven aan clientgebruikers wanneer er een detectie plaatsvindt. (Standaard ingeschakeld) Wanneer deze optie is geselecteerd, kunnen gebruikers deze pagina openen vanuit de pagina Nu scannen, telkens wanneer de detectielijst ten minste één bedreiging bevat. De detectielijst van de scan bij toegang wordt gewist wanneer de service Endpoint Security of het systeem opnieuw wordt gestart. Bericht Het bericht dat clientgebruikers zien wanneer een detectie plaatsvindt. Het standaardbericht is: McAfee Endpoint Security heeft een bedreiging gedetecteerd. McAfee Endpoint Security 10.5 Producthandleiding 125

126 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-17 Geavanceerde opties (vervolg) Sectie Optie Definitie Procesinstellingen Standaardinstellingen voor alle processen gebruiken Verschillende instellingen voor processen met Hoog risico en Laag risico configureren Standaard Hiermee worden dezelfde geconfigureerde instellingen toegepast op alle processen tijdens een scan bij toegang. Hiermee worden verschillende scaninstellingen geconfigureerd voor elk procestype dat u configureert. Hiermee worden de instellingen geconfigureerd voor processen die niet als hoog of laag risico zijn geïdentificeerd. (Standaard ingeschakeld) Scannen Hoog risico Laag risico Toevoegen Verwijderen Wanneer scannen Bij schrijven naar schijf Bij lezen van schijf Laat McAfee beslissen Hiermee worden de instellingen geconfigureerd voor processen met een hoog risico. Hiermee worden de instellingen geconfigureerd voor processen met een laag risico. Hiermee wordt een proces aan de lijst Hoog risico of Laag risico toegevoegd. Hiermee wordt een proces van de lijst Hoog risico of Laag risico verwijderd. Hiermee wordt geprobeerd alle bestanden te scannen wanneer deze naar de computer of een ander toestel voor gegevensopslag worden geschreven of wanneer deze daarop worden gewijzigd. Hiermee worden alle bestanden gescand wanneer deze vanaf de computer of een ander toestel voor gegevensopslag worden gelezen. Staat McAfee toe te beslissen of een bestand moet worden gescand. Daarbij wordt vertrouwenslogica gebruikt om het scannen te optimaliseren. Vertrouwenslogica verbetert uw beveiliging en prestaties doordat onnodig scannen wordt vermeden. Aanbevolen procedure: schakel deze optie in voor de beste beveiliging en de beste prestaties. Niet scannen bij lezen van of schrijven naar schijf Wat scannen Alle bestanden Bepaalt dat alleen processen met Laag risico niet hoeven te worden gescand. Scant alle bestanden, ongeacht extensie. Als u deze optie niet inschakelt, is uw systeem kwetsbaar voor malwareaanvallen. 126 McAfee Endpoint Security 10.5 Producthandleiding

127 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-17 Geavanceerde opties (vervolg) Sectie Optie Definitie Standaard- en opgegeven bestandstypen Scant: Standaardlijst met bestandsextensies die zijn gedefinieerd in het huidige AMCore-inhoudsbestand, inclusief bestanden zonder extensie Eventuele extra bestandsextensies die u opgeeft Scheid extensies van elkaar met een komma. (Optioneel) Bekende macrobedreigingen in de lijst met standaard en opgegeven bestandsextensies Alleen opgegeven bestandstypen Op netwerkstations Scant alleen of allebei: Alleen bestanden met de (door komma's gescheiden) extensies die u opgeeft Alle bestanden zonder extensie Hiermee worden bronnen op toegewezen netwerkstations gescand. Aanbevolen procedure: schakel deze optie uit als u de prestaties wilt verbeteren. Geopend voor back-ups Scant bestanden wanneer deze worden geopend door back-upsoftware. Aanbevolen procedure: voor de meeste omgevingen hoeft u deze instelling niet in te schakelen. Gecomprimeerde archiefbestanden Onderzoekt de inhoud van archiefbestanden (gecomprimeerde bestanden), waaronder JAR-bestanden. Aanbevolen procedure: omdat het scannen van gecomprimeerde archiefbestanden de systeemprestaties negatief kan beïnvloeden, kunt u deze optie uitschakelen als u de systeemprestaties wilt verbeteren. Gecomprimeerde bestanden met MIME-codering Aanvullende scanopties Ongewenste programma's detecteren Onbekende programmabedreigingen detecteren Onbekende macrobedreigingen detecteren Detecteert, decodeert en scant bestanden met MIME-codering (Multipurpose Internet Mail Extensions). Hiermee kan de scanner mogelijk ongewenste programma's detecteren. De scanner maakt gebruik van de informatie die u in de instellingen voor Opties van Bedreigingspreventie hebt geconfigureerd voor het detecteren van mogelijk ongewenste programma's. Gebruikt McAfee GTI om uitvoerbare bestanden te detecteren die code bevatten die op malware lijkt. Gebruikt McAfee GTI om onbekende macrovirussen te detecteren. McAfee Endpoint Security 10.5 Producthandleiding 127

128 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-17 Geavanceerde opties (vervolg) Sectie Optie Definitie Acties Uitsluitingen Hier geeft u op hoe de scanner reageert wanneer een bedreiging wordt gedetecteerd. Met deze functie kunt u bestanden, mappen en stations opgeven die u wilt uitsluiten van scanbewerkingen. Toevoegen Verwijderen Hiermee wordt een item aan de uitsluitingslijst toegevoegd. Hiermee wordt een item uit de uitsluitingslijst verwijderd. Zie ook Configureer de instellingen voor Scannen bij toegang op pagina 88 McAfee GTI op pagina 133 Acties op pagina 134 Uitsluiting toevoegen of Uitsluiting bewerken op pagina 136 Bedreigingspreventie: Scannen op verzoek Configureer de instellingen van Scannen op verzoek voor de vooraf geconfigureerde en aangepaste scans die op uw systeem worden uitgevoerd. Zie de instellingen in de module Gedeelde instellingen voor configuratie van logboekregistratie. Met deze instellingen wordt de scannerwerking opgegeven wanneer u: Volledige scan of Snelle scan selecteert op de pagina Nu scannen in de Endpoint Security-client. Voer als beheerder een aangepaste scan op verzoek uit vanuit Instellingen Gedeelde instellingen Taken in de Endpoint Security-client. Klik met de rechtermuisknop op een bestand of map en selecteer Scannen op bedreigingen in het pop-upmenu. Tabel 3-18 Opties Sectie Optie Definitie Wat scannen Opstartsectoren Hiermee wordt de opstartsector onderzocht. Aanbevolen procedure: schakel het scannen van de opstartsector uit wanneer een schijf een unieke of abnormale opstartsector heeft die niet kan worden gescand. Bestanden die zijn gemigreerd naar opslag Scant bestanden die worden beheerd door Externe opslag. Sommige offline oplossingen voor gegevensopslag vervangen bestanden door een stub-bestand. Wanneer de scanner een stub-bestand detecteert, wat aangeeft dat het bestand is gemigreerd, herstelt de scanner het bestand naar het lokale systeem voordat de scan wordt hervat. Het herstelproces kan negatieve invloed hebben op de systeemprestaties. Aanbevolen procedure: Schakel deze optie uit, tenzij het werkelijk noodzakelijk is om bestanden in opslag te scannen. Gecomprimeerde bestanden met MIME-codering Detecteert, decodeert en scant bestanden met MIME-codering (Multipurpose Internet Mail Extensions). 128 McAfee Endpoint Security 10.5 Producthandleiding

129 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-18 Opties (vervolg) Sectie Optie Definitie Gecomprimeerde archiefbestanden Onderzoekt de inhoud van archiefbestanden (gecomprimeerde bestanden), waaronder JAR-bestanden. Aanbevolen procedure: schakel deze optie alleen in voor scans die zijn gepland op tijden waarop het systeem niet wordt gebruikt, omdat het scannen van gecomprimeerde archiefbestanden de systeemprestaties negatief kan beïnvloeden. Aanvullende scanopties Scanlocaties Bestandstypen die moeten worden gescand Submappen (alleen Rechtermuisknopscan) Ongewenste programma's detecteren Onbekende programmabedreigingen detecteren Onbekende macrobedreigingen detecteren (Alleen Volledige scan en Snelle scan) Alle bestanden Onderzoekt alle submappen van de opgegeven map. Hiermee kan de scanner mogelijk ongewenste programma's detecteren. De scanner maakt gebruik van de informatie die u in de instellingen voor Opties van Bedreigingspreventie hebt geconfigureerd voor het detecteren van mogelijk ongewenste programma's. Gebruikt McAfee GTI om uitvoerbare bestanden te detecteren die code bevatten die op malware lijkt. Gebruikt McAfee GTI om onbekende macrovirussen te detecteren. Hiermee worden de locaties opgegeven die moeten worden gescand. Deze opties zijn alleen van toepassing op Volledige scan, Snelle scan en aangepaste scans. Scant alle bestanden, ongeacht extensie. McAfee raadt ten sterkste aan om Alle bestanden in te schakelen. Als u deze optie niet inschakelt, is uw systeem kwetsbaar voor malwareaanvallen. McAfee GTI Uitsluitingen Opgegeven en standaardbestandstypen Alleen opgegeven bestandstypen Scant: Standaardlijst met bestandsextensies die zijn gedefinieerd in het huidige AMCore-inhoudsbestand, inclusief bestanden zonder extensie Eventuele extra bestandsextensies die u opgeeft Scheid extensies van elkaar met een komma. (Optioneel) Bekende macrobedreigingen in de lijst met standaard en opgegeven bestandsextensies Scant alleen of allebei: Alleen bestanden met de (door komma's gescheiden) extensies die u opgeeft Alle bestanden zonder extensie Hier kunt u instellingen van McAfee GTI inschakelen en configureren. Met deze functie kunt u bestanden, mappen en stations opgeven die u wilt uitsluiten van scanbewerkingen. McAfee Endpoint Security 10.5 Producthandleiding 129

130 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-18 Opties (vervolg) Sectie Optie Definitie Acties Toevoegen Verwijderen Hiermee wordt een item aan de uitsluitingslijst toegevoegd. Hiermee wordt een item uit de uitsluitingslijst verwijderd. Hier geeft u op hoe de scanner reageert wanneer een bedreiging wordt gedetecteerd. Prestaties De scancache gebruiken Hiermee kan de scanner de bestaande schone scanresultaten gebruiken. Aanbevolen procedure: schakel deze optie in als u dubbel scannen wilt beperken en de prestaties wilt verbeteren. Systeemgebruik Hiermee kan het besturingssysteem de hoeveelheid CPU-tijd instellen die beschikbaar wordt gesteld aan de scanner tijdens de scan. Elke taak wordt onafhankelijk uitgevoerd, zonder rekening te houden met de beperkingen voor andere taken. Laag: biedt verbeterde prestaties voor andere actieve toepassingen. Aanbevolen procedure: selecteer deze optie voor systemen met activiteit van eindgebruikers. Lager dan normaal: stelt het systeemgebruik voor de scan in op de standaardinstelling van McAfee epo. Normaal (standaard): hiermee kan de scan sneller worden uitgevoerd. Aanbevolen procedure: selecteer deze optie voor systemen met grote volumes en weinig activiteit van eindgebruikers. Opties voor geplande scan Deze opties zijn alleen van toepassing op Volledige scan, Snelle scan en aangepaste scans. Alleen scannen wanneer het systeem niet actief is Op elk moment scannen De scan wordt alleen uitgevoerd wanneer het systeem niet actief is. Bedreigingspreventie pauzeert de scan wanneer de gebruiker het systeem activeert met het toetsenbord of de muis. Bedreigingspreventie hervat de scan wanneer de gebruiker (en CPU) vijf minuten niet actief is. Schakel deze optie alleen uit op serversystemen en systemen waartoe gebruikers toegang krijgen via Verbinding met extern bureaublad. Bedreigingspreventie is afhankelijk van McTray om te bepalen of het systeem inactief is. Op systemen die alleen toegankelijk zijn via Verbinding met extern bureaublad, wordt McTray niet gestart en wordt de scan op verzoek nooit uitgevoerd. Gebruikers kunnen dit probleem oplossen door McTray (standaard in C:\Program Files\McAfee\Agent\mctray.exe) handmatig te starten wanneer zij zich aanmelden via Verbinding met extern bureaublad. Voert de scan ook uit als de gebruiker actief is en opties voor de scan opgeeft. 130 McAfee Endpoint Security 10.5 Producthandleiding

131 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-18 Opties (vervolg) Sectie Optie Definitie Gebruiker kan scan uitstellen: hiermee kan de gebruiker geplande scans uitstellen en opties voor het uitstellen van scans instellen. Maximumaantal keren dat gebruiker per uur kan uitstellen: het aantal keer (1-23) dat de gebruiker de scan één uur kan uitstellen. Gebruikersbericht: het bericht dat moet worden weergegeven wanneer een scan wordt gestart. Het standaardbericht is: McAfee Endpoint Security staat op het punt uw systeem te scannen. Berichtduur (seconden): hoe lang het bericht wordt weergegeven (in seconden) wanneer een scan wordt gestart. Het geldige bereik voor de duur is ; de standaardinstelling is 45 seconden. Niet scannen als het systeem op batterijvermogen draait Niet scannen als het systeem in presentatiemodus staat: hiermee wordt de scan uitgesteld wanneer de presentatiemodus van het systeem actief is. Stelt de scan uit wanneer het systeem op batterijen werkt. Zie ook instellingen voor Scan op verzoek configureren op pagina 96 Scantaken configureren, plannen en uitvoeren op pagina 100 Een Volledige scan of Snelle scan uitvoeren op pagina 60 Een bestand of map scannen op pagina 62 Scanlocaties op pagina 131 McAfee GTI op pagina 133 Acties op pagina 134 Uitsluiting toevoegen of Uitsluiting bewerken op pagina 136 Scanlocaties Geef de locaties op die moeten worden gescand. Deze opties zijn alleen van toepassing op Volledige scan, Snelle scan en aangepaste scans. McAfee Endpoint Security 10.5 Producthandleiding 131

132 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-19 Opties Sectie Optie Definitie Scanlocaties Submappen scannen Onderzoekt alle submappen in de opgegeven volumes wanneer een van de volgende opties is geselecteerd: Basismap Profielmap gebruiker Map Programmabestanden Map Temp Bestand of map Schakel deze optie uit als u alleen de hoofdmap van de volumes wilt scannen. Locaties opgeven Geheugen voor rootkits Hiermee worden de locaties opgegeven die moeten worden gescand. Toevoegen: hiermee wordt een locatie aan de scan toegevoegd. Klik op Toevoegen en selecteer vervolgens de locatie in de vervolgkeuzelijst. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt een locatie uit de scan verwijderd. Selecteer de locatie en klik op Verwijderen. Scant het systeemgeheugen op geïnstalleerde rootkits, verborgen processen en ander gedrag dat kan wijzen op de aanwezigheid van verborgen malware. Deze scan wordt uitgevoerd vóór alle andere scans. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen. Actieve processen Scant het geheugen van alle actieve processen. Andere acties dan Bestanden opschonen worden behandeld als Doorgaan met scannen. Als u deze optie niet inschakelt, is uw systeem niet beschermd tegen malwareaanvallen. Geregistreerde bestanden Deze computer Alle lokale stations Alle vaste stations Alle verwisselbare stations Alle toegewezen stations Basismap Profielmap gebruiker Scant de bestanden waarnaar het Windows-register verwijst. De scanner zoekt eerst naar bestandsnamen in het register, bepaalt of de bestanden bestaan, maakt een lijst met te scannen bestanden en scant de bestanden vervolgens. Scant alle stations die fysiek zijn verbonden met uw computer of die zijn toegewezen aan een stationsletter op uw computer. alle stations en submappen op de computer worden gescand. Scant alle stations die een fysieke verbinding met de computer hebben. Scant alle verwisselbare stations of andere opslagapparatuur die op de computer zijn aangesloten, behalve de stations waar Windows To Go op is geïnstalleerd. de netwerkstations die aan een netwerkschijf op de computer zijn toegewezen worden gescand. Scant de basismap van de gebruiker die de scan start. Scant het profiel van de gebruiker die de scan start, inclusief de map Mijn documenten van de gebruiker. 132 McAfee Endpoint Security 10.5 Producthandleiding

133 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-19 Opties (vervolg) Sectie Optie Definitie Windows-map Map Programmabestanden Map Temp Prullenbak Bestand of map Register Scant de inhoud van de Windows-map. Scant de inhoud van de map Program Files. de inhoud van de map Temp wordt gescand. Scant de inhoud van de prullenbak. Zie ook Bedreigingspreventie: Scannen op verzoek op pagina 128 het opgegeven bestand of de opgegeven map wordt gescand. Hiermee worden registersleutels en -waarden gescand. McAfee GTI De instellingen van McAfee GTI (Global Threat Intelligence) inschakelen en configureren. Tabel 3-20 Opties Sectie Optie Definitie McAfee GTI inschakelen Hiermee worden heuristische controles in- en uitgeschakeld. Wanneer de optie is ingeschakeld, worden vingerafdrukken van voorbeelden, of hashes, ingediend bij McAfee Labs om te bepalen of het malware betreft. Door hashes in te dienen is detectie mogelijk eerder beschikbaar dan de volgende uitgave van AMCore-inhoudsbestanden, wanneer McAfee Labs de update publiceert. Wanneer de optie is uitgeschakeld, worden geen vingerafdrukken of gegevens ingediend bij McAfee Labs. Gevoeligheidsniveau Hiermee wordt het gevoeligheidsniveau geconfigureerd dat moet worden gebruikt wanneer wordt vastgesteld of een gedetecteerd voorbeeld malware is. Hoe hoger het gevoeligheidsniveau, hoe hoger het aantal malwaredetecties. Als u meer detecties toestaat, kunt u echter ook meer resultaten krijgen die onterecht als verdacht zijn aangeduid. Zeer laag Laag De detecties en het risico op resultaten die onterecht zijn aangeduid als verdacht zijn hetzelfde als met reguliere AMCore-inhoudsbestanden. Er is een detectie beschikbaar voor Bedreigingspreventie zodra deze door McAfee Labs wordt gepubliceerd. Dit wordt niet uitgesteld tot de volgende update van de AMCore-inhoudsbestanden. Gebruik deze instelling voor desktops en servers met beperkte gebruikersrechten en sterke beveiligingsconfiguraties. Deze instelling resulteert in gemiddeld query's per dag per computer. Dit is de minimuminstelling voor laptops of desktops en servers met sterke beveiligingsconfiguraties. Deze instelling resulteert in gemiddeld query's per dag per computer. McAfee Endpoint Security 10.5 Producthandleiding 133

134 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-20 Opties (vervolg) Sectie Optie Definitie Gemiddeld Gebruik deze instelling wanneer het gewone risico op blootstelling aan malware groter is dan het risico op een onterecht als verdacht aangeduid item. De eigen heuristische controle van McAfee Labs leidt tot detecties die waarschijnlijk malware zijn. Sommige detecties kunnen echter een resultaat opleveren dat onterecht is aangeduid als verdacht. Met deze instelling controleert McAfee Labs of veelgebruikte toepassingen en besturingssysteembestanden geen onterecht als verdacht aangeduide items opleveren. Deze instelling wordt minimaal aanbevolen voor laptops, desktops en servers. Deze instelling resulteert in gemiddeld query's per dag per computer. Hoog Zeer hoog Gebruik deze instelling voor implementatie op systemen of in gebieden die regelmatig worden geïnfecteerd. Deze instelling resulteert in gemiddeld query's per dag per computer. Gebruik deze instelling voor volumes die niet van het besturingssysteem zijn. Detecties die met dit niveau worden gevonden, worden verondersteld schadelijk te zijn, maar zijn niet voldoende getest om te bepalen of ze niet onterecht zijn aangeduid als verdacht. Gebruik deze instelling alleen om volumes en directory's te scannen die het uitvoeren van programma's of besturingssystemen niet ondersteunen. Deze instelling resulteert in gemiddeld query's per dag per computer. Zie ook Bedreigingspreventie: Scan bij toegang op pagina 123 Bedreigingspreventie: Scannen op verzoek op pagina 128 Webcontrole: Opties op pagina 182 Acties Specificeer hoe de scanner reageert wanneer een bedreiging wordt gedetecteerd. Tabel 3-21 Opties Sectie Optie Definitie Scantype Eerste reactie bij bedreigingsdetectie Toegang tot bestanden weigeren Doorgaan met scannen Scannen bij toegang Scannen op verzoek Hiermee wordt de eerste actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een bedreiging. Hiermee wordt voorkomen dat gebruikers toegang krijgen tot bestanden met potentiële bedreigingen. Hiermee wordt het scannen van bestanden voortgezet wanneer een bedreiging wordt gedetecteerd. De scanner plaatst items niet in quarantaine. 134 McAfee Endpoint Security 10.5 Producthandleiding

135 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-21 Opties (vervolg) Sectie Optie Definitie Scantype Als eerste reactie mislukt Eerste reactie bij ongewenst programma Bestanden opschonen Bestanden verwijderen Toegang tot bestanden weigeren Doorgaan met scannen Bestanden verwijderen Hiermee wordt de bedreiging indien mogelijk uit het gedetecteerde bestand verwijderd. Hiermee worden bestanden met mogelijke bedreigingen verwijderd. Scannen bij toegang Scannen op verzoek Hiermee wordt de actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een bedreiging, als de eerste actie mislukt. Hiermee wordt voorkomen dat gebruikers toegang krijgen tot bestanden met potentiële bedreigingen. Hiermee wordt het scannen van bestanden voortgezet wanneer een bedreiging wordt gedetecteerd. De scanner plaatst items niet in quarantaine. Hiermee worden bestanden met mogelijke bedreigingen verwijderd. Hiermee wordt de eerste actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een mogelijk ongewenst programma. Deze optie is alleen beschikbaar als Ongewenste programma's detecteren is geselecteerd. Toegang tot bestanden weigeren Toegang tot bestanden toestaan Doorgaan met scannen Bestanden opschonen Bestanden verwijderen Hiermee wordt voorkomen dat gebruikers toegang krijgen tot bestanden met potentiële bedreigingen. Hiermee krijgen gebruikers toegang tot bestanden met potentiële bedreigingen. Hiermee wordt het scannen van bestanden voortgezet wanneer een bedreiging wordt gedetecteerd. De scanner plaatst items niet in quarantaine. Hiermee wordt de bedreiging indien mogelijk uit het mogelijk ongewenste programma verwijderd. Hiermee worden mogelijk ongewenste programma's verwijderd. McAfee Endpoint Security 10.5 Producthandleiding 135

