Beschreibung AV Scanner V8.8

McAfee VirusScan Enterprise 8.8-SoftwareProdukthandbuch

COPYRIGHT

Copyright © 2010 McAfee, Inc. Alle Rechte vorbehalten.

Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche Genehmigung von McAfee, Inc., oder ihren Lieferanten undangeschlossenen Unternehmen ganz oder teilweise reproduziert, übermittelt, übertragen, in einem Abrufsystem gespeichert oder in eine andereSprache übersetzt werden.

MARKEN

AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCEEXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN,WEBSHIELD sind eingetragene Marken oder Marken von McAfee, Inc. und/oder der Tochterunternehmen in den USA und/oder anderen Ländern.Die Farbe Rot in Verbindung mit Sicherheit ist ein Merkmal der McAfee-Produkte. Alle anderen eingetragenen und nicht eingetragenen Markenin diesem Dokument sind alleiniges Eigentum der jeweiligen Besitzer.

INFORMATIONEN ZUR LIZENZ

Lizenzvereinbarung

HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ERENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHTWISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITERENUNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWAREPAKETODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIEAUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTENBESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DASPRODUKT AN MCAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.

McAfee VirusScan Enterprise 8.8-Produkthandbuch2

InhaltsverzeichnisEinleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

Zielgruppe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Konventionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Struktur dieses Handbuchs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Finden von Produktdokumentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Erste Schritte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

Einführung in VirusScan Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Komponenten und deren Zusammenspiel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Die Wichtigkeit der Erstellung einer Sicherheitsstrategie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

VirusScan-Konsole und Zugriffsmöglichkeiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Die VirusScan-Konsole und ihre Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Funktionen der rechten Maustaste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Funktionsweise der Taskleistensymbole. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Erste Schritte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Teil I – Prävention: Vermeiden von Bedrohungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

Zugriffsschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Stoppen von Zugriffsbedrohungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Steuern des Zugriffs auf die Benutzeroberfläche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Schützen der Systemzugriffspunkte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Definieren von Zugriffschutzregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Zugriffspunktverletzungen und wie VirusScan Enterprise darauf reagiert. . . . . . . . . . . . . . . . . . . . . . 26

Typen benutzerdefinierter Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Konfigurieren der Zugriffsschutzeinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Blockieren von Buffer Overflow-Exploits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Auftreten von Buffer Overflow-Exploits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Konfigurieren des Buffer Overflow-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Einschränken potenziell unerwünschter Programme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Konfigurieren unerwünschter Programme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Aktualisieren von Entdeckungsdefinitionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

DAT-Dateien und ihre Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Die Wichtigkeit einer Aktualisierungsstrategie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

3McAfee VirusScan Enterprise 8.8-Produkthandbuch

Aktualisierungs-Tasks und ihre Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Spiegelungs-Tasks und ihre Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

Funktionsweise des AutoUpdate-Repositorys. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Durchführen von Rollbacks für DAT-Dateien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Ausschließen von Scan-Elementen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Festlegen von Ausschlüssen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Verwendung von Platzhaltern zum Festlegen von Scan-Elementen. . . . . . . . . . . . . . . . . . . . . . . . . . 54

Verwenden geplanter Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Zeitplanung von Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Konfigurieren der Task-Planung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Teil II – Entdeckung: Finden von Bedrohungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

Scannen von Elementen bei Zugriff. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Zugriffsscanner und Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Scan-Vergleich: Schreiben auf einen Datenträger oder Lesen von einem Datenträger. . . . . . . . . . . 58

Scan-Vergleich: Scannen aller Dateien und Scannen von standardmäßigen und

zusätzlichen Dateitypen im Vergleich. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Skript-Scan und seine Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Funktionsweise von Artemis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Bestimmen der Anzahl von Scan-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Konfigurieren allgemeiner und von Prozesseinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

On-Demand-Scan von Elementen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

On-Demand-Scan und seine Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

On-Demand-Scan-Methoden und ihre Festlegung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

So funktioniert das Scannen des Remote-Speichers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

So funktioniert das Verschieben von Scans. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Wie funktioniert die Systemauslastung?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Konfigurieren von On-Demand-Scan-Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Konfigurieren des globalen System-Caches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Scannen von E-Mails bei Empfang und On-Demand‏. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

ePolicy Orchestrator 4.5 oder 4.6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

ePolicy Orchestrator 4.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

VirusScan-Konsole. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

Registerkartendefinitionen der Richtlinien für das E-Mail-Scannen bei Empfang. . . . . . . . . . . . . . . . 80

Teil III – Reaktion: Bearbeiten von Bedrohungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .82

Entdeckungen und Reaktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Was geschieht, wenn eine Bedrohung entdeckt wird?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Schutzverletzungen von Systemzugriffspunkten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83


Inhaltsverzeichnis

Entdeckung von Buffer Overflows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Entdeckung unerwünschter Programme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

Entdeckungen bei Zugriffsscans. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

Entdeckung bei On-Demand-Scans. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Entdeckungen beim Scannen von E-Mails. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Isolierte Elemente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Konfigurieren von Warnmeldungen und Benachrichtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Konfigurieren von Warnmeldungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Zugriff auf Abfragen und Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Konfigurieren von Notfall-DATs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

Informationen zu Notfall-DATs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Herunterladen einer SuperDAT-Datei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Installieren der SuperDAT-Dateien in einem ePolicy Orchestrator-Repository. . . . . . . . . . . . . . . . . . 94

Installieren der Datei EXTRA.DAT auf einem Client-System. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Teil IV – Überwachung, Analyse und zusätzliche Anpassung des Schutzes. . . . . . . .96

Überwachen der Aktivität in Ihrer Umgebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

Tools zum Überwachen der Aktivität. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

Analysieren des Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Die Wichtigkeit der Analyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Beispiele für das Analysieren des Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Anhang. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102

Konfigurieren von ePolicy Orchestrator-Server-Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

Konfigurieren eines Beispielserver-Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Verwenden der Befehlszeile für VirusScan Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

Befehlszeilenoptionen für On-Demand-Scans. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Befehlszeilenoptionen für Aktualisierungs-Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Verbinden mit Remote-Computern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Zugriff auf Remote-Systeme, auf denen VirusScan Enterprise installiert ist. . . . . . . . . . . . . . . . . . . 108

Einsenden von Bedrohungsbeispielen zur Analyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Zugreifen auf die McAfee Labs-Bedrohungsbibliothek. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Fehlerbehebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Reparieren der Produktinstallation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Anzeigen der Aktivitätsprotokolldatei für den Zugriff. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

Verwenden von MERTool während der Fehlerbehebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Deaktivieren von VirusScan Enterprise während der Fehlerbehebung. . . . . . . . . . . . . . . . . . . . . . . 112

Empfohlene Support- und Fehlerbehebungs-Tools. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

Häufig gestellte Fragen (FAQ). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117


Inhaltsverzeichnis

EinleitungDamit Sie dieses Dokument effektiv nutzen können, sollten Sie wissen, für wen dieses Dokumentverfasst wurde, welche Konventionen hinsichtlich der Schreibweise verwendet werden, was imDokument enthalten ist und wie Sie andere Referenzdokumentationen finden können.

Inhalt

Zielgruppe

Konventionen

Struktur dieses Handbuchs

Finden von Produktdokumentation

ZielgruppeMcAfee-Dokumentation ist sorgfältig recherchiert und wurde speziell für die jeweilige Zielgruppeverfasst.

Die Informationen in diesem Handbuch richten sich in erster Linie an:

• Administratoren: Personen, die das Sicherheitsprogramm eines Unternehmensimplementieren und dessen Durchsetzung erzwingen.

• Benutzer: Personen, die für die Konfiguration der Produktoptionen im System oder für dieAktualisierung ihrer Systeme verantwortlich sind.

KonventionenIn diesem Handbuch werden folgende Konventionen hinsichtlich der Schreibweise verwendet:

Titel eines Buchs, Kapitels oder Themas; Einführung einesneuen Begriffs; Hervorhebung.

Buchtitel oder Betonung

Text mit starker Betonung.Fett

Befehle oder anderer Text, der vom Benutzer eingegebenwird; Pfad zu einem Ordner oder Programm.

Benutzereingabe oder Pfad

Beispiel für Code.Code

Auf der Benutzeroberfläche verwendete Wörter,einschließlich Optionen, Menüs, Schaltflächen undDialogfeldern.

Benutzeroberfläche

Aktiver Link zu einem Thema bzw. zu einer Website.Hypertext (blau)

Zusätzliche Informationen, beispielsweise eine alternativeMethode für den Zugriff auf eine Option.

Hinweis

Vorschläge und Empfehlungen.Tipp


Wertvolle Ratschläge zum Schutz Ihres Computersystems,Ihrer Software-Installation, Ihres Netzwerks, IhresUnternehmens bzw. Ihrer Daten.

Wichtig/Vorsicht

Unbedingt zu beachtender Hinweis zur Vermeidung vonVerletzungen bei der Verwendung von Hardware.

Warnung

Struktur dieses HandbuchsDieses Handbuch dient als Referenz für die Benutzeroberflächen der VirusScan-Konsole undvon ePolicy Orchestrator. Es wird auch in der entsprechenden Reihenfolge beschrieben, wie SieIhr System mithilfe von VirusScan Enterprise vor Malware schützen können. Zur Beschreibungdieses Prozesses ist dieses Dokument in vier Hauptteile und einen Anhang unterteilt:

• Teil I – Prävention: Vermeiden von Bedrohungen – Sie schützen Ihr System am besten,indem Sie verhindern, dass Malware jemals Zugriff auf das System erhält. In diesem Teildes Dokuments wird Folgendes beschrieben:

• Schützen der Systemzugriffspunkte und des Speichers vor Buffer Overflows undunerwünschten Programmen.

• Entdeckungsdefinitionen und ihre Verwendung zum Schützen des Systems und dieWichtigkeit der regelmäßigen Aktualisierung dieser Definitionen.

• Ausschließen von Dateien, Ordnern und Laufwerken von Scans.

• Verwenden geplanter Tasks zum Scannen des Systems in regelmäßigen Abständen undzum Aktualisieren der von VirusScan Enterprise verwendeten Dateien.

• Teil II – Entdeckung: Finden von Bedrohungen – Dateien, die aus anderenDateisystemen oder dem Internet geöffnet oder kopiert werden, bieten möglicherweiseZugriff auf Ihr System. Auch Programmierschnittstellenaufrufe und -skripts (API, ApplicationProgramming Interface) können eine Bedrohung für Ihr System darstellen. Diese Bedrohungenwerden im Rahmen der folgenden VirusScan Enterprise-Scan-Prozessen gefunden:

• Scannen bei Zugriff: Durchsucht eine Datei nach Malware, wenn die Datei gelesen oderauf die Festplatte geschrieben wird, schütze Boot-Sektoren, durchsucht den Speicherbereits ausgeführter Prozesse, entdeckt Cookies und schütz vor unerwünschtenProgrammen.

• On-Demand-Scan: Durchsucht das gesamte System gemäß einem Zeitplan oder beiBedarf nach Bedrohungen, wenn er über die VirusScan-Konsole gestartet wird.

• E-Mail-Scannen bei Empfang und On-Demand: Schützt vor Malware, die über E-Mails inMicrosoft Outlook und Lotus Notes eingeht.

• Buffer Overflow-Schutz: Analysiert von bestimmten Prozessen vorgenommene API-Aufrufe,um zu bestätigen, dass sie benachbarte Daten im Speicherpuffer nicht überschreiben.

• ScriptScan: Sucht Bedrohungen aus Browsern oder anderen Anwendungen, auf diezugegriffen und von denen Windows Script Host verwendet wird.

• Teil III – Reaktion: Bearbeiten von Bedrohungen –VirusScan Enterprise kann sokonfiguriert werden, dass beim Finden einer Bedrohung eine der folgenden Aktionenausgeführt wird:

• Zugriff für die Bedrohung verweigern oder keine weiteren Maßnahmen ergreifen.

EinleitungStruktur dieses Handbuchs


• Löschen oder Bereinigen der Bedrohung. Wenn eine dieser Aktionen ausgeführt wird,wird eine Kopie der ursprünglichen Datei im Quarantäne-Ordner gespeichert.

HINWEIS: Sie können VirusScan Enterprise so konfigurieren, dass der Benutzer im Falleeiner Entdeckung benachrichtigt oder nicht benachrichtigt wird.

• Teil IV – Überwachung, Analyse und zusätzliche Anpassung des Schutzes – Sobaldder Schutz eingerichtet ist und ausgeführt wird, sollten Sie Ihr System mithilfe von ePolicyOrchestrator-Abfragen und -Berichten überwachen. Dann könnten Sie Änderungen an denSicherheitseinstellungen vornehmen, um den Systemschutz zu erhöhen oder zu reduzieren.Alternativ können Sie auch VirusScan-Konsolen-Protokolle und SNMP-Traps (Simple NetworkManagement Protocol) zum Überwachen der Systeme verwenden.

• Anhang – Beschreibt einige zusätzliche Funktionen, mit denen Sie sich bei der Verwendungvon VirusScan Enterprise vertraut machen sollten. Dazu gehören beispielsweise VirusScanEnterprise-Befehlszeilenoptionen, das Herstellen einer Verbindung mit Remote-Systemenüber VirusScan Enterprise usw.

Finden von ProduktdokumentationMcAfee stellt die Informationen bereit, die Sie in der jeweiligen Phase derProduktimplementierung – von der Installation über die Verwendung bis hin zur Fehlerbehandlung– benötigen. Nachdem ein Produkt veröffentlicht worden ist, wird die online verfügbare McAfeeKnowledgeBase um Informationen zu dem Produkt ergänzt.

1 Rufen Sie das ServicePortal des technischen Supports von McAfee unterhttp://mysupport.mcafee.com auf.

2 Greifen Sie unter Self Service (Online-Support) auf die erforderlichen Informationen zu:

VorgehensweiseZugriff auf...

Benutzerdokumentation 1 Klicken Sie auf Product Documentation (Produktdokumentation).

2 Treffen Sie zunächst unter Product (Produkt) und dann unter Version(Version) eine Auswahl.

3 Wählen Sie ein Produktdokument aus.

KnowledgeBase • Klicken Sie auf Search the KnowledgeBase (KnowledgeBasedurchsuchen), um Antworten auf produktbezogenen Fragen ausfindig zumachen.

• Klicken Sie auf Browse the KnowledgeBase (Suche in derKnowledgeBase), um nach Produkt und Version geordnete Artikelanzuzeigen.

EinleitungFinden von Produktdokumentation


http://mysupport.mcafee.com

Erste SchritteDie Erläuterungen zu den Komponenten der McAfee® VirusScan® Enterprise 8.8-Software unddie Reihenfolge für die Konfiguration sollen Ihnen dabei helfen, Ihr System vor Bedrohungenzu schützen.

Inhalt

Einführung in VirusScan Enterprise

Komponenten und deren Zusammenspiel

Die Wichtigkeit der Erstellung einer Sicherheitsstrategie

VirusScan-Konsole und Zugriffsmöglichkeiten

Erste Schritte

Einführung in VirusScan EnterpriseSobald die VirusScan Enterprise-Software installiert ist, wird Ihr System vor Bedrohungengeschützt. Sie können den Schutz erhöhen, wenn Sie die Funktionsweise der Software, dieNeuigkeiten in dieser Version und ihre Hauptkomponenten kennen.

Beschreibung und Funktion

VirusScan Enterprise bietet Ihnen leicht skalierbaren Schutz, schnelle Leistung und mobilesDesign zum Schutz Ihrer Umgebung vor Folgendem:

• Viren, Würmer und Trojaner

• Zugriffspunktverletzungen und ausgenutzte Pufferüberläufe

• Potenziell unerwünschter Code und potenziell unerwünschte Programme

Bedrohungen werden entdeckt und die von Ihnen konfigurierten Maßnahmen zum Schutz IhrerUmgebung ergriffen.

Sie können die Software als Standalone-Produkt konfigurieren oder McAfee® ePolicyOrchestrator®-Software-Version 4.0 und höher für die Verwaltung und Umsetzung von VirusScanEnterprise-Richtlinien verwenden und anschließend mittels Abfragen und Dashboards dieProgrammaktivität und entdeckte Bedrohungen nachverfolgen.

HINWEIS: Dieses Dokument beschreibt die Verwendung von ePolicy Orchestrator 4.0, 4.5 und4.6. Weitere Informationen zur Verwendung dieser Versionen von ePolicy Orchestrator erhaltenSie in der Produktdokumentation der jeweiligen Version.

Was ist neu?

Diese Version umfasst die folgenden neuen Funktionen:

• Optimierte Leistung.


• Mit ePolicy Orchestrator 4.5 und 4.6 können Ihre VirusScan Enterprise-Systeme verwaltetwerden.

• Eine neue ScriptScan-URL-Ausschlussfunktion ermöglicht Ihnen das Konfigurieren vonAusschlüssen anstelle einer manuellen Bearbeitung der Registrierung.

• AntiSpyware Enterprise Module ist vollständig in die VirusScan Enterprise 8.8-Softwareintegriert.

• Unterstützung für Outlook 2010-E-Mail-Scans.

• Unterstützung für Lotus Notes 8.0x bis 8.5.1-E-Mail-Scans.

Komponenten und deren ZusammenspielAls Administrator und Benutzer von VirusScan Enterprise sollten Sie mit den einzelnenKomponenten und Verbindungen vertraut sein. In der folgenden Abbildung sind dieseKomponenten in einer grundlegenden Umgebung dargestellt.

Abbildung 1: VirusScan Enterprise-Komponenten

Client-System

Auf diesem System werden VirusScan Enterprise und der optionale McAfee Agent installiert undkonfiguriert.

• DAT-Dateien: Entdeckungsdefinitionsdateien, auch als Malware-Signaturen bezeichnet,die mit dem Scan-Modul zusammenarbeiten, um Angriffe zu identifizieren und Maßnahmenzu ergreifen.

• Scan-Modul: Wird zum Scannen der Dateien, Ordner und Datenträger des Client-Computersverwendet und prüft sie mit den Informationen in den DAT-Dateien auf bekannte Viren.

HINWEIS: DAT-Dateien und das Scan-Modul werden bei Bedarf über die Internetverbindungmit McAfee Headquarters oder mithilfe optionaler Verbindungen über dasUnternehmensintranet zu einem festgelegten Server aktualisiert.

Erste SchritteKomponenten und deren Zusammenspiel


• Artemis (Heuristische Netzwerkprüfung auf verdächtige Dateien): Sucht nachverdächtigen Programmen und DLLs, die auf durch VirusScan Enterprise geschütztenClient-Systemen ausgeführt werden. Wenn der Echtzeit-Schutz gegen Malware einverdächtiges Programm entdeckt, wird eine DNS-Anfrage mit dem Fingerabdruck derverdächtigen Datei an einen von McAfee Labs gehosteten, zentralen Datenbankservergesendet.

• McAfee Agent (optional): Ermöglicht eine sichere Kommunikation zwischen den von McAfeeverwalteten Produkten und dem McAfee ePolicy Orchestrator-Server. Der Agent bietet auchlokale Dienste wie die Aktualisierung, Protokollierung und Berichterstellung von Ereignissenund Eigenschaften, die Task-Planung, Kommunikation und Richtlinienspeicherung.

McAfee Headquarters

McAfee Headquarters, Sitz von McAfee Labs und dem technischen Support von McAfee, bietetdie folgenden VirusScan Enterprise-Dienste:

• DAT-Aktualisierungen: Diese DAT-Aktualisierungsdateien sind auf einem zentralenDatenbankserver von McAfee gespeichert und werden mithilfe von AutoUpdate auf VirusScanEnterprise-Clients oder in optionale DAT-Repositories kopiert, um Informationen zumBekämpfen bekannter Bedrohungen und neue Listen bekannter Viren nach deren Auffindungin Echtzeit bereitzustellen.

• Scan-Modul-Aktualisierungen: Scan-Modul-Aktualisierungen sind auf einem zentralenDatenbankserver gespeichert und werden bei Bedarf heruntergeladen, um das VirusScanEnterprise-Scan-Modul auf dem aktuellen Stand zu halten.

• McAfee Labs: Diese Bedrohungsbibliothek enthält detaillierte Informationen zu Bedrohungendurch Viren, Trojaner, Scheinviren (Hoax) und potenziell unerwünschte Programme (PUP,Potentially Unwanted Program) sowie darüber, woher sie stammen, wie sie das Systeminfizieren und wie sie behandelt werden können. Die Artemis-Funktion sendet denFingerabdruck der verdächtigen Datei an McAfee Labs, wo die Datei analysiert und die zuergreifende Maßnahme bestimmt wird.

Server

Der optionale Server verwendet die folgenden Komponenten, um viele Client-Systeme remotezu verwalten und zu aktualisieren:

• ePolicy Orchestrator: Verwaltet und erzwingt VirusScan Enterprise-Richtlinien zentral undverwendet dann Abfragen und Dashboards zum Nachverfolgen von Aktivitäten undEntdeckungen.

HINWEIS: Dieses Dokument beschreibt die Verwendung von ePolicy Orchestrator 4.0, 4.5und 4.6. Informationen zu ePolicy Orchestrator finden Sie in der Produktdokumentation fürIhre Version.

• DAT-Repository: Ruft DAT-Aktualisierungen von der McAfee-Download-Site ab. Von dortaus können DAT-Dateien unternehmensweit repliziert werden, da Zugriff für alle anderenComputer besteht. Der über das Netzwerk übertragene Datenumfang wird gering gehalten,indem der Kopierprozess der aktualisierten Dateien auf die Freigabesites automatisiert wird.

Erste SchritteKomponenten und deren Zusammenspiel


Die Wichtigkeit der Erstellung einerSicherheitsstrategie

Zum Schützen Ihrer Client-Systeme vor Viren, Würmern und Trojanern mithilfe von VirusScanEnterprise ist eine gut geplante Strategie erforderlich: Definieren der Vermeidung und Entdeckungvon Bedrohungen, Reaktion auf Bedrohungen und kontinuierliche Analyse und Anpassung.

Prävention – Vermeiden von Bedrohungen

Definieren Sie Ihre Sicherheitsanforderungen so, dass alle Ihre Datenquellen geschützt sind,und entwickeln Sie dann eine wirksame Strategie zum Blockieren von Intrusionen, bevor dieseZugriff auf Ihre Umgebung erhalten. Richten Sie folgende Funktionen ein, um Intrusionen zuunterbinden:

• Benutzeroberflächensicherheit: Richten Sie einen Bildschirm- und Kennwortschutz ein, umden Zugriff auf die VirusScan Enterprise-Benutzeroberfläche zu steuern.

• Zugriffsschutz: Nutzen Sie Zugriffsschutzregeln, um Ihren Computer vor unerwünschtemVerhalten im Zusammenhang mit Dateien, der Registrierung und Ports zu schützen.

• Buffer Overflow-Schutz: Verhindern Sie, dass unnormale Programme oder Bedrohungen diePuffergrenze überschreiten und benachbarten Speicherplatz überschreiben, während Datenin einen Puffer geschrieben werden. Diese ausgenutzten Pufferüberläufe können dazu führen,dass beliebiger Code auf Ihrem Computer ausgeführt wird.

• Schutz vor unerwünschten Programmen: Beseitigen Sie potenziell unerwünschte Programmewie Spyware und Adware von Ihrem Computer.

Entdeckung — Finden von Bedrohungen

Entwickeln Sie eine effektive Strategie zur Entdeckung von Intrusionen, sobald diese stattfinden.Konfigurieren Sie folgende Funktionen, um Intrusionen zu entdecken:

• Aktualisierungs-Task: Aktualisieren Sie DAT-Dateien und das Scan-Modul automatisch überdie McAfee-Download-Website.

• Zugriffsscanner: Entdecken Sie potenzielle Bedrohungen von beliebigen Quellen beimSchreiben und Auslesen von Dateien Ihrer Laufwerke. Sie können auch auf potenziellunerwünschte Cookies im Cookies-Ordner scannen.

• On-Demand-Scan-Task: Entdecken Sie potenzielle Bedrohungen mithilfe sofortiger undgeplanter Scan-Tasks. Sie können auch auf potenziell unerwünschte Cookies undRegistrierungseinträge scannen, die mit Spyware in Verbindung stehen und die zuvor nichtbereinigt wurden.

• E-Mail-Scanner bei Empfang und On-Demand: Entdecken Sie potenzielle Bedrohungen aufMicrosoft Outlook-E-Mail-Clients mithilfe des Empfangsscanners für Nachrichten, Anlagenund öffentliche Ordner. Entdecken Sie potenzielle Bedrohungen auf Lotus Notes-E-Mail-Clientsbeim Zugriff auf Nachrichten.

• Quarantine Manager-Richtlinie: Legen Sie den Quarantäne-Speicherort und den Zeitraumfest, in dem die isolierten Elemente gespeichert werden sollen. Isolierte Elemente könnenbei Bedarf wiederhergestellt werden.

Reaktion — Bearbeiten von Bedrohungen

Nutzen Sie die Protokolldateien des Produkts, automatische Aktionen und andereBenachrichtigungsfunktionen, um die beste Art zur Behandlung von Entdeckungen festzulegen.

• Aktionen: Richten Sie automatische Maßnahmen für den Fall entdeckter Bedrohungen ein.

Erste SchritteDie Wichtigkeit der Erstellung einer Sicherheitsstrategie


• Protokolldateien: Überwachen Sie Produktprotokolldateien, um den Verlauf entdeckterElemente anzuzeigen.

• Abfragen und Dashboards: Überwachen Sie mithilfe von ePolicy Orchestrator-Abfragen und-Dashboards die Scanvorgänge und Entdeckungen.

Anpassung — Überwachung, Analyse und zusätzliche Anpassung des Schutzes

Nach der Erstkonfiguration von VirusScan Enterprise ist es immer gut, die Konfiguration zuüberwachen und zu analysieren. Dadurch kann die System- und Netzwerkleistung optimiert unddie Stufe des Virenschutzes bei Bedarf erhöht werden. Die folgenden VirusScan Enterprise-Toolsund -Funktionen können beispielsweise als Teil Ihrer Prozesse zur Überwachung, Analyse undzusätzlichen Abstimmung geändert werden:

• Protokolldateien (VirusScan-Konsole): Zeigen Sie einen Verlauf der entdeckten Elemente an.Durch das Analysieren dieser Informationen erfahren Sie, ob Sie den Schutz erhöhen oderdie Konfiguration ändern müssen, um die Systemleistung zu verbessern.

• Abfragen und Dashboards (ePolicy Orchestrator-Konsole): Überwachen Sie die Scan-Aktivitätund Entdeckungen. Durch das Analysieren dieser Informationen erfahren Sie, ob Sie denSchutz erhöhen oder die Konfiguration ändern müssen, um die Systemleistung zu verbessern.

• Geplante Tasks: Ändern Sie Tasks (wie AutoUpdate) und Scan-Zeiten, um die Leistung zuoptimieren, indem Sie die Tasks außerhalb der Spitzenzeiten ausführen.

• DAT-Repositories: Reduzieren Sie den Netzwerkverkehr im Unternehmens-Internet oder-Intranet, indem Sie diese Quelldateien näher bei den Clients speichern, die dieseAktualisierungen benötigen.

• Ändern der Scan-Richtlinien: Verbessern Sie die Leistung oder erhöhen Sie den Virenschutzin Abhängigkeit Ihrer Analyse der Protokolldateien oder Abfragen. Durch das Konfigurierenvon Ausschlüssen, des Zeitpunkts der Verwendung von Scans für Profile mit hohem undniedrigem Risiko sowie des Zeitpunkts der Deaktivierung von Scans beim Schreiben kanndie Leistung beispielsweise optimiert werden.

VORSICHT: Wenn beim Aktivieren der Scans "Beim Lesen vom Datenträger" ein Fehlerauftritt, ist das System vor zahlreichen Malware-Angriffen nicht geschützt.

VirusScan-Konsole und ZugriffsmöglichkeitenDie VirusScan-Konsole ist die Oberfläche für die Standalone-Version der Programmaktivitäten.Mit ihr konfigurieren, überwachen und aktualisieren Sie das Produkt.

HINWEIS: Diese Informationen gelten nur für die Standalone-Version des Produkts und nichtfür die verwaltete ePolicy Orchestrator-Version.

Die VirusScan-Konsole und ihre FunktionsweiseNachdem Sie die Funktionsweise und Komponenten von VirusScan Enterprise nachvollzogenhaben, müssen Sie wissen, wie Sie auf die Funktionen zugreifen können. Öffnen Sie die VirusScanEnterprise 8.8-Konsole mithilfe einer der folgenden Methoden:

• Wählen Sie im Start-Menü den Eintrag Programme | McAfee | VirusScan-Konsoleaus.

• Klicken Sie in der Taskleiste mit der rechten Maustaste auf das Schutzschild-Symbol vonVirusScan Enterprise, und wählen Sie dann VirusScan-Konsole aus.

Erste SchritteVirusScan-Konsole und Zugriffsmöglichkeiten


Menüleiste

Mithilfe der Menüpunkte können Sie Tasks erstellen, Eigenschaften konfigurieren und aufzusätzliche Informationen zugreifen.

• Task: Hier können Sie Tasks, wie etwa das Suchen nach Bedrohungen, erstellen undkonfigurieren oder die DAT-Dateien aktualisieren.

• Bearbeiten: Hier können Sie den ausgewählten Task kopieren, einfügen, löschen oderumbenennen.

• Anzeigen: Hier können Sie die Symbolleiste und die Statusleiste anzeigen und die Anzeigeaktualisieren.

• Extras: Hier können Sie für Benutzer die Optionen der Benutzeroberfläche festlegen, dieSicherheitseinstellungen für die Benutzeroberfläche sperren oder entsperren, Warnungenkonfigurieren, auf die Ereignisanzeige zugreifen, eine Remote-Konsole öffnen, falls Sie überAdministratorrechte verfügen, die Repository-Liste importieren oder bearbeiten und dieDAT-Dateien per Rollback auf eine frühere Version zurücksetzen.

• Hilfe: Hier können Sie auf Hilfethemen, die Bedrohungsbibliothek auf der McAfeeLabs-Website, die Website zum Senden von Beispielen sowie auf die Website des technischenSupports zugreifen. Des Weiteren haben Sie die Möglichkeit, die Produktinstallation zureparieren und im Dialogfeld Info Copyright-Informationen sowie Angaben zur Version desProdukts, der Lizenz, der Definitionsdateien, des Scan-Moduls, des Zusatztreibers und desPatches einzusehen.

HINWEIS: Alle Menüelemente können auch über Tastenkombinationen aufgerufen werden. Beieinigen Betriebssystemen sind diese Tastenkombinationen möglicherweise erst verfügbar,nachdem Sie F10 oder ALT gedrückt haben, um auf die Menüs zuzugreifen.

Toolbar

Über die hier enthaltenen Symbole können Sie auf die am häufigsten verwendeten Befehlezugreifen.

• Anzeigen der Eigenschaften des ausgewählten Tasks.

• Starten des ausgewählten Tasks.

• Anhalten des ausgewählten Tasks.

• Kopieren des ausgewählten Tasks.

• Einfügen des ausgewählten Tasks.

• Löschen des ausgewählten Tasks.

• Konfigurieren der Warnungseigenschaften.

• Starten der Ereignisanzeige.

• Zugreifen auf die Informationsbibliothek auf der McAfee Labs-Website.

• Herstellen der Verbindung zu einem Remote-Computer, falls Sie über Administratorrechteverfügen.

• Erstellen eines neuen On-Demand-Scan-Tasks.

Taskliste

Zeigt die Standard-Tasks an und alle neuen Tasks, die Sie erstellen, sowie den Status und dasletzte Ergebnis der einzelnen Tasks.



Statusleiste

Zeigt den Status der aktuellen Aktivität an.

Funktionen der rechten MaustasteÜber die Funktionen der rechten Maustaste haben Sie schnellen Zugriff auf häufig verwendeteAktionen wie Erstellen neuer Tasks, Anzeigen von Statistiken und Protokollen, Öffnen derTask-Eigenschaftenseiten, Scannen bestimmter Dateien oder Ordner oder sofortiges Durchführenvon Aktualisierungs-Tasks.

Funktionsbeschreibung

BeispieleBeschreibungOrt

Klicken Sie mit der rechten Maustaste auf dieVirusScan-Konsole, um die Funktionen der rechten

Die Konsole • Klicken Sie in der Konsole mit derrechten Maustaste auf einen Task, um

Maustaste anzuzeigen. Welche Funktionen angezeigt seine Eigenschaften aufzurufen.werden, hängt davon ab, ob Sie in der Taskliste einen Abhängig davon, welchen Task SieTask ausgewählt haben und um welchen Task es sichhandelt.

ausgewählt haben, können Sie diesenteilweise auch starten, stoppen,aktivieren oder deaktivieren sowie dieStatistiken und das Aktivitätsprotokollanzeigen. Teilweise können Sie den Taskauch umbenennen oder löschen.

• Klicken Sie mit der rechten Maustasteauf einen freien Bereich der Konsole, umeinen neue Scan- oderAktualisierungs-Task zu erstellen.

Falls Ihnen eine Datei oder ein Ordnerverdächtig vorkommt, sollten Sieumgehend einen Scan durchführen.

Klicken Sie mit der rechten Maustaste auf eineausgewählte Datei oder einen ausgewählten Ordner,um die Option Scannen auf Bedrohungenauszuführen. Für den Scan lässt sich eine Aktionauswählen:

Windows-Explorer

Beim Starten des Scan-Vorgangs wird derOn-Demand-Scanner direkt aufgerufen,

• Bereinigen: Entdeckung melden und bereinigen. und alle Scan-Einstellungen werdenaktiviert. Wählen Sie die Option "Aktion"• Fortsetzen: Entdeckung melden und mit dem

Scannen fortfahren. aus. Andere Scan-Einstellungen lassen sichnicht anpassen.

Beschreibungen zu den Funktionen der rechten Maustaste für das VirusScan Enterprise-Symbolfinden Sie unter Funktionsweise der Taskleistensymbole.

Die Taskleiste

Funktionsweise der TaskleistensymboleNach der Installation von VirusScan Enterprise wird eines der folgenden Symbole in derWindows-Taskleiste angezeigt (sofern Sie dies bei der Installation so konfiguriert haben).

"M" in einem Schutzschild-Symbol

Wird bei von ePolicy Orchestrator verwalteten Systemen angezeigt, für die McAfee Agent,Version 4.5 oder höher, verwendet wird. Folgendes wird angezeigt:

• Status: Dieses Symbol ändert sich nicht, um Warnungen zur Auslösung des Zugriffsschutzesoder die Deaktivierung des Scannens bei Zugriff auf von ePolicy Orchestrator verwaltetenClients mit McTray, Version 2.x oder höher (mit McAfee Agent 4.5 oder höher), anzugeben.Die Statusänderungen werden als Quickinfo angezeigt.

• Quickinfos: Die Quickinfos des Symbols umfassen Folgendes:



McAfee-Status: OK – Normal. Mit den Optionen wird Folgendes angegeben:•

• Sicherheitsstatus anzeigen: Es wird ein Häkchen angezeigt.

• Schnellkonfiguration | Virenscan bei Zugriff - An: Es wird ein Häkchen angezeigt.

• McAfee-Status: Problem entdeckt – Scannen bei Zugriff deaktiviert. Mit den Optionenwird Folgendes angegeben:

• Sicherheitsstatus anzeigen: Es wird ein Ausrufezeichen angezeigt.

HINWEIS: Klicken Sie auf Sicherheitsstatus anzeigen, um das Dialogfeld für denMcAfee-Sicherheitsstatus für das Problem – "Scannen bei Zugriff deaktiviert" in derStatusspalte anzuzeigen.

• Schnellkonfiguration | Virenscan bei Zugriff - Aus: Es wird kein Häkchenangezeigt.

• McAfee-Status: Problem entdeckt – Zugriffsschutzereignis wurde ausgelöst. Mit denOptionen wird Folgendes angegeben:

• Sicherheitsstatus anzeigen: Es wird ein Ausrufezeichen angezeigt.

HINWEIS: Klicken Sie auf Sicherheitsstatus anzeigen, um das Dialogfeld für denMcAfee-Sicherheitsstatus für das Problem – "Weitere Informationen imZugriffsschutzprotokoll" in der Statusspalte anzuzeigen.

