Průvodce pro klienty aplikace Symantec™ Endpoint Protection a

Transkript

Průvodce pro klienty aplikace
Symantec™ Endpoint
Protection a Symantec
Network Access Control
Průvodce pro klienty aplikace Symantec Endpoint
Protection a Symantec Network Access Control
Software popsaný v této příručce podléhá licenční smlouvě a lze jej používat pouze při
dodržení jejích podmínek.
Verze dokumentace 12.01.00.00
Právní informace
Copyright © 2011 Symantec Corporation. Všechna práva vyhrazena.
Symantec, logo Symantec, Bloodhound, Confidence Online, Digital Immune System,
LiveUpdate, Norton, Sygate a TruScan jsou ochranné známky nebo registrované ochranné
známky společnosti Symantec Corporation nebo jejích poboček ve Spojených státech
amerických a jiných zemích. Jiné názvy mohou být ochrannými známkami příslušných
vlastníků.
Tento produkt společnosti Symantec může obsahovat software třetích stran, který společnost
Symantec poskytuje za podmínek třetí strany („Aplikace třetích stran“). Některé aplikace
třetích stran jsou dostupné v rámci licence otevřeného zdroje nebo bezplatného softwaru.
Licenční smlouva dodávaná se softwarem neupravuje žádná práva nebo závazky vyplývající
z licence otevřeného zdroje nebo bezplatného softwaru. Další informace o aplikacích třetích
stran najdete v dodatku k této dokumentaci s právními informacemi týkajícími se třetích
stran nebo v souboru TPIP Readme.
Produkt popsaný v tomto dokumentu je dodáván na základě licencí omezujících jeho
používání, kopírování, distribuci a dekompilaci či zpětný překlad. Žádná část tohoto
dokumentu nesmí být jakýmkoli způsobem reprodukována bez předchozího písemného
souhlasu společnosti Symantec Corporation, případně jejích poskytovatelů licence.
TATO DOKUMENTACE JE POSKYTOVÁNA „TAK, JAK JE“ A SPOLEČNOST SYMANTEC
CORPORATION SE ZŘÍKÁ VEŠKERÝCH VÝSLOVNĚ UVEDENÝCH NEBO
PŘEDPOKLÁDANÝCH PODMÍNEK, PROHLÁŠENÍ A ZÁRUK, VČETNĚ PŘEDPOKLÁDANÝCH
ZÁRUK TÝKAJÍCÍCH SE OBCHODOVATELNOSTI, VHODNOSTI PRO URČITÝ ÚČEL A
NEPORUŠENÍ ZÁKONA, S VÝJIMKOU ROZSAHU, VE KTERÉM JSOU TAKOVÁTO ZŘEKNUTÍ
PRÁVNĚ NEPLATNÁ. SPOLEČNOST SYMANTEC CORPORATION NENÍ ODPOVĚDNÁ ZA
ŽÁDNÉ NÁHODNÉ NEBO NÁSLEDNÉ ŠKODY VZNIKLÉ VE SPOJENÍ S VYKONANOU PRACÍ
NEBO POUŽITÍM TÉTO DOKUMENTACE. INFORMACE OBSAŽENÉ V TÉTO DOKUMENTACI
PODLÉHAJÍ ZMĚNÁM BEZ PŘEDCHOZÍHO UPOZORNĚNÍ.
Licencovaný software a dokumentace jsou považovány za komerční počítačový software,
jak je definováno v dokumentu FAR 12.212, řídí se omezenými právy dle definice v dokumentu
FAR v části 52.227–19 „Commercial Computer Software – Restricted Rights“ a DFARS
227.7202 „Rights in Commercial Computer Software or Commercial Computer Software
Documentation“ a dalších následných nařízení. Jakékoli použití, úpravy, vydávání kopií,
předvádění, zobrazování nebo odhalení licencovaného softwaru a dokumentace vládou
Spojených států bude pouze v souladu s podmínkami tohoto ujednání.
Symantec Corporation
350 Ellis Street
Mountain View, CA 94043
http://www.symantec.cz
Technická podpora
Technická podpora společnosti Symantec provozuje centra podpory po celém
světě. Jejím hlavním úkolem je odpovídat na konkrétní dotazy na funkce a
vlastnosti produktů. Oddělení technické podpory také vytváří obsah naší
internetové Databáze znalostí. Oddělení spolupracuje s ostatními funkčními celky
společnosti Symantec za účelem rychého zodpovězení vašich dotazů. Spolupracuje
například s oddělením vývoje produktů a oddělením Symantec Security Response,
aby bylo možné poskytovat služby varování a aktualizací virových definic.
Nabídky podpory společnosti Symantec zahrnují následující:
■
Škála možností podpory, která vám dává flexibilitu volby odpovídajícího
množství služeb pro jakkoli velkou organizaci
■
Telefonická nebo internetová podpora umožňující rychlou odpověď a okamžité
získání informací
■
Zajištění aktualizací poskytující ochranu aktualizacemi softwaru
■
Celosvětová podpora dostupná v rámci běžné pracovní doby nebo 24 hodin
denně, 7 dní v týdnu
■
Nabídky prémiových služeb včetně služeb správy účtu
Informace o programech technické podpory společnosti Symantec naleznete na
našich webových stránkách na adrese URL:
http://www.symantec.com/cs/cz/business/support/
Všechny služby podpory budou poskytovány v souladu se smlouvou o poskytování
technické podpory a aktuálními zásadami pro poskytování technické podpory
podnikům.
Kontaktování technické podpory
Zákazníci s platnou smlouvou o poskytování technické podpory mají přístup k
informacím technické podpory na této adrese URL:
Před kontaktováním technické podpory se přesvědčte, jestli systém splňuje
požadavky uvedené v dokumentaci k produktu. Měli byste být také u počítače, na
kterém k potížím došlo, pro případ, že by bylo problém potřeba opakovat.
Při kontaktování technické podpory mějte k dispozici tyto informace:
■
Úroveň vydání produktu
■
Informace o hardwaru
■
Informace o dostupné paměti, místu na disku a síťové kartě
■
Operační systém
■
Verze a úroveň opravy
■
Topologie sítě
■
Informace o routeru, bráně a adrese IP
■
Popis problému:
■
Chybové zprávy a soubory protokolu
■
Řešení potíží, které proběhlo před kontaktováním společnosti Symantec
■
Poslední změny konfigurace softwaru a změny v síti
Licence a registrace
Pokud váš produkt Symantec vyžaduje registraci nebo licenční klíč, navštivte
webovou stránku technické podpory na této adrese URL:
Zákaznická služba
Informace o zákaznické službě jsou dostupné na této adrese URL:
Zákaznická služba je vám k dispozici při řešení problémů netechnického rázu,
jako například:
■
Otázky týkající se licencí nebo serializace produktu
■
Aktualizace registrace produktu jako jsou změny adresy či názvu
■
Obecné informace o produktu (funkce, jazyková dostupnost, místní prodejci)
■
Nejnovější informace o aktualizacích a upgradech produktu
■
Informace o záruce upgradu a smlouvách o poskytování technické podpory
■
Informace o programech Symantec Buying Programs
■
Informace o možnostech technické podpory společnosti Symantec
■
Netechnické předprodejní dotazy
■
Problémy související s disky CD-ROM, DVD a příručkami
Zdroje pro smlouvu o poskytování technické podpory
Pokud se chcete obrátit na společnost Symantec ohledně existující smlouvy o
poskytování technické podpory, obraťte se na tým správy smlouvy o poskytování
technické podpory ve vaší oblasti:
Asie-Tichomoří a Japonsko
[email protected]
Evropa, Blízký východ a Afrika
[email protected]
Severní Amerika a Latinská Amerika
[email protected]
Další služby pro podniky
Společnost Symantec nabízí komplexní sadu služeb, které vám umožní
maximalizovat investici do produktů Symantec a rozvíjet znalostní, expertní a
globální vhled, což vám dovolí aktivně spravovat svá obchodní rizika.
Mezi služby pro podniky, které jsou k dispozici, patří:
Služby Managed Services
Služby Managed Services vás zbavují břemene správy a sledování
bezpečnostních zařízení a událostí a zajišťují rychlou reakci na skutečné hrozby.
Consulting Services
Služby Symantec Consulting Services poskytují technickou podporu společnosti
Symantec a jejích důvěryhodných partnerů přímo na pracovišti. Služby
Symantec Consulting Services nabízejí širokou škálu předem připravených a
přizpůsobitelných možností, mezi které patří hodnocení, návrh, implementace,
sledování a funkce pro správu. Každá se zaměřuje na vytvoření a udržení
integrity a dostupnosti vašich zdrojů IT.
Služby Education Services
Služby Education Services poskytují plný rozsah technického školení,
bezpečnostního vzdělávání, bezpečnostní certifikace a programů komunikace
o bezpečnosti.
Více informací o službách pro podniky najdete na našich webových stránkách na
této adrese URL:
www.symantec.com/business/services/
Z rejstříku stránky vyberte svou zemi nebo jazyk.
Obsah
Technická podpora ............................................................................................. 4
Kapitola 1
Začínáme s klientem ........................................................... 11
Klient Symantec Endpoint Protection ..............................................
Klient Symantec Network Access Control .........................................
Začínáme na stránce Stav ..............................................................
Ikony výstrah na stránce Stav ........................................................
Okamžité prověřování počítače .......................................................
Pozastavení a zpoždění prověřování ..........................................
Další zdroje informací ...................................................................
Kapitola 2
Reakce na výstrahy a oznámení ....................................... 21
Typy výstrah a oznámení ..............................................................
Výsledky prověřování ...................................................................
Reakce na zjištění viru nebo rizika ..................................................
Odstranění viru nebo rizika z infikovaného souboru .....................
Reakce na zprávy funkce Download Insight s dotazem na povolení
nebo zablokování souboru, který se pokoušíte stáhnout ................
Reakce na zprávy s dotazem, jestli aplikaci povolit nebo
zablokovat ............................................................................
Zpráva informující o ukončení platnosti licence .................................
Reakce na zprávy s aktualizací klientského softwaru ..........................
Kapitola 3
11
13
13
15
16
17
18
21
23
24
26
27
29
30
30
Kontrola ochrany počítače ................................................ 33
Správa ochrany počítače ...............................................................
Aktualizace ochrany počítače .........................................................
Okamžitá aktualizace obsahu ...................................................
Aktualizace obsahu podle plánu ................................................
Určení připojení a ochrany klienta ..................................................
Skrytí a zobrazení ikony na hlavním panelu ................................
Spravovaní a nespravovaní klienti ...................................................
Ověření, zda je klient spravován nebo nespravován ............................
Povolení nebo zakázání ochrany .....................................................
Povolení nebo zakázání ochrany v klientském počítači ........................
33
35
36
37
38
39
39
41
42
43
8
Obsah
Povolení nebo zakázání funkce Auto-Protect .....................................
Povolení, zakázání a konfigurace ochrany před změnami ....................
Informace o protokolech ...............................................................
Prohlížení protokolů .....................................................................
Povolení protokolu paketů .......................................................
Trasování protokolovaných událostí zpět k jejich zdroji ......................
Export dat protokolu ....................................................................
Kapitola 4
44
46
47
49
49
50
51
Správa prověřování ............................................................. 55
Správa prověřování v počítači ........................................................
Jak funguje prověřování na viry a spyware ........................................
Informace o typech prověřování ...............................................
Informace o typech funkcí Auto-Protect .....................................
Viry a bezpečnostní rizika .......................................................
Jak prověřování reagují na zjištění viru nebo rizika ......................
Způsob, jakým aplikace Symantec Endpoint Protection k
rozhodování o souborech využívá informace o
hodnocení .......................................................................
Naplánování prověřování definovaného uživatelem ...........................
Naplánování prověřování na spuštění na požádání nebo při zapnutí
počítače ................................................................................
Správa detekcí Download Insight v počítači ......................................
Přizpůsobení nastavení funkce Download Insight ..............................
Přizpůsobení nastavení prověřování výskytu virů a spywaru ................
Konfigurace akcí pro zjišťování malwaru a bezpečnostních rizik ...........
Vyloučení položek z prověřování ....................................................
Vyloučení položek z prověřování ....................................................
Správa souborů v klientském počítači uložených do karantény .............
Umístění souborů do karantény ................................................
Umístění souboru do karantény z protokolu rizika nebo
prověřování ....................................................................
Ruční odeslání potenciálně infikovaného souboru do systému
Symantec Security Response k analýze ................................
Automatické odstraňování souborů z Karantény ..........................
Informace o odeslání informací o zjištěních hrozbách do střediska
Symantec Security Response ....................................................
Odeslání informací o zjištěních hrozbách do střediska Symantec
Security Response ..................................................................
O spolupráci klienta se Střediskem zabezpečení systému
Windows ..............................................................................
Správa funkce SONAR v klientském počítači .....................................
Informace o funkci SONAR ......................................................
56
61
63
65
67
70
71
72
75
76
79
80
82
86
87
89
91
92
92
93
93
95
96
97
99
Obsah
Informace o souborech a aplikacích detekovaných funkcí
SONAR ........................................................................... 99
Změna nastavení funkce SONAR ............................................. 100
Kapitola 5
Správa brány firewall a prevence narušení .................. 103
Ochrana před síťovými hrozbami ..................................................
Správa ochrany pomocí brány firewall ...........................................
Jak funguje brána firewall ......................................................
Konfigurace nastavení brány firewall .............................................
Povolení provozu a nastavení režimu procházení stealth .............
Automatické povolení komunikace pro důležité síťové
služby ..........................................................................
Povolení sdílení souborů a tiskáren v síti ..................................
Blokování a odblokování útočícího počítače ...............................
Blokování provozu ................................................................
Povolení nebo blokování aplikací ...................................................
Povolení nebo blokování přístupu k síti u aplikací .......................
Konfigurace specifických nastavení aplikace .............................
Odebírání omezení aplikace ....................................................
Zobrazení činnosti v síti ...............................................................
Pravidla brány firewall v klientovi .................................................
Informace o pořadí zpracování pravidla brány firewall, nastavení
brány firewall a prevence narušení ..........................................
Změna pořadí pravidel brány firewall .............................................
Způsob, kterým brána firewall využívá stavovou inspekci ..................
Prvky pravidla brány firewall .......................................................
Nastavení pravidel brány firewall ..................................................
Přidání pravidla brány firewall ...............................................
Export a import pravidel brány firewall ....................................
Povolení a zakázání pravidel brány firewall ...............................
Správa prevence narušení ............................................................
Způsob fungování prevence narušení .............................................
Povolení nebo zakázání prevence narušení ......................................
Konfigurace upozornění prevence narušení .....................................
Kapitola 6
104
104
106
107
108
114
115
117
118
120
121
121
123
124
125
126
127
128
129
131
132
133
133
134
135
136
137
Správa aplikace Symantec Network Access
Control ........................................................................... 139
Jak pracuje aplikace Symantec Network Access Control .....................
Jak klient funguje s modulem Enforcer ...........................................
Spuštění kontroly integrity hostitele ..............................................
Náprava počítače ........................................................................
Konfigurace klienta pro ověřování 802.1x .......................................
139
141
141
142
142
9
10
Obsah
Opětovné ověření počítače ..................................................... 146
Prohlížení protokolů aplikace Symantec Network Access
Control ............................................................................... 147
Rejstřík ............................................................................................................... 149
Kapitola
1
Začínáme s klientem
Tato kapitola obsahuje následující témata:
■
Klient Symantec Endpoint Protection
■
Klient Symantec Network Access Control
■
Začínáme na stránce Stav
■
Ikony výstrah na stránce Stav
■
Okamžité prověřování počítače
■
Další zdroje informací
Klient Symantec Endpoint Protection kombinuje několik vrstev ochrany kvůli
aktivnímu zabezpečení počítače proti známým a neznámým hrozbám a síťovým
útokům.
Tab. 1-1 popisuje jednotlivé úrovně ochrany.
12
Tab. 1-1
Typy ochrany
Úroveň
Popis
Ochrana před viry a spywarem Tato vrstva bojuje s velkým množstvím hrozeb včetně
spywaru, červů, trojských koní, virových nástrojů a
adwaru. Funkce Auto-Protect systému souborů nepřetržitě
kontroluje všechny soubory počítače, jestli neobsahují
viry nebo bezpečnostní rizika. Funkce Auto-Protect pro
internetovou poštu prověřuje jak příchozí, tak odchozí
e-mailové zprávy, které používají komunikační protokoly
POP3 a SMTP přes protokol SSL. Funkce Auto-Protect pro
Microsoft Outlook prověřuje příchozí a odchozí e-mailové
zprávy aplikace Outlook.
Viz „Správa prověřování v počítači“ na straně 56.
Aktivní ochrana před hrozbami Aktivní ochrana před hrozbami zahrnuje funkci SONAR
nabízející ochranu v reálném čase proti zcela novým
hrozbám. Funkce SONAR dokáže útoky zastavit dříve, než
tradiční definice využívající signatury hrozbu odhalí.
Funkce SONAR k rozhodování v případě aplikace nebo
souboru využívá jak heuristickou metodu, tak data s
hodnocením.
Viz „Správa funkce SONAR v klientském počítači“
na straně 97.
Ochrana před síťovými
hrozbami
Tato vrstva spojuje ochranu brány firewall a prevenci
narušení. Brána firewall založená na pravidlech zabraňuje
neoprávněným uživatelům v přístupu k počítači. Systém
prevence narušení automaticky zjišťuje a blokuje pokusy
o síťové útoky.
Viz „Správa ochrany pomocí brány firewall“ na straně 104.
Správce může určit, které typy zabezpečení bude server pro správu do vašeho
klientského počítače stahovat. Klient stáhne do vašeho počítače automaticky
definice virů, IPS a aktualizace produktu. Uživatelé, kteří cestují s přenosnými
počítači, mohou získat definice virů a aktualizace produktu přímo ze služby
LiveUpdate.
Viz „Aktualizace ochrany počítače“ na straně 35.
Klient aplikace Symantec Network Access Control vyhodnotí, zda je počítač
dostatečně chráněn a splňuje zásady zabezpečení a je možné povolit jeho připojení
do podnikové sítě.
Klient zajišťuje, že je počítač ve shodě se zásadami zabezpečení, které
nakonfiguroval správce. Zásady zabezpečení kontrolují, zda na počítači běží
aktuální zabezpečovací software, jako je ochrana před viry a brána firewall. Pokud
v počítači není spuštěn požadovaný software, aktualizujte software ručně. Klient
se také může aktualizovat automaticky. Pokud není zabezpečovací software
aktuální, nemusí být v počítači povolen přístup do sítě. Klient provádí opakované
kontroly, které mají zajistit stálé splňování zásad zabezpečení.
Viz „Jak pracuje aplikace Symantec Network Access Control“ na straně 139.
Když otevřete klienta, zobrazí se hlavní okno a stránka Stav.
Tab. 1-2 ukazuje hlavní úkony, které můžete provádět z panelu nabídek a možnosti
Nápověda klienta.
Hlavní okno klienta
Tab. 1-2
Klepnutí na
možnost
Provést tyto úlohy
Nápověda
Spustí hlavní nápovědu online a provede na klientovi tyto úlohy:
■
Zobrazí informace o počítači, o klientovi a o ochraně klienta.
Zobrazí informace o stavu připojení klienta k serveru pro správu.
V případě potřeby se také můžete k serveru pokusit připojit.
■ Naimportuje a vyexportuje zásady zabezpečení a nastavení komunikace
na nespravovaném klientovi.
■ Zobrazí a vyexportuje odlaďovací protokoly a soubor řešení potíží,
které správci pomohou diagnostikovat problém s klientem nebo
ochranou klienta.
■ Stáhne nástroj podpory na diagnózu běžných potíží s klientem.
■
13
14
Klepnutí na
možnost
Stav
Zobrazí, jestli je počítač chráněný a jestli je licence počítače platná. Barvy
a ikony výstrah na stránce Stav ukazují, které technologie jsou povolené
a chrání klienta.
Viz „Ikony výstrah na stránce Stav“ na straně 15.
Je možné:
Povolit nebo zakázat jednu či více technologií ochrany.
Viz „Povolení nebo zakázání ochrany“ na straně 42.
■ Zobrazit, jestli máte nainstalovány nejnovější definice virů pro ochranu
před viry a spywarem, aktivní ochranu před hrozbami a ochranu sítě
před hrozbami.
■ Spustit aktivní prověřování.
Viz „Okamžité prověřování počítače“ na straně 16.
■ Zobrazit seznam hrozeb a prohlédnout si výsledky posledního
prověřování virů a spywaru.
■
Prověřování
hrozeb
Můžete provádět následující úlohy:
Spustit okamžitě aktivní nebo úplné prověřování.
■ Vytvořit naplánované prověřování, prověřování při spuštění nebo
prověřování na požádání.
Viz „Naplánování prověřování definovaného uživatelem“ na straně 72.
Viz „Naplánování prověřování na spuštění na požádání nebo při zapnutí
počítače“ na straně 75.
■
Klepnutí na
možnost
Změnit
nastavení
Nakonfiguruje nastavení uvedených technologií ochrany a funkcí:
■
■
■
■
■
■
Povolit a nakonfigurovat možnosti funkce Auto-Protect.
Viz „Přizpůsobení nastavení prověřování výskytu virů a spywaru“
na straně 80.
Nakonfigurovat nastavení brány firewall a nastavení systému prevence
narušení.
Zobrazit a přidat výjimky do prověřování.
Viz „Vyloučení položek z prověřování“ na straně 87.
Zobrazit ikonu na hlavním panelu.
Viz „Určení připojení a ochrany klienta“ na straně 38.
Nakonfigurovat nastavení ochrany před změnami.
Viz „Povolení, zakázání a konfigurace ochrany před změnami“
na straně 46.
Vytvořit plán na stahování obsahu a aktualizací produktu na klienta.
Viz „Aktualizace obsahu podle plánu“ na straně 37.
Viz „Správa ochrany počítače“ na straně 33.
Zobrazit
karanténu
Zobrazí viry a bezpečnostní rizika, která klient zjistil a umístil do
karantény. Soubory v karanténě můžete obnovit, odstranit, vyčistit,
vyexportovat nebo přidat.
Viz „Umístění souborů do karantény“ na straně 91.
Zobrazit
protokoly
Zobrazí jakýkoli klientský protokol.
LiveUpdate
Spustí okamžitě aktualizaci LiveUpdate. Aktualizace LiveUpdate stáhne
nejnovější definice obsahu a aktualizace produktů ze serveru pro správu,
který je umístěn v podnikové síti.
Viz „Prohlížení protokolů“ na straně 49.
Viz „Okamžitá aktualizace obsahu“ na straně 36.
Horní část stránky Stav zobrazuje různé ikony výstrah, které označují stav ochrany
počítače.
15
16
Ikony výstrah stránky Stav
Tab. 1-3
Ikona
Popis
Ukazuje, zda jsou povoleny všechny ochrany.
Varuje, že jsou definice virů klientského počítače zastaralé. Aktuální definice
virů získáte okamžitým spuštěním aktualizace LiveUpdate.
Klientský počítač může mít také tyto potíže:
Selhalo ověření souladu zabezpečení integrity hostitele klientského počítače.
Abyste zjistili, co je potřeba udělat ke splnění kontroly, ověřte protokol
zabezpečení správy klienta.
■ Integrita hostitele není připojena.
■
Ukazuje, že jedna či více ochran je zakázaných nebo že klientovi vypršela licence.
Ochranu umožníte klepnutím na možnost Opravit nebo Opravit vše.
Manuálně můžete prověřit počítač na přítomnost virů a bezpečnostních rizik
kdykoli. Pokud jste nedávno nainstalovali klienta nebo si myslíte, že jste nedávno
obdrželi virus, měli byste počítač prověřit ihned.
Můžete vybrat prověřování libovolné položky (pouze jeden soubor, disketu nebo
i celý počítač). Na požádání lze spouštět aktivní i úplné prověření. Můžete vytvořit
i vlastní prověřování, které chcete spouštět na požádání.
Viz „Naplánování prověřování na spuštění na požádání nebo při zapnutí počítače“
na straně 75.
Chcete-li získat více informací o možnostech v každém dialogovém okně, klepněte
na položku Nápověda.
◆
Proveďte jednu z následujících akcí:
■
V klientovi na stránce Stav vedle položky Ochrana před viry a spywarem
klepněte na položky Možnosti > Spustit aktivní prověřování.
■
V klientovi klepněte na příkaz Prověřovat na hrozby v postranním panelu.
■
Klepněte na položku Spustit aktivní prověřování.
■
Klepněte na položku Spustit úplné prověřování.
■
V seznamu prověřování klepněte pravým tlačítkem na některé z nich
a vyberte možnost Prověřit.
Spustí se prověřování.
Pokud správce takovou možnost nezakázal, průběh prověřování můžete
sledovat. Pokud chcete sledovat průběh prověřování, klepněte na odkaz
zprávy, která se v rámci aktuálního prověřování zobrazí: Probíhá
prověřování.
Viz „Výsledky prověřování“ na straně 23.
Prověřování můžete také pozastavit nebo zrušit.
Viz „Pozastavení a zpoždění prověřování“ na straně 17.
Prověřování počítače ze systému Windows
◆
V okně Tento počítač nebo Průzkumník Windows klepněte pravým tlačítkem
myši na soubor, složku nebo jednotku a vyberte položku Prověřovat na
přítomnost virů.
Tato funkce je podporována v 32- a 64bitových operačních systémech.
Poznámka: Při provádění prověřování tohoto typu vyhledávání Insight
neprověřuje složku ani jednotku. Vyhledávání Insight se spustí, pokud
k prověřování vyberete soubor nebo skupinu souborů.
Pozastavení a zpoždění prověřování
Funkce pozastavení umožňuje kdykoli zastavit průběh prověřování a později jej
znovu obnovit. Můžete pozastavit jakékoli prověřování, které spustíte.
Správce sítě určuje, zda můžete pozastavit prověřování, které tento správce
inicioval. Pokud není k dispozici možnost Pozastavit prověřování, správce funkci
pozastavení zakázal. Pokud správce povolil funkci Odložení, můžete zpozdit
prověřování naplánované správcem o nastavený časový interval.
Když se prověřování obnoví, začne tam, kde bylo zastaveno.
Poznámka: Pokud klient prověřuje komprimovaný soubor a vy prověřování
pozastavíte, klient může zareagovat na pozastavení až po několika minutách.
17
18
Pozastavení prověřování, které jste iniciovali
1
Jestliže probíhá prověřování, klepněte v dialogovém okně prověřování na
ikonu Pozastavit prověřování.
Prověřování se ihned zastaví a dialogové okno prověřování zůstane otevřené,
dokud prověřování nespustíte znovu.
2
Klepnutím na ikonu Obnovit prověřování budete v prověřování pokračovat.
Pozastavení nebo odložení prověřování iniciovaného správcem
1
Jestliže probíhá prověřování iniciované správcem, v dialogovém okně
prověřování klepněte na tlačítko Pozastavit prověřování.
2
V dialogovém okně Pozastavení plánovaného prověřování proveďte
následující kroky:
■
Prověřování lze dočasně pozastavit klepnutím na možnost Pozastavit.
■
Prověřování lze odložit klepnutím na možnost Odložit o 1 hodinu nebo
Odložit o 3 hodiny.
Správce stanoví interval, o který můžete prověřování zpozdit. Pokud
pozastavení dosáhne limitu, obnovení prověřování se spustí od začátku.
Správce stanoví počet opakování zpoždění plánovaného prověřování; po
vyčerpání těchto opakování bude funkce zakázána.
■
Klepnutím na tlačítko Pokračovat lze v prověřování pokračovat bez
přerušení.
Produkt zahrnuje několik zdrojů informací.
Tab. 1-4 zobrazuje weby, na kterých lze najít další informace o použití produktu.
Tab. 1-4
Webové servery společnosti Symantec
Typ informací
Webová adresa
Software Symantec Endpoint
Protection
http://www.symantec.com/cs/cz/ business/theme.jsp?themeid=downloads
Veřejná databáze znalostí
Symantec Endpoint Protection:
http://www.symantec.com/business/support/overview.jsp?pid=54619
Vydání a aktualizace
Aktualizace příruček a dokumentace
Kontakty
Symantec Network Access Control:
http://www.symantec.com/business/support/overview.jsp?pid=52788
Typ informací
Webová adresa
Informace a aktualizace informací o
virech a dalších hrozbách
http://www.symantec.com/cs/cz/security_response/
Novinky o produktech a aktualizace
produktů
http://www.symantec.com/cs/cz/business/
Bezplatné technické školení online
http://go.symantec.com/education_septc
Symantec Educational Services
http://go.symantec.com/education_sep
Fóra Symantec Connect:
Symantec Endpoint Protection:
http://www.symantec.com/connect/security/forums/
endpoint-protection-antivirus
Symantec Network Access Control:
http://www.symantec.com/connect/security/forums/
network-access-control
19
20
Kapitola
2
Reakce na výstrahy a
oznámení
■
Typy výstrah a oznámení
■
Výsledky prověřování
■
Reakce na zjištění viru nebo rizika
■
Reakce na zprávy funkce Download Insight s dotazem na povolení nebo
zablokování souboru, který se pokoušíte stáhnout
■
Reakce na zprávy s dotazem, jestli aplikaci povolit nebo zablokovat
■
Zpráva informující o ukončení platnosti licence
■
Reakce na zprávy s aktualizací klientského softwaru
Klient pracuje na pozadí, aby chránil počítač před nebezpečnými aktivitami. Někdy
klient potřebuje provést oznámení o aktivitě nebo požádat o zpětnou vazbu.
Tab. 2-1 ukazuje typy zpráv, které se mohou zobrazit a které vyžadují reakci.
22
Reakce na výstrahy a oznámení
Tab. 2-1
Výstraha
Popis
Dialogové okno <název
prověřování> bylo
spuštěno nebo Výsledky
detekce aplikace
Symantec Endpoint
Protection
Nalezne-li prověřování virus či bezpečnostní hrozbu, zobrazí
se dialogové okno Výsledky zjišťování v aplikaci Symantec
Endpoint Protection s informacemi o infekci. Dialogové okno
také zobrazí akci, kterou prověřování provedlo s rizikem.
Obvykle není potřeba provést žádnou jinou akci, pouze
zkontrolovat aktivitu a zavřít dialogové okno. Je-li to však
nezbytně nutné, můžete provést další akce.
Viz „Výsledky prověřování“ na straně 23.<název prověřování>
bylo spuštěno nebo Výsledky zjišťování v aplikaci Symantec
Endpoint Protection
Dialogová okna s jinou
zprávou
Místní zprávy se mohou zobrazovat z těchto důvodů:
Klient automaticky aktualizoval klientský software.
Viz „Reakce na zprávy s aktualizací klientského softwaru“
na straně 30.
■ Klient vás vyzve, aby povolili či zablokovali aplikaci.
Viz „Reakce na zprávy s dotazem, jestli aplikaci povolit nebo
zablokovat“ na straně 29.
■ Zkušební licence klienta vypršela.
Viz „Zpráva informující o ukončení platnosti licence“
na straně 30.
■
Výstraha
23
Popis
Zprávy ikony na hlavním Oznámení, které se zobrazí na ikoně na hlavním panelu, se objeví
panelu
v těchto situacích:
■
Klient zablokuje aplikaci.
Zobrazí se například následující oznámení:
Provoz byl zablokován z této aplikace:
(název aplikace)
Je-li klient nakonfigurován tak, aby byl blokován veškerý
provoz, budou se tato oznámení zobrazovat často. Je-li klient
nakonfigurován tak, aby byl povolen veškerý provoz, tato
oznámení se zobrazovat nebudou.