136 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-21 Opties (vervolg) Sectie Optie Definitie Scantype Als eerste reactie mislukt Scannen bij toegang Scannen op verzoek Hiermee wordt de actie opgegeven die door de scanner moet worden uitgevoerd bij detectie van een mogelijk ongewenst programma en als de eerste actie mislukt. Deze optie is alleen beschikbaar als Ongewenste programma's detecteren is geselecteerd. Toegang tot bestanden weigeren Toegang tot bestanden toestaan Doorgaan met scannen Bestanden verwijderen Hiermee wordt voorkomen dat gebruikers toegang krijgen tot bestanden met potentiële bedreigingen. Hiermee krijgen gebruikers toegang tot bestanden met potentiële bedreigingen. Hiermee wordt het scannen van bestanden voortgezet wanneer een bedreiging wordt gedetecteerd. De scanner plaatst items niet in quarantaine. Hiermee worden mogelijk ongewenste programma's automatisch verwijderd. Zie ook Bedreigingspreventie: Scan bij toegang op pagina 123 Bedreigingspreventie: Scannen op verzoek op pagina 128 Uitsluiting toevoegen of Uitsluiting bewerken Een uitsluitingsdefinitie toevoegen of bewerken. Tabel 3-22 Opties Sectie Optie Definitie Scantype Wat uitsluiten Bestandsnaam of -pad Bij toegang Op aanvraag Specificeert het type uitsluiting en de details voor de uitsluiting. Specificeert de bestandsnaam of het bestandspad dat moet worden uitgesloten. Het bestandspad mag jokertekens bevatten. Als u een map op Windows-systemen wilt uitsluiten, voegt u een backslash (\) toe aan het pad. Selecteer indien nodig Submappen ook uitsluiten. Bestandstype Geeft de bestandstypen (bestandsextensies) op die moeten worden uitgesloten. 136 McAfee Endpoint Security 10.5 Producthandleiding

137 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-22 Opties (vervolg) Sectie Optie Definitie Scantype Wanneer uitsluiten Bestandsdatum Bij schrijven naar schijf of lezen van schijf Bij lezen van schijf Bij schrijven naar schijf Specificeert het toegangstype (Gewijzigd, Opgeroepen of Gemaakt) van bestanden die moeten worden uitgesloten, en de Minimumleeftijd in dagen. Bij toegang Op aanvraag Geeft op wanneer het geselecteerde item moet worden uitgesloten. Hiermee worden bestanden uitgesloten van scans wanneer ze worden geschreven naar of gelezen van schijf of een ander apparaat voor gegevensopslag. Hiermee worden bestanden uitgesloten van scans wanneer ze worden gelezen van de computer of een ander apparaat voor gegevensopslag. Hiermee worden bestanden uitgesloten van scans wanneer ze worden geschreven naar of gewijzigd op de schijf of een ander apparaat voor gegevensopslag. Zie ook Bedreigingspreventie: Scan bij toegang op pagina 123 Bedreigingspreventie: Scannen op verzoek op pagina 128 Jokertekens in uitsluitingen op pagina 69 Uitsluitingen configureren op pagina 68 Bedreigingspreventie Opties Configureer de instellingen die van toepassing zijn op de functie Bedreigingspreventie, waaronder de quarantaine, mogelijk ongewenste programma's en uitsluitingen. Deze sectie bevat alleen Geavanceerde opties. Tabel 3-23 Geavanceerde opties Sectie Optie Definitie Quarantainebeheerder Quarantainemap Hiermee wordt de locatie voor de quarantainemap opgegeven of wordt de standaardlocatie geaccepteerd: c:\quarantaine De quarantainemap is beperkt tot 190 tekens. Geef het maximumaantal dagen op dat quarantainegegevens moeten worden bewaard Hiermee wordt het aantal dagen (1 999) opgegeven waarna items in de quarantaine automatisch worden verwijderd. De standaardinstelling is 30 dagen. McAfee Endpoint Security 10.5 Producthandleiding 137

138 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie Tabel 3-23 Geavanceerde opties (vervolg) Sectie Optie Definitie Uitsluitingen per detectienaam De volgende detectienamen uitsluiten Hiermee worden detectie-uitsluitingen op naam van de detectie opgegeven. Als u bijvoorbeeld wilt opgeven dat de scanner bij toegang en de scanner op verzoek niet bedreigingen van het type Installatiecontrole moeten detecteren, voert u Installatiecontrole in. Toevoegen: hiermee wordt een detectienaam aan de lijst met uitsluitingen toegevoegd. Klik op Toevoegen en voer vervolgens de detectienaam in. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt een detectienaam van de lijst met uitsluitingen verwijderd. Selecteer de naam en klik vervolgens op Verwijderen. Detecties van mogelijk ongewenste programma's Proactieve gegevensanalyse Aangepaste ongewenste programma's uitsluiten McAfee GTI-feedback Hiermee worden afzonderlijke bestanden of programma's opgegeven die als mogelijk ongewenste programma's moeten worden behandeld. De scanners detecteren de programma's die u opgeeft, evenals de programma's die in de AMCore-inhoudsbestanden zijn opgegeven. De scanner detecteert geen zero-byte door de gebruiker gedefinieerd ongewenst programma. Toevoegen: hiermee wordt een aangepast ongewenst programma gedefinieerd. klik op Toevoegen, voer de naam in en druk vervolgens op Tab om de beschrijving in te voeren. Naam : hiermee wordt de bestandsnaam van het mogelijk ongewenste programma opgegeven. Beschrijving: hiermee wordt de informatie opgegeven die moet worden weergegeven als de detectienaam bij detectie. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt een mogelijk ongewenst programma van de lijst verwijderd. Selecteer het programma in de tabel en klik vervolgens op Verwijderen. Hiermee worden anonieme diagnostische en gebruiksgegevens naar McAfee verzonden. Hiermee wordt telemetriefeedback op basis van McAfee GTIingeschakeld waarbij anonieme gegevens worden verzameld over bestanden en processen die worden uitgevoerd op het clientsysteem. 138 McAfee Endpoint Security 10.5 Producthandleiding

139 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 3 Tabel 3-23 Geavanceerde opties (vervolg) Sectie Optie Definitie Veiligheidspuls Hierbij wordt voor en na AMCore-inhoudsbestandsupdates en met regelmatige tussenpozen een statuscontrole uitgevoerd op het clientsysteem, waarvan de resultaten naar McAfee worden gestuurd. De resultaten worden versleuteld en via SSL naar McAfee verzonden. Vervolgens verzamelt en analyseert McAfee de gegevens uit deze rapporten om afwijkingen te identificeren die mogelijk wijzen op problemen die gerelateerd zijn aan de inhoud. Het snel vaststellen van dergelijke problemen is van essentieel belang om ze tijdig te kunnen beperken en corrigeren. Met Veiligheidspuls worden de volgende typen gegevens verzameld: Versie en instelling besturingssysteem McAfee-productversie AMCore-inhoud en engineversie Informatie over processen uitgevoerd door McAfee en Microsoft Reputatie van AMCore-inhoud Hierbij wordt een bestandsreputatiecontrole van McAfee GTI uitgevoerd op het AMCore-inhoudsbestanden voordat het clientsysteem wordt bijgewerkt. Als McAfee GTI het bestand toestaat, werkt Endpoint Security de AMCore-inhoud bij. Als McAfee GTI het bestand niet toestaat, werkt Endpoint Security de AMCore-inhoud niet bij. Zie ook Algemene scaninstellingen configureren op pagina 87 AMCore-inhoud terugzetten Hiermee wordt AMCore-inhoud hersteld naar een eerdere versie. Updates van Exploitpreventie-inhoud kunnen niet worden teruggedraaid. Optie Te laden versie selecteren Definitie Hiermee wordt het versienummer van een eerder AMCore-inhoudsbestand opgegeven dat moet worden geladen. Endpoint Security bewaart de vorige twee versies op het clientsysteem. Wanneer u overschakelt naar een eerdere versie, verwijdert Endpoint Security de huidige versie van AMCore-inhoud van het systeem. Zie ook De AMCore-inhoudsversie wijzigen op pagina 28 McAfee Endpoint Security 10.5 Producthandleiding 139

140 3 Bedreigingspreventie Gebruiken Naslaggids voor Endpoint Security-client-interface Bedreigingspreventie 140 McAfee Endpoint Security 10.5 Producthandleiding

141 4 Firewall gebruiken De Firewall fungeert als filter tussen uw computer en het netwerk of internet. Inhoud Zo werkt Firewall Firewall in- en uitschakelen in het McAfee-systeemvakpictogram Getimede groepen van Firewall inschakelen of weergeven via het McAfee-systeemvakpictogram. Firewall beheren Naslaggids voor Endpoint Security-client-interface Firewall Zo werkt Firewall De Firewall scant al het binnenkomende en uitgaande verkeer. Tijdens de controle van binnenkomend of uitgaand verkeer controleert de Firewall de lijst met regels. Dit is een reeks criteria met bijbehorende acties. Als het verkeer aan alle criteria in een regel voldoet, gaat de Firewall te werk op basis van de regel en wordt verkeer via de Firewall geblokkeerd of toegestaan. Informatie over bedreigingsdetecties wordt opgeslagen voor rapporten waarmee de beheerder op de hoogte wordt gesteld van eventuele beveiligingsproblemen op uw computer. Firewall-opties en -regels definiëren hoe de Firewall werkt. Firewall-regels worden georganiseerd in regelgroepen voor eenvoudiger beheer. Als de Clientinterfacemodus is ingesteld op Volledige toegang of als u bent aangemeld als beheerder, kunt u regels en groepen configureren met behulp van Endpoint Security-client. Voor beheerde systemen worden regels en groepen die u maakt, mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert. Zie ook Opties van Firewall configureren op pagina 143 Hoe firewallregels werken op pagina 147 Hoe firewallregelgroepen werken op pagina 149 Firewall in- en uitschakelen in het McAfeesysteemvakpictogram Afhankelijk van uw instellingen kunt u Firewall in- en uitschakelen in het McAfee-systeemvakpictogram. Deze opties zijn mogelijk niet beschikbaar, afhankelijk van hoe de instellingen zijn geconfigureerd. McAfee Endpoint Security 10.5 Producthandleiding 141

142 4 Firewall gebruiken Getimede groepen van Firewall inschakelen of weergeven via het McAfee-systeemvakpictogram. Procedure Klik met de rechtermuisknop op het McAfee-systeemvakpictogram en selecteer de optie Endpoint Security-firewall uitschakelen in het menu Snelinstellingen. Wanneer Firewall is ingeschakeld, is de optie Endpoint Security-firewall uitschakelen. Afhankelijk van de instellingen kan aan u worden gevraagd om een reden op te geven voor het uitschakelen van Firewall. Getimede groepen van Firewall inschakelen of weergeven via het McAfee-systeemvakpictogram. Getimede groepen van Firewall inschakelen, uitschakelen of weergeven via het McAfee-systeemvakpictogram. Deze opties zijn mogelijk niet beschikbaar, afhankelijk van hoe de instellingen zijn geconfigureerd. Procedure Klik met de rechtermuisknop op het McAfee-systeemvakpictogram en selecteer een optie in het menu Snelinstellingen. Getimede groepen van Firewall inschakelen: hiermee worden getimede groepen gedurende een opgegeven tijd ingeschakeld om toegang tot internet toe te staan, voordat regels die de toegang beperken worden toegepast. Wanneer getimede groepen zijn ingeschakeld, is deze optie Getimede groepen van Firewall uitschakelen. Telkens als u deze optie selecteert, wordt de tijd voor de groepen opnieuw ingesteld. Afhankelijk van de instellingen kan aan u worden gevraagd om een reden op te geven voor het inschakelen van getimede groepen. Getimede groepen van Firewall weergeven: hiermee worden de namen van de getimede groepen weergegeven, evenals de actieve tijd die over is voor elke groep. Getimede groepen Getimede groepen zijn regelgroepen van Firewall die gedurende een bepaalde tijd actief zijn. U kunt bijvoorbeeld een getimede groep inschakelen om een clientsysteem verbinding te laten maken met een openbaar netwerk en een VPN-verbinding tot stand te brengen. Afhankelijk van de kunnen groepen als volgt worden geactiveerd: Volgens een bepaald schema. Handmatig door opties te selecteren in het systeemvakpictogram van McAfee. Firewall beheren Als beheerder kunt u Firewall-opties configureren en regels en groepen maken in de Endpoint Security-client. Voor beheerde systemen is het mogelijk dat beleidswijzigingen vanuit McAfee epo wijzigingen vanuit de pagina Instellingen overschrijven. 142 McAfee Endpoint Security 10.5 Producthandleiding

143 Firewall gebruiken Firewall beheren 4 Firewall-opties wijzigen Als beheerder kunt u Firewall-opties bewerken via de Endpoint Security-client. Taken Opties van Firewall configureren op pagina 143 Configureer instellingen in Opties om firewallbeveiliging in en uit te schakelen, de aanpassingsmodus in te schakelen, en andere Firewall-opties te configureren. DNS-verkeer blokkeren op pagina 144 Als u firewallbeveiliging wilt verfijnen, maakt u een lijst van FQDN's die u wilt blokkeren. Firewall blokkeert verbindingen met de IP-adressen die worden omgezet naar de domeinnamen. Netwerken definiëren die in regels en groepen worden gebruikt op pagina 145 Definieer de netwerkadressen, subnetten of bereiken die in regels en groepen moeten worden gebruikt. Optioneel: geef op dat die netwerken vertrouwd zijn. Vertrouwde uitvoerbare bestanden configureren op pagina 146 Definieer of bewerk de lijst met vertrouwde uitvoerbare bestanden die u als veilig beschouwd voor uw omgeving. Zie ook Veelgestelde vragen: McAfee GTI en Firewall op pagina 144 Opties van Firewall configureren Configureer instellingen in Opties om firewallbeveiliging in en uit te schakelen, de aanpassingsmodus in te schakelen, en andere Firewall-opties te configureren. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Selecteer Firewall inschakelen om de firewall te activeren en de opties te bewerken. Host Intrusion Prevention 8.0 kan op hetzelfde systeem worden geïnstalleerd als Endpoint Security Als McAfee Host IPS Firewall is geïnstalleerd en ingeschakeld, wordt Endpoint Security-firewall uitgeschakeld, zelfs als het is ingeschakeld in de beleidsinstellingen. 4 Klik op Geavanceerd weergeven. 5 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Aanmelden als beheerder op pagina 26 McAfee Endpoint Security 10.5 Producthandleiding 143

144 4 Firewall gebruiken Firewall beheren DNS-verkeer blokkeren Als u firewallbeveiliging wilt verfijnen, maakt u een lijst van FQDN's die u wilt blokkeren. Firewall blokkeert verbindingen met de IP-adressen die worden omgezet naar de domeinnamen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Klik onder DNS-blokkering op Toevoegen. 4 Voer de door FQDN in van de domeinen die moeten worden geblokkeerd en klik vervolgens op Opslaan. U kunt de jokertekens * en? gebruiken. Bijvoorbeeld *domein.com. Dubbele vermeldingen worden automatisch verwijderd. 5 Klik op Opslaan. 6 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Veelgestelde vragen: McAfee GTI en Firewall Antwoorden op veelgestelde vragen. Met instellingen voor Firewall Opties kunt u inkomend en uitgaand verkeer blokkeren voor een netwerkverbinding die McAfee GTI heeft geclassificeerd als hoog risico. In deze veelgestelde vragen wordt uitgelegd hoe McAfee GTI werkt en wat het effect is op de firewall. Wat is McAfee GTI? McAfee GTI is een wereldwijd internetreputatiesysteem dat goed en slecht gedrag op internet bepaalt. McAfee GTI gebruikt realtime-analyse van wereldwijde gedrags- en verzendpatronen voor , webactiviteiten, malware en gedrag tussen systemen. Aan de hand van analysegegevens berekent McAfee GTI op dynamische wijze reputatiescores die het risiconiveau voor uw netwerk representeren wanneer u een webpagina bezoekt. Het resultaat is een database met reputatiescores voor IP-adressen, domeinen, specifieke berichten, URL's en afbeeldingen. Voor veelgestelde vragen over McAfee GTI raadpleegt u KB Hoe werkt McAfee GTI samen met Firewall? Wanneer de opties van McAfee GTI worden geselecteerd, worden twee firewallregels gemaakt: McAfee GTI: Endpoint Security Firewall-service toestaan en McAfee GTI: Classificatie verkrijgen. De eerste regel staat een verbinding met McAfee GTI toe en de tweede blokkeert verkeer of staat het toe op basis van de reputatie van de verbinding en de ingestelde blokkeringsdrempel. Wat betekent 'reputatie'? McAfee GTI berekent een reputatiewaarde voor elk IP-adres op internet. McAfee GTI baseert de waarde op het verzend- of hostgedrag en verschillende omgevingsgegevens die zijn verzameld van klanten en partners over de staat van internetdreigingen. De reputatie wordt uitgedrukt in vier klassen, gebaseerd op onze analyse: 144 McAfee Endpoint Security 10.5 Producthandleiding

145 Firewall gebruiken Firewall beheren 4 Niet blokkeren (minimumrisico): deze site is een legitieme bron of bestemming van inhoud/ verkeer. Hoog risico: deze bron/bestemming stuurt of host mogelijk schadelijke inhoud/schadelijk verkeer dat door McAfee als riskant wordt beschouwd. Middelhoog risico: deze bron/bestemming laat gedrag zien dat McAfee als verdacht beschouwt. Alle inhoud/verkeer van de site vereist nader onderzoek. Niet gecontroleerd: deze site lijkt een legitieme bron of bestemming van inhoud/verkeer te zijn, maar heeft ook kenmerken die erop duiden dat verdere inspectie nodig is. Veroorzaakt McAfee GTI vertraging? En hoeveel? Wanneer McAfee GTI wordt gevraagd om een reputatie vast te stellen, is een kleine vertraging onvermijdelijk. McAfee heeft er alles aan gedaan om deze vertraging tot een minimum te beperken. McAfee GTI: Controleert alleen reputaties wanneer de opties zijn geselecteerd. Gebruikt een intelligente cache-architectuur. Bij normale netwerkgebruikspatronen zet de cache de meest gevraagde verbindingen om zonder een livezoekopdracht naar de reputatie. Stopt het verkeer als de firewall de servers van McAfee GTI niet kan bereiken? Als de firewall geen van de servers van McAfee GTI kan bereiken, krijgen alle toepasselijke verbindingen automatisch een standaard toegestane reputatie toegewezen. De firewall blijft vervolgens de regels die volgen, analyseren. Netwerken definiëren die in regels en groepen worden gebruikt Definieer de netwerkadressen, subnetten of bereiken die in regels en groepen moeten worden gebruikt. Optioneel: geef op dat die netwerken vertrouwd zijn. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. McAfee Endpoint Security 10.5 Producthandleiding 145

146 4 Firewall gebruiken Firewall beheren 4 Voer bij Gedefinieerde netwerken een van de volgende acties uit: Als u het volgende wilt doen... Een nieuwe netwerk definiëren. Een netwerkdefinitie wijzigen. Een netwerk verwijderen. Stappen Klik op Toevoegen en voer de gegevens van het vertrouwde netwerk in. Selecteer Ja in de vervolgkeuzelijst Vertrouwd om het netwerk als vertrouwd te definiëren. Als u Nee selecteert, wordt het netwerk gedefinieerd voor gebruik in regels en groepen, maar worden inkomend en uitgaand netwerkverkeer niet automatisch vertrouwd. Dubbelklik in elke kolom op het item en voer de nieuwe gegevens in. Selecteer een rij en klik op Verwijderen. 5 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Vertrouwde netwerken Vertrouwde netwerken zijn IP-adressen, IP-adresbereiken en subnetten die uw organisatie als veilig beschouwd. Het definiëren van een netwerk als vertrouwd zorgt voor een bidirectionele Toestaan-regel voor dat externe netwerk boven in de regellijst van Firewall. Als u vertrouwde netwerken hebt gedefinieerd, kunt u firewallregels maken die daarop van toepassing zijn. Vertrouwde netwerken functioneren ook als uitzonderingen voor McAfee GTI in de firewall. Aanbevolen procedure:wanneer u netwerken toevoegt aan firewallregels en -groepen, selecteer dan Gedefinieerde netwerken als het Netwerktype om van deze functie gebruik te kunnen maken. Vertrouwde uitvoerbare bestanden configureren Definieer of bewerk de lijst met vertrouwde uitvoerbare bestanden die u als veilig beschouwd voor uw omgeving. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 146 McAfee Endpoint Security 10.5 Producthandleiding

147 Firewall gebruiken Firewall beheren 4 4 Voer bij Vertrouwde uitvoerbare bestanden een van de volgende acties uit: Als u het volgende wilt doen... Een nieuw vertrouwd uitvoerbaar bestand definiëren. De definitie van een uitvoerbaar bestand wijzigen. Een uitvoerbaar bestand verwijderen. Stappen Klik op Toevoegen en voer de gegevens van het vertrouwde uitvoerbare bestand in. Dubbelklik in elke kolom op het item en voer de nieuwe gegevens in. Selecteer een rij en klik op Verwijderen. 5 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Vertrouwde uitvoerbare bestanden en toepassingen Vertrouwde uitvoerbare bestanden zijn uitvoerbare bestanden die geen bekende kwetsbaarheden hebben en als veilig worden beschouwd. Het configureren van een vertrouwd uitvoerbaar bestand zorgt voor een bidirectionele Toestaan-regel voor dat uitvoerbare bestand boven in de regellijst van Firewall. Als u een lijst met veilige uitvoerbare bestanden bijhoudt voor een systeem, worden de meeste valse positieven geëlimineerd. Wanneer u bijvoorbeeld een back-upprogramma uitvoert, kunnen er veel onterecht als verdacht aangeduide gebeurtenissen worden geactiveerd. U kunt valse positieven voorkomen door van het back-upprogramma een vertrouwd uitvoerbaar bestand te maken. Een vertrouwd uitvoerbaar bestand is ontvankelijk voor algemene kwetsbaarheden, zoals bufferoverloop en illegaal gebruik. Daarom worden door Firewall ook vertrouwde uitvoerbare bestanden gecontroleerd en gebeurtenissen geactiveerd om exploits te voorkomen. De Firewallcatalogus bevat zowel uitvoerbare bestanden als toepassingen. Uitvoerbare bestanden in de catalogus kunnen worden gekoppeld aan een containertoepassing. U kunt uitvoerbare bestanden en toepassingen uit de catalogus toevoegen aan uw lijst met vertrouwde uitvoerbare bestanden. Wanneer deze lijst is gedefinieerd, kunt u in regels en groepen naar de uitvoerbare bestanden verwijzen. Firewall-regels en -groepen beheren Als beheerder kunt u Firewall-regels en -groepen configureren via de Endpoint Security-client. Taken Firewall -regels en -groepen maken en beheren op pagina 153 Voor beheerde systemen worden regels en groepen die u configureert in de Endpoint Security-client, mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert. Groepen voor isolatie van verbindingen maken op pagina 155 Maak een firewallregelgroep voor isolatie van verbindingen om een reeks regels op te stellen die alleen van toepassing zijn wanneer verbinding wordt gemaakt met een netwerk met bepaalde parameters. Getimede groepen maken op pagina 156 Maak getimede groepen voor de Firewall om internettoegang te beperken tot een clientsysteem verbinding maakt via een VPN. Hoe firewallregels werken Firewallregels bepalen hoe netwerkverkeer wordt verwerkt. Elke regel bevat een reeks voorwaarden waaraan verkeer moet voldoen, en een actie om verkeer toe te staan of te blokkeren. Wanneer Firewall verkeer vindt dat aan de voorwaarden van een regel voldoet, wordt de bijbehorende actie uitgevoerd. McAfee Endpoint Security 10.5 Producthandleiding 147

