McAfee Endpoint Security 10.1 Produkthandbuch · PDF file1 Einführung Endpoint Security ist eine umfassende Lösung zur Sicherheitsverwaltung, die auf Netzwerkcomputern ausgeführt

Produkthandbuch

McAfee Endpoint Security 10.1

COPYRIGHT

Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com

MARKENIntel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfeeActive Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinenTochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.

LIZENZINFORMATIONEN

LIZENZVEREINBARUNGHINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIEALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHENSOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DERLIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE,DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKETHERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHTEINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHRENHÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.

2 McAfee Endpoint Security 10.1 Produkthandbuch

http://www.intelsecurity.com

Inhaltsverzeichnis

McAfee Endpoint Security 5

1 Einführung 7Endpoint Security-Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7So schützt Endpoint Security Ihren Computer . . . . . . . . . . . . . . . . . . . . . . . 8

So bleibt Ihr Schutz auf dem neuesten Stand . . . . . . . . . . . . . . . . . . . . 8Interaktion mit Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Informationen zum McAfee-System-Taskleistensymbol . . . . . . . . . . . . . . . . 10Informationen zu Benachrichtigungen . . . . . . . . . . . . . . . . . . . . . . 11Informationen zum Endpoint Security-Client . . . . . . . . . . . . . . . . . . . . 12

2 Verwenden der Endpoint Security-Client 17Öffnen des Endpoint Security-Client . . . . . . . . . . . . . . . . . . . . . . . . . . 17Hilfe anfordern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Reagieren auf Aufforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Reagieren auf eine Aufforderung bei erkannter Bedrohung . . . . . . . . . . . . . . 18Reagieren auf eine Scan-Aufforderung . . . . . . . . . . . . . . . . . . . . . . 19Reagieren auf eine Aufforderung bei Datei-Reputation . . . . . . . . . . . . . . . . 19

Informationen zu Ihrem Schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Verwaltungstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Manuelles Aktualisieren von Schutz und Software . . . . . . . . . . . . . . . . . . . . . 21Zu aktualisierende Elemente . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Anzeigen des Ereignisprotokolls . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Informationen zu Protokolldateien . . . . . . . . . . . . . . . . . . . . . . . . 23

Verwalten von Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Anmelden als Administrator . . . . . . . . . . . . . . . . . . . . . . . . . . 25Entsperren der Client-Schnittstelle . . . . . . . . . . . . . . . . . . . . . . . . 26Deaktivieren und Aktivieren von Funktionen . . . . . . . . . . . . . . . . . . . . 26Ändern der AMCore Content-Version . . . . . . . . . . . . . . . . . . . . . . . 27Verwenden von EXTRA.DAT-Dateien . . . . . . . . . . . . . . . . . . . . . . . 28Konfigurieren gemeinsamer Einstellungen . . . . . . . . . . . . . . . . . . . . . 29Konfigurieren des Aktualisierungsverhaltens . . . . . . . . . . . . . . . . . . . . 33

3 Verwenden von Bedrohungsschutz 41Scannen Ihres Computers auf Malware . . . . . . . . . . . . . . . . . . . . . . . . . 41

Scan-Typen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Ausführen eines vollständigen Scans oder Schnellscans . . . . . . . . . . . . . . . 42Scannen einer Datei oder eines Ordners . . . . . . . . . . . . . . . . . . . . . 44

Verwalten von erkannten Bedrohungen . . . . . . . . . . . . . . . . . . . . . . . . . 45Verwalten von isolierten Elementen . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Erkennungsnamen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Erneutes Scannen isolierter Elemente . . . . . . . . . . . . . . . . . . . . . . 49

Verwalten von Bedrohungsschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Konfigurieren von Ausschlüssen . . . . . . . . . . . . . . . . . . . . . . . . . 50Schützen der Systemzugriffspunkte . . . . . . . . . . . . . . . . . . . . . . . 51