• Schnellkonfiguration | Virenscan bei Zugriff - An: Es wird ein Häkchen angezeigt.

• Menüoptionen: Die Menüoptionen der rechten Maustaste umfassen Folgendes:

• Sicherheit aktualisieren: Aktualisiert die DAT-Dateien und alle anderen Änderungen.

• Schnellkonfiguration: Folgendes wird angezeigt:

• Eigenschaften für Scan bei Zugriff: Öffnet die Eigenschaften des Zugriffsscanners.

• Scannen bei Zugriff aktivieren oder deaktivieren: Aktiviert oder deaktiviert denOn-Access-Scan.


• Nachrichten vom Scannen bei Zugriff: Öffnet Statistiken oder Nachrichten vomScannen bei Zugriff.

• Zugriffsschutz-Protokolldatei öffnen: Öffnet die Protokolldatei.

• Funktionen verwalten | VirusScan Enterprise: Öffnet die VirusScan-Konsole.

• Computer scannen auf | Bedrohungen: Starten sofort einen Scan-Vorgang.

• Sicherheitsstatus anzeigen: Zeigt das Dialogfeld für den McAfee-Sicherheitsstatusan.

• McAfee Agent-Statusmonitor: Zeigt das Dialogfeld für denMcAfee-Sicherheitsstatusmonitor an.

• Info: Öffnet das Dialogfeld Info.

"M" in einem Feld

Wird bei Standalone-Systemen mit McTray 1.0 und bei von ePolicy Orchestrator verwaltetenSystemen mit McAfee Agent, Version 4.0, angezeigt, für die McTray 1.0 verwendet wird.Folgendes wird angezeigt:

• Status: Folgendes wird angezeigt:



"M" in einem Feld: Status "Normal".•

•"M" in einem Feld mit einem Ausrufezeichen: Es wurde ein

Zugriffsschutzverletzungs-Ereignis ausgelöst oder das Scannen bei Zugriff ist deaktiviert.Mit den Menüoptionen der rechten Maustaste wird Folgendes angegeben:

•"V" in einem Schutzschild mit einem Kreis und einem Strich: Gibt an, dass das

Scannen bei Zugriff deaktiviert ist.

•"V" in einem Schutzschild mit einem roten Rand: Gibt an, dass das Scannen bei

Zugriff aktiviert ist, aber in der Zugriffsschutz-Protokolldatei nachgesehen werden soll.

• Quickinfo: Zeigt "McAfee" an.


• VirusScan-Konsole: Öffnet die VirusScan-Konsole.

• Scannen bei Zugriff aktivieren oder deaktivieren: Aktiviert oder deaktiviert denZugriffsscanner.


• Statistische Daten zum Scannen bei Zugriff: Öffnet Statistiken oder Nachrichtenvom Scannen bei Zugriff.


• On-Demand-Scan: Erstellt einen einmaligen, konfigurierbaren On-Demand-Scan.

• Jetzt aktualisieren: Führt einen sofortigen Aktualisierungs-Task aus.

• Info zu VirusScan Enterprise: Öffnet das Dialogfeld Info.

"V" in einem Schutzschild-Symbol

Wird bei Standalone-Systemen ohne McTray 1.0 angezeigt. Folgendes wird angezeigt:

• Status: Folgendes wird angezeigt:

• "V" in einem Schutzschild: Normal.

•"V" in einem Schutzschild mit einem Kreis und einem Strich: Gibt an, dass das

Scannen bei Zugriff deaktiviert ist.

•Ein "V" in einem Schutzschild mit einem roten Rand: Gibt an, dass das Scannen bei

Zugriff aktiviert ist, aber in der Zugriffsschutz-Protokolldatei nachgesehen werden soll.

• Quickinfos: Die Quickinfos umfassen Folgendes:

• "V" in einem Schutzschild: McAfee OAS: aktiviert, normal.

•"V" in einem Schutzschild mit einem Kreis und einem Strich: McAfee OAS: deaktiviert.

•"V" in einem Schutzschild mit einem roten Rand: McAfee OAS: aktiviert, siehe

Zugriffsschutz-Protokolldatei.


• Sicherheit aktualisieren: Aktualisiert DAT-Dateien und alle anderen Änderungen.



• Schnellkonfiguration: Folgendes wird angezeigt:


• Scannen bei Zugriff ein oder aus: Aktiviert oder deaktiviert den Zugriffsscanner.


• Zugriffsschutz-Protokolldatei öffnen: Öffnet die Protokolldatei.

• Funktionen verwalten | VirusScan Enterprise: Öffnet die VirusScan-Konsole.

• Computer scannen auf | Bedrohungen: Starten sofort einen Scan-Vorgang.

• Sicherheitsstatus anzeigen: Zeigt das Dialogfeld für den McAfee-Sicherheitsstatusan.

• McAfee Agent-Statusmonitor: Zeigt das Dialogfeld für denMcAfee-Sicherheitsstatusmonitor an.

• Info: Öffnet das Dialogfeld Info.

Erste SchritteNachdem die Software installiert ist, werden die im Lieferumfang des Produkts enthaltenenDAT-Dateien verwendet, die der Umgebung eine allgemeine Sicherheit bieten. Es wird empfohlen,vor der Bereitstellung des Produkts auf Client-Systemen die aktuellen DAT-Dateien abzurufenund die Konfiguration an Ihre Anforderungen anzupassen.

Nehmen Sie die folgenden Aktionen unmittelbar nach Installation des Produkts vor:

1 Festlegen der Benutzeroberflächensicherheit. Konfigurieren und Anzeigen derKennwortoptionen, um zu verhindern, dass Benutzer Zugriff auf spezifische Komponentenoder die gesamte VirusScan Enterprise-Benutzeroberfläche haben. Weitere Informationenfinden Sie unter Zugriff auf die Benutzeroberfläche kontrollieren.

2 DAT-Dateien aktualisieren. Durchführen einer Jetzt aktualisieren-Task, umsicherzustellen, dass Sie über die aktuellen DAT-Dateien verfügen. Weitere Informationenfinden Sie unter Aktualisieren von Entdeckungsdefinitionen.

3 Vermeiden von Intrusionen. Konfigurieren folgender Funktionen, um zu verhindern,dass potenzielle Bedrohungen auf Ihren Computer zugreifen:

• Zugriffsschutz. Konfigurieren von Zugriffsschutzregeln, um unerwünschteVeränderungen an Ihrem Computer zu verhindern, und Aktivieren der Funktion, die dasBeenden von McAfee-Prozessen verhindert. Weitere Informationen finden Sie unterSchützen der Systemzugriffspunkte.

• Buffer Overflow-Schutz. Aktivieren des Buffer Overflow-Schutzes und Angeben vonAusschlüssen. Weitere Informationen finden Sie unter Blockieren von BufferOverflow-Exploits.

• Richtlinie für unerwünschte Programme. Konfigurieren der Richtlinie, die derZugriffs-, der On-Demand- und der E-Mail-Scanner für die Entdeckung potenziellunerwünschter Programme verwenden. Auswählen von Kategorien unerwünschterProgramme aus einer vordefinierten Liste zur Entdeckung und anschließendes Definierenzusätzlicher Programme, die entdeckt oder ausgeschlossen werden sollen. WeitereInformationen finden Sie unter Einschränken potenziell unerwünschter Programme.

4 Entdecken von Intrusionen. Konfigurieren der folgenden Funktionen, damit potenzielleBedrohungen auf Ihren Computern entdeckt werden, und bei einer Entdeckung

Erste SchritteErste Schritte


entsprechende Maßnahmen ergriffen werden, über die Sie anschließend eineBenachrichtigung erhalten:

• AutoUpdate. Konfigurieren von Aktualisierungs-Tasks, um die neuesten DAT-Dateiensowie Aktualisierungen für das Scan-Modul und Produkte abzurufen. WeitereInformationen finden Sie unter Aktualisieren von Entdeckungsdefinitionen.

• Zugriffsscanner. Konfigurieren des Scanners für das Entdecken potenziellerBedrohungen und das Ergreifen geeigneter Maßnahmen, wenn die Bedrohungen in IhrerUmgebung entdeckt werden. Aktivieren des Scans nach unerwünschten Programmenund Scannen nach Cookies im Cookies-Ordner. Weitere Informationen finden Sie unterScannen von Elementen bei Zugriff.

• On-Demand-Scanner. Konfigurieren von Scan-Tasks für das Entdecken potenziellerBedrohungen in Ihrer Umgebung und das Ergreifen geeigneter Maßnahmen. Aktivierendes Scans nach unerwünschten Programmen und Scannen nach Cookies imCookies-Ordner und nach potenziell unerwünschten mit Spyware in Verbindung stehendenRegistrierungseinträgen, die zuvor nicht bereinigt wurden. Weitere Informationen findenSie unter On-Demand-Scan von Elementen.

• E-Mail-Scanner. Konfigurieren von Empfangs- und On-Demand-Scans von MicrosoftOutlook und Lotus Notes-E-Mail-Clients. Aktivieren des Scans nach unerwünschtenProgrammen. Weitere Informationen finden Sie unter E-Mail-Scannen bei Empfang undOn-Demand.

5 Senden von Warnungen und Isolieren von Bedrohungen. Konfigurieren Sie dieseFunktionen so, dass Sie gewarnt werden, wenn Entdeckungen stattfinden, und verwaltenSie isolierte Elemente:

• Warnungen und Benachrichtigungen. Konfigurieren der Art und des Zeitpunktsvon Entdeckungsbenachrichtigungen und -warnungen. Weitere Informationen findenSie unter Konfigurieren von Warnmeldungen und Benachrichtigungen.

• Quarantine Manager-Richtlinie. Konfigurieren des Quarantäne-Ordners und derDauer in Tagen, für die isolierte Elemente vor ihrer automatischen Löschung gespeichertwerden. Weitere Informationen finden Sie unter Isolierte Elemente.

Erste SchritteErste Schritte


Teil I – Prävention: Vermeiden vonBedrohungen

Prävention ist der erste Schritt in einer Schutzstrategie, um zu verhindern, dass BedrohungenZugriff auf Ihr System erlangen.

Inhalt

Zugriffsschutz

Schützen der Systemzugriffspunkte

Blockieren von Buffer Overflow-Exploits

Einschränken potenziell unerwünschter Programme

Aktualisieren von Entdeckungsdefinitionen

Ausschließen von Scan-Elementen

Verwenden geplanter Tasks

ZugriffsschutzDie Vermeidung von böswilligem Zugriff auf Ihr Client-System stellt Ihre erste Verteidigungsliniegegen Malware. Die Zugriffsschutzfunktion von VirusScan Enterprise vergleicht eine angeforderteAktion mit einer Liste konfigurierter Regeln. Jede Regel kann so konfiguriert werden, dassZugriffsverletzungen blockiert oder gemeldet oder blockiert und gemeldet werden, wenn siestattfinden.

Der Zugriffsschutz verhindert unerwünschte Änderungen an Ihrem Computer, indem der Zugriffauf bestimmte Ports, Dateien, Freigaben, Registrierungsschlüssel und -werte eingeschränktwird. Er schützt außerdem McAfee-Prozesse, indem verhindert wird, dass Benutzer diese beenden.Diese Schutzmaßnahme ist sowohl vor als auch während Ausbrüchen von entscheidenderBedeutung.

Diese Funktion verwendet vordefinierte und benutzerdefinierte Regeln, um anzugeben, aufwelche Elemente zugegriffen werden kann und auf welche nicht. Jede Regel kann so konfiguriertwerden, dass Zugriffsverletzungen blockiert oder gemeldet oder blockiert und gemeldet werden,wenn sie stattfinden. Vordefinierte Regeln und Kategorien können über dieMcAfee-Aktualisierungswebsites aktualisiert werden.

HINWEIS: Der Zugriffsscanner, der Zugriffsverletzungen entdeckt, muss aktiviert sein, damitZugriffsversuche auf Ports, Dateien, Freigaben, Registrierungsschlüssel und -Werte entdecktwerden.

Zugriffsmöglichkeiten für Bedrohungen

Die folgenden Elemente stellen die häufigsten Zugriffsmöglichkeiten für Bedrohungen dar:

• Makros: Als Teil von Textverarbeitungsdokumenten oder Tabellenanwendungen.


• Ausführbare Dateien: Scheinbar gutartige Programme können neben dem erwartetenProgramm auch Viren enthalten. Einige häufige Dateierweiterungen sind beispielsweise .EXE,.COM, .VBS, .BAT, .HLP und .DLL.

• E-Mail: Scherze, Spiele und Bilder als Teil von E-Mails mit Anlagen.

• Skripts: Webseiten oder E-Mails zugeordnete Skripts wie ActiveX und JavaScript könnenViren enthalten, wenn ihre Ausführung zugelassen wird.

• Internet Relay Chat-Nachrichten (IRC): Mit diesen Nachrichten gesendete Dateienkönnen einfach Malware als Teil der Nachricht enthalten. Automatische Startprozesse könnenbeispielsweise Bedrohungen in Form von Würmern oder Trojanern enthalten.

• Browser- und Anwendungshilfedateien: Beim Herunterladen dieser Hilfedateien ist dasSystem eingebetteten Viren und ausführbaren Dateien ausgesetzt.

• Kombinationen aller dieser Elemente: Erfahrene Malware-Entwickler kombinieren allediese Übertragungsmethoden und betten eine Malware in eine andere ein, um auf IhrenComputer zuzugreifen.

Inhalt

Stoppen von Zugriffsbedrohungen

Steuern des Zugriffs auf die Benutzeroberfläche

Stoppen von ZugriffsbedrohungenDurch Aktivieren oder Ändern der Konfiguration für die Zugriffsschutzfunktion können Sie denSpyware-Schutz, den Antivirenschutz, den allgemeinen Schutz sowie den Schutz für virtuelleComputer konfigurieren und Ihre eigenen Schutzregeln definieren. Nachfolgend finden Sie dengrundlegenden Prozess, der von VirusScan Enterprise zum Bereitstellen des Zugriffsschutzesverwendet wird.

Beim Auftreten einer Bedrohung ausgeführte Schritte

1 Ein Benutzer oder Prozess versucht, eine Aktion auszuführen.

2 Diese Aktion wird gemäß den definierten Regeln vom Zugriffsschutz überprüft.

3 Wenn eine Regel nicht eingehalten wird, wird die vom Benutzer oder Prozess angeforderteAktion gemäß den in den Regeln konfigurierten Informationen behandelt. Die Aktion führtbeispielsweise zu keiner Reaktion, sie wird blockiert, oder sie wird blockiert, und es wirdein Bericht gesendet.

4 Die Zugriffsschutz-Protokolldatei wird aktualisiert, und es wird ein Ereignis für den globalenePolicy Orchestrator-Administrator generiert.

Beispiel für eine Zugriffsbedrohung

1 Ein Benutzer lädt ein Programm, MyProgram.exe, aus dem Internet herunter.

HINWEIS: In diesem Beispiel stellt MyProgram.exe keine Malware dar.

2 Der Benutzer startet das Programm, und es scheint, dass es wie erwartet gestartet wird.

3 Von MyProgram.exe wird dann ein untergeordneter Prozess namens AnnoyMe.exe gestartet,und diese Datei versucht, das Betriebssystem zu ändern, um sicherzustellen, dass die Dateibei jedem Systemstart immer geladen wird.

4 Der Zugriffsschutz verarbeitet die Anforderung und ordnet sie einer vorhandenen Regelnzu, die so konfiguriert ist, dass die Anforderung blockiert und gemeldet wird.

Teil I – Prävention: Vermeiden von BedrohungenZugriffsschutz


5 Für AnnoyMe.exe wird der Zugriff verweigert, wenn die Datei versucht, das Betriebssystemzu ändern. Der Zugriffsschutz protokolliert die Details des Zugriffsversuchs und generierteine Warnung für den globalen ePolicy Orchestrator-Administrator.

Protokollbericht und generierte Warnungen

Dies ist ein Beispiel für einen Zugriffsschutz-Protokolleintrag.2/10/2010 11:00AM Blocked by Access Protection rule TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe\REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ Prevent programs registering to autorun

In dieser Tabelle sind die Daten aus dem vorherigen Zugriffsschutz-Protokolleintrag beschrieben:

BeschreibungProtokolleintrag

Datum2/10/2010

Uhrzeit11:00AM

Ausgeführte AktionBlocked by Access Protection rule

AnmeldeinformationenTestDomain\TestUser

Name des gegen die Regel verstoßenden ProzessesC:\Users\TestUser\Desktop\AnnoyMe.exe

Ort, auf den der Prozess versucht hat, zuzugreifen\REGISTRY\MACHINE\SOFTWARE\Microsoft...

Ausgelöste ZugriffsschutzregelPrevent programs registering to autorun

Ähnliche Informationen können mithilfe von ePolicy Orchestrator-Abfragen abgerufen werden.Ausführliche Informationen finden Sie unter Zugriff auf Abfragen und Dashboards.

Steuern des Zugriffs auf die BenutzeroberflächeDas Festlegen der Sicherheit für die Oberfläche auf Client-Computern ist ein wichtiger Bestandteildes Schutzes Ihrer Umgebung.

Als Administrator können Sie:

• den Zugriff der Benutzer auf die VirusScan Enterprise-Benutzeroberfläche steuern.

• Legen Sie ein Kennwort fest, um zu verhindern, dass Benutzer auf ausgewählte Funktionenzugreifen oder diese verändern.

• Sperren und entsperren Sie die Benutzeroberfläche nach Bedarf.

Inhalt

Welche Auswirkungen hat das Festlegen eines Kennworts auf den Benutzer?

Konfigurieren der Einstellungen für die Benutzeroberflächensicherheit

Welche Auswirkungen hat das Festlegen eines Kennworts auf denBenutzer?

Richten Sie ein Kennwort für die Benutzeroberfläche ein, um Benutzer mit schlechten Absichtenabzuschrecken.

Wenn Sie die Benutzeroberfläche auf Client-Computern mit Kennwörtern schützen, hat diesAuswirkungen auf die folgenden Benutzer:

• Normale Benutzer – Benutzer ohne Administratorenrechte. Benutzer ohneAdministratorberechtigungen führen alle VirusScan Enterprise-Anwendungen imschreibgeschützten Modus aus. Sie können einige Konfigurationsparameter anzeigen,



gespeicherte Scans durchführen sowie sofortige Scans und Aktualisierungen starten. Siekönnen keine Konfigurationsparameter ändern, gespeicherte Scan- und Aktualisierungs-Taskserstellen, löschen oder ändern.

• Administratoren – Benutzer mit Administratorrechten. Administratoren müssen dasKennwort eingeben, um auf die geschützten Registerkarten und Steuerelemente imLese-/Schreibmodus zuzugreifen. Wenn für ein geschütztes Element kein Kennworteingegeben wird, erfolgt die Anzeige im schreibgeschützten Modus.

Konfigurieren der Einstellungen für die BenutzeroberflächensicherheitVerwenden Sie die Benutzeroberflächeneigenschaften Richtlinien für allgemeine Optionen,um die für die Benutzer verfügbaren Anzeige- und Kennwortoptionen zu konfigurieren.

VORSICHT: Prüfen Sie die Auswirkungen auf die Sicherheit ganz genau, bevor Sie Änderungenan diesen Eigenschaften vornehmen. Mit diesen Optionen können Sie zulassen oder verweigern,dass Benutzer Änderungen an ihrer Sicherheitskonfiguration vornehmen, und verhindern, dassSysteme vor zahlreichen Malware-Angriffen geschützt sind.

Konfigurieren Sie die Benutzeroberflächeneigenschaften Richtlinien für allgemeine Optionenmit diesen Benutzeroberflächenkonsolen.

ePolicy Orchestrator 4.5 oder 4.6Konfigurieren Sie die BenutzeroberflächeneigenschaftenRichtlinien für allgemeineOptionen.

Task

Optionsbeschreibungen erhalten Sie durch Klicken auf die Schaltfläche ? der Registerkarten.

1 Klicken Sie auf Menü | Richtlinie | Richtlinienkatalog, und wählen Sie dann in derListe Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategoriewerden die Richtlinienkategorien für VirusScan Enterprise 8.8.0 angezeigt.

2 Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie.Bearbeiten einer vorhandenen Richtlinie

a Wählen Sie in der Liste Kategorie die Richtlinienkategorie aus.

b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mitder Richtlinienkonfiguration zu öffnen.

Erstellen einer neuen Richtlinie

a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zuöffnen.

b Wählen Sie in der Liste Kategorie eine vorhandene Richtlinie aus.

c Wählen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinieerstellen eine der Einstellungen aus.

d Geben Sie einen neuen Richtliniennamen ein.

e Geben Sie bei Bedarf Hinweise ein.

f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinienangezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten,um die Seite mit der Richtlinienkonfiguration zu öffnen.

3 Wählen Sie in der Liste Einstellungen für den Eintrag Workstation oder Server aus.



4 Konfigurieren Sie auf der Registerkarte Anzeigeoptionen, welche VirusScanEnterprise-Taskleistensymbole den Benutzern angezeigt werden sollen, ob sie Verbindungenmit Remotesystemen herstellen können, und konfigurieren Sie dieSprachoptionseinstellungen des Benutzers.

5 Konfigurieren Sie auf der Registerkarte Kennwortoptionen, welche VirusScanEnterprise-Tasks und Benutzeroberflächenoptionen die Benutzer mit dem richtigen Kennwortändern können.

ePolicy Orchestrator 4.0Konfigurieren Sie die BenutzeroberflächeneigenschaftenRichtlinien für allgemeineOptionen.

Task

Optionsbeschreibungen erhalten Sie durch Klicken auf die Schaltfläche ? der Registerkarten.

1 Klicken Sie auf Systeme | Richtlinienkatalog, und wählen Sie dann in der Liste Produktden Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden dieRichtlinienkategorien für VirusScan Enterprise 8.8.0 angezeigt.



b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit derRichtlinienkonfiguration zu öffnen.


a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu öffnen.

b Wählen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinieerstellen eine der Einstellungen aus.

c Geben Sie einen neuen Richtliniennamen ein.

d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinienangezeigt.




VirusScan-KonsoleKonfigurieren Sie die Benutzeroberflächeneigenschaften Allgemeine Optionen.

Task

Optionsbeschreibungen erhalten Sie durch Klicken auf die Schaltfläche Hilfe der Registerkarten.

1 Klicken Sie auf Extras | Allgemeine Optionen, um das KonfigurationsdialogfeldAllgemein Optionen zu öffnen.





Schützen der SystemzugriffspunkteDer Zugriffsschutz verhindert unerwünschte Änderungen an Ihrem Computer, indem der Zugriffauf bestimmte Ports, Dateien, Freigaben, Registrierungsschlüssel und -werte eingeschränktwird. Er schützt außerdem McAfee-Prozesse, indem verhindert wird, dass Benutzer diese beenden.Diese Schutzmaßnahme ist sowohl vor als auch während Ausbrüchen von entscheidenderBedeutung.

Diese Funktion verwendet vordefinierte Regeln und Kategorien sowie benutzerdefinierte Regeln,um anzugeben, auf welche Elemente zugegriffen werden kann und auf welche nicht. Jede Regelkann so konfiguriert werden, dass Zugriffspunktverletzungen sofort beim Auftreten blockiertund gemeldet werden. Vordefinierte Regeln und Kategorien unterliegen denInhaltsaktualisierungen der McAfee-Aktualisierungs-Websites.

Inhalt

Definieren von Zugriffschutzregeln

Zugriffspunktverletzungen und wie VirusScan Enterprise darauf reagiert

Typen benutzerdefinierter Regeln

Konfigurieren der Zugriffsschutzeinstellungen

Definieren von ZugriffschutzregelnFolgende Regeltypen werden unterschieden, die drei Sicherheitsstufen bieten.

Regeltyp-Beschreibungen

BeschreibungRegeltyp

Diese vorkonfigurierten Regeln schützen Ihren Computer vor häufigen Auswirkungenvon Malware-Bedrohungen. Sie können die Konfiguration aktivieren, deaktivieren undändern, Sie können diese Regeln jedoch nicht löschen.

Antivirus

Zwei Regelbeispiele:

• Schützt vor Deaktivierung oder Änderung wichtiger Vorgänge, verhindert das externeErstellen, Ändern oder Hijacking ausführbarer Dateien sowie das Spoofing vonWindows-Prozessen und Versenden von Mass-Mailer-Würmern.

• Schützt Ihre Adressbuchdateien vor Kennwort- und E-Mail-Adressdiebstahl.

Diese Sicherheitsebenen gelten für Antivirus-Regeln:

• Standardschutz

• Maximaler Schutz

• Ausbruchskontrolle

Teil I – Prävention: Vermeiden von BedrohungenSchützen der Systemzugriffspunkte


BeschreibungRegeltyp

Diese vorkonfigurierten Regeln verhindern das Verändern häufig benutzter Dateienund Einstellungen. Sie können die Konfiguration aktivieren, deaktivieren und ändern,Sie können diese Regeln jedoch nicht löschen.

Common

Drei Regelbeispiele:

• Verhindern, dass Veränderungen an McAfee-Dateien und Einstellungen vorgenommenwerden.

• Schützen von Mozilla- und Firefox-Dateien und Einstellungen sowie Internet Explorer-und Netzwerkeinstellungen.

• Verhindern, dass Browser Helper Objects installiert und Programme aus demTemp-Ordner automatisch ausgeführt werden.

Diese Sicherheitsebenen gelten für die Common-Regeln.

• Standardschutz

• Maximaler Schutz

Diese vorkonfigurierten Regeln verhindern das Beenden von VMWare-Prozessen unddas Verändern von VMWare-Dateien. Sie können die Konfiguration aktivieren,deaktivieren und ändern, Sie können diese Regeln jedoch nicht löschen.

Schutz virtuellerComputer

Einige Beispielregeln:

• Verhindern, dass VMWare-Prozesse beendet werden.

• Verhindern, dass Änderungen an Dateien von VMWare Workstation, VMWareServer oder virtuellen Computern vorgenommen werden.

Diese benutzerdefinierten Regeln ergänzen den Schutz durch die Antivirus- undCommon-Regeln.

Benutzerdefiniert

Einige Beispielregeln:Anti-Spyware

• Schützen der Favoriten und Einstellungen in Internet Explorer.

• Ausführen von Skripts aus dem Temp-Ordner verhindern

Beschreibungen der Schutzebenen

BeschreibungSchutzebene

AntiVirus- und Common-Regeln für den Schutz einiger wichtiger Einstellungen undDateien vor Veränderung. Die Installation und Ausführung legitimer Software ist jedochim Allgemeinen möglich.

Standardschutz

Antivirus- und Common-Regeln, die die wichtigsten Einstellungen und Dateien vorVeränderung schützen. Diese Ebene geht über den Standardschutz hinaus, hindert

Maximaler Schutz

Sie jedoch möglicherweise an der Installation legitimer Software. Wenn Sie Problemebei der Installation eines Softwareprogramms haben, empfehlen wir, die FunktionZugriffsschutz zunächst zu deaktivieren. Aktivieren Sie die Funktion aber nachFertigstellung der Installation unbedingt wieder.

Virenschutzregeln, die den Zugriff bösartiger Codes auf den Computer blockieren, biseine DAT-Datei veröffentlicht wird. Diese Regeln sind so vorkonfiguriert, dass derZugriff auf Freigaben während eines Ausbruchs blockiert wird.

Ausbruchskontrolle

Zugriffspunktverletzungen undwie VirusScan Enterprise daraufreagiert

Eine Zugriffsverletzung tritt auf, wenn ein eingeschränkter Benutzer oder Prozess versucht,eingeschränkte Komponenten des Computers zu starten, anzuhalten oder darauf zuzugreifen.



Wenn eine Zugriffspunktverletzung stattfindet:

• Wenn Sie die Option Melden für die Regel ausgewählt haben, die die Verletzung entdeckthat, werden die Informationen im Aktivitätsprotokoll aufgezeichnet.

• Wenn Sie das Dialogfeld Warnungseigenschaften entsprechend konfiguriert haben, wirddas Ereignis an das lokale Ereignisprotokoll und an SNMP gesendet.

• Berichte zu Ereignissen werden an Alert Manager und ePolicy Orchestrator gesendet, sofernSie das jeweilige Produkt entsprechend konfiguriert haben.

• Mit den Aktionen Blockieren und Melden für eine Regel wird bestimmt, was geschieht,wenn eine Regel eine Verletzung entdeckt.

• Auf dem Standalone-Client-System bleibt das Taskleistensymbol für 30 Minuten lang rotumrandet, sofern Sie es nicht zurücksetzen.

HINWEIS: Wenn Sie das Taskleistensymbol zurücksetzen möchten, öffnen Sie über dasTaskleistensymbol die Zugriffsschutz-Protokolldatei. Das Symbol wird nicht auf seinennormalen Status zurückgesetzt, wenn Sie dieses Aktivitätsprotokoll auf andere Weise öffnen.

Typen benutzerdefinierter RegelnBeim Konfigurieren einer neuen benutzerdefinierten Zugriffsschutzregel können SiePort-Blockierungs-, Datei- und Ordnerblockierungs- sowie Registrierungsblockierungsregelnerstellen.

In der folgenden Tabelle sind diese Regeln beschrieben.

Regelbeschreibungen

BeschreibungRegel

Ermöglicht das Blockieren des eingehenden oder ausgehenden Netzwerkverkehrs fürbestimmte Ports oder Port-Bereiche.

HINWEIS: Wenn Sie einen Port blockieren, wird der Zugriff über die Protokolle TCP(Transmission Control Protocol) und UDP (User Datagram Protocol) blockiert.

HINWEIS: Beim Blockieren eines Ports werden alle Protokolle blockiert, die diesen Portoder Port-Bereich verwenden. Beispielsweise wird der Zugriff über die Protokolle TCP(Transmission Control Protocol) und UDP (User Datagram Protocol) blockiert.

Port-Blockierungsregel

Blockiert den Schreibzugriff auf Dateien und Ordner, Dateiausschlüsse und neueDateierstellungs- und Dateilöschvorgänge.

HINWEIS: Wenn Sie den Zugriff auf eine Datei oder einen Ordner beschränkt haben,bleibt die Beschränkung in Kraft, bis sie vom Administrator aufgehoben wird. Dadurch

Datei-/Ordner-Blockierungsregel

werden Intrusionen verhindert, und die Verbreitung während eines Ausbruchs wirdgestoppt.

Schützt Registrierungsschlüssel oder -werte durch Blockieren der folgenden Aktionen:schreiben, erstellen oder löschen.

Registrierungsblockierungsregel



Konfigurieren der ZugriffsschutzeinstellungenVerwenden Sie Zugriffsschutzregeln, um Ihre Systemzugriffspunkte zu schützen und dieBeendigung von McAfee-Prozessen zu verhindern.

VORSICHT: Wenn beim Aktivieren des Zugriffsschutzes zum Verhindern, dass die McAfee-Diensteangehalten werden, ein Fehler auftritt, ist das System vor zahlreichen Malware-Angriffen nichtgeschützt.

Es gibt zwei Typen von Zugriffsschutzregeln, die Sie konfigurieren können.

• Vordefinierte Regeln – Sie ermöglichen Folgendes:

• Öffnen der Zugriffsschutzregel-Kategorie in einer der Benutzeroberflächenkonsolen

• Auswählen der Blockier- und Meldeaktion, die bei Verletzung der Regel ausgeführt werdensoll

• Benutzerdefinierte Regeln – Sie ermöglichen Folgendes:

• Erstellen der benutzerdefinierten Regelkategorie mithilfe einer derBenutzeroberflächenkonsolen

• Auswählen des von der Regel erzwungenen Blockierungstyps: Port-Blockierung, Datei-und Ordnerblockierung oder Registrierungsblockierung

• Konfigurieren der Regeldetails

• Speichern der Regel und künftiges Ändern der Regel (bei Bedarf)

Tasks

Konfigurieren von vordefinierten Regeln

Konfigurieren von benutzerdefinierten Regeln

Optionen für Port-Blockierungsregeln

Optionen für Datei- und Ordnerblockierungsregeln

Optionen für Registrierungsblockierungsregeln

Optionen zum Einbeziehen oder Ausschließen bestimmter Prozesse

Entfernen von benutzerdefinierten Regeln

Konfigurieren von vordefinierten RegelnSchützen Sie Ihren Computer vor unerwünschten Änderungen, indem Sie vordefinierte Regelnverwenden. Diese Regeln können aktiviert und deaktiviert, aber nicht gelöscht werden.

Die vordefinierten Regeln umfassen Folgendes:

• Standardmäßiger Spyware-Schutz

• Maximaler Spyware-Schutz

• Standardmäßiger Virenschutz

• Maximaler Virenschutz

• Kontrolle bei Virusausbrüchen

• Common – Standardschutz

• Common – Maximaler Schutz

• Schutz virtueller Computer



Detaillierte Informationen zu diesen vordefinierten Zugriffsschutzregeln finden Sie unterDefinieren von Zugriffschutzregeln.

Konfigurieren Sie die vordefinierten Zugriffsschutzregeln mithilfe einer dieserBenutzeroberflächenkonsolen.

ePolicy Orchestrator 4.5 oder 4.6Konfigurieren Sie in den Zugriffsschutzrichtlinien die vordefinierten Zugriffsschutzregeln.

Task

Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken.














4 Klicken Sie auf der Seite Zugriffsschutzrichtlinie auf die Registerkarte Zugriffsschutz,um die Zugriffsschutzregeln anzuzeigen.

5 Wählen Sie im linken Bereich eine der vordefinierten Regelkategorien aus, uns wählen Siedann im rechten Bereich die gewünschte Regel aus.

6 Konfigurieren Sie die Option Blockieren oder Melden, oder konfigurieren Sie sowohl dieOption Blockieren als auch die Option Melden.

7 Klicken Sie auf Bearbeiten, um die Regeldetails zu ändern.

ePolicy Orchestrator 4.0Konfigurieren Sie in den Zugriffsschutzrichtlinien die vordefinierten Zugriffsschutzregeln.

Task














4 Klicken Sie auf der Seite Zugriffsschutzrichtlinie auf die Registerkarte Zugriffsschutz,um die Zugriffsschutzregeln anzuzeigen.




VirusScan-KonsoleKonfigurieren Sie in den Zugriffsschutzeigenschaften die vordefinierten Zugriffsschutzregeln.

Task

Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberfläche.

1 Klicken Sie in der Liste Task mit der rechten Maustaste auf Zugriffsschutz, und klickenSie dann auf Eigenschaften, um das Dialogfeld zu öffnen.

2 Klicken Sie im Dialogfeld Zugriffsschutzrichtlinie auf die Registerkarte Zugriffsschutz,um die Zugriffsschutzregeln anzuzeigen.




Konfigurieren von benutzerdefinierten RegelnErstellen und bearbeiten Sie benutzerdefinierte Regeln, um den durch die vordefinierten Regelngebotenen Schutz zusätzlich zu unterstützen.

Detaillierte Informationen zu den vordefinierten Zugriffsschutzregeln finden Sie unter Definierenvon Zugriffschutzregeln.



Erstellen und bearbeiten Sie die benutzerdefinierten Zugriffsschutzregeln mithilfe einer dieserBenutzeroberflächenkonsolen.

ePolicy Orchestrator 4.5 oder 4.6Konfigurieren Sie in den Zugriffsschutzrichtlinien die benutzerdefinierten Zugriffsschutzregeln.

Task















4 Wählen Sie im linken Bereich die Kategorie Benutzerdefinierte Regeln aus, und klickenSie dann auf Neu, um das Dialogfeld Neuen Regeltyp auswählen zu öffnen.

5 Wählen Sie den Regeltyp aus, und klicken Sie auf OK. Weitere Informationen hierzu findenSie unter Typen benutzerdefinierter Regeln.Welches Zugriffsregel-Dialogfeld angezeigt wird, hängt vom ausgewählten Regeltyp ab.

6 Konfigurieren Sie diese Zugriffsregeldetails.

• Zugriffsschutzregel für Netzwerk-Port: Informationen finden Sie in derOptionstabelle unter Optionen für Port-Blockierungsregeln.

• Zugriffsschutzregel für Datei/Ordner: Informationen finden Sie in der Optionstabelleunter Optionen für Datei- und Ordnerblockierungsregeln.

• Zugriffsschutzregel für Registrierungszugriff: Informationen finden Sie in derOptionstabelle unter Optionen für Registrierungsblockierungsregeln.