148 4 Firewall gebruiken Firewall beheren U kunt de regels algemeen (bijvoorbeeld al het IP-verkeer) of specifieker (bijvoorbeeld een specifieke toepassing of service identificeren) definiëren en opties opgeven. U kunt regels groeperen volgens een werkfunctie, service of toepassing om ze gemakkelijker te beheren. Net als regels kunt u regelgroepen definiëren op netwerk, transport, toepassing, planning en locatie. Firewall gebruikt prioriteit om regels toe te passen: 1 Firewall past de regel boven aan de lijst met firewallregels toe. Als het verkeer voldoet aan de voorwaarden van deze regel, wordt het verkeer door Firewall toegestaan of geblokkeerd. Er wordt niet geprobeerd andere regels in de lijst toe te passen. 2 Als het verkeer niet voldoet aan de voorwaarden van de eerste regel, kijkt Firewall naar de volgende regel in de lijst, tot een regel wordt gevonden waaraan het verkeer voldoet. 3 Als er geen regels zijn waaraan wordt voldaan, blokkeert de firewall het verkeer automatisch. Als de adaptieve modus is geactiveerd, wordt een regel gemaakt om het verkeer toe te staan. Soms komt het onderschepte verkeer overeen met meer dan een regel in de lijst. In dit geval betekent voorrang dat Firewall alleen de eerste regel op de lijst waaraan wordt voldaan, toepast. Aanbevolen procedures Zet de specifiekere regels boven aan de lijst en de algemenere regels onderaan. Deze volgorde zorgt dat Firewall het verkeer goed filtert. 148 McAfee Endpoint Security 10.5 Producthandleiding

149 Firewall gebruiken Firewall beheren 4 Als u bijvoorbeeld alle HTTP-aanvragen wilt toestaan met uitzondering van een specifiek adres (bijvoorbeeld IP-adres ), maakt u twee regels: Blokkeringsregel: blokkeer HTTP-verkeer van IP-adres Dit is een specifieke regel. Toestaan-regel: sta al het verkeer toe dat gebruik maakt van de HTTP-service. Dit is een algemene regel. Zet de blokkeringsregel hoger in de lijst met firewallregels dan de toestaan-regel. Wanneer de firewall de HTTP-aanvraag van adres onderschept, is de regel die dit verkeer via de firewall blokkeert, de eerste overeenkomende regel die wordt gevonden. Als de algemene toestaan-regel hoger staat dan de specifieke blokkeringsregel, zoekt Firewall aanvragen bij de toestaan-regel voordat de blokkeringsregel wordt gevonden. Het verkeer wordt nu toegestaan, zelfs als u de HTTP-aanvraag van een specifiek adres wilde blokkeren. Hoe firewallregelgroepen werken Gebruik Firewallregelgroepen om firewallregels te organiseren voor eenvoudiger beheer. Firewall-regelgroepen hebben geen invloed op de manier waarop Firewall de regels erin verwerkt; Firewall verwerkt regels nog steeds van boven naar beneden. Firewall verwerkt de instellingen voor de groep voordat de instellingen voor de regels die de groep bevat, worden verwerkt. Als deze instellingen een conflict bevatten, krijgen de groepsinstellingen voorrang. Locatiedetectie voor groepen instellen Met Firewall kunt u locatiedetectie voor groepsregels instellen en verbindingsisolatie opzetten. Met de Locatie en Netwerkopties van de groep kunt u netwerkadapterdetectie voor de groepen instellen. Gebruik netwerkadaptergroepen om adapterspecifieke regels toe te passen voor computers met meerdere netwerkinterfaces. Nadat u locatiestatus hebt ingeschakeld en de locatie hebt opgegeven, kunnen parameters voor toegestane verbindingen het volgende voor elke netwerkadapter bevatten: Locatie: Vereisen dat McAfee epo bereikbaar is Verbindingsspecifiek DNS-achtervoegsel IP-adres van standaardgateway IP-adres DHCP-server Query uitgevoerd op DNS-server om URL's om te zetten IP-adres primaire WINS-server IP-adres secundaire WINS-server Domeinbereikbaarheid (HTTPS) Registersleutel Netwerken: IP-adres lokaal netwerk Verbindingstypen Als twee groepen met locatiedetectie van toepassing zijn op een verbinding, gebruikt Firewall normale prioriteit en wordt de eerste toepasselijke groep in de regellijst verwerkt. Als er geen regel in de eerste groep overeenkomt, wordt regelverwerking voortgezet. McAfee Endpoint Security 10.5 Producthandleiding 149

150 4 Firewall gebruiken Firewall beheren Wanneer Firewall de parameters van een groep met locatiedetectie bij een actieve verbinding zoekt, worden de regels binnen de groep toegepast. De regels worden als kleine regelset behandeld en normale prioriteit wordt gebruikt. Als sommige regels niet overeenkomen met het onderschepte verkeer, worden ze genegeerd door de firewall. Wanneer deze optie is geselecteerd... Locatiedetectie inschakelen Vereisen dat McAfee epo bereikbaar is Lokaal netwerk Verbindingsspecifiek DNS-achtervoegsel Standaardgateway DHCP-server DNS-server Primaire WINS-server Secundaire WINS-server Domeinbereikbaarheid (HTTPS) Ga daarna als volgt te werk: Er is een locatienaam vereist. De McAfee epo is bereikbaar en de FQDN van de server is omgezet. Het IP-adres van de adapter moet overeenkomen met een van de lijstvermeldingen. Het DNS-achtervoegsel van de adapter moet overeenkomen met een van de lijstvermeldingen. Het gateway-ip-adres van de standaardadapter moet overeenkomen met ten minste een van de lijstvermeldingen. Het IP-adres van de DHCP-server van de adapter moet overeenkomen met ten minste een van de lijstvermeldingen. Het IP-adres van de DNS-server van de adapter moet overeenkomen met een van de lijstvermeldingen. Het IP-adres van de primaire WINS-server van de adapter moet overeenkomen met ten minste een van de lijstvermeldingen. Het IP-adres van de secundaire WINS-server van de adapter moet overeenkomen met ten minste een van de lijstvermeldingen. Het opgegeven domein moet bereikbaar zijn via HTTPS. Firewall-regelgroepen en verbindingsisolatie Gebruik verbindingsisolatie voor groepen om te voorkomen dat ongewenst verkeer toegang krijgt tot een specifiek netwerk. Wanneer isolatie van verbindingen is ingeschakeld voor een groep, en een actieve NIC (Network Interface Card) komt overeen met de groepscriteria, verwerkt Firewall alleen het verkeer dat overeenkomt met: Regels toestaan boven de groep in de lijst met firewallregels Groepscriteria Al het andere verkeer wordt geblokkeerd. Een groep waarvoor isolatie van verbindingen is ingeschakeld, kan geen bijbehorende transportopties of uitvoerbare bestanden hebben. 150 McAfee Endpoint Security 10.5 Producthandleiding

151 Firewall gebruiken Firewall beheren 4 Als voorbeelden van isolatie van verbindingen bekijkt u deze twee situaties: een bedrijfsomgeving en een hotel. De lijst met actieve firewallregels bevat regels en groepen in deze volgorde: 1 Regels voor basisverbinding 2 Regels voor VPN-verbindingen 3 Groep met regels voor zakelijke LAN-verbindingen 4 Groep met regels voor VPN-verbindingen McAfee Endpoint Security 10.5 Producthandleiding 151

152 4 Firewall gebruiken Firewall beheren Voorbeeld: isolatie van verbindingen op het bedrijfsnetwerk Verbindingsregels worden verwerkt tot de groep met regels voor zakelijke LAN-verbindingen wordt aangetroffen. Deze groep bevat de volgende instellingen: Verbindingstype = Met draad Verbindingsspecifiek DNS-achtervoegsel = mijnbedrijf.nl Standaardgateway Isolatie van verbindingen = ingeschakeld De computer heeft zowel LAN- als draadloze netwerkadapters. De computer maakt verbinding met het bedrijfsnetwerk via een verbinding met draad. De draadloze interface is echter nog steeds actief, zodat verbinding wordt gemaakt met een hotspot buiten het kantoor. De computer maakt verbinding met beide netwerken, omdat de regels voor basistoegang boven aan de lijst met firewallregels staan. De LAN-verbinding met draad is actief en voldoet aan de criteria van de zakelijke LAN-groep. De firewall verwerkt het verkeer via de LAN, maar omdat isolatie van verbindingen is ingeschakeld, wordt al het verkeer dat niet via de LAN verloopt, geblokkeerd. Voorbeeld: isolatie van verbindingen in een hotel Verbindingsregels worden verwerkt tot de groep met regels voor VPN-verbindingen wordt aangetroffen. Deze groep bevat de volgende instellingen: Verbindingstype = Virtueel Verbindingsspecifiek DNS-achtervoegsel = vpn.mijnbedrijf.nl IP-adres = een adres in een bereik dat specifiek is voor de VPN-concentrator Isolatie van verbindingen = ingeschakeld Algemene verbindingsregels staan de set-up van een getimede account in het hotel voor internettoegang toe. De VPN-verbindingsregels staan verbinding met en gebruik van de VPN-tunnel toe. Nadat de tunnel tot stand is gebracht, maakt de VPN-client een virtuele adapter die overeenkomt met de criteria van de VPN-groep. Het enige verkeer dat de firewall toestaat, is binnen de VPN-tunnel en het basisverkeer op de daadwerkelijke adapter. Pogingen van andere hotelgasten om via het netwerk toegang te krijgen tot de computer, al dan niet draadloos, worden geblokkeerd. Vooraf gedefinieerde firewallregelgroepen Firewall heeft meerdere vooraf gedefinieerde firewallgroepen. Firewallgroep Kernnetwerken van McAfee Beschrijving Bevat de kernnetwerkregels die door McAfee worden geleverd, en heeft regels om McAfee-toepassingen en DNS toe te staan. U kunt deze regels niet wijzigen of verwijderen. U kunt de groep uitschakelen in Firewall Opties, maar als u dit doet, verstoort dit mogelijk de netwerkcommunicatie op de client. Beheerder toegevoegd Bevat regels die door de beheerder op de beheerserver zijn gedefinieerd. Deze regels kunnen niet worden gewijzigd of verwijderd op de Endpoint Security-client. 152 McAfee Endpoint Security 10.5 Producthandleiding

153 Firewall gebruiken Firewall beheren 4 Firewallgroep Gebruiker toegevoegd Beschrijving Bevat regels die zijn gedefinieerd op de Endpoint Security-client Afhankelijk van de beleidsinstellingen worden deze regels mogelijk overschreven wanneer het beleid wordt gehandhaafd. Adaptief Bevat clientuitzonderingsregels die automatisch worden gemaakt wanneer de Adaptieve modus van het systeem ingeschakeld is. Afhankelijk van de beleidsinstellingen worden deze regels mogelijk overschreven wanneer het beleid wordt gehandhaafd. Standaard Bevat standaardregels die worden geleverd door McAfee. Deze regels kunnen niet worden gewijzigd of verwijderd. Firewall -regels en -groepen maken en beheren Voor beheerde systemen worden regels en groepen die u configureert in de Endpoint Security-client, mogelijk overschreven wanneer de beheerder een bijgewerkt beleid implementeert. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. De groepen en regels worden in volgorde van prioriteit weergegeven in de tabel Firewall-regels. U kunt regels niet op kolom sorteren. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Met de volgende taken worden firewallregels en -groepen beheerd. Taak De regels in een firewallgroep weergeven. Stappen Klik op. Een firewallgroep samenvouwen. Klik op. Een bestaande regel wijzigen. U kunt regels alleen aanpassen in de groep Gebruiker toegevoegd. Een bestaande regel in een groep weergeven. 1 Vouw de groep Gebruiker toegevoegd uit. 2 Dubbelklik op de regel. 3 Wijzig de regelinstellingen. 4 Klik op OK om uw wijzigingen op te slaan. 1 Vouw de groep uit. 2 Selecteer de regel om de details ervan weer te geven in het onderste deelvenster. McAfee Endpoint Security 10.5 Producthandleiding 153

154 4 Firewall gebruiken Firewall beheren Taak Een regel maken. Stappen 1 Klik op Regel toevoegen. 2 Geef de regelinstellingen op. 3 Klik op OK om uw wijzigingen op te slaan. De regel wordt onder aan de groep Gebruiker toegevoegd weergegeven. Kopieën van regels maken. Regels verwijderen. U kunt regels alleen verwijderen uit de groepen Gebruiker toegevoegd en Adaptief. 1 Selecteer de regel of regels en klik op Dupliceren. Gekopieerde regels worden met dezelfde naam weergegeven onder aan de groep Gebruiker toegevoegd. 2 Pas de regels aan om de naam en instellingen te wijzigen. 1 Vouw de groep uit. 2 Selecteer de regel of regels en klik op Verwijderen. Een groep maken. 1 Klik op Groep toevoegen. 2 Geef de groepsinstellingen op. 3 Klik op OK om uw wijzigingen op te slaan. De groep wordt weergegeven in de groep Gebruiker toegevoegd. Regels en groepen verplaatsen binnen en tussen groepen. U kunt regels en groepen alleen in de groep Gebruiker toegevoegd verplaatsen. Elementen verplaatsen: 1 Selecteer elementen om te verplaatsen. De greep wordt weergegeven links van elementen die kunnen worden verplaatst. 2 Versleep de elementen naar de nieuwe locatie. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten. 4 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Jokertekens in firewallregels op pagina 154 Aanmelden als beheerder op pagina 26 Groepen voor isolatie van verbindingen maken op pagina 155 Jokertekens in firewallregels U kunt jokertekens gebruiken voor sommige waarden in firewallregels. Jokertekens in pad- en adreswaarden Gebruik deze jokertekens voor paden van bestanden, registersleutels, uitvoerbare bestanden en URL's. Paden van registersleutels voor locaties van firewallgroepen herkennen jokertekenwaarden niet. 154 McAfee Endpoint Security 10.5 Producthandleiding

155 Firewall gebruiken Firewall beheren 4? Vraagteken Een enkel teken. * Sterretje Meerdere tekens, met uitzondering van slash (/) en backslash (\). Gebruik dit teken voor overeenkomst met de inhoud op hoofdniveau van een map zonder submappen. ** Dubbel sterretje Meerdere tekens, inclusief slash (/) en backslash (\). Pipe Escape-teken jokerteken. Voor het dubbele sterretje (**) is het escape-teken * *. Jokertekens in alle andere waarden Gebruik deze jokertekens voor waarden die gewoonlijk geen padinformatie met slashes bevatten.? Vraagteken Een enkel teken. * Sterretje Meerdere tekens, inclusief slash (/) en backslash (\). Pipe Escape-teken jokerteken. Groepen voor isolatie van verbindingen maken Maak een firewallregelgroep voor isolatie van verbindingen om een reeks regels op te stellen die alleen van toepassing zijn wanneer verbinding wordt gemaakt met een netwerk met bepaalde parameters. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Klik onder REGELS op Groep toevoegen. 4 Geef onder Beschrijving opties voor de groep op. 5 Selecteer onder Locatie de opties Locatiedetectie inschakelen en Isolatie van verbindingen inschakelen. Selecteer vervolgens de locatiecriteria voor het vinden van overeenkomsten. 6 Selecteer onder Netwerken voor Verbindingstypen het type verbinding (Met draad, Draadloos of Virtueel) om op de regels in deze groep toe te passen. Instellingen voor Transport en Uitvoerbare bestanden zijn niet beschikbaar voor groepen voor isolatie van verbindingen. 7 Klik op OK. 8 Maak nieuwe regels in deze groep of verplaats bestaande regels naar deze groep uit de lijst met firewallregels. 9 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. McAfee Endpoint Security 10.5 Producthandleiding 155

156 4 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall Zie ook Firewall-regelgroepen en verbindingsisolatie op pagina 150 Hoe firewallregelgroepen werken op pagina 149 Getimede groepen maken Maak getimede groepen voor de Firewall om internettoegang te beperken tot een clientsysteem verbinding maakt via een VPN. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Firewall op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Firewall op de pagina Instellingen. 3 Maak een Firewall-groep met standaardinstellingen waarmee een internetverbinding wordt toegestaan. Sta bijvoorbeeld poort 80 HTTP-verkeer toe. 4 Selecteer in de sectie Schema hoe de groep wordt ingeschakeld. Schema inschakelen: hier geeft u de begin- en een eindtijd voor het inschakelen van de groep op. Planning uitschakelen en de groep inschakelen via het McAfee-pictogram in het systeemvak: gebruikers kunnen de groep inschakelen via het McAfee-systeemvakpictogram en de groep het opgegeven aantal minuten ingeschakeld laten. Als gebruikers de getimede groep mogen beheren, kunt u eisen dat ze een reden opgeven voor het inschakelen van de groep. 5 Klik op OK om uw wijzigingen op te slaan. 6 Maak een groep voor verbindingsisolatie die overeenkomt met het VPN-netwerk en waarmee het vereiste verkeer wordt toegestaan. Aanbevolen procedure: als u in het clientsysteem alleen uitgaand verkeer van de groep voor verbindingsisolatie van wilt toestaan, plaatst u geen Firewallregels onder deze groep. 7 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Groepen voor isolatie van verbindingen maken op pagina 155 Naslaggids voor Endpoint Security-client-interface Firewall Biedt contextafhankelijke hulp voor pagina's in de interface van Endpoint Security-client. Inhoud Firewall: opties Firewall: regels 156 McAfee Endpoint Security 10.5 Producthandleiding

157 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall 4 Firewall: opties De Firewall-module in- en uitschakelen, beveiligingsopties inschakelen en netwerken en vertrouwde uitvoerbare bestanden definiëren. Als u de standaardinstellingen van McAfee wilt herstellen en uw wijzigingen wilt annuleren, klikt u op Standaardwaarden. Zie de instellingen in de module Gedeelde instellingen voor configuratie van logboekregistratie. Host Intrusion Prevention 8.0 kan op hetzelfde systeem worden geïnstalleerd als Endpoint Security Als McAfee Host IPS Firewall is geïnstalleerd en ingeschakeld, wordt Endpoint Security-firewall uitgeschakeld, zelfs als het is ingeschakeld in de beleidsinstellingen. Tabel 4-1 Opties Sectie Optie Definitie Beveiligingsopties Firewall inschakelen Verkeer voor niet-ondersteunde protocollen toestaan Alleen uitgaand verkeer toestaan totdat firewallservices zijn gestart Hiermee wordt de module Firewall in- en uitgeschakeld. Hiermee wordt alle verkeer toegestaan dat niet-ondersteunde protocollen gebruikt. Als deze optie is uitgeschakeld, wordt alle verkeer dat niet-ondersteunde protocollen gebruikt, geblokkeerd. Hiermee wordt uitgaand verkeer wel, maar inkomend verkeer niet toegestaan tot de service Firewall wordt gestart. Als deze optie is uitgeschakeld, staat Firewall al het verkeer toe voordat services zijn gestart, waardoor het systeem mogelijk kwetsbaar is. Verkeer via bruggen toestaan Hiermee wordt toegestaan: Inkomende pakketten als het doel-mac-adres binnen het ondersteunde MAC-adresbereik van de VM ligt en geen lokaal MAC-adres in het systeem is. Uitgaande pakketten als het bron-mac-adres binnen het ondersteunde MAC-adresbereik ligt en geen lokaal MAC-adres in het systeem is. Waarschuwingen voor firewallinbraak inschakelen Hiermee worden automatisch waarschuwingen weergegeven wanneer Firewall een potentiële aanval detecteert. DNS-blokkering Domeinnaam Hiermee worden de domeinnamen opgegeven die moeten worden geblokkeerd. Indien toegepast voegt deze instelling een regel toe hoog in de firewallregels die verbindingen blokkeert met de IP-adressen die omgezet worden naar de domeinnamen. Toevoegen: hiermee wordt een domeinnaam aan de lijst Geblokkeerd toegevoegd. Scheid meerdere domeinen met een komma (,) of een Enter-teken. U kunt de jokertekens * en? gebruiken. Bijvoorbeeld *domein.com. Dubbele vermeldingen worden automatisch verwijderd. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt de geselecteerde domeinnaam van de lijst Geblokkeerd verwijderd. McAfee Endpoint Security 10.5 Producthandleiding 157

158 4 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall Tabel 4-2 Geavanceerde opties Sectie Optie Definitie Aanpassingsopties Adaptieve modus inschakelen Hiermee worden automatisch regels gemaakt om verkeer toe te staan. Aanbevolen procedure: schakel de Adaptieve modus alleen tijdelijk op enkele systemen in bij het aanpassen van Firewall. Het inschakelen van deze modus kan veel clientregels genereren die de McAfee epo-server moet verwerken, wat een negatieve invloed heeft op de prestaties. Kernnetwerkregels van McAfee uitschakelen Hiermee worden de ingebouwde netwerkregels van McAfee uitgeschakeld (in de regelgroep Kernnetwerkregels van McAfee). (Standaard uitgeschakeld) Als deze optie wordt ingeschakeld, kan netwerkcommunicatie op de client worden verstoord. Alle geblokkeerde verkeer registreren Alle toegestane verkeer registreren Hiermee wordt al het geblokkeerde verkeer in het Firewall-gebeurtenislogboek (FirewallEventMonitor.log) op de Endpoint Security-client geregistreerd. (Standaard ingeschakeld) Hiermee wordt al het toegestane verkeer in het Firewall-gebeurtenislogboek (FirewallEventMonitor.log) op de Endpoint Security-client geregistreerd. (Standaard uitgeschakeld) Wanneer u deze optie inschakelt, kan dit een negatieve invloed op prestaties hebben. McAfee GTI-netwerkreputatie McAfee GTI-overeenkomst beschouwen als inbraak Overeenkomend verkeer registreren Alle uitvoerbare bestanden blokkeren die niet worden vertrouwd Behandelt verkeer dat overeenkomt met de McAfee GTI-drempelwaarde voor blokkering als een inbraak. Als u deze optie inschakelt, ziet u een waarschuwing, wordt een gebeurtenis naar de beheerserver gestuurd en wordt de gebeurtenis toegevoegd aan het logboekbestand van de Endpoint Security-client. Alle IP-adressen voor vertrouwde netwerken worden van McAfee GTI-opzoekacties uitgesloten. (Standaard ingeschakeld) Behandelt verkeer dat overeenkomt met de McAfee GTI-drempelwaarde voor blokkering als een detectie. Als u deze optie inschakelt, wordt een gebeurtenis naar de beheerserver gestuurd en wordt de gebeurtenis toegevoegd aan het logboekbestand van de Endpoint Security-client. (Standaard ingeschakeld) Alle IP-adressen voor vertrouwde netwerken worden van McAfee GTI-opzoekacties uitgesloten. Blokkeert alle uitvoerbare bestanden die niet zijn ondertekend of die een onbekende McAfee GTI-reputatie hebben. 158 McAfee Endpoint Security 10.5 Producthandleiding