McAfee Endpoint Security 10.1 Produkthandbuch 3

Blockieren von Buffer Overflow-Exploits . . . . . . . . . . . . . . . . . . . . . . 60Erkennen von potenziell unerwünschten Programmen . . . . . . . . . . . . . . . . 62Konfigurieren gemeinsamer Scan-Einstellungen . . . . . . . . . . . . . . . . . . 65Konfigurieren von Richtlinieneinstellungen für . . . . . . . . . . . . . . . . . . . 65Konfigurieren Sie die für den On-Demand-Scan . . . . . . . . . . . . . . . . . . 70Konfigurieren, Planen und Ausführen von Scan-Tasks . . . . . . . . . . . . . . . . 75

4 Verwenden von Firewall 77Firewall – Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Aktivieren oder Anzeigen von zeitbeschränkten Firewall-Gruppen . . . . . . . . . . . . . . 77Verwalten der Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Ändern von Firewall-Optionen . . . . . . . . . . . . . . . . . . . . . . . . . . 78Konfigurieren Sie Firewall-Regeln und -Gruppen . . . . . . . . . . . . . . . . . . 81

5 Verwenden der Webkontrolle 91Informationen zu Webkontrolle-Funktionen . . . . . . . . . . . . . . . . . . . . . . . 91

Blockieren oder Warnen bezüglich Sites und Downloads durch die Webkontrolle . . . . . 92Identifizieren von Bedrohungen durch die Webkontrolle-Schaltfläche beim Surfen . . . . . 93Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen . . . . . . . . . . . . 94Site-Berichte für Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94So werden Sicherheitsbewertungen kompiliert . . . . . . . . . . . . . . . . . . . 95

Zugreifen auf Webkontrolle-Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . 96Aktivieren des Webkontrolle-Plug-Ins über den Browser . . . . . . . . . . . . . . . 96Anzeigen von Informationen zu einer Site beim Surfen . . . . . . . . . . . . . . . 97Site-Bericht während der Suche anzeigen . . . . . . . . . . . . . . . . . . . . . 98

Verwalten von Webkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Konfigurieren von Webkontrolle-Optionen . . . . . . . . . . . . . . . . . . . . . 98Angeben von Bewertungsaktionen und Blockieren des Site-Zugriffs basierend auf derWebkategorie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

6 Verwenden von Bedrohungsabwehrdaten 103Funktionsweise von Bedrohungsabwehrdaten . . . . . . . . . . . . . . . . . . . . . . 103Verwalten von Bedrohungsabwehrdaten . . . . . . . . . . . . . . . . . . . . . . . . 104

Informationen zu Bedrohungsabwehrdaten . . . . . . . . . . . . . . . . . . . . 104Konfigurieren von Bedrohungsabwehrdaten-Optionen . . . . . . . . . . . . . . . 110

Index 181

Inhaltsverzeichnis


McAfee Endpoint Security

McAfee®

Endpoint Security ist eine umfassende Lösung zur Sicherheitsverwaltung, die aufNetzwerkcomputern ausgeführt wird, um Bedrohungen automatisch zu identifizieren und zu stoppen.In dieser Hilfe finden Sie Informationen über die Verwendung der grundlegendenSicherheitsfunktionen und die Fehlerbehebung bei Problemen.

Erste Schritte

• Endpoint Security-Module auf Seite 7

• So schützt Endpoint Security Ihren Computer auf Seite 8

• Interaktion mit Endpoint Security auf Seite 9

Häufig durchgeführte Tasks

• Öffnen des Endpoint Security-Client auf Seite 17

• Manuelles Aktualisieren von Schutz und Software auf Seite 21

• Scannen Ihres Computers auf Malware auf Seite 41

• Entsperren der Client-Schnittstelle auf Seite 26

Weitere Informationen

Zusätzliche Informationen zu diesem Produkt finden Sie unter:

• McAfee EndpointSecurity-Installationshandbuch

• Endpoint Security-Firewall-Hilfe

• McAfee EndpointSecurity-Migrationshandbuch

• Endpoint Security-Webkontrolle-Hilfe

• McAfee Endpoint Security-Versionshinweise • EndpointSecurity-Bedrohungsabwehrdaten-Hilfe

• Endpoint Security-Bedrohungsschutz-Hilfe • McAfee-Support


http://mysupport.mcafee.com

McAfee Endpoint Security


1 Einführung

Endpoint Security ist eine umfassende Lösung zur Sicherheitsverwaltung, die auf Netzwerkcomputernausgeführt wird, um Bedrohungen automatisch zu identifizieren und zu stoppen. In dieser Hilfe findenSie Informationen über die Verwendung der grundlegenden Sicherheitsfunktionen und dieFehlerbehebung bei Problemen.