HINWEIS: Informationen zum Konfigurieren der einzubeziehenden und auszuschließendenProzesse finden Sie unter Optionen zum Einbeziehen oder Ausschließen bestimmter Prozesse.

7 Klicken Sie auf OK.



Die neue benutzerdefinierte Regel wird im rechten Bereich unterBlockieren/Melden/Regeln angezeigt. Klicken Sie zum Ändern der neuen Regel auf dieRegel und dann auf Bearbeiten.

ePolicy Orchestrator 4.0Konfigurieren Sie in den Zugriffsschutzrichtlinien die benutzerdefinierten Zugriffsschutzregeln.

Task












4 Wählen Sie im linken Bereich die Kategorie Benutzerdefinierte Regeln aus, und klickenSie dann auf Neu, um das Dialogfeld Neuen Regeltyp auswählen zu öffnen.







7 Klicken Sie auf OK.Die neue benutzerdefinierte Regel wird im rechten Bereich unterBlockieren/Melden/Regeln angezeigt. Klicken Sie zum Ändern der neuen Regel auf dieRegel und dann auf Bearbeiten.



VirusScan-KonsoleKonfigurieren Sie in den Zugriffsschutzeigenschaften die benutzerdefinierten Zugriffsschutzregeln.

Task



2 Wählen Sie im linken Bereich die Kategorie Benutzerdefinierte Regeln aus, und klickenSie dann auf Neu, um das Dialogfeld Benutzerdefinierte Regeln zu öffnen.







5 Klicken Sie auf OK.Die neue benutzerdefinierte Regel wird im rechten Bereich der Spalte Regeln angezeigt.Klicken Sie zum Ändern der neuen Regel auf die Regel und dann auf Bearbeiten.

Optionen für Port-BlockierungsregelnPort-Blockierungsregeln verhindern, dass Benutzer auf angegebene eingehende und ausgehendePorts zugreifen und dass andere Computer auf den Computer zugreifen.

Optionsbeschreibungen

DefinitionOption

Geben Sie den Namen der Regel ein.Regelname

Beschränkt den Zugriff auf die angegebenen Prozesse.EinzubeziehendeProzesse

Erlaubt den Zugriff auf die angegebenen Prozesse.AuszuschließendeProzesse

Geben Sie die erste Port-Nummer ein. Damit kann entweder ein einzelner Port oder derAnfang eines Port-Bereichs angegeben werden.

HINWEIS: Wenn Sie einen Port blockieren, der vom McAfee- oder Host IntrusionPrevention-Agenten verwendet wird, werden die Agentenvorgänge als vertrauenswürdig

Start-Port

eingestuft und können mit dem blockierten Port kommunizieren. Jeglicher andereVerkehr, der nicht mit diesen Agentenvorgängen in Zusammenhang steht, wird blockiert.

Geben Sie die letzte Port-Nummer in einem Port-Bereich an.Letzter Port

Verhindert, dass Systeme aus dem Netzwerk auf die angegebenen Ports zugreifen.Eingehend



DefinitionOption

Verhindert, dass lokale Prozesse auf die angegebenen Ports im Netzwerk zugreifen.Ausgehend

Optionen für Datei- und OrdnerblockierungsregelnDatei- und Ordnerblockierungsregeln verhindern, dass nicht autorisierte Benutzer angegebeneDateien oder Ordner ändern, öffnen oder löschen.


DefinitionOption

Geben Sie den Namen der Regel ein.Regelname



Blockieren Sie den Zugriff auf die angegebene Datei bzw. den angegebenen Ordner.Name der zublockierendenDatei oderdes zu blockierendenOrdners

Gehen Sie zur gewünschten Datei.Datei durchsuchen

Gehen Sie zum gewünschten Ordner.Ordner durchsuchen

Blockieren Sie den Lesezugriff auf die angegebenen Dateien.Lesezugriff auf Dateien

Blockieren Sie den Schreibzugriff auf die angegebenen Dateien.Schreibzugriff aufDateien

Blockieren Sie das Ausführen von Dateien im angegebenen Ordner.Ausgeführte Dateien

Blockieren Sie das Erstellen neuer Dateien im angegebenen Ordner.Erstellen neuer Dateien

Blockieren Sie das Löschen von Dateien aus dem angegebenen Ordner.Löschen von Dateien

Optionen für RegistrierungsblockierungsregelnMit Registrierungsblockierungsregeln wird verhindert, dass Benutzer oder unerwünschteProgramme angegebene Registrierungsschlüssel und -werte ändern, öffnen oder löschen.

HINWEIS: Verwenden Sie beim Erstellen einer Registrierungsblockierungsregel die am bestenpassende Abkürzung für die Registrierungseintragsunterstruktur. Wählen Sie beispielsweisezum Blockieren von HKLM\System\CurrentControlSet\Services\MyService den HKCCS-Eintrag anstellevon HKLM aus.


DefinitionOption

Geben Sie den Namen der Regel an.Regelname





DefinitionOption

Schützen Sie diesen Registrierungsschlüssel oder Wert:Zu schützenderRegistrierungsschlüsseloder Wert

• Wählen Sie aus der Dropdown-Liste einen Root-Schlüssel oder -Wert aus.

• Geben Sie einen Registrierungsschlüssel oder Wert in das Textfeld ein.Die Auswahl des Root-Schlüssels oder -Werts aus der Dropdown-Liste ist optional.Verwenden Sie eine der folgenden Methoden, um den Schlüssel oder Wert anzugeben:

• Wählen Sie den Root-Schlüssel oder -Wert aus der Dropdown-Liste aus, und gebenSie den Pfad zu diesem Schlüssel oder Wert in das Textfeld ein.

• Geben Sie den vollständigen Pfad zu diesem Schlüssel oder Wert in das Textfeldein.

Wählen Sie den Regeltyp aus:Regeltyp

• Schlüssel: Diese Regel schützt den angegebenen Registrierungsschlüssel.

• Wert: Diese Regel schützt den angegebenen Wert.

Blockiert das Schreiben in den angegebenen Schlüssel oder Wert.In Schlüssel oder Wertschreiben

Blockiert das Erstellen eines angegebenen Schlüssels oder Werts.Schlüssel oder Werterstellen

Blockiert das Löschen eines angegebenen Schlüssels oder Werts.Schlüssel oder Wertlöschen

Optionen zum Einbeziehen oder Ausschließen bestimmter ProzesseWenn Sie die Regeldetails wie den Namen und die einzubeziehenden oder auszuschließendenProzesse ändern möchten, verwenden Sie Zugriffsschutz, und klicken Sie auf Bearbeiten.


BeschreibungOption

Der Name dieser Regel. Zum Beispiel: Deaktivieren des Registrierungseditors unddes Taskmanagers verhindern

Regelname

Beschränken Sie den Zugriff auf diese Prozesse. Verwenden Sie den genauen Prozessnamenoder einen Platzhalter, um eine breite Palette von Prozessen wie *.exe anzugeben, und

EinzubeziehendeProzesse

fügen Sie anschließend Ausschlüsse für bestimmte legitime Prozesse hinzu, beispielsweise"Setup.exe".

Gestatten Sie den Zugriff auf diese Prozesse. Verwenden Sie den genauen Prozessnamen.Legen Sie beispielsweise folgende Ausnahmen fest: avtask.exe, cfgwiz,exe, fssm32.exe,giantantispywar*, kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe

AuszuschließendeProzesse

Entfernen von benutzerdefinierten RegelnEntfernen Sie Regeln, die Sie erstellt haben, aber nicht mehr verwenden.

Entfernen Sie die benutzerdefinierten Regeln mithilfe einer dieser Benutzeroberflächenkonsolen.

ePolicy Orchestrator 4.5 oder 4.6Entfernen Sie aus den Zugriffsschutzrichtlinie Regeln, die Sie erstellt haben, aber nicht mehrverwenden.



Task

Optionsbeschreibungen erhalten Sie, indem Sie auf das ? oder Hilfe-Symbol derBenutzeroberfläche klicken.














4 Klicken Sie im linken Bereich auf die Kategorie Benutzerdefinierte Regeln, und wählenSie anschließend im rechten Bereich die Regel aus, die Sie entfernen möchten.

5 Klicken Sie auf Löschen.

HINWEIS: Sie können eine Regel deaktivieren, ohne sie zu löschen, indem Sie die Auswahlder Optionen Blockieren und Melden aufheben. Sie können die Regel, falls erforderlich,erneut aktivieren.

ePolicy Orchestrator 4.0Entfernen Sie aus den Zugriffsschutzrichtlinie Regeln, die Sie erstellt haben, aber nicht mehrverwenden.

Task

















VirusScan-KonsoleEntfernen Sie aus den Zugriffsschutzeigenschaften Regeln, die Sie erstellt haben, aber nichtmehr verwenden.

Entfernen Sie die benutzerdefinierten Regeln mithilfe einer dieser Benutzeroberflächenkonsolen.

Task






Blockieren von Buffer Overflow-ExploitsDurch den Buffer Overflow-Schutz wird verhindert, dass ein Buffer Overflow dazu genutztwerden kann, beliebigen Code auf Ihrem Computer auszuführen. Er überwacht im Benutzermodusausgeführte API-Aufrufe und erkennt, wenn diese das Ergebnis eines Buffer Overflows sind.

Wenn eine Entdeckung stattfindet, werden die Informationen im Aktivitätsprotokoll aufgezeichnetund im Dialogfeld Nachrichten vom Scannen bei Zugriff angezeigt, wenn diese Optionenentsprechend konfiguriert wurden.

Teil I – Prävention: Vermeiden von BedrohungenBlockieren von Buffer Overflow-Exploits


Von VirusScan Enterprise wird eine DAT-Datei für Buffer Overflows und den Zugriffsschutzverwendet, um rund 30 Anwendungen wie Internet Explorer, Microsoft Outlook, Outlook Express,Microsoft Word und MSN Messenger zu schützen.

Inhalt

Auftreten von Buffer Overflow-Exploits

Konfigurieren des Buffer Overflow-Schutzes

Auftreten von Buffer Overflow-ExploitsAngreifer verwenden Buffer Overflow-Exploits zum Ausführen von Code, indem die für einenEingabeprozess reservierten Speicherpuffer mit fester Größe überflutet werden. Mit diesemCode kann der Angreifer den Zielcomputer übernehmen oder seine Dateien schädigen.

Es gibt zwei Typen von Buffer Overflow-Exploits:

• Heap-basierte Angriffe: Sie überfluten den für ein Programm reservierten Speicherplatz,sind aber schwer auszuführen und selten.

• Stapelbasierte Angriffe: — Sie verwenden die Stapelspeicherobjekte zum Speichern vonBenutzereingaben und stellen den häufigsten Typ von Angriffen dar.

Die folgenden Prozesse stellen stapelbasierte Buffer Overflow-Angriffe dar:

1 Normaler Stapelspeicherprozess: Das Stapelspeicherobjekt mit fester Größe ist in derRegel leer und wartet auf Benutzereingaben. Wenn ein Programm Eingaben des Benutzersempfängt, werden die Daten am Anfang des Stapels gespeichert, und ihnen wird eineAbsenderspeicheradresse zugewiesen. Beim Verarbeiten des Stapels werden die Eingabendes Benutzers an die vom Programm angegebene Absenderadresse gesendet.

2 Stapelüberlauf: Beim Schreiben des Programms wird eine bestimmte Menge anSpeicherplatz für die Daten reserviert. Der Stapel läuft über, wenn die Menge dergeschriebenen Daten größer ist als der für sie im Stapelspeicher reservierte Speicherplatz.Dies stellt nur in Kombination mit bösartigen Eingaben ein Problem dar.

3 Ausnutzen des Überlaufs: Wenn das Programm darauf wartet, dass ein Benutzer seinenNamen eingibt, aber der Angreifer einen ausführbaren Befehl eingibt, der die Stapelgrößeüberschreitet, wird der Befehl außerhalb des reservierten Speicherplatzes gespeichert.

4 Ausführen des bösartigen Codes: Der Befehl wird nicht automatisch ausgeführt, nurweil er den Stapelpufferspeicherplatz überschreitet. Dies könnte jedoch der Fall sein, wennvom Angreifer eine Absenderadresse angegeben wird, die auf den bösartigen Befehlverweist. Zunächst stürzt das Programm aufgrund des Buffer Overflows ab, aber es versucht,eine Wiederherstellung vorzunehmen, indem es die vom Angreifer angegebeneAbsenderadresse verwendet. Wenn es sich bei der Absenderadresse um eine gültige Adressehandelt, wird der bösartige Befehl ausgeführt.

5 Ausnutzen der Berechtigungen: Da Programme in der Regel im Kernel-Modus oder mitvon einem Dienstkonto geerbten Berechtigungen ausgeführt werden, wird der bösartigeCode mit denselben Berechtigungen wie die beschädigte Anwendung ausgeführt. Diesbedeutet, der Angreifer könnte vollständige Kontrolle über das Betriebssystem erlangen.

Konfigurieren des Buffer Overflow-SchutzesSie müssen die Buffer Overflow-Schutzrichtlinien konfigurieren, um zu verhindern, dass vonAnwendungen beliebiger Code auf dem Computer ausgeführt werden kann.



Konfigurieren Sie die Buffer Overflow-Schutzrichtlinie mithilfe der folgendenBenutzeroberflächenkonsolen.

ePolicy Orchestrator 4.5 oder 4.6Konfigurieren Sie die Buffer Overflow-Schutzrichtlinie mithilfe dieser Benutzeroberflächenkonsolen.

Task















4 Klicken Sie auf der Seite Richtlinie für den Pufferüberlaufschutz auf die RegisterkartePufferüberlaufschutz, und konfigurieren Sie Folgendes:

a Aktivieren Sie Einstellungen für Pufferüberlauf und den verwendeten Schutzmodus.Konfigurieren Sie den Schutzmodus so, dass Exploits blockiert werden oder einfach eineNachricht gesendet und das Ereignis protokolliert wird.

b Aktivieren Sie Client-System-Warnungen, die beim Auftreten eines BufferOverflow-Exploits gesendet werden.

c Konfigurieren Sie Pufferüberlaufausnahmen für bestimmte API-Werte (ApplicationProgramming Interface, Anwendungsprogrammierschnittstelle) sowie die optionalenProzesse und Modulnamen, die ausgeschlossen werden sollen.

5 Klicken Sie auf die Registerkarte Berichte, aktivieren Sie die Scan-Aktivitätsprotokolldateien,und geben Sie ihren Speicherort, die Größe und das Format an.

HINWEIS: Diese Protokolldateien sind beim Diagnostizieren von Sicherheitsbedrohungensehr hilfreich, und mit ihnen können die gegen diese Bedrohungen zu ergreifendenMaßnahmen ermittelt werden.



ePolicy Orchestrator 4.0Konfigurieren Sie die Buffer Overflow-Schutzrichtlinie mithilfe dieser Benutzeroberflächenkonsole.

Task












4 Klicken Sie auf der Seite Richtlinie für den Pufferüberlaufschutz auf die RegisterkartePufferüberlaufschutz, und konfigurieren Sie Folgendes:

1 Aktivieren Sie Einstellungen für Pufferüberlauf und den verwendeten Schutzmodus.Konfigurieren Sie den Schutzmodus so, dass Exploits blockiert werden oder einfacheine Nachricht gesendet und das Ereignis protokolliert wird.

2 Aktivieren Sie Client-System-Warnungen, die beim Auftreten eines BufferOverflow-Exploits gesendet werden.

3 Konfigurieren Sie Pufferüberlaufausnahmen für bestimmte API-Werte (ApplicationProgramming Interface, Anwendungsprogrammierschnittstelle) sowie die optionalenProzesse und Modulnamen, die ausgeschlossen werden sollen.



VirusScan-KonsoleKonfigurieren Sie die Buffer Overflow-Schutzrichtlinie mithilfe dieser Benutzeroberflächenkonsole.

Task


1 Klicken Sie in der Liste Task mit der rechten Maustaste auf Pufferüberlaufschutz, undklicken Sie dann auf Eigenschaften, um das Dialogfeld zu öffnen.



2 Klicken Sie auf der Seite Pufferüberlaufschutz-Eigenschaften auf die RegisterkartePufferüberlaufschutz, und konfigurieren Sie Folgendes:

a Aktivieren Sie Einstellungen für Pufferüberlauf und den verwendeten Schutzmodus.Konfigurieren Sie den Schutzmodus so, dass Exploits blockiert werden oder einfach eineNachricht gesendet und das Ereignis protokolliert wird.

b Aktivieren Sie Client-System-Warnungen, die beim Auftreten eines BufferOverflow-Exploits gesendet werden.

c Konfigurieren Sie Pufferüberlaufausnahmen für bestimmte API-Werte (ApplicationProgramming Interface, Anwendungsprogrammierschnittstelle) sowie die optionalenProzesse und Modulnamen, die ausgeschlossen werden sollen.



Einschränken potenziell unerwünschter ProgrammeMit VirusScan Enterprise wird Ihr Computer vor unerwünschten Programmen geschützt, dielästig sind oder ein Sicherheitsrisiko darstellen. Es ist eine allgemeine Richtlinie für unerwünschteProgramme konfiguriert, aber Sie können diese Richtlinie individuell aktivieren oder deaktivierenund Aktionen für jeden einzelnen VirusScan Enterprise-Scanner angeben.

Potenziell unerwünschte Programme werden als Softwareprogramme definiert, die von legitimenUnternehmen geschrieben wurden, jedoch den Sicherheitsstatus oder die Datenschutzrichtliniedes Computers verändern können, auf dem sie installiert sind. Diese Software kann, muss abernicht unbedingt Spyware, Adware und Dialer umfassen. Diese eingebetteten Programme könnenmit einem eigentlich von Ihnen gewünschten Download zusammen heruntergeladen werden.Sicherheitsbewusste Benutzer erkennen derartige Programme und entfernen sie in einigenFällen.

Konfigurieren unerwünschter ProgrammeWenn Sie Ihren Computer vor potenziell unerwünschten Programmen schützen möchten, müssenSie Kategorien von unerwünschten Programmen konfigurieren, die in Ihrer Umgebung entdecktwerden sollen.

Die Konfiguration erfolgt als zweistufiger Prozess:

1 Konfigurieren Sie die Richtlinie für unerwünschte Programme, um zu definieren,welche unerwünschten Programme entdeckt und ausgeschlossen werden sollen:

• Aus einer vordefinierten Liste, die aus der aktuellen DAT-Datei stammt, können Sieganze Programmkategorien oder innerhalb einer Kategorie bestimmte Programmeauswählen.

• Legen Sie Ausschlüsse fest.

• Erstellen Sie eine Liste benutzerdefinierter Programme, die entdeckt werden sollen.

Teil I – Prävention: Vermeiden von BedrohungenEinschränken potenziell unerwünschter Programme


2 Aktivieren Sie die Entdeckung unerwünschter Programme für die Zugriffs-, E-Mail- undOn-Demand-Scans. Konfigurieren Sie anschließend, welche Aktionen eingeleitet werdensollen, wenn ein unerwünschtes Programm entdeckt wird.

HINWEIS: Die Entdeckung unerwünschter Programme wird für den On-Demand-Scan andersaktiviert, da es sich beim On-Demand-Scan um einen Task und nicht um eine Richtlinie handelt.Detaillierte Informationen finden Sie unter Konfigurieren von On-Demand-Scan-Tasks.

Tasks

Zugreifen auf die Richtlinien für unerwünschte Programme

Aktivieren der Entdeckung unerwünschter Programme für Zugriffs- und E-Mail-Scans

Zugreifen auf die Richtlinien für unerwünschte ProgrammeKonfigurieren Sie die Richtlinien für unerwünschte Programme, indem Sie die zu entdeckendenKategorien unerwünschter Programme auswählen. Dazu gehören beispielsweise Spyware undAdware. Sie können auch Ausschlüsse für Programme angeben, die nicht entdeckt werdensollen.

Greifen Sie mithilfe der folgenden Benutzeroberflächenkonsolen auf die Richtlinien fürunerwünschte Programme zu.

ePolicy Orchestrator 4.5 oder 4.6Konfigurieren Sie die Richtlinien für unerwünschte Programme mithilfe dieserBenutzeroberflächenkonsole.

Task

















4 Klicken Sie auf der Seite Richtlinie für unerwünschte Programme auf die RegisterkarteScan-Elemente, um Folgendes zu konfigurieren:

a Zu entdeckende Kategorien unerwünschter Programme: Beispielsweise Spywareund Adware. Diese Kategorien werden durch die aktuelle DAT-Datei definiert.

b Ausschlüsse: Sie müssen den genauen Entdeckungsnamen angeben, den Sieauszuschließen möchten, und nicht den Dateinamen.

5 Klicken Sie auf die Registerkarte Benutzerdefinierte Entdeckungen, und geben Sie dieeinzelnen Dateien oder Programme an, die als unerwünschte Programme behandelt werdensollen. Geben Sie für jedes Element den Dateinamen und eine Beschreibung an.

ePolicy Orchestrator 4.0Konfigurieren Sie die Richtlinien für unerwünschte Programme mithilfe dieserBenutzeroberflächenkonsole.

Task


















VirusScan-KonsoleKonfigurieren Sie die Eigenschaften für unerwünschte Programme mithilfe dieserBenutzeroberflächenkonsole.

Task


1 Klicken Sie in der Liste Task mit der rechten Maustaste auf Richtlinie für unerwünschteProgramme, und klicken Sie dann auf Eigenschaften, um das Dialogfeld Richtlinie fürunerwünschte Programme zu öffnen.





Aktivieren der Entdeckung unerwünschter Programme für Zugriffs- undE-Mail-Scans

Damit bei Zugriffs- und E-Mail-Scans unerwünschte Programme entdeckt werden, müssen Siedie Funktion auf der Registerkarte Scan-Elemente aktivieren.

Aktivieren Sie Zugriffs- und E-Mail-Scans, um unerwünschte Programme mithilfe der folgendenBenutzeroberflächenkonsolen zu entdecken.

HINWEIS: Informationen zum Aktivieren des On-Demand-Scans für die Entdeckungunerwünschter Programme finden Sie unter Konfigurieren von On-Demand-Scan-Tasks.

ePolicy Orchestrator 4.5 oder 4.6Aktivieren Sie Zugriffs- und E-Mail-Scans, um unerwünschte Programme mithilfe der ePolicyOrchestrator 4.5 oder 4.6-Konsole zu entdecken.

Die Prozesse zum Aktivieren der Entdeckung unerwünschter Programme für Zugriffs- undE-Mails-Scans sind im Wesentlichen identisch. Der einzige Unterschied besteht darin, welcheRichtlinie Sie im Richtlinienkatalog für Schritt 2 auswählen. So aktivieren Sie die Entdeckungunerwünschter Programme für:

• Scannen bei Zugriff: Wählen Sie Zugriffsscan-Richtlinien aus.

• E-Mail-Scan: Wählen Sie E-Mail-Scan-Richtlinien bei Zustellung aus.

Task



2 Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie.



Bearbeiten einer vorhandenen Richtlinie












4 Klicken Sie auf der Seite Zugriffsscan-Richtlinien oder E-Mail-Scan-Richtlinien beiZustellung auf die Registerkarte Scan-Elemente, und wählen Sie UnerwünschteProgramme entdecken aus.

ePolicy Orchestrator 4.0Aktivieren Sie Zugriffs- und E-Mail-Scans, um unerwünschte Programme mithilfe der ePolicyOrchestrator 4.0-Konsole zu entdecken.

Die Prozesse zum Aktivieren der Entdeckung unerwünschter Programme für Zugriffs- undE-Mails-Scans sind im Wesentlichen identisch. Der einzige Unterschied besteht darin, welcheRichtlinie Sie im Richtlinienkatalog für Schritt 2 auswählen. So aktivieren Sie die Entdeckungunerwünschter Programme für:


• E-Mail-Scan: Wählen Sie E-Mail-Scan-Richtlinien bei Zustellung aus.

Task















VirusScan-KonsoleAktivieren Sie Zugriffs- und E-Mail-Scans, um unerwünschte Programme mithilfe derVirusScan-Konsole zu entdecken.

Die Prozesse zum Aktivieren der Entdeckung unerwünschter Programme für Zugriffs- undE-Mails-Scans sind im Wesentlichen identisch. Der einzige Unterschied besteht darin, welchenTask Sie in der VirusScan-Konsole für Schritt 2 auswählen. So aktivieren Sie die Entdeckungunerwünschter Programme für:


• E-Mail-Scan: Wählen Sie E-Mail-Scan – Beim Empfang aus.

Task


1 Klicken Sie in der Liste Task mit der rechten Maustaste auf eine der folgenden Optionen,und klicken Sie dann auf Eigenschaften, um das entsprechende Dialogfeld zu öffnen.

• Zugriffsscan-Richtlinien: für Zugriffsscans.

• E-Mail-Scan – Beim Empfang: Für E-Mail-Scans.


Aktualisieren von EntdeckungsdefinitionenDie VirusScan Enterprise-Software ist vom Scan-Modul und den in denEntdeckungsdefinitionsdateien (DAT) gespeicherten Daten abhängig, über die sie Bedrohungenidentifiziert und entsprechende Maßnahmen ergreift. Es treten regelmäßig neue Bedrohungenauf. Um dieser Herausforderung gerecht zu werden, gibt McAfee täglich neue DAT-Dateienheraus, die die Ergebnisse der fortlaufenden Forschungstätigkeit beinhalten. BeimAktualisierungs-Task werden die neuesten DAT-Dateien von der externenMcAfee-Aktualisierungs-Website heruntergeladen und installiert.

HINWEIS: In einer von ePolicy Orchestrator verwalteten Umgebung können auch die aktuellstenVersionen der DAT-Dateien, der Datei EXTRA.DAT, des Scan-Moduls sowie der Service Packsund Patches abgerufen werden.

Inhalt

DAT-Dateien und ihre Funktionsweise

Die Wichtigkeit einer Aktualisierungsstrategie

Aktualisierungs-Tasks und ihre Funktionsweise

Teil I – Prävention: Vermeiden von BedrohungenAktualisieren von Entdeckungsdefinitionen


Spiegelungs-Tasks und ihre Funktionsweise

Funktionsweise des AutoUpdate-Repositorys

Durchführen von Rollbacks für DAT-Dateien

DAT-Dateien und ihre FunktionsweiseWenn das Scan-Modul Dateien nach Bedrohungen durchsucht, vergleicht es den Inhalt dergescannten Dateien mit bekannten Bedrohungsinformationen, die inEntdeckungsdefinitionsdateien (DAT) gespeichert sind. Bei den bekanntenBedrohungsinformationen (auch Signaturen genannt) handelt es sich um Informationen, dievon McAfee gefunden und den DAT-Dateien hinzugefügt wurden.

Neben den Signaturen enthalten die DAT-Dateien auch Informationen darüber, wie der vomentdeckten Virus verursachte Schaden bereinigt und dem entdeckten Virus entgegengewirktwird. Aus diesem Grund ist es so wichtig, die neuste Version der von VirusScan Enterpriseverwendeten DAT-Datei herunterzuladen.

VORSICHT: Wenn die Signatur eines bestimmten Virus in keiner der installierten DAT-Dateienenthalten ist, wird dieser Virus nicht vom Scan-Modul entdeckt. Außerdem muss die aktuelleVersion des Scan-Moduls installiert sein, damit die neuesten DAT-Dateien in vollem Umfanggenutzt werden können.

Von VirusScan Enterprise wird auch eine Heuristik verwendet (Artemis genannt), um zusätzlichzu den DAT-Dateien nach verdächtigen Dateien zu suchen. Weitere Informationen finden Sieunter Funktionsweise von Artemis.

Die zahlreichen DAT-Dateien werden unter folgendem Pfad gespeichert:

\Programme\Gemeinsame Dateien\McAfee\Engine

Die Wichtigkeit einer AktualisierungsstrategieDie Wichtigkeit einer Aktualisierungsstrategie kann nicht oft genug betont werden. Ihr Systemist nur dann komplett vor aktuellen Viren geschützt, wenn die neuesten DAT-Dateien und dasneueste Scan-Modul auf dem System installiert sind. Es herrscht ein noch nie dagewesenerAnstieg der Anzahl, Ausbreitungsgeschwindigkeit und Häufigkeit neuer Malware. Außerdemerfordert die wachsende Anzahl von Adware und Spyware eine konsistentere und schnellernutzbare Entdeckung und Entfernung.

McAfee Labs veröffentlicht fast jeden Tag gegen 19:00 Uhr (MEZ) DAT-Dateiaktualisierungen.Auch weiterhin werden Virus-Ausbrüche zu den ungünstigsten Zeiten auftreten undNotfallveröffentlichungen erfordern. Wenn eine tägliche DAT-Datei sehr früh veröffentlicht wird,um einen potenziellen Ausbruch zu verhindern, wird an diesem Tag zur normal geplanten Uhrzeitnur dann eine zweite DAT-Datei veröffentlicht, sofern eine weitere Notfallsituation dies erfordert.

Festlegen einer AktualisierungsstrategieEs gibt viele Methoden zum Aktualisieren der DAT-Dateien und des Scan-Moduls, die bzw. dasvon VirusScan Enterprise. Sie können AutoUpdate-Tasks, manuelle Aktualisierungen,Anmeldungsskripts oder geplante Aktualisierungen unter Verwendung von Verwaltungstoolsverwenden.

Durch Verwendung eines Aktualisierungs-Tasks haben Sie folgende Möglichkeiten:

• Planen von DAT-Dateiaktualisierungen im gesamten Netzwerk: Sie könnenAktualisierungs-Tasks staffeln oder einen Zeitplan festlegen, nach dem



DAT-Dateiaktualisierungen in verschiedenen Teilen des Netzwerks stufenweise zu geeignetenZeiten und mit minimalen Eingriffen seitens der Administratoren oder Netzwerkbenutzererfolgen.

• Aufteilen von Rollout-Verwaltungsaufgaben: Verwenden Sie zum Steigern derNetzwerk-Bandbreiteneffizienz unterschiedliche Server oder Domänen-Controller inverschiedenen Regionen von WANs oder anderen Netzwerkteilen, um Datenverkehr fürAktualisierungszwecke vorwiegend intern zu halten. Außerdem kann dadurch das Risikoeiner Netzwerksicherheitslücke reduziert werden.

• Reduzieren der Wartezeit, die für das Herunterladen neuer DAT-Dateien oderaktualisierter Moduldateien erforderlich ist: Zu den regulären Terminen für dieVeröffentlichung von DAT-Dateien oder beim Erscheinen neuer Produktversionen erhöhtsich der Verkehr auf McAfee-Computern erfahrungsgemäß. Sie haben jedoch die Möglichkeit,die Hauptverkehrszeiten zu vermeiden, und stellen damit sicher, dass die neue Softwareweitgehend unterbrechungsfrei auf Ihren Systemen bereitgestellt wird.

Anforderungen an eine effiziente AktualisierungsstrategieEine effiziente Aktualisierungsstrategie erfordert im Allgemeinen, dass mindestens ein Clientoder Server innerhalb des Unternehmens Aktualisieren von der McAfee-Download-Websiteabruft. Ausgehend von diesem Computer können die Dateien dann unternehmensweit repliziertwerden. Es empfiehlt sich, den über das Netzwerk übertragenen Datenumfang gering zu halten,indem der Kopierprozess der aktualisierten Dateien auf die Freigabe-Websites automatisiertwird.

Für eine effiziente Aktualisierung müssen vor allem die Anzahl der Clients und die Anzahl derStandorte berücksichtigt werden. Sie können auch die Anzahl an Systemen an jedemRemote-Standort und die Art, wie Remote-Sites auf das Internet zugreifen, in Ihre Überlegungenaufnehmen. Diese grundlegenden Konzepte für das Verwenden eines zentralen Repositorieszum Abrufen von Aktualisierungen und Planen von Aktualisierungs-Tasks, um die Umgebungdem neuesten Stand zu halten, gelten für Unternehmen aller Größen. Informationen zumBereitstellen von Software und zu Aktualisierungen finden Sie im entsprechenden ePolicyOrchestrator-Produkthandbuch.

Aktualisierungs-Tasks und ihre FunktionsweiseVerwenden Sie den Aktualisierungs-Task, um die neueste Version der DAT-Dateien, Scan-Module,Service Packs und Patches abzurufen.

VirusScan Enterprise enthält einen standardmäßigen Aktualisierungs-Task, der jeden Tag ab17:00 Uhr innerhalb einer zufälligen Zeitspanne von einer Stunde ausgeführt wird. Sie könnenbei Bedarf zusätzliche Aktualisierungs-Tasks erstellen.

Vorgänge bei Ausführung von Aktualisierungs-Task

Wenn Sie einen Aktualisierungs-Task ausführen, geschieht Folgendes:

• Es wird eine Verbindung mit dem ersten aktivierten Repository (Aktualisierungs-Website) inder Repository-Liste hergestellt. Ist dieses Repository nicht verfügbar, wird die nächsteWebsite kontaktiert usw., bis eine Verbindung zustande kommt oder das Ende der Listeerreicht ist.

• Eine verschlüsselte CATALOG.Z-Datei wird aus dem Repository heruntergeladen. Die Dateienthält die grundlegenden Daten, die für die Aktualisierung erforderlich sind. Diese Datenwerden verwendet, um zu bestimmen, welche Dateien und Aktualisierungen verfügbar sind.



• Die in der Datei aufgeführten Softwareversionen werden mit den Versionen auf dem Computerverglichen. Falls neue Softwareaktualisierungen verfügbar sind, werden sie heruntergeladen.

Unterbrechung des Aktualisierungs-Tasks

Wenn der Aktualisierungs-Task während der Ausführung unterbrochen wird:

• Ein Task, der Aktualisierungsdateien von einer HTTP-, einer UNC- oder lokalen Seiteherunterlädt, nimmt die Aktualisierung bei einem erneuten Start an der Stelle derUnterbrechung wieder auf.

• Ein Task, der Aktualisierungen von einer FTP-Seite lädt, wird nicht fortgesetzt, wenn erwährend des Downloads einer einzigen Datei unterbrochen wurde. Wenn der Task jedochwährend des Herunterladens mehrerer Dateien unterbrochen wurde, wird er beginnend mitder zuletzt heruntergeladenen Datei fortgesetzt.

Aktualisierung mit EXTRA.DAT

Eine EXTRA.DAT-Datei kann als temporäre Maßnahme in einer Notsituation verwendet werden.Die Datei EXTRA.DAT wird bei jeder Aktualisierung aus dem Repository heruntergeladen. Dadurchwird sichergestellt, dass bei einer Bearbeitung der Datei EXTRA.DAT und einer erneutenÜberprüfung dieser Datei als Paket alle VirusScan Enterprise-Clients dasselbe aktualisierteEXTRA.DAT-Paket herunterladen und verwenden. Sie können die Datei EXTRA.DAT beispielsweisezur verbesserten Entdeckung für bereits durchsuchte potenziell unerwünschte Programmeverwenden oder als zusätzliches Entdeckungsmittel für andere, neue potenziell unerwünschteProgramme. In VirusScan Enterprise wird die Verwendung von nur einer EXTRA.DAT-Dateiunterstützt.

TIPP: Wenn Sie die Arbeit mit der Datei EXTRA.DAT beendet haben, sollten Sie sie aus demMaster-Repository entfernen und einen Replizierungs-Task durchführen, um sicherzustellen,dass sie aus allen verteilten Repository-Websites entfernt ist. Dadurch wird verhindert, dassVirusScan Enterprise-Clients versuchen, die Datei EXTRA.DAT bei einem Aktualisierungsvorgangherunterzuladen. Standardmäßig wird die Entdeckung für das neue potenziell unerwünschteProgramm in der Datei EXTRA.DAT ignoriert, sobald die neue Entdeckungsdefinition denwöchentlichen DAT-Dateien hinzugefügt wurde.

Konfigurieren des AutoUpdate-TasksWenn Sie DAT-Dateien und Scan-Module für alle McAfee-Produkte automatisch aktualisierenmöchten, müssen Sie die Eigenschaften und den Zeitplan für AutoUpdate konfigurieren.

Task

Optionsdefinitionen erhalten Sie durch Klicken auf die Schaltflächen ? oder Hilfe derRegisterkarte.

1 Greifen Sie folgendermaßen auf die Eigenschaften von AutoUpdate zu:

• ePolicy Orchestrator 4.5 oder 4.6: Klicken Sie auf Menü | Systeme |Systemstruktur, und wählen Sie Client-Tasks aus.