159 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall 4 Tabel 4-2 Geavanceerde opties (vervolg) Sectie Optie Definitie Drempelwaarde voor reputatie van inkomend netwerk Drempelwaarde voor reputatie van uitgaand netwerk Hiermee wordt de McAfee GTI-drempelwaarde voor classificatie opgegeven om inkomend of uitgaand verkeer van een netwerkverbinding te blokkeren. Niet blokkeren: deze site lijkt een legitieme bron of bestemming van inhoud/verkeer te zijn. Hoog risico: deze bron/bestemming stuurt of host mogelijk schadelijke inhoud/schadelijk verkeer dat door McAfee als riskant wordt beschouwd. Middelhoog risico: deze bron/bestemming laat gedrag zien dat McAfee als verdacht beschouwt. Alle inhoud/verkeer van de site vereist nader onderzoek. Niet gecontroleerd: deze site lijkt een legitieme bron of bestemming van inhoud/verkeer te zijn, maar heeft ook kenmerken die erop duiden dat verdere controle noodzakelijk is. Stateful Firewall Gedefinieerde netwerken FTP-protocolinspectie gebruiken Aantal seconden (1-240) voordat er een time-out voor de TCP-verbinding optreedt Aantal seconden (1-300) voordat er een time-out voor de virtuele UDP- en ICMP-echoverbindingen optreedt Adrestype Hiermee kunnen FTP-verbindingen worden bijgehouden, zodat slechts één firewallregel is vereist voor uitgaand FTP-clientverkeer en binnenkomend FTP-serververkeer. Als de optie niet is geselecteerd, vereisen FTP-verbindingen een afzonderlijke regel voor binnenkomend FTP-clientverkeer en uitgaand FTP-serververkeer. Hiermee wordt in seconden opgegeven hoelang een niet-gevestigde TCP-verbinding actief blijft als niet langer pakketten worden verzonden of ontvangen die met de verbinding overeenkomen.. Het geldige bereik is Hiermee wordt in seconden opgegeven hoelang een virtuele UDP- of ICMP-echoverbinding actief blijft als niet langer pakketten worden verzonden of ontvangen die met de verbinding overeenkomen. Deze optie wordt opnieuw ingesteld op de geconfigureerde waarde wanneer een pakket wordt verzonden of ontvangen dat overeenkomt met de virtuele verbinding.. Het geldige bereik is Hiermee worden de netwerkadressen, subnetten of bereiken opgegeven die in regels en groepen moeten worden gebruikt. Toevoegen: een netwerkadres, subnet of bereik aan de gedefinieerde lijst met netwerken toevoegen. Klik op Toevoegen en vul de velden in de rij in om het netwerk te definiëren. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt het geselecteerde adres uit de lijst met gedefinieerde netwerken verwijderd. Hiermee wordt het adrestype van het te definiëren netwerk opgegeven. McAfee Endpoint Security 10.5 Producthandleiding 159

160 4 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall Tabel 4-2 Geavanceerde opties (vervolg) Sectie Optie Definitie Vertrouwd Ja: hiermee wordt alle verkeer van het netwerk toegestaan, ongeacht de regels. Het definiëren van een netwerk als vertrouwd zorgt voor een bidirectionele Toestaan-regel voor dat externe netwerk boven in de regellijst van Firewall. Nee: hiermee wordt het netwerk toegevoegd aan de lijst met gedefinieerde netwerken voor het maken van regels. Uitvoerbare bestanden Eigenaar Hiermee worden uitvoerbare bestanden opgegeven die in elke omgeving kunnen worden uitgevoerd en geen bekende kwetsbaarheden hebben. Deze uitvoerbare bestanden mogen alle bewerkingen uitvoeren, behalve bewerkingen die suggereren dat de uitvoerbare bestanden zijn aangevallen. Het configureren van een vertrouwd uitvoerbaar bestand zorgt voor een bidirectionele Toestaan-regel voor dat uitvoerbare bestand boven in de regellijst van Firewall. Toevoegen: hiermee wordt een vertrouwd uitvoerbaar bestand toegevoegd. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt het uitvoerbare bestand uit de lijst met vertrouwde items verwijderd. Zie ook Opties van Firewall configureren op pagina 143 Netwerken definiëren die in regels en groepen worden gebruikt op pagina 145 Vertrouwde uitvoerbare bestanden configureren op pagina 146 Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 167 Firewall: regels Beheer firewallregels en -groepen. U kunt regels en groepen alleen in de groep Gebruiker toegevoegd toevoegen en verwijderen. Firewall verplaatst toegevoegde regels automatisch naar deze groep. Als u de fabrieksinstellingen wilt herstellen en uw wijzigingen wilt annuleren, klikt u op Standaardwaarden. Tabel 4-3 Opties Sectie Optie Definitie Regel Groep REGELS Regel toevoegen Hiermee wordt een firewallregel gemaakt. Groep toevoegen Dubbelklik op een item Dupliceren Hiermee wordt een firewallgroep gemaakt. Hiermee wordt het geselecteerde item gewijzigd. Hiermee wordt een kopie van het geselecteerde item gemaakt. 160 McAfee Endpoint Security 10.5 Producthandleiding

161 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall 4 Tabel 4-3 Opties (vervolg) Sectie Optie Definitie Regel Groep Verwijderen Hiermee wordt een geselecteerd firewallitem verwijderd. Hiermee worden elementen aangegeven die in de lijst kunnen worden verplaatst. Selecteer elementen en sleep ze naar de nieuwe locatie. Er verschijnt een blauwe lijn tussen elementen waar u de versleepte elementen kunt neerzetten. Zie ook Firewall -regels en -groepen maken en beheren op pagina 153 Regel toevoegen of Regel bewerken, Groep toevoegen of Groep bewerken op pagina 161 Regel toevoegen of Regel bewerken, Groep toevoegen of Groep bewerken Firewallregels en -groepen toevoegen of bewerken. Tabel 4-4 Opties Sectie Optie Definitie Regel Groep Beschrijving Naam Hiermee wordt de beschrijving van het item opgegeven (verplicht). Status Hiermee wordt het item in- of uitgeschakeld. Acties opgeven Toestaan: hiermee wordt verkeer door de firewall toegestaan als het item overeenkomt. Block (Blokkeren): hiermee wordt verkeer door de firewall geblokkeerd als het item overeenkomt. Overeenkomst beschouwen als inbraak: hiermee wordt verkeer dat overeenkomt met de regel als een inbraak beschouwd. Als u deze optie inschakelt, ziet u een waarschuwing, wordt een gebeurtenis naar de beheerserver gestuurd en wordt de gebeurtenis toegevoegd aan het logboekbestand van de Endpoint Security-client. Aanbevolen procedure: het wordt afgeraden deze optie in te schakelen voor een Toestaan-regel omdat dit leidt tot veel gebeurtenissen. Locatie Richting Opmerkingen Locatiedetectie inschakelen Overeenkomend verkeer registreren: hiermee wordt verkeer dat overeenkomt met de regel als een detectie behandeld. Als u deze optie inschakelt, wordt een gebeurtenis naar de beheerserver gestuurd en wordt de gebeurtenis toegevoegd aan het logboekbestand van de Endpoint Security-client. Hiermee wordt de richting opgegeven: Beide: bewaakt binnenkomend en uitgaand verkeer. In: bewaakt binnenkomend verkeer. Uit: bewaakt uitgaand verkeer. Meer informatie over het item. Hiermee wordt locatie-informatie voor de groep in- of uitgeschakeld. McAfee Endpoint Security 10.5 Producthandleiding 161

162 4 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall Tabel 4-4 Opties (vervolg) Sectie Optie Definitie Regel Groep Naam Hiermee geeft u de naam van de locatie op (vereist). Verbindingsisolatie inschakelen Hiermee wordt verkeer geblokkeerd op netwerkadapters die niet overeenkomen met de groep, wanneer een adapter aanwezig is die niet overeenkomt met de groep. Instellingen voor Transport en Uitvoerbare bestanden zijn niet beschikbaar voor groepen voor isolatie van verbindingen. Deze optie kan onder andere worden gebruikt om verkeer te blokkeren dat wordt gegenereerd door mogelijk ongewenste bronnen buiten het bedrijfsnetwerk. Zo wordt voorkomen dat dit verkeer het bedrijfsnetwerk binnenkomt. Verkeer kan alleen op deze manier geblokkeerd worden als de groep in de firewall niet voorafgegaan wordt door een regel die het verkeer toestaat. Wanneer isolatie van verbindingen ingeschakeld is en een NIC komt overeen met de groep, wordt verkeer alleen toegestaan wanneer aan een van de volgende voorwaarden wordt voldaan: Verkeer komt overeen met een Toestaan-regel vóór de groep. Verkeer dat over een NIC gaat, komt overeen met de groep en er staat een regel in of onder de groep die het verkeer toestaat. Als er geen NIC met de groep overeenkomt, wordt de groep genegeerd en het overeenstemmen van regels voortgezet. Vereisen dat McAfee epo bereikbaar is Wanneer dit geselecteerd is kan de groep alleen overeenkomsten vinden als communicatie met de McAfee epo-server mogelijk is en de FQDN van de server is omgezet. 162 McAfee Endpoint Security 10.5 Producthandleiding

163 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall 4 Tabel 4-4 Opties (vervolg) Sectie Optie Definitie Regel Groep Locatiecriteria Verbindingsspecifiek DNS-achtervoegsel: hiermee wordt een verbindingsspecifiek DNS-achtervoegsel opgegeven in de indeling: example.com. Standaardgateway: hiermee wordt één IP-adres opgegeven voor een standaardgateway in IPv4- of IPv6-indeling. DHCP-server: hiermee wordt één IP-adres opgegeven voor een DHCP-server in IPv4- of IPv6-indeling. DNS-server: hiermee wordt één IP-adres opgegeven voor een domeinnaamserver in IPv4- of IPv6-indeling. Primaire WINS-server: hiermee wordt één IP-adres opgegeven voor een primaire WINS-server in IPv4- of IPv6-indeling. Secondaire WINS-server: hiermee wordt één IP-adres opgegeven voor een secundaire WINS-server in IPv4- of IPv6-indeling. Domeinbereikbaarheid (HTTPS): hiermee wordt gecontroleerd of het opgegeven domein bereikbaar is via HTTPS. Registersleutel: de registersleutel en sleutelwaarde. 1 Klik op Toevoegen. 2 Geef in de kolom Waarde de registersleutel op in de volgende indeling: <ROOT>\<KEY>\[VALUE_NAME] <ROOT>: moet de volledige hoofdnaam gebruiken, zoals HKEY_LOCAL_MACHINE, en niet de afkorting HKLM. <KEY>: de sleutelnaam onder de hoofdnaam. [VALUE_NAME]: is de naam van de sleutelwaarde. Als er geen waardenaam is opgenomen, wordt van de standaardwaarde uitgegaan. Voorbeelden van indelingen: IPv IPv6 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 Netwerken Netwerkprotocol Elk protocol Hiermee worden de netwerkhostopties opgegeven die van toepassing zijn op het item. Hiermee wordt het netwerkprotocol opgegeven dat van toepassing is op het item. Zowel IP- als niet-ip-protocollen zijn toegestaan. Als er een transportprotocol of een toepassing is opgegeven, zijn alleen IP-protocollen toegestaan. McAfee Endpoint Security 10.5 Producthandleiding 163

164 4 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall Tabel 4-4 Opties (vervolg) Sectie Optie Definitie Regel Groep IP-protocol Hiermee worden niet-ip-protocollen uitgesloten. IPv4-protocol IPv6-protocol Als geen van beide selectievakjes zijn ingeschakeld, is een willekeurig IP-protocol van toepassing. Zowel IPv4 als IPv6 kunnen worden geselecteerd. Niet-IP-protocol Verbindingstypen Netwerken opgeven Omvat alleen niet-ip-protocollen. Selecteer EtherType in de lijst: hiermee wordt een EtherType opgegeven. Geef aangepast EtherType op: hiermee worden de vier tekens van een hexadecimale EtherType-waarde van het niet-ip-protocol opgegeven. Zie Ethernetnummers voor EtherType-waarden. Typ bijvoorbeeld 809B voor AppleTalk, 8191 voor NetBEUI of 8037 voor IPX. Hiermee wordt aangegeven of een of alle verbindingstypen van toepassing zijn: Bekabeld Draadloos Virtueel Het verbindingstype Virtueel is een adapter die wordt aangeboden door een VPN of een toepassing voor virtuele machines, zoals VMware, in plaats van een fysieke adapter. Hiermee worden de netwerken opgegeven die van toepassing zijn op het item. Toevoegen: hiermee wordt een netwerk gemaakt en toegevoegd. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt het netwerk uit de lijst verwijderd. Transport Hiermee worden de transportopties opgegeven die van toepassing zijn op het item. 164 McAfee Endpoint Security 10.5 Producthandleiding

165 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall 4 Tabel 4-4 Opties (vervolg) Sectie Optie Definitie Regel Groep Transportprotocol Hiermee wordt het transportprotocol opgegeven dat aan het item is gekoppeld. Selecteer het protocol en klik op Toevoegen om poorten toe te voegen. Alle protocollen: hiermee worden IP-, niet-ip- en niet-ondersteunde protocollen toegestaan. TCP en UDP: selecteer een item in de vervolgkeuzelijst: Lokale poort: hiermee wordt de service of poort van het lokale verkeer opgegeven waarop het item van toepassing is. Externe poort: hiermee wordt de service of poort van het verkeer op een andere computer opgegeven waarop het item van toepassing is. Lokale poort en Externe poort kunnen zijn: Eén service, bijvoorbeeld 23. Een bereik, bijvoorbeeld Een door komma's gescheiden lijst met enkelvoudige poorten en bereiken, Bijvoorbeeld 80, 8080, 1 10, 8443 (tot vier items). Regels zijn standaard van toepassing op alle services en poorten. ICMP: in de vervolgkeuzelijst Type bericht geeft u een ICMP-berichttype op. Zie ICMP. ICMPv6: in de vervolgkeuzelijst Type bericht geeft u een ICMP-berichttype op. Zie ICMPv6. Overige : hiermee selecteert u een optie in een lijst met minder bekende protocollen. Uitvoerbare bestanden Schema Hiermee worden de uitvoerbare bestanden opgegeven die van toepassing zijn op de regel. Toevoegen: hiermee wordt een uitvoerbaar bestand gemaakt en toegevoegd. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: hiermee wordt een uitvoerbaar bestand uit de lijst verwijderd. Hiermee worden de planningsinstellingen voor de regel of groep gespecificeerd. McAfee Endpoint Security 10.5 Producthandleiding 165

166 4 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall Tabel 4-4 Opties (vervolg) Sectie Optie Definitie Regel Groep Schema inschakelen Hiermee wordt het schema voor de getimede regel of groep ingeschakeld. Wanneer de planning is uitgeschakeld, zijn de regels in de groep niet van toepassing. Begintijd: hiermee wordt de begintijd aangegeven waarop het schema moet worden ingeschakeld. Eindtijd: hiermee wordt het tijdstip aangegeven waarop het schema moet worden uitgeschakeld. Dagen van de week: hiermee worden de dagen van de week aangegeven waarop het schema moet worden geactiveerd. Gebruik een 24-uursnotatie voor de begin- en eindtijd. Bijvoorbeeld 13:00 = 1 uur 's middags U kunt getimede groepen van Firewall plannen of de gebruiker toestaan om deze in te schakelen via het McAfee-systeemvakpictogram. Schema uitschakelen en de groep inschakelen via het McAfee-pictogram in het systeemvak Hiermee wordt opgegeven dat de gebruiker de getimede groep voor een ingesteld aantal minuten kan inschakelen via het McAfee-pictogram in het systeemvak in plaats van het schema te gebruiken. Aanbevolen procedure: gebruik deze optie om brede netwerktoegang toe te staan voordat een VPN-verbinding tot stand kan worden gebracht, bijvoorbeeld in een hotel. Als u deze optie selecteert worden meer menu-opties weergegeven onder Snelinstellingen in het McAfee-systeemvakpictogram. Getimede groepen van Firewall inschakelen: hiermee worden getimede groepen gedurende een opgegeven tijd ingeschakeld om toegang tot internet toe te staan, voordat regels die de toegang beperken worden toegepast. Wanneer getimede groepen zijn ingeschakeld, is deze optie Getimede groepen van Firewall uitschakelen. Telkens als u deze optie selecteert, wordt de tijd voor de groepen opnieuw ingesteld. Afhankelijk van de instellingen kan aan u worden gevraagd om een reden op te geven voor het inschakelen van getimede groepen. Getimede groepen van Firewall weergeven: hiermee worden de namen van de getimede groepen weergegeven, evenals de actieve tijd die over is voor elke groep. Aantal minuten (1-60) om groep in te schakelen Hiermee wordt opgegeven hoeveel minuten (1-60) de getimede groep moet worden ingeschakeld nadat Getimede groepen van Firewall inschakelen is geselecteerd via het McAfee-systeemvakpictogram. 166 McAfee Endpoint Security 10.5 Producthandleiding

167 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall 4 Zie ook Firewall -regels en -groepen maken en beheren op pagina 153 Getimede groepen maken op pagina 156 Getimede groepen van Firewall inschakelen of weergeven via het McAfeesysteemvakpictogram. op pagina 142 Pagina Netwerk toevoegen of Netwerk bewerken op pagina 168 Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken op pagina 167 Uitvoerbaar bestand toevoegen of Uitvoerbaar bestand bewerken Een uitvoerbaar bestand dat aan een regel of groep is gekoppeld toevoegen en bewerken. Tabel 4-5 Opties Optie Naam Definitie De naam van het uitvoerbare bestand. Dit veld is verplicht met ten minste één ander veld: Bestandsnaam of -pad, Bestandsbeschrijving, MD5-hash of ondertekenaar. Bestandsnaam of -pad De naam of het pad van het uitvoerbare bestand dat moet worden toegevoegd of bewerkt. Klik op Bladeren om het uitvoerbare bestand te selecteren. Het bestandspad mag jokertekens bevatten. Bestandsbeschrijving MD5-hash Geeft de beschrijving van het bestand aan. Hiermee wordt de MD5-hash (32-cijferige hexadecimale nummer) van het proces aangegeven. McAfee Endpoint Security 10.5 Producthandleiding 167

168 4 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall Tabel 4-5 Opties (vervolg) Optie Ondertekenaar Definitie Controle op digitale handtekening inschakelen: Hiermee wordt gegarandeerd dat code niet is gewijzigd of beschadigd sinds de code is ondertekend met een cryptografische hash. Als de optie is ingeschakeld, geeft u het volgende op: Elke handtekening toestaan: hiermee worden bestanden toegestaan die zijn ondertekend door een willekeurige procesondertekenaar. Ondertekend door: hiermee worden alleen bestanden toegestaan die zijn ondertekend door de opgegeven procesondertekenaar. Een SDN (Signer Distinguished Name) voor het uitvoerbare bestand is vereist en moet exact overeenkomen met de invoer in het bijbehorende veld, inclusief komma's en spaties. De procesondertekenaar wordt in de juiste indeling weergegeven in het gebeurtenislogboek van Endpoint Security-client en het logboek met bedreigingsgebeurtenissen van McAfee epo. Bijvoorbeeld: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Zo haalt u de SDN van een uitvoerbaar bestand op: 1 Klik met de rechtermuisknop op een uitvoerbaar bestand en selecteer Eigenschappen. 2 Selecteer een ondertekenaar op het tabblad Digitale handtekeningen en klik op Details. 3 Klik op het tabblad Algemeen op Certificaat weergeven. 4 Selecteer op het tabblad Details het veld Aanvrager. De Signer Distinguished Name wordt weergegeven. Firefox heeft bijvoorbeeld de volgende Signer Distinguished Name: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Opmerkingen Meer informatie over het item. Pagina Netwerk toevoegen of Netwerk bewerken Hiermee wordt een netwerk toegevoegd of bewerkt dat is gekoppeld aan een regel of groep. Tabel 4-6 Opties Optie Definitie Regel Groep Naam Type Hiermee wordt de naam van het netwerkadres opgegeven (verplicht). Hiermee wordt een van de volgende opties geselecteerd: Lokaal netwerk: hiermee wordt een lokaal netwerk gemaakt en toegevoegd. Extern netwerk: hiermee wordt een extern netwerk gemaakt en toegevoegd. 168 McAfee Endpoint Security 10.5 Producthandleiding

169 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall 4 Tabel 4-6 Opties (vervolg) Optie Definitie Regel Groep Toevoegen Dubbelklik op een item Verwijderen Adrestype Adres Hiermee wordt een netwerktype aan de netwerklijst toegevoegd. Hiermee wordt het geselecteerde item gewijzigd. Hiermee wordt het geselecteerde item verwijderd. Hiermee wordt de afkomst of de bestemming van het verkeer opgegeven. Maak een selectie in de vervolgkeuzelijst Adrestype. Hiermee worden het IP-adres opgegeven dat aan het netwerk moeten worden toegevoegd. Jokertekens zijn toegestaan. Zie ook Adrestype op pagina 169 Adrestype Specificeer het adrestype voor een gedefinieerd netwerk. Tabel 4-7 Opties Optie Eén IP-adres Definitie Hiermee wordt een specifiek IP-adres opgegeven. Bijvoorbeeld: IPv IPv6 2001:db8::c0fa:f340:9219:bd20:9832:0ac7* Subnet Hiermee wordt het subnetadres van een willekeurige adapter op het netwerk opgegeven. Bijvoorbeeld: IPv /24 IPv6 2001:db8::0/32 Lokaal subnet Bereik Hiermee wordt het subnetadres van de lokale adapter opgegeven. Hiermee wordt een reeks IP-adressen opgegeven. Voer het begin- en eindpunt van het bereik in. Bijvoorbeeld: IPv IPv6 2001:db8::0000:0000:0000: :db8::ffff:ffff:ffff:ffff Fully Qualified Domain Name Elk lokaal IP-adres Elk IPv4-adres Elk IPv6-adres Hiermee wordt de FQDN opgegeven. Bijvoorbeeld Hiermee wordt een willekeurig lokaal IP-adres opgegeven. Hiermee wordt een willekeurig IPv4-adres opgegeven. Hiermee wordt een willekeurig IPv6-adres opgegeven. McAfee Endpoint Security 10.5 Producthandleiding 169

170 4 Firewall gebruiken Naslaggids voor Endpoint Security-client-interface Firewall 170 McAfee Endpoint Security 10.5 Producthandleiding