■ Klient zjistí síťový útok na váš počítač.
může se zobrazit následující typ oznámení:
Provoz z adresy IP 192.168.0.3 je blokován
od 2/14/2010 15:37:58 do 2/14/2010 15:47:58.
Útok prověřováním portů byl uložen do protokolu.
■
Ověření souladu zabezpečení se nezdařilo. Odchozí i příchozí
provoz ve vašem počítači může být blokován
Pro zajištění ochrany nemusíte udělat nic dalšího, jen si zprávu
přečíst.
U spravovaných klientů správce obvykle nastavuje spouštění úplného prověření
alespoň jednou týdně. U nespravovaných klientů se při spuštění počítače spustí
automaticky vygenerované aktivní prověření. Standardně je funkce Auto-Protect
v počítači trvale spuštěna
Je-li spuštěno prověřování, zobrazuje se v dialogovém okně prověřování jeho
postup a výsledky. Po dokončení prověřování se zobrazí výsledky v seznamu.
Pokud klient nezjistil žádné viry či bezpečnostní rizika, zůstane seznam prázdný
a stav bude Dokončeno.
Pokud klient v průběhu prověřování zjistí rizika, zobrazí se v dialogovém okně
s výsledky prověřování tyto informace:
■
názvy virů nebo bezpečnostních rizik,
■
názvy infikovaných souborů,
24
■
akce, které klient s riziky učinil.
Pokud klient zjistí virus nebo bezpečnostní riziko, může se od vás vyžadovat
provedení určité akce s infikovaným souborem.
Poznámka: U spravovaných klientů se může správce rozhodnout dialogové okno
s výsledky prověřování skrýt. Pokud se jedná o nespravovaného klienta, můžete
dialogové okno zobrazit nebo skrýt.
Jestliže vy nebo správce nakonfigurujete klientský software tak, aby zobrazoval
dialogové okno s výsledky prověřování, můžete prověřování pozastavit, restartovat
nebo zastavit.
Viz „Spravovaní a nespravovaní klienti“ na straně 39.
Viz „Reakce na zjištění viru nebo rizika“ na straně 24.
Při spuštění prověřování definovaného správcem, prověřování definovaného
uživatelem nebo prověřování funkce Auto-Protect se může zobrazit dialogové
okno s výsledky prověřování. Pomocí dialogového okna s výsledky prověřování
můžete okamžitě provádět akce s poškozeným souborem.
Můžete se například rozhodnout vyčištěný soubor odstranit, protože ho chcete
nahradit původním souborem.
Je také možné použít karanténu nebo protokol rizik a prověřování a provést se
souborem příslušnou akci později.
Viz „Správa souborů v klientském počítači uložených do karantény“ na straně 89.
Reakce na odhalený vir nebo riziko v dialogovém okně s výsledky prověřování
1
V dialogovém okně s výsledky prověřování vyberte soubory, se kterými chcete
pracovat.
2
Klepněte pravým tlačítkem na vybranou položku a zvolte jednu z následujících
možností:
Vyčistit
Odstraní virus ze souboru. Tato možnost je k
dispozici pouze v případě viru.
Vyloučit
Vyloučí soubor z opětovného prověřování.
Odstranit trvale
Odstraní infikovaný soubor a všechny vedlejší
účinky. V případě bezpečnostních rizik
používejte tuto akci opatrně. Odstranění
bezpečnostních rizik může v některých
případech vést k tomu, že některé aplikace
přestanou fungovat.
Vrátit zpět provedenou akci
Vrátí zpět provedenou akci.
Přesunout do karantény
Umístí infikovaný soubor do karantény.
V případě bezpečnostních rizik se klient
pokusí odstranit nebo napravit vedlejší účinky.
Umístění bezpečnostního rizika klientem do
karantény může vést v některých případech
k tomu, že některé aplikace přestanou
fungovat.
Vlastnosti
Zobrazí informace o viru nebo bezpečnostním
riziku.
V některých případech nemusí být akce dostupná.
3
V dialogovém okně klepněte na tlačítko Zavřít.
Pokud uvedená rizika vyžadují akci z vaší strany, nebudete moci dialogové
okno zavřít. Klient bude např. vyžadovat ukončení procesu nebo aplikace či
zastavení služby. V takovém případě se zobrazí dialogové okno Odebrat
rizika.
4
V dialogovém okně Odstranit rizika klepněte na jednu z následujících
možností:
■
Ano
Klient odstraní riziko. Odstranění rizika může vyžadovat restart počítače.
Zda je restart zapotřebí, oznamuje informace v dialogovém okně.
■
Ne
25
26
Dialogové okno s výsledky vám připomíná, že je stále zapotřebí provést
akci. Dialogové okno Odebrat rizika však bude až do restartu počítače
potlačeno.
5
Pokud se dialogové okno s výsledky v rámci kroku 3 nezavřelo, klepněte na
možnost Zavřít.
Viz „Jak prověřování reagují na zjištění viru nebo rizika“ na straně 70.
Odstranění viru nebo rizika z infikovaného souboru
Jestliže klient potřebuje ukončit proces nebo aplikaci či zastavit službu, je tlačítko
Odebrat riziko aktivní. Pokud rizika uvedená v dialogovém okně vyžadují akci
z vaší strany, nebudete moci dialogové okno zavřít.
Tab. 2-2 popisuje možnosti v dialogovém okně s výsledky.
Tab. 2-2
Možnosti v dialogovém okně s výsledky
Možnost
Popis
Zavřít
Pokud nemusíte provést akci s žádným rizikem, zavře dialogové
okno s výsledky.
Jestliže je zapotřebí provést akci, zobrazí se toto upozornění:
Je nutné odebrání rizika
Upozornění se zobrazí, pokud některé riziko vyžaduje ukončení
procesu. Pokud zvolíte odebrání rizika, vrátíte se do
dialogového okna s výsledky. Jestliže je rovněž vyžadován
restart, informace v řádku rizika v dialogovém okně oznámí
nutnost restartu.
■ Je vyžadován restart
Upozornění se zobrazí, pokud některé riziko vyžaduje restart.
■ Je nutné odebrání rizika a restart
Upozornění se zobrazí, pokud některé riziko vyžaduje ukončení
procesu a jiné riziko vyžaduje restart.
■
Reakce na zprávy funkce Download Insight s dotazem na povolení nebo zablokování souboru, který se pokoušíte
stáhnout
Možnost
Popis
Odebrat rizika nyní
Zobrazí dialogové okno Odebrat riziko.
V dialogovém okně Odebrat riziko můžete pro každé riziko vybrat
jednu z těchto možností:
Ano
Klient odstraní riziko. Odstranění rizika může vyžadovat
restart počítače. Zda je restart zapotřebí, oznamuje informace
v dialogovém okně.
■ Ne
Po zavření dialogového okna s výsledky se zobrazí dialogové
okno Odstranit riziko . Dialogové okno vám připomíná, že je
stále zapotřebí provést akci. Avšak dialogové okno Odebrat
riziko se až do restartu počítače potlačí.
■
Je-li zapotřebí restart, odebrání nebo oprava se dokončí až po restartování počítače.
Pokud bude zapotřebí provést s rizikem některou akci, můžete se rozhodnout její
provedení odložit.
Riziko lze odebrat nebo opravit později některým z těchto způsobů:
■
Můžete otevřít protokol rizik, klepnout pravým tlačítkem myši na riziko a
provést potřebnou akci.
■
Můžete spustit prověřování, které dané riziko zjistí a znovu otevře dialogové
okno s výsledky.
Akci lze také provést po klepnutí na riziko pravým tlačítkem myši a výběru akce.
Akce, které můžete provést, závisí na akcích nakonfigurovaných pro konkrétní
typ rizika, které prověřování nalezlo.
Reakce na zprávy funkce Download Insight s dotazem
na povolení nebo zablokování souboru, který se
pokoušíte stáhnout
Jsou-li upozornění funkce Download Insight povolena, budou se tato upozornění
zobrazovat pokaždé, když funkce Download Insight odhalí škodlivý soubor nebo
soubor s neprokázanou škodlivostí.
27
28
Reakce na zprávy funkce Download Insight s dotazem na povolení nebo zablokování souboru, který se pokoušíte
stáhnout
Poznámka: Zprávy o detekci se zobrazí bez ohledu na to, zda jsou upozornění
povolena, pokud je pro soubory s neprokázanou škodlivostí vybrána akce Dotázat
se.
Vy sami nebo správce můžete určit, do jaké míry bude funkce Download Insight
na škodlivé soubory citlivá. Změnou úrovně citlivosti můžete ovlivnit počet
zobrazených upozornění.
Funkce Download Insight využívá technologii společnosti Symantec s názvem
Insight, která s ohledem na informace z globální komunity s miliony uživatelů
vyhodnocuje soubory a určuje jejich hodnocení.
Upozornění funkce Download Insight obsahují následující informace o zjištěném
souboru:
■
Důvěryhodnost souborů
Hodnocení souboru odráží jeho důvěryhodnost. Škodlivé soubory nejsou
důvěryhodné. Soubory s neprokázanou škodlivostí důvěryhodné mohou být,
ale také nemusejí.
■
Četnost výskytu souboru v komunitě
Informace o průměrném rozšíření souboru je důležitá. U souborů s nízkým
výskytem je pravděpodobnost škodlivosti vyšší.
■
Stáří souboru
U novějších souborů má společnost Symantec k dispozici méně informací.
Informace mohou pomoci při rozhodování, zda soubor povolit nebo zakázat.
Viz „Způsob, jakým aplikace Symantec Endpoint Protection k rozhodování o
souborech využívá informace o hodnocení“ na straně 71.
Reakce na zprávy funkce Download Insight s dotazem na povolení nebo zablokování
souboru
1
Ve zprávě funkce Download Insight o detekci proveďte jednu z těchto akcí:
■
Klepněte na možnost Odstranit tento soubor z počítače.
Funkce Download Insight soubor přesune do karantény. Tato možnost se
zobrazí jen pro soubory s neprokázanou škodlivostí.
■
Klepněte na možnost Povolit tento soubor.
Může se zobrazit dialogové okno s dotazem, zda si jste povolením souboru
jisti.
Pokud se rozhodnete povolit soubor s neprokázanou škodlivostí, který
nebyl umístěn do karantény, soubor bude automaticky spuštěn. Pokud se
rozhodnete povolit soubor v karanténě, soubor nebude spuštěn
automaticky. Soubor můžete spustit ze složky dočasných internetových
souborů.
Obvyklá cesta ke složce je \\Documents and Settings\username\Local
Settings\Temporary Internet Files.
2
Pokud u nespravovaných klientů povolíte soubor, produkt Symantec Endpoint
Protection v počítači automaticky vytvoří pro soubor výjimku. V případě
spravovaných klientů produkt Symantec Endpoint Protection v počítači
automaticky vytvoří pro soubor výjimku, pokud správce povolí vytváření
výjimek.
Reakce na zprávy s dotazem, jestli aplikaci povolit
nebo zablokovat
Pokud se aplikace na počítači pokusí připojit k síti, může se klient dotázat na
povolení nebo zablokování aplikace. Můžete se rozhodnout blokovat přístup k síti
u aplikace, u které máte obavy z její bezpečnosti.
Tento typ oznámení se zobrazí z jednoho z následujících důvodů:
■
Aplikace vyžaduje přístup k síťovému připojení.
■
Aplikace, která má přístup k síťovému připojení, byla upgradována.
■
Správce aktualizoval klientský software.
■
Klient přepne uživatele prostřednictvím funkce rychlého přepínání uživatele.
Může se zobrazit následující typ zprávy, která informuje o tom, kdy se aplikace
pokoušela o přístup k počítači:
IEXPLORE.EXE se pokouší přistupovat k síti.
Chcete tomuto programu povolit přístup k síti?
1
Pokud chcete, aby nebyla při příštím pokusu aplikace o přístup k síti tato
zpráva zobrazována, klepněte v dialogovém okně na možnost Zapamatovat
odpověď a již se u této aplikace neptat.
2
Případně vyhledejte více informací o připojení a aplikaci klepnutím na tlačítko
Podrobnosti >>.
3
■
Klepnutím na tlačítko Ano povolíte aplikaci přístup k síti.
■
Klepnutím na tlačítko Ne aplikaci přístup k síti zablokujete.
29
30
Akci aplikace lze také změnit v poli Spuštěné aplikace nebo v seznamu
Aplikace.
Viz „Konfigurace specifických nastavení aplikace“ na straně 121.
Klient používá licenci k aktualizaci definic virů pro prověřování a k aktualizaci
softwaru klienta. Klient může používat zkušební nebo placenou licenci. Pokud
kterákoliv licence vypršela, klient neaktualizuje žádný obsah nebo software klienta.
Tab. 2-3
Typy licencí
Typ licence
Popis
Zkušební licence
Pokud zkušební licence vyprší, horní část podokna Stav klienta
zčervená a zobrazí se tato zpráva:
Zkušební licence vypršela.
Veškerý obsah přestane být stahován datum.
Chcete-li zakoupit licenci k aplikaci
Symantec Endpoint Protection, obraťte se na správce sítě.
Datum vypršení můžete zobrazit také klepnutím na možnost Nápověda
> O aplikaci.
Placená licence
Pokud placená licence vyprší, horní část podokna Stav klienta
zežloutne a zobrazí se tato zpráva:
Definice ochrana před viry a spywarem nejsou aktuální.
U každého typu licence se musíte obrátit na správce, aby ji aktualizoval nebo
obnovil.
Viz „Typy výstrah a oznámení“ na straně 21.
Je-li klientský software automaticky aktualizován, může se zobrazit následující
oznámení:
Aplikace Symantec Endpoint Protection
zjistila, že je dostupná novější verze softwaru.
Chcete ji nyní stáhnout a nainstalovat?
Reakce na oznámení o automatické aktualizaci
1
2
■
Chcete-li software stáhnout ihned, klepněte na tlačítko Stáhnout.
■
Chcete-li být znovu upozorněni po určité době, klepněte na volbu
Upozornit později.
Pokud se zpráva zobrazí bezprostředně po zahájení aktualizace softwaru,
klepněte na volbu OK.
31
32
Kapitola
3
Kontrola ochrany počítače
■
Správa ochrany počítače
■
Aktualizace ochrany počítače
■
Určení připojení a ochrany klienta
■
Spravovaní a nespravovaní klienti
■
Ověření, zda je klient spravován nebo nespravován
■
Povolení nebo zakázání ochrany
■
Povolení nebo zakázání ochrany v klientském počítači
■
Povolení nebo zakázání funkce Auto-Protect
■
Povolení, zakázání a konfigurace ochrany před změnami
■
Informace o protokolech
■
Prohlížení protokolů
■
Trasování protokolovaných událostí zpět k jejich zdroji
■
Export dat protokolu
Podle výchozího nastavení je váš klient chráněný a nemělo by být zapotřebí klienta
konfigurovat. Může být ale užitečné zkontrolovat ochranu z těchto důvodů:
■
Počítače jsou spuštěny jako nespravovaní klienti.
34
Po instalaci nespravovaného klienta ovládáte ochranu počítače pouze vy.
Nespravovaný klient je podle výchozího nastavení chráněn. Může být ale
zapotřebí upravit nastavení ochrany počítače.
■
Chcete povolit nebo zakázat jednu či více technologií ochrany.
■
Chcete ověřit, že máte nainstalovány nejnovější definice virů.
■
Slyšeli jste o novém viru a chcete spustit prověřování.
Tab. 3-1 ukazuje postup, jak se přesvědčit, že je počítač chráněný.
Tab. 3-1
Postup správy ochrany počítače
Krok
Popis
Reakce na výstrahy a
oznámení
Reagujte na zprávy, které se zobrazí a žádají vás o vstup. Při
prověřování například dojde ke zjištění viru nebo bezpečnostního
rizika a zobrazí se dialogové okno s výsledky prověřování, které
vás vyzve k akci.
Kontrola stavu
ochrany
Pravidelně kontrolujte stránku Stav, abyste zjistili, jestli jsou
povoleny všechny typy ochrany.
Viz „Začínáme na stránce Stav“ na straně 13.
Viz „Povolení nebo zakázání ochrany v klientském počítači“
na straně 43.
Aktualizujte definice
virů
Zkontrolujte, že jsou v počítačích nainstalovány nejnovější definice
virů.
(jen nespravovaní
klienti)
■
Zkontrolujte, jestli máte k dispozici nejnovější aktualizace
ochrany. Datum a číslo těchto souborů s definicemi můžete
zkontrolovat na stránce Stav klienta u jednotlivých typů
ochrany.
■ Získejte nejnovější aktualizace ochrany.
Prověřte počítač
Spusťte prověřování, abyste zjistili, jestli jsou na vašem počítači
nebo v e-mailové aplikaci nějaké viry. Podle výchozího nastavení
klient prověřuje počítač, pokud je zapnutý, počítač ale můžete
prověřit kdykoliv.
Krok
Popis
Úprava nastavení
ochrany
Ve většině případů poskytují výchozí nastavení dostatečnou
ochranu počítače. Pokud je to nutné, můžete snížit nebo zvýšit
tyto typy ochrany:
Plánování dodatečných prověřování
■ Přidání pravidel brány firewall (pouze u nespravovaného
klienta)
■
Zobrazení protokolů
zjištění nebo útoků
Zkontrolujte protokoly, abyste se dozvěděli, zda klient zjistil virus
nebo síťový útok.
Aktualizace zásad
zabezpečení
(jen spravovaní klienti)
Zkontrolujte, jestli klient obdržel nejnovější zásadu zabezpečení.
Mezi zásady zabezpečení patří nejaktuálnější nastavení
technologie ochrany u vašeho klienta.
Zásady zabezpečení se aktualizují automaticky. Abyste měli jistotu,
že máte k dispozici nejnovější zásady, můžete je aktualizovat ručně
klepnutím pravým tlačítkem myši na ikonu klienta na hlavním
panelu a klepnutím na možnost Aktualizovat zásady.
Produkty společnosti Symantec při ochraně počítače před nově zjištěnými
hrozbami vycházejí z aktuálních informací. Společnost Symantec dává tyto
informace uživateli k dispozici prostřednictvím služby LiveUpdate.
Aktualizace obsahu jsou soubory, díky nimž zůstávají produkty společnosti
Symantec vždy vybaveny nejnovější technologií ochrany před hrozbami. Služba
LiveUpdate načte nové soubory obsahu z webu společnosti Symantec a potom
jimi nahradí soubory se starým obsahem. To, jaké aktualizace stahujete, závisí na
produktech nainstalovaných v počítači. Jak bude počítač aktualizace přijímat,
závisí na tom, zda je spravovaný či nespravovaný, a na tom, jak správce
konfiguroval aktualizace.
Příklady aktualizovaných typů souborů obsahu:
■
Soubory s definicemi virů pro antivirovou ochranu a ochranu před spywarem.
■
Heuristické signatury a seznamy komerčních aplikací pro aktivní ochranu
před hrozbami.
35
36
■
Soubory s definicemi IPS pro ochranu sítě před hrozbami.
Viz „Ochrana před síťovými hrozbami“ na straně 104.
Služba LiveUpdate také umožňuje získat vylepšení nainstalovaného klienta. Tato
vylepšení obvykle slouží k rozšíření kompatibility operačního systému nebo
hardwaru, k vyladění potíží s výkonem nebo k opravám chyb produktu. Tato
vylepšení klientů jsou vydávána podle potřeby. Klientský počítač může tato
vylepšení přijímat přímo ze serveru LiveUpdate. Spravovaný klientský počítač
může tato vylepšení získávat také automaticky ze serveru pro správu ve vaší
společnosti.
Tab. 3-2
Způsoby aktualizace obsahu na počítači
Úloha
Popis
Aktualizace obsahu podle plánu Ve výchozím nastavení se služba LiveUpdate spouští
automaticky v naplánovaných intervalech.
Na nespravovaném klientovi můžete plán aktualizace
LiveUpdate zakázat nebo změnit.
Okamžitá aktualizace obsahu
V závislosti na bezpečnostních nastaveních můžete
aktualizaci LiveUpdate spustit okamžitě.
Okamžitá aktualizace obsahu
Soubory obsahu můžete okamžitě zaktualizovat pomocí služby LiveUpdate. Službu
LiveUpdate byste měli ručně spouštět z těchto důvodů:
■
Klientský software byl nainstalován nedávno.
■
Uběhla dlouhá doba od posledního prověřování.
■
Předpokládáte výskyt viru nebo jiného malwaru.
Okamžitá aktualizace ochrany
◆
Na postranním panelu klienta klepněte na položku LiveUpdate.
Služba LiveUpdate se připojí k serveru společnosti Symantec, zkontroluje
dostupné aktualizace a následně je stáhne a automaticky nainstaluje.
Aktualizace obsahu podle plánu
Můžete vytvořit plán, aby byla aktualizace LiveUpdate spouštěna automaticky v
naplánovaných intervalech. Můžete nastavit plán na spuštění aktualizace
LiveUpdate v době, kdy nepoužíváte počítač.
Poznámka: Pokud máte spravovaného klienta, spuštění aktualizace podle plánu
můžete nastavit pouze tehdy, pokud vám to správce povolil. Pokud je zobrazena
ikona visacího zámku a možnosti jsou nedostupné, údaje v rámci plánu není možné
upravit.
Aktualizace ochrany podle plánu
1
V klientovi klepněte na postranním panelu na položku Změnit nastavení.
2
Vedle možnosti Správa klienta klepněte na položku Konfigurovat nastavení.
3
V dialogovém okně Nastavení správy klienta klepněte na tlačítko Aktualizace
LiveUpdate.
4
Na kartě Aktualizace LiveUpdate zaškrtněte pole Povolit automatické
aktualizace.
5
Ve skupinovém rámečku Frekvence a čas vyberte, zda chcete provádět
aktualizace denně, týdně nebo měsíčně. Poté vyberte den nebo týden a čas,
kdy chcete automatické aktualizace spouštět.
Nastavení času vychází z možnosti vybrané ve skupinovém rámečku
Frekvence. Dostupnost ostatních možností v tomto dialogovém okně je závislá
také na vybrané frekvenci.
6
Ve skupinovém rámečku Okno opakování označte možnost Opakovat po
dobu a potom stanovte časový interval, během kterého se klient bude pokoušet
aktualizaci LiveUpdate spouštět znovu.
7
Ve skupinovém rámečku Možnosti vnášení náhodných hodnot označte
možnost Nastavit náhodný čas spuštění před nebo po (v hodinách) a zadejte
počet hodin nebo dní.
Tato možnost nastavuje časový rozsah před a po plánované době spuštění
aktualizace.
37
38
8
Ve skupinovém rámečku Idle Detection (Detekce nečinnosti) zaškrtněte
možnost Delay scheduled LiveUpdates until the system is idle. (Odložit
plánovanou aktualizaci LiveUpdate až do nečinnosti systému). Odložené
relace budou nakonec spuštěny bezpodmínečně.
Můžete také nastavit možnosti pro připojení k serveru proxy pro interní
server LiveUpdate. Další informace o těchto možnostech naleznete v online
nápovědě.
9
Klepněte na tlačítko OK.
Klient používá ikonu na hlavním panelu k označení, zda je ve stavu online nebo
offline a zda je klientský počítač dostatečně chráněn. Pravým klepnutím na tuto
ikonu zobrazíte často používané příkazy. Tato ikona se nachází v pravém dolním
rohu plochy klientského počítače.
Poznámka: U spravovaných klientů se ikona oznamovací oblasti nezobrazí, pokud
správce její dostupnost zakázal.
Tab. 3-3
Ikona
Ikona stavu klienta Symantec Endpoint Protection
Popis
Při provozu klienta se nevyskytly potíže. Klient je ve stavu offline nebo je
nespravovaný. Nespravovaní klienti nejsou připojeni k serveru pro správu.
Ikona má podobu prázdného žlutého štítu.
Při provozu klienta se nevyskytly potíže. Klient je připojen a komunikuje se
serverem. Všechny součásti zásad zabezpečení chrání počítač. Ikona má
podobu žlutého štítu se zelenou tečkou.
Klient má méně závažný problém. Například definice virů mohou být
zastaralé. Ikona má podobu žlutého štítu a světle žluté tečky s černým
vykřičníkem.
Klient není spuštěn, došlo u něj k vážnému problému, nebo je alespoň jedna
technologie ochrany zakázána. Například může být zakázána ochrana před
před síťovými hrozbami. Ikona má podobu žlutého štítu s bílou tečkou
v červeném kruhu červeně přeškrtnutou.
Tab. 3-4 ukazuje ikonu stavu klienta Symantec Network Access Control, která se
zobrazuje v oznamovací oblasti.
Tab. 3-4
Ikona
Ikona stavu klienta Symantec Network Access Control
Popis
Klient je spuštěn bez výskytu potíží a prošel kontrolou integrity hostitele a
aktualizací zásady zabezpečení. Klient je ve stavu offline nebo je
nespravovaný. Nespravovaní klienti nejsou připojeni k serveru pro správu.
Ikona představuje prázdného zlatého klíče.
Klient je spuštěn bez výskytu potíží a prošel kontrolou integrity hostitele a
aktualizací zásady zabezpečení. Klient komunikuje se serverem. Ikona má
podobu zlatého klíče se zelenou tečkou.
Klient neuspěl při kontrole integrity hostitele nebo nemá aktualizovánu
zásadu zabezpečení. Ikona má podobu zlatého klíče s červenou tečkou, ve
které se nachází bílý symbol „x“.
Viz „Skrytí a zobrazení ikony na hlavním panelu“ na straně 39.
Skrytí a zobrazení ikony na hlavním panelu
V případě potřeby je možné ikonu na hlavním panelu skrýt. Můžete ji například
skrýt, pokud potřebujete více místa na hlavním panelu systému Windows.
Poznámka: U spravovaných klientů lze ikonu skrýt jen v případě, že správce tuto
funkci nezakázal.
Skrytí nebo zobrazení ikony na hlavním panelu
1
V postranním panelu hlavního okna klepněte na položku Změnit nastavení.
2
Na stránce Změnit nastavení vedle Správy klienta klepněte na položku
Konfigurovat nastavení.
3
V dialogovém okně Nastavení správy klienta na kartě Obecná nastavení
v části Možnosti zobrazení zrušte zaškrtnutí (nebo zaškrtněte) položku
Zobrazit ikonu zabezpečení Symantec v oznamovací oblasti.
4
Správce může nainstalovat klienta buď jako spravovaného klienta (instalace
spravovaná správcem) nebo jako nespravovaného klienta (samostatná instalace).
39
40
Tab. 3-5
Typ klienta
Rozdíly mezi spravovaným a nespravovaným klientem
Popis
Spravovaný klient Spravovaný klient komunikuje se serverem pro správu ve vaší síti.
Správce nakonfiguruje ochranu a výchozí nastavení a server pro
správu stáhne nastavení na klienta. Pokud správce provede změnu
ochrany, změna se téměř okamžitě stáhne na klienta.
Správci mohou změnit úroveň, na které komunikujete s klientem,
těmito způsoby:
Správce spravuje klienta kompletně.
Od vás se nevyžaduje konfigurace klienta. Všechna nastavení jsou
zamknutá nebo nedostupná, můžete ale sledovat informace o tom,
co klient na vašem počítači dělá.
■ Správce spravuje klienta, ale vy můžete změnit některá nastavení
klienta a provádět některé úlohy. Například můžete mít povoleno
spouštění vlastních prověření nebo ruční stažení aktualizací klienta
nebo ochrany.
Dostupnost nastavení klienta a hodnoty těchto nastavení se mohou
opakovaně měnit. Například se může změnit nastavení, pokud
správce aktualizuje zásady ovládající ochranu klienta.
■ Správce spravuje klienta, ale vy můžete změnit všechna nastavení
klienta a provádět všechny úlohy ochrany.
■
Nespravovaný
klient
Nespravovaný klient se serverem pro správu nekomunikuje a správce
klienta nespravuje.
Nespravovaný klient může patřit k jednomu z těchto typů:
Samostatný počítač, který není připojen k síti, jako je domácí
počítač nebo laptop. Počítač musí obsahovat instalaci aplikace
Symantec Endpoint Protection, která využívá buď výchozích
nastavení možností, nebo nastavení předvolená správcem.
■ Vzdálený počítač, který se připojuje k podnikové síti a který musí
před připojením splňovat bezpečnostní požadavky.
■
Když se poprvé nainstaluje, klient má výchozí nastavení. Po instalaci
klienta můžete změnit všechna nastavení klienta a provádět všechny
úlohy ochrany.
Viz „Ověření, zda je klient spravován nebo nespravován“ na straně 41.
Tab. 3-6 popisuje rozdíly v uživatelském rozhraní mezi spravovaným a
nespravovaným klientem.
Tab. 3-6
Funkční oblast
Rozdíly mezi spravovaným a nespravovaným klientem podle
zaměření funkcí
Centrálně spravovaný klient
Klient s vlastní správou
Ochrana před viry a Klient u možností, které nemůže Klient nezobrazuje ani zamčený,
spywarem
konfigurovat, zobrazuje možnost ani odemčený visací zámek.
zamčeného visacího zámku a
možnost je zašedlá.
Aktivní ochrana
před hrozbami
Klient u možností, které nemůže Klient nezobrazuje ani zamčený,
konfigurovat, zobrazuje možnost ani odemčený visací zámek.
zamčeného visacího zámku a
možnost je zašedlá.
Nastavení správy
klienta a ochrany
sítě před hrozbami
Nastavení, které řídí správce, se Zobrazí se všechna nastavení.
nezobrazí.
Pokud chcete zkontrolovat, do jaké míry můžete ovládat konfiguraci ochrany na
svém klientovi, musíte nejprve ověřit, jestli je váš klient spravován nebo
nespravován. U nespravovaného klienta můžete upravit více nastavení než v
případě klienta spravovaného.
1
Na stránce Stav klepněte na možnost Nápověda > Řešení potíží.
2
V dialogovém okně Řešení potíží klepněte na možnost Správa.
3
Na panelu Správa pod hlavičkou Obecné informace vedle položky Server
najdete tyto informace:
4
■
Pokud je klient spravován, bude se v poli Server zobrazovat buď adresa
serveru pro správu nebo text Offline.
Adresou může být adresa IP, název DNS nebo název NetBIOS. Například
název DNS může být SEPMServer1. Pokud je klient spravován, ale aktuálně
není připojený k serveru pro správu, bude v tomto poli zobrazeno Offline.
■
Pokud se jedná o nespravovaného klienta, bude v poli Server uvedeno
S vlastní správou.
Klepněte na tlačítko Zavřít.
41
42
Všeobecně lze říci, že se vždy snažíte na klientském počítači technologie ochrany
povolit.
Pokud máte problém s klientským počítačem, můžete si přát dočasně zakázat buď
všechny nebo jednotlivé technologie ochrany. Pokud například aplikace nefunguje
nebo funguje nesprávně, můžete chtít zakázat ochranu před síťovými hrozbami.
Pokud po zakázání všech technologií ochrany problém stále přetrvává, je zřejmé,
že problém nezpůsobuje klient.
Varování: Nezapomeňte po dokončení požadovaného úkolu řešení potíží znovu
povolit veškeré zabezpečení, aby byla zajištěna ochrana počítače.
Tab. 3-7 popisuje důvody, proč byste mohli chtít zakázat každou technologii
ochrany.
Tab. 3-7
Účel zakázání technologie ochrany
Technologie ochrany Účel zakázání technologie ochrany
Ochrana před viry a
spywarem
Pokud zakážete tuto ochranu, zakážete pouze funkci Auto-Protect.
Naplánované prověřování nebo prověřování při spuštění se stále budou spouštět, pokud je
tak správce nakonfiguroval.