HINWEIS: Detaillierte Anleitungen zum Erstellen eines neuen geplanten Client-Tasksfinden Sie im McAfee ePolicy Orchestrator 4.5-Produkthandbuch.

• ePolicy Orchestrator 4.0: Klicken Sie auf Systeme | Systemstruktur |Client-Task, und wählen Sie einen vorhandenen Aktualisierungs-Task aus, oder klickenSie zum Erstellen eines neuen Tasks auf Neuer Task.




• VirusScan-Konsole: Wählen Sie einen vorhandenen Aktualisierungs-Task aus (klickenSie mit der rechten Maustaste auf den Task, und klicken Sie auf Eigenschaften), odererstellen Sie einen neuen Task (wählen Sie Task | Neuer Aktualisierungs-Task aus,und wählen Sie den neuen Task in der Liste aus).

TIPP: Beim Erstellen eines neuen Client-Tasks empfiehlt es sich, den Task in einenaussagekräftigeren Namen umzubenennen.

2 Legen Sie den Speicherort und das Format der Protokolldatei fest.

3 Konfigurieren Sie, ob neuere DATs, Module sowie andere verfügbare Aktualisierungen wieService Packs und Produktaktualisierungen abgerufen werden sollen.

4 Legen Sie fest, welche ausführbare Datei nach Beendigung des Aktualisierungs-Tasksgestartet werden soll und ob die Ausführung nur nach einer erfolgreichen Aktualisierungstattfinden soll.

5 Klicken Sie auf Zeitplan, um zu konfigurieren, wann und wie oft der Task ausgeführtwerden soll. Detaillierte Informationen finden Sie unter Verwenden geplanter Tasks.

6 Klicken Sie auf Jetzt aktualisieren, und der Task wird sofort ausgeführt.

Spiegelungs-Tasks und ihre FunktionsweiseMit Spiegelungs-Tasks können Sie Aktualisierungsdateien aus dem ersten erreichbaren Repository,das in der Repository-Liste definiert ist, in eine Spiegelungssite in Ihrem Netzwerk replizieren.Dieser Task wird meist zum Spiegeln des Inhalts der McAfee-Download-Website auf einenlokalen Server verwendet.

Nachdem Sie die McAfee-Website repliziert haben, die die Aktualisierungsdateien enthält, könnenComputer in Ihrem Netzwerk die Dateien von der Spiegelungssite herunterladen. DieseVorgehensweise ist praktisch, da sämtliche Netzwerkcomputer mit oder ohne Internetzugriffaktualisiert werden können. Außerdem ist sie besonders effizient, weil die Computer mit einemServer kommunizieren, der möglicherweise näher als die McAfee-Internetsite liegt, wodurchwiederum der Aufwand und die Zeit zum Herunterladen verringert werden.

Die VirusScan Enterprise-Software ist zur eigenen Aktualisierung auf eine bestimmteVerzeichnisstruktur angewiesen. Beim Spiegeln einer Website ist es wichtig, die gesamteVerzeichnisstruktur zu replizieren.

HINWEIS: Diese Verzeichnisstruktur unterstützt auch frühere Versionen von VirusScan Enterpriseund NetShield, solange die gesamte Verzeichnisstruktur an den gleichen Speicherort repliziertwird, der von VirusScan Enterprise 8.8 für die Aktualisierung verwendet wird.

Konfigurieren des Spiegelungs-TasksWenn Sie DAT-Dateien und Scan-Module an einem angegebenen Ort für die Verwendung durchandere Computer speichern möchten, konfigurieren Sie den Speicherort und Zeitplan mithilfevon Spiegelungs-Task-Eigenschaften.

Task

Optionsdefinitionen erhalten Sie durch Klicken auf die Schaltflächen ? oder Hilfe derRegisterkarte.

1 Greifen Sie folgendermaßen auf die Spiegelungs-Task-Eigenschaften zu:



ePolicy Orchestrator 4.5 oder 4.6: Klicken Sie auf Menü | Systeme |Systemstruktur, und wählen Sie Client-Tasks aus.


•

• ePolicy Orchestrator 4.0: Klicken Sie auf Systeme | Systemstruktur |Client-Task, und wählen Sie einen vorhandenen Aktualisierungs-Task aus, oder klickenSie zum Erstellen eines neuen Tasks auf Neuer Task.


• Führen Sie in der VirusScan-Konsole eine der folgenden Aktionen aus:

• Wählen Sie einen vorhandenen Spiegelungs-Task aus, klicken Sie mit der rechtenMaustaste auf den Task, und klicken Sie auf Eigenschaften. Das DialogfeldSpiegelungs-Task wird angezeigt.

• Wählen Sie zum Erstellen eines neuen Spiegelungs-Tasks Task | NeuerSpiegelungs-Task aus, und Neuer Spiegelungs-Task wird in der Liste Taskangezeigt. Klicken Sie auf den neuen Task, um das Dialogfeld Spiegelungs-Taskzu öffnen.

HINWEIS: Ändern Sie den Task-Namen in einen aussagekräftigeren Namen, indemSie mit der rechten Maustaste auf den Task klicken und Umbenennen auswählen.

2 VirusScan-Konsole: Wählen Sie einen vorhandenen Aktualisierungs-Task aus (klickenSie mit der rechten Maustaste auf den Task, und klicken Sie auf Eigenschaften), odererstellen Sie einen neuen Task (wählen Sie Task | Neuer Spiegelungs-Task aus, undwählen Sie den neuen Task in der Liste aus).

TIPP: Beim Erstellen eines neuen Client-Tasks empfiehlt es sich, den Task in einenaussagekräftigeren Namen umzubenennen.

3 Legen Sie den Speicherort und das Format der Protokolldatei fest.

4 Konfigurieren Sie, ob neuere Entdeckungsdefinitionen, Module und DATs sowie andereverfügbare Aktualisierungen wie Service Packs und Produktaktualisierungen abgerufenwerden sollen.

5 Legen Sie fest, welche ausführbare Datei nach Beendigung des Aktualisierungs-Tasksgestartet werden soll und ob die Ausführung nur nach einer erfolgreichen Aktualisierungstattfinden soll.

6 Klicken Sie auf Verzeichnis spiegeln, um das Spiegelungsserverziel zu konfigurieren.

7 Klicken Sie auf Zeitplan, um zu konfigurieren, wann und wie oft der Task ausgeführtwerden soll. Detaillierte Informationen finden Sie unter Verwenden geplanter Tasks.

8 Klicken Sie auf Jetzt spiegeln, um den Task sofort auszuführen.

9 Konfigurieren Sie die Optionen auf der Registerkarte. Optionsdefinitionen erhalten Sie durchKlicken auf die Schaltflächen ? oder Hilfe der Registerkarte.

Registerkartendefinitionen

DefinitionenRegisterkarte

Spiegeln • Legen Sie den Speicherort und das Format der Protokolldatei fest.




• Legen Sie fest, welche ausführbare Datei nach Beendigung des Spiegelungs-Tasksgestartet werden soll und ob die Ausführung nur nach einer erfolgreichen Spiegelungstattfinden soll.

Funktionsweise des AutoUpdate-RepositorysIn der AutoUpdate-Repository-Liste (SITELIST.XML) sind die zur Ausführung einesAktualisierungs-Tasks erforderlichen Repositories und Konfigurationsdaten angegeben.

Die AutoUpdate-Repository-Liste umfasst Folgendes:

• Repository-Informationen und -Speicherort

• Bevorzugte Reihenfolge der Repositories

• Proxy-Einstellungen, falls erforderlich

• Verschlüsselte Anmeldeinformationen für den Zugriff auf die einzelnen Repositories

Wenn Sie einen AutoUpdate-Task ausführen, wird eine Verbindung mit dem ersten aktiviertenRepository (Aktualisierungs-Website) in der Repository-Liste hergestellt. Ist dieses Repositorynicht verfügbar, wird das nächste Repository kontaktiert usw., bis eine Verbindung zustandekommt oder das Ende der Liste erreicht ist.

Wenn in Ihrem Netzwerk ein Proxy-Server eingesetzt wird, können Sie dessen Adresse und diezu verwendenden Proxy-Einstellungen festlegen und bestimmen, ob eine Authentifizierungverwendet werden soll. Proxy-Informationen werden in der AutoUpdate-Repository-Listegespeichert. Die von Ihnen konfigurierten Proxy-Einstellungen gelten für alle Repositories indieser Repository-Liste.

Der Speicherort der AutoUpdate-Repository-Liste hängt von Ihrem Betriebssystem ab.

• Bei Microsoft Windows XP, Microsoft Vista, Microsoft 2000 Server, Microsoft 2003 Serverund Microsoft 2008 Server lautet der Pfad C:\Dokumente und Einstellungen\AlleBenutzer\Anwendungsdaten\McAfee\Common Framework.

• Bei Microsoft Windows 7 lautet der Pfad C:\ProgramData\McAfee\Common Framework.

Konfigurieren der Repository-ListeDie Repository-Liste enthält die Repositories, aus denen Sie Aktualisierungen abrufen können.Erstellen und konfigurieren Sie so viele Repositories, wie nötig. Einige Websites können jederzeitverwendet werden, während andere nur gelegentlich verwendet werden.

Task


1 Wählen Sie in der VirusScan-Konsole Extras | AutoUpdate-Repository-Liste bearbeitenaus, um auf die Eigenschaften der AutoUpdate-Repository-Liste zuzugreifen.

HINWEIS: Navigieren Sie zum Konfigurieren der Repository-Funktion mithilfe der ePolicyOrchestrator-Konsole zur Anzeige Richtlinienkatalog | McAfee Agent, und klicken Sieauf die Registerkarte Repositories.

2 Konfigurieren Sie die Optionen auf den Registerkarten.





Repositories • Geben Sie die Repositories an, aus denen die Aktualisierungen abgerufen werdensollen.

• Konfigurieren Sie die Reihenfolge für den Zugriff auf die Repositories.

Legen Sie die Proxy-Einstellungen fest, die zur Aktualisierung verwendet werden.Proxyeinstellungen

Durchführen von Rollbacks für DAT-DateienWenn Sie feststellen sollten, dass Ihre aktuellen DAT-Dateien beschädigt oder inkompatibelsind, können Sie die DAT-Dateien auf die zuletzt gesicherte Version zurücksetzen (einen Rollbackdurchführen).

Beim Aktualisieren von DAT-Dateien wird die alte Version in folgendem Verzeichnis gespeichert:<Laufwerk>:\Programme\Gemeinsame Dateien\McAfee\Engine\OldDats.

Wenn Sie ein Rollback der DAT-Dateien durchführen, werden die aktuellen DAT-Dateien durchdie Version im Ordner OldDats ersetzt, und in der Registrierung wird an folgender Stelle einFlag gesetzt: HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\szRolledbackDATS.

Wenn ein Rollback erfolgt ist, kann die vorherige Version nicht wiederhergestellt werden. Beider nächsten Aktualisierung wird die DAT-Version in der Registrierung mit den DAT-Dateien imAktualisierungs-Repository verglichen. Wenn die neuen DAT-Dateien den Dateien in derRegistrierung entsprechen, wird keine Aktualisierung durchgeführt.

Rollback von DAT-DateienVerwenden Sie das DAT-Rollback-Tool, um die Version der DAT-Dateien auf die vorherigeVersion zurückzusetzen.

Task


1 Wählen Sie in der VirusScan-Konsole Extras | Rollback für DATs durchführen aus.

2 Klicken Sie auf Ja, um das DAT-Rollback fortzusetzen.

HINWEIS: Diese Funktion steht in der ePolicy Orchestrator-Konsole nicht zur Verfügung.

3 Konfigurieren Sie die Optionen auf der Registerkarte.

Ausschließen von Scan-ElementenMit jedem der VirusScan Enterprise-Scanner können Sie die Liste der gescannten Dateitypenzusätzlich anpassen. Sie können beispielweise einzelne Dateien, Ordner und Datenträger vomScan-Vorgang ausschließen. Diese Ausschlüsse sind möglicherweise erforderlich, da die Scannereine Datei scannen und sperren könnten, wenn diese Datei gerade von einer Datenbank odereinem Server verwendet wird. Dadurch könnten bei der Datenbank oder dem Server Fehlerauftreten.

Teil I – Prävention: Vermeiden von BedrohungenAusschließen von Scan-Elementen


Inhalt

Festlegen von Ausschlüssen

Verwendung von Platzhaltern zum Festlegen von Scan-Elementen

Festlegen von AusschlüssenGeben Sie Dateien, Ordner und Laufwerke an, die von Scan-Vorgängen ausgeschlossen werdensollen. Mit dieser Funktion können Sie auch zuvor angegebene Ausschlüsse entfernen.


DefinitionOption

Festlegen des AusschlusstypsAuszuschließendeElemente • Nach Dateiname/Speicherort ausschließen: Geben Sie den Dateinamen sowie

die Speicherort an, und geben Sie an, ob Unterordner ausgeschlossen werden sollen.

HINWEIS: Sie müssen am Ende der Zeichenfolge einen umgekehrten Schrägstrich(\) hinzufügen, um einen Ordner auszuschließen. Andernfalls wird der Ausschlussals Dateiausschluss interpretiert, und das Kontrollkästchen Unterordner ebenfallsausschließen ist standardmäßig deaktiviert.

• Nach Dateityp ausschließen: Geben Sie einen Dateityp oder mehrere Typen an.

• Nach Dateialter ausschließen: Wählen Sie den Zugriffstyp aus, und geben Siedann das Mindestalter in Tagen an.

Geben Sie an, wann das ausgewählte Element ausgeschlossen werden soll:Wann ausschließen

• Beim Lesen

• Beim Schreiben

Clientausschlüsse überschreiben – Nur in dieser Richtlinie festgelegte Elementeausschließen. Wenn diese Option nicht ausgewählt ist, verwendet der Client-Computerdie Ausschlüsse, die lokal und in dieser Richtlinie festgelegt wurden.

HINWEIS: Diese Option steht nur mit ePolicy Orchestrator zur Verfügung.

Umgang mitClientausschlüssen

VerwendungvonPlatzhaltern zumFestlegen vonScan-ElementenSie können Platzhalter verwenden, um Typen von Dateien durch Ausschluss auszuschließen.

Wenn Sie Platzhalter verwenden, gelten folgende Einschränkungen.

• Zulässige Platzhalter sind das Fragezeichen (?), mit dem ein einzelnes Zeichen ausgeschlossenwird, und das Sternchen (*), mit dem mehrere Zeichen ausgeschlossen werden.

• In einer Pfadangabe können Platzhalter vor umgekehrten Schrägstrichen (\) eingesetztwerden. Beispiel: C:\ABC\*\XYZ stimmt überein mit C:\ABC\DEF\XYZ.

• Ein Ausschluss, der Fragezeichen (?) enthält, trifft dann zu, wenn die Anzahl der Zeichenmit denen des Datei- oder Ordnernamens übereinstimmt. Beispiel: Der Ausschluss W??schließt die Zeichenfolge WWW aus, aber nicht die Zeichenfolgen WW oder WWWW.

• Die Syntax wurde dahingehend erweitert, dass ein doppeltes Sternchen (**) angegebenwerden kann, um anzuzeigen, dass null oder mehr beliebige Zeichen einschließlich desumgekehrten Schrägstriches enthalten sein können. Damit können Ausschlüsse über mehrereVerzeichnistiefen definiert werden. Beispiel: C:\ABC\**\XYZ stimmt überein mitC:\ABC\DEF\XYZ und C:\ABC\DEF\DEF\XYZ usw.

Teil I – Prävention: Vermeiden von BedrohungenAusschließen von Scan-Elementen


Verwenden geplanter TasksAls Teil der Konfiguration von On-Demand-Scans, AutoUpdate oder Spiegelungs-Tasks müssenSie angeben, wann, wie oft und wie lange diese Tasks ausgeführt werden sollen. Sie müssenwährend des Konfigurationsprozesses auch Benutzerberechtigungen konfigurieren.

Inhalt

Zeitplanung von Tasks

Konfigurieren der Task-Planung

Zeitplanung von TasksSie haben die Möglichkeit, On-Demand-Scan-, AutoUpdate- und Spiegelungs-Tasks durch eineZeitplanung an bestimmten Tagen und zu bestimmten Uhrzeiten oder in bestimmten Intervallenauszuführen. Wie Sie die Tasks planen, hängt davon ab, welche BenutzeroberflächenkonsoleSie verwenden.

So planen Sie diese Tasks:

• ePolicy Orchestrator-Konsole: Verwenden Sie die Registerkarte Zeitplan, um die SeiteZeitplan zu öffnen.

• VirusScan-Konsole: Verwenden Sie die Schaltfläche Zeitplan, um das Dialogfeld Zeitplanzu öffnen.

Konfigurieren der Task-PlanungVerwenden Sie das Dialogfeld Zeitplaneinstellung, um einen Task so zu konfigurieren, dasser zu einer bestimmten Uhrzeit oder in einem bestimmten Intervall ausgeführt wird.

Bevor Sie beginnen

Für das Planen dieses Tasks müssen Sie über Administratorrechte verfügen. Administratorrechteverleihen dem Benutzer Schreibzugriff auf den Registrierungsschlüssel geplanter Tasks.

Klicken Sie auf die Schaltfläche Zeitplan im Dialogfeld Eigenschaften des Tasks, um denTask zu planen.

VORSICHT: Es wird empfohlen, für On-Demand-Scans minimale Intervalle zu planen.

Empfohlene minimale Intervalle:

• Täglich: Nur wenn ein schwerer Malware-Ausbruch vorlag.

• Wöchentlich: Empfohlen.

• Monatlich: Akzeptabel.

• Vierteljährlich: Das absolute Minimum.



Task • Aktivieren des geplanten Tasks zur festgelegten Zeit.

• Anhalten des Tasks nach einer festgelegten Laufzeit (Stunden/Minuten).

• Geben Sie Benutzerkontoeinstellungen, den Benutzernamen, die Domäne und dasKennwort an.

Teil I – Prävention: Vermeiden von BedrohungenVerwenden geplanter Tasks



Geben Sie die Zeitplanhäufigkeit und die verknüpften Einstellungen an.Zeitplan

Teil I – Prävention: Vermeiden von BedrohungenVerwenden geplanter Tasks


Teil II – Entdeckung: Finden von BedrohungenDas Finden von Bedrohungen ist der zweite Schritt in einer Schutzstrategie zum Entdecken vonMalware, die versucht, Zugriff auf Ihr System zu erlangen.

Inhalt

Scannen von Elementen bei Zugriff

On-Demand-Scan von Elementen

Scannen von E-Mails bei Empfang und On-Demand‏

Scannen von Elementen bei ZugriffMithilfe des Zugriffsscaners werden die Dateien auf dem Computer gescannt, sobald auf siezugegriffen wird, um eine fortwährende Echtzeitentdeckung von Bedrohungen zu gewährleisten.Sowohl die Zugriffsschutz- als auch die Buffer Overflow-Funktion verwenden auch denZugriffsscanner, um Verstöße gegen den Zugriffsschutz bzw. Buffer Overflow-Exploits zuentdecken.

Inhalt

Zugriffsscanner und Funktionsweise

Scan-Vergleich: Schreiben auf einen Datenträger oder Lesen von einem Datenträger

Scan-Vergleich: Scannen aller Dateien und Scannen von standardmäßigen und zusätzlichenDateitypen im Vergleich

Skript-Scan und seine Funktionsweise

Bestimmen der Anzahl von Scan-Richtlinien

Funktionsweise von Artemis

Konfigurieren allgemeiner und von Prozesseinstellungen

Zugriffsscanner und FunktionsweiseDer Zugriffsscanner schaltet sich in die tiefsten Ebenen des Systems (Dateisystem-Filtertreiber)ein, und scannt Dateien an der Stelle, an der Sie zuerst in das System gelangen. Er agiert alsein Teil des Systems (Systemdienst) und sendet über die Benutzeroberfläche Benachrichtigungen,wenn Entdeckungen stattfinden.

Wenn versucht wird, eine Datei zu öffnen, zu schließen oder umzubenennen, hört der Scannerden Vorgang ab und führt die folgenden Aktionen aus.

1 Der Scanner bestimmt, ob die Datei aufgrund der folgenden Kriterien gescannt werdensoll:

• Die Dateierweiterung entspricht der Konfiguration.


• Die Datei wurde nicht im Cache gespeichert.

• Die Datei wurde nicht ausgeschlossen.

• Die Datei wurde nicht zuvor bereits gescannt.

2 Wenn die Datei die Scan-Kriterien erfüllt, wird sie gescannt, indem die Informationen inder Datei mit den bekannten Malware-Signaturen in den aktuell geladenen DAT-Dateienverglichen werden.

• Wenn die Datei "sauber" ist, wird das Ergebnis in den Cache kopiert und der Zugriff fürLese-, Schreib- oder Umbenennungsvorgänge erteilt.

• Enthält die Datei eine Bedrohung, wird der Zugriff verweigert, und es wird diekonfigurierte Aktion ausgeführt. Beispiel:

• Wenn die Datei bereinigt werden muss, wird der entsprechende Reinigungsvorgangdurch die aktuell geladenen DAT-Dateien bestimmt.

• Die Ergebnisse werden in einem Aktivitätsprotokoll aufgezeichnet, sofern der Scannerentsprechend konfiguriert wurde.

• Die Warnung Nachrichten vom Scannen bei Zugriff wird angezeigt, und in ihrsind der Dateiname und die auszuführende Aktion angegeben, wenn der Scannerdafür konfiguriert wurde.

3 Wenn die Datei die Scan-Anforderungen nicht erfüllt, wird sie nicht gescannt. Sie wird imCache gespeichert, und der Zugriff wird erteilt.

HINWEIS: Der Scan-Datei-Cache wird geleert, und alle Dateien werden erneut gescannt,wenn die Zugriffsscan-Konfiguration geändert wird, eine EXTRA.DAT-Datei hinzugefügtwird oder der Cache voll ist.

Scan-Vergleich: Schreiben auf einen Datenträger oder Lesenvon einem Datenträger

Der Zugriffsscanner behandelt Scans unterschiedlich, je nachdem, ob der Benutzer einen Schreib-oder einen Lesezugriff auf dem Datenträger ausführt.

Beim Schreiben von Dateien auf den Datenträger werden vom Zugriffsscanner die folgendenElemente gescannt:

• Eingehende Dateien, die auf die lokale Festplatte geschrieben werden.

• Dateien, die auf der lokalen Festplatte oder einem zugeordneten Netzwerklaufwerk erstelltwerden (hierzu gehören neue Dateien, geänderte Dateien und Dateien, die von einemLaufwerk auf ein anderes kopiert oder verschoben werden).

HINWEIS: Zum Scannen zugeordneter Netzwerklaufwerke müssen Sie die Option AufNetzlaufwerken auswählen. Informationen hierzu finden Sie unter Aktivieren vonNetzwerklaufwerken.

Auf diese Scans kann nur auf dem Client zugegriffen werden, auf dem VirusScan Enterpriseinstalliert ist. Der Zugriff auf das zugeordnete Netzwerklaufwerk durch andere Systeme wirdnicht entdeckt.

Beim Lesen von Dateien auf dem Datenträger werden vom Zugriffsscanner die folgendenElemente gescannt:

Teil II – Entdeckung: Finden von BedrohungenScannen von Elementen bei Zugriff


• Ausgehende Dateien, die von der lokalen Festplatte oder zugeordneten Netzwerklaufwerkengelesen werden.

HINWEIS: Wählen Sie zum Scannen zugeordneter Netzwerklaufwerke die in den vorherigenPunkten beschriebene Option Auf Netzlaufwerken aus, um Remote-Netzwerkdateieneinzubeziehen.

• Alle Dateien, die versuchen, einen Vorgang auf der lokalen Festplatte auszuführen.

• Alle Dateien, die auf der lokalen Festplatte geöffnet werden.

• Alle Dateien, die auf der lokalen Festplatte umbenannt werden, wenn die Dateieigenschaftengeändert wurden.

Scan-Vergleich: Scannen aller Dateien und Scannen vonstandardmäßigen und zusätzlichen Dateitypen im Vergleich

Die Arbeitsweise des Zugriffsscanners ist abhängig davon, ob die Konfiguration das Scannenaller Dateien oder das Scannen von Standarddateitypen und zusätzlichen Dateitypen vorsieht.

Bei der Scan-Einstellung Alle Dateien werden alle Dateitypen auf alle möglichen Bedrohungenuntersucht.

Bei der Scan-Einstellung Standardmäßige und zusätzliche Dateitypen wird vom Scanner,ausgehend von den von Ihnen ausgewählten Dateitypen, eine Liste von angegebenen Dateienuntersucht.

• Standardmäßige Dateitypen: Der Zugriffsscanner untersucht nur den angegebenenDateityp nach speziell für diesen Dateityp geltenden Bedrohungen.

• ZusätzlicheDateitypen: Der Zugriffsscanner untersucht die Dateien mit übereinstimmendenErweiterungen nach allen möglichen Bedrohungen.

• Angegebene Dateitypen: Der Zugriffsscanner untersucht die benutzerdefinierte Liste derDateierweiterungen nach allen möglichen Bedrohungen.

Skript-Scan und seine FunktionsweiseDer Skript-Scanner wird als Proxykomponente der tatsächlichen Windows ScriptingHost-Komponente ausgeführt. Dieser Scanner hört Skripts ab und scannt sie anschließend vorder Ausführung.

Der Skript-Scanner überprüft beispielsweise Folgendes:

• Wenn das Skript sauber ist, wird es an die Scripting Host-Komponente weitergegeben.

• Wenn das Skript eine potenzielle Bedrohung enthält, wird es nicht ausgeführt.

Vertrauenswürdige Vorgänge und auch Websites, die Skripts verwenden, können von derÜberprüfung ausgeschlossen werden.

HINWEIS: Auf Windows Server 2008-Systemen können ScriptScan-URL-Ausschlüsse in WindowsInternet Explorer nur verwendet werden, wenn Sie das KontrollkästchenBrowsererweiterungen von Drittanbietern aktivieren aktivieren und Windows Server2008 neu starten. Detaillierte Informationen finden Sie unterhttps://kc.mcafee.com/corporate/index?page=content&id=KB69526.



https://kc.mcafee.com/corporate/index?page=content&id=KB69526

Funktionsweise von ArtemisBei der Artemis-Funktion wird eine Heuristik zum Prüfen auf verdächtige Dateien verwendet.Sie bietet Benutzern Windows-basierte McAfee-Antivirus-Produkte mit aktuellen Entdeckungenfür bestimmte Malware in Echtzeit.

Artemis bietet keinen Schutz vor vollständigen Klassen von Malware, sondern nur für verdächtigeBeispiele. Der Vorteil des Schutzes vor konkreten Bedrohungen liegt in der Fähigkeit, Benutzermit McAfee-Sicherheit praktisch zum gleichen Zeitpunkt zu schützen, zu demMcAfee Labsfestgestellt hat, dass ein Beispielvirus schädlich ist.

Sie können die vom Administrator konfigurierten und von Artemis verwendetenEmpfindlichkeitsstufen für die Suche nach verdächtigen Programmen und DLLs konfigurieren,die auf durch VirusScan Enterprise geschützten Client-Systemen ausgeführt werden. WennArtemis ein verdächtiges Programm entdeckt, wird eine DNS-Anfrage mit dem Fingerabdruckder verdächtigen Datei an einen von McAfee Labs gehosteten zentralen Datenbankservergesendet.

HINWEIS: In dieser Version ist die Artemis-Funktion standardmäßig aktiviert, und dieEmpfindlichkeitsstufe ist sehr niedrig eingestellt.



Bestimmen der Anzahl von Scan-RichtlinienMit folgendem Verfahren prüfen Sie, ob Sie mehr als eine Zugriffsscan-Richtlinie konfigurierensollten.

Konfigurieren allgemeiner und von ProzesseinstellungenDie allgemeinen und Prozessrichtlinien für Zugriffsscans werden separat konfiguriert.

• Allgemeine Einstellungen: Enthalten Optionen, die für alle Vorgänge gelten.

• Prozesseinstellungen: Ermöglicht das Konfigurieren einer Scan-Richtlinie für alle Vorgängeoder das Konfigurieren unterschiedlicher Richtlinien für Vorgänge, die Sie alsStandardvorgänge, Vorgänge mit geringem Risiko und Vorgänge mit hohem Risiko einstufen.

Konfigurieren der allgemeinen EinstellungenAllgemeine Einstellungen werden beim Scannen aller Vorgänge angewendet und enthaltenParameter wie Angaben zur maximalen Scan-Zeit, dem Scannen von Skripts, dem Blockieren



von unerwünschten Zugriffen von einem Remote-Computer, dem Senden von Nachrichten beiEntdeckung von Bedrohungen und dem Melden von Entdeckungen.

Konfigurieren Sie die allgemeinen Einstellungen für Scans bei Zugriff mithilfe der folgendenBenutzeroberflächenkonsolen.

ePolicy Orchestrator 4.5 oder 4.6Konfigurieren Sie die allgemeinen Einstellungen, die beim Scannen aller Vorgänge angewendetwerden, mithilfe dieser Benutzeroberflächenkonsole.

Task















4 Klicken Sie auf der Seite Allgemeine Richtlinien bei Zugriff auf die RegisterkarteAllgemein, um die allgemeine Richtlinie zu konfigurieren, die auf alle Zugriffsscansangewendet wird. Dazu gehören beispielweise Informationen darüber, welche Elementebei Zugriff gescannt werden sollen, wann der Scan erfolgen soll, ob Cookies gescanntwerden sollen sowie die maximale Scan-Zeit.

Sie können das Scannen aller aktuell auf dem System ausgeführten Vorgänge konfigurieren,wenn das Scannen bei Zugriff aktiviert ist. Dadurch wird die Systemsicherheit erhöht, aberdies kann Auswirkungen auf die Systemleistung beim Boot-Vorgang haben.

Wenn Sie die Funktion für aktivierte Scan-Vorgänge konfigurieren möchten, klicken Sie inder Gruppe Scannen auf Aktivierte Prozesse, um alle aktuelle auf dem Systemausgeführten Vorgänge zu scannen, wenn das Scannen bei Zugriff aktiviert ist.

HINWEIS: Das Aktivieren dieser Funktion wirkt sich auf die Zeit aus, die das System fürden Boot-Vorgang benötigt.



5 Aktivieren Sie auf der Registerkarte ScriptScan die Funktion ScriptScan, und konfigurierenSie alle Vorgänge oder URLs, die vom Scan-Vorgang ausgeschlossen werden sollen.

6 Konfigurieren Sie auf der Registerkarte Blockieren das Blockieren der Verbindungen vonRemote-Computern, die Dateien mit potenziellen Bedrohungen oder unerwünschtenProgrammen schreiben.

HINWEIS: Wenn ein Remote-System Malware auf ein System mit VirusScan Enterpriseschreibt, wird die Verbindung mit diesem Remote-System standardmäßig von VirusScanEnterprise blockiert.

Sie können auch eine Nachricht konfigurieren, die an das System gesendet wird, von demdie Malware geschrieben wurde.

HINWEIS: Zum Senden dieser Nachricht ist der Windows Messenger-Dienst erforderlich.

7 Konfigurieren Sie auf der Registerkarte Nachrichten die Nachrichten zum Benachrichtigenlokaler Benutzer, wenn eine Entdeckung stattfindet, oder geben Sie an, welche Maßnahmenvom Benutzer gegen die Bedrohung ergriffen werden können.

8 Aktivieren Sie auf der Registerkarte Berichte die Scan-Aktivitätsprotokolldateien, undgeben Sie ihren Speicherort, die Größe, das Format und zusätzliche Scan-Protokolle an,die Ihnen beim Diagnostizieren dieser Bedrohung helfen können.


ePolicy Orchestrator 4.0Konfigurieren Sie die allgemeinen Einstellungen, die beim Scannen aller Vorgänge angewendetwerden, mithilfe dieser Benutzeroberflächenkonsole.

Task














4 Klicken Sie auf der Seite Allgemeine Richtlinien bei Zugriff auf die RegisterkarteAllgemein, um die allgemeine Richtlinie zu konfigurieren, die auf alle Zugriffsscansangewendet wird. Dazu gehören beispielweise Informationen darüber, welche Elementebei Zugriff gescannt werden sollen, wann der Scan erfolgen soll, ob Cookies gescanntwerden sollen sowie die maximale Scan-Zeit.




5 Aktivieren Sie auf der Registerkarte ScriptScan die Funktion ScriptScan, und konfigurierenSie alle Vorgänge oder URLs, die vom Scan-Vorgang ausgeschlossen werden sollen.








VirusScan-KonsoleKonfigurieren Sie die allgemeinen Einstellungen, die beim Scannen aller Vorgänge angewendetwerden, mithilfe dieser Benutzeroberflächenkonsole.

Task


1 Klicken Sie in der Liste Task mit der rechten Maustaste auf Zugriffsscanner, und klickenSie dann auf Eigenschaften, um das Dialogfeld zu öffnen.

2 Klicken Sie auf der Seite Allgemeine Richtlinien bei Zugriff auf die RegisterkarteAllgemein, um die allgemeine Richtlinie zu konfigurieren, die auf alle Zugriffsscansangewendet wird. Dazu gehören beispielweise Informationen darüber, welche Elemente



bei Zugriff gescannt werden sollen, wann der Scan erfolgen soll, ob Cookies gescanntwerden sollen sowie die maximale Scan-Zeit.




3 Aktivieren Sie auf der Registerkarte ScriptScan die Funktion ScriptScan, und konfigurierenSie alle Skripts, die vom Scan-Vorgang ausgeschlossen werden sollen.








Konfigurieren der ProzesseinstellungenScan-Prozesse "Bei Zugriff" werden basierend auf dem Risiko konfiguriert, das Sie jedem Vorgangzuweisen. Sie können eine Standard-Scan-Richtlinie für alle Vorgänge konfigurieren oderunterschiedliche Richtlinien basierend auf dem Risiko konfigurieren, das jedem Vorgangzugewiesen wird. Zu den Parametern gehören unter anderem das dem Vorgang von Ihnenzugewiesene Risiko, die Festlegung der zu scannenden Elemente, die Ausführung vonArtemis-Scans oder Scans komprimierter Dateien, die Festlegung von Aktionen bei Entdeckungvon Bedrohungen und das Scannen auf potenziell unerwünschte Programme.

Konfigurieren Sie die Prozesseinstellungen für Scans bei Zugriff mithilfe der folgendenBenutzeroberflächenkonsolen.



ePolicy Orchestrator 4.5 oder 4.6Konfigurieren Sie die Richtlinien bei Zugriff für Standardvorgänge mithilfe dieserBenutzeroberflächenkonsolen.

Task















4 Klicken Sie auf der Registerkarte Vorgänge auf Unterschiedliche Scan-Richtlinien fürStandardvorgänge und Vorgänge mit geringem oder hohem Risiko festlegen,um die Standardvorgänge bei Zugriff, Vorgänge mit geringem Risiko oder die Vorgängemit hohem Risiko anzuzeigen.

5 Konfigurieren Sie auf der Seite mit den Richtlinien bei Zugriff für Standardvorgänge beiZugriff, Richtlinien für Vorgänge mit geringem Risiko oder Vorgänge mit hohem Risiko dieOptionen auf den einzelnen Registerkarten. Informationen hierzu finden Sie unterRegisterkartenoptionen für Prozesseinstellungen.

ePolicy Orchestrator 4.0Konfigurieren Sie die Richtlinien bei Zugriff für Standardvorgänge mithilfe dieserBenutzeroberflächenkonsolen.

Task
















VirusScan-KonsoleKonfigurieren Sie die Zugriffsscan-Eigenschaften mithilfe dieser Benutzeroberflächenkonsolen.

Task



2 Klicken Sie im linken Bereich auf Alle Vorgänge.



Registerkartenoptionen für ProzesseinstellungenIn der folgenden Tabelle sind die Registerkartenoptionen für den Zugriffsscanner beschrieben.




Vorgänge • Richtlinien bei Zugriff für Standardvorgänge: Konfigurieren Sie eineScan-Richtlinie für alle Vorgänge oder unterschiedliche Scan-Richtlinien fürStandardvorgänge, Vorgänge mit geringem Risiko und Vorgänge mit hohem Risiko.