171 5 Webcontrole 5 gebruiken Beveiligingsfuncties van Webcontrole verschijnen in uw browser terwijl u surft of zoekt. Inhoud Functies van Webcontrole Webcontrole-functies gebruiken Webcontrole beheren Naslaggids voor Endpoint Security-client-interface Webcontrole Functies van Webcontrole Terwijl Webcontrole op elk beheerde systeem wordt uitgevoerd, stelt de toepassing gebruikers op de hoogte van bedreigingen terwijl ze op websites zoeken of surfen. Een McAfee-team analyseert elke website en wijst op basis van testresultaten een veiligheidsclassificatie met kleurcodering toe. De kleur geeft het veiligheidsniveau van de website aan. De software gebruikt de testresultaten om gebruikers op de hoogte te brengen van webbedreigingen die ze kunnen tegenkomen. Op pagina's met zoekresultaten: er wordt een pictogram naast elke vermelde website weergegeven. De kleur van het pictogram geeft de veiligheidsclassificatie van de website aan. Gebruikers hebben met de pictogrammen toegang tot meer informatie. In het browservenster: er wordt in de browser een knop weergegeven. De kleur van de knop geeft de veiligheidsclassificatie van de website aan. Gebruikers kunnen op de knop klikken voor meer informatie. De knop stelt gebruikers ook op de hoogte van communicatieproblemen en biedt snelle toegang tot tests die helpen om algemene diagnoses te stellen. In veiligheidsrapporten: details geven aan hoe de veiligheidsclassificatie is berekend op basis van typen gedetecteerde bedreigingen, testresultaten en andere gegevens. Voor beheerde systemen kunnen beheerders beleidsregels maken om: Webcontrole op het systeem in of uit te schakelen, en te voorkomen of toe te staan dat de browserinvoegtoepassing wordt uitgeschakeld. Toegang tot sites, pagina's en downloads te regelen, gebaseerd op hun veiligheidsclassificatie of type inhoud. Bijvoorbeeld rode sites blokkeren en gebruikers waarschuwen wanneer ze gele sites openen. Sites te identificeren als geblokkeerd of toegestaan op basis van URL's en domeinen. Te voorkomen dat gebruikers bestanden, registersleutels, registerwaarden, services en processen van Webcontrole verwijderen of wijzigen. McAfee Endpoint Security 10.5 Producthandleiding 171

172 5 Webcontrole gebruiken Functies van Webcontrole De melding aan te passen die wordt weergegeven wanneer gebruikers proberen naar een geblokkeerde website te gaan. Browseractiviteit op netwerkcomputers te controleren en regelen, en gedetailleerde rapporten over websites te maken. Voor systemen in eigen beheer kunt u instellingen configureren om: Webcontrole op uw systeem in of uit te schakelen. Toegang tot sites, pagina's en downloads te regelen, gebaseerd op hun veiligheidsclassificatie of type inhoud. Bijvoorbeeld rode sites blokkeren en gebruikers waarschuwen wanneer ze gele sites openen. Ondersteunde en niet-ondersteunde browsers Webcontrole: ondersteunt de volgende browsers: Microsoft Internet Explorer 11 Google Chrome: huidige versie Chrome biedt geen ondersteuning voor de optie Ballon weergeven. Mozilla Firefox: huidige versie Mozilla Firefox ESR (Extended Support Release): huidige en vorige versie Omdat Google en Mozilla vrij regelmatig nieuwe versies uitgeven, is het mogelijk dat Webcontrole niet werkt met een nieuwe update. Er wordt zo snel mogelijk een patch voor Webcontrole uitgegeven om de wijzigingen van Google of Mozilla te ondersteunen. Webcontrole biedt geen ondersteuning voor Microsoft Edge. Zie KB82761 voor de meest recente informatie over browsers die door Webcontrole worden ondersteund. Op systemen in eigen beheer zijn alle browsers standaard toegestaan, ongeacht of ze ondersteund of niet ondersteund zijn. Zie ook De knop Webcontrole geeft bedreigingen tijdens het surfen weer op pagina 173 Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken op pagina 174 Siterapporten bieden informatie op pagina 174 Hoe veiligheidsclassificaties worden samengesteld op pagina McAfee Endpoint Security 10.5 Producthandleiding

173 Webcontrole gebruiken Functies van Webcontrole 5 Hoe Webcontrole een site of download blokkeert of voorziet van een waarschuwing Wanneer een gebruiker vanuit een website een bron bezoekt of opent die is geblokkeerd of waarvoor wordt gewaarschuwd, wordt door Webcontrole een pagina of pop-upbericht met de reden daarvoor weergegeven. Als classificatieacties voor een site zijn ingesteld op: Waarschuwen: Webcontrole geeft een bericht weer om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan de site. Met Annuleren gaat u terug naar de vorige geopende site. Als het browsertabblad geen eerder weergegeven website bevat, is Annuleren niet beschikbaar. Met Doorgaan gaat u verder naar de site. Blokkeren: Webcontrole geeft een bericht weer dat de site geblokkeerd is en voorkomt dat andere gebruikers toegang kunnen krijgen tot de site. Met OK gaat u terug naar de vorige geopende site. Als het browsertabblad geen eerder weergegeven website bevat, is OK niet beschikbaar. Als classificatieacties voor downloads van een site zijn ingesteld op: Waarschuwen: Webcontrole geeft een bericht weer om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan het downloadbestand. Met Blokkeren wordt de download voorkomen en keert u terug naar de site. Met Doorgaan wordt de download voortgezet. Blokkeren: Webcontrole geeft een bericht weer dat de site geblokkeerd is en voorkomt de download. Met OK gaat u terug naar de site. De knop Webcontrole geeft bedreigingen tijdens het surfen weer Tijdens het surfen naar een website wordt een knop met kleurcodering weergegeven in de browser. De kleur van de knop komt overeen met de veiligheidsclassificatie van de website. De veiligheidsclassificering is alleen van toepassing op URL's van HTTP- en HTTPS-protocollen. Internet Explorer en Safari (Macintosh) Firefox en Chrome Beschrijving Deze site wordt dagelijks getest en als veilig gecertificeerd door McAfee SECURE. (alleen Windows) Deze site is veilig. Deze site heeft mogelijk problemen. Deze site heeft ernstige problemen. Er is geen classificatie beschikbaar voor deze site. Deze knop wordt weergegeven voor URL's van BESTANDSprotocollen (file://). Er is een communicatiefout opgetreden met de McAfee GTI-server die classificatie-informatie bevat. McAfee Endpoint Security 10.5 Producthandleiding 173

174 5 Webcontrole gebruiken Functies van Webcontrole Internet Explorer en Safari (Macintosh) Firefox en Chrome Beschrijving Webcontrole heeft geen query uitgevoerd voor McAfee GTI voor deze site, wat aangeeft dat de site intern is of zich in een privébereik met IP-adressen bevindt. Deze site is een phishingsite. Phishing is een manier om vertrouwelijke informatie te verkrijgen, bijvoorbeeld gebruikersnamen, wachtwoorden en creditcardgegevens. Phishingsites doen zich voor als betrouwbare entiteiten in elektronische communicatie. Deze site wordt toegestaan door een instelling. Een instelling heeft Webcontrole uitgeschakeld. De locatie van de knop is afhankelijk van de browser: Internet Explorer: werkbalk Webcontrole Firefox: rechterhoek van de Firefox-werkbalk Chrome: adresbalk Zie ook Informatie over een site bekijken tijdens het surfen op pagina 177 Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken Wanneer door u trefwoorden in een zoekengine wordt getypt, zoals Google, Yahoo, Bing of Ask, worden op de pagina met zoekresultaten veiligheidspictogrammen naast sites weergegeven. De kleur van de knop komt overeen met de veiligheidsclassificatie van de site. Tests hebben geen grote problemen gevonden. Tests hebben problemen aan het licht gebracht waarvan u op de hoogte moeten worden gesteld. De site heeft bijvoorbeeld geprobeerd om de standaardinstellingen van de browser van de tester te wijzigen, heeft pop-ups weergegeven of heeft de tester een aanzienlijk aantal niet-spam berichten gestuurd. Tests hebben ernstige problemen aan het licht gebracht waaraan door u serieus aandacht moet worden besteden alvorens deze site te bezoeken. De site heeft testers bijvoorbeeld spam- gestuurd of adware aan een download gekoppeld. Deze site is geblokkeerd door een instelling. Deze website is niet-geclassificeerd. Zie ook Siterapport weergeven tijdens zoeken op pagina 178 Siterapporten bieden informatie Het siterapport voor een website bevat details over specifieke bedreigingen en kan door u worden bekeken. Siterapporten worden verstrekt door de server met McAfee GTI-classificaties en bevatten de volgende informatie. 174 McAfee Endpoint Security 10.5 Producthandleiding

175 Webcontrole gebruiken Functies van Webcontrole 5 Dit item... Overzicht Onlinerelaties Testen op webspam Downloadtests Geeft het volgende aan... De algehele classificatie van de website, bepaald op basis van deze tests: Evaluatie van de - en downloadprocedures van een website aan de hand van onze eigen gegevensverzameling en analysetechnieken. Onderzoek van de website om na te gaan of deze er hinderlijke praktijken op na houdt, bijvoorbeeld een overmatig aantal pop-ups of verzoeken om uw startpagina te wijzigen. Analyse van de onlinerelaties van de website om te zien of er relaties zijn met andere verdachte sites. Combinatie van de beoordeling door McAfee van verdachte sites met feedback van onze Threat Intelligence-services. Geeft aan hoe dwingend de website probeert u naar andere sites te sturen die McAfee met een rode classificatie heeft gemarkeerd. Verdachte sites gaan vaak samen met andere verdachte sites. Het hoofddoel van feedersites is u ertoe te brengen de verdachte site te bezoeken. Een site kan een rode classificatie krijgen als er bijvoorbeeld te dwingend wordt gekoppeld naar andere rode sites. In dit geval beschouwt Webcontrole de site als rood vanwege de relatie. De algehele classificatie voor de praktijken van een website, op basis van de testresultaten. McAfee classificeert sites op basis van het aantal s dat na invoer van een adres op de website wordt ontvangen en op het spamgehalte van de ontvangen . Als een van deze factoren hoger is dan wat aanvaardbaar is, classificeert McAfee de site als een gele site. Als beide factoren hoog zijn of een van de factoren extreem hoog lijkt, classificeert McAfee de site als een rode site. De algehele classificatie voor de impact die downloadbare software van een site op onze testcomputer had, op basis van de testresultaten. McAfee wijst rode markeringen toe aan sites waarvan de downloads met virussen zijn geïnfecteerd of aan sites die niet-verwante, algemeen als adware of spyware beschouwde software toevoegen. Bij het bepalen van de classificatie wordt ook rekening gehouden met de netwerkservers waarmee een gedownload programma tijdens zijn werking contact opneemt, en met eventuele wijzigingen in browserinstellingen of de registerbestanden van een computer. Zie ook Siterapport weergeven tijdens zoeken op pagina 178 Informatie over een site bekijken tijdens het surfen op pagina 177 Hoe veiligheidsclassificaties worden samengesteld Een team van McAfee bepaalt de veiligheidsclassificaties door voor elke website criteria te testen en de resultaten te evalueren om zo bekende dreigingen te kunnen detecteren. Met behulp van geautomatiseerde tests worden veligheidsclassificaties bepaald. De tests omvatten het volgende: Bestanden downloaden om te controleren op virussen en potentieel ongewenste programma's die met de software worden meegestuurd. Contactgegevens invullen in aanmeldingsformulieren en controleren op resulterende spam of een groot aantal niet-spam berichten dat door de website of daaraan gelieerde websites wordt verstuurd. Controleren op overmatig veel pop-upvensters. McAfee Endpoint Security 10.5 Producthandleiding 175

176 5 Webcontrole gebruiken Webcontrole-functies gebruiken Controleren op pogingen door de site om kwetsbaarheden van de browser te misbruiken. Controleren op misleidende of frauduleuze praktijken van een website. Het team verzamelt testresultaten in een veiligheidsrapport dat bovendien het volgende kan bevatten: Feedback die is ingediend door website-eigenaars met beschrijvingen van de gebruikte veiligheidsmaatregelen op de site of reacties op feedback van gebruikers over de site. Feedback die is ingediend door de gebruikers van een website, die rapporten kunnen bevatten over phishing-scams of slechte ervaringen bij het aankopen. Meer analyses door McAfee-experts. Op McAfee GTI-server worden siteclassificaties en -rapporten opgeslagen. Webcontrole-functies gebruiken Gebruik Webcontrole-functies vanuit de browser. Taken De invoegtoepassing Webcontrole inschakelen via de browser op pagina 176 Afhankelijk van de instellingen moet u de invoegtoepassing Webcontrole handmatig inschakelen om meldingen over webbedreigingen te ontvangen wanneer u surft en zoekt. Informatie over een site bekijken tijdens het surfen op pagina 177 Klik op de knop Webcontrole in de browser om informatie over een site te bekijken. De werking van de knop is afhankelijk van de browser. Siterapport weergeven tijdens zoeken op pagina 178 Gebruik het veiligheidspictogram op een pagina met zoekresultaten om meer informatie over de site weer te geven. De invoegtoepassing Webcontrole inschakelen via de browser Afhankelijk van de instellingen moet u de invoegtoepassing Webcontrole handmatig inschakelen om meldingen over webbedreigingen te ontvangen wanneer u surft en zoekt. Voordat u begint De module Webcontrole moet zijn ingeschakeld. Invoegtoepassingen worden ook wel add-ons genoemd in Internet Explorer en uitbreidingen in Firefox en Chrome. Wanneer u Internet Explorer of Chrome voor het eerst start, wordt u mogelijk gevraagd om invoegtoepassingen in te schakelen. Raadpleeg het KnowledgeBase-artikel KB87568 voor de meest recente informatie. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. Schakel de invoegtoepassing in, afhankelijk van de browser. 176 McAfee Endpoint Security 10.5 Producthandleiding

177 Webcontrole gebruiken Webcontrole-functies gebruiken 5 Internet Explorer Chrome Klik op Inschakelen. Als er meer dan een invoegtoepassing beschikbaar is, klikt u op Invoegtoepassingen selecteren en vervolgens op Inschakelen voor de werkbalk Webcontrole. Klik op Extensie inschakelen. Als u niet wordt gevraagd om de invoegtoepassing Webcontrole in te schakelen, kunt u deze handmatig inschakelen. 1 Klik op Instellingen Uitbreidingen. 2 Klik op Inschakelen om Endpoint Security-webcontrole te activeren. 3 Start Firefox opnieuw. Firefox 1 Klik op de startpagina van Mozilla Firefox op Invoegtoepassingen Uitbreidingen. 2 Selecteer Inschakelen om Endpoint Security-webcontrole te activeren. Als u in Internet Explorer de werkbalk Webcontrole uitschakelt, wordt u gevraagd om ook de invoegtoepassing Webcontrole uit te schakelen. Als beleidsinstellingen op beheerde systemen voorkomen dat de invoegtoepassing wordt verwijderd of uitgeschakeld, blijft de invoegtoepassing Webcontrole ingeschakeld, ook al is de werkbalk niet zichtbaar. Informatie over een site bekijken tijdens het surfen Klik op de knop Webcontrole in de browser om informatie over een site te bekijken. De werking van de knop is afhankelijk van de browser. Voordat u begint De module Webcontrole moet zijn ingeschakeld. De invoegtoepassing Webcontrole moet zijn ingeschakeld in de browser. De optie De werkbalk in de clientbrowser verbergen in de instellingen van Opties moet zijn uitgeschakeld. Wanneer Internet Explorer op volledig scherm wordt uitgevoerd, wordt de Webcontrole-werkbalk niet weergegeven. Het menu Webcontrole weergeven: Internet Explorer en Firefox Chrome Klik op de knop Klik op de knop in de werkbalk. in de adresbalk. Procedure 1 Geef een ballon weer met een samenvatting van het veiligheidsrapport voor de site: houd de aanwijzer boven de knop op de werkbalk Webcontrole. (Alleen Internet Explorer en Firefox) 2 Geef het gedetailleerde siterapport weer, inclusief meer informatie over de veiligheidsclassificatie van de site: Klik op de knop Webcontrole. Selecteer Siterapport weergeven in het menu Webcontrole. Klik op de koppeling Siterapport lezen in de siteballon. (Alleen Internet Explorer en Firefox) McAfee Endpoint Security 10.5 Producthandleiding 177

178 5 Webcontrole gebruiken Webcontrole beheren Zie ook De knop Webcontrole geeft bedreigingen tijdens het surfen weer op pagina 173 Siterapporten bieden informatie op pagina 174 Siterapport weergeven tijdens zoeken Gebruik het veiligheidspictogram op een pagina met zoekresultaten om meer informatie over de site weer te geven. Procedure 1 Zet de muiswijzer op het veiligheidspictogram. In een tekstballon wordt een samenvatting op hoog niveau van het veiligheidsrapport voor de site weergegeven. 2 Klik op Siterapport lezen (in de ballon) om een gedetailleerd rapport over de veiligheid van de site te lezen in een ander browservenster. Zie ook Veiligheidspictogrammen identificeren bedreigingen tijdens het zoeken op pagina 174 Siterapporten bieden informatie op pagina 174 Webcontrole beheren Als beheerder kunt u Webcontrole-instellingen opgeven om bescherming in te schakelen en aan te passen, te blokkeren op basis van webcategorieën, en registratie te configureren. Voor beheerde systemen is het mogelijk dat beleidswijzigingen vanuit McAfee epo wijzigingen vanuit de pagina Instellingen overschrijven. Webcontrole-opties configureren U kunt Webcontrole inschakelen en opties vanuit de Endpoint Security-client configureren. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Webcontrole op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Webcontrole op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Opties. 178 McAfee Endpoint Security 10.5 Producthandleiding

179 Webcontrole gebruiken Webcontrole beheren 5 5 Selecteer Webcontrole inschakelen om Webcontrole te activeren en de opties te bewerken. Als u het volgende wilt doen... De werkbalk van Webcontrole in de browser verbergen zonder de beveiliging uit te schakelen. Browsergebeurtenissen traceren om voor rapporten te gebruiken. Onbekende URL's blokkeren of waarschuwen. Bestanden scannen alvorens te downloaden. Externe sites toevoegen aan het lokale privénetwerk. Riskante sites blokkeren zodat ze niet in zoekresultaten worden weergegeven. Gaat u als volgt te werk... Selecteer De werkbalk in de clientbrowser verbergen. Instellingen in de sectie Gebeurtenisregistratie configureren. Selecteer in Actiehandhaving, de actie (Blokkeren, Toestaan of Waarschuwen) voor sites die nog niet zijn geverifieerd door McAfee GTI. Selecteer in Actiehandhaving de optie Scannen van gedownloade bestanden inschakelen en selecteer vervolgens het McAfee GTI-risiconiveau om te blokkeren. Klik in Actiehandhaving onder Extra IP-adressen en bereiken opgeven die zijn toegestaan op Toevoegen en voer vervolgens een extern IP-adres of IP-adresbereik in. Selecteer in Beveiligd zoeken de optie Beveiligd zoeken inschakelen, selecteer de zoekengine en geef op of koppelingen naar riskante sites moeten worden geblokkeerd. Opmerkingen Configureer Webcontrole-gebeurtenissen die van clientsystemen naar de beheerserver worden gestuurd voor gebruik in query's en rapporten. Bij Beveiligd zoeken worden kwaadaardige sites automatisch uit de zoekresultaten gefilterd op basis van hun veiligheidsclassificatie. Webcontrole gebruikt Yahoo als de standaardzoekmachine en ondersteunt Beveiligd zoeken alleen in Internet Explorer. Als u de standaardzoekmachine wijzigt, moet u de browser opnieuw opstarten om de wijzigingen te implementeren. De volgende keer dat de gebruiker Internet Explorer opent, geeft Webcontrole een pop-up weer waarin de gebruiker wordt gevraagd om voor de opgegeven zoekmachine Beveiligd zoeken van McAfee in te stellen. In Internet Explorer-versies waarin de zoekmachine is geblokkeerd, wordt de pop-up Beveiligd zoeken niet weergegeven. 6 Configureer andere opties waar nodig. 7 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. McAfee Endpoint Security 10.5 Producthandleiding 179

180 5 Webcontrole gebruiken Webcontrole beheren Zie ook Hoe bestandsdownloads worden gescand op pagina 180 Aanmelden als beheerder op pagina 26 Hoe bestandsdownloads worden gescand Webcontrole stuurt verzoeken voor bestandsdownloads naar Bedreigingspreventie om te worden gescand voordat wordt gedownload. 180 McAfee Endpoint Security 10.5 Producthandleiding

181 Webcontrole gebruiken Webcontrole beheren 5 Werking van McAfee GTI Op de McAfee GTI-server worden de siteclassificaties en rapporten voor Webcontrole opgeslagen. Als u Webcontrole configureert om gedownloade bestanden te scannen, gebruikt de scanner de bestandsreputatie die wordt verschaft door McAfee GTI om te controleren op verdachte bestanden. De scanner dient vingerafdrukken of voorbeelden, of hashes, in bij een centrale databaseserver die gehost wordt door McAfee Labs om te bepalen of het malware betreft. Door hashes in te dienen is detectie mogelijk eerder beschikbaar dan de volgende update van inhoudsbestanden, wanneer McAfee Labs de update publiceert. U kunt het gevoeligheidsniveau instellen dat McAfee GTI gebruikt om te bepalen of een gedetecteerd voorbeeld malware is. Hoe hoger het gevoeligheidsniveau, hoe hoger het aantal malwaredetecties. Als u meer detecties toestaat, kunt u echter ook meer resultaten krijgen die onterecht als verdacht zijn aangeduid. Het gevoeligheidsniveau van McAfee GTI is standaard ingesteld op Zeer hoog. Configureer het gevoeligheidsniveau voor het scannen van bestandsdownloads in de beleidsinstellingen van Webcontrole Opties. In de instellingen van de module Gedeelde instellingen kunt u instellen dat Endpoint Security een proxyserver moet gebruiken om McAfee GTI-reputatiegegevens op te halen. Voor veelgestelde vragen over McAfee GTI raadpleegt u KB Classificatieacties opgeven en sitetoegang blokkeren op basis van webcategorie Configureer instellingen voor Inhoudsacties om de acties op te geven die op basis van veiligheidsclassificaties op sites en bestandsdownloads moeten worden toegepast. U kunt ook in elke webcategorie opgeven welke sites moeten worden geblokkeerd of toegestaan. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Webcontrole op de hoofdpagina van Status. Of selecteer in het menu Actie de optie Instellingen en klik op Webcontrole op de pagina Instellingen. 3 Klik op Geavanceerd weergeven. 4 Klik op Inhoudsacties. 5 Schakel in de sectie Webcategorie blokkeren voor elke Webcategorie de optie Blokkeren in of uit. Voor sites in de niet-geblokkeerde categorieën past Webcontrole ook de classificatieacties toe. 6 Geef in de sectie Classificatieacties de acties op die op sites en bestandsdownloads moeten worden toegepast, op basis van veiligheidsclassificaties die door McAfee zijn gedefinieerd. Deze acties worden ook toegepast op sites die niet worden geblokkeerd door Webcategorie blokkeren. 7 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. McAfee Endpoint Security 10.5 Producthandleiding 181