Funkce Auto-Protect můžete povolit nebo zakázat z následujících důvodů:
Funkce Auto-Protect vám může zabránit v otevření dokumentu. Když například otevíráte
dokument Microsoft Word, kde je makro, funkce Auto-Protect vám jeho otevření nemusí
povolit. Pokud víte, že je dokument bezpečný, můžete funkci Auto-protect zakázat.
■ Funkce Auto-Protect může upozornit na virovou činnost, o které víte, že činnost viru
nepředstavuje. Jste například varováni při instalaci nových počítačových aplikací. Jestliže
plánujete instalaci více aplikací a chcete předejít zobrazení varování, můžete funkci
Auto-Protect dočasně zakázat.
■ Funkce Auto-Protect může zabraňovat nahrazení ovladače systému Windows.
■
■
Funkce Auto-Protect může zpomalovat klientský počítač.
Poznámka: Pokud zakážete funkci Auto-Protect, zakážete také funkci Download Insight,
i když je povolena. Funkce SONAR nebude moci detekovat heuristické hrozby. Detekce
SONAR změn souborů hostitele a systémových změn bude i nadále funkční.
Viz „Povolení nebo zakázání funkce Auto-Protect“ na straně 44.
Pokud funkce Auto-Protect způsobuje problém s aplikací, je lepší vytvořit výjimku, než
ochranu stále zakazovat.
Technologie ochrany Účel zakázání technologie ochrany
Aktivní ochrana před
hrozbami
Aktivní ochranu před hrozbami můžete chtít zakázat z těchto důvodů:
■
Zobrazuje se příliš mnoho varování týkajících se hrozeb, o nichž víte, že hrozbami nejsou.
■
Aktivní ochrana před hrozbami může zpomalovat klientský počítač.
Viz „Povolení nebo zakázání ochrany v klientském počítači“ na straně 43.
Ochrana před síťovými Ochranu před síťovými hrozbami můžete chtít zakázat z těchto důvodů:
hrozbami
■ Nainstalujete aplikaci, která může způsobit zablokování brány firewall.
■
Pravidlo nebo nastavení brány firewall blokuje aplikaci na základě chyby správce.
Brána firewall nebo systém prevence narušení způsobuje problémy spojené s připojením
k síti.
■ Brána firewall může zpomalovat klientský počítač.
■
■
Nelze spustit aplikaci.
Viz „Povolení nebo zakázání prevence narušení“ na straně 136.
Pokud si nejste jistí, že problém způsobuje ochrana před síťovými hrozbami, může být třeba
zakázat veškeré technologie ochrany.
U spravovaných klientů může správce ochranu před síťovými hrozbami zcela uzamknout,
takže ji nebudete moci povolit ani zakázat.
Ochrana před
změnami
Běžně je vhodné ponechat Ochranu před změnami povolenou.
Ochranu před změnami je možné dočasně zakázat v případě, že chcete zamezit výskytu
falešných poplachů.
Viz „Povolení, zakázání a konfigurace ochrany před změnami“ na straně 46.
V klientovi, když je kterákoli ochrana zakázána:
■
Stavový řádek v horní části stavové stránky se zbarví červeně.
■
Zobrazí se ikona klienta označená červeným úhlopříčně proškrtnutým kruhem.
Ikona klienta na hlavním panelu v levém dolním rohu plochy systému Windows
je tvořena symbolem štítu. Při některých konfiguracích není tato ikona
zobrazena.
U spravovaného klienta může správce kdykoli povolit jakoukoli ochranu.
43
44
Při řešení problémů můžete také zakázat funkci Auto-Protect, aktivní ochranu
před hrozbami nebo ochranu před síťovými hrozbami. U spravovaných klientů
může správce ochranu uzamknout, abyste ji nemohli zakázat.
Povolení technologií ochrany ze stavové stránky
◆
U klienta klepněte v horní části stavové stránky na možnost Opravit nebo
Opravit vše.
Povolení nebo zakázání technologií ochrany z hlavního panelu
◆
Klepněte pravým tlačítkem na ikonu klienta na hlavním panelu plochy
systému Windows a proveďte jednu z následujících akcí:
■
Klepněte na tlačítko Povolit Symantec Endpoint Protection.
■
Klepněte na tlačítko Zakázat Symantec Endpoint Protection.
Povolení a zakázání aktivní ochrany před hrozbami nebo ochrany před síťovými
hrozbami
◆
V okně klienta na stránce Stav vedle položky Ochrana typ ochrany, proveďte
jednu z následujících akcí:
■
Klepněte na položku Možnosti > Povolit funkci ochrany typ ochrany.
■
Klepněte na položku Možnosti > Zakázat všechny funkce ochrany typ
ochrany.
Funkci Auto-Protect pro soubory a procesy, e-mail na Internetu a e-mailové
aplikace pro práci ve skupině můžete povolit nebo zakázat. Pokud je kterýkoli typ
funkce Auto-Protect zakázaný, zobrazí se stav ochrany před viry a spywarem na
stránce stavu červeně.
Klepnete-li na ikonu pravým tlačítkem myši, zobrazí se vedle příkazu Povolit
funkci Auto-Protect zaškrtnutí v případě, že je funkce Auto-Protect souborového
systému povolena.
Viz „Ikony výstrah na stránce Stav“ na straně 15.
Poznámka: U spravovaných klientů má správce možnost funkci Auto-protect
uzamknout, takže ji nemůžete zakázat. Nebo může povolit dočasné zakázání této
funkce, ale vynutí její automatické spuštění po uplynutí určitého časového
intervalu..
Pokud jste nezměnili výchozí nastavení, je funkce Auto-Protect zavedena při
zapnutí počítače, aby chránila počítač před viry a bezpečnostními riziky. Funkce
Auto-Protect kontroluje výskyt virů a bezpečnostních rizik ve spuštěných
programech. Kontroluje také výskyt všech činností v počítači, které by mohly
znamenat přítomnost viru nebo bezpečnostního rizika. Při zjištění viru, virové
činnosti (události, která by mohla představovat činnost viru) nebo bezpečnostního
rizika zobrazí funkce Auto-Protect výstrahu.
Poznámka: Pokud zakážete funkci Auto-Protect, zakážete také funkci Download
Insight, i když je povolena. Funkce SONAR nebude moci detekovat heuristické
hrozby; funkce SONAR však bude i nadále detekovat změny souborů hostite
a systému.
Povolení a zakázání funkce Auto-Protect souborového systému
◆
V okně klienta na stránce Stav vedle položky Ochrana před viry a spywarem
proveďte jednu z následujících akcí:
■
Klepněte na Možnosti > Povolit ochranu před viry a spywarem.
■
Klepněte na položku Možnosti > Zakázat ochranu před všemi viry a
spywarem.
Povolení a zakázání funkce Auto-Protect pro e-mail
1
2
Klepněte na položku Konfigurovat nastavení vedle možnosti Ochrana před
viry a spywarem.
3
4
■
Na kartě Auto-Protect pro internetovou poštu zaškrtněte nebo zrušte
zaškrtnutí Povolit funkci Auto-Protect pro internetovou poštu.
■
Na kartě Auto-Protect pro aplikaci Outlook zaškrtněte nebo zrušte
zaškrtnutí Povolit funkci Auto-Protect pro Microsoft Outlook.
■
Na kartě Funkce Auto-Protect aplikace Notes zaškrtněte nebo zrušte
zaškrtnutí možnosti Povolit funkci Auto-Protect pro Lotus Notes.
45
46
Povolení, zakázání a konfigurace ochrany před změnami
Povolení, zakázání a konfigurace ochrany před
změnami
Funkce ochrany před změnami poskytuje aplikacím Symantec běžícím na serverech
a klientech ochranu v reálném čase. Brání jiným procesům než procesům aplikací
Symantec, jako například červům, trojským koním, virům a bezpečnostním
rizikům, v ovlivňování prostředků aplikace Symantec. Software můžete
nakonfigurovat tak, aby pokusy o změnu prostředků aplikace Symantec blokoval
nebo protokoloval.
Je-li ochrana před změnami povolena, můžete vybrat akci, která bude provedena
při zjištění pokusu o změnu softwaru Symantec. Ochranu před změnami můžete
také nastavit tak, aby při pokusech o změnu zobrazila zprávu. Chcete-li zprávu
upravit, můžete použít přednastavené proměnné, do kterých ochrana před
změnami doplní příslušné informace.
Poznámka: V případě spravovaných klientů může správce ochranu před změnami
uzamknout.
Informace o přednastavených proměnných získáte po klepnutí na položku
Nápověda na kartě Ochrana před změnami.
Povolení nebo zakázání ochrany před změnami
1
2
3
Na kartě Ochrana před změnami zaškrtněte nebo zrušte zaškrtnutí možnosti
Chránit bezpečnostní software Symantec před změnami nebo vypnutím.
4
Konfigurace ochrany před změnami
1
2
3
Na kartě Ochrana před změnami v seznamu Akce, která se provede, pokud
se aplikace pokusí změnit nebo vypnout bezpečnostní software Symantec,
klepněte na položku Blokovat a protokolovat událost nebo Pouze
protokolovat událost.
4
Chcete-li být upozorněni v případě, že ochrana před změnami zjistí podezřelé
chování, zaškrtněte možnost Zobrazit upozornění, budou-li nalezeny změny.
Pokud tyto zprávy povolíte, mohou vám být zasílány zprávy týkající se procesů
systému Windows i procesů softwaru Symantec.
5
Chcete-li zobrazovanou zprávu upravit, aktualizujte text v poli zprávy.
6
Protokoly obsahují informace o změnách konfigurace klienta, aktivitách týkajících
se bezpečnosti a chybách. Tyto záznamy se nazývají události. Protokoly k těmto
událostem zobrazují veškeré související informace.
Aktivity týkající se bezpečnosti zahrnují informace o zjištění virů, stavu počítače
a provozu přicházejícím a odcházejícím z počítače. Pokud používáte spravovaného
klienta, lze jeho protokoly pravidelně odesílat na server správy. Správci mohou
pomocí svých dat analyzovat celkový stav zabezpečení sítě.
Protokoly představují důležitou metodu sledování aktivity počítače a jeho interakce
s jinými počítači a sítěmi. Na základě informací v protokolech můžete sledovat
trendy týkající se virů, bezpečnostních rizik a útoků na počítač. Jestliže s počítačem
pracuje více uživatelů, lze identifikovat původce rizik a pomoci dotyčnému uživateli
zlepšit bezpečnostní opatření.
Další informace o příslušném protokolu získáte po stisknutí klávesy F1, kdy se
zobrazí jeho nápověda.
Tab. 3-8 popisuje typy událostí, které zobrazuje každý z protokolů.
Tab. 3-8
Klientský protokol
Protokol
Popis
Protokol prověřování
Obsahuje záznamy o prověřováních, která proběhla na vašem
počítači v průběhu času.
Protokol rizik
Obsahuje záznamy o virech a bezpečnostních rizicích jako adware
či spyware, která infikovala počítač. U bezpečnostních rizik je
uveden odkaz na webovou stránku Symantec Security Response,
kde lze najít další informace.
Viz „Umístění souboru do karantény z protokolu rizika nebo
prověřování“ na straně 92.
47
48
Protokol
Popis
Systémový protokol
ochrany před viry a
spywarem
Obsahuje informace o aktivitách systému na vašem počítači, které
se vztahují k virům a bezpečnostním rizikům. Sem patří informace
o změnách konfigurace, chybách a souboru s definicemi.
Protokol hrozeb
Obsahuje informace o hrozbách zjištěných v rámci prověřování
funkcí SONAR. Funkce SONAR zjišťuje všechny soubory, které se
chovají podezřele. Funkce SONAR také zjišťuje změny systému.
aktivní ochrany před
hrozbami
Obsahuje informace o aktivitách systému na vašem počítači, které
se týkají funkce SONAR.
Protokol provozu
Obsahuje události, které se týkají provozu brány firewall a ochrany
před rušivými útoky. Protokol obsahuje informace o připojeních,
která počítač provádí v síti.
Protokoly síťové ochrany vám mohou pomoci zjistit potenciální
nebezpečnou činnost, jako je například prohledávání portů. Pomocí
nich lze také sledovat provoz až k jeho zdroji. Protokoly síťové
ochrany lze také využít k řešení problémů s připojením k síti nebo
možnými síťovými útoky. V protokolech můžete zjistit, kdy byl
počítači zablokován přístup k síti a z jakého důvodu se tak stalo.
Protokol paketů
Obsahuje informace o datových paketech, které přes porty vstupují
do počítače nebo z něj odcházejí.
Ve výchozím nastavení je Protokol paketů vypnutý.
U spravovaného klienta nemůžete Protokol paketů povolit.
U nespravovaného klienta můžete Protokol paketů povolit.
Viz „Povolení protokolu paketů“ na straně 49.
Protokol řízení
Protokol řízení obsahuje informace o klíčích registru systému
Windows, souborech a knihovnách DLL, se kterými aplikace
pracuje, a programech spuštěných v počítači.
Protokol zabezpečení, Obsahuje informace o činnostech, které mohou ohrozit počítač.
Například se mohou zobrazit informace o činnostech, jakými jsou
útoky DoS, prohledávání portů nebo změny spustitelných souborů.
správy klientů
Obsahuje informace o všech provozních změnách, ke kterým
v počítači došlo.
Mezi změny mohou patřit následující aktivity:
■
Spustí se nebo zastaví služba.
■
Počítače zjistí síťové aplikace.
■
Proběhne konfigurace softwaru.
■
Stav klienta, který slouží jako poskytovatel aktualizací skupin.
Protokol
Popis
Protokol ochrany před Obsahuje záznamy o pokusech změnit aplikace Symantec na vašem
změnami
počítači. Tyto záznamy obsahují informace o pokusech zjištěných
a zablokovaných ochranou před změnami.
Protokoly ladění
Obsahuje informace o klientovi, prověřování a bráně firewall pro
účely řešení potíží. Správce vás může požádat, abyste povolili
nebo nakonfigurovali protokoly a poté je vyexportovali.
Podrobnosti o událostech, ke kterým došlo, naleznete v protokolech uložených v
počítači.
Poznámka: Pokud není nainstalována ochrana před síťovými hrozbami nebo
řízení přístupu do sítě, nelze zobrazit protokol zabezpečení, protokol systému
ani protokol řízení.
Zobrazení protokolu
1
V hlavním okně klepněte na položku Zobrazit protokoly v postranním panelu.
2
Klepněte na položku Zobrazit protokoly vedle jedné z následujících položek:
■
Ochrana před viry a spywarem
■
Aktivní ochrana před hrozbami
■
Ochrana před síťovými hrozbami
■
Správa klientů
■
Řízení přístupu do sítě
V závislosti na instalaci se nemusí zobrazit některé položky.
3
V rozevírací nabídce vyberte protokol, který chcete zobrazit.
Viz „Informace o protokolech“ na straně 47.
Povolení protokolu paketů
Všechny protokoly ochrany před síťovými hrozbami a protokoly správy klientů
jsou ve výchozím nastavení povoleny, což ale neplatí pro protokol paketů.
U nespravovaných klientů můžete Protokol paketů povolit nebo zakázat.
49
50
V případě spravovaných klientů může správce protokol paketů povolit nebo
zakázat.
Povolení protokolu paketů
1
Na stránce Stav klienta klepněte vpravo od možnosti Ochrana před síťovými
hrozbami na položku Možnosti a poté na položku Změnit nastavení.
2
V dialogovém okně Ochrana před síťovými hrozbami klepněte na položku
Protokoly.
3
Zaškrtněte možnost Povolit protokol paketů.
4
Zpětným trasováním některých událostí lze na základě protokolované události
určit zdroj dat. Zpětné trasování zjistí přesné kroky nebo přeskoky příchozího
provozu. Přeskok je bod přechodu, například směrovač, kterým prochází paket
na své cestě Internetem od počítače k počítači. Zjišťováním směrovačů, jimiž prošla
data, než dospěla k vašemu počítači, sleduje zpětné trasování datové pakety
směrem zpět.
U některých položek protokolu je možné trasovat datový paket, který byl použit
při pokusu o útok. Každý směrovač, kterým datový paket projde, má adresu IP.
Adresy IP a další podrobnosti je možné zobrazit. Zobrazené informace nezaručují,
že byla odhalena skutečná totožnost hackera. Adresa posledního přeskoku udává
vlastníka směrovače, přes který se hacker připojil, ne vždy však samotného
hackera.
Některé protokolované události je možné zpětně trasovat v protokolu zabezpečení
a v protokolu provozu.
Zpětné trasování protokolované události
1
V postranním panelu klienta klepněte na položku Zobrazit protokoly.
2
Vpravo od položek Ochrana před síťovými hrozbami nebo Správa klientů
klepněte na příkaz Zobrazit protokoly. Pak klepněte na protokol obsahující
položku, kterou chcete trasovat.
3
V okně zobrazení protokolu vyberte řádek položky, kterou chcete trasovat.
4
Klepněte na položku Akce a poté na položku Zpětné trasování.
5
Klepnutím na položku Informace Whois > > v dialogovém okně Informace o
zpětném trasování zobrazíte podrobné informace o každém přeskoku.
V rozbalovacím panelu se zobrazí podrobné informace o vlastníkovi adresy
IP, z níž pochází událost provozu. Kombinací kláves Ctrl+C a Ctrl+V můžete
vyjmout a vložit informace z panelu do e-mailové zprávy pro správce.
6
Dalším klepnutím na položku Informace Whois << informace skryjete.
7
Po dokončení klepněte na tlačítko OK.
Informace z některých protokolů lze exportovat do souborů s položkami
oddělenými čárkami (.csv) nebo do souborů formátu databáze Access (.mdb).
Formát .csv je běžný formát souborů, který mnoho tabulkových procesorů a
databázových programů používá k importu dat. Po importu dat do jiného programu
je můžete využít k tvorbě prezentací a grafů nebo je kombinovat s dalšími
informacemi. Protokoly ochrany před síťovými hrozbami a protokoly správy
klientů lze exportovat do textových souborů s položkami oddělenými tabulátorem.
Poznámka: Pokud provozujete klientský software v systému Windows Server 2008
Server Core, nemůžete exportovat data protokolů do souboru .mdb. Formát .mdb
vyžaduje aplikace společnosti Microsoft, které nejsou dostupné v systému Server
Core.
Do souborů formátu CSV nebo MDB lze exportovat tyto protokoly:
■
systémový protokol ochrany před viry a spywarem,
■
protokol rizik ochrany před viry a spywarem,
■
protokol prověřování ochrany před viry a spywarem,
■
systémový protokol aktivní ochrany před hrozbami,
■
protokol aktivní ochrany před hrozbami,
■
protokol ochrany před změnami.
Poznámka: Budete-li filtrovat data protokolu a provedete export, exportují se
pouze aktuálně filtrovaná data. Toto omezení se nevztahuje na protokoly
exportované do textového souboru s položkami oddělenými tabulátorem. Z těchto
protokolů se exportují všechna data.
51
52
Do textového souboru s položkami oddělenými tabulátorem lze exportovat tyto
protokoly:
■
protokol řízení správy klientů,
■
protokol zabezpečení správy klientů,
■
systémový protokol správy klientů,
■
protokol paketů ochrany před síťovými hrozbami,
■
protokol provozu ochrany před síťovými hrozbami.
Poznámka: Kromě textového souboru s položkami oddělenými tabulátorem lze
data z protokolu paketů exportovat do formátu programu Sledování sítě nebo
Netxray.
V instalaci Server Core systému Windows Server 2008 se mohou dialogová okna
uživatelského rozhraní lišit od rozhraní popsaných v těchto postupech.
Export dat do souboru formátu CSV
1
2
Vedle položky Ochrana před viry a spywarem nebo Aktivní ochrana před
hrozbami klepněte na možnost Zobrazit protokoly.
3
Klepněte na název požadovaného protokolu.
4
V okně protokolu ověřte, že se zobrazují data, která chcete uložit, a klepněte
na tlačítko Export.
5
Přejděte pomocí seznamu Uložit do adresáře, kam chcete soubor uložit.
6
V textovém poli Název souboru zadejte požadovaný název souboru.
7
Klepněte na tlačítko Uložit.
8
Export dat protokolu ochrany před síťovými hrozbami nebo správy klientů do
textového souboru
1
2
Vpravo od položek Ochrana před síťovými hrozbami nebo Správa klientů
klepněte na příkaz Zobrazit protokoly.
3
Klepněte na název protokolu, ze kterého chcete data exportovat.
4
Klepněte na položku Soubor > Exportovat.
Pokud je vybrán protokol paketů, můžete namísto toho klepnout na položku
Exportovat do formátu sledování sítě nebo Exportovat do formátu Netxray.
5
Přejděte pomocí seznamu Uložit do adresáře, kam chcete soubor uložit.
6
V textovém poli Název souboru zadejte požadovaný název souboru.
7
Klepněte na tlačítko Uložit.
8
Klepněte na možnost Soubor > Konec.
53
54
Kapitola
4
Správa prověřování
■
Správa prověřování v počítači
■
Jak funguje prověřování na viry a spyware
■
Naplánování prověřování definovaného uživatelem
■
Naplánování prověřování na spuštění na požádání nebo při zapnutí počítače
■
Správa detekcí Download Insight v počítači
■
Přizpůsobení nastavení funkce Download Insight
■
Přizpůsobení nastavení prověřování výskytu virů a spywaru
■
Konfigurace akcí pro zjišťování malwaru a bezpečnostních rizik
■
Vyloučení položek z prověřování
■
■
Správa souborů v klientském počítači uložených do karantény
■
Informace o odeslání informací o zjištěních hrozbách do střediska Symantec
Security Response
■
Odeslání informací o zjištěních hrozbách do střediska Symantec Security
Response
■
O spolupráci klienta se Střediskem zabezpečení systému Windows
■
Správa funkce SONAR v klientském počítači
56
Podle výchozího nastavení je v rámci spravovaného klienta spouštěno aktivní
prověřování každý den ve 12:30. Nespravovaný klient je instalován s
přednastaveným aktivním prověřováním, které je zakázáno.
Pokud máte nespravovaného klienta, můžete nastavit svá vlastní prověřování.
Pokud správce zpřístupnil vhodná nastavení, budete mít na spravovaném klientovi
možnost konfigurovat svá vlastní prověření.
Tab. 4-1
Krok
Popis
Přečtěte si, jak
prověřování fungují
Informace o typech prověřování a typech virů a bezpečnostních
rizik.
Viz „Jak funguje prověřování na viry a spyware“ na straně 61.
Aktualizujte definice
virů
Přesvědčte se, že máte na počítači nainstalované nejnovější
definice virů.
Zkontrolujte, jestli je
povolena funkce
Auto-Protect
Funkce Auto-Protect je ve výchozím nastavení povolena. Funkci
Auto-Protect byste měli vždy ponechat povolenou. Pokud
zakážete funkci Auto-Protect, zakážete také funkci Download
Insight a funkce SONAR nebude provádět heuristické detekce.
Prověřte počítač
Pravidelně prověřujte počítač, jestli nebudou zjištěny viry nebo
bezpečnostní rizika. Zajistěte, aby se prověřování spouštěla
pravidelně kontrolou data posledního prověřování.
Viz „Naplánování prověřování definovaného uživatelem“
na straně 72.
Krok
Popis
Pozastavení nebo
odložení prověřování
Při spuštění prověřování na požádání, plánovaného nebo
uživatelem definovaného prověřování aplikace Symantec
Endpoint Protection standardně zobrazí dialogové okno s
průběhem prověřování. Mimo to může funkce Auto-Protect
zobrazit dialogové okno při každém zjištění viru nebo
bezpečnostního rizika. Tato upozornění lze vypnout.
Funkce pozastavení umožňuje kdykoli zastavit průběh
prověřování a později jej znovu obnovit. Můžete pozastavit
jakékoli prověřování, které spustíte.
Ve spravované síti správce sítě určuje, zda můžete pozastavit
prověřování, které tento správce inicioval. Pokud není k dispozici
možnost Pozastavit prověřování, správce funkci pozastavení
zakázal. Pokud správce povolil funkci Odložení, můžete zpozdit
prověřování naplánované správcem o nastavený časový interval.
Když se prověřování obnoví, začne tam, kde bylo zastaveno.
Poznámka: Pokud klient prověřuje komprimovaný soubor a vy
prověřování pozastavíte, klient může zareagovat na pozastavení
až po několika minutách.
Práce s výsledky
prověřování
Po spuštění prověřování se může zobrazit dialogové okno s jeho
výsledky. Pomocí dialogového okna s výsledky prověřování
můžete s odhalenými položkami provádět určité akce.
Ve spravované síti je možné, že se při správcem spuštěném
prověřování dialogové okno s informacemi o průběhu
prověřování nezobrazí. Správce může zobrazení výsledků při
zjištění viru nebo bezpečnostního rizika vypnout. V některých
případech vám může správce povolit prohlížet výsledky
prověřování, ale zakázat prověřování pozastavit nebo znovu
spustit.
Poznámka: V závislosti na jazyku operačního systému nemusí
být možné některé znaky v názvu viru zobrazeném v dialogovém
okně s výsledky prověřování zobrazit správně. Nedokáže-li
operační systém interpretovat některé znaky, tyto znaky se v
oznámeních zobrazí jako otazníky. Například některé názvy
virů, které využívají znakovou sadu Unicode, mohou obsahovat
dvoubajtové znaky. V počítačích, kde je klient spuštěn pod
operačním systémem v anglické verzi, se tyto znaky zobrazí
jako otazníky.
57
58
Krok
Popis
Úprava prověřování
kvůli zvýšení výkonu
počítače
Aplikace Symantec Endpoint Protection ve výchozím nastavení
poskytuje vysokou úroveň zabezpečení s minimálním vlivem
na výkon vašeho počítače. Úpravou nastavení můžete výkon
počítače ještě zvýšit.
U plánovaných prověřování a prověřování na vyžádání můžete
upravit následující možnosti:
Optimalizace prověřování
Nastavte u optimalizace prověřování možnost Nejvyšší
výkon aplikace.
■ Komprimované soubory
Změna počtu prověřovaných vrstev při prověřování
komprimovaných souborů.
■ Obnovitelná prověřování
Můžete určit maximální dobu, po kterou budou prověřování
spuštěna. Prověřování bude obnoveno v případě nečinnosti
počítače.
■ Náhodně spouštěná prověřování
Můžete určit časový rozsah, ve kterém bude prověřování
náhodně spouštěno.
■
Můžete také zakázat prověřování po spuštění nebo změnit plán
svých plánovaných prověřování.
Viz „Přizpůsobení nastavení prověřování výskytu virů a
spywaru“ na straně 80.
Viz „Naplánování prověřování definovaného uživatelem“
na straně 72.
Krok
Popis
Úprava prověřování za
účelem zvýšení
zabezpečení vašeho
počítače
Ve většině případů poskytují výchozí nastavení aplikace
dostatečnou ochranu počítače. V některých případech můžete
chtít úroveň zabezpečení zvýšit. Při zvýšení úrovně zabezpečení
může dojít k poklesu výkonu počítače.
U plánovaných prověřování a prověřování na vyžádání můžete
upravit následující možnosti:
Efektivita prověřování
Nastavte u optimalizace prověřování možnost
Nejefektivnější prověřování.
■ Akce prověřování
Změňte akce nápravy, ke kterým dochází po zjištění viru.
■ Délka prověřování
Ve výchozím nastavení jsou plánovaná prověřování spuštěna
až do vypršení časového limitu a obnoví se poté v případě
nečinnosti počítače. Trvání prověřování lze nastavit na
možnost Prověřovat až do dokončení.
■ Vyhledávání Insight
Vyhledávání Insight využívá nejnovější sadu definic, pomocí
které prověřuje soubory a činí vhodná rozhodnutí. Využívá
také technologii hodnocení společnosti Symantec. Je vhodné
se ujistit, že je funkce Vyhledávání Insight povolena.
Nastavení Vyhledávání Insight jsou stejná jako v případě
funkce Download Insight.
■
Můžete také zvýšit úroveň ochrany pomocí technologie
Bloodhound. Technologie Bloodhound dokáže vyhledáním a
izolováním logických oblastí souboru rozpoznat chování typické
pro viry. Pokud chcete zvýšit zabezpečení vašeho počítače,
můžete změnit úroveň zjišťování z Automaticky na Agresivní.
Možnost Agresivní však pravděpodobně způsobí zvýšený výskyt
falešných poplachů.
59
60
Krok
Popis
Úpravou funkce
Auto-Protect zvýšíte
výkon počítače nebo
úroveň zabezpečení
V rámci funkce Auto-Protect můžete upravit následující
možnosti:
Mezipaměť souborů
Ujistěte se, že je povoleno používání mezipaměti souborů
(povoleno ve výchozím nastavení). Při povolení mezipaměti
souborů si funkce Auto-Protect zaznamenává prověřené
čisté soubory, které již poté znovu neprověřuje.
■ Nastavení sítě
Povolíte-li funkci Auto-Protect na vzdálených počítačích,
nezapomeňte povolit možnost Pouze při spuštění souborů.
■ U funkce Auto-Protect je možné nastavit také důvěřování
souborům na vzdáleném počítači či používání mezipaměti
v síti.
Standardně funkce Auto-Protect prověřuje soubory při zápisu
z vašeho počítače do vzdáleného počítače. Prověřuje také
soubory při zápisu ze vzdáleného počítače do vašeho
počítače.
V síťové mezipaměti se ukládají záznamy o souborech, které
funkce Auto-Protect prověřovala ze vzdáleného počítače.
Při použití síťové mezipaměti můžete předejít tomu, aby
funkce Auto-Protect prověřovala stejný soubor vícekrát.
■
Správa nálezů v rámci
Fukce Download Insight prověřuje soubory stahované ve
funkce Download Insight webovém prohlížeči, aplikace k odesílání textových zpráv a další
portály. Funkce Download Insight využívá k rozhodování v
případě každého souboru informace o hodnocení ze serveru
Symantec Insight.
Viz „Správa detekcí Download Insight v počítači“ na straně 76.
Správa funkce SONAR
Funkce SONAR je součástí aktivní ochrany před hrozbami.
Viz „Správa funkce SONAR v klientském počítači“ na straně 97.
Stanovení výjimek
prověřování
Vyjměte z prověřování zabezpečený soubor nebo proces.
Krok
Popis
Odeslání informací
společnosti Symantec o
zjištěných položkách
Klientský počítač odesílá informace o zjištěných položkách
standardně do střediska Symantec Security Response. Odesílání
můžete úplně zakázat nebo jen vybrat, které informace chcete
odeslat.
Společnost Symantec doporučuje nechat odesílání informací
vždy povolené. Tyto informace pomáhají pracovníkům
společnosti Symantec zaměřit se na hrozby.
Viz „Odeslání informací o zjištěních hrozbách do střediska
Symantec Security Response“ na straně 95.
Správa souborů
umístěných do
karantény
Aplikace Symantec Endpoint Protection infikované soubory
uloží do karantény a přenese je do umístění, kde soubor nemůže
nakazit další soubory v počítači.
Pokud soubor umístěný do karantény nelze opravit, musíte se
rozhodnout, co se s ním má udělat.
Můžete také provést některou z následujících akcí:
Vymažte soubor umístěný do karantény, pokud existuje
záložní soubor nebo je k dispozici náhradní soubor
z důvěryhodného zdroje.
■ Ponechte soubory s neznámými infekcemi v karanténě,
dokud společnost Symantec nevydá nové definice virů.
■ Pravidelně kontrolujte soubory umístěné do karantény,
abyste zabránili nashromáždění velkého množství souborů.
Zkontrolujte soubory umístěné do karantény, když se na síti
objeví nová virová epidemie.
■
Viz „Správa souborů v klientském počítači uložených do
karantény“ na straně 89.