HINWEIS: Wenn Sie sich dafür entscheiden, eine Scan-Richtlinie für alle Vorgängezu konfigurieren, gilt diese Richtlinie für alle Vorgänge. Wenn Sie sich dafürentscheiden, unterschiedliche Scan-Richtlinien für geringes und hohes Risiko zukonfigurieren, wird diese Richtlinie nur auf die Vorgänge angewendet, die nichtals geringes oder hohes Risiko definiert wurden.

• Richtlinien bei Zugriff für Vorgänge mit geringem Risiko: Geben Sie dieVorgänge an, die Sie als Vorgänge mit niedrigem Risiko einstufen.

• Richtlinien bei Zugriff für Vorgänge mit hohem Risiko: Geben Sie dieVorgänge an, die Sie als Vorgänge mit hohem Risiko einstufen.

HINWEIS: Die Option Unterschiedliche Scan-Richtlinien für Standardvorgängeund Vorgänge mit geringem oder hohem Risiko festlegen muss auf derRegisterkarte Richtlinien bei Zugriff für Standardvorgänge ausgewählt werden,bevor Sie einzelne Richtlinien für Vorgänge mit niedrigem oder hohem Risikokonfigurieren können.

Scan-Elemente • Konfigurieren Sie, ob Dateien bei Lese- oder Schreibvorgängen, aufNetzwerklaufwerken und geöffnet für Sicherungsvorgänge gescannt werden sollen.

VORSICHT: Wenn beim Aktivieren der Scans Beim Schreiben auf denDatenträger und Beim Lesen vom Datenträger ein Fehler auftritt, ist dasSystem vor zahlreichen Malware-Angriffen nicht geschützt.

• Konfigurieren Sie die Dateien und Dateitypen, die gescannt werden sollen.

VORSICHT: Wenn beim Aktivieren von Alle Dateien ein Fehler auftritt, ist dasSystem vor zahlreichen Malware-Angriffen nicht geschützt.

• Scannen Sie nach potenziellen Bedrohungen, die unerwünschten Programmen,Trojanern und Makroviren ähneln.

• Scannen Sie Inhalte von Archiven, und lassen Sie MIME-codierte Dateien decodieren.

• Aktivieren Sie das Scannen bei Zugriff, um nach unerwünschten Programmen zusuchen.

Konfigurieren Sie, welche Laufwerke, Dateien und Ordner vom Scannen ausgeschlossenwerden sollen.

Ausschlüsse

Für die Entdeckung von Bedrohungen:Aktionen

• Primäre Aktion, die bei Entdeckung einer Bedrohung ausgeführt werden soll.

• Sekundäre Aktion, die bei Entdeckung einer Bedrohung ausgeführt werden soll,falls die primäre Aktion fehlschlägt.

Für die Entdeckung unerwünschter Programme:

• Primäre Aktion, die bei Entdeckung eines unerwünschten Programms ausgeführtwerden soll.

• Sekundäre Aktion, die bei Entdeckung eines unerwünschten Programms ausgeführtwerden soll, falls die primäre Aktion fehlschlägt.

Aktivieren von NetzwerklaufwerkenZum Scannen zugeordneter Netzwerklaufwerke müssen Sie die Option Auf Netzlaufwerkenauswählen.

Konfigurieren Sie Zugriffsscans auf Netzwerklaufwerken in den Richtlinien bei Zugriff fürStandardvorgänge mithilfe einer der folgenden Benutzeroberflächenkonsolen.



ePolicy Orchestrator 4.5 oder 4.6Aktivieren Sie Netzwerklaufwerke in den Richtlinien bei Zugriff für Standardvorgänge mithilfedieser Benutzeroberflächenkonsole.

Task















4 Klicken Sie auf der Seite Richtlinien bei Zugriff für Standardvorgänge auf dieRegisterkarte Scan-Elemente und auf Auf Netzlaufwerken neben Dateien scannen.

5 Klicken Sie auf Speichern.

ePolicy Orchestrator 4.0Aktivieren Sie Netzwerklaufwerke mithilfe dieser Benutzeroberflächenkonsole.

Task














4 Klicken Sie auf der Seite Richtlinien bei Zugriff für Standardvorgänge auf dieRegisterkarte Scan-Elemente und auf Auf Netzlaufwerken neben Dateien scannen.


VirusScan-KonsoleAktivieren Sie Netzwerklaufwerke mithilfe dieser Benutzeroberflächenkonsole.

Task


1 Klicken Sie in der Liste Task mit der rechten Maustaste auf Zugriffsscanner, und klickenSie dann auf Eigenschaften, um das Dialogfeld Eigenschaften für Zugriffsscannerzu öffnen.

2 Klicken Sie auf die Registerkarte Scan-Elemente und auf Auf Netzlaufwerken nebenDateien scannen.


On-Demand-Scan von ElementenDer On-Demand-Scanner untersucht alle Speicherorte des Computers auf potenzielleBedrohungen – zu günstigen Zeiten oder in regelmäßigen Abständen. Verwenden SieOn-Demand-Scans, um den kontinuierlichen Schutz durch den Zugriffsscanner zu ergänzenoder zum Planen von Scans in regelmäßigen Abständen zu einem Zeitpunkt, an dem dieGeschäftstätigkeit ruht.

Inhalt

On-Demand-Scan und seine Funktionsweise

On-Demand-Scan-Methoden und ihre Festlegung

So funktioniert das Scannen des Remote-Speichers

So funktioniert das Verschieben von Scans

Wie funktioniert die Systemauslastung?

Konfigurieren von On-Demand-Scan-Tasks

Konfigurieren des globalen System-Caches

Teil II – Entdeckung: Finden von BedrohungenOn-Demand-Scan von Elementen


On-Demand-Scan und seine FunktionsweiseDer On-Demand-Scanner durchsucht unter anderem die Dateien, Ordner, den Speicher und dieRegistrierung des Systems auf Malware, durch die das System infiziert sein könnte. Sie legenfest, wann und wie On-Demand-Scans ausgeführt werden. Sie können Ihr System manuell, zueiner geplanten Zeit oder beispielsweise beim Systemstart scannen.

Wenn versucht wird, eine Datei zu öffnen, zu schließen oder umzubenennen, hört der Scannerden Vorgang ab und führt die folgenden Aktionen aus.

1 Der Scanner bestimmt, ob die Datei, der Ordner oder der Datenträger aufgrund derfolgenden Kriterien gescannt werden soll:

• Die Dateierweiterung entspricht der Konfiguration.

• Die Datei wurde nicht im Cache gespeichert.

• Die Datei wurde nicht ausgeschlossen.

• Die Datei wurde nicht zuvor bereits gescannt.

HINWEIS: Wenn Sie Artemis konfigurieren, wird vom On-Demand-Scanner eine Heuristikzum Prüfen auf verdächtige Dateien verwendet. Detaillierte Informationen hierzu findenSie unter Funktionsweise von Artemis.

2 Wenn die Datei, der Ordner oder der Datenträger die Scan-Kriterien erfüllt, wird sie bzw.er gescannt, indem die Informationen in der Datei, in dem Ordner oder auf dem Datenträgermit den bekannten Virensignaturen in den aktuell geladenen DAT-Dateien verglichenwerden.

• Wenn die Datei, der Ordner oder der Datenträger makellos ist, wird das Ergebnis imCache gespeichert und das nächste Element überprüft.

• Wenn die Datei, der Ordner oder der Datenträger eine Bedrohung enthält, wird diekonfigurierte Aktion ausgeführt. Beispiel:

• Wenn die Datei, der Ordner oder der Datenträger bereinigt werden muss, wird derentsprechende Vorgang durch die aktuell geladenen DAT-Dateien bestimmt.

• Die Ergebnisse werden in einem Aktivitätsprotokoll aufgezeichnet, sofern der Scannerentsprechend konfiguriert wurde.

• Im Dialogfeld Fortschritt des Scannens auf Anforderung werden dieInformationen zum Speicher-, Datei-, Ordner- und Datenträgernamen sowie zurauszuführenden Aktion angezeigt.

3 Wenn der Speicher, die Datei, der Ordner oder der Datenträger nicht denScan-Anforderungen entspricht, erfolgt kein Scan für dieses Element, und der Scanner setztden Vorgang fort, bis alle Daten gescannt sind.

On-Demand-Scan-Methoden und ihre FestlegungVom On-Demand-Scanner werden das Scannen von Prozessen im Arbeitsspeicher sowie dasinkrementelle oder fortsetzbare Scannen verwendet.

Scannen von Prozessen im Arbeitsspeicher

Diese Methode überprüft alle aktiven Prozesse, bevor der On-Demand-Scan-Task ausgeführtwird. Ein entdeckter potenziell unerwünschter Prozess wird markiert, und der Prozess wirdangehalten. Dies bedeutet, dass sämtliche potenziell unerwünschten Programme während eineseinzigen Durchlaufs des On-Demand-Scanners entfernt werden.



Inkrementelles oder fortsetzbares Scannen

Bei dieser Methode können Sie die Häufigkeit der On-Demand-Scan-Aktivität einschränken unddas gesamte System dennoch in mehreren Sitzungen scannen. Das inkrementelle Scannen kannfestgelegt werden, indem Sie dem geplanten Scan eine Zeitbeschränkung hinzufügen. Der Scanwird angehalten, sobald die Zeitbeschränkung erreicht wurde. Beim nächsten Start wird derTask an der Stelle in der Datei oder der Ordnerstruktur fortgesetzt, an der der vorherige Scanangehalten wurde.

So funktioniert das Scannen des Remote-SpeichersBei der Remote-Speicherung erfolgt die Datenspeicherung hierarchisch, wobei zweiSpeicherebenen definiert sind.

Die zwei Speicherebenen lauten folgendermaßen:

• Obere Ebene, lokaler Speicher: Umfasst die NTFS-Datenträger des Computers, auf demder Remote-Speicher von Windows 2000 Server ausgeführt wird.

• Untere Ebene, Remote-Speicher: Befindet sich in der robotisierten Bandbibliothek oderdem eigenständigen Bandlaufwerk, die bzw. das mit dem Server verbunden ist.

Mithilfe der Remote-Speicher-Funktion werden die geeigneten Dateien von den lokalenDatenträgern automatisch in die Bandbibliothek kopiert. Anschließend wird der verfügbareSpeicherplatz auf den lokalen Datenträgern überwacht. Die Daten der Dateien werden lokalzwischengespeichert, damit ohne Zeitverlust auf sie zugegriffen werden kann. Bei Bedarf werdenbei der Remote-Speicherung Daten aus dem Remote-Speicher in den lokalen Speicherverschoben. Wenn Sie auf eine Datei zugreifen, die sich auf einem von derRemote-Speicher-Funktion verwalteten Datenträger befindet, öffnen Sie sie wie gewohnt. Wenndie Daten der Datei jedoch nicht mehr im Cache auf dem lokalen Datenträgerzwischengespeichert sind, ruft die Remote-Speicher-Funktion sie aus der Bandbibliothek auf.

So funktioniert das Verschieben von ScansZur Verbesserung der Leistung können Sie On-Demand-Scan-Tasks während Präsentationenim Vollbildmodus oder bei niedrigem Batteriestand verschieben. Sie können dem Benutzer aucherlauben, den geplanten Scan in Schritten von einer Stunde zu verschieben. Die Schritte betrageneine Stunde und 24 Stunden, oder der On-Demand-Scan kann für immer verschoben werden.

Jede Benutzerverschiebung dauert eine Stunde an. Wenn beispielsweise die Option Höchstensverschieben für auf 2 festgelegt wurde, kann der Benutzer den Scan-Vorgang zweimal bzw.für zwei Stunden verschieben. Wenn die angegebene maximale Anzahl von Stunden abgelaufenist, wird der Scan fortgesetzt. Falls der Administrator unbegrenzte Verschiebungen zulässt,indem er die Option auf null (0) festgelegt, kann der Benutzer den Scan-Vorgang auf unbegrenzteZeit verschieben.

Wie funktioniert die Systemauslastung?Der On-Demand-Scanner verwendet die von Windows festgelegte Prioritätseinstellung alsPriorität für Scan-Vorgänge und Bedrohungen. Dadurch kann vom Betriebssystem die CPU-Zeit,die der On-Demand-Scanner empfängt, zu einem beliebigen Zeitpunkt im Scan-Vorgang festgelegtwerden. Die Systemauslastungseinstellung in den On-Demand-Scan-Eigenschaften wird dervon Windows festgelegten Priorität zugeordnet.

Wenn die Systemauslastung für den Scan niedrig eingestellt wird, wird die Leistung für andereausgeführte Anwendungen erhöht. Die niedrige Einstellung eignet sich für Systeme mit



ausgeführter Endbenutzeraktivität. Umgekehrt wird der Scan-Vorgang schneller abgeschlossen,wenn Sie die normale Systemauslastung einstellen. Die normale Einstellung eignet sich fürSysteme mit großen Volumes und sehr wenig Endbenutzeraktivität.

In der folgenden Tabelle sind die standardmäßigen Prozesseinstellungen für VirusScan Enterpriseund ePolicy Orchestrator dargestellt.

Von Windows festgelegtePrioritätseinstellung

VirusScan Enterprise-Prozesseinstellung

NiedrigNiedrig

Niedriger als normalNiedriger als normal: Die ePolicyOrchestrator-Standardeinstellung

NormalNormal: Die VirusScan Enterprise 8.8-Standardeinstellung

Konfigurieren von On-Demand-Scan-TasksDie Konfiguration von On-Demand-Tasks ist von der verwendeten Benutzeroberflächenkonsoleabhängig. Mit diesen Tasks wird der Vorgang für die einzelnen Benutzeroberflächenkonsolenbeschrieben.

Tasks

ePolicy Orchestrator 4.5 oder 4.6

ePolicy Orchestrator 4.0

VirusScan-Konsole

Konfigurieren der Registerkarten für On-Demand-Scan-Tasks

ePolicy Orchestrator 4.5 oder 4.6Konfigurieren Sie die On-Demand-Scan-Tasks mithilfe dieser Benutzeroberflächenkonsole.

Task


1 Klicken Sie auf Menü | System | Systemstruktur, und wählen Sie Client-Tasks aus.

2 Führen Sie auf der angezeigten Seite Client-Tasks folgende Aktionen aus:

• Klicken Sie zum Bearbeiten eines vorhandenen Tasks in der Spalte Aktionen des Tasksauf Einstellungen bearbeiten, um die Seite Beschreibung zu öffnen.

• Wenn Sie einen neuen On-Demand-Task erstellen möchten, klicken Sie auf Aktionen| Neuer Task, um die Seite Beschreibung zu öffnen.

3 Führen Sie auf der Seite Beschreibung folgende Aktionen aus:

• Überprüfen Sie beim Bearbeiten eines vorhandenen On-Demand-Scan-Tasks dieBeschreibungen, und klicken Sie auf Weiter.

• Konfigurieren Sie beim Erstellen eines neuen On-Demand-Scan-Tasks Folgendes, undklicken Sie auf Weiter:

• Name und Hinweise.

• Typ durch Auswählen von On-Demand-Scan (VirusScan Enterprise 8.8) in derListe.

• Tags, die bestimmen, welche Computer den On-Demand-Scan-Task empfangen.



4 Konfigurieren Sie auf der angezeigten Konfigurationsseite Generator für Client-Tasksdie einzelnen Registerkarten. Detaillierte Informationen finden Sie unter Konfigurieren derRegisterkarten für On-Demand-Scan-Tasks.

ePolicy Orchestrator 4.0Konfigurieren Sie die On-Demand-Scan-Tasks mithilfe dieser Benutzeroberflächenkonsole.

Task


1 Klicken Sie auf Systeme | Systemstruktur | Client-Tasks.

2 Führen Sie auf der angezeigten Seite Client-Tasks folgende Aktionen aus:

• Klicken Sie zum Bearbeiten eines vorhandenen Tasks in der Spalte Aktionen des Tasksauf Einstellungen bearbeiten, um die Seite Bearbeiten zu öffnen.

• Wenn Sie einen neuen On-Demand-Task erstellen möchten, klicken Sie auf Aktionen| Neuer Task, um die Seite Beschreibung zu öffnen.

3 Führen Sie eine der folgenden Aktionen aus:

• Überprüfen Sie beim Bearbeiten eines vorhandenen On-Demand-Scan-Tasks dieBeschreibungen, und klicken Sie auf Weiter.

• Konfigurieren Sie beim Erstellen eines neuen On-Demand-Scan-Tasks Folgendes, undklicken Sie auf Weiter:

• Name und Hinweise.

• Typ durch Auswählen von On-Demand-Scan (VirusScan Enterprise 8.8) in derListe.

• Tags, die bestimmen, welche Computer den On-Demand-Scan-Task empfangen.

4 Konfigurieren Sie auf der angezeigten Konfigurationsseite Generator für Client-Tasksdie einzelnen Registerkarten. Detaillierte Informationen finden Sie unter Konfigurieren derRegisterkarten für On-Demand-Scan-Tasks.

VirusScan-KonsoleKonfigurieren Sie die On-Demand-Scan-Tasks mithilfe dieser Benutzeroberflächenkonsole.

Task


1 Öffnen Sie die Seite Eigenschaften für Scannen auf Anforderung für einen vorhandenenoder einen neuen Task:

• Wählen Sie einen vorhandenen On-Demand-Scan-Task aus, klicken Sie mit der rechtenMaustaste auf den Task, und wählen Sie Eigenschaften aus.

• Erstellen Sie einen neuen Task, wählen Sie Task | Neuer On-Demand-Scan-Taskaus, klicken Sie mit der rechten Maustaste auf den neuen Task, und wählen SieEigenschaften aus.

2 Konfigurieren Sie die einzelnen Registerkarten im Dialogfeld Eigenschaften für Scannenauf Anforderung. Detaillierte Informationen finden Sie im Abschnitt Konfigurieren derRegisterkarten für On-Demand-Scan-Tasks.



Konfigurieren der Registerkarten für On-Demand-Scan-TasksVirusScan Enterprise enthält einen standardmäßigen On-Demand-Scan-Task. Sie können diesenStandard-Task verwenden und neue Tasks erstellen.

Konfigurieren Sie die Optionen der einzelnen Registerkarten. Optionsbeschreibungen erhaltenSie durch Klicken auf die Schaltflächen ? oder Hilfe der Registerkarten.



Scan-Speicherorte • Legen Sie die zu scannenden Bereiche und Elemente fest.

• Beziehen Sie ausgeführte Vorgänge mit ein.

• Beziehen Sie Unterordner beim Scannen mit ein.

• Beziehen Sie Boot-Sektoren beim Scannen mit ein.

• Beziehen Sie Registrierungsschlüssel und -werte beim Scannen mit ein.

• Beziehen Sie Cookie-Dateien beim Scannen mit ein.

VORSICHT: Wenn beim Scannen von Speicher für Rootkits und für LaufendeProzesse ein Fehler auftritt, ist das System vor zahlreichen Malware-Angriffen nichtgeschützt.

HINWEIS: Wenn das Dialogfeld Fortschritt des Scannens auf Anforderung angezeigtwird, werden die zu scannenden Speicherorte nach Scannen in als durch Kommagetrennte Zeichenfolge angezeigt. Sobald die Scan-Vorgänge abgeschlossen sind, werdensie aus der Zeichenfolge entfernt.

Scan-Elemente • Konfigurieren Sie die Dateien und Dateitypen, die gescannt werden sollen.

• Aktivieren Sie den On-Demand-Scan, um nach unerwünschten Programmen zusuchen.

• Scannen Sie Inhalte von Archiven, und lassen Sie MIME-codierte Dateien decodieren.

• Scannen Sie Dateien, die in den Speicher migriert wurden.

• Scannen Sie nach potenziellen Bedrohungen, die unerwünschten Programmen,Trojanern und Makroviren ähneln.

Konfigurieren Sie, welche Datenträger, Dateien und Ordner nach Name oder Speicherort,Dateityp oder Dateialter vom Scan-Vorgang ausgeschlossen werden sollen.

Ausschlüsse

Leistung • Konfigurieren Sie Zeitpunkt und Dauer der Verschiebung von Scan-Vorgängen.

• Geben Sie die Systemauslastung in Prozent an.

• Konfigurieren Sie die Empfindlichkeit für Artemis.



• Sekundäre Aktion, die bei Entdeckung einer Bedrohung ausgeführt werden soll,falls die primäre Aktion fehlschlägt.



• Sekundäre Aktion, die bei Entdeckung eines unerwünschten Programms ausgeführtwerden soll, falls die primäre Aktion fehlschlägt.

Wählen Sie unter "zulässige Aktionen" im Abfrage-Dialogfeld die gestattete Aktion aus.

Berichte • Aktivieren Sie die Aktivitätsprotokollierung.

• Geben Sie den Protokolldateinamen und -speicherort an.

• Geben Sie die Größenbeschränkung für die Protokolldatei an.




• Wählen Sie das Format der Protokolldatei aus.

• Geben Sie die Aktionen an, die zusätzlich zu den Scan-Aktivitäten protokolliertwerden sollen.

• Geben Sie an, welche der folgenden Aktionen zusätzlich zur Scan-Aktivitätprotokolliert werden sollen:

• Aktivieren von Sitzungseinstellungen

• Aktivieren der Sitzungszusammenfassung

• Fehler beim Aktivieren des Scans verschlüsselter Dateien

• Aktivieren Sie Warnungen beim Entdecken von Cookies.

Geben Sie an, wo der On-Demand-Scan-Task ausgeführt wird.

HINWEIS: Diese Registerkarte steht nur mit ePolicy Orchestrator zur Verfügung.

Task

Konfigurieren des globalen System-CachesVom VirusScan Enterprise-Scan-Cache wird eine Liste der gescannten Dateien gespeichert, diemakellos sind. Sie können die Leistung Ihres Systems verbessern, indem Sie dieScan-Cache-Informationen über makellose Dateien während eines Systemneustarts speichern.Dadurch kann der On-Demand-Scanner diese Cache-Informationen über makellose Dateienverwenden, um die Anzahl doppelter Datei-Scans zu reduzieren.

Konfigurieren Sie die Scan-Cache-Funktionen in den Richtlinien für allgemeine Optionen undauf der Registerkarte Globale Scan-Einstellungen mithilfe der folgendenBenutzeroberflächenkonsolen.

Tasks



VirusScan-Konsole

ePolicy Orchestrator 4.5 oder 4.6Konfigurieren Sie die Scan-Cache-Funktion in den Richtlinien für allgemeine Optionen mithilfedieser Benutzeroberflächenkonsole.

Task














4 Klicken Sie in den Richtlinien für allgemeine Optionen auf die Registerkarte GlobaleScan-Einstellungen, um die Optionseinstellungen für den VirusScan Enterprise-Scan-Cachezu konfigurieren.

5 Konfigurieren Sie die folgenden globalen Einstellungen für den Scan-Cache:

• Klicken Sie auf Speichern von Scan-Daten auch nach Neustarts aktivieren:Dadurch werden die makellosen Scan-Ergebnisse beim Neustart des Systems gespeichert.

• Klicken Sie auf On-Demand-Scans zur Nutzung des Scan-Caches zulassen:Dadurch wird dem On-Demand-Scanner die Verwendung der vorhandenen makellosenScan-Ergebnisse ermöglicht, um doppelte Scan-Vorgänge zu vermeiden.


ePolicy Orchestrator 4.0Konfigurieren Sie die Scan-Cache-Funktion in den Richtlinien für allgemeine Optionen mithilfedieser Benutzeroberflächenkonsole.

Task












4 Klicken Sie in den Richtlinien für allgemeine Optionen auf die Registerkarte GlobaleScan-Einstellungen, um die Optionseinstellungen für den VirusScan Enterprise-Scan-Cachezu konfigurieren.







VirusScan-KonsoleKonfigurieren Sie die Scan-Cache-Funktion mithilfe dieser Benutzeroberflächenkonsole.

Task


1 Klicken Sie auf Extras | Allgemeine Optionen und auf die Registerkarte GlobaleScan-Einstellungen, um das Dialogfeld Globale Scan-Einstellungen anzuzeigen.




3 Klicken Sie auf OK.

Scannen von E-Mails bei Empfang und On-Demand‏Der E-Mail-Scanner überprüft automatisch E-Mail-Nachrichten und Anlagen.

E-Mails werden folgendermaßen gescannt:

• Microsoft Outlook: E-Mails werden beim Empfang gescannt, Sie können aber auch direktin Microsoft Outlook On-Demand-Scans für E-Mails ausführen.

HINWEIS: Wenn Sie die Funktionen Heuristik und Artemis konfigurieren, wird beim Scan beiEingang und beim On-Demand-Scan eine Heuristik verwendet, um nach verdächtigen Dateienzu suchen. Detaillierte Informationen hierzu finden Sie unter Funktionsweise von Artemis.

• Lotus Notes: Ermöglicht die Konfiguration folgender Eigenschaften:

• Beim Zugreifen werden E-Mails gescannt.

• Beim Aufrufen wird direkt in Lotus Notes ein On-Demand-Scan für E-Mails ausgeführt.

• Welche Notes-Datenbanken ausgeschlossen werden sollen.

Konfigurieren Sie die Richtlinien für das E-Mail-Scannen bei Empfang mithilfe der folgendenBenutzeroberflächenkonsolen.

Tasks



Teil II – Entdeckung: Finden von BedrohungenScannen von E-Mails bei Empfang und On-Demand‏


VirusScan-Konsole

Registerkartendefinitionen der Richtlinien für das E-Mail-Scannen bei Empfang

ePolicy Orchestrator 4.5 oder 4.6Konfigurieren Sie die Richtlinien für das E-Mail-Scannen bei Empfang mithilfe dieserBenutzeroberflächenkonsole.

Task















4 Konfigurieren Sie auf der Konfigurationsseite Richtlinien für das E-Mail-Scannen beiEmpfang die Optionen auf den einzelnen Registerkarten. Informationen hierzu finden Sieunter Registerkartendefinitionen der Richtlinien für das E-Mail-Scannen bei Empfang.

ePolicy Orchestrator 4.0Konfigurieren Sie die Richtlinien für das E-Mail-Scannen bei Empfang mithilfe dieserBenutzeroberflächenkonsole.

Task



2 Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie.



Bearbeiten einer vorhandenen Richtlinie









4 Konfigurieren Sie auf der Konfigurationsseite Richtlinien für das E-Mail-Scannen beiEmpfang die Optionen auf den einzelnen Registerkarten. Informationen hierzu finden Sieunter Registerkartendefinitionen der Richtlinien für das E-Mail-Scannen bei Empfang.

VirusScan-KonsoleKonfigurieren Sie die Richtlinien für das E-Mail-Scannen bei Empfang mithilfe dieserBenutzeroberflächenkonsole.

Task


1 Klicken Sie in der Liste Task mit der rechten Maustaste auf Eigenschaften fürE-Mail-Scannen bei Empfang, und klicken Sie dann auf Eigenschaften, um dasDialogfeld zu öffnen.

2 Konfigurieren Sie im Dialogfeld Eigenschaften für E-Mail-Scannen bei Empfang dieOptionen auf den einzelnen Registerkarten. Informationen hierzu finden Sie unterRegisterkartendefinitionen der Richtlinien für das E-Mail-Scannen bei Empfang.

Registerkartendefinitionender Richtlinien für das E-Mail-Scannenbei Empfang


Scan-Elemente • Geben Sie an, welche Anlagen und Nachrichten gescannt werden sollen.

• Scannen Sie mithilfe einer Heuristik nach potenziellen Bedrohungen, die Malwareähneln, sowie nach unbekannten Makroviren und suchen Sie Anlagen mit mehrerenErweiterungen.

• Scannen Sie komprimierte Dateien in Archiven und lassen Sie MIME-codierte Dateiendecodieren.

• Aktivieren Sie E-Mail-Scanner, um nach unerwünschten Programmen zu suchen.

• Scannen Sie E-Mail-Nachrichtentexte.

• Konfigurieren Sie die Empfindlichkeit für Artemis.

HINWEIS: Diese Option ist nur beim E-Mail-Scannen bei Empfang verfügbar.






• Sekundäre Aktion, die beim Fehlschlagen der primären Aktion ausgeführt werdensoll.



• Sekundäre Aktion, die beim Fehlschlagen der primären Aktion ausgeführt werdensoll.

Wählen Sie unter "zulässige Aktionen" im Abfrage-Dialogfeld die gestattete Aktion aus.

Warnmeldungen • Benachrichtigen Sie einen anderen Benutzer, wenn eine möglicherweise infizierteE-Mail entdeckt wurde.

• Legen Sie hier den Meldungstext fest, der bei der Abfrage des Benutzers nach einergeeigneten Maßnahme angezeigt wird.

Berichte • Aktivieren Sie die Aktivitätsprotokollierung.

• Geben Sie den Protokolldateinamen und -speicherort an.

• Geben Sie die Größenbeschränkung für die Protokolldatei an.

• Wählen Sie das Format der Protokolldatei aus.

• Geben Sie die Aktionen an, die zusätzlich zu den Scan-Aktivitäten protokolliertwerden sollen.

HINWEIS: Diese Registerkarte ist nur beim E-Mail-Scannen bei Empfang verfügbar.Notes-Scannereinstellungen

Konfigurieren Sie die für Lotus Notes spezifischen Einstellungen.

• Scannen Sie alle Serverdatenbanken.

• Scannen Sie Postfächer auf dem Server in angegebenem Postfach-Stammordner.

• Zu ignorierende Notes-Anwendungen.



Teil III – Reaktion: Bearbeiten vonBedrohungen

Das Reagieren auf Bedrohungen ist der dritte Schritt in einer Schutzstrategie zum Entdeckenund Bereinigen von Malware, die versucht, Zugriff auf Ihr System zu erlangen.

Inhalt

Entdeckungen und Reaktionen

Konfigurieren von Warnmeldungen und Benachrichtigungen

Zugriff auf Abfragen und Dashboards

Konfigurieren von Notfall-DATs

Entdeckungen und ReaktionenDie nächsten Schritte, die beim Auftreten und Entdecken einer Bedrohung auszuführen sind,werden dadurch bestimmt, welche Reaktion in VirusScan Enterprise konfiguriert wurde und vonwelcher Funktion die Bedrohung entdeckt wird. Wenn Sie diese Unterschiede verstehen, könnenSie leichter eine effektive Strategie entwickeln und implementieren.

Inhalt

Was geschieht, wenn eine Bedrohung entdeckt wird?

Schutzverletzungen von Systemzugriffspunkten

Entdeckung von Buffer Overflows

Entdeckung unerwünschter Programme

Entdeckungen bei Zugriffsscans

Entdeckung bei On-Demand-Scans

Entdeckungen beim Scannen von E-Mails

Isolierte Elemente

Was geschieht, wenn eine Bedrohung entdeckt wird?Wenn eine Bedrohung auftritt und entdeckt wird, hängt die Reaktion davon ab, wie VirusScanEnterprise konfiguriert wurde.

Wenn VirusScan Enterprise so konfiguriert wurde, dass automatisch eine Bereinigung erfolgt(die empfohlene Standardeinstellung), hängt die resultierende Aktion von derBereinigungsanweisung aus der DAT-Datei ab. Wenn der Scanner beispielsweise eine Dateinicht bereinigen kann oder die Datei irreparabel beschädigt wurde, kann der Scanner je nach


der Definition in der DAT-Datei die problematische Datei löschen oder die sekundäre Aktionausführen.

Wenn der Scanner den Zugriff auf Dateien mit potenziellen Bedrohungen verweigert, wird beimSpeichern der Dateien dem Dateinamen die Erweiterung .mcm hinzugefügt.

Schutzverletzungen von SystemzugriffspunktenWenn eine Schutzverletzung gegen Systemzugriffspunkte stattfindet, hängt die eingeleiteteAktion davon ab, wie die entsprechende Regel konfiguriert wurde.

Für die Regel können folgende Aktionen konfiguriert werden:

• Melden: In der Protokolldatei werden entsprechende Informationen aufgezeichnet.

• Blockieren: Der Zugriff wird verweigert.

Stellen Sie anhand der Daten in der Protokolldatei fest, welche Systemzugriffspunkte verletztwurden und mithilfe welcher Regeln die Verletzung jeweils entdeckt wurde. Konfigurieren Sieanschließend die Zugriffsschutzregeln so, dass Benutzer auf zulässige Elemente zugreifenkönnen, der Zugriff auf geschützte Elemente jedoch verweigert wird.

Folgende Szenarien helfen Ihnen bei der Entscheidung einer geeigneten Aktion.

SzenarienEntdeckungstyp

Unerwünschte Prozesse • Wenn die Schutzverletzung in der Protokolldatei aufgezeichnet wurde, aber keineBlockierung stattgefunden hat, wählen Sie für diese Regel die Option Blockierenaus.

• Wenn die Regel eine Blockierung ausgelöst hat, die Schutzverletzung jedoch nichtin der Protokolldatei aufgezeichnet wurde, wählen Sie für diese Regel die OptionMelden aus.

• Wenn die Schutzverletzung durch die Regel blockiert und in der Protokolldateiaufgezeichnet wurde, ist keine Aktion notwendig.

• Wenn Sie feststellen, dass ein unerwünschter Prozess nicht entdeckt wurde, könnenSie die Regel bearbeiten und den zu entdeckenden Prozess als blockiert einbeziehen.

Zulässige Prozesse • Wenn die Schutzverletzung in der Protokolldatei aufgezeichnet wurde, aber keineBlockierung stattgefunden hat, entfernen Sie für diese Regel die Option Melden.

• Wenn die Schutzverletzung blockiert oder in der Protokolldatei aufgezeichnet wurde,bearbeiten Sie die Regel dahingehend, dass sie den zulässigen Prozess von derBlockierung ausschließt.

Entdeckung von Buffer OverflowsWenn ein Buffer Overflow entdeckt wird, blockiert der Scanner die Entdeckung, und im DialogfeldNachrichten vom Scannen bei Zugriff wird eine Nachricht angezeigt wird. Sie können dasDialogfeld anzeigen und dann entscheiden, ob Sie zusätzliche Aktionen ausführen möchten.

Sie können unter anderem die folgenden Aktionen ausführen:

• Entfernen der Nachricht: Wählen Sie die Nachricht in der Liste aus, und klicken Sie aufEntfernen.

• Erstellen eines Ausschlusses: Wenn der entdeckte Prozess falsch-positiv ist oder legitimverwendet wird, so können Sie anhand der Angaben im Dialogfeld Nachrichten vomScannen bei Zugriff einen Ausschluss erstellen. In der Spalte Name finden Sie den Namendes Prozesses, zu dem der beschreibbare Speicher gehört, über den der Aufruf ausgeführtwird. Verwenden Sie diesen Prozessnamen, um einen Ausschluss zu definieren.

Teil III – Reaktion: Bearbeiten von BedrohungenEntdeckungen und Reaktionen


• Senden eines Beispiels anMcAfee Labs zur Analyse: Wenn der Scanner etwas entdeckt,was Ihrer Meinung nach nicht entdeckt werden sollte, oder im Gegenteil etwas nicht entdeckt,was Ihrer Meinung nach entdeckt werden sollte, können Sie die betreffenden Beispieldatenzur Analyse an McAfee Labs einsenden.

Entdeckung unerwünschter ProgrammeDer Zugriffs-, On-Demand- und der E-Mail-Scanner entdecken anhand der von Ihnenkonfigurierten Richtlinie für unerwünschte Programme unerwünschte Programme. Wenneine Entdeckung stattfindet, führt der Scanner, der das potenziell unerwünschte Programmentdeckt hat, die Aktion aus, die Sie für diesen Scanner auf der Registerkarte Aktionenfestgelegt haben.

Lesen Sie die Einträge der Protokolldatei, und entscheiden Sie dann, ob Sie eine der folgendenzusätzlichen Aktionen einleiten möchten:

• Zusätzliches Anpassen der Scan-Einstellungen: Dadurch werden die Scans nocheffizienter ausgeführt.

• Ausschließen von der Entdeckung: Wenn ein legitimes Programm entdeckt wurde,können Sie es als Ausschluss konfigurieren.

• Hinzufügen zur Liste der benutzerdefinierten Entdeckungen: Wenn ein unerwünschtesProgramm nicht entdeckt wurde, können Sie es der Liste der benutzerdefiniertenEntdeckungen hinzufügen.