182 5 Webcontrole gebruiken Naslaggids voor Endpoint Security-client-interface Webcontrole Zie ook Webcategorieën gebruiken om toegang te beheren op pagina 182 Veiligheidsclassificaties gebruiken voor toegangscontrole op pagina 182 Aanmelden als beheerder op pagina 26 Webcategorieën gebruiken om toegang te beheren Met behulp van webcategorieën kunt u de toegang tot sites beperken op basis van categorieën die door McAfee worden gedefinieerd. U kunt opties instellen om de toegang tot sites toe te staan of te blokkeren op basis van de inhoudscategorie die ze bevatten. Wanneer u blokkering van webcategorieën inschakelt in de instellingen van Inhoudsacties, zal de software websitecategorieën blokkeren of toestaan. Deze webcategorieën omvatten Gokken, Games en Expresberichten. McAfee definieert en onderhoudt de lijst van ongeveer 105 webcategorieën. Wanneer een clientgebruiker naar een site gaat, controleert de software de webcategorie voor de site. Als de site tot een gedefinieerde categorie behoort, wordt de toegang geblokkeerd of toegestaan, afhankelijk van de instellingen voor Inhoudsacties. Voor sites en bestandsdownloads in de niet-geblokkeerde categorieën past de software de opgegeven Classificatieacties toe. Veiligheidsclassificaties gebruiken voor toegangscontrole Configureer acties op basis van veiligheidsclassificaties om te bepalen of gebruikers een site, of bronnen op een site, kunnen openen. Geef in de instellingen voor Inhoudsacties op of u sites en bestandsdownloads wilt toestaan, toestaan met waarschuwing of blokkeren, op basis van de veiligheidsclassificatie. Zo kunt u nauwkeuriger werken bij het beschermen van gebruikers tegen bestanden die een mogelijke bedreiging vormen op sites met een globale groene classificatie. Naslaggids voor Endpoint Security-client-interface Webcontrole Biedt contextafhankelijke hulp voor pagina's in de interface van Endpoint Security-client. Inhoud Webcontrole: Opties Webcontrole: Inhoudsacties Webcontrole: Opties Configureer aantekeningen bij Webcontrole, waaronder actiehandhaving, beveiligd zoeken en aantekeningen. Zie de instellingen in de module Gedeelde instellingen voor configuratie van logboekregistratie. Tabel 5-1 Opties Sectie Optie Definitie OPTIES Webcontrole inschakelen Hiermee wordt Webcontrole in- of uitgeschakeld. (Standaard ingeschakeld) De werkbalk in de clientbrowser verbergen Hiermee wordt de werkbalk van Webcontrole in de browser verborgen zonder de functionaliteit uit te schakelen. (Standaard uitgeschakeld) 182 McAfee Endpoint Security 10.5 Producthandleiding

183 Webcontrole gebruiken Naslaggids voor Endpoint Security-client-interface Webcontrole 5 Tabel 5-1 Opties (vervolg) Sectie Optie Definitie Logboekregistratie Webcategorieën voor groen geclassificeerde sites registreren Hiermee worden inhoudscategorieën voor alle groen geclassificeerde sites geregistreerd. Het inschakelen van deze functie kan een negatieve invloed hebben op de prestaties van de McAfee epo-server. Actiehandhaving iframe-gebeurtenissen van Webcontrole registreren Deze actie toepassen op sites die nog niet zijn geverifieerd door McAfee GTI Ondersteuning voor HTML-iFrames inschakelen Sites standaard blokkeren als server met McAfee GTI-classificaties niet bereikbaar is Phishingpagina's voor alle sites blokkeren Scannen van gedownloade bestanden inschakelen McAfee GTI-gevoeligheidsniveau Hiermee wordt geregistreerd wanneer schadelijke sites (Rood) en sites met een waarschuwing (Geel) die in een HTML iframe worden weergegeven, worden geblokkeerd. De standaardactie die moet worden toegepast op sites die McAfee GTI nog niet heeft geclassificeerd. Toestaan (standaard): hiermee krijgen gebruikers toestemming om de site op te roepen. Waarschuwen: hiermee wordt een bericht weergegeven om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan de site. Gebruikers moeten de waarschuwing verwijderen voordat ze door kunnen gaan. Blokkeren: hiermee voorkomt u dat gebruikers de site oproepen en wordt een bericht weergegeven dat de download is geblokkeerd. Hiermee wordt toegang tot schadelijke sites (Rood) geblokkeerd en wordt gewaarschuwd voor sites (Geel) die in een HTML iframe worden weergegeven. (Standaard ingeschakeld) Hiermee wordt toegang tot websites standaard geblokkeerd als Webcontrole de McAfee GTI-server niet kan bereiken. Hiermee worden alle phishingpagina's geblokkeerd, waarbij inhoudsclassificatieacties worden overschreven. (Standaard ingeschakeld) Hiermee worden alle bestanden (.zip,.exe,.ecx,.cab,.msi,.rar,.scr en.com) gescand voordat ze worden gedownload. (Standaard ingeschakeld) Deze optie zorgt ervoor dat gebruikers een gedownload bestand pas kunnen openen wanneer Webcontrole en Bedreigingspreventie het bestand als schoon hebben gemarkeerd. Webcontrole voert een McAfee GTI-zoekactie uit op het bestand. Als McAfee GTI het bestand toestaat, verzendt Webcontrole het bestand naar Bedreigingspreventie om het te laten scannen. Als een gedownload bestand wordt gedetecteerd als bedreiging, voert Endpoint Security een actie uit op het bestand en wordt de gebruiker gewaarschuwd. Het gevoeligheidsniveau van McAfee GTI dat door Webcontrole wordt gebruikt voor bestandsdownloads. McAfee Endpoint Security 10.5 Producthandleiding 183

184 5 Webcontrole gebruiken Naslaggids voor Endpoint Security-client-interface Webcontrole Tabel 5-1 Opties (vervolg) Sectie Optie Definitie Uitsluitingen IP-adressen of -bereiken opgeven die moeten worden uitgesloten van classificaties en/of blokkering door Webcontrole Voegt de opgegeven IP-adressen en -bereiken toe aan het lokale privénetwerk, zodat ze niet worden geclassificeerd of geblokkeerd. Privé IP-adressen worden standaard uitgesloten. Aanbevolen procedure: gebruik deze optie om externe sites te behandelen alsof ze tot het lokale netwerk behoren. Toevoegen: hiermee voegt u een IP-adres toe aan de lijst met privé-adressen in het lokale netwerk. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: een IP-adres verwijderen uit de lijst met privéadressen in het lokale netwerk. Beveiligd zoeken Beveiligd zoeken inschakelen Hiermee wordt Beveiligd zoeken ingeschakeld. Kwaadaardige sites worden automatisch geblokkeerd in zoekresultaten op basis van hun veiligheidsclassificatie. De standaardzoekengine in ondersteunde browsers instellen Hiermee wordt de standaardzoekengine opgegeven die in ondersteunde browsers moet worden gebruikt: Yahoo Google Bing Ask Koppelingen naar riskante sites in zoekresultaten blokkeren Hiermee wordt voorkomen dat gebruikers op koppelingen naar riskante sites in zoekresultaten klikken. Tabel 5-2 Geavanceerde opties Sectie Optie Definitie Aantekeningen bij s Aantekeningen in browsermail inschakelen Aantekeningen in niet-browsermail inschakelen Zie ook Webcontrole-opties configureren op pagina 178 Hoe bestandsdownloads worden gescand op pagina 180 McAfee GTI op pagina 185 Hiermee krijgen URL's annotaties in browsermailclients, zoals Yahoo Mail en Gmail. Hiermee krijgen URL's annotaties in 32-bits beheerprogramma's, zoals Microsoft Outlook of Outlook Express. 184 McAfee Endpoint Security 10.5 Producthandleiding

185 Webcontrole gebruiken Naslaggids voor Endpoint Security-client-interface Webcontrole 5 McAfee GTI De instellingen van McAfee GTI (Global Threat Intelligence) inschakelen en configureren. Tabel 5-4 Opties Sectie Optie Definitie Gevoeligheidsniveau Hiermee wordt het gevoeligheidsniveau geconfigureerd dat moet worden gebruikt wanneer wordt vastgesteld of een gedetecteerd voorbeeld malware is. Hoe hoger het gevoeligheidsniveau, hoe hoger het aantal malwaredetecties. Als u meer detecties toestaat, kunt u echter ook meer resultaten krijgen die onterecht als verdacht zijn aangeduid. Zeer laag Laag Gemiddeld Hoog Zeer hoog De detecties en het risico op resultaten die onterecht zijn aangeduid als verdacht zijn hetzelfde als met reguliere AMCore-inhoudsbestanden. Er is een detectie beschikbaar voor Bedreigingspreventie zodra deze door McAfee Labs wordt gepubliceerd. Dit wordt niet uitgesteld tot de volgende update van de AMCore-inhoudsbestanden. Gebruik deze instelling voor desktops en servers met beperkte gebruikersrechten en sterke beveiligingsconfiguraties. Dit is de minimuminstelling voor laptops of desktops en servers met sterke beveiligingsconfiguraties. Gebruik deze instelling wanneer het gewone risico op blootstelling aan malware groter is dan het risico op een onterecht als verdacht aangeduid item. De eigen heuristische controle van McAfee Labs leidt tot detecties die waarschijnlijk malware zijn. Sommige detecties kunnen echter een resultaat opleveren dat onterecht is aangeduid als verdacht. Met deze instelling controleert McAfee Labs of veelgebruikte toepassingen en besturingssysteembestanden geen onterecht als verdacht aangeduide items opleveren. Deze instelling wordt minimaal aanbevolen voor laptops, desktops en servers. Gebruik deze instelling voor implementatie op systemen of in gebieden die regelmatig worden geïnfecteerd. Gebruik deze instelling voor volumes die niet van het besturingssysteem zijn. Detecties die met dit niveau worden gevonden, worden verondersteld schadelijk te zijn, maar zijn niet voldoende getest om te bepalen of ze niet onterecht zijn aangeduid als verdacht. Gebruik deze instelling alleen om volumes en directory's te scannen die het uitvoeren van programma's of besturingssystemen niet ondersteunen. Zie ook Webcontrole: Opties op pagina 182 Webcontrole: Inhoudsacties Geef de acties op die Webcontrole moet uitvoeren voor geclassificeerde sites en webinhoudscategorieën. Voor sites en bestandsdownloads past Webcontrole de classificatieacties toe. McAfee Endpoint Security 10.5 Producthandleiding 185

186 5 Webcontrole gebruiken Naslaggids voor Endpoint Security-client-interface Webcontrole Tabel 5-5 Opties Sectie Optie Definitie Classificatieacties Classificatieacties voor sites De acties voor sites die rood of geel zijn geclassificeerd of geen classificatie hebben. Groen geclassificeerde sites en downloads worden automatisch toegestaan. Toestaan: hiermee krijgen gebruikers toestemming om de site op te roepen. (Standaardinstelling voor Niet-geclassificeerde sites) Waarschuwen: hiermee wordt een bericht weergegeven om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan de site. Gebruikers moeten klikken op Annuleren om terug te keren naar de eerder weergegeven site of op Doorgaan om door te gaan naar de site. Als het browsertabblad geen eerder weergegeven website bevat, is Annuleren niet beschikbaar. (Standaardinstelling voor Gele sites) Blokkeren: hiermee wordt voorkomen dat gebruikers de site oproepen en wordt een bericht weergegeven dat de site is geblokkeerd. Gebruikers moeten klikken op OK om terug te keren naar de eerder weergegeven site. Als het browsertabblad geen eerder weergegeven site bevat, is OK niet beschikbaar. (Standaardinstelling voor Rode sites) Classificatieacties voor bestandsdownloads Hiermee geeft u de acties op voor bestandsdownloads die rood of geel zijn geclassificeerd of geen classificatie hebben. Deze Classificatieacties zijn alleen van toepassing wanneer Scannen van gedownloade bestanden inschakelen is geactiveerd in de instellingen bij Opties. Toestaan: hiermee staat u gebruikers toe de download voort te zetten. (Standaardinstelling voor Niet-geclassificeerde sites) Waarschuwen: hiermee geeft u een bericht weer om gebruikers te waarschuwen voor mogelijke gevaren die zijn gekoppeld aan het downloadbestand. Gebruikers moeten de waarschuwing verwijderen voor ze de download kunnen beëindigen of voortzetten. (Standaardinstelling voor Gele sites) Blokkeren: hiermee wordt een bericht weergegeven dat de download geblokkeerd is en wordt voorkomen dat gebruikers het bestand downloaden. (Standaardinstelling voor Rode sites) 186 McAfee Endpoint Security 10.5 Producthandleiding

187 Webcontrole gebruiken Naslaggids voor Endpoint Security-client-interface Webcontrole 5 Tabel 5-6 Geavanceerde opties Sectie Optie Definitie Webcategorie blokkeren Blokkering van webcategorie inschakelen Blokkeren Webcategorie Hiermee wordt het blokkeren van sites ingeschakeld op basis van inhoudscategorie. Hiermee wordt voorkomen dat gebruikers sites van deze categorie oproepen en wordt een bericht weergegeven dat de site is geblokkeerd. Hiermee worden de webcategorieën weergegeven. Zie ook Classificatieacties opgeven en sitetoegang blokkeren op basis van webcategorie op pagina 181 Veiligheidsclassificaties gebruiken voor toegangscontrole op pagina 182 Webcategorieën gebruiken om toegang te beheren op pagina 182 McAfee Endpoint Security 10.5 Producthandleiding 187

188 5 Webcontrole gebruiken Naslaggids voor Endpoint Security-client-interface Webcontrole 188 McAfee Endpoint Security 10.5 Producthandleiding

189 6 Adaptieve 6 bescherming tegen bedreigingen gebruiken Adaptieve bescherming tegen bedreigingen is een optionele module van Endpoint Security die inhoud van uw onderneming analyseert en bepaalt welke actie moet worden genomen op basis van bestandsreputatie, regels en reputatiedrempelwaarden. Adaptieve bescherming tegen bedreigingen wordt niet ondersteund op systemen die worden beheerd door McAfee epo Cloud. Inhoud Info over Adaptieve bescherming tegen bedreigingen Reageren op een vraag over bestandsreputatie Adaptieve bescherming tegen bedreigingen beheren Naslaggids voor Endpoint Security-client-interface Adaptieve bescherming tegen bedreigingen Info over Adaptieve bescherming tegen bedreigingen Adaptieve bescherming tegen bedreigingen analyseert inhoud van uw onderneming en bepaalt welke actie moet worden genomen op basis van bestandsreputatie, regels en reputatiedrempelwaarden. Adaptieve bescherming tegen bedreigingen bevat de mogelijkheid om bestanden op basis van reputatie in te sluiten, te blokkeren of op te schonen. Adaptieve bescherming tegen bedreigingen maakt gebruik van Real Protect-scannen om geautomatiseerde reputatieanalyse uit te voeren in de cloud en op clientsystemen. Adaptieve bescherming tegen bedreigingen is een optionele Endpoint Security-module. Implementeer voor aanvullende bedreigingsinformatiebronnen en -functies de Threat Intelligence Exchange-server. Neem voor informatie contact op met uw reseller of verkoopvertegenwoordiger. Adaptieve bescherming tegen bedreigingen wordt niet ondersteund op systemen die worden beheerd door McAfee epo Cloud. Voordelen van Adaptieve bescherming tegen bedreigingen Met Adaptieve bescherming tegen bedreigingen kunt u bepalen wat er gebeurt wanneer een bestand met een schadelijke of onbekende reputatie in uw omgeving wordt gedetecteerd. U kunt ook informatie over de bedreigingsgeschiedenis bekijken, en de ondernomen acties. Adaptieve bescherming tegen bedreigingen heeft de volgende voordelen: Snelle detectie en bescherming tegen beveiligingsbedreigingen en malware. De mogelijkheid om te weten welke systemen of apparaten zijn aangevallen en hoe de bedreiging zich verspreidt door uw omgeving. McAfee Endpoint Security 10.5 Producthandleiding 189

190 6 Adaptieve bescherming tegen bedreigingen gebruiken Info over Adaptieve bescherming tegen bedreigingen De mogelijkheid om bepaalde bestanden en certificaten direct in te sluiten, te blokkeren of op te schonen op basis van hun bedreigingsreputaties en uw risicocriteria. Integratie met Real Protect-scans voor geautomatiseerde reputatieanalyse in de cloud en op clientsystemen. Realtime-integratie met McAfee Advanced Threat Defense en McAfee GTI voor een uitgebreide beoordeling en gegevens over de classificatie van malware. Met deze integratie kunt u reageren op bedreigingen en de informatie delen in uw omgeving. Onderdelen van Adaptieve bescherming tegen bedreigingen Adaptieve bescherming tegen bedreigingen kan de volgende optionele onderdelen bevatten: TIE-server en Data Exchange Layer. Adaptieve bescherming tegen bedreigingen is een optionele Endpoint Security-module waarmee u beleidsmaatregelen kunt maken om bestanden of certificaten op basis van reputatie in te sluiten, te blokkeren of op te schonen. Daarnaast kan Adaptieve bescherming tegen bedreigingen maakt gebruik van Real Protect-scannen om geautomatiseerde reputatieanalyse uit te voeren in de cloud en op clientsystemen. Adaptieve bescherming tegen bedreigingen werkt ook samen met: TIE-server: een server die informatie over de reputatie van bestanden en certificaten opslaat en vervolgens doorgeeft aan andere systemen. TIE-server is optioneel. Raadpleeg de Threat Intelligence Exchange-producthandleiding voor meer informatie over de server. Data Exchange Layer: clients en brokers die bidirectionele communicatie tussen de module Adaptieve bescherming tegen bedreigingen op het beheerde systeem en de TIE-server inschakelen. Data Exchange Layer is optioneel, maar het is vereist voor communicatie met TIE-server. Raadpleeg de producthandleiding van McAfee Data Exchange Layer voor details. Deze onderdelen bevatten McAfee epo-uitbreidingen en voegen diverse nieuwe functies en rapporten toe. 190 McAfee Endpoint Security 10.5 Producthandleiding

191 Adaptieve bescherming tegen bedreigingen gebruiken Info over Adaptieve bescherming tegen bedreigingen 6 Als TIE-server en Data Exchange Layer aanwezig zijn, wisselen Adaptieve bescherming tegen bedreigingen en de server bestandsreputatiegegevens uit. De Data Exchange Layer geeft deze informatie onmiddellijk door aan beheerde eindpunten. De informatie wordt ook gedeeld met andere McAfee-producten die toegang hebben tot de Data Exchange Layer, zoals McAfee Enterprise Security Manager (McAfee ESM) en McAfee Network Security Platform. Afbeelding 6-1 Adaptieve bescherming tegen bedreigingen met TIE-server en Data Exchange Layer McAfee Endpoint Security 10.5 Producthandleiding 191

192 6 Adaptieve bescherming tegen bedreigingen gebruiken Info over Adaptieve bescherming tegen bedreigingen Als TIE-server en Data Exchange Layer niet aanwezig zijn, communiceert Adaptieve bescherming tegen bedreigingen met McAfee GTI voor bestandsreputatiegegevens. Afbeelding 6-2 Adaptieve bescherming tegen bedreigingen met McAfee GTI Werking van Adaptieve bescherming tegen bedreigingen Adaptieve bescherming tegen bedreigingen bepaalt welke acties moeten worden uitgevoerd aan de hand van regels op basis van meerdere gegevenspunten, zoals reputaties, lokale informatie en contextuele gegevens. U kunt de regels afzonderlijk beheren. Werking van Adaptieve bescherming tegen bedreigingen is afhankelijk van of deze communiceert met TIE-server: Als TIE-server beschikbaar is, gebruikt Adaptieve bescherming tegen bedreigingen het Data Exchange Layer-raamwerk om bestands- en bedreigingsgegevens onmiddellijk te delen binnen de hele onderneming. U kunt het specifieke systeem zien waarop de bedreiging voor het eerst werd gedetecteerd en waar deze daarna heen ging. Bovendien kunt u de bedreiging onmiddellijk tegenhouden. Adaptieve bescherming tegen bedreigingen met TIE-server biedt u de mogelijkheid om bestandsreputatie op lokaal niveau, in uw omgeving, te beheren. U beslist welke bestanden mogen worden uitgevoerd en welke worden geblokkeerd, en de Data Exchange Layer deelt de informatie direct in uw omgeving. Als TIE-server niet beschikbaar is en het systeem verbinding heeft met internet, gebruikt Adaptieve bescherming tegen bedreigingen de McAfee GTI om reputatiebeslissingen te nemen. Als Als TIE-server niet beschikbaar is en het systeem geen internetverbinding heeft, bepaalt Adaptieve bescherming tegen bedreigingen de bestandsreputatie op basis van het lokale systeem. 192 McAfee Endpoint Security 10.5 Producthandleiding

193 Adaptieve bescherming tegen bedreigingen gebruiken Info over Adaptieve bescherming tegen bedreigingen 6 Scenario's voor het gebruik van Adaptieve bescherming tegen bedreigingen Een bestand direct blokkeren: Adaptieve bescherming tegen bedreigingen waarschuwt de netwerkbeheerder voor een onbekend bestand in de omgeving. In plaats van de bestandsinformatie naar McAfee te verzenden voor analyse, blokkeert de beheerder het bestand direct. Als TIE-server beschikbaar is, kan de beheerder deze gebruiken om te achterhalen hoeveel systemen het bestand hebben uitgevoerd en met Advanced Threat Defense kan de beheerder bepalen of het bestand een bedreiging is. Toestaan dat een aangepast bestand wordt uitgevoerd: een bedrijf gebruikt doorgaans een bestand waarvan de standaardreputatie verdacht of schadelijk is, zoals een aangepast bestand dat voor het bedrijf is gemaakt. Omdat dit bestand is toegestaan, kan de beheerder in plaats van de bestandsinformatie naar McAfee te verzenden en een bijgewerkt DAT-bestand te ontvangen, de reputatie van het bestand wijzigen in Vertrouwd en toestaan dat het zonder waarschuwingen of prompts wordt uitgevoerd. Toestaan dat een bestand ingesloten wordt uitgevoerd: wanneer een bedrijf voor het eerst een bestand gebruikt waarvan de reputatie niet bekend is, kan de beheerder opgeven dat het bestand ingesloten wordt uitgevoerd. In dat geval configureert de beheerder de insluitingsregels in de instellingen voor Dynamische insluiting van toepassingen. Insluitingsregels bepalen welke acties de ingesloten toepassing niet mag uitvoeren. Verbindingsstatus controleren Raadpleeg de pagina Info van de Endpoint Security-client als u wilt weten of Adaptieve bescherming tegen bedreigingen op het clientsysteem bestandsreputaties ontvangt van TIE-server of McAfee GTI. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Selecteer in het menu Actie de optie Info. 3 Klik links op Adaptieve bescherming tegen bedreigingen. Het veld Verbindingsstatus bevat een van de volgende waarden voor Adaptieve bescherming tegen bedreigingen: Connectiviteit voor bedreigingsinformatie: verbonden met TIE-server voor reputatiegegevens op ondernemingsniveau. Alleen McAfee GTI-connectiviteit: verbonden met McAfee GTI voor reputatiegegevens op algemeen niveau. Verbinding verbroken: niet verbonden met TIE-server of McAfee GTI. Adaptieve bescherming tegen bedreigingen bepaalt de bestandsreputatie aan de hand van informatie op het lokale systeem. Hoe een reputatie wordt bepaald Bestands- en certificaatreputatie wordt bepaald wanneer een poging wordt gedaan om een bestand uit te voeren op een beheerd systeem. Dit zijn de stappen voor het bepalen van de reputatie van een bestand of certificaat. 1 Een gebruiker of systeem probeert een bestand uit te voeren. 2 Endpoint Security controleert de uitsluitingen om te bepalen of het bestand moet worden geïnspecteerd. 3 Endpoint Security inspecteert het bestand en kan de geldigheid en reputatie niet bepalen. McAfee Endpoint Security 10.5 Producthandleiding 193