Wenn Ihr Computer verwaltet ist, richtet ein Administrator Endpoint Security ein und konfiguriert esmithilfe eines dieser Management-Servers:

• McAfee® ePolicy Orchestrator® (McAfee ePO™)

• McAfee® ePolicy Orchestrator® Cloud (McAfee ePO™ Cloud)

Wenn Ihr Computer selbstverwaltet ist, können Sie (oder Ihr Administrator) die Software mithilfe desEndpoint Security-Client konfigurieren.

Das Bedrohungsabwehrdaten-Modul wird nur auf von McAfee ePO verwalteten Systemen unterstützt.

Inhalt Endpoint Security-Module So schützt Endpoint Security Ihren Computer Interaktion mit Endpoint Security

Endpoint Security-ModuleDer Administrator konfiguriert und installiert ein oder mehrere Endpoint Security-Module aufClient-Computern.

• Bedrohungsschutz: Prüft auf Viren, Spyware, unerwünschte Programme und andereBedrohungen, indem er Elemente automatisch scannt, wenn Benutzer darauf zugreifen oder dieseanfordern.

• Firewall: Überwacht die Kommunikation zwischen dem Computer und Ressourcen im Netzwerkund im Internet. Fängt verdächtige Kommunikationsvorgänge ab.

• Webkontrolle: Zeigt während des Browsens und der Suche im Internet Sicherheitsbewertungenund Berichte für Websites an. Mit der Webkontrolle kann der Site-Administrator den Zugriff aufWebsites blockieren, basierend auf Sicherheitsbewertungen oder Inhalt.

• Bedrohungsabwehrdaten: Stellt eine kontextbewusste und anpassbare Sicherheitslösung fürIhre Netzwerkumgebung dar. Bedrohungsabwehrdaten analysiert Inhalte des Unternehmens undentscheidet basierend auf der Reputation einer Datei sowie den von Ihrem Administratorfestgelegten Kriterien.

Das Bedrohungsabwehrdaten-Modul wird nur auf von McAfee ePO verwalteten Systemenunterstützt.

1


Außerdem bietet das Modul Allgemeingültig Einstellungen für allgemeingültige Einstellungen wieSchnittstellensicherheit und Protokollierung. Dieses Modul wird automatisch bei Installation einesanderen Moduls installiert.

So schützt Endpoint Security Ihren ComputerÜblicherweise richtet ein Administrator Endpoint Security ein, installiert die Software aufClient-Computern, überwacht den Sicherheitsstatus und richtet Sicherheitsregeln, sogenannteRichtlinien, ein.

Als Benutzer eines Client-Computers interagieren Sie über eine auf Ihrem Computer installierteClient-Software mit Endpoint Security. Die vom Administrator definierten Richtlinien legen fest, wie dieModule und Funktionen auf Ihrem Computer ausgeführt werden, und ob Sie sie modifizieren können.

Wenn Endpoint Security selbstverwaltet ist, können Sie festlegen, wie die Module und Funktionenausgeführt werden sollen. Informationen zur Ermittlung Ihres Verwaltungstyps finden Sie auf derInformationsseite.

In regelmäßigen Abständen stellt die Client-Software auf Ihrem Computer eine Verbindung mit einerWebsite her, um ihre Komponenten zu aktualisieren. Gleichzeitig sendet sie Daten über Erkennungenauf Ihrem Computer an den Management-Server. Anhand dieser Daten werden Berichte überErkennungen und Sicherheitsprobleme auf Ihrem Computer für Ihren Administrator erstellt.

In der Regel wird die Client-Software ohne Ihr Zutun im Hintergrund ausgeführt. Es kann jedochvorkommen, dass Sie eine Auswahl treffen müssen. Beispielsweise könnten Sie unter bestimmtenUmständen manuell nach Software-Aktualisierungen suchen oder auf Malware scannen. Abhängig vonden Richtlinien, die von Ihrem Administrator festgelegt wurden, können Sie möglicherweise auch dieSicherheitseinstellungen anpassen.