Entdeckungen bei ZugriffsscansWenn der Zugriffsscanner Malware entdeckt, werden die entsprechenden Aktionen ausgeführt,die Sie unter Eigenschaften für Scan bei Zugriff auf der Registerkarte Aktionen konfigurierthaben. Im Dialogfeld Nachrichten vom Scannen bei Zugriff wird auch eine entsprechendeMeldung aufgezeichnet.

Lesen Sie die Einträge im Aktivitätsprotokoll und im Dialogfeld Nachrichten vom Scannenbei Zugriff, um zu entscheiden, ob Sie eine dieser zusätzlichen Aktionen einleiten möchten.

• Zusätzliches Anpassen der Scan-Einstellungen: Wenn Sie Scans effizienter ausführenmöchten, schließen Sie legitime Dateien aus, die von VirusScan Enterprise möglicherweiseals Bedrohungen angesehen werden, und löschen Sie bekannte Bedrohungen, diemöglicherweise in Quarantäne gespeichert wurden.

• Rechtsklicken auf ein Element im Dialogfeld "Nachrichten vom Scannen beiZugriff": Damit können Sie die folgenden Aktionen ausführen:

• Datei säubern: Versucht, die in der aus gewählten Nachricht angegebene Datei zubereinigen.

• Datei löschen: Die von der ausgewählten Nachricht betroffene Datei wird gelöscht. DerName der Datei wird im Protokoll aufgezeichnet, damit Sie die Datei aus dem QuarantineManager wiederherstellen können.

• Alle auswählen (Strg + a): Es werden alle Nachrichten in der Liste ausgewählt.



• Nachricht aus Liste entfernen (Strg + d): Die ausgewählte Nachricht wird aus derListe entfernt. Nachrichten, die aus der Liste entfernt wurden, bleiben jedoch weiterhinin der Protokolldatei.

• Alle Nachrichten entfernen: Es werden alle Nachrichten aus der Liste entfernt.Nachrichten, die aus der Liste entfernt wurden, bleiben jedoch weiterhin in derProtokolldatei.

• Protokolldatei des Zugriffsscanners öffnen: Öffnet die Aktivitätsprotokolldatei desZugriffsscanners. Diese Option ist nur im Menü Datei verfügbar.

• Zugriffsschutz-Protokolldatei öffnen: Öffnet die Zugriffsschutz-Aktivitätsprotokolldatei.Diese Option ist nur im Menü Datei verfügbar.

• Wenn eine Aktion für eine bestimmte Nachricht nicht verfügbar ist, sind deren Symbol,Schaltfläche und Menüoption deaktiviert. Beispielsweise ist die Option Bereinigt nichtverfügbar, wenn die Datei bereits gelöscht wurde. Ebenso ist die Option Löschen nichtverfügbar, wenn sie nicht vom Administrator zur Verfügung gestellt wurde.

• Datei säubern: Eine Datei kann nicht bereinigt werden, wenn die DAT-Datei nicht übereinen Cleaner verfügt oder zu stark beschädigt ist. Wenn eine Datei nicht bereinigt werdenkann, fügt der Scanner dem Dateinamen die Erweiterung .mcm an und verweigert denZugriff auf die Datei. In der Protokolldatei wird ein entsprechender Eintrag aufgezeichnet.In diesem Fall wird empfohlen, diese Datei zu löschen und den Inhalt aus einer intaktenSicherungskopie wiederherzustellen.


Entdeckung bei On-Demand-ScansDie auf die bei On-Demand-Scans entdeckte Bedrohung folgende Aktion ist davon abhängig,welche Optionen Sie bei Eigenschaften für Scannen auf Anforderung auf der RegisterkarteAktionen ausgewählt haben.



• Anfordern der Aktion: Konfigurieren Sie die Einstellung Aktion anfordern für denScanner, indem Sie die Aktion im Dialogfeld Fortschritt des Scannens auf Anforderungauswählen.


Entdeckungen beim Scannen von E-MailsNach einer Entdeckung beim Scannen von E-Mails ergreift der Scanner Maßnahmen gemäß derKonfiguration in den Eigenschaften für E-Mail-Scannen beimEmpfang oder Eigenschaftenfür E-Mail-Scannen auf Anforderung auf der Registerkarte Aktionen.






Isolierte ElementeAls Bedrohungen entdeckten Elemente werden bereinigt oder gelöscht. Außerdem wird eineKopie des Elements in ein nicht ausführbares Format umgewandelt und im Quarantäne-Ordnergespeichert. Dadurch können Sie für die isolierten Elemente Vorgänge ausführen, nachdem Sieeine aktuellere Version der DAT-Datei heruntergeladen haben, die möglicherweise Informationenzum Bereinigen der Bedrohung enthält.

Dazu gehören die folgenden zusätzlichen Vorgänge:

• Wiederherstellen

• Erneut scannen

• Löschen

• Auf Falsch-Positiv-Meldungen überprüfen

• Entdeckungseigenschaften anzeigen

HINWEIS: Isolierte Elemente können mehrere Typen gescannter Objekte enthalten. DieseObjekte umfassen unter anderem Dateien, Cookies, Registrierungen und andere Elemente, dievon VirusScan Enterprise nach Malware gescannt werden.

Konfigurieren der Quarantäne-RichtlinieGreifen Sie auf die Quarantine Manager-Richtlinien zu, und konfigurieren Sie bei Bedarf dieQuarantäne-Richtlinie, oder akzeptieren Sie die Standardeinstellungen.

Konfigurieren Sie die Quarantine Manager-Richtlinien mithilfe der folgendenBenutzeroberflächenkonsolen.

Tasks



VirusScan-Konsole

ePolicy Orchestrator 4.5 oder 4.6Konfigurieren Sie die Quarantine Manager-Richtlinien mithilfe dieser Benutzeroberflächenkonsole.

Task

















4 Akzeptieren Sie auf der Seite Isolieren das standardmäßige Quarantäneverzeichnis, oderwählen Sie ein anderes Verzeichnis aus.

5 Wenn Sie die Anzahl der Tage konfigurieren möchten, für die die isolierten Elementegespeichert werden, klicken Sie auf Isolierte Daten nach einer bestimmten Anzahlvon Tagen automatisch löschen, und geben Sie die Anzahl von Tagen, die diegesicherten Daten im Quarantäne-Verzeichnis verbleiben sollen an.

ePolicy Orchestrator 4.0Konfigurieren Sie die Quarantine Manager-Richtlinien mithilfe dieser Benutzeroberflächenkonsole.

Task














4 Akzeptieren Sie auf der Seite Isolieren das standardmäßige Quarantäneverzeichnis, oderwählen Sie ein anderes Verzeichnis aus.


VirusScan-KonsoleKonfigurieren Sie die Quarantine Manager-Richtlinie mithilfe dieser Benutzeroberflächenkonsole.

Task


1 Klicken Sie in der Liste Task mit der rechten Maustaste auf QuarantineManager-Richtlinie, und klicken Sie dann auf Eigenschaften, um das DialogfeldQuarantine Manager-Richtlinie zu öffnen.

2 Akzeptieren Sie das standardmäßige Quarantäneverzeichnis, oder wählen Sie ein anderesVerzeichnis aus.


Verwalten isolierter ElementeErzeugen Sie isolierte Elemente, um diese Elemente weiter zu untersuchen und sie mithilfe derVirusScan-Konsole manuell zu löschen oder wiederherzustellen.

HINWEIS: Verwenden Sie von der ePolicy Orchestrator-Konsole aus den Client-Task AusQuarantäne wiederherstellen, um isolierte Elemente wiederherzustellen.

Task


1 Klicken Sie in der Liste Task der VirusScan-Konsole auf Quarantine Manager-Richtlinie,um das Dialogfeld Quarantine Manager-Richtlinie zu öffnen.

2 Klicken Sie auf die Registerkarte Manager, und klicken Sie mit der rechten Maustaste aufein Element, um auf die folgenden erweiterten Optionen zuzugreifen:

• Wiederherstellen

• Erneut scannen

• Löschen

• Auf Falsch-Positiv-Meldungen überprüfen

• Entdeckungseigenschaften anzeigen



3 Es wird ein Dialogfeld angezeigt, in dem die Auswirkungen Ihrer Aktion erläutert sind.

Konfigurieren von Warnmeldungen undBenachrichtigungen

Ein wichtiger Bestandteil des Schutzes Ihrer Umgebung ist eine Benachrichtigung über potenzielleBedrohungen, sobald diese entdeckt werden. Mithilfe der ePolicy Orchestrator-Konsole oderder VirusScan-Konsole können Sie konfigurieren, wie Sie bei der Entdeckung von Bedrohungenbenachrichtigt werden möchten. In beiden Konsolen können Sie Warnungsoptionen konfigurieren,Warnmeldungen nach Schweregrad filtern, um die Anzahl der Warnungen zu begrenzen, undlokale Warnungsoptionen konfigurieren.

Konfigurieren von WarnmeldungenKonfigurieren Sie die Warnungs- und Benachrichtigungseigenschaften, die angezeigt werden,wenn die zahlreichen Scanner eine Bedrohung entdecken.

Verwenden Sie denselben Prozess zum Konfigurieren von Warnungen für diese Richtlinien:

• Warnungsrichtlinien

• Buffer Overflow-Schutzrichtlinien

• Richtlinien für das E-Mail-Scannen bei Empfang

Konfigurieren Sie die Warnungsbenachrichtigungsrichtlinien für alle drei Richtlinien mithilfe derfolgenden Benutzeroberflächenkonsolen.

Tasks



VirusScan-Konsole

Konfiguration der Registerkarten für Warnungseigenschaften

ePolicy Orchestrator 4.5 oder 4.6Konfigurieren Sie die Warnungsrichtlinien mithilfe dieser Benutzeroberflächenkonsole.

Task







Teil III – Reaktion: Bearbeiten von BedrohungenKonfigurieren von Warnmeldungen und Benachrichtigungen










4 Konfigurieren Sie die Registerkarten für die Warnungsrichtlinien. Informationen finden Sieunter Konfiguration der Registerkarten für Warnungseigenschaften.

ePolicy Orchestrator 4.0Konfigurieren Sie die Warnungsrichtlinien mithilfe dieser Benutzeroberflächenkonsole.

Task













VirusScan-KonsoleKonfigurieren Sie die Warnungseigenschaften mithilfe dieser Benutzeroberflächenkonsole.

Teil III – Reaktion: Bearbeiten von BedrohungenKonfigurieren von Warnmeldungen und Benachrichtigungen


Task


1 Öffnen Sie zum Konfigurieren der Warnungen eine der folgenden Eigenschaften:

• Warnmeldungen: Klicken Sie auf Extras | Warnmeldungen, um das DialogfeldWarnungseigenschaften zu öffnen.

• Pufferüberlaufschutz: Wählen Sie den Task Pufferüberlaufschutz aus, und klickenSie mit der rechten Maustaste auf Eigenschaften, um das DialogfeldPufferüberlaufschutz-Eigenschaften zu öffnen.

• E-Mail-Scan – Beim Empfang: Wählen Sie den Task E-Mail-Scan – Beim Empfangaus, und klicken Sie mit der rechten Maustaste auf Eigenschaften, um das Dialogfeldmit den Eigenschaften für den E-Mail-Scan beim Empfang zu öffnen. Klicken Sie auf dieRegisterkarte Warnmeldungen.


Konfiguration der Registerkarten für WarnungseigenschaftenKonfigurationTask

Warnungsrichtlinien 1 Wählen Sie in der Spalte Aktionen den Eintrag Einstellungen bearbeitenaus, um die Seite mit den Warnungsrichtlinien zu öffnen.

2 Konfigurieren Sie die Komponenten, die Warnmeldungen generierenund die Optionen des Warnungsmanagers.

BufferOverflow-Schutzrichtlinien

1 Wählen Sie in der Spalte Aktionen den Eintrag Einstellungen bearbeitenaus, um die Seite Pufferüberlaufschutz zu öffnen.

2 Klicken Sie neben Clientsystem-Warnung auf Bei Entdeckung einesPufferüberlaufs Nachrichtendialogfeld anzeigen.

Richtlinien für dasE-Mail-Scannen beiEmpfang

1 Wählen Sie in der Spalte Aktionen den Eintrag Einstellungen bearbeitenaus, um die Seite mit den Richtlinien für das E-Mail-Puffer-Scannen beiEmpfang zu öffnen.

2 Klicken Sie auf Warnmeldungen, und konfigurieren SieE-Mail-Warnmeldung an den Benutzer und Meldung zum Bestätigender Aktion.

Zugriff auf Abfragen und DashboardsMit Abfragen und Dashboards können Sie Aktivitäten überwachen und leichter bestimmen,welche Maßnahmen im Falle einer entdeckten Bedrohung sinnvoll sind. Mittels vordefinierterAbfragen und Dashboards lassen sich gemäß Ihren Anforderungen zusätzliche Dashboards undAbfragen erzeugen. Weitere Informationen zu Dashboards und Abfragen finden Sie in derProduktdokumentation zu ePolicy Orchestrator.

Abfragen

Navigieren Sie in Abhängigkeit Ihrer ePolicy Orchestrator-Version anhand einer der beidenfolgenden Anleitungen zu Abfragen:

ePolicy Orchestrator 4.5 und 4.6

Teil III – Reaktion: Bearbeiten von BedrohungenZugriff auf Abfragen und Dashboards


1 Klicken Sie auf Menü | Berichterstellung | Abfragen, und die Seite Abfragen wirdangezeigt.

2 Geben Sie im Bereich Abfragen den Text VSE: unter Schnellsuche ein, und klicken Sieauf Übernehmen. Nur die VirusScan Enterprise-Abfragen werden in der Liste angezeigt.


1 Klicken Sie auf Berichterstellung | Abfragen, und die Seite Abfragen wird angezeigt.

2 Führen Sie in der Liste Abfragen im rechten Bereich einen Bildlauf nach unten aus, umdie mit "VSE:" beginnenden Abfragen zu suchen.

Folgende vordefinierte Abfragen sind verfügbar:

VSE: Im Laufe der letzten beiden Quartale entdeckteBedrohungen

VSE: Compliance innerhalb der letzten 30 Tage

VSE: Computer mit entdeckten Bedrohungen pro WocheVSE: Entdeckte Bedrohungen pro WocheVSE: Aktuelle DAT-ÜbernahmeVSE: Die 10 am häufigsten verletztenZugriffsschutzregeln

VSE: DAT-Übernahme in den letzten 24 Stunden

VSE: DAT-AusbringungVSE: Die 10 meistentdeckten Pufferüberläufe

VSE: Entdeckungsantwort-ZusammenfassungVSE: Computer mit den häufigsten Entdeckungen

VSE: Anzahl der Entdeckungen nach "Tag" (engl.Stichwort) VSE: Die 10 am häufigsten entdeckten Bedrohungen

VSE: Die 10 häufigsten BedrohungsquellenVSE: In den letzten 24 Stunden entdeckte SpywareVSE: Die 10 häufigsten Bedrohungen nachBedrohungskategorie

VSE: In den letzten 7 Tagen entdeckte Spyware

VSE: Zusammenfassung zu "In den letzten 24 Stundenentdeckte Bedrohungen" VSE: Benutzer mit den häufigsten Entdeckungen

VSE: In den letzten 24 Stunden entdeckte unerwünschteProgramme

VSE: Zusammenfassung zu "In den letzten 7 Tagenentdeckte Bedrohungen"

VSE: In den letzten 7 Tagen entdeckte unerwünschteProgramme

VSE: Anzahl der Bedrohungen nach Schweregrad

VSE: Namen der entdeckten Bedrohungen pro WocheVSE: Compliance mit Version 8.5

VSE: In den letzten 24 Stunden entdeckte BedrohungenVSE: Compliance mit Version 8.7

VSE: In den letzten 7 Tagen entdeckte BedrohungenVSE: Compliance mit Version 8.8

Dashboards

Wechseln Sie zu Dashboards, um in der ePolicy Orchestrator-Konsole auf Dashboardszuzugreifen.

Folgende vordefinierte Dashboards sind verfügbar:

• VSE: Compliance mit Version 8.8

• VSE: Trenddaten

• VSE: Aktuelle Entdeckungen

Konfigurieren von Notfall-DATsNotfall-DATs können manuell heruntergeladen werden, um das System vor einem gravierendenVirus zu schützen, bis die normale VirusScan-DAT-Aktualisierung veröffentlicht wird.

HINWEIS: Diese EXTRA.DAT-Dateien sollten automatisch im Rahmen von AutoUpdates desClient-Systems oder als geplanter ePolicy Orchestrator-Abrufvorgang heruntergeladen werden.Informationen finden Sie im Abschnitt Aktualisieren von Entdeckungsdefinitionen.

Die Konfiguration von Notfall-DATs umfasst zwei Schritte.

Teil III – Reaktion: Bearbeiten von BedrohungenKonfigurieren von Notfall-DATs


1 Laden Sie die Notfall-DAT-Datei herunter. Dieser Prozess ist bei Client-Systemen und ePolicyOrchestrator-Repositories identisch.

2 Installieren Sie die Notfall-DAT-Datei. Dieser Prozess ist bei Client-Systemen und Servernmit ePolicy Orchestrator 4.0 4.5 und 4.6 unterschiedlich.

Die Prozesse sind in diesem Abschnitt beschrieben.

Inhalt

Informationen zu Notfall-DATs

Herunterladen einer SuperDAT-Datei

Installieren der SuperDAT-Dateien in einem ePolicy Orchestrator-Repository

Installieren der Datei EXTRA.DAT auf einem Client-System

Informationen zu Notfall-DATsNotfall-DATs (auch EXTRA.DAT-Dateien genannt) enthalten Informationen, die von VirusScanEnterprise zum Entdecken eines neuen Virus verwendet werden. Wenn neue Malware ermitteltwird und eine zusätzliche Entdeckung erforderlich ist, wird von McAfee Labs eine in einerausführbaren SuperDAT-Datei (SDAT) gepackte EXTRA.DAT-Datei zur Verfügung gestellt, bisdie normale VirusScan Enterprise-DAT-Aktualisierung veröffentlich wird.

HINWEIS: McAfee veröffentlicht keine einzelnen EXTRA.DAT-Dateien mehr auf der SecurityUpdates-Download-Website. Wenn Sie eine EXTRA.DAT-Datei für eine bestimmte Bedrohungherunterladen möchten, wechseln Sie zur McAfee Avert Labs Extra.dat Request Page unterhttps://www.webimmune.net/extra/getextra.aspx.

SuperDAT-Pakete

Bei der ausführbaren SuperDAT-Datei handelt es sich um ein sich selbst installierendes Paket.Sie kann auch ein neues Virus-Scan-Modul oder andere Programmkomponenten enthalten. DieDatei weist das Namensformat sdatXXXX.exe auf, wobei XXXX die vierstellige DAT-Versionsnummerist, beispielsweise sdat4321.exe.

Wenn eine EXTRA.DAT-Datei aus einer ausführbaren SuperDAT-Datei extrahiert und demModulordner auf Ihrer Festplatte hinzugefügt wird, wird sie von VirusScan Enterprise zusätzlichzu den normalen DAT-Dateien zur Entdeckung des neuen Virus verwendet. Dadurch kann IhrComputer von VirusScan Enterprise vor dem neuen Malware-Code geschützt werden, bis dieoffizielle DAT-Aktualisierung veröffentlicht wird, die die Informationen zur Entdeckung undEntfernung der Malware enthält. Nach der Veröffentlichung und Installation der offiziellenDAT-Aktualisierung ist die EXTRA.DAT-Datei nicht mehr erforderlich.

HINWEIS: EXTRA.DAT-Dateien verbleiben 5 Tage in Ihrem Dateisystem, dann werden sieautomatisch gelöscht. Sie sollten Ihre VirusScan Enterprise-DAT-Dateien auf dem aktuellenStand halten, indem Sie die offiziellen täglichen Aktualisierungen automatisch herunterladenund installieren.

Herunterladen einer SuperDAT-DateiZum Herunterladen einer SuperDAT-Datei (SDAT) müssen Sie eine Verbindung mit der SeiteMcAfee Security Updates herstellen.



https://www.webimmune.net/extra/getextra.aspx

Bevor Sie beginnen

• Sie müssen über eine gültige Grantnummer verfügen, um auf die Seite McAfee SecurityUpdates zuzugreifen: http://www.mcafee.com/apps/downloads/security_updates/dat.asp

• Sie benötigen Administratorrechte, um die McAfee-Software herunterzuladen.

Task

1 Wechseln Sie zur Seite McAfee Security Updates unter dem folgenden URL:http://www.mcafee.com/apps/downloads/security_updates/dat.asp

2 Klicken Sie auf die Registerkarte SuperDATs, und doppelklicken Sie auf die DateisdatXXXX.exe, wobei XXXX die Nummer der neuesten DAT-Aktualisierung ist.

HINWEIS: Doppelklicken Sie auf die Datei readme.txt, um weitere Informationen zu erhalten.

3 Speichern Sie die ausführbare Datei mit ihrem Standardnamen an einem temporärenSpeicherort.

Installieren der SuperDAT-Dateien in einem ePolicyOrchestrator-Repository

Nachdem Sie die SuperDAT-Datei heruntergeladen haben, müssen Sie sie auf dem ePolicyOrchestrator-Server installieren.

Bevor Sie beginnen

Sie benötigen Administratorrechte, um die McAfee-Software zu aktualisieren.

Task


1 Installieren Sie die SuperDAT-Datei mithilfe einer der folgenden Methoden auf einem ePolicyOrchestrator-Server:

Schritte...Server

ePolicy Orchestrator 4.5 und 4.6 1 Klicken Sie aufMenü | Software |Master-Repository,um die Seite Pakete im Master-Repository in derePolicy Orchestrator 4.5 und 4.6-Konsole zu öffnen.

2 Klicken Sie auf Aktionen | Pakete einchecken.

ePolicy Orchestrator 4.0 1 Klicken Sie auf Software | Master-Repository, um dieSeite Pakete im Master-Repository zu öffnen.

2 Klicken Sie auf Pakete einchecken, um Sie Seite Paketeeinchecken zu öffnen.

2 Wählen Sie Super DAT (EXE) aus, navigieren Sie zu dem Speicherort, an dem die Dateigespeichert werden soll, und klicken Sie dann auf Weiter.

3 Überprüfen Sie Ihre Auswahl, und klicken Sie dann auf Speichern. Auf der Seite Paketeim Master-Repository wird das neue DAT-Paket in der Liste Name angezeigt.



http://www.mcafee.com/apps/downloads/security_updates/dat.asp

http://www.mcafee.com/apps/downloads/security_updates/dat.asp

Installieren der Datei EXTRA.DAT auf einem Client-SystemSie können die Datei EXTRA.DAT auf einem Standalone-Client-System installieren, nachdemSie die Datei bei McAfee Labs heruntergeladen haben. Informationen zum Herunterladen derDatei EXTRA.DAT finden Sie unter Informationen zu Notfalls-DATs.

Bevor Sie beginnen

Sie benötigen Administratorrechte, um die McAfee-Sicherheitssoftware zu aktualisieren.

Task


1 Nachdem der Download angeschlossen ist, suchen Sie die gerade gespeicherte Datei,führen Sie die ausführbare Datei aus, und folgen Sie den Anweisungen im Assistenten.Von der ausführbaren Datei EXTRA.DAT werden die folgenden Schritte ausgeführt:

• Es wird die speicherresidente McAfee-Software entladen, oder des werden Diensteangehalten, die die aktuellen DAT-Dateien verwenden.

• Es werden neue DAT-Dateien in die entsprechenden Programmverzeichnisse kopiert.

• Es werden die Software-Komponenten erneut gestartet, die erforderlich sind, umScan-Vorgänge mit den neuen DAT-Dateien fortzusetzen.

2 Wenn die Aktualisierung der DAT-Dateien vom Installationsprogramm abgeschlossen wurde,können Sie die heruntergeladene Datei löschen oder eine Kopie für künftige Aktualisierungenbeibehalten.



Teil IV –Überwachung, Analyse und zusätzlicheAnpassung des Schutzes

Nach der Erstkonfiguration Ihrer Schutzstrategie sollten Sie Ihren Schutz überwachen, analysierenund zusätzlich anpassen. Durch Überprüfen der Aktivitätsprotokolldateien und ePolicyOrchestrator-Abfragen können Sie die Leistung und den Schutz von VirusScanEnterprise-Systemen erhöhen.

Inhalt

Überwachen der Aktivität in Ihrer Umgebung

Analysieren des Schutzes

Überwachen der Aktivität in Ihrer UmgebungEin wichtiger Schritt in einer Schutzstrategie ist das Überwachen der auf Systemen auftretendenMalware-Ereignisse. Dazu müssen Sie die zu verwendenden Tools und Ihre Funktionsweisekennen.

Tools zum Überwachen der AktivitätVirusScan Enterprise bietet viele Möglichkeiten zum Überwachen der Bedrohungsereignisse, dieauf Ihren geschützten Systemen auftreten. Welche Tools Sie verwenden hängt davon ab, obSie die ePolicy Orchestrator-Konsole oder die VirusScan-Konsole verwenden.

Verwenden von Abfragen und DashboardsMit ePolicy Orchestrator-Abfragen und -Dashboards können Sie Aktivitäten auf Ihren von McAfeeverwalteten Systemen überwachen und bestimmen, welche Maßnahmen im Falle vonBedrohungen sinnvoll sind.

Zusätzliche Informationen zu Abfragen und Dashboards finden Sie in den folgenden Referenzen:

• Eine vollständige Liste der verfügbaren vordefinierten Abfragen finden Sie unter Zugriff aufAbfragen und Dashboards.

• Informationen zum Ändern und Erstellen von Abfragen und Dashboards finden Sie in derePolicy Orchestrator-Produktdokumentation.

Verwenden von AktivitätsprotokollenIn den Aktivitätsprotokollen der VirusScan-Konsole wird ein Datensatz mit Ereignissen gespeichert,die in Ihrem geschützten VirusScan Enterprise-System auftreten. In der folgenden Tabelle sinddie Protokolldateien beschrieben.


Alle Aktivitätsprotokolle werden in Abhängigkeit Ihres Betriebssystems standardmäßig in einemder folgenden Verzeichnisse gespeichert:

• Bei Microsoft Windows XP, Microsoft Vista, Microsoft 2000 Server, Microsoft 2003 Serverund Microsoft 2008 Server lautet der Pfad C:\Dokumente und Einstellungen\AlleBenutzer\Anwendungsdaten\McAfee\DesktopProtection.

• Bei Microsoft Windows 7 lautet der Pfad C:\ProgramData\McAfee\DesktopProtection.

Tabelle 1: ProtokolldateienZeigt Folgendes an...ZugriffDateiname

Datum, Uhrzeit, Ereignis,Benutzer und Name derDatei.

Klicken Sie in der Spalte Task auf die RegisterkarteZugriffsschutz | Berichte, und klicken Sie aufProtokoll anzeigen.

AccessProtectionLog.txt

Datum, Uhrzeit, welcheausführbare Datei den

Klicken Sie in der Spalte Task auf die RegisterkartePufferüberlaufschutz | Berichte, und klicken Sieauf Protokoll anzeigen.

BufferOverflowProtectionLog.txt

Überlauf verursacht hatund ob es sich um einenStapel- oderHeap-Überlauf handelte.

Datum, Uhrzeit, Pfad zuden Spiegelungsdateien

MirrorLog.txt • Bei Microsoft Windows XP, Microsoft Vista,Microsoft 2000 Server, Microsoft 2003 Server

und weitereInformationen.

und Microsoft 2008 Server lautet der PfadC:\Dokumente und Einstellungen\AlleBenutzer\Anwendungsdaten\McAfee\DesktopProtection.

• Bei Microsoft Windows 7 lautet der PfadC:\ProgramData\McAfee\DesktopProtection.

Datum, Uhrzeit,entdeckte Malware,

Klicken Sie in der Spalte Task auf die RegisterkarteZugriffsscanner | Allgemeine Einstellungen |Berichte, und klicken Sie auf Protokoll anzeigen.

OnAccessScanLog.txt

welche Maßnahmeergriffen wurde und wasgefunden wurde.

Datum, Uhrzeit desScans, ausgeführte

Klicken Sie im Menü auf Task | Protokollanzeigen.

OnDemandScanLog.txt

Aktion(en), betroffeneDatei und was gefundenwurde.

Datum, Uhrzeit derAktualisierung, Person,

UpdateLog.txt • Bei Microsoft Windows XP, Microsoft Vista,Microsoft 2000 Server, Microsoft 2003 Server

von der die Aktualisierungund Microsoft 2008 Server lautet der Pfadinitiiert wurde, und alleC:\Dokumente und Einstellungen\Alle

Benutzer\Anwendungsdaten\McAfee\DesktopProtection. Informationen zurAktualisierung.• Bei Microsoft Windows 7 lautet der Pfad

C:\ProgramData\McAfee\DesktopProtection.

Ausführen einer BeispielabfrageFühren Sie eine einfache Abfrage aus, um zu bestimmen, wie viele Bedrohungen pro Wocheauf Ihren verwalteten Systemen entdeckt wurden. Bei dieser Abfrage handelt es sich nur umein Beispiel. Die von Ihnen ausgeführten oder konfigurierten Abfragen hängen von denInformationen ab, die Sie aus der ePolicy Orchestrator-Datenbank abrufen möchten.

Task


Teil IV – Überwachung, Analyse und zusätzliche Anpassung des SchutzesÜberwachen der Aktivität in Ihrer Umgebung


1 Verwenden Sie eine der folgenden Aktionen, um eine ePolicy Orchestrator-Abfrageauszuführen:

• ePolicy Orchestrator 4.5 oder 4.6: Klicken Sie auf Menü | Berichterstellung |Abfragen, um einen Bildlauf nach unten zur Abfrage VSE: Entdeckte Bedrohungen proWoche auszuführen, und klicken Sie auf Ausführen.

• ePolicy Orchestrator 4.0: Klicken Sie auf Berichterstellung | Abfragen, um einenBildlauf nach unten zur Abfrage VSE: Entdeckte Bedrohungen pro Woche auszuführen, undklicken Sie auf Ausführen.

2 Wenn Bedrohungen entdeckt wurden, wird in den Abfrageergebnissen Folgendes angezeigt:

• Ein Balkendiagramm mit der Anzahl der Bedrohungen und in welchen Wochen sieaufgetreten sind.

• Eine Tabelle mit ähnlichen Informationen und der Gesamtzahl der Bedrohungen.

HINWEIS: Sie können auf das Balkendiagramm oder die Tabelleninformationen klicken,um die Daten der ePolicy Orchestrator-Datenbank zu öffnen.

3 Klicken Sie auf Schließen, um zur Abfragenliste zurückzukehren.

Es gibt viele weitere Standardabfragen, die Sie ausführen können, und Sie können auch Ihreeigenen Abfragen erstellen. Weitere Informationen hierzu finden Sie in der ePolicyOrchestrator-Dokumentation.

Analysieren des SchutzesDas Analysieren des Schutzes Ihres durch VirusScan Enterprise geschützten Systems sollte einfortlaufender Prozess sein und den Schutz und die Leistung des Systems verbessern.

Inhalt

Die Wichtigkeit der Analyse

Beispiele für das Analysieren des Schutzes

Die Wichtigkeit der AnalyseDurch das Analysieren Ihres Schutzes können Sie bestimmen, welcher Art von BedrohungenSie ausgesetzt sind, woher sie stammen, wie häufig Sie ermittelt werden und welche Systemedas Ziel von Bedrohungen sind. Wenn beispielsweise ein System ständig angegriffen wird, solltedieses System möglicherweise in einem sichereren Teil des Netzwerks positioniert werden, undes sollten höhere Sicherheitsmaßnahmen für dieses System vorgenommen werden, um es zuschützen.

Diese Analyse ist auch bei folgenden Situationen hilfreich:

• Erstellen von Berichten für IT-Mitarbeiter und Manager

• Erfassen von Informationen zum Erstellen von Skripts und Abfragen

• Überwachen der Netzwerkzugriffszeit und der VirusScanEnterprise-Aktualisierungsnetzwerknutzung

Teil IV – Überwachung, Analyse und zusätzliche Anpassung des SchutzesAnalysieren des Schutzes


Beispiele für das Analysieren des SchutzesSie können die Schritte in diesen Analysebeispielen als Vorlage zum Analysieren der meistenVirusScan Enterprise-Schutzszenarien verwenden.

In diesen Beispielen wird erläutert, wie ein Anstieg von Malware-Angriffen festgestellt undFolgendes ermittelt werden kann:

• Wo und wann die Angriffe stattgefunden haben

• Die für den Angriff verwendete Malware

• Die Auswirkungen des Angriffs auf das System

Tasks



VirusScan-Konsole

ePolicy Orchestrator 4.5 oder 4.6Diese Beispielanalyse wird als Vorlage zum Analysieren der meisten VirusScanEnterprise-Schutzszenarien mithilfe von ePolicy Orchestrator 4.5 oder 4.6 verwendet.

Bevor Sie beginnen

Sie müssen über direkten Zugriff oder Remote-Zugriff auf ein durch VirusScan Enterprisegeschütztes System verfügen, um diese Beispielanalyse auszuführen.

Task


1 Ermitteln Sie, wo und wann die Angriffe stattgefunden haben:

a Klicken Sie auf Menü | Berichterstellung | Abfragen, um den Bereich Abfragenzu öffnen.

b Geben Sie Malware unter Schnellsuche ein, und klicken Sie auf Übernehmen. DieAbfrage Malware-Entdeckungsverlauf wird in der Liste Abfragen angezeigt.

c Wählen Sie die Abfrage aus, und klicken Sie dann auf Aktionen | Ausführen. Bei derAbfrage wird die Anzahl der jüngsten Angriffe zurückgegeben.

2 Wenn Sie die für den Angriff verwendete Malware ermitteln möchten, klicken Sie auf Menü| Berichterstellung | Bedrohungsereignisprotokoll, um dasBedrohungsereignisprotokoll anzuzeigen.

3 Doppelklicken Sie auf das Protokollereignis, um die Detailseite im Bereich anzuzeigen. Ausdem Protokolleintrag können Sie Folgendes ermitteln:

• Die IP-Adresse der Bedrohungsquelle und das Ziel werden angezeigt, um Ihnenbeim Ermitteln der zu ergreifenden Maßnahmen zu helfen.

• Der Name der Bedrohung und der Typ der Bedrohung beschreiben die für denAngriff verwendete Malware.

• Die Beschreibungen des Bedrohungsereignisses erläutern die Auswirkungen desAngriffs auf das System und welche Maßnahmen hinsichtlich der Bedrohung ergriffenwurden.



ePolicy Orchestrator 4.0Diese Beispielanalyse wird als Vorlage zum Analysieren der meisten VirusScanEnterprise-Schutzszenarien mithilfe von ePolicy Orchestrator 4.0 verwendet.

Bevor Sie beginnen


Task


1 Ermitteln Sie, wo und wann die Angriffe stattgefunden haben:

a Klicken Sie auf Berichterstellung | Abfragen, um die Liste Abfragen zu öffnen.

b Wählen Sie in der Liste Öffentliche Abfragen den Eintrag ePO:Malware-Entdeckungsverlauf aus, und klicken Sie auf Weitere Aktionen |Ausführen. Die Abfrage Malware-Entdeckungsverlauf wird in der Liste Abfragenangezeigt.

2 Klicken Sie zum Anzeigen des Ereignisses, das die Malware-Entdeckung ausgelöst hat, aufBerichterstellung | Ereignisprotokoll. Bei der Abfrage wird die Anzahl der jüngstenAngriffe zurückgegeben.

3 Doppelklicken Sie auf das Protokollereignis, um die Detailseite im Bereich anzuzeigen. Ausdem Protokolleintrag können Sie Folgendes ermitteln:

• Die IP-Adresse der Bedrohungsquelle und das Ziel werden angezeigt, um Ihnenbeim Ermitteln der zu ergreifenden Maßnahmen zu helfen.

• Der Name der Bedrohung und der Typ der Bedrohung beschreiben die für denAngriff verwendete Malware.

• Die Beschreibungen des Bedrohungsereignisses erläutern die Auswirkungen desAngriffs auf das System und welche Maßnahmen hinsichtlich der Bedrohung ergriffenwurden.

VirusScan-KonsoleDiese Beispielanalyse wird als Vorlage zum Analysieren der meisten VirusScanEnterprise-Schutzszenarien mithilfe von VirusScan-Konsole verwendet.