194 6 Adaptieve bescherming tegen bedreigingen gebruiken Info over Adaptieve bescherming tegen bedreigingen 4 De module Adaptieve bescherming tegen bedreigingen inspecteert het bestand en verzamelt relevante eigenschappen van het bestand en het lokale systeem. 5 De module controleert de lokale reputatiecache voor de hash van het bestand. Als de hash van het bestand wordt gevonden, ontvangt de module de ondernemingsprevalentie en reputatiegegevens voor het bestand uit de cache. Als de hash van het bestand niet wordt gevonden in de lokale reputatiecache, voert de module query's uit op de TIE-server. Als de hash wordt gevonden, ontvangt de module de ondernemingsprevalentiegegevens (en beschikbare reputaties) voor die bestandshash. Als de hash van het bestand niet wordt gevonden in de TIE-server of -database, vraagt de server bij McAfee GTI de reputatie van de bestandshash op. McAfee GTI verzendt de beschikbare informatie, bijvoorbeeld 'onbekende reputatie' of 'schadelijk', en de server slaat die informatie op. De server verzendt het bestand om te worden gescand als aan beide volgende voorwaarden is voldaan: Advanced Threat Defense is beschikbaar of geactiveerd als reputatieprovider, de server zoekt lokaal of de Advanced Threat Defense-reputatie beschikbaar is. Als dat niet zo is, wordt het bestand gemarkeerd als kandidaat voor verzending. Het beleid op het eindpunt is geconfigureerd om het bestand te verzenden naar Advanced Threat Defense. Zie de aanvullende stappen onder Als Advanced Threat Defense aanwezig is. 6 De server retourneert de leeftijd, prevalentie, gegevens en reputatie van de bestandshash aan de module op basis van de gevonden gegevens. Als het bestand nieuw is in de omgeving, verzendt de server ook een eerste exemplaarmarkering naar de module Adaptieve bescherming tegen bedreigingen. Als McAfee Web Gateway aanwezig is en uiteindelijk een reputatiescore verstuurt, retourneert TIE-server de reputatie van het bestand. 7 De module evalueert deze metagegevens om de reputatie van het bestand te bepalen: Bestands- en systeemeigenschappen Ondernemingsleeftijd en prevalentiegegevens Reputatie 8 De module handelt op basis van het beleid dat wordt toegewezen aan het systeem waarop het bestand wordt uitgevoerd. 9 De module werkt op de server de reputatiegegevens bij en of het bestand wordt geblokkeerd, toegestaan of ingeperkt. Er worden ook bedreigingsgebeurtenissen naar McAfee epo verzonden via de McAfee Agent. 10 De server publiceert de gebeurtenis van de reputatiewijziging voor de bestandshash. 194 McAfee Endpoint Security 10.5 Producthandleiding

195 Adaptieve bescherming tegen bedreigingen gebruiken Reageren op een vraag over bestandsreputatie 6 Als Advanced Threat Defense aanwezig is Als Advanced Threat Defense aanwezig is, vindt het volgende proces plaats. 1 Als het systeem is geconfigureerd om bestanden te verzenden naar Advanced Threat Defense en het bestand nieuw is voor de omgeving, verzendt het systeem het bestand naar de TIE-server. De TIE-server verzendt het vervolgens naar Advanced Threat Defense om te worden gescand. 2 Advanced Threat Defense scant het bestand en verzendt de bestandsreputatieresultaten naar de TIE-server met de Data Exchange Layer. De server werkt bovendien de database bij en verzendt de bijgewerkte reputatiegegevens naar alle systemen met Adaptieve bescherming tegen bedreigingen, om uw omgeving direct te beveiligen. Dit proces kan door Adaptieve bescherming tegen bedreigingen of een ander McAfee-product worden gestart. In beide gevallen wordt de reputatie door Adaptieve bescherming tegen bedreigingen verwerkt en vervolgens opgeslagen in de database. Voor informatie over hoe Advanced Threat Defense is geïntegreerd met Adaptieve bescherming tegen bedreigingen raadpleegt u de producthandleiding van McAfee Advanced Threat Defense. Als McAfee Web Gateway aanwezig is Als McAfee Web Gateway aanwezig is, gebeurt het volgende. Wanneer er bestanden worden gedownload, verzendt McAfee Web Gateway een rapport naar de TIE-server die de reputatiescore in de database opslaat. Wanneer de server een bestandsreputatieverzoek van de module ontvangt, wordt ook de reputatie geretourneerd die de server heeft ontvangen van McAfee Web Gateway en andere reputatieproviders. Voor informatie over hoe McAfee Web Gateway informatie uitwisselt via een TIE -server, raadpleegt u het hoofdstuk over proxy's in de producthandleiding van McAfee Web Gateway. Wanneer wordt de cache geleegd? De hele cache van Adaptieve bescherming tegen bedreigingen wordt geleegd wanneer de configuratie van regels wordt gewijzigd: De status van een of meer regels is gewijzigd, bijvoorbeeld van Ingeschakeld naar Uitgeschakeld. De toewijzing van de set met regels is gewijzigd, bijvoorbeeld van Evenwichtig in Beveiliging. Een afzonderlijk bestand of certificatencache wordt verwijderd wanneer: De cache meer dan 30 dagen oud is. Het bestand op de schijf is gewijzigd. De TIE-server publiceert een reputatiewijzigingsgebeurtenis. De volgende keer dat Adaptieve bescherming tegen bedreigingen een bericht voor het bestand ontvangt, wordt de reputatie opnieuw berekend. Reageren op een vraag over bestandsreputatie Wanneer een bestand met een bepaalde reputatie op uw systeem wordt geactiveerd, is het mogelijk dat Adaptieve bescherming tegen bedreigingen u vraagt of u verder wilt gaan. De prompt verschijnt McAfee Endpoint Security 10.5 Producthandleiding 195

196 6 Adaptieve bescherming tegen bedreigingen gebruiken Adaptieve bescherming tegen bedreigingen beheren alleen als Adaptieve bescherming tegen bedreigingen is geïnstalleerd en is geconfigureerd om een prompt weer te geven. De beheerder configureert de reputatiedrempel, waarna een prompt wordt weergegeven. Als de reputatiedrempel bijvoorbeeld Onbekend is, vraagt Endpoint Security uw reactie voor alle bestanden met een onbekende reputatie. Als u geen optie selecteert, voert Adaptieve bescherming tegen bedreigingen de standaardactie uit die door de beheerder is geconfigureerd. De prompt, time-out en standaardactie zijn afhankelijk van de configuratie van Adaptieve bescherming tegen bedreigingen. Windows 8 en 10 gebruiken pop-upmeldingen: berichten die verschijnen om u op de hoogte te stellen van waarschuwingen en prompts. Klik op de pop-upmelding om de melding in Bureaubladmodus weer te geven. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 (Optioneel) Bij de prompt voert u het bericht in dat naar de beheerder wordt gestuurd. Gebruik het bericht bijvoorbeeld om het bestand te beschrijven of om uw beslissing om het bestand toe te staan of te blokkeren op uw systeem toe te lichten. 2 Klik op Toestaan of Blokkeren. Toestaan Blokkeren Hiermee wordt het bestand toegestaan. Hiermee wordt het bestand op uw systeem geblokkeerd. Als u wilt dat Adaptieve bescherming tegen bedreigingen deze prompt niet meer weergeeft, selecteert u Deze beslissing onthouden. Adaptieve bescherming tegen bedreigingen voert de gekozen actie of de standaardactie uit en het promptvenster wordt gesloten. Adaptieve bescherming tegen bedreigingen beheren Als beheerder kunt u instellingen voor Adaptieve bescherming tegen bedreigingen opgeven. U kunt bijvoorbeeld regelgroepen selecteren, reputatiedrempelwaarden instellen, Real Protect inschakelen en Dynamische insluiting van applicaties configureren. Voor beheerde systemen is het mogelijk dat beleidswijzigingen vanuit McAfee epo wijzigingen vanuit de pagina Instellingen overschrijven. Adaptieve bescherming tegen bedreigingen is een optionele Endpoint Security-module. Implementeer voor aanvullende bedreigingsinformatiebronnen en -functies de Threat Intelligence Exchange-server. Neem voor informatie contact op met uw reseller of verkoopvertegenwoordiger. Adaptieve bescherming tegen bedreigingen wordt niet ondersteund op systemen die worden beheerd door McAfee epo Cloud. Aan de slag Wat doet u nadat u Adaptieve bescherming tegen bedreigingen hebt geïnstalleerd? Ga als volgt te werk om aan de slag te gaan met Adaptieve bescherming tegen bedreigingen: 196 McAfee Endpoint Security 10.5 Producthandleiding

197 Adaptieve bescherming tegen bedreigingen gebruiken Adaptieve bescherming tegen bedreigingen beheren 6 1 Maak beleidsregels voor Adaptieve bescherming tegen bedreigingen om te bepalen wat er wordt geblokkeerd, toegestaan of ingesloten. 2 Voer Adaptieve bescherming tegen bedreigingen daarna in de waarnemingsmodus uit om bestandsprevalentie op te bouwen en te zien wat er door Adaptieve bescherming tegen bedreigingen in uw omgeving wordt gedetecteerd. Adaptieve bescherming tegen bedreigingen genereert Zou blokkeren-, Zou opschonen- en Zou insluiten-gebeurtenissen om aan te geven welke acties zouden worden uitgevoerd. Bestandsprevalentie geeft aan hoe vaak een bestand voorkomt in uw omgeving. 3 Controleer de beleidsregels of individuele bestands- of certificaatreputaties en pas deze aan om te bepalen wat is toegestaan in uw omgeving. Bestandsprevalentie opbouwen en observeren Na installatie en implementatie begint u met het opbouwen van bestandsprevalentie en actuele bedreigingsinformatie. U kunt zien wat wordt uitgevoerd in uw omgeving en u kunt reputatiegegevens voor bestanden en certificaten toevoegen aan de database in TIE-server. Deze informatie wordt bovendien ingevuld in de diagrammen en dashboards die beschikbaar zijn in de module, waar u gedetailleerde reputatiegegevens over bestanden en certificaten kunt bekijken. Om aan de slag te gaan, maakt u een of meer beleidsregels voor Adaptieve bescherming tegen bedreigingen om op enkele systemen in uw omgeving uit te voeren. De beleidsregels bepalen: Wanneer een bestand of certificaat met een specifieke reputatie op een systeem mag worden uitgevoerd Wanneer een bestand of certificaat wordt geblokkeerd Wanneer een toepassing wordt ingeperkt Wanneer de gebruiker wordt gevraagd wat moet worden gedaan Wanneer een bestand wordt verzonden naar Advanced Threat Defense voor verdere analyse Terwijl u bestandsprevalentie opbouwt, kunt u de beleidsregels uitvoeren in de Waarnemingsmodus. Bestands- en certificaatreputaties worden toegevoegd aan de database, er worden Zou blokkeren-, Zou opschonen- en Zou insluiten-gebeurtenissen gegenereerd, maar er wordt geen actie ondernomen. U kunt zien wat door Adaptieve bescherming tegen bedreigingen wordt geblokkeerd, toegestaan of ingesloten als het beleid wordt gehandhaafd. Controle en aanpassingen Terwijl de beleidsregels worden uitgevoerd in uw omgeving, worden reputatiegegevens toegevoegd aan de database. Gebruik de dashboards en gebeurtenisweergaven van McAfee epo om de bestanden en certificaten te bekijken die geblokkeerd, toegestaan of ingesloten worden op basis van de beleidsregels. U kunt gedetailleerde informatie weergeven op eindpunt, bestand, regel of certificaat, en snel het aantal geïdentificeerde items bekijken en de acties die zijn ondernomen. U kunt details bekijken door op een item te klikken en de reputatie-instellingen voor specifieke bestanden of certificaten aan te passen zodat de toepasselijke actie wordt ondernomen. McAfee Endpoint Security 10.5 Producthandleiding 197

198 6 Adaptieve bescherming tegen bedreigingen gebruiken Adaptieve bescherming tegen bedreigingen beheren Als de standaardreputatie van een bestand bijvoorbeeld verdacht of onbekend is, maar u weet dat het een vertrouwd bestand is, kunt u de reputatie wijzigen in vertrouwd. De toepassing mag dan in uw omgeving worden uitgevoerd zonder dat deze wordt geblokkeerd of de gebruiker actie moet ondernemen. U kunt de reputatie wijzigen voor interne of aangepaste bestanden die in uw omgeving worden gebruikt. Gebruik de functie TIE-reputaties om naar een specifieke bestands- of certificaatnaam te zoeken. U kunt details van het bestand of certificaat bekijken, waaronder de bedrijfsnaam, SHA-1- en SHA-256-hashwaarden, MD5, de beschrijving en informatie van McAfee GTI. Voor bestanden hebt u bovendien rechtstreeks vanaf de detailpagina TIE-reputaties toegang tot VirusTotal-gegevens om aanvullende informatie te zien. Gebruik de pagina Rapportagedashboard om verschillende typen reputatiegegevens tegelijk te zien. U kunt het volgende bekijken: het aantal nieuwe bestanden dat in de afgelopen week in uw omgeving voorkwam, bestanden op reputatie, bestanden waarvan de reputatie onlangs is gewijzigd, systemen die onlangs nieuwe bestanden hebben uitgevoerd en meer. Wanneer u op een item in het dashboard klikt, wordt gedetailleerde informatie weergegeven. Als u een schadelijk of verdacht bestand hebt geïdentificeerd, kunt u snel zien welke systemen het bestand hebben uitgevoerd en mogelijk gevaar lopen. Wijzig de reputatie van een bestand of certificaat naar wens voor uw omgeving. De informatie wordt direct bijgewerkt in de database en verzonden naar alle apparaten in uw omgeving die worden beheerd door McAfee epo. Bestanden en certificaten worden geblokkeerd, toegestaan of ingesloten op basis van hun reputatie. Als u niet zeker weet wat u moet doen met een bepaald bestand of certificaat, kunt u het volgende doen: De uitvoering ervan blokkeren totdat u meer weet. In tegenstelling tot een opschoningsactie van Bedreigingspreventie, waarbij het bestand kan worden verwijderd, blijft een geblokkeerd bestand op dezelfde locatie staan, maar kan het niet worden uitgevoerd. Het bestand blijft intact terwijl u het onderzoekt en beslist wat u wilt doen. Sta toe dat het ingesloten wordt uitgevoerd. Dynamische inperking van toepassingen voert toepassingen met specifieke reputaties ingeperkt uit, waarbij acties worden geblokkeerd op basis van inperkingsregels. De toepassing wordt uitgevoerd, maar sommige acties kunnen mislukken, afhankelijk van de inperkingsregels. Importeer bestands- of certificaatreputaties in de database om bepaalde bestanden of certificaten toe te staan of te blokkeren op basis van andere reputatiebronnen. Hiermee kunt u de geïmporteerde instellingen voor bepaalde bestanden en certificaten gebruiken zonder dat u ze afzonderlijk moet instellen op de server. In de kolom Samengestelde reputatie van de pagina TIE-reputaties ziet u de meest voorkomende reputatie en de provider daarvan. (TIE-server 2.0 en hoger) In de kolom Laatst toegepaste regel op de pagina TIE-reputaties worden reputatiegegevens weergegeven en gevolgd op basis van de meest recente detectieregel die op elk bestand aan het eindpunt is toegepast. U kunt deze pagina aanpassen door Acties Kolommen kiezen te selecteren. Bestanden indienen voor verdere analyse Als de reputatie van een bestand onbekend is, kunt u het bij Advanced Threat Defenseindienen voor verdere analyse. Geef in het beleid voor TIE-server op welke bestanden u indient. 198 McAfee Endpoint Security 10.5 Producthandleiding

199 Adaptieve bescherming tegen bedreigingen gebruiken Adaptieve bescherming tegen bedreigingen beheren 6 Advanced Threat Defense detecteert zero-day malware en combineert anti-virushandtekeningen, reputatie, en realtime emulatieverdediging.u kunt bestanden automatisch van Adaptieve bescherming tegen bedreigingen naar Advanced Threat Defense laten verzenden op basis van hun reputatieniveau en bestandsgrootte. Bestandsreputatiegegevens die worden verzonden van Advanced Threat Defense, worden toegevoegd aan de TIE-serverdatabase. Telemetriegegevens van McAfee GTI De bestands- en certificaatinformatie die naar McAfee GTI wordt verzonden, wordt gebruikt om de reputatiegegevens te begrijpen en uit te breiden. Zie de tabel voor details van de information die McAfee GTI levert voor bestanden en certificaten, alleen voor bestanden of alleen voor certificaten. Categorie Bestand en certificaat Alleen bestand Alleen certificaat Beschrijving TIE-server- en -moduleversies Overschrijvingsinstellingen voor reputaties die zijn gemaakt met de TIE-server Externe reputatiegegevens, zoals van Advanced Threat Defense Bestandsnaam, type, pad, grootte, product, publicatieserver en prevalentie SHA-1-, SHA-256- en MD5-gegevens Besturingssysteemversie van de rapporterende computer Maximale, minimale en gemiddelde reputatie ingesteld voor het bestand Of de rapportagemodule in Waarnemingsmodus staat Of het bestand mocht worden uitgevoerd, geblokkeerd of ingeperkt werd of is opgeschoond Het product dat het bestand heeft gedetecteerd, bijvoorbeeld Advanced Threat Defense of Bedreigingspreventie SHA-1-gegevens De naam van de verlener en het onderwerp van het certificaat De datum waarop het certificaat geldig was en de vervaldatum McAfee verzamelt geen persoonlijke gegevens en deelt geen informatie buiten McAfee. Toepassingen dynamisch insluiten Met Dynamische inperking van toepassingen kunt u opgeven dat toepassingen met bepaalde reputaties ingeperkt worden uitgevoerd. Op basis van de reputatiedrempel vraagt Adaptieve bescherming tegen bedreigingen Dynamische insluiting van toepassingen om de toepassing uit te voeren in een container. Ingesloten toepassingen mogen bepaalde acties niet uitvoeren, zoals is opgegeven in insluitingsregels. Met deze technologie kunt u onbekende en mogelijk onveilige toepassingen evalueren door deze in uw omgeving uit te voeren terwijl ze slechts bepaalde acties mogen uitvoeren. Gebruikers kunnen de toepassingen gebruiken, maar deze werken mogelijk niet zoals verwacht, omdat Dynamische insluiting van toepassingen bepaalde acties blokkeert. Wanneer u hebt bepaald dat een toepassing veilig is, kunt u in Endpoint Security Adaptieve bescherming tegen bedreigingen of TIE-server configureren dat de toepassing normaal wordt uitgevoerd. McAfee Endpoint Security 10.5 Producthandleiding 199

200 6 Adaptieve bescherming tegen bedreigingen gebruiken Adaptieve bescherming tegen bedreigingen beheren Zo gebruikt u Dynamische insluiting van toepassingen: 1 Schakel Adaptieve bescherming tegen bedreigingen in en geef de reputatiedrempel voor activering van Dynamische insluiting van toepassingen op in de instellingen voor Opties. 2 Configureer door McAfee gedefinieerde insluitingsregels en uitsluitingen in de instellingen voor Dynamische insluiting van toepassingen. Zie ook Toestaan dat ingesloten toepassingen normaal worden uitgevoerd op pagina 202 Door McAfee gedefinieerde insluitingsregels configureren op pagina 203 De drempelwaarde voor activering van Dynamische inperking van toepassingen inschakelen op pagina 202 Werking van Dynamische insluiting van toepassingen Adaptieve bescherming tegen bedreigingen bepaalt op basis van de reputatie van een toepassing of de toepassing in Dynamische insluiting van toepassingen met beperkingen moet worden uitgevoerd. Wanneer een bestand met de opgegeven reputatie in uw omgeving wordt uitgevoerd, blokkeert of registreert Dynamische insluiting van toepassingen onveilige acties op basis van insluitingsregels. Terwijl toepassingen insluitingsregels voor blokkeren activeren, wordt deze informatie door Dynamische insluiting van toepassingen gebruikt om bij te dragen aan de algehele reputatie van ingesloten toepassingen. Andere technologieën, zoals McAfee Active Response, kunnen insluiting aanvragen. Als meerdere technologieën die bij Dynamische insluiting van toepassingen zijn geregistreerd, vragen om een toepassing in te sluiten, is elke aanvraag cumulatief. De toepassing blijft ingeperkt totdat alle technologieën de toepassing vrijgeven. Als een technologie die om insluiting heeft gevraagd, wordt uitgeschakeld of verwijderd, geeft Dynamische insluiting van toepassingen die toepassingen vrij. Werkstroom van Dynamische inperking van toepassingen 1 Het proces wordt gestart. 2 Adaptieve bescherming tegen bedreigingen controleert de bestandsreputatie. Adaptieve bescherming tegen bedreigingen gebruikt TIE, indien beschikbaar, voor de reputatie van de toepassing. Als TIE-server niet beschikbaar is, gebruikt Adaptieve bescherming tegen bedreigingen McAfee GTI voor reputatie-informatie. Als de reputatie niet bekend is en de cloud- en clientgebaseerde scanners van Real Protect zijn ingeschakeld, vraagt Adaptieve bescherming tegen bedreigingen de reputatie op bij Real Protect. 3 Als de reputatie van de toepassing gelijk is aan of lager is dan de drempelwaarde voor de insluitingsreputatie, meldt Adaptieve bescherming tegen bedreigingen aan Dynamische insluiting van toepassingen dat het proces is gestart en wordt om insluiting gevraagd. 4 Dynamische insluiting van toepassingen sluit het proces in. U kunt gebeurtenissen van Dynamische inperking van toepassingen bekijken in het logboek met bedreigingsgebeurtenissen in McAfee epo. 5 Als de ingesloten toepassing als veilig wordt beschouwd, kunt u deze normaal (niet ingesloten) uitvoeren. 200 McAfee Endpoint Security 10.5 Producthandleiding

201 Adaptieve bescherming tegen bedreigingen gebruiken Adaptieve bescherming tegen bedreigingen beheren 6 Zie ook Toestaan dat ingesloten toepassingen normaal worden uitgevoerd op pagina 202 McAfee Endpoint Security 10.5 Producthandleiding 201

202 6 Adaptieve bescherming tegen bedreigingen gebruiken Adaptieve bescherming tegen bedreigingen beheren Toestaan dat ingesloten toepassingen normaal worden uitgevoerd Wanneer u hebt bepaald dat een ingeperkte toepassing veilig is, kunt u deze normaal laten uitvoeren in uw omgeving. Voeg de toepassing toe aan de lijst met algemene uitsluitingen in de instellingen voor dynamische insluiting van toepassingen. In dit geval wordt de ingesloten toepassing vrijgegeven en normaal uitgevoerd, onafhankelijk van het aantal technologieën dat om insluiting heeft gevraagd. Configureer Adaptieve bescherming tegen bedreigingen om de reputatiedrempel te verhogen en de toepassing vrij te geven. In dit geval wordt de ingesloten toepassing vrijgegeven en normaal uitgevoerd, tenzij een andere technologie om insluiting van de toepassing heeft gevraagd. Als TIE-server beschikbaar is, wijzigt u de reputatie van het bestand in een niveau waarop het kan worden uitgevoerd, bijvoorbeeld Is vertrouwd. In dit geval wordt de ingesloten toepassing vrijgegeven en normaal uitgevoerd, tenzij een andere technologie om insluiting van de toepassing heeft gevraagd. Zie de producthandleiding van McAfee Threat Intelligence Exchange. Zie ook Processen uitsluiten van Dynamische inperking van toepassingen op pagina 204 De drempelwaarde voor activering van Dynamische inperking van toepassingen inschakelen Met de technologie Dynamische insluiting van toepassingen kunt u opgeven dat toepassingen met een bepaalde reputatie in een container moeten worden uitgevoerd, waardoor ze maar een beperkt aantal acties kunnen uitvoeren. Schakel de actiehandhaving van Dynamische insluiting van toepassingen in en geef de reputatiedrempel op waarbij toepassingen worden ingesloten. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Adaptieve bescherming tegen bedreigingen op de hoofdpagina Status. Of selecteer in het menu Actie bescherming tegen bedreigingen., de optie Instellingen en klik op de pagina Instellingen op Adaptieve 3 Klik op Geavanceerd weergeven. 4 Klik op Opties. 5 Zorg dat Adaptieve bescherming tegen bedreigingen is ingeschakeld. 6 Selecteer Dynamische inperking van toepassingen activeren als de reputatiedrempel wordt bereikt. 202 McAfee Endpoint Security 10.5 Producthandleiding