Prověřování na výskyt virů a spywaru rozezná a neutralizuje nebo eliminuje viry
a bezpečnostní rizika na vašich počítačích. Prověřování eliminuje virus nebo riziko
použitím následujícího procesu:
■
prověřovací modul vyhledává v souborech a jiných součástech v počítači stopy
virů. Každý virus má charakteristický vzor, který se nazývá signatura. Na
klientovi je nainstalován soubor s definicemi virů, který obsahuje známé
signatury virů bez škodlivého virového kódu. Prověřovací modul porovnává
61
62
každý soubor nebo jeho součást se souborem s definicemi virů. Pokud
prověřovací modul najde shodu, jedná se o infikovaný soubor.
■
Prověřovací modul používá soubory s definicemi, aby určil, zda jsou virus nebo
riziko původcem infekce. Prověřovací modul poté zahájí na infikovaném
souboru akci nápravy. Aby bylo možné infikovaný soubor napravit, klient tento
soubor vyčistí, odstraní nebo umístí do karantény.
Tab. 4-2 popisuje součásti počítače, které klient prověřuje.
Tab. 4-2
Součásti počítače, které klient prověřuje
Součást
Popis
Vybrané soubory
Klient prověřuje jednotlivé soubory. U většiny typů prověřování
vybíráte soubory, které chcete prověřit.
Klientský software používá k vyhledávání stop virů uvnitř souborů
prověřování na základě vzorů. Stopy virů se nazývají vzory nebo
signatury. Při rozpoznávání konkrétních virů je každý soubor
porovnáván s neškodnými signaturami, které se nacházejí v souboru
s definicemi virů.
Je-li zjištěn virus, klient se standardně pokusí vyčistit virus
ze souboru. Pokud soubor nelze vyčistit, klient jej uloží do karantény,
aby se zabránilo další infekci počítače.
Klient také používá prověřování na základě vzorů k vyhledání znaků
bezpečnostních rizik v souborech a klíčích registru systému
Windows. Při nalezení bezpečnostního rizika uloží klient infikované
soubory do karantény a opraví následky rizika. Pokud soubory nelze
přesunout do karantény, je pokus zaznamenán do protokolu.
Paměť počítače
Klient prohledává paměť počítače. Veškeré souborové viry, viry
napadající zaváděcí sektor nebo makroviry mohou být rezidentní v
paměti. Tyto viry se do paměti počítače zkopírovaly samy. Virus se
může v paměti skrývat tak dlouho, dokud nedojde k události, která
jej spustí. Poté se virus může rozšířit na disketu v disketové jednotce
nebo na pevný disk. Pokud se virus nachází v paměti, nelze jej
vyčistit. Viry však můžete z paměti odstranit tak, že po zobrazení
výzvy počítač restartujete.
Zaváděcí sektor
Klient kontroluje, zda se v zaváděcím sektoru počítače nenacházejí
viry. Prověřují se dvě části: tabulky oddílů a hlavní zaváděcí záznam.
Součást
Popis
Disketová jednotka
Nejčastějším prostředkem šíření virů jsou diskety. Při spouštění či
vypínání počítače může zůstat disketa ponechaná v jednotce. Po
zahájení prověřování klient prohledá zaváděcí sektor a tabulky
oddílů diskety vložené v jednotce. Při vypínání počítače se zobrazí
výzva k vyjmutí diskety, abyste předešli možné infekci.
Informace o typech prověřování
Aplikace Symantec Endpoint Protection nabízí různé typy prověřování, které
zajišťují ochranu před odlišnými typy virů, hrozeb a rizik.
Ve výchozím nastavení spouští aplikace Symantec Endpoint Protection aktivní
prověřování každý den ve 12:30. Aplikace Symantec Endpoint Protection spustí
aktivní prověřování v případě, kdy jsou v klientském počítači přijaty nové definice.
U nespravovaných počítačů aplikace Symantec Endpoint Protection poskytuje
také výchozí prověřování po spuštění, které je ale zakázáno.
U nespravovaných klientů zajistěte spouštění aktivního prověřování počítačů
každý den. Pokud si myslíte, že je v počítači neaktivní hrozba, můžete na každý
týden nebo měsíc naplánovat úplné prověřování. Úplné prověřování vyžaduje
více prostředků počítače a ovlivňuje jeho výkon.
Tab. 4-3
Typy prověřování
Typ prověřování
Popis
Funkce Auto-Protect
Funkce Auto-Protect nepřetržitě prověřuje soubory a data internetové pošty v průběhu
jejich zápisu na počítač nebo čtení z něj. Funkce Auto-Protect automaticky neutralizuje
nebo eliminuje zjištěné viry a bezpečnostní rizika.
Funkce Auto-Protect chrání také některé odeslané nebo přijaté e-maily.
Viz „Informace o typech funkcí Auto-Protect“ na straně 65.
63
64
Typ prověřování
Popis
Download Insight
Funkce Download Insight umožňuje zvýšit zabezpečení poskytované funkcí Auto-Protect
prověřováním souborů vždy, když se je uživatel pokouší stáhnout prostřednictvím
prohlížeče nebo z jiných portálů.
Funkce Download Insight k rozhodování v případě každého souboru využívá informace
o hodnocení. Hodnocení souborů vychází z technologie společnosti Symantec s názvem
Insight. Technologie Insight k hodnocení nevyužívá pouze informace o původu souboru,
ale také jeho kontext. Technologie Insight poskytuje určité hodnocení bezpečnosti, které
následně funkce Download Insight využívá k určení postupu u každého souboru.
Funkce Download Insight je využívána jako součást funkce Auto-Protect a vyžaduje, aby
byla tato funkce povolena. Pokud zakážete funkci Auto-Protect, ale povolíte funkci
Download Insight, funkce Download Insight nebude k dispozici.
Viz „Způsob, jakým aplikace Symantec Endpoint Protection k rozhodování o souborech
využívá informace o hodnocení“ na straně 71.
Prověřování správcem a U spravovaných klientů může váš správce vytvořit plánované prověřování, nebo je
prověřování definovaná spouštět na vyžádání. U nespravovaných klientů nebo spravovaných klientů s uzamčeným
uživatelem
nastavením prověřování můžete vytvářet a spouštět prověřování vlastní.
Prověřování definovaná správcem nebo uživatelem zjišťují viry a bezpečnostní rizika
prozkoumáním všech souborů a procesů v klientském počítači. Tyto typy prověřování
mohou také prověřovat paměť a body zavedení.
K dispozici jsou následující typy prověřování definovaných správcem nebo uživatelem:
Plánovaná prověřování
Plánovaná prověřování se na klientských počítačích spouští ve stanovených časech.
Všechna souběžně naplánovaná prověřování se spustí postupně. Jestliže je počítač v
době plánovaného prověřování vypnutý, prověřování se nespustí, pokud program
nebyl nakonfigurován na spouštění zmeškaných prověřování. Můžete naplánovat
aktivní, úplné nebo vlastní prověření.
Nastavení plánovaných prověřování lze uložit jako šablonu. Kterékoli prověřování,
které uložíte jako šablonu, můžete použít jako základ pro jiné prověřování. Šablony
prověřování vám mohou ušetřit čas při konfigurování více zásad. Šablona plánovaného
prověřování je v zásadách obsažena standardně. Výchozí plánované prověřování
prověřuje všechny soubory a adresáře.
■ Prověřování při spuštění a prověřování aktivovaná událostí
Prověřování při spuštění se spustí, když se uživatelé přihlásí k počítačům. Prověřování
aktivovaná událostí se spustí, když se do počítačů stáhnou nové definice virů.
■ Prověřování na požádání
Prověřování na požádání jsou spouštěna ručně. Prověřování na požádání můžete
spouštět ze stránky Prověřovat na hrozby.
■
Typ prověřování
Popis
SONAR
Funkce SONAR nabízí ochranu v reálném čase proti zcela novým hrozbám. Funkce SONAR
dokáže útoky zastavit dříve, než tradiční definice využívající signatury hrozbu odhalí.
Funkce SONAR k rozhodování v případě aplikace nebo souboru využívá jak heuristickou
metodu, tak data s hodnocením.
Funkce SONAR stejně jako v případě aktivních prověřování hrozeb umožňuje odhalit
keyloggery, spyware a všechny aplikace, které jsou, nebo potenciálně mohou být, škodlivé.
Informace o typech funkcí Auto-Protect
Funkce Auto-Protect umožňuje prověřovat soubory nebo určité typy e-mailů nebo
e-mailových příloh.
Pokud jsou na klientských počítačích spuštěny jiné produkty pro zabezpečení
elektronické pošty, jako například Symantec Mail Security, nemusíte funkci
Auto-Protect pro elektronickou poštu povolovat.
Prověřování funkcí Auto-Protect funguje pouze u podporovaných e-mailových
klientů. Nechrání e-mailové servery.
Poznámka: Pokud je při otevírání e-mailu nalezen virus, může prověřování funkcí
Auto-Protect při otevírání zprávy způsobit zpoždění v řádu několika vteřin.
65
66
Typy funkcí Auto-Protect
Tab. 4-4
Typ funkce Auto-Protect
Popis
Funkce Auto-Protect
Nepřetržité prověřování souborů při jejich čtení nebo zápisu do počítače
Funkce Auto-Protect pro systém souborů je ve výchozím nastavení povolena.
Zapne se při spuštění počítače. Prověřuje všechny soubory na viry a bezpečnostní
rizika a blokuje instalaci bezpečnostních rizik. Volitelně může prověřovat soubory
podle přípony souboru, prověřovat soubory na vzdálených počítačích nebo
prověřovat diskety, jestli neobsahují viry spouštěcího záznamu. Volitelně může
před pokusem o opravu soubory zálohovat, ukončovat procesy a zastavovat
služby.
Funkci Auto-Protect lze nastavit pro prověřování souborů vybraných přípon.
Pokud funkce Auto-Protect prověřuje soubory vybraných přípon, dokáže zjistit
typ souboru i v případě, že virus jeho příponu změní.
Pokud nevyužíváte funkci Auto-Protect pro elektronickou poštu, klientský počítač
bude i přesto po spuštění funkce Auto-Protect chráněn. Většina e-mailových
programů ukládá přílohy do dočasného adresáře v okamžiku, kdy uživatelé přílohy
e-mailu otevírají. Funkce Auto-Protect výskyt případného bezpečnostního rizika
zjistí při zápisu souboru do dočasného adresáře. Funkce Auto-Protect zjistí vir
také tehdy, když se uživatel pokusí o uložení infikované přílohy na místní nebo
síťovou jednotku.
Funkce Auto-Protect pro
internetovou poštu
Umožňuje prověřovat e-mail z Internetu (protokoly POP3 nebo SMTP) a přílohy
a odhalit případná bezpečnostní rizika. Zahrnuje také heuristickou analýzu
odchozích e-mailů.
Funkce Auto-Protect pro internetovou poštu podporuje podle výchozího nastavení
zašifrovaná hesla a e-maily při použití připojení POP3 a SMTP. Používáte-li
protokoly POP3 a SMTP ze zabezpečením SSL (Secure Sockets Layer), nalezne
klient zabezpečená připojení, ale neprověří zašifrované zprávy.
Poznámka: Z důvodů výkonu počítače není funkce Auto-Protect pro internetovou
poštu pro protokol POP3 podporována na serverových operačních systémech.
Prověřování internetové pošty není podporováno také u počítačů se 64bitovými
systémy.
Prověřování e-mailů nepodporuje e-maily využívající protokol HTTP, IMAP nebo
AOL (např. e-maily Hotmail nebo Yahoo!) .
Typ funkce Auto-Protect
Popis
Funkce Auto-Protect pro aplikaci Prověřování výskytu virů a bezpečnostních rizik v e-mailech a jejich přílohách
Microsoft Outlook
u aplikace Microsoft Outlook (rozhraní MAPI a Internet)
Podporováno u aplikace Microsoft Outlook 98/2000/2002/2003/2007 a 2010
(rozhraní MAPI a Internet)
Pokud je aplikace Microsoft Outlook při instalaci klientského softwaru již
nainstalována, klientský software tuto e-mailovou aplikaci rozpozná. Klient
automaticky nainstaluje funkci Auto-Protect pro Microsoft Outlook.
Pokud používáte klienta aplikace Microsoft Outlook s rozhraním MAPI nebo
Microsoft Exchange a funkce Auto-Protect e-mailu je povolena, přílohy budou
do počítače ihned staženy. Přílohy budou prověřeny, jakmile je uživatel otevře.
Pokud stahujete velké přílohy přes pomalé připojení, ovlivní to výkon pošty.
Jestliže pravidelně přijímáte velké přílohy, bude pravděpodobně vhodnější tuto
funkci nepoužívat.
Poznámka: Na server Microsoft Exchange není vhodné instalovat funkci
Auto-Protect pro aplikaci Microsoft Outlook.
Funkce Auto-Protect pro Lotus
Notes
Umožňuje prověřit e-maily aplikace Lotus Notes na výskyt virů a bezpečnostních
rizik
Podpora aplikací Lotus Notes 4.5x, 4.6, 5.0 a 6.x
Pokud je aplikace Lotus Notes při instalaci klientského softwaru již nainstalována,
klientský software tuto e-mailovou aplikaci rozpozná. Klient automaticky
nainstaluje funkci Auto-Protect pro Lotus Notes.
Viry a bezpečnostní rizika
Aplikace Symantec Endpoint Protection může prověřovat jak viry, tak bezpečnostní
rizika. Do kategorie Bezpečnostní riziko patří spyware, adware, rootkity a další
soubory, které mohou počítač nebo síť ohrozit.
Viry a bezpečnostní rizika mohou být staženy prostřednictvím e-mailu nebo
programu pro rychlé zasílání zpráv. Bezpečnostní riziko můžete nevědomky
stáhnout přijetím licenční smlouvy s koncovým uživatelem v softwarovém
programu.
Mnoho virů a bezpečnostních rizik je instalováno tzv. „stahováním za běhu“. K
těmto stažením většinou dojde při otevření škodlivé nebo infikované webové
stránky a následné instalaci nástroje pro stahování aplikace s využitím skutečného
slabého místa ve vašem počítači.
Další informace o konkrétních rizicích naleznete na webové stránce střediska
Symantec Security Response.
67
68
Web systému Symantec Security Response poskytuje nejnovější informace o
hrozbách a bezpečnostních rizicích. Na tomto webu také naleznete rozsáhlé
referenční informace, například dokumenty White Paper a podrobné informace
o virech a bezpečnostních rizicích.
Obr. 4-1
Ostatní počítače,
soubory sdílené
v síti
Jak viry a bezpečnostní rizika napadají počítač
Jednotka
USB flash
Internet
E-mail, rychlé
zasílání zpráv
Viry,
malware a
bezpečnostní
rizika
Viry, malware a
bezpečnostní rizika
Viry, malware a
bezpečnostní
rizika
Klientský počítač
Tab. 4-5 obsahuje typy virů a rizik, které mohou zaútočit na počítač.
Tab. 4-5
Viry a bezpečnostní rizika
Riziko
Popis
Viry
Programy nebo kódy, které svou kopii připojují k jiným
počítačovým programům nebo souborům při jejich spuštění. Když
je napadený program spuštěn, aktivuje se připojený virový
program a připojí se opět k dalším programům a souborům.
V kategorii virů se nachází následující typy hrozeb:
■
■
■
■
■
Škodlivé programy typu Internet bot
Programy, které prostřednictvím Internetu spouštějí
automatické úlohy. Programy typu bot mohou být používány
k automatickému vedení útoků na počítače nebo ke
shromažďování informací z webových serverů.
Červi
Programy, které se replikují, aniž by infikovaly další
programy. Někteří červi se šíří kopírováním sebe sama z disku
na disk, zatímco ostatní se replikují pouze v paměti s cílem
snížit výkon počítače.
Trojští koně
Programy, které se maskují jako neškodné, např. hry nebo
nástroje.
Kombinované hrozby
Hrozby, které kombinují vlastnosti virů, červů a trojských
koní a nebezpečného kódu a využívají slabých míst serverů
a Internetu za účelem spuštění, přenosu a rozšíření.
Kombinované hrozby používají různé metody a techniky
rychlého šíření a mohou způsobit rozsáhlé poškození.
Rootkity
Programy, které se skrývají před operačním systémem
počítače.
Adware
Programy, které uživatelům nabízejí reklamní obsah.
Programy pro
telefonické připojení
Programy, které využívají počítač bez svolení a vědomí uživatele
k volbě čísel s předčíslím 900 k připojení k Internetu nebo k
serveru FTP. Vytočení těchto čísel má obvykle za následek
navýšení poplatků.
Hackerské nástroje
Programy, které hackeři používají k získání neoprávněného
přístupu k počítači uživatele. Jedním typem hackerských nástrojů
je například program pro zaznamenávání klávesových úhozů,
který zapisuje stisknutí jednotlivých kláves a tyto informace
odesílá zpět hackerovi. Hacker může potom prohledávat porty
nebo citlivá místa. Pomocí hackerských nástrojů lze rovněž
vytvářet viry.
69
70
Riziko
Popis
Žertovné programy
Programy, které mění nebo přerušují fungování počítače takovým
způsobem, jenž má uživatele pobavit nebo vystrašit. Např.
žertovný program může při pokusu o jeho odstranění uhýbat
košem před ukazatelem myši.
Zavádějící aplikace
Aplikace, které záměrně poskytují chybný stav zabezpečení
počítače. Tyto aplikace se běžně maskují za bezpečnostní
upozornění se zprávou o neexistující infekci, kterou je třeba
odstranit.
Programy rodičovského Programy pro sledování nebo omezování užívání počítače.
zámku
Programy mohou být spuštěny bez povšimnutí a běžně přenáší
sledované informace na jiný počítač.
Programy pro vzdálený Programy, které umožňují přístup z jiného počítače
přístup
prostřednictvím Internetu za účelem získání informací. Umožňují
také útok na počítač nebo jeho narušení.
Nástroj pro hodnocení
zabezpečení
Programy, které lze využít ke shromažďování údajů pro
neoprávněný přístup k počítači.
Spyware
Samostatné programy, které tajně sledují činnost systému a
zjišťují hesla a jiné důvěrné informace a předávají je zpět jinému
počítači.
Trackware
Samostatné nebo připojené aplikace, které umožňují sledovat
uživatelovu cestu na Internetu a odeslat informace do kontrolního
systému nebo počítače hackera.
Jak prověřování reagují na zjištění viru nebo rizika
Při infikování souborů viry a bezpečnostními riziky reaguje klient různými způsoby
v závislosti na druhu hrozby. Pro každý druh hrozby klient použije první akci a
v případě jejího nezdaru provede druhou akci.
Jak prověřování reaguje na viry a bezpečnostní rizika
Tab. 4-6
Typ hrozby
Akce
Virus
Podle výchozího nastavení, pokud klient zjistí virus:
■
Pokusí se nejprve vyčistit virus z infikovaného souboru.
■
Při čištění souboru klient kompletně odstraní riziko z počítače.
■
Pokud vyčištění není možné, zaznamená klient neúspěch do protokolu
a přesune infikovaný soubor do karantény.
Typ hrozby
Akce
Bezpečnostní
riziko
Podle výchozího nastavení, pokud klient zjistí bezpečnostní riziko:
■
Uloží infikovaný soubor do karantény.
Pokusí se odstranit či opravit všechny změny provedené
bezpečnostním rizikem.
■ Pokud klient nedokáže přesunout bezpečnostní riziko do karantény,
zaznamená je do protokolu a ponechá je.
■
Může se stát, že nevědomky nainstalujete aplikaci obsahující bezpečnostní
riziko, jako je adware či spyware. Pokud společnost Symantec usoudila,
že přesun daného rizika do karantény nepoškodí počítač, klient toto riziko
přesune. Okamžitý přesun rizika do karantény může přivést počítač do
nestabilního stavu. Proto klient před přesunutím rizika do karantény
vyčká dokončení instalace aplikace. Potom opraví účinky daného rizika.
U každého typu prověřování můžete změnit nastavení způsobu zpracování virů
a bezpečnostních rizik. Pro jednotlivé kategorie rizik i jednotlivá bezpečnostní
rizika lze nastavit různé akce.
Způsob, jakým aplikace Symantec Endpoint Protection k rozhodování
o souborech využívá informace o hodnocení
Společnost Symantec shromažďuje informace o souborech, které jsou přijímány
od milionů uživatelů a ze sítě Global Intelligence Network. Shromážděné informace
slouží ke vzniku databáze hodnocení uložené na serverech Symantec. Produkty
společnosti Symantec tyto informace využívají k ochraně klientských počítačů
před novými, vybranými a měnícími se hrozbami. Data jsou někdy nazývána jako
data uložená „v cloudu“ (pozn. cloud = mrak), jelikož se nenachází přímo na
počítači klienta. Klientský počítač musí do databáze hodnocení odeslat požadavek
nebo dotaz.
Společnost Symantec využívá technologii s názvem Insight, která umožňuje u
každého souboru určit úroveň rizika nebo „hodnocení zabezpečení“.
Technologie Insight vyměří hodnocení bezpečnosti u souboru prozkoumáním
následujících charakteristik souboru a jeho kontextu:
■
Zdroj souboru
■
Stáří souboru
■
Četnost výskytu souboru v komunitě
■
Ostatní postupy v oblasti bezpečnosti, např. míra, jakou soubor odpovídá
malwaru
71
72
Funkce prověřování v aplikaci Symantec Endpoint Protection využívají technologii
Insight k učinění rozhodnutí v případě souboru nebo aplikace. Součástí ochrany
před viry a spywarem je funkce Download Insight. Funkce Download Insight při
rozhodování spoléhá na důvěryhodné informace. Pokud vyhledávání Insight
zakážete, funkci Download Insight bude možné spustit, ale nebude provádět
detekce. Jiné funkce zabezpečení typu Vyhledávání Insight nebo SONAR také
využívají k činění rozhodnutí informace o hodnocení. Tyto funkce však za takovým
účelem mohou využít i další technologie.
Klientský počítač odesílá informace o zjištěných položkách podle hodnocení
standardně do střediska Symantec Security Response, kde je provedena další
analýza. Tyto informace pomáhají zlepšovat databázi hodnocení technologie
Insight. Čím více klientů informace odešle, tím užitečnější databáze s hodnocením
může být.
Odesílání informací o hodnocení můžete zakázat. Společnost Symantec však
doporučuje nechat odesílání povolené.
Klientský počítač odesílá do střediska Symantec Security Response také jiné typy
informací.
Viz „Odeslání informací o zjištěních hrozbách do střediska Symantec Security
Response“ na straně 95.
Plánované prověřování je důležitou součástí ochrany před hrozbami a
bezpečnostními riziky. Abyste měli jistotu, že se v počítači nenacházejí viry a
bezpečnostní rizika, měli byste naplánovat prověřování alespoň jednou týdně. Po
vytvoření nového prověřování se toto zobrazí v seznamu na panelu Prověřovat
na hrozby.
Poznámka: Pokud pro vás správce vytvořil plánované prověření, zobrazuje se
v seznamu na panelu Prověřovat na hrozby.
Spuštění plánovaného prověřování vyžaduje, aby byl počítač zapnutý a byly
zavedeny služby aplikace Symantec Endpoint Protection. Ve výchozím nastavení
se služby aplikace Symantec Endpoint Protection načtou při spuštění počítače.
V případě spravovaných klientů mohou správci tato nastavení potlačit.
Pokud v jednom počítači naplánujete více prověřování se stejným počátečním
časem, spustí se prověřování postupně. Po dokončení jednoho prověřování bude
zahájeno další. Můžete například naplánovat tři různá prověřování s počátečním
časem 13.00. Každé z nich slouží k prověření jiné jednotky a mají tak být prověřeny
disky C, D a E. V tomto příkladu je vhodnější vytvořit jedno plánované prověřování,
které se bude týkat disků C, D a E.
1
2
Klepněte na tlačítko Vytvořit nové prověřování.
3
V dialogovém okně Vytvořit nové prověřování – co prověřovat vyberte
některý z následujících typů prověřování:
Aktivní
prověřování
Prověří oblasti počítače nejčastěji napadané viry a bezpečnostními
riziky.
Aktivní prověřování bystě měli spouštět každý den.
4
Úplné
prověřování
Prověří celý počítač na přítomnost virů a jiných rizik.
Vlastní
prověřování
Prověří vybrané oblasti počítače na přítomnost virů a
bezpečnostních rizik.
Jednou za týden nebo za měsíc byste měli spustit úplné
prověřování. Úplné prověřování můžete ovlivnit výkon počítače.
Klepněte na tlačítko Další.
73
74
5
Zvolíte-li možnost Vlastní prověřování, zaškrtněte příslušná políčka určující
oblasti k prověření a poté klepněte na možnost Další.
Zde jsou uvedeny popisy jednotlivých symbolů:
Soubor, jednotka nebo složka nejsou vybrány. Představuje-li položka
jednotku či složku, nejsou vybrány ani složky nebo soubory obsažené v této
jednotce či složce.
Je vybrán samostatný soubor či složka.
Je vybrána samostatná složka či jednotka. Všechny položky v rámci této
složky nebo jednotky jsou také vybrány.
Celá složka nebo jednotka není vybrána, ale je vybrána jedna nebo více
položek v rámci této složky či jednotky.
6
V dialogovém okně Vytvořit nové prověřování – možnosti prověřování
můžete nastavit také tyto volby:
Typy souborů
Nastavte, které přípony souborů klient prověřuje. Výchozí volbou
je prověřit všechny soubory.
Akce
Změnit první a druhou akci, která má být provedena při nalezení
virů a bezpečnostních rizik.
Upozornění
Vytvořit zprávu, která se má zobrazit při nalezení viru nebo
bezpečnostního rizika. Můžete také nastavit, zda chcete dostat
upozornění před provedením nápravných akcí.
Rozšířené
Změňte doplňující funkce prověřování, jako je zobrazení
dialogového okna výsledků prověřování.
Vylepšené
prověřování
Nastavte, které součásti počítače klient prověřuje. Dostupné
možnosti jsou závislé na tom, co jste vybrali v kroku 3.
7
8
V dialogovém okně Vytvořit nové prověřování – kdy prověřovat klepněte
na možnost V určenou dobu a poté klepněte na možnost Další.
Můžete také vytvořit prověřování na požádání nebo prověřování při spuštění.
Viz „Naplánování prověřování na spuštění na požádání nebo při zapnutí
počítače“ na straně 75.
9
V dialogovém okně vytvořit nové prověřování — plán v části Plán prověření
určete frekvenci a dobu prověřování a poté klepněte na možnost Další.
10 V části Délka prověřování můžete nastavit čas, během kterého je třeba
prověřování dokončit. Čas spuštění můžete rovněž náhodně vygenerovat.
11 V části Zmeškaná plánovaná prověřování můžete určit interval, během
kterého je možné prověřování znovu spustit.
12 V dialogovém okně Vytvořit nové prověřování – název prověřování zadejte
název a popis prověřování.
Prověřování pojmenujte například Pátek ráno
13 Klepněte na tlačítko Dokončit.
Naplánování prověřování na spuštění na požádání
nebo při zapnutí počítače
Můžete doplňovat plánované prověřování automatickým prověřováním při každém
spuštění počítače nebo přihlášení. Prověřování při spuštění je často omezeno na
kritické složky s vysokým rizikem virové infekce (například složka Windows a
složky, v nichž jsou uloženy šablony aplikací Microsoft Word a Excel).
Pokud pravidelně prověřujete stejnou sadu souborů nebo složek, můžete vytvořit
prověřování na požádání omezené na příslušné soubory. Kdykoli potom můžete
rychle ověřit, zda zadané soubory a složky neobsahují viry a bezpečnostní rizika.
Prověřování na požádání musíte spustit ručně.
Pokud vytvoříte více než jedno prověřování při spuštění, spouští se tato
prověřování postupně v pořadí, ve kterém byla vytvořena. Váš správce mohl
nakonfigurovat klienta tak, že nemůžete prověřování při spuštění vytvořit.
1
2
Klepněte na tlačítko Vytvořit nové prověřování.
3
Určete cíl prověřování a případné možnosti u plánovaného prověřování.
Viz „Naplánování prověřování definovaného uživatelem“ na straně 72.
4
V dialogovém okně Vytvořit nové prověřování – Kdy spustit prověřování
proveďte některou z následujících akcí:
75
76
■
Klepněte na možnost Při spuštění.
■
Klepněte na možnost Na požádání.
5
6
V dialogovém okně Vytvořit nové prověřování – název prověřování zadejte
název a popis prověřování.
Prověřování pojmenujte například MojePrověřování1
7
Klepněte na tlačítko Dokončit.
Funkce Auto-Protect obsahuje funkci s názvem Download Insight, která prověřuje
soubory stahované ve webovém prohlížeči, aplikace k odesílání textových zpráv
a další portály. Aby bylo možné používat funkci Download Insight, je třeba povolit
funkci Auto-Protect.
Mezi podporované portály patří Internet Explorer, Firefox, Microsoft Outlook,
Outlook Express, Windows Live Messenger a Yahoo Messenger.
Poznámka: Podrobnosti o riziku v protokolu rizik pro detekci funkce Download
Insight ukazují jen první portálovou aplikaci, která se pokusila o stažení. Ke stažení
souboru zjištěného funkcí Download Insight můžete použít například aplikaci
Internet Explorer. Pokud potom ke stažení souboru použijete aplikaci Firefox, v
poli Stáhl/a v podrobnostech o riziku se jako portál zobrazí aplikace Internet
Explorer.
Funkce Download Insight využívá k rozhodnutí o škodlivosti staženého souboru
informace o jeho hodnocení. Funkce Download Insight nevyužívá k rozhodování
signatury ani heuristickou analýzu. Pokud funkce Download Insight soubor schválí,
funkce Auto-Protect nebo SONAR tento soubor při pokusu o jeho spuštění dále
prověří.
Poznámka: Funkce Auto-Protect umožňuje také prověřování souborů, které uživatel
obdrží prostřednictvím přílohy e-mailů.
Tab. 4-7
Úloha
Popis
Informace o způsobu, jakým
funkce Download Insight využívá
k rozhodování v případě každého
souboru data s hodnocením
Funkce Download Insight využívá k rozhodování v případě staženého souboru
výhradně informace o hodnocení. Nevyužívá k činění hrozeb signatury ani
heuristickou analýzu. Pokud funkce Download Insight soubor schválí, funkce
Auto-Protect nebo SONAR tento soubor při pokusu o jeho spuštění dále prověří.
Reakce na detekce Download
Insight
Pokaždé když funkce Download Insight zjistí výskyt možné hrozby, může se
zobrazit odpovídající upozornění. U spravovaných klientů může správce
zobrazení upozornění na detekce Download Insight zakázat.
Jsou-li upozornění povolena, zobrazí se vždy, kdy funkce Download Insight
odhalí škodlivý soubor nebo soubor s neprokázanou škodlivostí. U souborů s
neprokázanou škodlivostí je třeba rozhodnout, zda chcete daný soubor povolit.
Viz „Reakce na zprávy funkce Download Insight s dotazem na povolení nebo
zablokování souboru, který se pokoušíte stáhnout“ na straně 27.
Vytvoření výjimek pro určité
soubory nebo webové domény
U aplikací, které uživatelé stahují, můžete vytvořit výjimku. Výjimku můžete
vytvořit také pro určité webové domény, které považujete za důvěryhodné.
Podle výchozího nastavení nekontroluje funkce Download Insight žádné soubory,
které jsou z důvěryhodné Internetové stránky nebo stránky intranetu staženy.