Falls Sie ein Administrator sind, können Sie mithilfe von McAfee ePO oder McAfee ePO Cloud dieClient-Software zentral verwalten und konfigurieren.

Siehe auch Informationen zu Ihrem Schutz auf Seite 20

So bleibt Ihr Schutz auf dem neuesten StandRegelmäßige Aktualisierungen von Endpoint Security stellen sicher, dass Ihr Computer immer vor denneuesten Bedrohungen geschützt ist.

Für Aktualisierungen stellt die Client-Software eine Verbindung zu einem lokalen oder Remote-Servervon McAfee ePO oder direkt zu einer Site im Internet her. Endpoint Security sucht nach:

• Aktualisierungen der Content-Dateien, die zur Erkennung von Bedrohungen verwendet werden.Content-Dateien enthalten Definitionen für Bedrohungen wie Viren und Spyware. Diese Definitionenwerden aktualisiert, wenn neue Bedrohungen erkannt werden.

• Upgrades für Software-Komponenten wie Patches und HotFixes.

Zur Vereinfachung der Terminologie wird in dieser Hilfe sowohl für Aktualisierungen als auch fürUpgrades der Begriff Aktualisierungen verwendet.

Aktualisierungen werden gewöhnlich automatisch im Hintergrund ausgeführt. Möglicherweise müssenSie auch manuell nach Aktualisierungen suchen. Je nach Einstellungen können Sie Ihren Schutz

manuell vomEndpoint Security-Client aus aktualisieren, indem Sie auf klicken.

1 EinführungSo schützt Endpoint Security Ihren Computer


Siehe auch Manuelles Aktualisieren von Schutz und Software auf Seite 21

Funktionsweise von Content-DateienWenn das Scan-Modul Dateien nach Bedrohungen durchsucht, vergleicht es den Inhalt der gescanntenDateien mit bekannten Bedrohungsinformationen, die in AMCore Content-Dateien gespeichert sind.Der Exploit-Schutz verwendet seine eigenen Content-Dateien als Schutz vor Exploits.

AMCore Content

McAfee Labs findet Informationen (Signaturen) zu bekannten Bedrohungen und fügt diese denContent-Dateien hinzu. Content-Dateien enthalten neben Signaturen Informationen zum Säubern undEntgegenwirken des vom erkannten Virus verursachten Schadens.

Wenn sich die Signatur eines Virus in keiner installierten Content-Datei befindet, kann das Scan-Moduldiesen Virus nicht erkennen und säubern.

Es treten regelmäßig neue Bedrohungen auf. McAfee Labs veröffentlicht Modulaktualisierungen undneue Content-Dateien, durch die die Ergebnisse der ständigen Untersuchung von Bedrohungen fasttäglich um 18:00 Uhr (GMT) integriert werden .

Endpoint Security speichert die aktuell geladene Content-Datei und die vorherigen zwei Versionen imOrdner Programme\Gemeinsame Dateien\McAfee\Engine\content. Bei Bedarf können Sie eine frühereVersion wiederherstellen.

Wenn neue Malware entdeckt wird und eine zusätzliche Erkennung außerhalb des regulärenContent-Aktualisierungszeitplan nötig ist, veröffentlicht McAfee Labs eine EXTRA.DAT-Datei.

Exploit-Schutz-Content-Datei

Die Exploit-Schutz-Content-Datei enthält:

• Speicherschutz-Signaturen – Generischer Buffer Overflow-Schutz (GBOP) und gezielteAPI-Überwachung.

• Anwendungsschutzliste – Prozesse, die der Exploit-Schutz schützt.

McAfee veröffentlicht einmal im Monat neue Exploit-Schutz-Content-Dateien.

Interaktion mit Endpoint SecurityEndpoint Security verfügt über zwei visuelle Komponenten zur Interaktion mit dem EndpointSecurity-Client.

• McAfee-Symbol in der Windows-Taskleiste – Damit können Sie den Endpoint Security-Client startenund den Sicherheitsstatus anzeigen.

• Benachrichtigungen – Warnt Sie bei Erkennung von Firewall-Eindringungsversuchen sowie Dateienmit unbekannter Reputation und fordert Sie zu einem Scan oder einer Eingabe auf.