Bevor Sie beginnen


Task


1 Klicken Sie in der Liste Task mit der rechten Maustaste auf Zugriffsscanner, und wählenSie Statistik in der Liste aus. Das Dialogfeld Statistische Daten zum Scannen beiZugriff wird angezeigt.

2 Achten Sie in der Gruppe Scan-Statistiken auf die angezeigte Anzahl der entdecktenDateien. Wenn diese Anzahl nicht Null entspricht, klicken Sie auf Eigenschaften, um dasDialogfeld Eigenschaften für Scannen bei Zugriff zu öffnen.



3 Klicken Sie auf die Registerkarte Berichte und auf Protokoll anzeigen. Die DateiOnAccessScanLog.txt wird in einem Editor-Fenster angezeigt.

4 Anhand dieser Ausgabe können Sie Folgendes bestimmen:

• Die für den Angriff verwendete Malware. Zum BeispielC:\...\eicar.com EICAR-Testdatei

• Die Auswirkungen des Angriffs auf das System. Zum Beispiel(Säuberung fehlgeschlagen, weil die entdeckte Datei nicht gesäubert werden kann)

• Die hinsichtlich der Bedrohung getroffenen Maßnahmen. Zum BeispielGelöscht

5 Bestimmen Sie mithilfe der Informationen im vorherigen Schritt, ob dieVirenschutzeinstellungen der Quell- oder Zielsysteme geändert werden müssen oder obSie andere Maßnahmen ergreifen möchten.



AnhangEs gibt weitere Konfigurations- und Fehlerbehebungsfunktionen, mit denen Sie den von VirusScanEnterprise gebotenen Schutz verbessern können. Bei diesen Funktionen werden ähnliche Toolsverwendet (z. B. die ePolicy Orchestrator-Konsole, die Befehlszeile und das Internet).

Inhalt

Konfigurieren von ePolicy Orchestrator-Server-Tasks

Verwenden der Befehlszeile für VirusScan Enterprise

Verbinden mit Remote-Computern

Einsenden von Bedrohungsbeispielen zur Analyse

Zugreifen auf die McAfee Labs-Bedrohungsbibliothek

Fehlerbehebung

Konfigurieren von ePolicyOrchestrator-Server-Tasks

Mit in ePolicy Orchestrator konfigurierten Server-Tasks können Sie automatische Tasks planenund ausführen, um den Server und die VirusScan Enterprise-Software zu verwalten.

VirusScan Enterprise-Server-Tasks können so konfiguriert werden, dass Folgendes automatischgeneriert wird:

• Richtlinien ausführen: Hiermit wird ein Richtlinienbericht ausgeführt, und dieRichtlinieninformationen werden in einer Datei gespeichert.

• Abfrage ausführen: Hiermit wird eine vorkonfigurierte Abfrage ausgeführt, und die Ausgabewird im ePolicy Orchestrator-Dashboard angezeigt, sofern dies konfiguriert ist.

• Abfragen exportieren: Hiermit wird eine vorkonfigurierte Abfrage ausgeführt und derBericht entweder per E-Mail an eine konfigurierte Adresse gesendet oder an einenkonfigurierten Speicherort exportiert.

HINWEIS: Die Funktion zum Exportieren von Abfragen ist nur bei Verwendung von ePolicyOrchestrator 4.5 und 4.6 verfügbar.

Auf dem ePolicy Orchestrator-Server sind die folgenden VirusScan Enterprise-Server-Tasksbereits installiert:

• VSE: Compliance innerhalb der letzten 30 Tage: Hiermit wird einmal täglich eineAbfrage ausgeführt, bei der der Compliance-Status der McAfee-Antiviren-Software gespeichertwird.


• VSE: DAT-Übernahme in den letzten 24 Stunden: Hiermit wird einmal pro Stunde eineAbfrage ausgeführt, bei der der DAT-Versionsstatus der McAfee-Antiviren-Software gespeichertwird.

HINWEIS: Wenn Sie benutzerdefinierte Server-Tasks konfigurieren möchten, erhalten Sie imePolicy Orchestrator-Produkthandbuch detaillierte Anweisungen.

Konfigurieren eines Beispielserver-TasksIn diesem Abschnitt wird erläutert, wie Sie den vorhandenen Server-Task "ePolicy OrchestratorVSE: Compliance innerhalb der letzten 30 Tage" aktivieren und konfigurieren.

Bevor Sie beginnen

Sie benötigen Administratorrechte, um die ePolicy Orchestrator-Konfiguration zu aktualisieren.

Task


1 Öffnen Sie die Seite für den vorhandenen Server-Task in ePolicy Orchestrator.

• ePolicy Orchestrator 4.5 oder 4.6: Klicken Sie auf Menü | Automatisierung |Server-Tasks.

• ePolicy Orchestrator 4.0: Klicken Sie auf Automatisierung | Server-Tasks.

2 Suchen Sie in der Spalte Name nach dem Task VSE: Compliance innerhalb der letzten30 Tage, und klicken Sie in der Spalte Aktionen auf Bearbeiten. Die Seite Generatorfür Server-Tasks wird angezeigt.

3 Klicken Sie neben Planungsstatus auf Aktiviert, und klicken Sie dann auf Weiter. DieSeite Aktionen wird geöffnet.Neben 1. Aktionen ist Abfrage ausführen standardmäßig ausgewählt.

4 Neben Abfrage ist VSE: Compliance mit Version 8.8.0 standardmäßig ausgewählt.Ändern Sie bei Bedarf die Spracheinstellung.Überprüfen Sie, ob in der Gruppe Untergeordnete Aktionen die folgenden Elementestandardmäßig ausgewählt sind:

• Compliance-Ereignis generieren in der Liste Untergeordnete Aktionen.

• Für Bestimmte Anzahl der Zielsysteme ist 1 im Textfeld ausgewählt.

5 Fügen Sie dem Server-Task die Compliance-Aktionen von VirusScan Enterprise, Version8.7 und 8.5, hinzu:

a Klicken Sie in der Zeile 1. Aktionen auf das Pluszeichen (+), um eine zusätzlicheAktionenzeile zu öffnen.

b Konfigurieren Sie in der neuen Zeile 2. Aktionen Folgendes:

• Wählen Sie neben 2. Aktionen den Eintrag Abfrage ausführen in der Liste aus.

• Wählen die neben Abfrage den Eintrag VSE: Compliance mit Version 8.7 in derListe aus.

• Ändern Sie bei Bedarf die Spracheinstellung.

• Überprüfen Sie, ob in der Gruppe Untergeordnete Aktionen fürCompliance-Ereignis generieren und Bestimmte Anzahl der Zielsystemeder Wert 1 im Textfeld angegeben ist.

AnhangKonfigurieren von ePolicy Orchestrator-Server-Tasks


c Klicken Sie in der Zeile 2. Aktionen auf das Pluszeichen (+), um eine zusätzlicheAktionenzeile zu öffnen.

d Konfigurieren Sie in der neuen Zeile 3. Aktionen Folgendes:

• Wählen Sie neben 3. Aktionen den Eintrag Abfrage ausführen in der Liste aus.

• Wählen die neben Abfrage den Eintrag VSE: Compliance mit Version 8.5 in derListe aus.

• Ändern Sie bei Bedarf die Spracheinstellung.

• Überprüfen Sie, ob in der Gruppe Untergeordnete Aktionen fürCompliance-Ereignis generieren und Bestimmte Anzahl der Zielsystemeder Wert 1 im Textfeld angegeben ist.

6 Klicken Sie auf Weiter, um die Seite Zeitplan zu öffnen.

7 Wählen Sie in der Liste Planungstyp aus, wie oft der Server-Task ausgeführt werden soll.

• Legen Sie ein Startdatum fest, oder akzeptieren Sie das aktuelle Datum alsStandardwert.

• Legen Sie ein Enddatum fest, oder akzeptieren Sie Kein Enddatum als Standardwert.

• Legen Sie den Zeitplan fest, akzeptieren Sie den Standardwert, oder legen Sie eineandere Startzeit für die Ausführung der Abfrage fest.

8 Klicken Sie auf Weiter, um die Seite Zusammenfassung zu öffnen. Überprüfen Sie, obdie konfigurierten Daten richtig sind.

9 Klicken Sie auf Speichern, dann wird die Seite Server-Task erneut angezeigt.

10 Überprüfen Sie, dass für den Server-Task "VSE: Compliance innerhalb der letzten 30 Tage"der Status aktiviert und die Datums- und Zeiteinstellungen für Nächste Ausführungrichtig sind.

Verwenden der Befehlszeile für VirusScan EnterpriseMithilfe der Eingabeaufforderung können Sie einige grundlegende VirusScan Enterprise-Prozesseausführen. Sie können VirusScan Enterprise über die Befehlszeile installieren, konfigurieren undaktualisieren. Befehlszeilenoptionen zur Installation sind im Installationshandbuch von VirusScanEnterprise beschrieben.

Beispiel für einen Befehlszeilen-Scan

Geben Sie den folgenden Befehl ein, um alle Dateien zu scannen, die Protokolldateien mit denErgebnissen zu aktualisieren und das Dialogfeld für den On-Demand-Scan nach dem Abschlussautomatisch zu schließen:

scan32 /all /log /autoexit

Beispiel für eine Befehlszeilenaktualisierung

Geben Sie den folgenden Befehl ein, um die DAT-Dateien, das Scan-Modul und das Produkt imHintergrund zu aktualisieren oder das Dialogfeld der McAfee-Aktualisierung während derAktualisierung nicht anzuzeigen:

mcupdate /update /quiet

AnhangVerwenden der Befehlszeile für VirusScan Enterprise


Befehlszeilenoptionen für On-Demand-ScansIn VirusScan Enterprise wird der On-Demand-Scanner SCAN32.EXE für das Entdecken vonBedrohungen verwendet. Sie können denselben ausführbaren Befehl SCAN32 für die Befehlszeileoder als Teil einer Batchdatei verwenden, um Scans auszuführen.

Die Reihenfolge der Elemente ist bei der SCAN32-Syntax nicht vorgegeben. Sie müssen lediglichEigenschaften und ihre Werte zusammen angeben. Die Syntax besteht aus:

• Dateiname – Der Name der ausführbaren Datei: SCAN32.EXE.

• Optionen – Jede Option beginnt mit einem Schrägstrich (/). Zwischen Groß- undKleinschreibung wird nicht unterschieden.

Das Format für den Befehl lautet folgendermaßen:

SCAN32 EIGENSCHAFT=WERT [,WERT] [/Option].

Nachfolgend finden Sie ein Beispiel für einen scan32.exe-Befehl:

scan32.exe PRIORITY /normal

In diesem Beispiel gilt Folgendes:

• "PRIORITY" ist ein Befehlswert.

• "/normal" ist eine Wertoption.

On-Demand-Scan-Werte und -Optionen

Definition für OptionenBefehlszeilenwert

Scannt alle im Zielordner vorhandenen Dateien.ALL

Scannt die Standarddateien und sämtliche Microsoft Office-Dokumente.ALLOLE

Bewirkt das Beenden des On-Demand-Scan auch dann, wenn der Scan mit einem Fehlerabgeschlossen wird.

ALWAYSEXIT

Scannt nach den in der entsprechenden Richtlinie definierten potenziell unerwünschtenProgrammen.

APPLYNVP

Scannt Archivdateien wie .ZIP, .CAP. LZH und .UUE.ARCHIVE

Beendet den On-Demand-Scanner nach dem Abschluss eines nicht interaktiven Scans.AUTOEXIT

Bereinigt die entdeckte Zieldatei, wenn ein potenziell unerwünschtes Programm gefundenwird.

CLEAN

Bereinigt die entdeckte Datei, wenn ein unerwünschtes Programm gefunden wird.CLEANA

Das Scannen wird nach dem Entdecken eines potenziell unerwünschten Programms fortgesetzt.CONTINUE

Das Scannen wird fortgesetzt, nachdem ein potenziell unerwünschtes Programm entdecktwurde und die primäre Aktion fehlgeschlagen ist.

CONTINUE2

Das Scannen wird nach dem Entdecken eines unerwünschten Programms fortgesetzt.CONTINUEA

Das Scannen wird fortgesetzt, nachdem ein potenziell unerwünschtes Programm entdecktwurde und die primäre Aktion fehlgeschlagen ist.

CONTINUEA2

Es werden Dateierweiterungen, die Sie als Parameter angeben, zur Liste der ausgewähltenDateitypen hinzugefügt, die gescannt werden.

DEFEXT

Löscht die entdeckte Datei, wenn ein potenziell unerwünschtes Programm gefunden wird.DELETE

Löscht die entdeckte Datei, wenn ein potenziell unerwünschtes Programm entdeckt wurdeund die primäre Aktion fehlgeschlagen ist.

DELETE2

Löscht die Datei, wenn ein unerwünschtes Programm entdeckt wird.DELETEA



Definition für OptionenBefehlszeilenwert

Löscht die Datei, wenn ein potenziell unerwünschtes Programm entdeckt wurde und die primäreAktion fehlgeschlagen ist.

DELETEA2

Öffnet das Dialogfeld für die Scan-Eigenschaften.EDIT

Ersetzt die Erweiterungen in der Liste der ausgewählten zu scannenden Dateitypen durch dieDateierweiterungen, die Sie als Parameter in Übereinstimmung mit diesem Argumenthinzufügen.

EXT

Protokolliert Entdeckungsberichte in der zuvor angegebenen Protokolldatei.LOG

Verwendet das für die Protokolldatei angegebene Format. Gültige Werte sind ANSI, UTF8 oderUTF16.

LOGFORMAT<Wert>

Protokolliert die Konfigurationseinstellungen eines Scans.LOGSETTINGS

Protokolliert eine Zusammenfassung der Scan-Ergebnisse.LOGSUMMARY

Protokolliert ID-Informationen über den Benutzer, der einen Scan ausgeführt hat.LOGUSER

Aktiviert die Artemis-Entdeckung von Bedrohungen durch Makros.MHEUR

Entdeckt potenziell unerwünschte Programme in MIME-codierten (Multipurpose Internet MailExtensions) Dateien.

MIME

Deaktiviert die Berechnung der Scan-Größe vor dem Scannen von Dateien. Es wird keinFortschrittsbalken angezeigt.

NOESTIMATE

Aktiviert die Artemis-Entdeckung von Bedrohungen, die nicht mit Makros zusammenhängen.PHEUR

Legt die Priorität des Scans im Verhältnis zu anderen CPU-Prozessen fest. Erfordert eine derfolgenden Optionen:

PRIORITY

• LOW

• BELOWNORMAL – Die ePolicy Orchestrator-Standardeinstellung.

• NORMAL – Die VirusScan-Konsole-Standardeinstellung.

HINWEIS: Sie können einen numerischen Parameter von 1 bis 100 eingeben, wobei 10 derOption LOW, 50 der Option BELOWNORMAL und 100 der Option NORMAL entspricht.

Fordert eine Benutzereingabe an, wenn ein potenziell unerwünschtes Programm entdeckt wird.PROMPT

Fordert eine Benutzereingabe an, wenn ein potenziell unerwünschtes Programm entdecktwurde und die primäre Aktion fehlgeschlagen ist.

PROMPT2

Fordert eine Benutzereingabe an, wenn ein unerwünschtes Programm entdeckt wird.PROMPTA

Fordert eine Benutzereingabe an, wenn ein unerwünschtes Programm entdeckt wurde unddie primäre Aktion fehlgeschlagen ist.

PROMPTA2

Legt die Größe des Warnungsprotokolls in Megabyte fest.RPTSIZE

Führt den Scan aus. Das Eigenschaftendialogfeld wird nicht angezeigt.START

Startet den in der VirusScan-Konsole festgelegten On-Demand-Task. Hierzu sind weitereParameter erforderlich, mit denen die Task-ID angegeben wird, die in der Registrierungeingetragen ist unter: hkey_local_machine_\software\McAfee\Desktop\Protection\Tasks.

TASK

Startet den Scanner, ohne die Benutzeroberfläche anzuzeigen.UINONE



Befehlszeilenoptionen für Aktualisierungs-TasksIn VirusScan Enterprise wird MCUPDATE.EXE verwendet, um Aktualisierungs-Tasks auszuführen.Sie können denselben ausführbaren Befehl MCUPDATE für die Befehlszeile oder als Teil einerBatchdatei verwenden, um Aktualisierungs-Tasks auszuführen.

Die Reihenfolge der Elemente ist bei der MCUPDATE-Syntax nicht vorgegeben. Sie müssenlediglich Eigenschaften und ihre Werte zusammen angeben. Die Syntax besteht aus:

• Dateiname – Der Name der ausführbaren Datei: MCUPDATE.EXE.

• Optionen – Jede Option beginnt mit einem Schrägstrich (/). Zwischen Groß- undKleinschreibung wird nicht unterschieden.

Das Format für den Befehl lautet folgendermaßen:

MCUPDATE [/<Typ> [/TASK <GUID>]] [/Option].

HINWEIS: Im vorherigen Format kann es sich bei <Typ> um ROLLBACKDATS oder UPDATEhandeln.

Die /TASK-Klausel ist optional. Falls Sie jedoch verwendet wird, muss auch eineAktualisierungs-Task-ID (GUID) angegeben werden. Die ausgewählte Task-ID muss für einenAktualisierungs- oder DAT-Rollback-Task gelten. Wählen Sie keine Scan-ID aus. Ohne Angabeeiner Task-ID wird der Standard-Aktualisierungs-Task verwendet. Task-IDs befinden sich unter:hkey_local_machine\SOFTWARE\McAfee\DesktopProtection\Tasks\

Die /Option-Klausel ist optional. Verwenden Sie /QUIET, um den Aktualisierungs-Task ohneEingabeaufforderung (automatisch) auszuführen.

HINWEIS: Die Option /QUIET wird für den DAT-Rollback-Task nicht unterstützt. Mit dem folgendenBeispiel wird ein Aktualisierungs-Task ausgeführt: MCUPDATE /UPDATE /QUIET.

Aktualisierungs-Task-Optionen

DefinitionBefehlszeilenoption

Ersetzt die aktuelle DAT-Datei durch die letzte gesicherte Version.ROLLBACKDATS

Führt eine Aktualisierung der DAT-Datei, des Scan-Moduls, des Produkts oder der DateiEXTRA.DAT durch.

UPDATE

Startet den in der VirusScan-Konsole festgelegten AutoUpdate- bzw. Rollback-Task fürDAT-Dateien. Hierzu sind weitere Parameter erforderlich, mit denen die Task-ID angegebenwird, die in der Registrierung eingetragen ist unter:

/TASK

hkey_local_machine\software\McAfee\DesktopProtection\Tasks

Führt den Task automatisch aus./QUIET

Verbinden mit Remote-ComputernSie können die Verbindung mit Remote-Computern herstellen, auf denen VirusScan Enterpriseinstalliert ist, um beispielsweise Scan- oder Aktualisierungs-Tasks zu ändern oder zu planenbzw. um den Zugriffsscanner auf einem Remote-Computer zu aktivieren oder zu deaktivieren.

HINWEIS: Wenn Sie zum Herstellen einer Verbindung mit dem Remote-Computer nicht überdie erforderlichen Administratorrechte verfügen, wird die Fehlermeldung Zugriff aufgrundunzureichender Benutzerrechte verweigert angezeigt.

AnhangVerbinden mit Remote-Computern


Wenn Sie die VirusScan-Remote-Konsole starten, wird der Name des Computers, mit demSie verbunden sind, in der Titelleiste der Konsole angezeigt. Wenn keine Verbindung zu einemanderen Netzwerkcomputer besteht, wird auch der Name Ihres lokalen Computers nicht in derTitelleiste angezeigt. Wenn Sie das Dialogfeld Eigenschaften eines beliebigen Tasks über eineRemote-Konsole öffnen, wird der jeweilige Computername in der Titelleiste des DialogfeldsEigenschaften angezeigt.

Sie können mehrere Remote-Konsolen öffnen. Wenn Sie das DialogfeldMit Remote-Computerverbinden schließen, wird auch die Verbindung zum Remote-Computer getrennt.

Zugriff auf Remote-Systeme, auf denen VirusScan Enterpriseinstalliert ist

Wenn Sie eine Verbindung mit Remote-Systemen herstellen möchten, auf denen VirusScanEnterprise installiert ist und die Sie verwalten möchten, verwenden Sie Remote-Konsoleöffnen in der VirusScan-Konsole.

Task


1 Wählen Sie im Menü Extras der VirusScan Enterprise 8.8-Konsole den EintragRemote-Konsole öffnen aus.

2 Geben Sie unter Mit Computer verbinden den Namen des Systems ein, das Sie verwaltenmöchten, und wählen Sie in der Liste ein System aus, oder klicken Sie auf Durchsuchen,um das System im Netzwerk zu suchen.

HINWEIS: Wenn beim Konfigurieren des Pfadnamens der Datei oder des Ordners für einenRemote-Task Umgebungsvariablen verwendet werden, sollten Sie darauf achten, dass dieUmgebungsvariable auf dem Remote-Computer vorhanden ist. Die VirusScan Enterprise8.8-Konsole kann Umgebungsvariablen auf dem Remote-Computer nicht überprüfen.

3 Klicken Sie auf OK, um eine Verbindung zum Zielcomputer herzustellen.Beachten Sie bei der Verbindung mit dem Remote-System Folgendes:

• Die Titelleiste entspricht dem Namen des Remote-Computers.

• Die Konsole liest die Registrierung des Remote-Computers und zeigt die Tasks desRemote-Computers an.

• Sie können Tasks für den Remote-Computer hinzufügen, löschen oder neu konfigurieren.

Einsenden von Bedrohungsbeispielen zur AnalyseWenn Sie eine nicht entdeckte potenzielle Bedrohung finden oder wenn der Scanner etwasentdeckt, dass Ihrer Meinung nach mit der aktuellen DAT-Datei nicht als Bedrohung entdecktwerden sollte, können Sie über WebImmune ein Beispiel der Bedrohung an McAfee Labs senden.McAfee Labs analysiert die eingesandten Daten und prüft, ob diese mit in die DAT-Dateieinbezogen oder von ihr ausgeschlossen werden.

Sie haben drei Möglichkeit, um ein Beispiel an McAfee zu senden: über die WebImmune-Website,per E-Mail oder postalisch.

AnhangEinsenden von Bedrohungsbeispielen zur Analyse


WebImmune

1 Wählen Sie in der VirusScan-Konsole die Option Hilfe | Senden eines Beispiels aus, umdie Website aufzurufen. Die Website finden Sie unter:https://www.webimmune.net/default.asp.

2 Melden Sie sich bei Ihrem kostenlosen Konto an, oder erstellen Sie ein Konto.

3 Laden Sie die Dateien zur Prüfung direkt in die automatisierten Systeme von McAfee hoch.Die Elemente werden an die McAfee Labs-Analysten weitergeleitet, wenn weitereUntersuchungen erforderlich sind.

E-Mail

Senden Sie E-Mails zur Prüfung bitte direkt an die automatisierten Systeme von McAfee. DieElemente werden an die McAfee Labs-Analysten weitergeleitet, wenn weitere Untersuchungenerforderlich sind.

Die E-Mail-Adresse (global) ist [email protected].

HINWEIS: Sie finden auf der WebImmune-Website auch zusätzliche regionale Adressen.

Standardpostweg

Die Anschrift finden Sie auf der WebImmune-Website.

HINWEIS: Diese Methode ist aufgrund der langen Verfahrenszeit zur Prüfung Ihrer Beispieldatenam wenigsten vorteilhaft.

Zugreifen auf die McAfeeLabs-Bedrohungsbibliothek

Wenn Sie von der VirusScan Enterprise 8.8-Konsole aus auf die McAfeeLabs-Bedrohungsbibliothek zuzugreifen möchten, wählen Sie McAfeeLabs-Bedrohungsbibliothek aus dem Hilfe-Menü aus. Von Ihrem Internet-Browser wirdeine Verbindung mit http://vil.nai.com/vil/default.aspx hergestellt.

FehlerbehebungLesen Sie die Informationen in diesem Abschnitt, bevor Sie sich an den technischen Supportvon McAfee wenden. Er enthält Vorgänge und Tools zur Fehlerbehebung bei Ihrer VirusScanEnterprise-Konfiguration sowie häufig gestellte Fragen.

Reparieren der ProduktinstallationEs kann vorkommen, dass Sie die Installation von VirusScan Enterprise reparieren müssen, umdie Standardeinstellung wiederherzustellen, Programmdateien erneut zu installieren oder umbeide Schritte auszuführen. Sie können dies über die VirusScan-Konsole oder die Befehlszeileausführen.

AnhangZugreifen auf die McAfee Labs-Bedrohungsbibliothek


https://www.webimmune.net/default.asp

mailto:[email protected]

http://vil.nai.com/vil/default.aspx

Verwenden der VirusScan-Konsole

Wählen Sie zum Verwenden des Dienstprogramms Installation reparieren von der VirusScanEnterprise 8.8-Konsole aus die Option Hilfe | Installation reparieren aus.

HINWEIS: Diese Funktion steht in der ePolicy Orchestrator-Konsole nicht zur Verfügung.

DefinitionOption

Mit dieser Option werden die VirusScan Enterprise-Standardeinstellungenfür die Installation wiederhergestellt.

VORSICHT: Angepasste Einstellungen können verloren gehen.

Alle zum Zeitpunkt der InstallationvorgenommenenStandardeinstellungenwiederherstellen

Installiert die VirusScan Enterprise-Programmdateien neu.

VORSICHT: Hotfixes, Patches und Service Packs können überschriebenwerden.

Alle Programmdateien neuinstallieren

Verwenden von SETUPVSE.exe an der Befehlszeile

Verwenden Sie die folgenden Befehle, um VirusScan Enterprise mit dem Befehl SETUPVSE.exeüber die Befehlszeile zu reparieren oder wiederherzustellen.

HINWEIS: Optionen für den Befehlszeilenparameter REINSTALLMODE finden Sie im Artikel zurREINSTALLMODE-Eigenschaft unterhttp://msdn.microsoft.com/en-us/library/aa371182(VS.85).aspx (auf Englisch).

BefehlBeschreibung

SETUPVSE.exe REINSTALLMODE=sec /qInstalliert nur Programmdateien

SETUPVSE.exe REINSTALLMODE=secum /qInstalliert nur Registrierungsdateien

SETUPVSE.exe REINSTALLMODE=amus /qInstalliert Programm- undRegistrierungsdateien

Verwenden von msiexec.exe an der Befehlszeile

Verwenden Sie die folgenden Befehle, um VirusScan Enterprise mit dem Befehl msiexec.exeüber die Befehlszeile zu reparieren oder wiederherzustellen.

HINWEIS: Befehlszeilenoptionen für msiexec.exe finden Sie im Artikel Befehlszeilenoptionenfür das Microsoft Windows Installer-Programm "Msiexec.exe" unterhttp://support.microsoft.com/kb/314881.

BefehlBeschreibung

msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=sa/q REBOOT=R

Installiert nur Programmdateien

msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=mu/q REBOOT=R

Installiert nur Registrierungsdateien

msiexec.exe /I VSE880.msi REINSTALL=ALLREINSTALLMODE=samu /q REBOOT=R

Installiert Programm- undRegistrierungsdateien

Anzeigen der Aktivitätsprotokolldatei für den ZugriffIn der Aktivitätsprotokolldatei für den Zugriff der VirusScan-Konsole sind der Verlauf vonAktualisierungen, die Bedrohungsaktivität und die Reaktion von VirusScan Enterprise dargestellt.

AnhangFehlerbehebung


http://msdn.microsoft.com/en-us/library/aa371182(VS.85).aspx

http://support.microsoft.com/kb/314881

Diese Informationen können bei der Fehlerbehebung der automatischen Aktualisierungsaktivitätund von Richtlinienkonfigurationen hilfreich sein.

Greifen Sie mit einem der folgenden Prozesse auf die Aktivitätsprotokolldateien für den Zugriffzu:

HINWEIS: Die Erstellung der Aktivitätsprotokolldatei für den Zugriff muss aktiviert sein.Informationen zum Aktivieren der Aktivitätsprotokolldatei für den Zugriff finden Sie unterKonfigurieren der allgemeinen Einstellungen.

Task

Optionsbeschreibungen erhalten Sie durch Klicken auf die Schaltfläche Hilfe der Registerkarten.


2 Klicken Sie im Dialogfeld Eigenschaften für Zugriffsscanner auf die RegisterkarteBerichte, und klicken Sie auf Protokoll anzeigen. Die Datei OnAccessScanLog.txt wirdin einem Editor-Fenster angezeigt. Nachfolgend finden Sie ein Beispiel derProtokolldateiausgabe.

3 In der folgenden Tabelle sind die Daten aus dem vorherigen Beispiel der DateiOnAccessScanLog.txt beschrieben:

BeschreibungBeispiel für Protokolleintrag

Datum4/27/2010

Uhrzeit1:35:47 PM

Ausgeführte AktionCleaned/Deleted/No Action Taken

Beschreibung der AktionAktualisierte Datei = Version, oder (Clean failedbecause...

AnmeldeinformationenSRVR\user

Pfad und Name der bösartigen DateiC:\WINDOWS\system32\NOTEPAD.EXEC:\temp\eicar.com

Beschreibung der DateiEICAR test file (Test)

Ähnliche Informationen können mithilfe von ePolicy Orchestrator-Abfragen abgerufen werden.Ausführliche Informationen finden Sie unter Zugriff auf Abfragen und Dashboards.

Verwenden von MERTool während der FehlerbehebungVon MERTool (Minimum Escalation Requirements) werden Daten von McAfee VirusScan Enterpriseund anderen McAfee-Produkten auf dem Computer erfasst. Mithilfe dieser Daten kann dertechnische Support von McAfee Ihr Problem analysieren und lösen.

WebMERTool kann in einem der folgenden Dateiformate heruntergeladen werden:

• EXE



• ZIP

• ProtectedZip

Folgende Informationen werden von WebMERTool erfasst:

• Registrierungsdaten

• Angaben zur Dateiversion

• Dateien

• Ereignisprotokolle

• Prozessdaten

Zum Verwenden von WebMERTool müssen Sie folgende Aufgaben ausführen:

• Zeigen Sie das Tutorial Obtaining Minimum Escalation Requirements using McAfee WebMER(Abrufen von Mindestanforderungen für die Eskalation mithilfe von WebMERTool von McAfee)unter folgender Adresse an:https://kc.mcafee.com/corporate/index?page=content&id=TU30146.

• Laden Sie das Tool unter folgender Adresse herunter, und installieren Sie es:http://mer.mcafee.com.

HINWEIS: Es ist auch eine ausbringbare Version von ePolicy Orchestrator verfügbar. Beidieser Version wird die ePolicy Orchestrator-Konsole zum Ausführen von MERTool aufClient-Computern verwendet, um Protokolle und Informationen beim Diagnostizieren vonProblemen mit McAfee-Produkten zu erfassen. Laden Sie McAfee MERTool für ePolicyOrchestrator 4.x (v2.0) unter folgender Adresse herunter:http://mer.mcafee.com/enduser/downloadepomer.aspx.

• Führen Sie das Tool aus, und senden Sie die Ergebnisse an den technischen Support vonMcAfee.

Deaktivieren von VirusScan Enterprise während derFehlerbehebung

Wenn ein Systemproblem auftritt, dass mit von VirusScan Enterprise ausgeführten Prozessenin Zusammenhang steht, können Sie systematisch alle VirusScan Enterprise-Funktionendeaktivieren, bis das Systemproblem eliminiert ist. Oder Sie können zumindest VirusScanEnterprise als Ursache des Problems eliminieren.

VORSICHT: Sie müssen VirusScan Enterprise erneut konfigurieren oder wiederherstellen, damitnach der Fehlerbehebung wieder vollständiger Malware-Schutz besteht.

Die systematische Deaktivierung der VirusScan Enterprise-Funktionalität kann in den folgendenaus acht Schritten bestehenden Prozess unterteilt werden:

1 Deaktivieren des Buffer Overflow-Schutzes

2 Deaktivieren des Zugriffsschutzes

3 Deaktivieren von ScriptScan

4 Deaktivieren von Zugriffsscans

5 Deaktivieren von Zugriffsscans und anschließender Neustart

6 Vermeiden des Ladevorgangs von MFEVTP und anschließender Neustart

7 Umbenennen von mfehidk.sys und anschließender Neustart

8 Entfernen des Produkts und anschließender Neustart



https://kc.mcafee.com/corporate/index?page=content&id=TU30146

http://mer.mcafee.com

http://mer.mcafee.com/enduser/downloadepomer.aspx

Jeder dieser acht Schritte wird in den folgenden Abschnitten beschrieben. Optionsbeschreibungenin der VirusScan-Konsole erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberfläche.

Deaktivieren des Buffer Overflow-Schutzes

Führen Sie diese Schritte aus, um den Buffer Overflow-Schutz zu deaktivieren.

1 Klicken Sie in der Liste Task der VirusScan-Konsole mit der rechten Maustaste aufPufferüberlaufschutz, und klicken Sie auf Eigenschaften.

2 Heben Sie im Dialogfeld Eigenschaften die Auswahl von Pufferüberlaufschutzaktivieren auf, und klicken Sie auf OK.

3 Wurde das ursprüngliche Systemproblem durch Deaktivieren des Buffer Overflow-Schutzesbehoben:

• Ja: Wechseln Sie zum ServicePortal des technischen Supports von McAfee unterhttp://mysupport.mcafee.com, und suchen Sie nach einer Lösung, oder wenden Siesich an den technischen Support von McAfee.

• Nein: Das ursprüngliche Systemproblem stand wahrscheinlich nicht mit dieser Funktionin Zusammenhang.

Deaktivieren des Zugriffsschutzes

Führen Sie diese Schritte aus, um den Zugriffsschutz zu deaktivieren.

1 Doppelklicken Sie in der Liste Task der VirusScan-Konsole auf Zugriffsschutz, um dasDialogfeld Zugriffsschutzeigenschaften zu öffnen.

2 Klicken Sie auf die Registerkarte Zugriffsschutz, heben Sie die Auswahl vonZugriffsschutz aktivieren auf, und klicken Sie auf OK.

3 Wurde das ursprüngliche Systemproblem durch Deaktivieren des Zugriffsschutzes behoben:


• Nein: Das ursprüngliche Systemproblem stand wahrscheinlich nicht mit VirusScanEnterprise in Zusammenhang.

Deaktivieren von ScriptScan

Führen Sie diese Schritte aus, um ScriptScan zu deaktivieren.

1 Klicken Sie in der Liste Task der VirusScan-Konsole mit der rechten Maustaste aufZugriffsscanner, um das Dialogfeld Eigenschaften für Scannen bei Zugriff zu öffnen.

2 Klicken Sie auf die Registerkarte ScriptScan, heben Sie die Auswahl von Scannen vonSkripten aktivieren auf, und klicken Sie auf OK.

3 Wurde das ursprüngliche Systemproblem durch Deaktivieren von ScriptScan behoben:



Deaktivieren des Zugriffsscans

Führen Sie diese Schritte aus, um den Zugriffsscan zu deaktivieren.






1 Deaktivieren Sie den Zugriffsschutz. Klicken Sie in der Liste Task der VirusScan-Konsolemit der rechten Maustaste auf Zugriffsschutz, und wählen Sie Deaktivieren aus.

2 Ändern Sie den Starttyp des McShield-Dienste-Applets in Deaktiviert, indem Siefolgendermaßen vorgehen:

• Klicken Sie auf Start | Systemsteuerung | Verwaltung | Dienste, um dasDienste-Applet zu öffnen.

• Führen Sie unter Dienste (Lokal) einen Bildlauf nach unten zu McAfee McShieldaus, und klicken Sie mit der rechten Maustaste auf den Namen, um das Dialogfeld fürdie McAfee McShield-Eigenschaften zu öffnen.

• Klicken Sie auf die Registerkarte Allgemein in der Liste Starttyp auf Deaktiviert,und klicken Sie auf OK.

3 Klicken Sie in der Liste Task der VirusScan-Konsole mit der rechten Maustaste aufZugriffsscanner, und klicken Sie in der nun angezeigten Liste auf Deaktiviert. DasZugriffsscannersymbol sollte sich nun in einen Kreis mit einem Strich geändert haben, umanzugeben, dass die Funktion deaktiviert ist.