Důvěryhodné stránky můžete nastavit na kartě Ovládací panely systému
Windows > Důvěryhodné servery > Zabezpečení. Pokud povolíte možnost
Automaticky důvěřovat všem souborům staženým z intranetových stránek,
aplikace Symantec Endpoint Protection povolí všechny soubory, které budou z
důvěryhodných stránek staženy.
Funkce Download Insight rozezná pouze konkrétní důvěryhodné stránky.
Zástupné znaky jsou povoleny, rozsahy adres IP bez směrování nikoliv. Funkce
Download Insight například nerozezná důvěryhodnou adresu IP v podobě 10.*.*.*.
Funkce Download Insight také nepodporuje stránky zjištěné v rámci volby
Možnosti Internetu > Zabezpečení > Automaticky zjišťovat intranetovou síť.
Ujistěte se, že je vyhledávání
Insight povoleno.
Funkce Download Insight vyžaduje k rozhodování v případě každého souboru
data s hodnocením. Pokud vyhledávání Insight zakážete, funkci Download Insight
bude možné spustit, ale nebude provádět detekce. Ve výchozím nastavení je
vyhledávání Insight povoleno.
77
78
Úloha
Popis
Přizpůsobení nastavení funkce
Download Insight
Nastavení funkce Download Insight můžete chtít upravit z těchto důvodů:
Zvýšení nebo snížení počtu nálezů v rámci funkce Download Insight.
Úpravou posuvníku u nastavení škodlivých souborů můžete zvýšit nebo
snížit počet zjištěných nálezů. Při nižších úrovních bude označovat funkce
Download Insight méně souborů za škodlivé a více za soubory s neprokázanou
škodlivostí. Bude detekovat také méně falešných poplachů.
Při vyšších úrovních bude označovat funkce Download Insight více souborů
za škodlivé a méně za soubory s neprokázanou škodlivostí. Bude detekovat
také více falešných poplachů.
■ Změna akce u zjištěných škodlivých souborů a souborů s neprokázanou
škodlivostí.
Můžete upravit způsob, jakým zachází funkce Download Insight se škodlivými
soubory a soubory s neprokázanou škodlivostí. U souborů s neprokázanou
škodlivostí můžete upravit akci tak, aby se v souvislosti s nimi nezobrazovala
žádná upozornění.
■ Můžete získávat upozornění na detekce funkce Download Insight.
Pokud funkce Download Insight zjistí výskyt souboru, který považuje za
škodlivý, a je-li vybrána akce Karanténa, zobrazí se v klientském počítači
upozornění. Akci uložení do karantény je možné zrušit.
Pokud funkce Download Insight zjistí výskyt souboru, jehož škodlivost nelze
prokázat, a je-li v rámci souborů s neprokázanou škodlivostí vybrána akce
S výzvami nebo Karanténa, zobrazí se v klientském počítači upozornění.
Pokud je vybranou akcí možnost S výzvami, můžete se rozhodnout, zda
chcete soubor povolit nebo blokovat. Je-li akcí Karanténa, uložení do
karantény můžete zrušit.
Zobrazení upozornění je možné zakázat a zamezit tak možnosti výběru akce
pokaždé, kdy funkce Download Insight zjistí soubor, jehož škodlivost nelze
prokázat. Pokud ponecháte zobrazení upozornění povolené, můžete u souborů
s neprokázanou škodlivostí vybrat akci Ignorovat a nálezy tak bez dalšího
zobrazení upozornění vždy povolit.
Při povolených upozorněních poté nastavení citlivosti na škodlivé soubory
ovlivňuje počet upozornění, které se zobrazí. Zvýšíte-li citlivost, zvýšíte také
díky nárůstu celkového počtu nálezů i počet zobrazených upozornění pro
uživatele.
■
Viz „Přizpůsobení nastavení funkce Download Insight“ na straně 79.
Úloha
Popis
Odeslání informací společnosti
Podle výchozího nastavení odesílá klient společnosti Symantec informace o
Symantec o zjištěných položkách zjištěných položkách podle hodnocení.
podle hodnocení
Společnost Symantec doporučuje odesílání informací o zjištěných položkách
podle hodnocení povolit. Tyto informace pomáhají pracovníkům společnosti
Symantec zaměřit se na hrozby.
Pokud chcete snížit počet planých poplachů na klientském počítači, můžete
přizpůsobit nastavení funkce Download Insight. U funkce Download Insight je
možné nastavit citlivost na data s hodnocením, která jsou využívána k určení
potenciálně škodlivých souborů. Můžete také upravit oznámení, která zobrazí na
klientských počítačích funkce Download Insight při rozhodování.
1
V postranním panelu klienta klepněte na položku Změnit nastavení.
2
viry a spywarem.
3
Na kartě Download Insight se ujistěte, že je označena možnost Povolit funkci
Download Insight pro zjišťování potencionálních rizik ve stažených
souborech na základě hodnocení souborů.
Pokud je funkce Auto-Protect zakázána, aplikace Download Insight nebude
fungovat, i když bude povolena.
4
Přesunutím posuvníku můžete upravit citlivost na škodlivé soubory.
Poznámka: Pokud jste vy nebo správce nainstalovali pouze základní ochranu
před viry a spywarem, citlivost bude nastavena na úroveň 1. Toto nastavení
nelze změnit.
Pokud nastavíte vyšší úroveň, funkce Download Insight bude označovat více
souborů za škodlivé a méně za soubory s neprokázanou škodlivostí. Nastavení
vyšší úrovně však způsobí zvýšení výskytu falešných poplachů.
5
Označením nebo zrušením označení můžete ke kontrole souborů s
neprokázanou škodlivostí povolit používání dalších kritérií:
79
80
6
■
Soubory s méně než x uživateli
■
Soubory známé uživatelům po méně než x dnů
Pokud daný soubor tato kritéria splní, funkce Download Insight ho označí
za škodlivý.
Ujistěte se, že je označena možnost Automaticky důvěřovat všem souborům
staženým z intranetových stránek.
Tato možnost se vztahuje také na vyhledávání Insight.
7
Klepněte na tlačítko Akce.
8
V nabídce Nebezpečné soubory vyberte první a druhou akci.
9
V nabídce Neprokázané soubory vyberte požadovanou akci.
10 Klepněte na tlačítko OK.
11 Klepněte na možnost Upozornění a rozhodněte, zda chcete zobrazit oznámení
vždy, když zjistí funkce Download Insight výskyt možné hrozby.
Zobrazený text výstrahy je možné upravit.
Přizpůsobení nastavení prověřování výskytu virů a
spywaru
Podle výchozího nastavení poskytuje klient počítači takovou ochranu před viry
a bezpečnostními riziky, jakou potřebujete. Pokud máte nespravovaného klienta,
možná chcete upravit některá nastavení prověřování.
Přizpůsobení prověřování definovaného uživatelem
1
2
Na stránce Prověřovat na hrozby klepněte pravým tlačítkem na prověřování
a potom klepněte na možnost Upravit.
3
Na kartě Možnosti prověřování proveďte kteroukoliv z následujících akcí:
■
Pokud chcete upravit nastavení Vyhledávání Insight, klepněte na možnost
Vyhledávání Insight.
Nastavení Vyhledávání Insight jsou stejná jako v případě funkce Download
Insight.
■
Pokud chcete určit, že se má prověřovat méně typů souborů, klepněte na
možnost Vybrané přípony a potom na možnost Přípony.
■
Pokud chcete určit první a druhou akci, kterou klient provede
s infikovaným souborem, klepněte na možnost Akce.
■
Pokud chcete určit možnosti oznamování, klepněte na možnost
Oznamování.
■
Pokud chcete nastavit rozšířené možnosti pro komprimované soubory,
zálohy a ladění, klepněte na možnost Rozšířené.
Můžete také chtít upravit možnosti ladění a zvýšit tak výkon klientského
počítače.
Chcete-li získat více informací o možnostech v každém dialogovém okně,
klepněte na položku Nápověda.
4
Změna globálních nastavení prověřování
1
■
Na postranním panelu klienta klepněte na možnost Změnit nastavení a
u položky Ochrana před viry a spywarem klepněte na možnost
Konfigurovat nastavení
■
Na postranním panelu klienta klepněte na možnost Prověřovat na hrozby
a poté View Global Scan Settings (Zobrazit globální nastavení
prověřování).
2
Na kartě Globální nastavení v části Možnosti prověřování upravte nastavení
technologie Insight nebo Bloodhound.
3
Pokud chcete zobrazit nebo vytvořit výjimky prověřování, klepněte na
možnost View List (Zobrazit seznam). Po prohlédnutí nebo vytvoření výjimek
klepněte na tlačítko Zavřít.
4
V části Uchovávání protokolu nebo Ochrana webového prohlížeče proveďte
požadované změny.
5
Přizpůsobení funkce Auto-Protect
1
2
viry a spywarem.
3
Na kartě Funkce Auto-Protect proveďte následující akce:
81
82
■
Pokud chcete určit, že se má prověřovat méně typů souborů, klepněte na
možnost Vybrané a potom na možnost Přípony.
■
Pokud chcete určit první a druhou akci, kterou klient provede
s infikovaným souborem, klepněte na možnost Akce.
■
Pokud chcete určit možnosti oznamování, klepněte na možnost
Oznamování.
Chcete-li získat více informací o možnostech v každém dialogovém okně,
klepněte na položku Nápověda.
4
Na kartě Auto-Protect klepněte na tlačítko Upřesnit.
Upravit můžete nastavení mezipaměti souborů i možnosti Trasování rizik a
zálohování. Úpravou těchto možností můžete zvýšit výkon počítače.
5
Klepnutím na možnost Síť můžete upravit nastavení důvěryhodných souborů
na vzdálených počítačích a nastavit síťovou mezipaměť.
6
Konfigurace akcí pro zjišťování malwaru a
bezpečnostních rizik
Můžete nastavit akce, které má klient Symantec Endpoint Protection provést při
zjištění malwaru nebo bezpečnostního rizika. Můžete nakonfigurovat první
prováděnou akci a druhou akci, která se provede v případě, že se první akce nezdaří.
Poznámka: Pokud je počítač spravován správcem a u některých možností je
zobrazena ikona visacího zámku, není možné tyto možnosti upravit, protože je
správce zablokoval.
Stejným způsobem konfigurujete akce pro všechny typy prověřování. Každé
prověřování používá vlastní konfiguraci akcí. K různým prověřováním tak lze
nastavit různé akce.
Poznámka: Akce funkce Download Insight a SONAR se konfigurují zvlášť.
Viz „Přizpůsobení nastavení prověřování výskytu virů a spywaru“ na straně 80.
Viz „Změna nastavení funkce SONAR“ na straně 100.
Další informace o volbách použitých v postupech získáte po klepnutí na tlačítko
Nápověda.
1
Na postranním panelu klienta klepněte na položku Změnit nastavení nebo
Prověřování hrozeb.
2
■
Klepněte na položku Konfigurovat nastavení vedle možnosti Ochrana
před viry a spywarem a na kartě Auto-Protect klepněte na možnost Akce.
■
Vyberte prověřování, klepněte pravým tlačítkem, vyberte možnost Upravit
a poté klepněte na položku Možnosti prověřování.
3
Klepněte na tlačítko Akce.
4
V dialogovém okně Akce prověřování vyberte ve stromové struktuře kategorii
nebo podkategorii v části Malware nebo Bezpečnostní rizika.
Ve výchozím nastavení je každá dílčí kategorie automaticky nakonfigurována
tak, aby použila akce, které jsou nastaveny pro celou kategorii.
Kategorie se průběžně mění v reakci na informace, které společnost Symantec
o rizicích získává.
5
Chcete-li konfigurovat akce jen pro podkategorii, proveďte jednu z těchto
akcí:
■
Zaškrtněte políčko Potlačit akce konfigurované pro malware a potom
nastavte akce pro danou podkategorii.
Poznámka: V rámci kategorie může existovat jediná podkategorie podle
toho, jak společnost Symantec aktuálně klasifikuje rizika. V části Malware
například může existovat jedna podkategorie nazvaná Viry.
■
Zaškrtněte políčko Potlačit akce konfigurované pro bezpečnostní rizika
a potom nastavte akce pro danou podkategorii.
83
84
6
Z následujících možností vyberte první a druhou akci:
Vyčistit riziko
Odstraní virus z infikovaného souboru. Toto nastavení je
výchozí první akce pro viry.
Poznámka: Jako první akce je tato možnost dostupná pouze
pro viry. Nelze ji použít na bezpečnostní rizika.
Toto nastavení by pro viry mělo být vždy první akcí. Pokud
klient úspěšně vyčistí virus ze souboru, není třeba provádět
žádná další opatření. Váš počítač neobsahuje žádné viry a
nehrozí již nebezpečí šíření tohoto viru do dalších oblastí
vašeho počítače.
Když klient soubor vyčistí, virus odstraní z infikovaného
souboru, ze zaváděcího záznamu nebo tabulek oddílů. Také
se odstraní možnost šíření viru. Klient obvykle dokáže najít
a vyčistit virus dříve, než může způsobit poškození počítače.
Standardně se soubor zálohuje.
V některých případech vyčištěný soubor může být
nepoužitelný. Neboť virus způsobil příliš velké poškození.
Některé infikované soubory nelze vyčistit.
Umístit riziko do
karantény
Přesune infikovaný soubor z původního umístění do
karantény. V karanténě se z infikovaných souborů nemohou
viry šířit.
U virů přesune infikovaný soubor z původního umístění do
karantény. Toto nastavení je výchozí druhá akce pro viry.
U bezpečnostních rizik klient přesune infikované soubory z
původního umístění do karantény a pokusí se odstranit nebo
opravit veškeré vedlejší efekty. Toto nastavení je výchozí
první akce pro bezpečnostní rizika.
Karanténa obsahuje záznam všech provedených akcí. Můžete
proto počítač vrátit do stavu, ve kterém se nacházel před
odstraněním rizika.
Odstranit riziko
Odstraní infikovaný soubor z pevného disku počítače. Pokud
klient nemůže soubor smazat, pak se zobrazí informace o
akci, kterou klient provedl. Tato informace se také zaznamená
do protokolu událostí.
Tento proces proveďte pouze v případě, že můžete soubor
nahradit zálohovanou kopií, která neobsahuje viry ani
bezpečnostní rizika. Klient provede trvalé odstranění rizika.
Infikovaný soubory již nelze obnovit z Koše.
Poznámka: Při konfiguraci akcí pro bezpečnostní rizika
využívejte tuto akci s opatrností. Odstranění bezpečnostních
rizik může vést k tomu, že některé aplikace přestanou
fungovat.
Ponechat (pouze
protokol)
Ponechá infikovaný soubor beze změn.
Pokud použijete tuto akci pro viry, zůstane virus v
infikovaných souborech. Virus se pak může šířit do dalších
částí počítače. V Historii rizik je vytvořen záznam o
infikovaném souboru.
Možnost Ponechat (pouze protokol) můžete použít jako
druhou akci pro malware a bezpečnostní rizika.
Při provádění rozsáhlých automatizovaných prověřování,
jako jsou plánovaná prověřování, tuto akci nevybírejte.
Můžete ji využít, chcete-li později zobrazit výsledky
prověřování a podniknout další akci. Další akcí může být
přesun souboru do karantény.
U bezpečnostních rizik ponechá tato akce infikovaný soubor
tak, jak je, a vytvoří v historii rizik záznam o infikovaném
souboru. Tuto možnost použijte k ručnímu řízení způsobu
zpracování bezpečnostních rizik. Toto nastavení je výchozí
druhá akce pro bezpečnostní rizika.
Správce může rovněž rozeslat individuální zprávu s pokyny.
7
Tyto kroky opakujte u každé kategorie, pro kterou chcete akce nastavit, a
poté klepněte na tlačítko OK.
8
Pokud jste vybrali některou kategorii bezpečnostních rizik, můžete vybrat
vlastní akce pro jednu či více konkrétních instancí dané kategorie
bezpečnostních rizik. Je možné vyloučit z prověřování některá bezpečnostní
rizika. Můžete například chtít vyloučit adware, který potřebujete ke své práci.
9
85
86
Výjimkami jsou známá bezpečnostní rizika, soubory, přípony souborů a procesy,
které chcete vyloučit z prověřování. Pokud jste prověřili počítač a víte, že určité
soubory nejsou nebezpečné, můžete je vyloučit. V některých případech mohou
výjimky snížit dobu prověřování a zvýšit výkon systému. Obvykle není třeba
výjimky vytvářet.
U spravovaných klientů může výjimky pro prověřování vytvářet správce. Pokud
vytvoříte výjimku, která se správcem definovanou výjimkou koliduje, bude mít
přednost výjimka definovaná správcem. Správce vám také může v konfiguraci
určitých nebo všech typů výjimek zabránit.
Poznámka: Pokud e-mailová aplikace ukládá veškerou poštu do jednoho souboru,
měli byste vytvořit výjimku pro vyloučení souboru s příchozí poštou z prověřování.
Podle výchozího nastavení jsou viry zjištěné během prověřování ukládány do
karantény. Pokud je v průběhu prověřování zjištěn vir v souboru s příchozí poštou,
dojde k přesunu celé složky s příchozí poštou do karantény. a vy nebudete moci
e-maily otevírat.
Tab. 4-8
Typy výjimek
Typ výjimky
Popis
Soubor
Platnost pro prověřování na přítomnost virů a spywaru
Při prověřování bude vybraný soubor ignorován.
Složka
Platnost pro prověřování na přítomnost virů a spywaru,
funkci SONAR nebo pro obojí
Při prověřování bude vybraná složka ignorována.
Známá rizika
Při prověřování bude vybrané známé riziko ignorováno.
Přípony
Při prověřování budou soubory s danou příponou
ignorovány.
Důvěryhodná webová
doména
Funkce Download Insight bude vybranou důvěryhodnou
webovou doménu ignorovat.
Typ výjimky
Popis
Aplikace
Platnost pro prověřování na přítomnost virů a spywaru a
funkci SONAR
Při prověřování budou ignorovány, protokolovány, ukládány
do karantény nebo ukončovány aplikace, které zde uvedete.
Výjimkami jsou známá bezpečnostní rizika, soubory, složky, přípony souborů,
webové domény a aplikace, které chcete z prověřování vyloučit. Pokud jste prověřili
počítač a víte, že určité soubory nejsou nebezpečné, můžete je vyloučit. V některých
případech mohou výjimky snížit dobu prověřování a zvýšit výkon systému. Obvykle
není třeba výjimky vytvářet.
U spravovaných klientů může výjimky pro prověřování vytvářet správce. Pokud
vytvoříte výjimku, která se správcem definovanou výjimkou koliduje, bude mít
přednost výjimka definovaná správcem.
Výjimky pro bezpečnostní rizika jsou platné u všech typů prověřování na výskyt
bezpečnostního rizika. Na všechna prověřování na výskyt bezpečnostních rizik
se vztahují také výjimky pro aplikace. Výjimky v případě složky SONAR jsou platné
pouze pro funkci SONAR.
Funkce SONAR nepodporuje výjimky pro soubory. Pokud chcete v rámci funkce
SONAR vytvořit výjimku pro soubor, použijte výjimku pro aplikaci.
Poznámka: V instalaci Server Core systému Windows Server 2008 se může vzhled
dialogových oken lišit od vzhledu popsaného v těchto postupech.
Vyloučení položek z prověřování na výskyt bezpečnostního rizika
1
2
Vedle možnosti Výjimky klepněte na položku Konfigurovat nastavení.
3
V dialogovém okně Výjimky na kartě Výjimky definované uživatelem
klepněte na položku Přidat > Výjimky pro bezpečnostní rizika.
87
88
4
5
Vyberte jednu z následujících typů výjimek:
■
Známá rizika
■
Soubor
■
Složka
■
Přípony
■
Webová doména
■
V případě známých rizik zaškrtněte ta bezpečnostní rizika, která chcete
z prověřování vyloučit.
Pokud chcete pri zjištění a ignorování rizika zaznamenat událost do
protokolu, zaškrtněte volbu Zaprotokolovat zjištěné bezpečnostní riziko.
■
V případě souborů nebo složek vyberte soubor nebo složku, které chcete
vyloučit, a klepněte na možnost Přidat.
U složek označte nebo zrušte označení možnosti Včetně podsložek.
■
V případě přípon zadejte tu, kterou chcete mezi výjimky přidat.
Do textového pole lze uvést pouze jednu příponu. Zadáte-li více přípon,
klient bude zadné položky považovat za jednu položku (příponu).
■
V případě domén zadejte webovou stránku, kterou chcete z detekce
Download Insight vyloučit.
6
7
V dialogovém okně Výjimky klepněte na tlačítko Zavřít.
Vyloučení složky z prověřování SONAR
1
2
3
klepněte na položku Přidat > Výjimka pro ochranu SONAR > Složka.
4
Vyberte složku, kterou chcete vyloučit, označte nebo zrušte označení možnosti
Včetně podsložek a klepněte na tlačítko Přidat.
Pokud místo složky vyberete soubor, klient použije pro potřeby výjimky
nadřazenou složku.
5
Změna způsobu, jakým všechna prověřování nakládají s aplikací
1
2
3
klepněte na položku Přidat > Výjimka aplikace.
4
Vyberte název souboru patřící aplikaci
5
V rozevíracím seznamu Akce vyberte položku Ignorovat, Pouze protokol,
Karanténa nebo Ukončit.
6
Klepněte na tlačítko Přidat.
7
Správa souborů v klientském počítači uložených do
karantény
Podle výchozího nastavení se aplikace Symantec Endpoint Protection pokusí po
zjištění infikovaného souboru přítomný virus odstranit. Pokud soubor nelze
vyčistit, aplikace ho uloží do karantény v počítači. V případě bezpečnostních rizik
se aplikace pokusí infikované soubory přesunout do karantény a napravit
způsobené škody. Uložení souborů do karantény mohou provádět také funkce
Download Insight a SONAR.
Tab. 4-9
Úloha
Popis
Umožňuje soubor v karanténě obnovit Vyčištěný soubor občas nelze vrátit do původního
do původního umístění
umístění. E-mail může být například zbaven
infikované přílohy a umístěn do Karantény.
Soubor je nutné uvolnit a zadat umístění.
Ruční uložení položky do karantény
Soubor můžete do karantény vložit ručně jeho
přímým přidáním nebo výběrem v protokolu virů
a spywaru nebo funkce SONAR.
Viz „Umístění souboru do karantény z protokolu
rizika nebo prověřování“ na straně 92.
89
90
Úloha
Popis
Trvalé odstranění souborů uložených
v karanténě
Soubory, které již v Karanténě nepotřebujete,
můžete ručně odstranit. Můžete rovněž nastavit
časový interval, ve kterém budou soubory
odstraněny automaticky.
Poznámka: Váš správce může stanovit maximální
počet dní, po které budou moci položky zůstat v
Karanténě. Po uplynutí tohoto limitu budou
položky z Karantény vymazány automaticky.
Po obdržení nových definic soubory v
karanténě znovu prověřte
Provedete-li aktualizaci definic, soubory v
Karanténě mohou být prověřeny, vyčištěny nebo
obnoveny automaticky. U některých souborů se
zobrazí průvodce opravami. Postupujte podle
pokynů na obrazovce a dokončete proces
opětovného prověřování a opravy.
Infikované soubory v Karanténě můžete také
znovu prověřit ručně.
Export informací o karanténě
Můžete exportovat obsah karantény do souboru
s hodnotami oddělenými čárkami (.csv) nebo do
souboru databáze aplikace Microsoft Access
(.mdb).
Odeslání infikovaných souborů v
karanténě na středisko Symantec
Security Response
Po provedení opětovného prověření položek v
karanténě můžete soubor, který je nadále
infikován, odeslat na další analýzu na středisko
Symantec Security Response.
Viz „Ruční odeslání potenciálně infikovaného
souboru do systému Symantec Security Response
k analýze“ na straně 92.
Vymazání zálohovaných položek
Před vyčištěním nebo opravou infikovaných
položek vytvoří klient ve výchozím nastavení
jejich záložní kopie. Po úspěšném odstranění viru
můžete ručně odstranit položku z Karantény,
protože záloha je stále infikovaná.
Úloha
Popis
Automatické odstranění souborů z
karantény
Klienta můžete nastavit tak, aby po uplynutí
stanoveného časového intervalu odstraňoval
položky z karantény automaticky. Také můžete
nastavit, aby klient odstraňoval položky, když
složka s uloženými položkami dosáhne určité
velikosti. Tato konfigurace zabraňuje
nahromadění souborů, které můžete zapomenout
ručně odstranit z těchto částí.
Viz „Automatické odstraňování souborů z
Karantény“ na straně 93.
Umístění souborů do karantény
Přesune-li klient infikovaný soubor do karantény, virus nebo riziko se nebudou
moci samy kopírovat a infikovat jiné soubory na vašem počítači nebo jiných
počítačích v síti. Avšak přesunutím do Karantény riziko neodstraníte. Riziko
zůstane v počítači do té doby, dokud jej klient neodstraní ze souboru nebo
neodstraní soubor. K souboru nemáte přístup. Soubor ale můžete z karantény
odebrat.
Během aktualizace nových definic virů klient automaticky kontroluje karanténu.
Položky v karanténě můžete znovu prověřit. Nejnovější definice mohou vymazat
nebo opravit dříve uložené soubory do karantény.
Do Karantény lze umisťovat viry. Viry spouštěcího záznamu se nacházejí
v záznamovém sektoru nebo v tabulkách oddílů počítače; tyto položky nelze do
karantény přesunout. Klient občas zjistí neznámý virus, který nelze odstranit
pomocí aktuální sady definic virů. Pokud máte soubor, o němž si myslíte, že je
infikovaný, ale prověřování žádnou infekci nenalezne, můžete ho umístit do
karantény.
Poznámka: Jazyk operačního systému, v němž klient pracuje, nemusí být schopný
interpretovat některé znaky v názvech rizik. Nedokáže-li operační systém
interpretovat některé znaky, tyto znaky se v oznámeních zobrazí jako otazníky.
Například názvy rizik ve formátu unicode mohou obsahovat dvoubajtové znaky.
V počítačích, na nichž běží klient v anglickém operačním systému, se tyto znaky
zobrazí jako otazníky.
91
92
Umístění souboru do karantény z protokolu rizika nebo prověřování
V závislosti na předvolené akci, která se má provést při zjištění hrozby, se může
stát, že klient nebude schopen při zjištění vybranou akci provést. K umístění
souboru do karantény později můžete použít protokol rizik nebo protokol
prověřování.
Umístění souboru do karantény z protokolu rizika nebo prověřování
1
V klientovi klepněte na položku Zobrazit protokoly.
2
Vedle položky Ochrana před viry a spywarem klepněte na položku Zobrazit
protokol a potom zvolte Protokol rizik nebo Protokol prověřování.
3
Vyberte soubor, který chcete umístit do karantény, a klepněte na tlačítko
Karanténa.
4
Klepněte na tlačítko OK a poté na tlačítko Zavřít.
Ruční odeslání potenciálně infikovaného souboru do systému Symantec
Security Response k analýze
Odeslání infikované položky ze seznamu karantény do systému Symantec Security
Response. Systém Symantec Security Response tuto položku analyzuje a ujistí se,
že není infikována. Systém Symantec Security Response tato data použije také k
zajištění ochrany před novými hrozbami nebo hrozbami, které teprve vznikají.
Poznámka: Pokud správce tyto typy odesílání zakázal, nebude možnost odeslání
k dispozici.
Odeslání souboru do systému Symantec Security Response z Karantény
1
Na postranním panelu klienta klepněte na položku Zobrazit karanténu.
2
V seznamu položek přesunutých do Karantény vyberte požadovaný soubor.
3
Klepněte na tlačítko Odeslat.
4
Podle pokynů na obrazovce v průvodci shromážděte potřebné informace a
odešlete soubor k analýze.
Informace o odeslání informací o zjištěních hrozbách do střediska Symantec Security Response
Automatické odstraňování souborů z Karantény
Software můžete nastavit tak, aby po uplynutí stanoveného časového intervalu
automaticky odstraňoval položky ze seznamu Karantény. Také můžete nastavit,
aby klient odstraňoval položky, když složka s uloženými položkami dosáhne určité
velikosti. Tato konfigurace zabraňuje nahromadění souborů, které můžete
zapomenout ručně odstranit z těchto částí.
Automatické odstranění souborů z karantény
1
Na postranním panelu klienta klepněte na položku Zobrazit karanténu.
2
Klepněte na položku Možnosti čištění.
3
V dialogovém okně Možnosti čištění vyberte jednu z následujících karet:
■
Uložit položky do karantény
■
Záložní položky,
■
Opravené položky.
4
Zaškrtněte nebo zrušte zaškrtnutí pole Překročení stanovené doby uložení
povolte nebo zakažte uživatelům odstraňovat soubory po vypršení
nastaveného časového období.
5
Zaškrtnete-li pole Překročenístanovenédobyuložení, zadejte nebo klepnutím
na šipku nastavte požadovanou dobu.
6
V rozevíracím seznamu vyberte časovou jednotku. Výchozí hodnota je 30
dnů.
7
Zaškrtnete-li pole Překročení celkové velikosti složky, zadejte maximální
povolenou velikost složky v megabajtech. Výchozí hodnota je 50 megabajtů.
Jsou-li zaškrtnuta obě políčka, jsou nejprve odstraněny soubory starší, než
je nastavená doba. Překračuje-li velikost složky i nadále nastavený limit,
klient jednotlivě odstraní nejstarší soubory. Klient bude odstraňovat nejstarší
soubory, dokud velikost složky nepřestane přesahovat limit.
8
Opakujte krok 4 až 7 pro libovolnou z dalších karet.
9
Informace o odeslání informací o zjištěních hrozbách
do střediska Symantec Security Response
V počítači můžete nastavit automatické odesílání informací o zjištěných hrozbách
na analýzu do střediska Symantec Security Response.
93
94
Informace o odeslání informací o zjištěních hrozbách do střediska Symantec Security Response
Společnost Symantec a síť Global Intelligence Network využívají tyto informace
k rychlému vytvoření ochrany před novými a vyvíjejícími se bezpečnostními
hrozbami. Data odeslaná společnosti Symantec umožňují lépe reagovat na hrozby
a přizpůsobit ochranu ve vašem počítači. Společnost Symantec doporučuje nechat
odesílání informací vždy povolené.
Viz „Klient Symantec Endpoint Protection“ na straně 11.
Můžete si vybrat z následujících typů dat:
■
Informace o souborech zjištěných na základě jejich důvěryhodnosti. Informace
o těchto souborech jsou zařazovány do databáze důvěryhodnosti Symantec
Insight, která pomáhá chránit počítač před novými a vznikajícími riziky.
■
Zjištění antivirové ochrany
Informace o zjištěných hrozbách v rámci prověřování proti výskytu virů a
spywaru.
■
Zjištěné hrozby v rámci pokročilé antivirové heuristické analýzy
Informace o možných hrozbách, které odhalila funkce Bloodhound nebo jiné
prověřování proti výskytu virů a spywaru za pomoci heuristické analýzy.
Tato zjišťování probíhají na pozadí a nezobrazují se v Protokolu rizik. Informace
o těchto zjištěných hrozbách slouží k vytvoření statistiky.
■
Detekce funkce SONAR
Informace o hrozbách zjištěných v rámci prověřování funkcí SONAR, jako jsou
např. zjištění vysokého/nízkého rizika, změny v systému a podezřelé chování
důvěryhodných aplikací.
■
Heuristická analýza funkce SONAR
Heuristická analýza funkce SONAR probíhá na pozadí a nezobrazuje se v
Protokolu rizik. Tato Informace slouží k vytvoření statistiky.
Můžete z karantény ručně odeslat vzorek do systému Response.
Viz „Informace o souborech a aplikacích detekovaných funkcí SONAR“
na straně 99.