• On-Access-Scan-Seite – Zeigt die Liste mit erkannten Bedrohungen an, wenn derOn-Access-Scanner eine Bedrohung erkannt hat.

• Endpoint Security-Client – Zeigt den aktuellen Schutzstatus an und bietet Zugriff auf Funktionen.

Für verwaltete Systeme konfiguriert der Administrator Richtlinien, um die angezeigten Komponentenfestzulegen und weist diese zu.

EinführungInteraktion mit Endpoint Security 1


Siehe auch Informationen zum McAfee-System-Taskleistensymbol auf Seite 10Informationen zu Benachrichtigungen auf Seite 11Verwalten von erkannten Bedrohungen auf Seite 45Informationen zum Endpoint Security-Client auf Seite 12

Informationen zum McAfee-System-TaskleistensymbolÜber das McAfee-Symbol in der Windows-Taskleiste können Sie auf den Endpoint Security-Client undeinige grundlegende Tasks zugreifen.

Das McAfee-Symbol ist je nach konfigurierten Einstellungen möglicherweise nicht verfügbar.

Verwenden Sie das McAfee-Taskleistensymbol für folgende Aufgaben:

Sicherheitsstatusüberprüfen

Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen SieSicherheitsstatus anzeigen aus, um die Seite McAfee-Sicherheitsstatus anzuzeigen.

EndpointSecurity-Client öffnen

Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen Sie McAfeeEndpoint Security aus.

Schutz und Softwaremanuell aktualisieren

Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen SieSicherheit aktualisieren aus.Siehe Zu aktualisierende Elemente auf Seite 22.

ZeitbeschränkteFirewall-Gruppenaktivieren oderanzeigen

Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen Sie ausdem Menü Schnellkonfiguration eine Option aus:• Zeitbeschränkte Firewall-Gruppen aktivieren – aktiviert zeitbeschränkte Gruppen für

einen festgelegten Zeitraum, um den Nicht-Netzwerkzugriff auf dasInternet zuzulassen, bevor Regeln angewendet werden, die den Zugriffbeschränken.

Bei jeder Auswahl dieser Option wird die Zeit für die Gruppenzurückgesetzt.

• Zeitbeschränkte Firewall-Gruppen anzeigen – zeigt die Namen der zeitbeschränktenGruppen und die verbleibende Zeit, für die die einzelnen Gruppen aktivsind, an.

Diese Optionen sind je nach konfigurierten Einstellungen möglicherweisenicht verfügbar.

So erkennen Sie den Status von Endpoint Security am Symbol

Der Status von Endpoint Security lässt sich am Anzeigebild des Symbols ablesen. Bewegen Sie denCursor über das Symbol, um eine Nachricht mit einer Beschreibung des Status anzuzeigen.

1 EinführungInteraktion mit Endpoint Security


Symbol Zeigt Folgendes an...

Endpoint Security schützt Ihr System. Es sind keine Probleme vorhanden.

Endpoint Security erkennt ein Problem mit Ihrer Sicherheit, etwa dass ein Modul oder eineTechnologie deaktiviert ist.• Firewall ist deaktiviert.

• Bedrohungsschutz – Exploit-Schutz, On-Access-Scan oder ScriptScan ist deaktiviert.

Endpoint Security meldet Probleme auf andere Weise, je nach dem Verwaltungstyp.• Selbstverwaltet:

• Eine oder mehrere Technologien sind deaktiviert.

• Eine oder mehrere Technologien antworten nicht.

• Verwaltet:

• Eine oder mehrere Technologien sind deaktiviert, und zwar nicht als Ergebnis einerRichtlinienerzwingung durch den Management-Server oder den EndpointSecurity-Client.

• Eine oder mehrere Technologien antworten nicht.

Wenn ein Problem erkannt wird, zeigt die Seite McAfee-Sicherheitsstatus an, welches Modul oderwelche Technologie deaktiviert ist.

Siehe auch Zu aktualisierende Elemente auf Seite 22

Informationen zu BenachrichtigungenEndpoint Security verwendet zwei Arten von Benachrichtigungen, um Sie über Probleme mit IhremSchutz zu informieren oder Eingaben anzufragen. Einige Benachrichtigungen werden möglicherweisenicht angezeigt, je nach Konfiguration.