4 Wurde das ursprüngliche Systemproblem durch Deaktivieren des Zugriffsscans behoben:



Deaktivieren von Zugriffsscans und anschließender Neustart

Führen Sie diese Schritte aus, um den Zugriffsscan zu deaktivieren und einen Neustartvorzunehmen.

HINWEIS: Beim folgenden Prozess wird davon ausgegangen, dass Zugriffsscan nach derDeaktivierung im vorherigen Schritt nicht erneut aktiviert wurden.

1 Fahren Sie das System vollständig herunter, und starten Sie es neu.

2 Wurde das ursprüngliche Systemproblem durch Deaktivieren des Zugriffsscans und denanschließenden Neustart behoben:



Vermeiden des Ladevorgangs von MFEVTP und anschließender Neustart

Führen Sie diese Schritte aus, um den Ladevorgang von McAfee Validation Trust ProtectionService (MFEVTP) zu vermeiden und das System neu zu starten:

VORSICHT: Dieser Abschnitt enthält Informationen zum Öffnen oder Bearbeiten der Registrierung.

• Die folgenden Informationen sind für Systemadministratoren vorgesehen. Änderungen ander Registrierung können nicht rückgängig gemacht werden und zu Systemfehlern führen,wenn Sie falsch vorgenommen werden.

• Bevor Sie den Vorgang fortsetzen, wird dringend empfohlen, dass Sie Ihre Registrierungsichern und den Wiederherstellungsprozess kennen. Weitere Informationen finden Sie unterfolgender Adresse: http://support.microsoft.com/kb/256986 .





http://support.microsoft.com/kb/256986

• Führen Sie keine .REG-Datei aus, bei der nicht bestätigt wurde, dass es sich um eine echteRegistrierungsimportdatei handelt.

1 Geben Sie regedit in die Befehlszeile ein, um die Benutzeroberfläche desRegistrierungs-Editors anzuzeigen.

2 Navigieren Sie zur folgenden Registrierung:[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mfevtp]

3 Klicken Sie im rechten Bereich mit der rechten Maustaste auf Start, und klicken Sie aufÄndern, um das Dialogfeld DWORD-Wert bearbeiten zu öffnen.

4 Geben Sie unter Wert die Ziffer 4 ein, und klicken Sie auf OK.

5 Wurde das ursprüngliche Systemproblem durch Vermeiden des Ladevorgangs von MFEVTPund den anschließenden Neustart behoben:



Umbenennen der Datei mfehidk.sys und anschließender Neustart

Führen Sie diese Schritte aus, um die Datei mfehidk.sys umzubenennen und das System neuzu starten.

1 Navigieren Sie in Abhängigkeit Ihrer Betriebssystemversion zur Datei mfehidk.sys im folgendenOrdner:

• Bei 32-Bit-Betriebssystemen: %windir%\System32\drivers

• Bei 64-Bit-Betriebssystemen: %windir%\System64\drivers

2 Ändern Sie den Dateinamen von mfehidk.sys beispielsweise in mfehidk.sys.saved.

3 Starten Sie das System neu, um VirusScan Enterprise ohne das Laden der Datei mfehidk.syszu beenden und neu zu starten.

4 Wurde das ursprüngliche Systemproblem durch Umbenennen der Datei mfehidk.sys undden anschließenden Neustart behoben:



Entfernen des Produkts und anschließender Neustart

Führen Sie diese Schritte aus, um VirusScan Enterprise vollständig zu entfernen und einenNeustart auszuführen.

1 Entfernen Sie die VirusScan Enterprise-Programmdateien. Im McAfee. VirusScan Enterprise8.8, Installationshandbuch finden Sie detaillierte Anleitungen.

2 Starten Sie das System neu, um das Betriebssystem herunterzufahren und neu zu starten,ohne dass VirusScan Enterprise installiert ist.

3 Wurde das ursprüngliche Systemproblem durch das vollständige Entfernen der VirusScanEnterprise-Programmdateien und den Neustart behoben:





Ja: Das ursprüngliche Systemproblem stand wahrscheinlich mit VirusScan Enterprisein Zusammenhang.

•

• Nein: Wechseln Sie zum ServicePortal des technischen Supports von McAfee unterhttp://mysupport.mcafee.com, und suchen Sie nach einer Lösung, oder wenden Siesich an den technischen Support von McAfee.

Empfohlene Support- und Fehlerbehebungs-ToolsAls globaler VirusScan Enterprise-Administrator sollten Sie Tools installieren und konfigurieren,mit denen Sie Fehler beheben und die Sicherheit und Leistung Ihres Systems überprüfen können.Wenn Sie sich an den technischen Support von McAfee wenden, werden Sie möglicherweiseaufgefordert, einiger dieser Tools während der Fehlerbehebung Ihrer Konfiguration auszuführen.Diese Tools können von den in den Tabellen aufgeführten Internet-Websites heruntergeladenwerden.

McAfee-Tools

Die Support- und Fehlerbehebungs-Tools, die Sie bei McAfee herunterladen können, sind indieser Tabelle aufgeführt.

Download-SiteTool

WebMERMERTool

Vom McAfee-Support bereitgestelltProcessCounts

Vom McAfee-Support bereitgestelltSuperDAT Manager

Vom McAfee-Support bereitgestelltMcAfee Profiler

Drittanbieter-Tools

Die Support- und Fehlerbehebungs-Tools, ausführbaren Dateien und Download-Sites sind indieser Tabelle aufgeführt.

Download-SiteAusführbare DateiTool

Microsoft.comVerifierDriver Verifier

Microsoft.comPerfMonPerformance Monitor

Microsoft.comPoolMonPool Monitor

Microsoft.comProcMonProcess Monitor

Microsoft.comProcExpProcess Explorer

Microsoft.comProcDumpProcess Dump

Microsoft.comWinObjWindows Object Viewer

Mircosoft.comTCPViewTCP Viewer

Microsoft.comDebugViewDebug Output Viewer

Microsoft.comWinDbgWindows Debugger

Microsoft.comKrViewKernel Rate Viewer

Microsoft.comXperfWindows Performance Analysis Tools

Vmware.comVerschiedeneVM Converter




http://mer.mcafee.com/enduser/downloadlatestmer.aspx

Download-SiteAusführbare DateiTool

Wireshark.orgwiresharkWireShark

Häufig gestellte Fragen (FAQ)Dieser Abschnitt enthält Fehlerbehebungsinformationen in der Form häufig gestellter Fragen.

Installation

• Frage: Ich habe die Software gerade mit dem automatischen Installationsverfahren installiert,und in der Windows-Taskleiste befindet sich kein VirusScan Enterprise-Symbol.

Antwort: Das Schutzschild-Symbol erscheint erst nach einem Neustart des Systems in derTaskleiste. Ihr Computer ist jedoch durch die Ausführung von VirusScan Enterprise geschützt,obwohl das Symbol nicht angezeigt wird. Dies können Sie überprüfen, indem Sie denfolgenden Registrierungsschlüssel anzeigen:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ ShStatEXE="C:\ProgramFiles\McAfee\VirusScan Enterprise\SHSTAT.EXE"/STANDALONE.

• Frage: Warum können manche Benutzer meines Netzwerks ihre eigenen Einstellungenkonfigurieren und andere nicht?

Antwort: Möglicherweise hat der Administrator die Benutzeroberfläche so konfiguriert, dassTasks mit einem Kennwort geschützt sind. Falls dies der Fall ist, können Benutzer dieEinstellungen nicht ändern. Die verschiedenen Windows-Betriebssysteme besitzenunterschiedliche Benutzerberechtigungen. Weitere Informationen zu Benutzerberechtigungenfinden Sie in Ihrer Microsoft Windows-Dokumentation.

Blockierte Programme

• Frage: Ich habe VirusScan Enterprise installiert, und jetzt wird eines meiner Programmenicht mehr ausgeführt.

Antwort: Das Programm ist möglicherweise durch eine Zugriffsschutzregel blockiert.

1 Überprüfen Sie die Zugriffsschutz-Protokolldatei, und sehen Sie nach, ob das Programmdurch eine Regel blockiert wurde.

2 Wenn das Programm im Protokoll aufgeführt ist, können Sie es entweder von der Regelausschließen, oder Sie können die Regel deaktivieren. Weitere Informationen findenSie unter Schützen der Systemzugriffspunkte.

Cookie-Entdeckungen

• Frage: Als ich im Aktivitätsprotokoll des On-Demand-Scans die Cookie-Entdeckungen geprüfthabe, ist mir aufgefallen, dass der Dateiname für alle Entdeckungen 00000000.ie ist. Warumweist VirusScan Enterprise allen Cookie-Entdeckungen beim On-Demand-Scan denselbenDateinamen zu, während andere Programme jeder Cookie-Entdeckung einen individuellenoder inkrementell gebildeten Namen zuweisen?

Antwort: Dass VirusScan Enterprise allen Cookie-Entdeckungen denselben Dateinamenzuweist, liegt an der Art und Weise, wie der On-Demand-Scanner Cookies entdeckt undAktionen einleitet. Dieses Verhalten gilt nur für Cookies, die bei On-Demand-Scans entdecktwerden. Eine Cookie-Datei kann viele Cookies enthalten. Das Scan-Modul behandelt eineCookie-Datei als Archiv und weist einen Wert als Abstand vom Dateianfang zu (mit nullbeginnend). Da der Scanner das Scan-Modul verwendet, um Cookies zu entdecken undAktionen einzuleiten, bevor er mit dem Scannen fortfährt, beginnt er bei jeder Entdeckung



wieder mit null. Daher wird jeder Entdeckung der Dateiname 00000000.ie zugewiesen.Andere Produkte entdecken erst alle Cookies, weisen jedem einen individuellen oderinkrementellen Dateinamen zu und leiten anschließend für die einzelnen EntdeckungenAktionen ein.

Allgemein

• Frage: Auf meinen VirusScan Enterprise-Standalone-System ist das Systemsymbol in meinerSystem-Taskleiste anscheinend deaktiviert.

Antwort:Wenn auf dem VirusScan Enterprise-Symbol ein roter Kreis mit einer Linie erscheint,dann ist der Zugriffscanner deaktiviert. Im Folgenden werden die häufigsten Ursachen undLösungen beschrieben. Falls keine dieser Lösungen Ihr Problem behebt, wenden Sie sich anden technischen Support.

1 Stellen Sie sicher, dass der Zugriffsscanner aktiviert ist. Klicken Sie in der Taskleiste mitder rechten Maustaste auf das VirusScan Enterprise-Symbol. Falls der Zugriffsscannerdeaktiviert ist, enthält das Menü den Eintrag Scannen bei Zugriff aktivieren.

2 Stellen Sie sicher, dass der McShield-Dienst ausgeführt wird.

• Starten Sie den Dienst manuell über die Systemsteuerung für Dienste.

• Wählen Sie Start | Ausführen, und geben Sie dann Net Start McShield ein.

• Legen Sie fest, dass der Dienst automatisch über die Systemsteuerung für Dienstegestartet wird.

• Frage: Ich erhalte die Fehlermeldung, dass CATALOG.Z nicht heruntergeladen werden kann.

Antwort: Dieser Fehler kann viele Ursachen haben. Im Folgenden finden Sie einigeVorschläge, mit deren Hilfe Sie die Ursache des Problems ermitteln können.

• Wenn Sie die standardmäßige Download-Website für Aktualisierungen von McAfeeverwenden, können Sie prüfen, ob Sie die Datei CATALOG.Z mit einem Web-Browserherunterladen können. Versuchen Sie, die Datei von der folgenden Websiteherunterzuladen: http://update.nai.com/Products/CommonUpdater/catalog.z.

• Wenn Sie die Datei nicht herunterladen können, obwohl sie angezeigt wird (was bedeutet,dass Ihr Browser das Herunterladen blockiert), dann liegt ein Proxy-Problem vor, mitdem Sie sich an Ihren Netzwerkadministrator wenden müssen.

• Wenn das Herunterladen der Datei möglich ist, müsste dies auch mit VirusScan Enterprisemöglich sein. Wenden Sie sich an den technischen Support, damit er Sie bei der Behebungdes Fehlers in Ihrer VirusScan Enterprise-Installation unterstützt.

• Frage: Wie lautet die Internet-Adresse der HTTP-Download-Website?

Antwort:

• Die Internet-Adresse der McAfee-Download-Website lautet:http://www.mcafee.com/us/downloads/.

• Die Datei CATALOG.Z mit neuen Aktualisierungen können Sie von folgender Websiteherunterladen: http://update.nai.com/Products/CommonUpdater/catalog.z.

• Frage: Wo befindet sich die FTP-Download-Website?

Antwort:

• Die Internet-Adresse der FTP-Download-Website ist:ftp://ftp.mcafee.com/pub/antivirus/datfiles/4.x.

• Die Datei CATALOG.Z mit neuen Aktualisierungen können Sie von folgender Websiteherunterladen: ftp://ftp.mcafee.com/CommonUpdater/catalog.z.



http://update.nai.com/Products/CommonUpdater/catalog.z

http://www.mcafee.com/us/downloads/

http://update.nai.com/Products/CommonUpdater/catalog.z

ftp://ftp.mcafee.com/pub/antivirus/datfiles/4.x

ftp://ftp.mcafee.com/CommonUpdater/catalog.z

• Frage: Falls ich ein potenziell unerwünschtes Programm entdecke und die OptionBenutzereingabe anfordern ausgewählt habe, welche Aktion sollte ich dann auswählen(Bereinigt oder Löschen)?

Antwort: Im Allgemeinen empfehlen wir, im Zweifelsfall die Aktion Bereinigt auszuwählen.Die Zugriffs- und On-Demand-Scanner sichern Elemente automatisch im Quarantäne-Ordner,bevor sie gereinigt oder gelöscht werden.



Index

AAbfragen, VirusScan Enterprise

Aktivität überwachen 91, 96vordefinierte, Liste der 91Zugriff von der ePO-Navigationsleiste, Berichterstellung 91

AccessProtectionLog.txt, Aktivitätsprotokoll 96Adware (siehe Unerwünschte Programme) 41Aktionen, VirusScan Enterprise

Entdeckung von Buffer Overflows 83Isolierte Elemente 86On-Demand-Scan 75, 85Reagieren auf eine Bedrohung 91, 96Scannen bei Zugriff 82, 84Scannen von E-Mails 85Unerwünschte Programme 84Zugriffsschutz 83Zugriffsverletzungen 26

Aktivitätsprotokolle, VirusScan EnterpriseAnzeigen 84, 110On-Demand-Scan und 75, 85Scannen von E-Mails und 78, 85Unerwünschte Programme 84Verwenden 96Zugriffsverletzungen 26

Aktualisieren, VirusScan EnterpriseAktualisierungs-Task 47Aktualisierungs-Websites 48Anforderungen 48AutoUpdate 48Prozessübersicht 48Strategien 47Tasks 47

Aktualisierungs-Task, Befehlszeilenoptionen 107Alert Manager

Ereignisse 26Konfigurieren von Warnmeldungen 89Zugriffsverletzungen 26

Anpassung, VirusScan Enterprisezu scannende Elemente, Hinzufügen und Ausschließen 54

Anti-Spyware-RegelnKonfigurieren des Zugriffsschutzes 28

Antivirus-RegelnKonfigurieren des Zugriffsschutzes 28Vorkonfigurierter Zugriffsschutz 25

Artemisheuristische Netzwerkprüfung auf verdächtige Dateien 10Übersicht 60VirusScan Enterprise-Komponentenübersicht 10

Auf NetzwerklaufwerkenKonfigurieren mithilfe der VirusScan-Konsole 70Konfigurieren mithilfe von ePolicy Orchestrator 4.0 69Konfigurieren mithilfe von ePolicy Orchestrator 4.5 und 4.6 69Konfigurieren, Übersicht 68

AusbringungAktualisierungsanforderungen 48VSE-Aktualisierungs-Tasks planen 47

Ausschlüsseauszuschließende Elemente 54Festlegen von Scan-Elementen über Platzhalterzeichen 54On-Demand-Scan 75Prozesse identifizieren für 83Unerwünschte Programme 42, 43

AutoUpdateAnforderungen 48Konfigurieren 49Prozessübersicht 48Repositories, Verbindung herstellen mit 48Repository-Liste 52Strategien für VSE-Aktualisierungen 47

BBandbreite und Aktualisierungsstrategien 47Bedrohung

Analyse der VirusScan-Konsole 100Analyse mit ePolicy Orchestrator 4.0 100Analyse mit ePolicy Orchestrator 4.5 und 4.6 99

BedrohungenEinreichen von Beispielen 108Analysieren, Beispiele 99Analysieren, Übersicht 98Buffer Overflow 83Isolierte Elemente 86On-Demand-Scan 85Reagieren auf 91, 96Scannen bei Zugriff 84Scannen von E-Mails 85Schutzstrategie 12Stoppen 21Unerwünschte Programme 84Zugreifen auf die Bedrohungsbibliothek 109Zugriffsentdeckungen und Aktionen 82Zugriffsverletzungen 83

BefehlszeileAktualisierungs-Task-Optionen 107On-Demand-Scan-Optionen 105Verwenden zum Konfigurieren des Produkts 104

Benachrichtigungen, VirusScan EnterpriseKonfigurieren 89Übersicht 89

Benutzerdefinierte RegelnArten 27Zugriffsschutz 30, 31, 32, 33

Benutzerdefinierte Regeln, Zugriffsschutz 25Benutzerkonten, Kontrollieren des Zugriffs auf die VirusScanEnterprise-Oberfläche 22Benutzeroberflächensicherheit

Kennwörter und 22Konfigurieren 23


BerichteAnalysieren von Bedrohungen 98Konfigurieren der VirusScan Enterprise-Protokollierung 78On-Demans-Scan-Aktivität 75Zugriff auf Abfragen 91

Best Practice-EmpfehlungenEXTRA.DAT-Dateien entfernen aus Repositories 48Strategien für VSE-Aktualisierungen 47

Buffer Overflow-SchutzDeaktivieren während der Fehlerbehebung 112Blockieren von Exploits 37Entdeckungen und Aktionen 83Exploits, Übersicht 38Warnungen und Benachrichtigungen 89

BufferOverflowProtectionLog.txt, Aktivitätsprotokoll 96

CCache

Konfigurieren mithilfe der VirusScan-Konsole 78Konfigurieren mithilfe von ePolicy Orchestrator 4.0 77Konfigurieren mithilfe von ePolicy Orchestrator 4.5 oder 4.6 76Übersicht 76

Cache, konfigurieren 76CATALOG.Z-Datei

Fehlerbehebung 117verschlüsselte Aktualisierung 48

Client-System, VirusScan Enterprise-Komponente 10Common-Regeln

Standardschutz und maximaler Schutz 25Vorkonfigurierter Zugriffsschutz 25Zugriffsschutz, konfigurieren 28

Common-SchutzregelnKonfigurieren des Zugriffsschutzes 28

DDashboards

Aktivität überwachen 91, 96vordefinierte, Zugriff auf 91

DAT-DateienAktualisierungs-Tasks, über 48Aktualisierungsstrategien 47Einführungen planen 47Entdeckungen und definierte Aktionen 82Entdeckungsdefinitionen 47EXTRA.DAT-Dateien, aktualisieren 48Rollback, konfigurieren 53Rollback, Übersicht 53Skript-Scan und 59Übersicht 46VirusScan Enterprise-Komponentenübersicht 10Wichtigkeit der Aktualisierung 47

DAT-RepositoryVirusScan Enterprise-Komponentenübersicht 10

Datei mfehidk.sys, Umbenennen während der Fehlerbehebung 112Dateien und Ordner

Blockierungsoptionen 34Einschränken des Zugriffs 27

Dateityperweiterungenauszuschließende Elemente 54

Dialer (siehe Unerwünschte Programme) 41Dokumentation

Struktur 7Konventionen hinsichtlich der Schreibweise 6

Dokumentation für Produkte, finden 8

EE-Mail-Scan bei Empfang

Warnungen und Benachrichtigungen 89Einstellungen, VirusScan Enterprise

Allgemein, Konfigurieren mithilfe der VirusScan-Konsole 64Allgemein, Konfigurieren mithilfe von ePolicy Orchestrator 4.0 63Allgemein, Konfigurieren mithilfe von ePolicy Orchestrator 4.5 oder4.6 62Allgemeine und Prozess-, definiert 61

Entdeckung von Bedrohungen (siehe Bedrohungen) 78Entdeckungen

Aktionen als Reaktion auf 82Buffer Overflow 83On-Demand-Scan 75, 85Reagieren auf 91, 96Scannen bei Zugriff 84Scannen von E-Mails 78, 85Zugriffsschutz 83

ePolicy OrchestratorAbrufen von DAT-Dateien 46Unterstützte Versionen 9Server-Tasks, Konfigurieren eines Beispiels 103Server-Tasks, Übersicht 102VirusScan Enterprise-Komponente 10

ePolicy Orchestrator 4.0Beispiel für das Analysieren von Bedrohungsschutz 100Konfigurieren des AutoUpdate-Tasks 49Konfigurieren des Spiegelungs-Tasks 51Konfigurieren von On-Demand-Scan-Tasks 74Zugriff auf Abfragen und Dashboards 92

ePolicy Orchestrator 4.5 und 4.6Beispiel für das Analysieren von Bedrohungsschutz 99Konfigurieren des AutoUpdate-Tasks 49Konfigurieren des Spiegelungs-Tasks 51Konfigurieren von On-Demand-Scan-Tasks 73Zugriff auf Abfragen und Dashboards 91

Ereignisse, VirusScan EnterpriseAlert Manager 26Zugriffsverletzungen 26

EXTRA.DAT-Dateien (siehe Notfall-DATs) 48, 93

FFalsch-Positive

Erstellen von Ausschlüssen zur Reduzierung 83Fehlerbehebung, VirusScan Enterprise

Anhang 109Deaktivieren von Komponenten 112empfohlene Tools 116

Funktion "Remote-Konsole öffnen", VirusScan EnterpriseÜbersicht 107Zugreifen auf Remote-Systeme 108

HHäufig gestellte Fragen 117Heuristik zum Prüfen auf verdächtige Dateien (siehe Artemis) 60

KKennwörter

Adressbuchdateien schützen 25den Zugriff auf die VSE-Schnittstelle kontrollieren 22Richtlinie für die Benutzeroberflächenoptionen 23

KnowledgeBase, ServicePortal des technischen Supports 8Komponenten

Illustration 10

Index


Komponenten (Fortsetzung)VirusScan-Konsole 13von VirusScan Enterprise 10

Konventionen dieses Handbuchs 6

LListe "Task", VirusScan-Konsole 13

MMcAfee Agent

Symbole geben Version an 15VirusScan Enterprise-Komponentenübersicht 10

McAfee Headquarters, VirusScan Enterprise-Komponente 10McAfee Labs

Einreichen von Beispielen 108Senden eines Beispiels 84Artemis sendet Fingerabdruck an 60VirusScan Enterprise-Komponentenübersicht 10Zugreifen auf die Bedrohungsbibliothek 109Zugriff 13

McAfee ServicePortal, zugreifen 8McAfee Validation Trust Protection Service, Deaktivieren während derFehlerbehebung 112Menüleiste, VirusScan-Konsole 13MERTool (siehe Minimum Escalation Requirements Tool) 111MFEVTP (siehe McAfee Validation Trust Protection Service) 112Minimum Escalation Requirements-Tool 111MirrorLog.txt, Aktivitätsprotokoll 96Modulaktualisierung

AutoUpdate, Prozessübersicht 48Strategien 47Wichtigkeit 47

msiexec.exe, Befehlsinstallationsbefehl 109

NNetzwerklaufwerke

Konfigurieren mithilfe der VirusScan-Konsole 70Konfigurieren mithilfe von ePolicy Orchestrator 4.0 69Konfigurieren mithilfe von ePolicy Orchestrator 4.5 und 4.6 69Konfigurieren, Übersicht 68

Notfall-DATsÜbersicht 93

OOn-Demand-Scan

Befehlszeilenoptionen 105Unerwünschte Programme, konfigurieren (siehe Konfigurieren vonOn-Demand-Scan-Tasks) 41Ausschlüsse 75Entdeckungen und Aktionen 85inkrementell, fortsetzbar, im Arbeitsspeicher 71Konfigurieren mit der VirusScan-Konsole 74Konfigurieren mit ePolicy Orchestrator 4.0 74Konfigurieren mit ePolicy Orchestrator 4.5 oder 4.6 73Konfigurieren von Tasks 75Methoden 71Scan-Verschiebung 72Scans des Remote-Speichers 72Systemauslastung 72Übersicht 71

OnAccessScanLog.txt, Aktivitätsprotokoll 96OnDemandScanLog.txt, Aktivitätsprotokoll 96Option "Auf Netzlaufwerken", VirusScan Enterprise 58Option "Globale Scan-Einstellungen", VirusScan Enterprise 76

Option "Höchstens verschieben für", VirusScan Enterprise 72Option für alle Dateien, VirusScan Enterprise 59Option für standardmäßige und zusätzliche Dateitypen, VirusScanEnterprise 59

PPlanen

Tasks 55Platzhalterzeichen, Verwendung in Scan-Elementen 54Ports

Netzwerkverkehr blockieren auf 25, 27Zugriffsschutz, Optionen 33

Potenziell unerwünschte Programme (siehe Unerwünschte Programme)41Protokolldateien, VirusScan Enterprise

On-Demand-Scan und 75Scannen von E-Mails und 78siehe Aktivitätsprotokolle, VirusScan Enterprise 96Zugriffsverletzungen 26

Prozesse"include" und "exclude" 35

ProzesseinstellungenScannen bei Zugriff 65

PUPe (siehe Unerwünschte Programme) 41

QQuarantäne, VirusScan Enterprise

Konfigurieren mit der VirusScan-Konsole 88Konfigurieren mit ePolicy Orchestrator 4.0 87Konfigurieren mit ePolicy Orchestrator 4.5 oder 4.6 86Quarantäne-Richtlinie 86Übersicht 86

RRegeln, VirusScan Enterprise

Zugriffsschutz 25Antivirus 28benutzerdefinierte, Typen 27Datei- und Ordnerblockierung 34nicht verwendete entfernen 35, 36, 37Port-Blockierung 33Registrierungsblockieroptionen 34

Registerkarte "Aktionen", VirusScan EnterpriseScannen bei Zugriff 65, 67E-Mail-Scan bei Empfang 78, 80On-Demand-Scan 75

Registerkarte "Allgemein", VirusScan EnterpriseScannen bei Zugriff 61

Registerkarte "Ausschlüsse", VirusScan EnterpriseScannen bei Zugriff 65, 67On-Demand-Scan 75

Registerkarte "Berichte", VirusScan EnterpriseScannen bei Zugriff 61E-Mail-Scan bei Empfang 78, 80On-Demand-Scan 75Statistische Daten zum Scannen bei Zugriff 100

Registerkarte "Blockieren", VirusScan EnterpriseScannen bei Zugriff 61

Registerkarte "Leistung", VirusScan EnterpriseOn-Demand-Scan 75

Registerkarte "Nachrichten", VirusScan EnterpriseScannen bei Zugriff 61

Registerkarte "Notes-Scannereinstellungen", VirusScan EnterpriseE-Mail-Scan bei Empfang 78, 80


Index

Registerkarte "Plan", VirusScan Enterprise 55Registerkarte "Proxyeinstellungen", VirusScan Enterprise 52Registerkarte "Repositories", VirusScan Enterprise 52Registerkarte "Scan-Elemente", VirusScan Enterprise

Scannen bei Zugriff 58, 65, 67E-Mail-Scan bei Empfang 78, 80Konfigurieren der Richtlinie für unerwünschte Programme mithilfeder VirusScan-Konsole 44Konfigurieren der Richtlinie für unerwünschte Programme mithilfevon ePolicy Orchestrator 4.0 43Konfigurieren der Richtlinie für unerwünschte Programme mithilfevon ePolicy Orchestrator 4.5 oder 4.6 42On-Demand-Scan 75Richtlinie für unerwünschte Programme 42Scannen bei Zugriff 58, 65, 67

Registerkarte "Scan-Speicherorte", VirusScan Enterprise 75Registerkarte "ScriptScan", VirusScan Enterprise

Scannen bei Zugriff 61Registerkarte "Spiegeln", VirusScan Enterprise 50Registerkarte "Task", VirusScan Enterprise

Planen von On-Demand-Scans 75Planen von Tasks 55

Registerkarte "Vorgänge", VirusScan EnterpriseScannen bei Zugriff 65, 67

Registerkarte "Warnmeldungen", VirusScan EnterpriseE-Mail-Scan bei Empfang 78, 80

RegistrierungsschlüsselEinschränken des Zugriffs 27Optionen 34

Remote-KonsoleÜbersicht 107Zugreifen auf Remote-Systeme 108

RepositoriesAutoUpdate, Verbindung herstellen mit 48EXTRA.DAT-Dateien entfernen aus 48zentral, für VSE-Aktualisierung verwenden 47

Repository-ListeKonfigurieren 52AutoUpdate 52

Richtlinie für unerwünschte ProgrammeAusschlüsse 42, 43

Richtlinien, VirusScan EnterpriseAllgemeine Optionen 23Richtlinien für das E-Mail-Scannen bei Empfang 78Scannen bei Zugriff 61Scannen von E-Mails 78Unerwünschte Programme 41, 84Warnungsrichtlinien 89

Rollback von DATs, VirusScan Enterprise 53

SScan-Aktualisierung

Strategien 47Scan-Cache

Konfigurieren mithilfe der VirusScan-Konsole 78Konfigurieren mithilfe von ePolicy Orchestrator 4.0 77Konfigurieren mithilfe von ePolicy Orchestrator 4.5 oder 4.6 76Übersicht 76

Scan-ModulVirusScan Enterprise-Komponentenübersicht 10Wichtigkeit der Aktualisierung 47

Scan-Verschiebung, Übersicht 72Scannen

Aktivitätsprotokolle 84Ausschlüsse, Festlegen 54

Scannen (Fortsetzung)Bei Zugriff (siehe Scannen bei Zugriff) 57E-Mail-Scans (siehe Scannen von E-Mails) 78Festlegen von Scan-Elementen über Platzhalterzeichen 54Hinzufügen und Ausschließen von Scan-Elementen 54On-Demand (siehe On-Demand-Scan) 71

Scannen bei ZugriffAktivitätsprotokolldatei 110Deaktivieren während der Fehlerbehebung 112Konfigurieren mit der VirusScan-Konsole 67Konfigurieren mit ePolicy Orchestrator 4.0 66Konfigurieren mit ePolicy Orchestrator 4.5 und 4.6 66Allgemeine und Prozesseinstellungen 61die Anzahl der Scan-Richtlinien bestimmen 61Entdeckungen und Aktionen 82, 84Lesen von oder Schreiben auf Datenträger 58, 59Prozesseinstellungen 65Scan-Richtlinien 61Skript-Scan 59Übersicht 57Unerwünschte Programme, Aktivieren mithilfe derVirusScan-Konsole 46Unerwünschte Programme, Aktivieren mithilfe von ePolicyOrchestrator 4.0 45Unerwünschte Programme, Aktivieren mithilfe von ePolicyOrchestrator 4.5 oder 4.6 44Unerwünschte Programme, Übersicht 44

Scannen von E-MailsEntdeckungen und Aktionen 85Konfigurieren 78Unerwünschte Programme, Aktivieren mithilfe derVirusScan-Konsole 46Unerwünschte Programme, Aktivieren mithilfe von ePolicyOrchestrator 4.0 45Unerwünschte Programme, Aktivieren mithilfe von ePolicyOrchestrator 4.5 oder 4.6 44Unerwünschte Programme, Übersicht 44

Scans des Remote-Speichers, Übersicht 72Schutzregeln für virtuelle Computer

Konfigurieren des Zugriffsschutzes 28Vorkonfigurierter Zugriffsschutz 25

ScriptScan, Deaktivieren während der Fehlerbehebung 112SDAT (siehe SuperDAT-Pakete) 93Server-Tasks

ePolicy Orchestrator, Übersicht 102ePolicy Orchestrator, Konfigurieren eines Beispiels 103

ServicePortal des technischen Supportsbei McAfee 8Fehlerbehebung 112Verwenden von MERTool 111

ServicePortal, Finden von Produktdokumentation 8SETUPVSE.exe, Befehlsinstallationsbefehl 109SITELIST.XML (siehe Repository-Liste) 52Skript-Scan (siehe Scannen bei Zugriff) 59Spiegelungs-Task

Konfiguration 50Übersicht 50

Spyware (siehe Unerwünschte Programme) 41Statusleiste, VirusScan-Konsole 13SuperDAT-Pakete

herunterladen 93Installieren in einem ePolicy Orchestrator-Repository 94Übersicht 93

Symbole, Taskleiste 15Symbolleiste, VirusScan-Konsole 13Systemauslastungsoption, Übersicht 72

Index


TTask

AutoUpdate 49aktualisieren 48Planen 55spiegeln 50

Task-Planungempfohlenes On-Demand-Intervall 55Konfigurieren 55

TaskleisteFunktionen der rechten Maustaste 15Menüoptionen 15Symbole 15

TaskleistensymbolKonfigurieren des Zugriffs auf die VirusScan Enterprise-Oberfläche23Zugriffsverletzungen und 26

UÜberwachen, VirusScan Enterprise

Tools 96Übersicht 96

Unerwünschte ProgrammeAktionen und On-Demand-Scan 75Entdeckungen und Aktionen 84Konfiguration der Richtlinie für 41On-Demand-Scan 71Scannen von E-Mails, Aktionen 78Übersicht 41

UpdateLog.txt, Aktivitätsprotokoll 96

VVirusScan Enterprise

Entfernen während der Fehlerbehebung 112Reparieren der Installation 109Aktualisieren 47, 48Aktualisierung, Anforderungen 48Allgemeine Einstellungen, konfigurieren 61Allgemeine Einstellungen, Konfigurieren mithilfe derVirusScan-Konsole 64Allgemeine Einstellungen, Konfigurieren mithilfe von ePolicyOrchestrator 4.0 63Allgemeine Einstellungen, Konfigurieren mithilfe von ePolicyOrchestrator 4.5 oder 4.6 62auszuschließende Elemente, Hinzufügen und Ausschließen 54Benachrichtigungen und Warnungen 89Benutzeroberflächensicherheit 22Erstkonfiguration 18nicht verwendete Regeln entfernen 35, 36, 37On-Demand-Scan 71Produktüberblick 9Richtlinie für unerwünschte Programme 41Scannen bei Zugriff 57, 84Scannen von E-Mails 78Zugriffsschutz 25, 26

VirusScan-KonsoleAnalysieren von Bedrohungen 100Funktionen der rechten Maustaste 15Übersicht 13

Vorgänge mit geringem RisikoEinstellungen 61VirusScan Enterprise konfigurieren 61

Vorgänge mit hohem RisikoEinstellungen 61VirusScan Enterprise konfigurieren 61

Vorgänge, VirusScan Enterprisegeringes Risiko und hohes Risiko 61Inkrementelles oder fortsetzbares Scannen 71Scannen von Prozessen im Arbeitsspeicher 71Skript-Scan 59Standard, konfigurieren 61

WWarnungen, VirusScan Enterprise

Konfigurieren 89On-Demand-Scan 75Scannen bei Zugriff 57Scannen von E-Mails 78Übersicht 89

Warnungsmeldungen des Zugriffsscans 57WebImmune-Website 108Windows

Dateischutz, Ausschlüsse 54Windows-Explorer

Funktionen der rechten Maustaste 15

ZZielgruppe dieses Handbuches 6Zugriffsschutz

Deaktivieren während der Fehlerbehebung 112Antivirus- und Common-Regeln 28Ausschließen von Prozessen 35Beispiel einer Bedrohung 21Beispiel eines Protokollberichts 21Benutzerdefinierte Regeln 25, 27, 30, 31, 32, 33Common-Regeln 25Datei- und Ordnerblockierungsregeln 34Entdeckungen und Aktionen 83Erste Schritte 25nicht verwendete Regeln entfernen 35, 36, 37Port-Blockierungsregeln 33Protokolle, einschränken 27Regeltypen 25Registrierungsblockierungsregeln 34Richtlinien, Übersicht 28Schutzregeln für virtuelle Computer 25Standardschutz und maximaler Schutz 25Übersicht 20, 25Vorkonfigurierte Regeln 25Zugriffsverletzungen 26


Index

Documents

Beschreibung AV Scanner V8.8