Odeslání informací o zjištěních hrozbách do střediska Symantec Security Response
Odeslání informací o zjištěních hrozbách do střediska
Symantec Security Response
Aplikace Symantec Endpoint Protection chrání počítač tak, že sleduje informace,
které do něj přicházejí a které z něj odcházejí, a blokuje pokusy o útok.
V počítači můžete nastavit odesílání informací o zjištěných hrozbách do střediska
Symantec Security Response. Středisko Symantec Security Response tyto
informace využívá k ochraně klientských počítačů před novými, vybranými a
měnícími se hrozbami. Veškerá data odeslaná společnosti Symantec umožňují
lépe reagovat na hrozby a přizpůsobit ochranu ve vašem počítači. Společnost
Symantec doporučuje odesílat co největší objem informací.
Můžete ručně odeslat vzorek do systému Symantec Response ze stránky Karanténa.
Na stránce Karanténa také můžete nastavit způsob, jakým budou informace do
systému Symantec Security Response odesílány.
Viz „Informace o odeslání informací o zjištěních hrozbách do střediska Symantec
Security Response“ na straně 93.
Konfigurace odesílání informací do střediska Symantec Security Response
1
Vyberte položky Změnit nastavení > Správa klienta.
2
Na kartě Odeslané informace zatrhněte položku Umožnit tomuto počítači
automaticky předávat vybrané anonymní bezpečnostní informace
společnosti Symantec. Tato možnost umožňuje produktu Symantec Endpoint
Protection odesílat informace o hrozbách zjištěných v počítači.
Společnost Symantec doporučuje tuto možnost povolit.
3
Vyberte typy informací, které chcete odesílat:
■
Informace o souborech zjištěných na základě jejich důvěryhodnosti.
Informace o těchto souborech jsou zařazovány do databáze důvěryhodnosti
Symantec Insight, která pomáhá chránit počítač před novými a
vznikajícími riziky.
■
Zjištění antivirové ochrany
Informace o zjištěných hrozbách v rámci prověřování proti výskytu virů
a spywaru.
■
Zjištěné hrozby v rámci pokročilé antivirové heuristické analýzy
Informace o možných hrozbách, které odhalila funkce Bloodhound, nebo
jiné prověřování proti výskytu virů a spywaru za pomoci heuristické
analýzy.
95
96
O spolupráci klienta se Střediskem zabezpečení systému Windows
Tato zjišťování probíhají na pozadí a nezobrazují se v Protokolu rizik.
Informace o těchto zjištěných hrozbách slouží k vytvoření statistiky.
4
■
Detekce funkce SONAR
Informace o hrozbách zjištěných v rámci prověřování funkcí SONAR, jako
jsou např. zjištění vysokého/nízkého rizika, změny v systému a podezřelé
chování důvěryhodných aplikací.
■
Heuristická analýza funkce SONAR
Heuristická analýza funkce SONAR probíhá na pozadí a nezobrazuje se v
Protokolu rizik. Tato Informace slouží k vytvoření statistiky.
Povolením možnosti Povolit Vyhledávání Insight pro zjišťování hrozeb
umožníte aplikaci Symantec Endpoint Protection používat databázi hodnocení
společnosti Symantec a činit tak rozhodnutí v případě nalezené hrozby.
Ve výchozím nastavení je vyhledávání Insight povoleno. Společnost Symantec
doporučuje vyhledávání Insight povolit. Zakázáním této funkce dojde k
deaktivaci funkce Download Insight a k možnému omezení efektivity
prověřování funkcí SONAR a vyhledávání Insight.
Pokud však nechcete společnosti Symantec odesílání dotazů Symantec Insight
povolit, můžete tuto volbu zakázat.
O spolupráci klienta se Střediskem zabezpečení
systému Windows
Pokud ke sledování stavu zabezpečení používáte Středisko zabezpečení systému
Windows (WSC) v systému Windows XP s aktualizací Service Pack 2, můžete
zobrazit stav Symantec Endpoint Protection ve Středisku zabezpečení.
Tab. 4-10 znázorňuje vytváření zpráv o stavu ochrany proti virům ve Středisku
zabezpečení.
Tab. 4-10
Vytváření zpráv o stavu ochrany ve Středisku zabezpečení
Stav produktu Symantec
Stav ochrany
Aplikace Symantec Endpoint Protection není nainstalována.
NENALEZENO (červená)
Aplikace Symantec Endpoint Protection je nainstalována s plnou ZAPNUTO (zelená)
ochranou.
Aplikace Symantec Endpoint Protection je nainstalována, definice ZASTARALÉ (červená)
virů a bezpečnostních rizik jsou zastaralé.
Stav ochrany
Aplikace Symantec Endpoint Protection je nainstalována a funkce VYPNUTO (červená)
Auto-Protect souborového systému není povolena.
Aplikace Symantec Endpoint Protection funkce Auto-Protect
souborového systému není povolena a definice virů a
bezpečnostních rizik jsou zastaralé.
VYPNUTO (červená)
Aplikace Symantec Endpoint Protection je nainstalována a funkce VYPNUTO (červená)
Rtvscan je ručně vypnuta.
Tab. 4-11 znázorňuje vytváření zpráv o stavu brány firewall Symantec Endpoint
Protection ve Středisku zabezpečení.
Tab. 4-11
Vytváření zpráv o stavu brány firewall ve Středisku zabezpečení
Stav brány firewall
Brána Symantec firewall není nainstalována.
NENALEZENO (červená)
Brána Symantec firewall je nainstalována a povolena.
ZAPNUTO (zelená)
Brána Symantec firewall je nainstalována, avšak není povolena. VYPNUTO (červená)
Brána Symantec firewall není nainstalována ani povolena, avšak ZAPNUTO (zelená)
je nainstalována a povolena brána firewall třetích stran.
Poznámka: V aplikaci Symantec Endpoint Protection je ve výchozím nastavení
brána Windows firewall zakázána.
Pokud je povolena více než jedna brána firewall, vygeneruje Středisko zabezpečení
zprávu, že je nainstalováno a povoleno více bran firewall.
Správa funkce SONAR je součástí aktivní ochrany před hrozbami. V případě
spravovaných klientů může správce některá z těchto nastavení uzamknout.
Viz „Informace o typech prověřování“ na straně 63.
97
98
Tab. 4-12
Úloha
Popis
Ujistěte se, že je funkce SONAR
povolena
K zajištění co nejvyšší ochrany klientského
počítače je vhodné funkci SONAR povolit. Funkce
SONAR je ve výchozím nastavení povolena.
Funkci SONAR povolíte zapnutím aktivní ochrany
před hrozbami.
Viz „Povolení nebo zakázání ochrany“
na straně 42.
Ujistěte se, že je vyhledávání Insight
povoleno.
Funkce SONAR využívá k rozhodování data s
hodnocením i prověřování pomocí heuristické
analýzy. Pokud vyhledávání Insight (dotazy na
hodnocení) zakážete, funkce SONAR bude
provádět detekci pouze heuristickou analýzou.
Počet falešných poplachů se může zvýšit a úroveň
zabezpečení poskytovaná funkcí SONAR nemusí
být vždy dostačující.
Viz „Odeslání informací o zjištěních hrozbách do
střediska Symantec Security Response“
na straně 95.
Změna nastavení funkce SONAR
Funkci SONAR můžete povolit či zakázat. Můžete
také upravit akce, které budou při zjištění
některých typů hrozeb v rámci prověřování funkcí
SONAR provedeny. Pokud chcete snížit počet
planých poplachů, můžete změnit akce prováděné
při zjištění hrozby.
Viz „Změna nastavení funkce SONAR“
na straně 100.
Vytvoření výjimek pro aplikace, u
kterých si jste jisti jejich neškodností
Funkce SONAR může určité soubory nebo
aplikace, které chcete na počítači spustit,
považovat za hrozby. Pro tyto aplikace nebo
složky můžete vytvořit výjimku. Můžete také
vytvořit výjimky pro ukládání do karantény.
Viz „Vyloučení položek z prověřování“
na straně 87.
Úloha
Popis
Odeslání informací o zjištěních
hrozbách prostřednictvím funkce
SONAR do střediska Symantec Security
Response
Společnost Symantec doporučuje informace o
zjištěných hrozbách odesílat na středisko
Symantec Security Response. Tyto informace
pomáhají pracovníkům společnosti Symantec
zaměřit se na hrozby. Ve výchozím nastavení je
odesílání informací povoleno.
Viz „Odeslání informací o zjištěních hrozbách do
střediska Symantec Security Response“
na straně 95.
Informace o funkci SONAR
Funkce SONAR poskytuje ochranu v reálném čase, která umožňuje odhalit
potenciálně škodlivé aplikace při jejich spuštění v počítači. Funkce SONAR
umožňuje odhalit hrozbu dříve, než dojde k vytvoření tradičních definic virů a
spywaru, a nabízí tak ochranu i před nejnovějšími hrozbami.
Funkce SONAR využívá k odhalení nových a neznámých hrozeb jak heuristickou
metodu, tak data s hodnocením. Funkce SONAR poskytuje další úroveň ochrany
vašeho počítače a doplňuje vaši stávající ochranu před viry a spywarem, prevenci
narušení a bránu firewall.
Poznámka: Funkce Auto-Protect také používá typ heuristiky označované jako
Bloodhound pro detekci podezřelého chování v souborech.
Viz „Informace o souborech a aplikacích detekovaných funkcí SONAR“
na straně 99.
Informace o souborech a aplikacích detekovaných funkcí SONAR
Funkce SONAR používá heuristickou analýzu využívající bezpečnostní síť
společnosti Symantec on-line a umožňuje v počítači odhalit nové hrozby díky
aktivnímu sledování místních aktivit. Funkce SONAR zároveň kontroluje změny
a chování v počítači, které je vhodné sledovat.
Funkce SONAR nerozhoduje podle typu aplikace, ale podle chování procesu. Funkce
SONAR provede vhodnou akci pouze v případě, že se aplikace (nehledě na konkrétní
typ chování) chová škodlivě. Pokud například trojský kůň nebo keylogger
nevykazuje škodlivé chování, prověřování funkcí SONAR jej nezjistí.
Prověřování SONAR umožňuje odhalit následující položky:
99
100
Hrozby podle heuristické analýzy
Funkce SONAR pomocí heuristické analýzy
kontroluje, zda se neznámý soubor chová
podezřele a zda představuje vysoké nebo nízké
riziko. K určení vysokého nebo nízkého rizika
využívá také data s hodnocením.
Změny v systému
Funkce SONAR dokáže odhalit soubory nebo
aplikace, které se pokouší o změnu nastavení
serveru DNS nebo hostitelského souboru na
klientském počítači.
Důvěryhodné aplikace vykazující
podezřelé chování
Některé prověřené soubory mohou vykazovat
podezřelé chování. Funkce SONAR tyto soubory
odhalí a uvede je v rámci událostí podezřelého
chování. Např. důvěryhodná aplikace ke sdílení
dokumentů může vytvářet spustitelné soubory.
Pokud funkci Auto-Protect zakážete, omezíte tím schopnost funkce SONAR
rozhodovat v otázce souborů představujících vysoké nebo nízké riziko. Zakážete-li
vyhledávání Insight (odesílání dotazů na hodnocení), schopnost funkce SONAR
zjišťovat hrozby bude dále omezena.
Pokud chcete snížit počet planých poplachů, můžete změnit akce prováděné funkcí
SONAR. Můžete také upravit upozornění zobrazovaná v rámci hrozeb zjištěných
heuristickou analýzou funkce SONAR.
Poznámka: V případě spravovaných klientů může správce tato nastavení
uzamknout.
1
2
Vedle položky Aktivní ochrana před hrozbami klepněte na možnost
Konfigurovat nastavení
3
Na kartě SONAR změňte akce prováděné v případě zjištění vysokého nebo
nízkého rizika pomocí heuristické analýzy.
U hrozeb představujících nízké riziko můžete povolit agresivní režim. Tato
nastavení zvyšují citlivost funkce SONAR v oblasti nízkého rizika. Může však
dojít ke zvýšení počtu falešných poplachů.
4
Podle potřeby můžete upravit nastavení upozornění.
5
Na kartě Zjišťování podezřelého chování změňte akce prováděné v případě
zjištěného vysokého nebo nízkého rizika. Funkce SONAR tak rozhoduje vždy,
když projeví prověřené soubory chování, které je považováno za podezřelé.
6
Na kartě System Change Events (Případy změny v systému) změňte akci,
která bude provedena v případě, kdy je v rámci prověřování zjištěna změna
nastavení serveru DNS nebo hostitelského souboru.
7
101
102
Kapitola
5
Správa brány firewall a
prevence narušení
■
■
Správa ochrany pomocí brány firewall
■
Konfigurace nastavení brány firewall
■
Povolení nebo blokování aplikací
■
Zobrazení činnosti v síti
■
Pravidla brány firewall v klientovi
■
Informace o pořadí zpracování pravidla brány firewall, nastavení brány firewall
a prevence narušení
■
Změna pořadí pravidel brány firewall
■
Způsob, kterým brána firewall využívá stavovou inspekci
■
Prvky pravidla brány firewall
■
Nastavení pravidel brány firewall
■
Správa prevence narušení
■
Způsob fungování prevence narušení
■
Povolení nebo zakázání prevence narušení
■
Konfigurace upozornění prevence narušení
104
Správa brány firewall a prevence narušení
Klient aplikace Symantec Endpoint Protection nabízí ochranu před síťovými
hrozbami sledující informace, které do počítače přicházejí a odcházejí z něj, a
blokuje pokusy o útoky ze sítě.
Tab. 5-1 popisuje funkce aplikace Symantec Endpoint Protection, které můžete
použít ke správě ochrany před síťovými hrozbami.
Tab. 5-1
Funkce ochrany před síťovými hrozbami
Nástroj
Popis
Brána firewall
Brána firewall zabraňuje neoprávněným uživatelům v přístupu
k počítači a sítím připojeným k Internetu. Brána firewall dokáže
zjistit možné útoky hackerů, chrání osobní údaje a eliminuje
nežádoucí zdroje síťového provozu. Brána firewall povoluje nebo
blokuje příchozí a odchozí provoz.
Viz „Jak funguje brána firewall“ na straně 106.
Systém prevence
narušení
Systém prevence narušení (IPS) automaticky zjišťuje a blokuje
síťové útoky. Systém prevence narušení prověřuje každý paket
přicházející či odcházející z počítače kvůli signaturám útoku.
Systém IPS využívá rozsáhlý seznam signatur útoku, pomocí
kterého zjišťuje a blokuje podezřelé činnosti v síti. Společnost
Symantec poskytuje seznamy známých hrozeb, které lze u klienta
aktualizovat pomocí služby Symantec LiveUpdate. Modul
Symantec IPS a odpovídající řada signatur IPS jsou na klientovi
instalovány standardně.
Viz „Způsob fungování prevence narušení“ na straně 135.
Viz „Správa prevence narušení“ na straně 134.
Podle výchozího nastavení povoluje brána firewall veškerý příchozí a odchozí
síťový provoz. Bránu firewall můžete nastavit tak, aby povolila či zakázala určitý
typ síťového provozu.
Správce určuje úroveň komunikace s klientem tím, že vám povolí možnost
konfigurace pravidel a nastavení brány firewall. Správce může zavést taková
pravidla, že s klientem budete moci komunikovat pouze v případě, že zobrazí
upozornění na nová síťová připojení a možné potíže. Od správce můžete také
získat plný přístup k uživatelskému rozhraní.
Tab. 5-2 zobrazuje úkon brány firewall, který můžete k ochraně počítače provést.
Všechny tyto možnosti jsou volitelné a pořadí jejich provedení je libovolné.
Tab. 5-2
Úloha
Popis
Přečtěte si, jak
funguje brána
firewall
Naučte se, jak brána firewall chrání počítač před síťovými útoky.
Úprava nastavení
brány firewall
Spolu s možností vytváření pravidel brány firewall můžete také
povolit či zakázat určitá její nastavení a zvýšit tak zabezpečení, které
brána firewall poskytuje.
Viz „Konfigurace nastavení brány firewall“ na straně 107.
Zobrazení protokolů Máte možnost pravidelně kontrolovat stav ochrany branou firewall
brány firewall
a získat tak následující informace:
■
pravidla brány firewall, která jste vytvořili, fungují správně,
■
klient zablokoval všechny síťové útoky,
■
klient zablokoval některou aplikaci, která se podle vás měla
spustit.
Stav ochrany branou firewall můžete ověřit pomocí protokolu
provozu a protokolu paketů.
Poznámka: Ve výchozím nastavení je protokol paketů pro
spravované klienty vypnutý.
Konfigurovat
nastavení aplikace
Úpravou nastavení aplikace můžete zvýšit zabezpečení svého
počítače. Aplikace je software navržený tak, aby uživateli usnadnil
provádění určité úlohy. Aplikací je například prohlížeč Microsoft
Internet Explorer. Nastavení brány firewall poskytuje kontrolu nad
tím, které aplikace mají přístup k síti.
Viz „Povolení nebo blokování aplikací“ na straně 120.
Sledování činnosti v Můžete zobrazit informace o příchozím a odchozím provozu klienta.
síti
Také je možné zobrazit seznam aplikací a služeb spuštěných od
spuštění služby klienta.
Viz „Zobrazení činnosti v síti“ na straně 124.
105
106
Úloha
Popis
Přidání a
přizpůsobení
pravidel brány
firewall
Spolu s možností úpravy nastavení brány firewall můžete upravit i
její výchozí pravidla a zvýšit tak zabezpečení, které brána firewall
poskytuje. Můžete také nová pravidla vytvářet. Můžete třeba chtít
zablokovat aplikaci, která by podle vás neměla na počítači běžet,
například aplikaci adware.
Viz „Pravidla brány firewall v klientovi“ na straně 125.
Viz „Nastavení pravidel brány firewall“ na straně 131.
Viz „Povolení a zakázání pravidel brány firewall“ na straně 133.
Povolení nebo
zakázání brány
firewall
Ochranu před síťovými hrozbami můžete dočasně z důvodů řešení
potíží zakázat. Její zakázání může být například zapotřebí ke spuštění
určité aplikace.
Viz „Povolení nebo zakázání ochrany v klientském počítači“
na straně 43.
Jak funguje brána firewall
Brána firewall slouží k následujícímu:
■
Zabraňuje všem neoprávněným uživatelům v přístupu k počítačům a sítím ve
vaší společnosti připojeným k Internetu
■
Sleduje komunikaci mezi počítačem a ostatními počítači na Internetu
■
Vytváří štít, který povoluje nebo blokuje pokusy o přístup k informacím ve
vašich počítačích
■
Varuje vás, pokud dojde k pokusům o připojení z jiných počítačů
■
Upozorňuje vás na pokusy o připojení od aplikací ve vašem počítači, které se
připojují k jiným počítačům
Brána firewall kontroluje datové pakety, které se šíří po Internetu. Paket je
samostatná dávka dat, která je součástí informačního toku mezi dvěma počítači.
Pakety se v místě doručení opět sestavují, aby působily jako nepřerušovaný proud
dat.
Pakety obsahují informace o těchto údajích:
■
odesílajících počítačích,
■
zamýšlených příjemcích,
■
způsobu zpracování datového paketu,
■
portech, které pakety přijímají.
Porty jsou kanály, které rozdělují proud dat, který přichází z Internetu. Aplikace,
které běží na počítači, u těchto portů naslouchají. Aplikace přijímají data, která
jsou odeslána na porty.
Síťové útoky využívají slabých míst u zranitelných aplikací. Útočníci používají
tato slabá místa, aby na porty odesílali pakety obsahující nebezpečný programový
kód. Pokud zranitelné aplikace na portech naslouchají, nebezpečný kód umožní
útočníkům získat přístup do počítače.
Tab. 5-3 popisuje typy nastavení brány firewall, které můžete zadat a přizpůsobit
tak zabezpečení branou firewall.
Pokud se daná nastavení nenacházejí v uživatelském rozhraní nebo není možné
je upravit, pak vám správce neposkytl odpovídající oprávnění k jejich konfiguraci.
Provádění úprav nastavení brány firewall je volitelné a pořadí jejich provedení je
libovolné.
Tab. 5-3
Nastavení brány firewall
Kategorie
Popis
Provoz a režim stealth
webového prohlížeče
Můžete povolit různá nastavení provozu a nastavení režimu
procházení stealth, a tak chránit klienta před určitými typy
síťových útoků. Můžete povolit nastavení provozu, které
zjišťuje a blokuje provoz komunikující prostřednictvím
ovladačů, protokolu NetBIOS a token ring. Můžete
konfigurovat nastavení zjišťující provoz, který používá
nenápadnější formy útoků. Můžete také řídit chování pro
provoz IP, který neodpovídá pravidlům brány firewall.
Viz „Povolení provozu a nastavení režimu procházení
stealth“ na straně 108.
107
108
Kategorie
Popis
Vestavěná pravidla pro
důležité síťové služby
Aplikace Symantec Endpoint Protection obsahuje vestavěná
pravidla umožňující normální výměnu dat mezi určitými
důležitými síťovými službami. Vestavěná pravidla slouží k
náhradě pravidel brány firewall, která tyto služby výslovně
povolují. Během zpracování se tato vestavěná pravidla
vyhodnotí před hodnocením pravidel brány firewall, což
znamená, že jsou povoleny pakety, které odpovídají
aktivnímu výskytu vestavěného pravidla. Vestavěné pravidla
se dají definovat pro služby DHCP, DNS a WINS.
Viz „Automatické povolení komunikace pro důležité síťové
služby“ na straně 114.
Síťové soubory a sdílení tisku Na klientském počítači můžete povolit sdílení souborů nebo
procházet sdílené soubory a tiskárny v místní síti. Chcete-li
se chránit před útoky ze sítě, můžete sdílení souborů a
tiskáren zakázat.
Viz „Povolení sdílení souborů a tiskáren v síti“ na straně 115.
Blokování útoků z počítačů
Jestliže klient Symantec Endpoint Protection zjistí síťový
útok, automaticky zablokuje příslušné připojení, aby zajistil
bezpečnost klientského počítače. Klient zapne aktivní
odpověď. Klient poté automaticky blokuje po nastavenou
dobu veškerou komunikaci s adresou IP útočícího počítače.
Adresa IP útočícího počítače je blokována pro jediné
umístění.
Viz „Blokování a odblokování útočícího počítače“
na straně 117.
Povolení provozu a nastavení režimu procházení stealth
Můžete povolit různá nastavení provozu a nastavení režimu procházení stealth,
a tak chránit klienta před určitými typy síťových útoků. Můžete povolit nastavení
provozu, které zjišťuje a blokuje provoz komunikující prostřednictvím ovladačů,
protokolu NetBIOS a token ring. Můžete konfigurovat nastavení zjišťující provoz,
který používá nenápadnější formy útoků. Můžete také řídit chování pro provoz
IP, který neodpovídá pravidlům brány firewall.
Poté, co brána firewall dokončí určité operace, je řízení předáno několika
součástem. Každá součást je vytvořena pro provedení odlišného typu analýzy
paketů.
Nastavení povolení provozu a nastavení režimu stealth webového prohlížeče
1
2
Klepněte na tlačítko Konfigurovat nastavení vedle možnosti Ochrana před
síťovými hrozbami.
3
Na kartě Firewall v části Nastavení provozu označte políčka u funkcí, které
chcete používat:
Povolit ochranu NetBIOS
Zablokuje provoz protokolu NetBIOS z externí brány.
Můžete používat sdílení souborů a tiskáren okolních
počítačů v síti LAN a chránit počítač před zneužitím
protokolu NetBIOS z jakékoli externí sítě. Tato možnost
blokuje pakety protokolu NetBIOS pocházející z adres
IP, jež nejsou součástí definovaných interních rozsahů
ICANN. Interní rozsahy ICANN zahrnují adresy IP
10.x.x.x, 172.16.x.x, 192.168.x.x a 169.254.x.x, s
výjimkou podsítí 169.254.0.x a 169.254.255.x. Pakety
protokolu NetBIOS zahrnují UDP 88, UDP 137, UDP
138, TCP 135, TCP 139, TCP 445 a TCP 1026.
Poznámka: Ochrana protokolu NetBIOS může způsobit
problém s aplikací Microsoft Outlook, pokud se klient
připojí k serveru Microsoft Exchange, který se nachází
v jiné podsíti. Můžete vytvořit specifické pravidlo brány
firewall, které povolí přístup k tomuto serveru.
Povolit provoz token ring
Povoluje klientským počítačům připojujícím se k síti
prostřednictvím adaptéru token ring, bez ohledu na
pravidla brány firewall klienta.
Zakážete-li toto nastavení, jakýkoli příchozí provoz z
počítačů připojujících se prostřednictvím adaptéru
token ring nebude mít přístup k podnikové síti. Brána
firewall nefiltruje síťový provoz prostřednictvím
adaptéru token ring. Buď povoluje veškerý provoz
prostřednictvím adaptéru token ring, nebo jej zakazuje.
109
110
Povolit opatření proti
falšování adresy MAC
Povoluje příchozí a odchozí provoz protokolu ARP
(Address Resolution Protocol), pouze pokud byla žádost
protokolu ARP podána specifickému hostiteli. Blokuje
všechen ostatní neočekávaný provoz a zaznamenává
jej v Protokolu zabezpečení.
Někteří hackeři používají falšování adresy MAC k
napadení komunikační relace mezi dvěma počítači.
Adresy MAC (Media Access Control) jsou hardwarové
adresy, které identifikují počítače, servery, směrovače
atd. Pokud počítač A chce komunikovat s počítačem B,
může mu poslat paket protokolu ARP.
Opatření proti falšování adresy MAC chrání počítač
před resetováním tabulky adres MAC neoprávněnou
osobou. Odešle-li počítač zprávu ARP REQUEST, klient
povolí odpovídající zprávu ARP RESPOND v intervalu
10 sekund. Klienti odmítnou všechny nevyžádané
zprávy ARP RESPOND.
Povolení sledování síťových Umožňuje klientovi sledovat změny v síťových
aplikací
aplikacích, které jsou spuštěny v klientském počítači.
Síťové aplikace odesílají a přijímají provoz. Klient
zjišťuje, zda nedošlo ke změně obsahu aplikace.
Blokovat veškerý provoz,
Blokuje veškerý příchozí a ochozí síťový provoz
dokud se nespustí a poté, co klientského počítače, pokud není brána firewall z
se ukončí, brána firewall
nějakého důvodu spuštěna.
Počítač není chráněn v následujících situacích:
Po zapnutí klientského počítače a před spuštěním
služby brány firewall
■ Po zastavení služby brány firewall a vypnutí
klientského počítače
■
Tento časový interval je malou bezpečnostní dírou,
která může povolit neautorizovanou komunikaci. Toto
nastavení brání neautorizovaným aplikacím v
komunikaci s jinými počítači.
Poznámka: Je-li zakázána Ochrana před síťovými
hrozbami, klient toto nastavení ignoruje.
Povolit zjištění útoku DoS
Pokud je toto nastavení povoleno, aplikace Symantec
Endpoint Protection určuje známé útoky založené na
více paketech bez ohledu na číslo nebo typ
internetového protokolu.
Neschopnost zjišťovat tento typ hrozeb je omezením
systémů detekce a prevence narušení na základě
signatury.
Povolit zjištění prověřování
portů
Pokud je toto nastavení povoleno, aplikace Symantec
Endpoint Protection sleduje všechny příchozí pakety
blokované pravidly zabezpečení. Pokud během
krátkého období zablokovalo pravidlo více různých
paketů na různých portech, aplikace Symantec
Endpoint Protection vygeneruje položku v protokolu
zabezpečení.
V rámci prohledávání portů žádné pakety blokovány
nejsou. Dojde-li k prohledávání portů, je třeba vytvořit
zásady zabezpečení pro blokování provozu.
111
112
4
Na kartě Nastavení neodpovídajícího IP provozu označte políčka u funkcí,
které chcete povolit.
Tyto možnosti řídí příchozí a odchozí provoz IP, který neodpovídá pravidlům
brány firewall. Provoz IP zahrnuje datové pakety, které procházejí sítěmi IP
a které používají protokoly TCP, UDP a ICMP. Typy provozu IP jsou aplikace,
výměny mailů, přenosy souborů, programy ping a webová odesílání.
Můžete vybrat jedno či více následujících nastavení provozu IP:
Povolit provoz IP
Povoluje veškerý přichozí a odchozí provoz, pokud
pravidla brány firewall nestanoví jinak. Například
pokud přidáte pravidlo brány firewall, které blokuje
provoz VPN, povolí brány firewall veškerý jiný provoz
mimo provozu VPN.
Povolit pouze provoz aplikací Povolí provoz k aplikacím a z nich a zablokuje provoz,
který nesouvisí s žádnou aplikací. Například brána
firewall povolí program Internet Explorer, ale zablokuje
provoz VPN, pokud pravidlo nestanoví jinak.
Upozornit před povolením
provozu aplikace
Zobrazí zprávu, která se dotáže, jestli aplikaci povolit
nebo zablokovat. Například můžete chtít vybrat, jestli
soubory médií blokovat nebo ne. Nebo můžete chtít
skrýt vysílání z procesu NTOSKRNL.DLL. Proces
NTOSKRNL.DLL může naznačovat přítomnost spywaru,
protože spyware provoz NTOSKRNL.DLL často stahuje
a instaluje.
5
Na kartě Nastavení režimu Stealth označte políčka u funkcí, které chcete
povolit:
Povolit změnu posloupnosti Brání narušiteli v podvržení nebo falšování adresy IP
portů TCP
jednotlivce.
Hackeři používají zfalšované adresy IP k napadení
komunikační relace mezi dvěma počítači, jako jsou
počítače A a B. Hacker může odeslat datový paket, který
způsobí, že počítač A přestane komunikovat. Potom
může hacker předstírat, že je počítač A a komunikovat
s počítačem B a zaútočit na něj. Aby byl počítač
ochráněn, změna posloupnosti portů TCP náhodně
uspořádá pořadová čísla TCP.
Poznámka: Maskování otisku operačního systému
pracují nejlépe, je-li povolena změna posloupnosti
portů TCP.
Varování: Změna posloupnosti portů TCP mění
pořadová čísla TCP, když je spuštěna klientská služba.
Pořadové číslo je jiné, když je služba spuštěna a když
není spuštěna. Proto se síťová připojení ukončí, pokud
službu brány firewall zastavíte nebo spustíte. Pakety
TCP/IP používají ke komunikaci s dalšími počítači
posloupnost čísel relací. Když není klient spuštěn,
používá klientský počítač číselné schéma systému
Windows. Když je klient spuštěn a změna posloupnosti
portů TCP je povolena, použije klient jiné číselné
schéma. Jestliže je klientská služba náhle ukončena,
číselné schéma se vrátí zpět na číselné schéma systému
Windows a systém Windows následně pakety provozu
zahodí. Změna posloupnosti TCP může mít také potíže
s kompatibilitou s některými kartami NIC, které
způsobují, že klient blokuje veškerý příchozí i odchozí
provoz.
113
114
Povolit procházení webu v
režimu stealth
Zjišťuje provoz HTTP z webového prohlížeče na všech
portech a odstraňuje tyto informace: název prohlížeče
a číslo verze, operační systém a referenční webovou
stránku. Brání webovým stránkách v zjišťování, jaký
operační systém a prohlížeč počítač používá. Nezjišťuje
provoz prostřednictvím protokolu HTTPS (připojení
SSL).
Varování: Procházení webu v režimu Stealth může
způsobit nesprávnou činnost některých webových
stránek. Některé webové servery vytvářejí webové
stránky založené na informacích o webovém prohlížeči.