203 Adaptieve bescherming tegen bedreigingen gebruiken Adaptieve bescherming tegen bedreigingen beheren 6 7 Geef de reputatiedrempelwaarde op waarbij applicaties worden ingesloten. Mogelijk vertrouwd Onbekend (standaardwaarde van de regelgroep Beveiliging) Mogelijk schadelijk (standaardwaarde van de regelgroep Evenwichtig) Hoogstwaarschijnlijk schadelijk (standaardwaarde van de regelgroep Productiviteit) Is schadelijk De reputatiedrempel van Dynamische inperking van toepassingen moet hoger zijn dan de drempelwaarden voor blokkeren en opschonen Als de drempelwaarde voor blokkeren bijvoorbeeld is ingesteld op Is schadelijk, moet de drempelwaarde voor Dynamische inperking van toepassingen worden ingesteld op Hoogstwaarschijnlijk schadelijk of hoger. 8 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Door McAfee gedefinieerde insluitingsregels configureren door McAfee gedefinieerd inperkingsregels acties die door ingeperkte toepassingen kunnen worden uitgevoerd, blokkeren of vastleggen in een logboek. U kunt de instellingen voor blokkeren en rapporteren wijzigen, maar u kunt geen andere wijzigingen aanbrengen of deze regels verwijderen. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Voor informatie over regels voor Dynamische insluiting van toepassingen, waaronder aanbevolen procedures voor wanneer u een regel voor rapporteren of blokkeren instelt, raadpleegt u KB Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Adaptieve bescherming tegen bedreigingen op de hoofdpagina Status. Of selecteer in het menu Actie bescherming tegen bedreigingen., de optie Instellingen en klik op de pagina Instellingen op Adaptieve 3 Klik op Geavanceerd weergeven. 4 Klik op Dynamische insluiting van toepassingen. 5 Selecteer in de sectie Insluitingsregels de optie Blokkeren, Rapporteren of beide voor de regel. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Blokkeren of Rapporteren in de eerste rij. Hef de selectie van Blokkeren en Rapporteren op als u de regel wilt uitschakelen. 6 Configureer in de sectie Uitsluitingen de uitvoerbare bestanden die u wilt uitsluiten voor Dynamische inperking van toepassingen. Processen in de lijst Uitsluitingen worden normaal uitgevoerd (niet ingesloten). 7 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Zie ook Processen uitsluiten van Dynamische inperking van toepassingen op pagina 204 McAfee Endpoint Security 10.5 Producthandleiding 203

204 6 Adaptieve bescherming tegen bedreigingen gebruiken Adaptieve bescherming tegen bedreigingen beheren Ingesloten toepassingen beheren Wanneer Dynamische insluiting van toepassingen een vertrouwde toepassing insluit, kunt u deze vanaf de Endpoint Security-client uitsluiten voor insluiting. Als u de toepassing uitsluit, wordt deze vrijgegeven, verwijderd uit de Ingeperkte toepassingen en toegevoegd aan de Uitsluitingen, zodat de toepassing in de toekomst niet meer wordt ingeperkt. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Adaptieve bescherming tegen bedreigingen op de hoofdpagina Status. Of selecteer in het menu Actie bescherming tegen bedreigingen., de optie Instellingen en klik op de pagina Instellingen op Adaptieve 3 Klik op Geavanceerd weergeven. 4 Klik op Dynamische insluiting van toepassingen. 5 Selecteer de toepassing in de sectie Ingesloten toepassingen en klik op Uitsluiten. 6 Configureer de eigenschappen van de uitvoerbare bestanden op de pagina Uitvoerbaar bestand toevoegen en klik op Opslaan. De toepassing wordt weergegeven in de lijst Uitsluitingen. De toepassing blijft in de lijst Ingeperkte toepassingen staan totdat u op Toepassen klikt. Wanneer u terugkeert naar de pagina Instellingen, wordt de toepassing alleen weergegeven in de lijst Uitsluitingen. 7 Klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Processen uitsluiten van Dynamische inperking van toepassingen Als een vertrouwd programma wordt ingeperkt, sluit het dan uit door een uitsluiting te maken voor Dynamische inperking van toepassingen. Uitsluitingen die met de Endpoint Security-client zijn gemaakt, zijn alleen van toepassing op het clientsysteem. Deze uitsluitingen worden niet naar McAfee epo verzonden en worden niet weergegeven in de sectie Uitsluitingen van de instellingen voor Dynamische insluiting van applicaties. Voor beheerde systemen maakt u algemene uitsluitingen in de instellingen voor Dynamische insluiting van applicaties in McAfee epo. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Adaptieve bescherming tegen bedreigingen op de hoofdpagina Status. Of selecteer in het menu Actie bescherming tegen bedreigingen., de optie Instellingen en klik op de pagina Instellingen op Adaptieve 3 Klik op Geavanceerd weergeven. 204 McAfee Endpoint Security 10.5 Producthandleiding

205 Adaptieve bescherming tegen bedreigingen gebruiken Adaptieve bescherming tegen bedreigingen beheren 6 4 Klik op Dynamische inperking van toepassingen. 5 Klik in de sectie Uitsluitingen op Toevoegen om processen toe te voegen die van alle regels moeten worden uitgesloten. 6 Configureer de eigenschappen van de uitvoerbare bestanden op de pagina Uitvoerbaar bestand toevoegen. 7 Klik op Opslaan en vervolgens op Toepassen om de instellingen op te slaan. Opties voor Adaptieve bescherming tegen bedreigingen configureren De instellingen van Adaptieve bescherming tegen bedreigingen bepalen wanneer een bestand of certificaat moet worden uitgevoerd, ingesloten, opgeschoond of geblokkeerd, of dat gebruikers moet worden gevraagd wat er moet gebeuren. Voordat u begint De interfacemodus voor de Endpoint Security-client is ingesteld op Volledige toegang, of u moet zijn aangemeld als beheerder. Beleidswijzigingen vanuit McAfee epo overschrijven wijzigingen vanuit de pagina Instellingen. Procedure Voor details over productfuncties, gebruik en aanbevolen procedures klikt u op? of Help. 1 Open de Endpoint Security-client. 2 Klik op Adaptieve bescherming tegen bedreigingen op de hoofdpagina Status. Of selecteer in het menu Actie bescherming tegen bedreigingen., de optie Instellingen en klik op de pagina Instellingen op Adaptieve 3 Klik op Geavanceerd weergeven. 4 Klik op Opties. 5 Configureer instellingen op de pagina en klik op Toepassen om uw wijzigingen op te slaan of klik op Annuleren. Bestanden en certificaten blokkeren of toestaan Bestanden en certificaten hebben bedreigingsreputaties op basis van hun inhoud en eigenschappen. De beleidsregels van Adaptieve bescherming tegen bedreigingen bepalen op basis van McAfee Endpoint Security 10.5 Producthandleiding 205

206 6 Adaptieve bescherming tegen bedreigingen gebruiken Adaptieve bescherming tegen bedreigingen beheren reputatieniveaus of bestanden en certificaten worden geblokkeerd of toegestaan op systemen in uw omgeving. Er zijn drie beveiligingsniveaus afhankelijk van hoe u de regels voor bepaalde typen systemen wilt verdelen. Elk niveau is aan specifieke regels gekoppeld die schadelijke en verdachte bestanden en certificaten identificeren. Productiviteit: systemen die regelmatig worden gewijzigd, waarop vaak vertrouwde programma's worden geïnstalleerd en verwijderd en die regelmatig updates ontvangen. Voorbeelden van deze systemen zijn computers die worden gebruikt in ontwikkelomgevingen. Er worden minder regels gebruikt bij beleid voor deze instelling. Gebruikers zien een minimumaantal blokkeringen en prompts wanneer nieuwe bestanden worden gedetecteerd. Evenwichtig: typische bedrijfssystemen waarop nieuwe programma's en wijzigingen sporadisch worden geïnstalleerd. Er worden meer regels gebruikt voor beleidsregels voor deze instelling. Gebruikers ontvangen meer blokkeringen en prompts. Beveiliging: IT-beheerde systemen met strikte controle en weinig wijzigingen. Voorbeelden zijn systemen die toegang geven tot kritieke of vertrouwelijke informatie in een financiële of overheidsomgeving. Deze instelling wordt ook voor servers gebruikt. Het maximumaantal regels wordt gebruikt voor beleidsregels voor deze instelling. Gebruikers ontvangen nog meer blokkeringen en prompts. Selecteer Menu Serverinstellingen als u de specifieke regels wilt weergeven die aan elk beveiligingsniveau zijn gekoppeld. In de lijst Instellingscategorieën selecteert u Adaptieve bescherming tegen bedreigingen. Bij het bepalen van welk beveiligingsniveau aan een beleid moet worden toegewezen, moet u rekening houden met op welk type systeem het beleid wordt gebruikt en hoeveel blokkeringen en prompts u wilt dat de gebruiker ontvangt. Nadat u een beleid hebt gemaakt, wijst u het toe aan computers of apparaten om te bepalen hoeveel blokkeringen en prompts optreden. Real Protect-scanner gebruiken De Real Protect-scanner inspecteert verdachte bestanden en activiteiten op een eindpunt om schadelijke patronen te detecteren met behulp van machine-learning technieken. Op basis van deze informatie kan de scanner zero-day malware detecteren. De Real Protect-technologie wordt niet op alle Windows-besturingssystemen ondersteund. Zie KB82761 voor informatie. De Real Protect-scanner bevat twee opties voor het uitvoeren van geautomatiseerde analyse: In de cloud Real Protect in de cloud verzamelt en verzendt bestandskenmerken en gedragsgegevens naar het machine-learning systeem in de cloud voor malware-analyse. Voor deze optie is een internetverbinding nodig om onterecht als verdacht aangeduide resultaten te beperken met McAfee GTI-reputatie. Aanbevolen procedure: Schakel Real Protect in de cloud uit op systemen die geen verbinding hebben met internet. 206 McAfee Endpoint Security 10.5 Producthandleiding

207 Adaptieve bescherming tegen bedreigingen gebruiken Naslaggids voor Endpoint Security-client-interface Adaptieve bescherming tegen bedreigingen 6 Op het clientsysteem Real Protect op het clientsysteem gebruikt machine-learning op het clientsysteem om te bepalen of het bestand overeenkomt met bekende malware. Als het clientsysteem verbinding heeft met internet, verzendt Real Protect telemetriegegevens naar de cloud, maar wordt de cloud niet gebruikt voor analyse. Als het clientsysteem TIE gebruikt voor reputaties, is een internetverbinding niet nodig voor reputaties. Er is geen internetverbinding nodig om onterecht als verdacht aangeduide resultaten te beperken. Aanbevolen procedure: schakel beide Real Protect-opties in tenzij door Ondersteuning wordt geadviseerd om een of beide opties uit te schakelen om onterecht als verdacht aangeduide items te minimaliseren. Er worden geen persoonlijke gegevens (PII) naar de cloud verzonden. Naslaggids voor Endpoint Security-client-interface Adaptieve bescherming tegen bedreigingen Biedt contextafhankelijke hulp voor pagina's in de interface van Endpoint Security-client. Inhoud Adaptieve bescherming tegen bedreigingen: Dynamische insluiting van applicaties Adaptieve bescherming tegen bedreigingen: Opties Adaptieve bescherming tegen bedreigingen: Dynamische insluiting van applicaties Beveilig uw systeem door regels te configureren voor de acties die de toepassing op basis van de geconfigureerde regels mag uitvoeren. McAfee Endpoint Security 10.5 Producthandleiding 207

208 6 Adaptieve bescherming tegen bedreigingen gebruiken Naslaggids voor Endpoint Security-client-interface Adaptieve bescherming tegen bedreigingen Tabel 6-1 Opties Sectie Insluitingsregels Optie Beschrijving Hier configureert u regels voor Dynamische insluiting van applicaties. U kunt wijzigen of door McAfee gedefinieerde inperkingsregels blokkeren of rapporteren, maar u kunt geen andere wijzigingen aanbrengen of deze regels verwijderen. Blokkeren (alleen): blokkeert, zonder logboekregistratie, het uitvoeren van acties van ingeperkte toepassingen die door de regel zijn bepaald. Rapporteren (alleen): registreert in het logboek wanneer toepassingen acties willen uitvoeren die in de regels zijn opgenomen, maar voorkomt niet dat toepassingen deze acties uitvoeren. Blokkeren en Rapporteren: toegangspogingen worden geblokkeerd en vastgelegd in een logboek. Aanbevolen procedure: wanneer het volledige effect van een regel niet bekend is, selecteert u Rapporteren, maar niet Blokkeren, om een waarschuwing te ontvangen zonder dat toegangspogingen worden geblokkeerd. Controleer de logboeken en rapporten om te bepalen of toegang moet worden geblokkeerd. Als u alle pogingen wilt blokkeren of rapporteren, selecteert u Blokkeren of Rapporteren in de eerste rij. Hef de selectie van Blokkeren en Rapporteren op als u de regel wilt uitschakelen. Ingesloten applicaties Hier worden de applicaties weergegeven die momenteel zijn ingesloten. Uitsluiten: een ingeperkte toepassing verplaatsen naar de lijst Uitsluitingen, zodat de toepassing niet meer is ingeperkt en normaal wordt uitgevoerd. Tabel 6-2 Geavanceerde opties Sectie Optie Beschrijving Uitsluitingen Processen uitsluiten zodat ze niet worden ingesloten. Toevoegen: hiermee wordt een proces aan de lijst met uitsluitingen toegevoegd. Dubbelklik op een item: Hiermee wordt het geselecteerde item gewijzigd. Verwijderen: Hiermee wordt het geselecteerde item verwijderd. Dupliceren: Hiermee wordt een kopie van het geselecteerde item gemaakt. Zie ook Werking van Dynamische insluiting van toepassingen op pagina 200 Uitsluiting toevoegen of Uitsluiting bewerken op pagina 208 Door McAfee gedefinieerde insluitingsregels configureren op pagina 203 Processen uitsluiten van Dynamische inperking van toepassingen op pagina 204 Uitsluiting toevoegen of Uitsluiting bewerken U kunt uitvoerbaar bestand toevoegen of bewerken om het uit te sluiten van Dynamische insluiting van applicaties. Houd bij het opgeven van uitsluitingen rekening met het volgende: U moet minimaal één identificator opgeven: Bestandsnaam of -pad, MD5-hash of Ondertekenaar. Als u meer identificatoren opgeeft, zijn alle identificatorenvan toepassing. 208 McAfee Endpoint Security 10.5 Producthandleiding

209 Adaptieve bescherming tegen bedreigingen gebruiken Naslaggids voor Endpoint Security-client-interface Adaptieve bescherming tegen bedreigingen 6 Als u meer identificatoren opgeeft en als deze niet overeenkomen (de bestandsnaam en MD5-hash zijn bijvoorbeeld niet op hetzelfde bestand van toepassing), is de uitsluiting ongeldig. Uitsluitingen zijn hoofdletterongevoelig. Jokertekens zijn overal voor toegestaan, behalve voor MD5-hash. Tabel 6-3 Opties Optie Naam Bestandsnaam of -pad MD5-hash Definitie De naam van het uitvoerbare bestand. Dit veld is verplicht met ten minste één ander veld: Bestandsnaam of -pad, MD5-hash of Ondertekenaar. De naam of het pad van het uitvoerbare bestand dat moet worden toegevoegd of bewerkt. Klik op Bladeren om het uitvoerbare bestand te selecteren. Het bestandspad mag jokertekens bevatten. Hiermee wordt de MD5-hash (32-cijferige hexadecimale nummer) van het proces aangegeven. McAfee Endpoint Security 10.5 Producthandleiding 209

210 6 Adaptieve bescherming tegen bedreigingen gebruiken Naslaggids voor Endpoint Security-client-interface Adaptieve bescherming tegen bedreigingen Tabel 6-3 Opties (vervolg) Optie Ondertekenaar Definitie Controle op digitale handtekening inschakelen: Hiermee wordt gegarandeerd dat code niet is gewijzigd of beschadigd sinds de code is ondertekend met een cryptografische hash. Als de optie is ingeschakeld, geeft u het volgende op: Elke handtekening toestaan: hiermee worden bestanden toegestaan die zijn ondertekend door een willekeurige procesondertekenaar. Ondertekend door: hiermee worden alleen bestanden toegestaan die zijn ondertekend door de opgegeven procesondertekenaar. Een SDN (Signer Distinguished Name) voor het uitvoerbare bestand is vereist en moet exact overeenkomen met de invoer in het bijbehorende veld, inclusief komma's en spaties. De procesondertekenaar wordt in de juiste indeling weergegeven in het gebeurtenislogboek van Endpoint Security-client en het logboek met bedreigingsgebeurtenissen van McAfee epo. Bijvoorbeeld: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Zo haalt u de SDN van een uitvoerbaar bestand op: 1 Klik met de rechtermuisknop op een uitvoerbaar bestand en selecteer Eigenschappen. 2 Selecteer een ondertekenaar op het tabblad Digitale handtekeningen en klik op Details. 3 Klik op het tabblad Algemeen op Certificaat weergeven. 4 Selecteer op het tabblad Details het veld Aanvrager. De Signer Distinguished Name wordt weergegeven. Firefox heeft bijvoorbeeld de volgende Signer Distinguished Name: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Opmerkingen Meer informatie over het item. 210 McAfee Endpoint Security 10.5 Producthandleiding

211 Adaptieve bescherming tegen bedreigingen gebruiken Naslaggids voor Endpoint Security-client-interface Adaptieve bescherming tegen bedreigingen 6 Adaptieve bescherming tegen bedreigingen: Opties Configureer instellingen voor de module Adaptieve bescherming tegen bedreigingen. Tabel 6-4 Opties Sectie Optie Definitie Opties Adaptieve bescherming tegen bedreigingen inschakelen Toestaan dat de Threat Intelligence Exchange-server anonieme diagnostische en gebruiksgegevens verzamelt McAfee GTI-bestandsreputatie gebruiken als de Threat Intelligence Exchange-server niet bereikbaar is Voorkomen dat gebruikers instellingen wijzigen (alleen Threat Intelligence Exchange 1.0-clients) Hiermee schakelt u de module Adaptieve bescherming tegen bedreigingen in. (Standaard ingeschakeld) Hiermee wordt toegestaan dat de TIE-server anonieme bestandsinformatie verstuurt naar McAfee. Hiermee wordt informatie over bestandsreputatie van de Global Threat Intelligence-proxy verkregen als de TIE-server niet beschikbaar is. Hiermee voorkomt u dat gebruikers op beheerde systemen de instellingen voor Threat Intelligence Exchange 1.0 kunnen wijzigen. Regeltoewijzing Productiviteit Hiermee wijst u de regelgroep Productiviteit toe. Gebruik deze groep voor systemen met frequente wijzigingen en veelvuldige installaties en updates van vertrouwde software. Deze groep gebruikt het laagste aantal regels. Gebruikers ontvangen een minimumaantal prompts en blokkeringen bij detectie van nieuwe bestanden. Evenwichtig Beveiliging Hiermee wijst u de regelgroep Evenwichtig toe. Gebruik de regelgroep Evenwichtig voor gangbare bedrijfssystemen met weinig nieuwe software en wijzigingen. Deze groep gebruikt meer regels en gebruikers ontvangen meer prompts en blokkeringen dan de groep Productiviteit. Hiermee wijst u de regelgroep Beveiliging toe. Gebruik deze groep voor systemen met weinig wijzigingen, zoals IT-beheerde systemen en servers met strikte controle. Gebruikers ontvangen meer prompts en blokkeringen dan bij de groep Evenwichtig. McAfee Endpoint Security 10.5 Producthandleiding 211

212 6 Adaptieve bescherming tegen bedreigingen gebruiken Naslaggids voor Endpoint Security-client-interface Adaptieve bescherming tegen bedreigingen Tabel 6-4 Opties (vervolg) Sectie Optie Definitie Real Protect-scannen Clientgebaseerd scannen inschakelen Schakelt Real Protect-scannen op het clientsysteem in. Deze gebruikt machine-learning op het clientsysteem om te bepalen of het bestand overeenkomt met bekende malware. Als het clientsysteem verbinding heeft met internet, verzendt Real Protect telemetriegegevens naar de cloud, maar wordt de cloud niet gebruikt voor analyse. Als het clientsysteem TIE gebruikt voor reputaties, is een internetverbinding niet nodig voor reputaties. Er is geen internetverbinding nodig om onterecht als verdacht aangeduide resultaten te beperken. Aanbevolen procedure: schakel deze optie in tenzij Ondersteuning u adviseert de optie uit te schakelen om onterecht als verdacht aangeduide items te beperken. De Real Protect-technologie wordt niet op alle Windows-besturingssystemen ondersteund. Zie KB82761 voor informatie. Cloudgebaseerd scannen inschakelen Hiermee schakelt u Real Protect-scannen in de cloud in. Hiermee worden de kenmerken van het bestand plus de gedragsgegevens verzameld en voor analyse naar het machine-learning systeem in de cloud gezonden. Voor deze optie is een internetverbinding nodig om onterecht als verdacht aangeduide resultaten te beperken met McAfee GTI-reputatie. Actiehandhaving Waarnemingsmodus inschakelen Aanbevolen procedure: Schakel Real Protect in de cloud uit op systemen die geen verbinding hebben met internet. De Real Protect-technologie wordt niet op alle Windows-besturingssystemen ondersteund. Zie KB82761 voor informatie. Genereert de gebeurtenissen voor Adaptieve bescherming tegen bedreigingen Zou blokkeren, Zou opschonen of Zou insluiten, en stuurt deze naar de server. Er worden geen acties gehandhaafd. Schakel de waarnemingsmodus alleen tijdelijk op enkele systemen in tijdens het afstemmen van Adaptieve bescherming tegen bedreigingen. Omdat het inschakelen van deze modus ertoe leidt dat gebeurtenissen voor Adaptieve bescherming tegen bedreigingen genereert, maar geen acties handhaaft, zijn uw systemen mogelijk kwetsbaar voor bedreigingen. 212 McAfee Endpoint Security 10.5 Producthandleiding