Protože tato možnost odebírá informace o prohlížeči,
některé webové stránky se nemusí zobrazovat správně.
Procházení webu v režimu Stealth odebere signaturu
prohlížeče s názvem HTTP_USER_AGENT z hlavičky
požadavku HTTP a nahradí ji obecnou signaturou.
Povolit maskování
neopakovatelného
identifikátoru operačního
systému
Brání zjišťování operačního systému klientského
počítače. Klient změní hodnotu TTL a identifikační
hodnotu paketů TCP/IP, aby bylo zabráněno
identifikaci operačního systému.
Poznámka: Maskování neopakovatelného
identifikátoru operačního systému pracují nejlépe, je-li
povolena změna posloupnosti portů TCP.
Varování: Změna posloupnosti TCP může mít potíže
s kompatibilitou s některými kartami NIC, které
způsobují, že klient blokuje veškerý příchozí i odchozí
provoz.
6
Viz „Blokování provozu“ na straně 118.
Automatické povolení komunikace pro důležité síťové služby
Aplikace Symantec Endpoint Protection obsahuje vestavěná pravidla umožňující
normální výměnu dat mezi určitými důležitými síťovými službami. Vestavěná
pravidla slouží k náhradě pravidel brány firewall, která tyto služby výslovně
povolují. Během zpracování se tato vestavěná pravidla vyhodnotí před hodnocením
pravidel brány firewall, což znamená, že jsou povoleny pakety, které odpovídají
aktivnímu výskytu vestavěného pravidla. Vestavěné pravidla se dají definovat
pro služby DHCP, DNS a WINS.
Filtry vestavěných pravidel povolují vstup paketu jen je-li proveden požadavek.
Pakety neblokují. Pakety jsou povolovány nebo blokovány pravidly brány firewall.
1
2
3
Na kartě Firewall v části Built-in Rules (Vestavěná pravidla) označte jednu
či více z následujících možností:
4
■
Povolit Smart DHCP
■
Povolit Smart DNS
■
Povolit Smart WINS
Viz „Povolení provozu a nastavení režimu procházení stealth“ na straně 108.
Povolení sdílení souborů a tiskáren v síti
Na klientském počítači můžete povolit sdílení souborů nebo procházet sdílené
soubory a tiskárny v místní síti. Chcete-li se chránit před útoky ze sítě, můžete
sdílení souborů a tiskáren zakázat.
Sdílení souborů a tiskáren v síti lze povolit následujícími způsoby:
Automaticky povolit
nastavení sdílení souborů a
tiskáren na kartě Síťový
provoz systému Microsoft
Windows.
Toto nastavení je potlačeno v případě, že existuje pravidlo
brány firewall pro blokování takového provozu.
Automatické povolení sdílení souborů a tiskáren v síti
Sdílení souborů a tiskáren
Pokud potřebujete větší flexibilitu než poskytují stávající
v síti ručně povolíte přidáním nastavení, můžete přidat pravidla brány firewall. Například,
pravidel brány firewall.
pokud vytváříte pravidlo, můžete určit určitého hostitele
namísto všech hostitelů. Pravidla brány firewall umožňují
přistupovat k portům a procházet a sdílet soubory a tiskárny.
Chcete-li, aby klientský počítač mohl sdílet soubory, vytvořte
jednu sadu pravidel brány firewall. Chcete-li, aby klientský
počítač mohl procházet ostatní soubory a tiskárny, vytvořte
druhou sadu pravidel brány firewall.
Ruční povolení klientům procházet soubory a tiskárny
Ruční povolení procházet soubory v klientovi ostatním
počítačům
115
116
Automatické povolení sdílení souborů a tiskáren v síti
1
V postranním panelu klienta klepněte na položku Změnit nastavení.
2
3
Na kartě Microsoft Windows Networking (Sítě systému Microsoft Windows)
v části Nastavení klepněte na rozevírací nabídku a vyberte adaptér, u kterého
chcete tato nastavení použít.
4
Pokud chcete vyhledat další počítače a tiskárny v síti, klepněte na položku
Procházet soubory a tiskárny v síti.
5
Chcete-li ostatním počítačům povolit procházení souborů na svém počítači,
klepněte na položku Sdílet soubory a tiskárny s ostatními uživateli v síti.
6
Ruční povolení klientům procházet soubory a tiskárny
1
V klientovi klepněte na postranním panelu na položku Stav.
2
Vedle možnosti Nastavení ochrany před síťovými hrozbami klepněte na
položku Možnosti > Konfigurovat pravidla brány firewall.
3
V dialogovém okně Konfigurovat pravidla brány firewall klepněte na tlačítko
Přidat.
4
Na kartě Obecné zadejte název pravidla a potom klepněte na položku Povolit
tento provoz.
5
Na kartě Porty a protokoly v rozevíracím seznamu Protokol klepněte na
možnost TCP.
6
V rozevíracím seznamu Vzdálené porty zadejte hodnoty 88, 135, 139, 445.
7
8
Přidat.
9
tento provoz.
10 Na kartě Porty a protokoly v rozevíracím seznamu Protokol klepněte na
možnost UDP.
11 V rozevíracím seznamu Vzdálené porty zadejte hodnotu 88.
12 V rozevíracím seznamu Místní porty zadejte hodnoty 137, 138.
Ruční povolení procházet soubory v klientovi ostatním počítačům
1
2
3
Přidat.
4
tento provoz.
5
Na kartě Porty a protokoly v rozevíracím seznamu Protokol klepněte na
možnost TCP.
6
V rozevíracím seznamu Místní porty zadejte hodnoty 88, 135, 139, 445.
7
8
Přidat.
9
tento provoz.
10 Na kartě Porty a protokoly v rozevíracím seznamu Protokol klepněte na
možnost UDP.
11 V rozevíracím seznamu Místní porty zadejte hodnoty 88, 137, 138.
Blokování a odblokování útočícího počítače
Jestliže klient Symantec Endpoint Protection zjistí síťový útok, automaticky
zablokuje příslušné připojení, aby zajistil bezpečnost klientského počítače. Klient
aktivuje aktivní odpověď, která automaticky blokuje veškerou komunikaci s adresou
IP útočícího počítače po nastavenou dobu. Adresa IP útočícího počítače je blokována
pro jediné umístění.
Adresu IP útočícího počítače můžete zobrazit v protokolu zabezpečení. Útok
můžete také odblokovat zastavením aktivní odpovědi v protokolu zabezpečení.
Nechcete-li čekat na odblokování adresy IP za standardně nastavenou dobu,
můžete ji odblokovat okamžitě.
117
118
Blokování útočícího počítače
1
2
3
Na kartě Firewall v části Active Response Settings (Nastavení aktivní
odpovědi) zaškrtněte políčko Počet sekund, po které bude adresa IP útočníka
automaticky blokována a zadejte počet sekund.
Zadejte číslo v rozsahu od 1 do 999 999 sekund. Výchozí nastavení je 600
sekund (10 minut).
4
Odblokování útočícího počítače
1
2
Vedle položky Správa klienta klepněte na položku Zobrazit protokoly >
Protokol zabezpečení.
3
V položce Protokol zabezpečení vyberte řádek, který ve sloupci Typ události
obsahuje hodnotu Aktivní odpověď. Potom klepněte na položku Akce >
Zastavit aktivní odpověď.
Chcete-li odblokovat blokované adresy IP, klepněte na položku Akce > Zastavit
všechny aktivní odpovědi. Odblokujete-li aktivní odpověď, sloupec Typ
události zobrazí informaci o tom, že aktivní odpověď byla zrušena. Jestliže
doba aktivní odpovědi vyprší, ve sloupci Typ události se zobrazí položka
„Odpojení aktivní odpovědi“.
4
V zobrazeném okně zprávy klepněte na tlačítko OK.
5
Blokování provozu
Počítač můžete v následujících situacích nakonfigurovat tak, aby blokoval příchozí
a odchozí provoz:
Když je aktivní spořič
obrazovky počítače.
Počítač můžete nakonfigurovat tak, aby blokoval veškerý
příchozí a odchozí provoz v rámci okolních počítačů, je-li
aktivován spořič obrazovky počítače. Po jeho deaktivaci se
počítač vrátí na původní úroveň zabezpečení.
Blokování provozu, když je aktivní spořič obrazovky počítače
Když se nespustí brána
firewall.
Počítač není chráněn po zapnutí klientského počítače a před
spuštěním služby brány firewall nebo po ukončení služby
brány firewall a před vypnutím počítače. Tento časový
interval je malou bezpečnostní dírou, která může povolit
neautorizovanou komunikaci.
Blokování provozu, když se nespustí brána firewall
Kdykoli, když chcete
Provoz můžete chtít například zablokovat, pokud síť nebo
zablokovat veškerý příchozí podsíť vaší organizace napadl obzvláště destruktivní virus.
a odchozí provoz.
Za normálních podmínek není blokování veškerého provozu
žádoucí.
Poznámka: Váš správce může tuto možnost nakonfigurovat
tak, aby byla nedostupná. Na nespravovaném klientovi
nemůžete blokovat provoz.
Blokování provozu, kdykoli když provoz zablokovat chcete
Provoz můžete povolit zakázáním Ochrany před hrozbami sítě.
Blokování provozu, když je aktivní spořič obrazovky počítače
1
2
Vedle položky Ochrana před síťovými hrozbami klepněte na položku
3
Na kartě Síťový provoz Microsoft Windows v části Režim spořiče obrazovky
klepněte na tlačítko Blokovat síťový provoz Microsoft Windows, je-li spuštěn
spořič obrazovky.
4
Blokování provozu, když se nespustí brána firewall
1
2
3
Na kartě Firewall v části Nastavení provozu klepněte na tlačítko Blokovat
veškerý provoz, dokud se brána firewall nespustí, a poté, co se ukončí.
4
Pokud chcete, můžete klepnout na tlačítko Povolit úvodní provoz DHCP a
NetBIOS.
5
119
120
Blokování provozu, kdykoli když provoz zablokovat chcete
1
V postranním panelu klienta klepněte na položku Stav.
2
Možnosti > Zobrazit činnost v síti.
3
Klepněte na tlačítko Nástroje > Blokovat veškerý provoz.
4
Potvrďte volbu klepnutím na tlačítko Ano.
5
Pokud se chcete vrátit k předchozímu nastavení brány firewall, zrušte
zaškrtnutí možnosti Nástroje > Blokovat veškerý provoz.
Viz „Blokování a odblokování útočícího počítače“ na straně 117.
Aplikace je software, který lze využít k provedení určitých úloh. Aplikací je
například prohlížeč Microsoft Internet Explorer a software iTunes. Můžete klienta
přizpůsobit tak, aby vaši síť ochránil před útoky řízením určitých aplikací.
Následuje popis postupů, které můžete provést a přizpůsobit tak zabezpečení
branou firewall u vašich aplikací. Všechny tyto možnosti jsou volitelné a pořadí
jejich provedení je libovolné:
■
U klienta můžete nastavit, zda si přejete aplikaci povolit nebo zablokovat
přístup na síť.
Viz „Povolení nebo blokování přístupu k síti u aplikací“ na straně 121.
■
Nastavení můžete nakonfigurovat pro aplikaci, která byla spuštěna během
doby od spuštění služby klienta nebo která požádala o povolení přístupu k síti.
Můžete také nakonfigurovat omezení, jako jsou adresy IP a porty, které může
aplikace používat. Můžete zobrazit a změnit akci, kterou klient provede, pro
každou aplikaci, která se pokusí o přístup k síti prostřednictvím síťového
připojení. Konfigurací nastavení pro určitou aplikaci vytvoříte pravidlo brány
firewall založené na aplikaci.
■
Můžete odebrat omezení aplikace, například denní dobu, kdy brána firewall
blokuje aplikaci. Odeberete-li omezení, odstraní se i akce prováděná v aplikaci
klientem. Pokouší-li se aplikace nebo služba znovu o připojení k síti, budete
opět dotázáni, zda ji chcete povolit, nebo blokovat. Běh aplikace nebo služby
můžete také zastavit, dokud se aplikace nepokusí o přístup k obsahu počítače,
například po jeho restartu.
Viz „Odebírání omezení aplikace“ na straně 123.
Povolení nebo blokování přístupu k síti u aplikací
U klienta můžete nastavit, zda si přejete aplikaci povolit nebo zablokovat přístup
na síť.
Tab. 5-4 popisuje akce, které klient provádí v případě síťového provozu.
Tab. 5-4
Akce, které brána firewall provádí při použití aplikací s přístupem
ke klientskému počítači nebo k síti
Akce
Popis
Povolit
Povoluje přístup příchozího provozu k počítači klienta a odchozího provozu
k síti.
Pokud klient přijímá provoz, zobrazuje se v levém dolním rohu ikony malá
modrá tečka. Pokud klient odesílá provoz, zobrazuje se tečka v pravém
dolním rohu ikony.
Blokovat
Blokuje přístup příchozího provozu k počítači klienta a odchozího provozu
k síti.
Dotázat se
Zobrazí se dotaz, zda chcete aplikaci povolit přístup k síti při příštím pokusu
o její spuštění.
Ukončit
Zastavení procesu.
Povolení nebo blokování přístupu k síti u aplikací
1
2
3
V dialogovém okně Činnost v síti v poli Spuštěné aplikace klepněte pravým
tlačítkem na aplikaci nebo službu a potom klepněte na požadovanou možnost.
4
Konfigurace specifických nastavení aplikace
Nastavení můžete nakonfigurovat pro aplikaci, která byla spuštěna během doby
od spuštění služby klienta nebo která požádala o povolení přístupu k síti.
121
122
Můžete nakonfigurovat omezení, jako jsou adresy IP a porty, které může aplikace
používat. Můžete zobrazit a změnit akci, kterou klient provede, pro každou aplikaci,
která se pokusí o přístup k síti prostřednictvím síťového připojení. Konfigurací
nastavení pro určitou aplikaci vytvoříte pravidlo brány firewall založené na
aplikaci.
Poznámka: Nastane-li konflikt mezi pravidlem brány firewall a nastavením
specifickým pro aplikaci, přednost má pravidlo brány firewall. Například pravidlo
brány firewall, které blokuje veškerý provoz mezi 1. a 8. hodinou ranní, potlačí
plán specifické videoaplikace.
Položky v dialogovém okně Síťová aktivita jsou aplikace a služby, které byly
spuštěny po spuštění klienta.
Konfigurace specifických nastavení aplikace
1
2
Vedle položky Nastavení ochrany před síťovými hrozbami klepněte na položky
Možnosti > Zobrazit nastavení aplikace.
3
V dialogovém okně Zobrazit nastavení aplikace vyberte aplikaci, kterou
chcete konfigurovat, a poté klepněte na tlačítko Konfigurovat.
4
V dialogovém okně Konfigurovat nastavení aplikace zadejte do pole
Důvěryhodné adresy IP pro aplikaci adresy IP nebo rozsah adres IP.
5
Ve skupinových polích Porty vzdáleného serveru nebo Místní porty vyberte
port TCP nebo UDP.
6
Chcete-li určit směru provozu, klepněte na jednu nebo obě z následujících
položek:
Povolení odchozího provozu Klepněte na možnost Povolit odchozí připojení.
Povolení příchozího provozu Klepněte na možnost Povolit příchozí připojení.
7
Chcete-li, aby se pravidlo použilo při spuštěném spořiči obrazovky, klepněte
na možnost Povolit, když je spořič obrazovky aktivní.
8
Chcete-li naplánovat dobu, kdy platí a neplatí omezení, klepněte na tlačítko
Povolit plánování.
9
Vyberte jednu z následujících položek:
Nastavení času, po který platí Klepněte na možnost Během období níže.
omezení
Nastavení času, po který
omezení neplatí
Klepněte na možnost Mimo období níže.
10 Nastavte plán.
12 V dialogovém okně Zobrazit nastavení aplikace změňte akci — klepněte
pravým tlačítkem na aplikaci a následně klepněte na možnost Povolit nebo
Blokovat.
Zastavení aplikace nebo služby
1
2
Vedle položky Ochrana před síťovými hrozbami klepněte na položku Možnosti
> Zobrazit činnost v síti.
3
V poli Spuštěné aplikace klepněte pravým tlačítkem na aplikaci a potom
klepněte na tlačítko Ukončit.
4
K potvrzení klepněte na tlačítko Ano a potom na tlačítko Zavřít.
Viz „Přidání pravidla brány firewall“ na straně 132.
Odebírání omezení aplikace
Můžete odebrat omezení aplikace, například denní dobu, kdy brána firewall blokuje
aplikaci. Odeberete-li omezení, odstraní se i akce prováděná v aplikaci klientem.
Pokouší-li se aplikace nebo služba znovu o připojení k síti, budete opět dotázáni,
zda ji chcete povolit, nebo blokovat.
Běh aplikace nebo služby můžete zastavit, dokud se aplikace nepokusí o přístup
k obsahu počítače, například po jeho restartu.
Odebrání omezení aplikace
1
2
Vedle položky Ochrana před síťovými hrozbami klepněte na položky
Možnosti > Zobrazit nastavení aplikace.
123
124
3
V dialogovém okně Nastavení zobrazení aplikací proveďte jednu z
následujících akcí:
Odebrání aplikace ze
seznamu.
Vyberte příslušnou aplikaci a klepněte na tlačítko
Odebrat.
Odebrání všech aplikací ze
seznamu.
Klepněte na tlačítko Odebrat vše.
4
Klepněte na tlačítko Ano.
5
Je možné zobrazit informace o příchozím a odchozím provozu počítače. Také je
možné zobrazit seznam aplikací a služeb spuštěných od spuštění služby klienta.
Poznámka: Klient nezjišťuje síťový provoz ze zařízení PDA.
V rámci provozu v síti můžete zobrazit všesměrový i jednosměrný provoz. Při
všesměrovém vysílání jsou pakety posílány na každý počítač v podsíti s výjimkou
vysílajícího. Jednosměrové vysílání probíhá pouze mezi dvěma počítači.
Zobrazení historie síťového provozu
1
2
3
Zobrazení a skrytí služeb systému Windows a všesměrového vysílání
1
2
3
4
V dialogovém poli Činnost v síti klepněte pravým tlačítkem na pole Spuštěné
aplikace a proveďte následující:
Zobrazení nebo skrytí služeb systému
Windows
Označte nebo zrušte označení možnosti
Zobrazit služby systému Windows.
Zobrazení všesměrového provozu
Označte možnost Zobrazit provoz
všesměrového vysílání.
Zobrazení jednosměrného provozu
Zrušte zaškrtnutí možnosti Zobrazit
provoz všesměrového vysílání.
Změna zobrazení informací o aplikaci
1
2
3
V poli Spuštěné aplikace klepněte pravým tlačítkem na aplikaci a potom
klepněte na zobrazení, které chcete zobrazit. Můžete například klepnou na
možnost Podrobnosti.
4
Viz „Povolení nebo blokování přístupu k síti u aplikací“ na straně 121.
Tab. 5-5 obsahuje vhodné informace o pravidlech brány firewall v klientovi.
125
126
Informace o pořadí zpracování pravidla brány firewall, nastavení brány firewall a prevence narušení
Tab. 5-5
Témata pravidel brány firewall v klientovi
Téma
Popis
Informace o způsobu
zpracování pravidel brány
firewall, nastavení a
nastavení prevence narušení
Se znalostmi informací o způsobu zpracování pravidel brány
firewall, nastavení a nastavení prevence narušení zvýšíte
svoji schopnost vytvářet efektivní pravidla brány firewall.
Se znalostmi informací o způsobu zpracování pravidel a
nastavení můžete pravidla brány firewall odpovídajícím
způsobem upravit.
Viz „Informace o pořadí zpracování pravidla brány firewall,
nastavení brány firewall a prevence narušení“ na straně 126.
Viz „Změna pořadí pravidel brány firewall“ na straně 127.
Informace o způsobu, jakým
klient využívá kontrolu
stavu, díky kterým nebudete
muset konkrétní pravidla
vytvářet
Aplikace Symantec Endpoint Protection využívá kontrolu
stavu. To znamená, že u provozu, který je iniciován v jednom
směru, není zapotřebí pravidlo, které povoluje provoz v
druhém směru. Se znalostmi principu stavové inspekce není
zapotřebí pravidla vytvářet.
Viz „Způsob, kterým brána firewall využívá stavovou
inspekci“ na straně 128.
Informace o prvcích pravidla K vytvoření efektivních pravidel brány firewall je vhodné
brány firewall
znát komponenty, ze kterých je pravidlo tvořeno.
Viz „Prvky pravidla brány firewall“ na straně 129.
Informace o pořadí zpracování pravidla brány firewall,
nastavení brány firewall a prevence narušení
Pravidla brány firewall jsou v seznamu pravidel řazena sekvenčně od nejvyšší
priority po nejnižší nebo shora dolů. Pokud první pravidlo neurčuje způsob
zpracování paketu, brána firewall zkontroluje druhé pravidlo. Tento proces
pokračuje, dokud brána firewall nenalezne shodu. Jakmile brána firewall nalezne
shodu, provede akci určenou pravidlem. Následná pravidla s nižší prioritou se
nekontrolují. Pokud je například pravidlo blokující veškerý provoz na prvním
místě a následuje pravidlo povolující veškerý provoz, klient blokuje veškerý provoz.
Pravidla můžete seřadit podle toho, co vylučují. Nejvíc omezující pravidla se
vyhodnotí jako první a nejobecnější pravidla se vyhodnotí jako poslední. Například
pravidla, která blokují provoz, byste měli umístit poblíž začátku seznamu pravidel.
Pravidla, která jsou v seznamu níže, mohou provoz povolit.
Mezi doporučené postupy při vytváření báze pravidel patří toto pořadí pravidel:
1.
Pravidla, která blokují veškerý provoz.
2.
Pravidla, která povolují veškerý provoz.
3.
Pravidla, která povolují nebo blokují konkrétní počítače.
4.
Pravidla, která povolují nebo blokují konkrétní aplikace, síťové služby a porty.
Tab. 5-6 ukazuje pořadí, ve kterém brána firewall zpracovává pravidla, její
nastavení a nastavení prevence narušení.
Tab. 5-6
Pořadí zpracování
Priorita
Nastavení
První
Vlastní signatury IPS
Druhá
Nastavení prevence narušení, nastavení provozu a nastavení režimu
stealth
Třetí
Integrovaná pravidla
Čtvrtá
Pravidla brány firewall
Pátá
Kontrola prověřování portů
Šestá
Signatury IP stažené prostřednictvím služby LiveUpdate
Viz „Změna pořadí pravidel brány firewall“ na straně 127.
Viz „Způsob fungování prevence narušení“ na straně 135.
Brána firewall zpracovává seznam pravidel brány firewall shora dolů. Změnou
pořadí pravidel můžete určit pořadí jejich zpracování v bráně firewall. Pokud
změníte pořadí, projeví se tato změna pouze pro aktuálně vybrané umístění.
Poznámka: Kvůli lepší ochraně umístěte nejvíce omezující pravidla jako první a
nejméně omezující pravidla jako poslední.
127
128
Způsob, kterým brána firewall využívá stavovou inspekci
Změna pořadí pravidla brány firewall
1
2
3
V dialogovém okně Konfigurovat pravidla brány firewall vyberte pravidlo,
které chcete posunout.
4
5
■
Chcete-li, aby proces brány firewall toto pravidlo zpracoval dříve než
pravidlo nad ním, klepněte na šipku nahoru.
■
Chcete-li, aby proces brány firewall toto pravidlo zpracoval později než
pravidlo pod ním, klepněte na šipku dolů.
Po dokončení přesouvání pravidel klepněte na tlačítko OK.
Viz „Informace o pořadí zpracování pravidla brány firewall, nastavení brány
firewall a prevence narušení“ na straně 126.
Způsob, kterým brána firewall využívá stavovou
inspekci
Ochrana brány firewall používá kontrolu stavu ke sledování aktuálních připojení.
Kontrola stavu sleduje adresy IP zdroje a cíle, porty, aplikace a další informace
o připojení. Před tím, než klient ověří pravidla brány firewall, provádí rozhodnutí
o toku provozu, která jsou založena na informacích o připojení.
Například pokud pravidlo brány firewall povoluje počítači připojit se k webovému
serveru, brána firewall zaznamená informace o připojení do protokolu. Když
server odpoví, brána firewall zjistí, že se odpověď od webové stránky očekává.
Povolí provozu webové stránky procházet k počítači, který komunikaci započal,
bez zkoumání databáze pravidel. Před tím, než brána firewall zaznamená připojení
do protokolu, musí pravidlo nejdříve povolit počáteční odchozí provoz.
Stavová inspekce eliminuje potřebu vytvářet nová pravidla. U provozu, který je
iniciován v jednom směru, nemusíte vytvářet pravidla, která povolují provoz
v obou směrech. Mezi klientský provoz iniciovaný v jednom směru patří protokoly
Telnet (port 23), HTTP (port 80) a HTTPS (port 443). Tento odchozí provoz zahajují
klientské počítače, proto stačí vytvořit pravidlo, které pro tyto protokoly povoluje
odchozí provoz. Kontrola stavu automaticky povoluje provoz ve zpětném směru,
který reaguje na odchozí provoz. Jelikož je brána firewall stavová, je třeba vytvořit
pouze pravidla, která zahajují spojení, nikoliv charakteristiky konkrétních paketů.
Všechny pakety patřící do povoleného připojení jsou implicitně povoleny jako
nedílná součást stejného připojení.
Kontrola stavu podporuje všechna pravidla řídící provoz přes protokol TCP.
Kontrola stavu nepodporuje pravidla filtrující provoz přes protokol ICMP. U
provozu protokolu ICMP je nutné vytvořit pravidla povolující provoz v obou
směrech. Například u klientů používajících příkaz ping a přijímajících odezvu je
třeba vytvořit pravidlo povolující provoz přes protokol ICMP v obou směrech.
Pravidla brány firewall kontrolují, jak klient ochraňuje počítač před nebezpečným
síťovým provozem. Když se počítač pokouší o připojení k jinému počítači, brána
firewall porovná typ připojení s pravidly brány firewall. Brána firewall automaticky
kontroluje všechny příchozí a odchozí pakety a porovnává je s těmito pravidly.
Brána firewall povoluje nebo blokuje pakety podle pravidel.
K definici pravidel brány firewall můžete použít aktivační události jako aplikace,
hostitele a protokoly. Pravidlo může například identifikovat protokol ve vztahu
k cílové adrese. Při hodnocení pravidla bránou firewall musí pravidlu odpovídat
všechny aktivační události, aby bylo uplatněno. Pokud některá aktivační událost
ve vztahu k aktuálnímu paketu neplatí, brána firewall pravidlo neuplatní.
Po aktivaci podmínky pravidla brány firewall se vyhodnocování ostatních
podmínek brány firewall pozastaví. Nebude-li žádná podmínka pravidla aktivována,
paket bude automaticky zablokován a událost nebude uvedena do protokolu.
Pravidlo brány firewall popisuje podmínky, podle nichž má být povoleno, nebo
blokováno připojení k síti. Pravidlo může například povolit komunikaci mezi
vzdáleným portem 80 a adresou IP 192.58.74.0 každý den od 9:00 do 17:00.
Tab. 5-7 popisuje používaná kritéria k definování pravidla brány firewall.
129
130
Tab. 5-7
Podmínky pravidel brány firewall
Podmínka
Popis
Aktivační
události
Seznam dostupných aktivátorů pravidel brány firewall je následující:
Aplikace
Je-li aplikace jedinou aktivační událostí, kterou nadefinujete v
pravidle povolení síťového provozu, brána firewall povolí aplikaci
provádět síťové operace. Aplikace je podstatnou hodnotou, nikoliv
síťové operace, které provádí. Například si představte, že povolíte
aplikaci Internet Explorer a nenastavíte žádné jiné spouštěče.
Uživatelé budou moci přistupovat ke vzdáleným umístěním
používajícím protokoly HTTP, HTTPS, FTP, Gopher nebo jiný protokol
podporovaný webovým prohlížečem. Můžete nadefinovat další
aktivační události k popisu určitých síťových protokolů a hostitelů,
s nimiž je povolena komunikace.
■ Hostitelé
Místním hostitelem je vždy místní počítač klienta a vzdáleným
hostitelem je vždy vzdálený počítač umístěný kdekoliv v síti. Toto
vyjádření vztahu hostitelů je nezávislé na směru síťového provozu.
Nadefinujete-li aktivační události hostitelů, určíte hostitele ve
vzdáleném umístění popsaného síťového připojení.
■ Protokoly
Aktivační událost protokolu identifikuje jeden nebo více síťových
protokolů, které jsou důležité ve vztahu k popisovanému provozu.
Místní počítač hostitele vždy vlastní místní port a vzdálený počítač
vždy vlastní vzdálený port. Toto vyjádření vztahu portů je nezávislé
na směru síťového provozu.
■ Síťové adaptéry
Nadefinujete-li aktivační událost síťového adaptéru, pravidlo se
vztahuje pouze k síťovému provozu, který je přenášen nebo přijímán
pomocí určeného typu adaptéru. Můžete určit jakýkoli adaptér nebo
ten, který je momentálně asociován s klientským počítačem
■
Definice aktivačních událostí můžete kombinovat, čímž vytvoříte
složitější pravidla, jako například identifikaci určitého protokolu ve
vztahu k určité cílové adrese. Když brána firewall zhodnotí pravidlo,
všechny aktivační události mu musí odpovídat, aby bylo uplatněno.
Pokud některá aktivační událost neplatí ve vztahu k aktuálnímu paketu,
brána firewall nemůže pravidlo uplatnit.
Podmínka
Popis
Podmínky
Stav plánování a spořiče obrazovky
Parametry podmínek nepopisují aspekt síťového připojení. Místo toho
parametry podmínek určují aktivní stav pravidla. Parametry podmínek
jsou volitelné, a pokud nejsou definovány, nejsou podstatné. Můžete
nastavit plánování nebo určit stav spořiče obrazovky jenž určuje, zda
má být pravidlo považováno za aktivní, nebo neaktivní. Brána firewall
nezhodnocuje neaktivní pravidla, pokud obdrží pakety.
Akce
Povolit, nebo blokovat, protokolovat, nebo neprotokolovat.
Parametry akce určují, jaké akce má brána firewall podniknout při
úspěšné shodě s pravidlem. Je-li pravidlo vybráno jako odpověď na přijatý
paket, brána firewall provede všechny akce. Brána firewall povoluje,
nebo blokuje paket, a zároveň jej zaznamenává, nebo nezaznamenává.
Pokud brána firewall povoluje síťový provoz, umožnuje mu přístup k
síti v závislosti na pravidlu, které se ho týká.
Pokud brána firewall blokuje síťový provoz, blokuje mu přístup k síti v
závislosti na pravidlu, které se ho týká.
Viz „Způsob, kterým brána firewall využívá stavovou inspekci“ na straně 128.
Tab. 5-8 popisuje způsob, jakým nastavit pravidla brány firewall.
Způsob nastavení pravidel brány firewall
Tab. 5-8
Krok
Úloha
Popis
1
Přidání nového Aplikace Symantec Endpoint Protection nainstaluje výchozí
pravidla brány pravidla brány firewall. Můžete však vytvořit svá vlastní pravidla.
firewall
Dalším ze způsobů přidání pravidla brány firewall je exportování
stávajících pravidel z jiné zásady brány firewall. Pravidla a
nastavení brány firewall můžete poté importovat, takže je
nemusíte vytvářet znovu.
Viz „Export a import pravidel brány firewall“ na straně 133.
131
132
Krok
Úloha
Popis
2
(Volitelné)
Přizpůsobení
kritérií
pravidla brány
firewall
Po vytvoření nového pravidla, nebo budete-li chtít výchozí
pravidlo přizpůsobit, můžete upravit kritéria libovolného z
pravidel brány firewall.
Přidání pravidla brány firewall
Přidáte-li pravidlo brány firewall, musíte rozhodnout, jaký bude mít účinek.
Například můžete chtít povolit veškerý síťový provoz z určitého zdroje nebo
blokovat pakety UDP z webové stránky.
Pravidla brány firewall budou po vytvoření automaticky povolena.
Přidání pravidla brány firewall
1
2
3
Přidat.
4
Na kartě Obecné zadejte název pravidla a poté klepněte na položku Blokovat
tento provoz nebo Povolit tento provoz.
5
Chcete-li definovat aktivátory pravidla, klepněte na každou z karet a podle
potřeby ji upravte.
6
Chcete-li nadefinovat časové období, během kterého je pravidlo aktivní či
neaktivní, na kartě Plánování klepněte na položku Povolit plánování a poté
nastavte plán.
7
Po dokončení změn klepněte na tlačítko OK.
8
Export a import pravidel brány firewall
Pravidla můžete sdílet s jiným klientem, abyste je nemuseli znovu vytvářet.
Pravidla můžete exportovat z jiného počítače a importovat je do svého počítače.
Naimportujete-li pravidla, budou přidána do dolní části seznamu pravidel brány
firewall. Importovaná pravidla nepřepíšou existující pravidla ani v případě, že se
importované pravidlo shoduje se stávajícím pravidlem.
Exportovaná a importovaná pravidla jsou ukládána do souboru .sar.
Export pravidel brány firewall
1
2
Vedle Nastavení ochrany před síťovými hrozbami klepněte na položku
Možnosti > Konfigurovat pravidla brány firewall.
3
V dialogovém okně Konfigurovat pravidla brány firewall vyberte pravidla,
která chcete exportovat.
4
Pravým tlačítkem myši klepněte na pravidla a potom klepněte na příkaz
Exportovat vybraná pravidla.
5
V dialogovém okně Exportovat zadejte název souboru a poté klepněte na
tlačítko Uložit.
6
Import pravidel brány firewall
1
2
Vedle Nastavení ochrany před síťovými hrozbami klepněte na položku
Možnosti > Konfigurovat pravidla brány firewall.
3
V dialogovém okně Konfigurovat pravidla brány firewall klepněte pravým
tlačítkem na seznam pravidel brány firewall a poté klepněte na položku
Importovat pravidlo.
4
V dialogovém okně Import najděte soubor formátu .sar obsahující pravidla,
která chcete importovat.
5
Klepněte na tlačítko Otevřít.
6
Povolení a zakázání pravidel brány firewall
Pravidla, která má brána firewall zpracovat, musí být povolena. Přidáte-li pravidla
brány firewall, budou automaticky povolena.
133
134
Potřebujete-li povolit konkrétní přístup k počítači nebo aplikaci, můžete pravidlo
brány firewall zakázat.
Povolení a zakázání pravidel brány firewall
1
2
3
V dialogovém okně Konfigurovat pravidla brány firewall ve sloupci Název
pravidla zaškrtněte nebo zrušte zaškrtnutí pole u pravidla, které chcete povolit
nebo zakázat.
4
Správa prevence narušení je součástí modulu Ochrany před síťovými hrozbami.
Tab. 5-9
Akce
Popis
Zjistěte informace o prevenci narušení Zjistěte, jak funkce prevence narušení zjišťuje a
blokuje síťové útoky a napadení prohlížeče.
Viz „Způsob fungování prevence narušení“
na straně 135.
Stáhněte nejnovější signatury IPS
Ve výchozím nastavení jsou nejnovější signatury
stahovány do klientů. Nicméně někdy můžete
chtít signatury stáhnout okamžitě.
Akce
Popis
Povolení nebo zakázání prevence
narušení v síti nebo v prohlížeči
Prevenci narušení můžete zakázat při řešení
potíží nebo v případě, že klientský počítač
vykazuje příliš mnoho planých poplachů. Prevenci
narušení je běžně vhodné nechat spuštěnou.
Povolit nebo zakázat můžete následující typy
prevence narušení:
■
Prevence narušení v síti
■
Prevence narušení v prohlížeči
Viz „Povolení nebo zakázání prevence narušení“
na straně 136.
Prevenci narušení můžete také povolit nebo
zakázat v rámci povolování nebo zakazování
ochrany před síťovými hrozbami.
Viz „Povolení nebo zakázání ochrany“
na straně 42.
Konfigurace upozornění prevence
narušení
Konfiguraci můžete upravit tak, aby aplikace
Symantec Endpoint Protection zobrazila
upozornění při odhalení narušení v síti nebo
v prohlížeči.
Viz „Konfigurace upozornění prevence narušení“
na straně 137.
Prevence narušení je součástí modulu Ochrany před síťovými hrozbami.
Funkce prevence narušení automaticky zjišťuje a blokuje pokusy o napadení ze
sítě nebo v prohlížeči. Prevence narušení je po bráně firewall druhou úrovní
zabezpečení klientského počítače. Prevence narušení je někdy také označována
jako systém IPS (Intrusion Prevention System).
Prevence narušení umožňuje zachytit data v síťové vrstvě. Využívá signatury k
prověřování paketů nebo jejich proudů. Při prověřování jednotlivých paketů
vyhledává vzory, které odpovídají specifikacím útoku v síti nebo v prohlížeči.
Prevence narušení využívá signatury k odhalení útoků na komponenty operačního
systému a aplikační vrstvu.
Prevence narušení poskytuje dva typy zabezpečení.
135
136
Prevence narušení v síti využívá signatury k odhalení
útoků na klientský počítač. U známých útoků prevence
narušení automaticky odstraňuje pakety, které
odpovídají dané signatuře.
V klientovi nelze vytvářet vlastní signatury. Můžete
ale importovat vlastní signatury, které vy sami nebo
správce vytvoříte v produktu Symantec Endpoint
Protection Manager.
Prevence narušení v prohlížeči sleduje útoky
směrované na prohlížeče Internet Explorer a Firefox.
Jiné prohlížeče prevence narušení v prohlížeči
nepodporuje.
Tento typ prevence narušení využívá k odhalení útoků
na prohlížeče signatury útoků a heuristickou analýzu.
V případě určitých útoků na prohlížeč může být po
klientovi vyžadováno ukončení prohlížeče. V
klientském počítači se zobrazí oznámení.
Pokud ve svém počítači prevenci narušení vypnete, počítač bude méně bezpečný.
V některých případech však může být nutné toto nastavení vypnout, a zabránit
tak výskytu falešných poplachů, nebo vyřešit potíže s počítačem.
Aplikace Symantec Endpoint Protection protokoluje pokusy o narušení a události
do Protokolu zabezpečení. Podle nastavení správce může aplikace Symantec
Endpoint Protection pokusy o narušení protokolovat do Protokolu paketů.
Povolit nebo zakázat můžete tyto dva typy prevence narušení:
■
■
Poznámka: Správce tyto možnosti pravděpodobně nakonfiguroval tak, aby byly
nedostupné.
Povolení nebo zakázání nastavení prevence narušení
1
2
3
Na kartě Prevence narušení označte nebo zrušte označení následujících
možností:
■
Povolit prevenci narušení ze sítě
■
Povolit prevenci narušení prohlížeče
Další informace o nastavení zobrazíte klepnutím na položku Nápověda.
4
Upozornění je možné nakonfigurovat tak, aby se zobrazilo, jakmile klient zjistí
síťový útok na počítač nebo když určité aplikaci zablokuje přístup k vašemu
počítači. Je možné nastavit dobu, po kterou se tato upozornění budou zobrazovat,
a určit, zda mají být doprovázena zvukovým oznámením.
Aby se upozornění prevence narušení mohla zobrazovat, je nutné povolit systém
prevence narušení.
Poznámka: Správce pravděpodobně tyto možnosti nakonfiguroval tak, aby byly
nedostupné.
1
2
3
V dialogovém okně Ochrana před síťovými hrozbami klepněte na položku
Oznámení.
4
Zaškrtněte políčko Zobrazit upozornění prevence narušení.
5
Chcete-li při zobrazení upozornění slyšet zvukový signál, zaškrtněte políčko
Používat při upozornění uživatelů zvukový signál.
6
137
138
Kapitola
6
Správa aplikace Symantec
Network Access Control
■
Jak pracuje aplikace Symantec Network Access Control
■
Jak klient funguje s modulem Enforcer
■
Spuštění kontroly integrity hostitele
■
Náprava počítače
■
Konfigurace klienta pro ověřování 802.1x
■
Prohlížení protokolů aplikace Symantec Network Access Control
Jak pracuje aplikace Symantec Network Access
Control
Klient Symantec Network Access Control ověřuje a vynucuje splňování zásad u
počítačů, které se připojují k síti. Tento proces ověřování a vynucování začíná
před připojením počítače k síti a pokračuje po celou dobu trvání připojení. Zásady
integrity hostitele jsou zásadami bezpečnosti, které slouží jako základ pro všechna
vyhodnocování a akce. Integrita hostitele je také označována jako zajištění souladu.
Tab. 6-1 popisuje proces, který aplikace Network Access Control používá k vynucení
souladu se zásadami na klientském počítači.
140
Správa aplikace Symantec Network Access Control
Jak pracuje aplikace Symantec Network Access Control
Tab. 6-1
Princip aplikace Symantec Network Access Control
Akce
Popis
Klient opakovaně
vyhodnocuje, zda splňuje
zásady.
Zapnete klientský počítač. Klient spustí kontrolu integrity
hostitele, která porovná konfiguraci počítače se zásadami
integrity hostitele, jež byly staženy ze serveru pro správu.
Kontrola integrity hostitele vyhodnotí, zda počítač splňuje
Zásady integrity hostitele pro antivirový software, opravy,
důležité opravy a ostatní bezpečnostní požadavky. Zásady
mohou například ověřovat, kdy naposledy byly
aktualizovány definice virů, nebo které nejnovější opravy
byly použity v operačním systému.
Zařízení Symantec Enforcer
ověřuje klientský počítač a
buď uděluje přístup k síti,
nebo blokuje a umísťuje do
karantény počítače, které
nesplňují zásady
zabezpečení.
Splňuje-li počítač všechny požadavky zásad zabezpečení,
projde kontrolou integrity hostitele. Zařízení Enforcer
povoluje plný přístup k síti počítačům, které projdou
kontrolou integrity hostitele.
Nesplňuje-li počítač všechny požadavky zásad zabezpečení,
neprojde kontrolou integrity hostitele. Neprojde-li počítač
kontrolou integrity hostitele, klient nebo zařízení Symantec
Enforcer jej zablokuje nebo umístí do Karantény, dokud
nebude provedena náprava. Počítače v karanténě mají
omezený nebo žádný přístup k síti.
Viz „Jak klient funguje s modulem Enforcer“ na straně 141.
Správce mohl nastavit
Klient může zobrazit oznámení pokaždé, když počítač projde
zásady, aby počítač prošel
kontrolou integrity hostitele.
kontrolou integrity hostitele,
i když nesplní určité
požadavky.
Klient provádí nápravu
počítačů, které nesplňují
zásady.
Zjistí-li klient, že požadavek zásad integrity hostitele nebyl
dodržen, provede instalaci nebo požádá o instalaci
požadovaného softwaru. Po provedení nápravy se počítač
pokusí o přístup k síti. Splňuje-li počítač plně zásady
zabezpečení, síť mu udělí přístup.
Viz „Náprava počítače“ na straně 142.
Klient aktivně monitoruje,
zda počítač splňuje zásady.
Klient aktivně sleduje stav splňování zásad u všech
klientských počítačů. Pokud se změní stav splňování zásad
v počítači, změní se i práva počítače k přístupu do sítě.
Více informací o výsledcích kontroly integrity hostitele naleznete v Protokolu
zabezpečení.
Klient spolupracuje se zařízením Symantec Enforcer. Zařízení Enforcer zajišťuje,
aby na všech počítačích, jež se připojují k síti, kterou chrání, běžel klientský
software a aby tyto počítače používaly správné zásady bezpečnosti.
Viz „Jak pracuje aplikace Symantec Network Access Control“ na straně 139.
Zařízení Enforcer musí ověřit uživatele nebo klientský počítač předtím, než mu
povolí přístup k síti. Aplikace Symantec Network Access Control na ověřování
klientských počítačů spolupracuje s několika typy zařízení Enforcer. Zařízení
Symantec Enforcer je síťové hardwarové zařízení, které ověřuje výsledky integrity
hostitele a identitu klientského počítače předtím, než povolí počítači přístup k
síti.
Než klientovi povolí přístup k síti, zkontroluje zařízení Enforcer tyto informace:
■
Verze softwaru klienta používaného v počítači.
■
Klient má přiřazen jedinečný identifikátor (UID).
■
Klient byl aktualizován nejnovější zásadou integrity hostitele.
■
Klientský počítač prošel kontrolou integrity hostitele.
Viz „Konfigurace klienta pro ověřování 802.1x“ na straně 142.
Správce konfiguruje frekvenci spouštění kontroly integrity hostitele klientem.
Může dojít k tomu, že budete potřebovat spustit kontrolu integrity hostitele
okamžitě, ne čekat na další kontrolu. Například selhání kontroly integrity hostitele
může zjistit, že je v počítači potřeba provést aktualizaci signatur virů. Klient vám
může povolit výběr, zda chcete stáhnout požadovaný software okamžitě, nebo
stažení odložit. Stáhnete-li software okamžitě, musíte znovu spustit kontrolu
integrity hostitele, abyste ověřili, že máte správný software. Můžete počkat na
další naplánované spuštění kontroly integrity hostitele, nebo ji můžete spustit
okamžitě.
141
142
1
2
U položky Network Access Controlklepněte na položku Možnosti >
Zkontrolovat soulad.
3
Zobrazí-li se zpráva potvrzující, že byla kontrola integrity hostitele spuštěna,
klepněte na tlačítko OK.
Byl-li vám zablokován přístup k síti, měli byste jej opět získat po aktualizaci
počítače, kterou se splní zásady zabezpečení.
Zjistí-li klient, že není splněn požadavek zásad integrity hostitele, zareaguje jedním
z následujících způsobů:
■
Klient automaticky stáhne aktualizaci softwaru.
■
Klient požádá o stažení požadované aktualizace softwaru.
◆
V dialogovém okně Symantec Endpoint Protection, které se zobrazí, proveďte
některou z následujících akcí:
■
Chcete-li zobrazit, které bezpečnostní požadavky nebyly splněny, klepněte
na položku Podrobnosti.
■
Chcete-li okamžitě nainstalovat software, klepněte na položku Obnovit.
Po zahájení instalace může, ale i nemusí, být k dispozici možnost jejího
zrušení.
■
Chcete-li odložit instalaci softwaru, klepněte na položku Upozornit později
za a vyberte časový interval v rozevíracím seznamu.
Správce může nakonfigurovat maximální počet odložení instalace.
Pokud podniková síť používá pro ověřování modul Enforcer, klientský počítač
musí být nakonfigurován pro použití ověřování 802.1x. Klienta může konfigurovat
uživatel nebo správce. Správce uživateli může nebo nemusí poskytnout oprávnění
ke konfiguraci ověřování 802.1x.
Proces ověřování 802.1x se skládá z těchto kroků:
■
Neověřený klient nebo žadatel třetích stran zašle informace o uživateli a
informace o souladu do spravovaného přepínače sítě 802.1x.
■
Síťový přepínač informace předá do zařízení LAN Enforcer. Zařízení LAN
Enforcer odešle informace o uživateli na ověřovací server k ověření. Ověřovacím
serverem je server RADIUS.
■
Pokud klient neuspěje v ověřování na úrovni uživatele nebo není v souladu se
zásadami integrity hostitele, modul Enforcer může zablokovat přístup k síti.
Zařízení Enforcer umístí nevyhovující klientský počítač do karanténní sítě,
kde může být v počítači provedena náprava.
■
Poté, co klient provede nápravu počítače a zajistí shodu, protokol 802.1x počítač
ověří a udělí mu přístupová práva k síti.
Klient použije ke spolupráci se zařízením LAN Enforcer žadatele třetích stran
nebo vestavěného žadatele.
Tab. 6-2 popisuje typy možností, které lze nakonfigurovat pro ověřování 802.1x.
Tab. 6-2
Možnosti ověřování 802.1x
Možnost
Popis
Žadatel třetích stran
Použije žadatele třetích stran o ověření v síti 802.1x.
Zařízení LAN Enforcer spolupracuje při ověření uživatele se
serverem RADIUS a s žadateli třetích stran o ověření v síti
802.1x. Žadatel o ověření v síti 802.1x zobrazí dotaz na
informace o uživateli. Zařízení LAN Enforcer odešle informace
o uživateli na server RADIUS pro ověření na úrovni uživatele.
Klient odešle profil klienta a stav integrity hostitele do
zařízení Enforcer, které pak může počítač prověřit.
Poznámka: Jestliže chcete použít klienta aplikace Symantec
Network Access Control s žadatelem třetích stran, musí být
nainstalován modul ochrany před síťovými hrozbami klienta
aplikace Symantec Endpoint Protection.
143
144
Možnost
Popis
Transparentní režim
Používá klienta spuštěného jako žadatele o ověření v síti
802.1x.
Tuto metodu použijete, pokud správce nechce pro ověření
uživatele použít server RADIUS. Zařízení LAN Enforcer je
spuštěno v transparentním režimu a slouží jako pseudoserver
RADIUS.
Transparentní režim znamená, že od vás žadatel nepožaduje
informace o uživateli. Klient v transparentním režimu funguje
jako žadatel o ověření v síti 802.1x. Na výzvu protokolu EAP
přepínače odpoví klient profilem klienta a stavem integrity
hostitele. Přepínač pak předá informace do zařízení LAN
Enforcer, které slouží jako pseudoserver RADIUS. Zařízení
LAN Enforcer ověří integritu hostitele a informace o profilu
klienta z přepínače a může podle potřeby povolit, zablokovat
nebo dynamicky přiřadit síť VLAN.
Poznámka: Chcete-li použít klienta jako žadatele o ověření
v síti 802.1x, musíte odinstalovat nebo deaktivovat žadatele
třetích stran o ověření v síti 802.1x v klientském počítači.
Vestavěný žadatel
Použije vestavěného žadatele o ověření v síti 802.1x v
klientském počítači.
K vestavěným ověřovacím protokolům patří Smart Card,
PEAP a TLS. Po povolení ověřování 802.1x je nutné určit,
který protokol se bude používat.
Varování: Před konfigurací klienta pro ověřování 802.1x se obraťte na správce. Je
nutné vědět, zda podniková síť používá jako ověřovací server server RADIUS.
Pokud ověřování 802.1x nakonfigurujete nesprávně, může dojít k přerušení
připojení k síti.
Konfigurace klienta pro použití žadatele třetích stran
1
2
Vedle položky Network Access Control klepněte na položku Možnosti>Změnit
nastavení > Nastavení ověřování 802.1x.
3
V dialogovém okně Nastavení řízení přístupu do sítě klepněte na položku
Povolit ověřování 802.1x.
4
Bude rovněž nutné nastavit pravidlo brány firewall, které povolí přístup
žadatele třetích stran o ověření 802.1x k síti.
Klienta lze nakonfigurovat pro použití vestavěného žadatele. Klienta povolíte
pro ověřování 802.1x i jako žadatele o ověření v síti 802.1x.
Konfigurace klienta pro použití transparentního režimu nebo vestavěného žadatele
1
2
Vedle položky Network Access Control klepněte na položku Možnosti>Změnit
nastavení > Nastavení ověřování 802.1x.
3
V dialogovém okně Nastavení řízení přístupu do sítě klepněte na položku
Povolit ověřování 802.1x.
4
Klepněte na položku Použít klienta jako žadatele o ověření v síti 802.1x.
5
6
■
Chcete-li vybrat transparentní režim, klepněte na položku Použít
transparentní režim Symantec.
■
Chcete-li nakonfigurovat vestavěného žadatele, klepněte na položku Povolí
uživateli vybrat ověřovací protokol.
Pak bude nutné vybrat ověřovací protokol pro síťové připojení.
Výběr ověřovacího protokolu
1
Na klientském počítači klepněte na položky Start > Nastavení > Síťová
připojení a poté klepněte na položku Připojení k místní síti.
Poznámka: Tyto kroky byly napsány pro počítače se systémem Windows XP.
Vlastní postup se může lišit.
2
V dialogovém okně Stav připojení k místní síti klepněte na možnost
Vlastnosti.
3
V dialogovém okně Připojení k místní síti – Vlastnosti klepněte na kartu
Ověření.
4
Na kartě Ověření klepněte na rozevírací seznam Typ protokolu EAP a vyberte
některý z následujících protokolů:
145
146
■
Karta Smart Card nebo jiný certifikát,
■
Chráněný protokol EAP,
■
Transparentní režim Symantec NAC
Ujistěte se, že je zaškrtnuta možnost Povolit ověřování 802.1x v této síti.
5
6
Opětovné ověření počítače
Pokud počítač uspěl v kontrole integrity hostitele, ale blokuje jej modul Enforcer,
bude potřeba provést jeho opětovné ověření. Za normálních okolností by nikdy
nemělo být třeba počítač znovu ověřovat.
Modul Enforcer může blokovat počítač, nastane-li jedna z následujících událostí:
■
Selhalo ověření uživatele v klientském počítači, jelikož bylo zadáno špatné
uživatelské jméno nebo heslo.
■
Klientský počítač se nachází v nesprávné virtuální místní síti.
■
Klientský počítač nemá připojení k síti. Přerušení síťového připojení většinou
nastane, protože přepínač mezi klientským počítačem a aplikací LAN Enforcer
neověřil uživatelské jméno nebo heslo.
■
Jste přihlášeni ke klientskému počítači, který ověřil předchozího uživatele.
■
Selhalo ověření souladu klientského počítače.
Opětovné ověření počítače můžete provést pouze v případě, že jste jej vy nebo
správce nakonfigurovali s vestavěným žadatelem.
Poznámka: Správce možná nenastavil klienta, aby zobrazoval příkaz k opětovnému
ověření.
Opětovné ověření počítače
1
Klepněte pravým tlačítkem na ikonu v oznamovací oblasti.
2
Klepněte na položku Opakovat ověření.
3
V dialogovém okně Opakovat ověření zadejte své uživatelské jméno a heslo.
4
Prohlížení protokolů aplikace Symantec Network
Access Control
Klient Symantec Network Access Control používá ke sledování různých aspektů
své práce a výsledků kontroly integrity hostitele tyto protokoly:
Zabezpečení
Zaznamenává výsledky a stav kontrol integrity hostitele.
Systém
Zaznamenává všechny změny práce klienta, jako je připojení k serveru
pro správu nebo aktualizace zásad zabezpečení klienta.
Používáte-li spravovaného klienta, oba protokoly mohou být pravidelně nahrávány
na server. Správce může obsah těchto protokolů použít k analýze celkového stavu
sítě.
Data z těchto protokolů můžete exportovat.
1
2
Chcete-li zobrazit protokol zabezpečení, klepněte u položky Network Access
Control na položku Možnosti > Zobrazit protokoly.
3
V Protokolu zabezpečení vyberte horní položku protokolu.
V levém dolním rohu se zobrazí výsledky kontroly integrity hostitele. Pokud
už byl klient nainstalovaný, proběhne přednastavený požadavek na bránu
firewall. Pokud klient nainstalovaný nebyl, předdefinovaný požadavek na
bránu firewall selže, ale oznámí se, jako by prošel.
4
Chcete-li zobrazit Systémový protokol, v dialogovém okně Protokol
zabezpečení–protokolyaplikaceSymantecNetworkAccessControl klepněte
na položku Zobrazit > Systémový protokol.
5
147
148
Rejstřík
Symboly
C
64bitové počítače 17
červi 69
činnost v síti
zobrazování 124
A
adware 69
Aktivní ochrana před hrozbami
povolení nebo zakázání 44
aktivní ochrana před hrozbami
informace 12
aktivní odpověď
informace 117
aktivní prověřování
spuštění 73
aktualizace
definice 35–37
aplikace 120
povolení nebo blokování 121, 132
vyloučení z prověřování 87
D
data s hodnocením 71
definice
aktualizace 35–37
informace 62
definice virů
aktualizace 35–37
informace 62
Download Insight
data s hodnocením 71
interakce s funkcí Auto-Protect 42
odpověď na upozornění 27
přizpůsobení 79
správa zjištění 76
B
E
bezpečnostní rizika
jak klient reaguje 63
jak klient reaguje na zjištění 71
konfigurace akcí pro zjišťování 82
zjišťování klientem 62
blokovat provoz 118, 121
pravidla brány firewall 132
reakce na zprávy 29
blokovat útočící počítač 117
brána firewall
aplikace 120
definice 104
kontrola stavu 128
nastavení 107
správa 104
e-mail
vyloučení souboru s příchozí poštou z
prověřování 86
F
funkce Auto-Protect
Download Insight 42
e-mailoví klienti s programovým vybavením pro
práci ve skupině 65
povolení nebo zakázání 42, 44
pro internetovou poštu 65
pro Lotus Notes 67
pro souborový systém 44
v aplikaci Microsoft Outlook 65
H
hackerské nástroje 69
hrozby
kombinované 69
150
Rejstřík
I
ikona na hlavním panelu 38
informace 38
skrytí a zobrazení 39
ikona štítu 38
ikony
na stránce Stav 15
visací zámek 41
štít 38
infikované soubory
postup 23
Insight 71
IPS
aktualizace definic 35–36
informace 104
K
karanténa
odesílání souborů do systému Symantec Security
Response 92
odstraňování souborů 93
přesunutí souborů do 91
ruční umístění souboru do karantény 92
správa souborů 89
zobrazování infikovaných souborů 91
klienti
jak chránit počítače 33
spravovaná vs. nespravovaná 39, 41
zakázání ochrany na 42
kombinované hrozby 69
Kontrola integrity hostitele
spuštění 141
kontrola stavu 128
L
licence
reakce na zprávy o 30
LiveUpdate
okamžité spuštění 36
přehled 35
příkaz 15
vytvoření plánu pro 37
M
malware
možnost Nápověda 13
možnosti
nedostupné 40
N
nastavení
prevence narušení 137
nastavení provozu a režimu Skrytí 108
nástroj pro hodnocení zabezpečení 70
nespravovaní klienti
informace 39
kontrola 41
správa ochrany 33
O
ochrana
aktualizace 35–37
jak 33
ochrana na úrovni ovladače
povolení 108
ochrana NetBIOS
povolení 108
ochrana před síťovými hrozbami
správa 104
ochrana před síťovými hrozbami,
informace 104
protokoly 48
ochrana před viry a spywarem
informace 12
systémový protokol 48
ochrana před změnami
konfigurace 46
povolení a zakázání 46
zakázání 43
ochranu před síťovými hrozbami
informace 12
odeslání 93, 95
odstranění virů 24
opatření proti falšování adresy MAC
povolení 108
opětovné ověření 146
Ověřování 802.1x
informace 142
konfigurace 144
Rejstřík
P
plánovaná prověřování
více 73
vytvoření 72
povolit
Aktivní ochrana před hrozbami 44
funkci Auto-Protect 44
Ochrana před síťovými hrozbami 44
povolit provoz 121
reakce na zprávy 29
počítače
aktualizace ochrany na 35
jak chránit počítače 33
prověřování 56
export 133
import 133
informace 129
nastavení 131
povolení a zakázání 133
pořadí zpracování
informace 126
změna 127
přidání 132
prevence narušení. Viz IPS
jak funguje 135
oznámení pro 137
správa 134
prevence narušení v prohlížeči
informace 135
prevence narušení v síti
informace 135
procházení webu v režimu stealth
povolení 108
programy pro telefonické připojení 69
programy pro vzdálený přístup 70
programy rodičovského zámku 70
programy typu bot 69
programy typu Internet bot 69
protokol hrozeb 48
protokol ladění 49
protokol ochrany před změnami 49
protokol paketů 48
povolení 49–50
protokol provozu 48
protokol prověřování 47
umístění souboru do karantény 92
protokol rizik 47
umístění souboru do karantény 92
protokol zabezpečení 48
protokol řízení 48
protokoly
export dat 51
export filtrovaných položek 51
formáty pro export 51–52
informace 47
povolení protokolu paketů 50
zobrazení 49
zpětné trasování položek 50
řízení přístupu do sítě 147
provoz
blokování 118
povolení nebo blokování 121
zobrazování 124
provoz token ring
povolení 108
prověřování
informace 63
jak fungují 61
konfigurace výjimek 80
možnosti odložení 18
na požádání a při spuštění 75
nápravné akce 80
oznamovací akce 80
plánovaná 72
pozastavení 17
reakce na zjištění 24
součásti, které prověřují 61
správa 56
spuštění 16
typy 63
úpravy nastavení 80
uživatelem definované 80
vyloučení položek z 87
vysvětlení výsledků 23
zpoždění 17
prověřování e-mailů. Viz funkce Auto-Protect
prověřování na požádání
spuštění 16
vytvoření 75
prověřování pravým tlačítkem 16
prověřování při spuštění
vytvoření 75
151
152
Rejstřík
R
riziko
odstranění z infikovaného souboru 26
rootkity 69
řešení potíží
ze stránky Stav 13
řízení přístupu do sítě
informace 13, 139
náprava počítače 142
vynucování 141
S
samostatní klienti 39
sdílení souborů a tiskáren 115
sdílení tiskáren 115
server
připojování k 38
spravovaní klienti 40
složky
služby systému Windows
zobrazení 124
Smart DHCP 114
Smart DNS 114
Smart WINS 114
SONAR
informace 12, 99
informace o zjišťování 99
protokoly 48
správa 97
změna nastavení 100
soubory
jednání při zjištění 24
odesílání do systému Symantec Security
Response 92
sdílení 115
spravovaní klienti
informace 39
kontrola 41
správa ochrany 33
spyware 70
stránka Prověřování hrozeb 14
stránka Stav 14
ikony výstrah 15
řešení potíží 13
stránka Změnit nastavení 15
Středisko zabezpečení systému Windows
zobrazení stavu antivirového programu v 96
zobrazení stavu brány firewall v 97
Symantec Security Response
odesílání souborů 92
ochrana před viry a spywarem 48
systémový protokol
aktivní ochrana před hrozbami 48
správa klientů 48
T
trackware 70
trojští koně 69
U
umístění virů do karantény 24
úplná prověřování
spuštění 73
upozornění
Download Insight 27
reakce 21
V
virus
odstranění z infikovaného souboru 26
viry 69
jak klient reaguje 63
jak klient reaguje na zjištění 70
nerozpoznané 92
zjišťování klientem 62
vlastní prověřování
spuštění 73
Vyhledávání Insight
důvěryhodné intranetové stránky 79
výjimky
informace 86–87
vytvoření 87
výjimky prověřování. Viz výjimky
vynucování
informace 141
výstrahy
ikony 15
reakce 21
vyčistit viry 24, 70
všesměrové vysílání
zobrazení 124
Rejstřík
W
Webová doména
Z
zakázat
Aktivní ochrana před hrozbami 44
aktivní ochranu před hrozbami 43
funkce Auto-Protect 42
funkci Auto-Protect 44
Ochrana před síťovými hrozbami 44
ochranu před síťovými hrozbami 43
zavádějící aplikace 70
zobrazit stránku karantény 15
zprávy
reakce 21, 29–30
Ž
žertovné programy 70
153

Průvodce pro klienty aplikace Symantec™ Endpoint Protection a

Transkript

Podobné dokumenty

VoIP brána Linksys

Výukový materiál ()

Symantec AntiVirus™/Filtering 3.0 for Microsoft® Exchange

SurfTab® xiron 7.0 HD