Der Vorgang "McTray.exe" muss für Endpoint Security ausgeführt werden, damit Benachrichtigungenangezeigt werden können.

Endpoint Security sendet zwei Arten von Benachrichtigungen:

• Warnungen werden fünf Sekunden lang als Pop-Up-Meldungen über drm McAfee-Symbolangezeigt und dann wieder ausgeblendet.

Warnungen benachrichtigen Sie über erkannte Bedrohungen, etwa Firewall-Eindringungsereignisseoder wenn ein On-Demand-Scan angehalten bzw. fortgesetzt wird. Es sind keine ReaktionenIhrerseits erforderlich.

• Eingabeaufforderungen öffnen eine Seite am unteren Rand Ihres Bildschirms und bleibensolange sichtbar, bis Sie eine Option wählen.



Beispiel:

• Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von Endpoint Securitymöglicherweise eine Aufforderung, den Scan zu verschieben.

• Wenn der On-Access-Scanner eine Bedrohung erkennt, erhalten Sie möglicherweise vonEndpoint Security die Aufforderung, auf die Erkennung zu reagieren.

• Wenn Bedrohungsabwehrdaten eine Datei mit unbekannter Reputation erkennt, werden Sie vonEndpoint Security möglicherweise dazu aufgefordert, die Datei zuzulassen oder zu blockieren.

In Windows 8 und 10 werden Pop-Up-Benachrichtigungen angezeigt, um Sie über Warnungen undAufforderungen zu informieren. Klicken Sie auf die Pop-Up-Benachrichtigung, um sie im Desktopmodusanzuzeigen.

Siehe auch Reagieren auf eine Aufforderung bei erkannter Bedrohung auf Seite 18Reagieren auf eine Scan-Aufforderung auf Seite 19Reagieren auf eine Aufforderung bei Datei-Reputation auf Seite 19

Informationen zum Endpoint Security-ClientMit dem Endpoint Security-Client können Sie den Schutzstatus überprüfen und auf Funktionen aufIhrem Computer zugreifen.

• Optionen im Menü Aktionen bieten Zugriff auf Funktionen.

Einstellungen Konfiguriert Funktionseinstellungen.Diese Menüoption ist verfügbar, wenn eine der folgenden Möglichkeitenzutrifft:

• Der Client-Schnittstellen-Modus auf Vollzugriff gesetzt ist.

• Sie als Administrator angemeldet sind.

Extra.DAT-Dateien laden Lässt Sie eine heruntergeladene EXTRA.DAT-Datei installieren.

Rollback von AMCore Content Setzt den AMCore Content auf eine frühere Version zurück.Diese Menüoption ist verfügbar, wenn eine frühere Version von AMCoreContent auf dem System vorhanden ist und wenn eine der folgendenMöglichkeiten zutrifft:

• Der Client-Schnittstellen-Modus auf Vollzugriff gesetzt ist.

• Sie als Administrator angemeldet sind.

Hilfe Zeigt Hilfe an.

Support-Links Zeigt eine Seite mit Links zu hilfreichen Seiten an wie das McAfeeServicePortal und das Knowledge Center.

Administratoranmeldung Für die Anmeldung als Website-Administrator. (Die Anmeldeinformationendes Administrators sind erforderlich.)Das Standardkennwort ist mcafee.

Diese Menüoption ist verfügbar, wenn der Client-Schnittstellen-Modus aufVollzugriff gesetzt ist. Wenn Sie schon als Administrator angemeldet sind,ist diese Option Administratorabmeldung.

Informationen Zeigt Informationen zu Endpoint Security an.

Beenden Beendet den Endpoint Security-Client.



• Schaltflächen rechts oben auf der Seite bieten schnellen Zugriff auf häufig verwendete Tasks.

Überprüfung Ihres Systems auf Malware mit einem vollständigen Scanoder Schnellscan.

Diese Schaltfläche ist nur verfügbar, wenn das Bedrohungsschutz-Modulinstalliert ist.

Aktualisiert Content-Dateien und Software-Komponenten auf IhremComputer.

Diese Schaltfläche wird möglicherweise nicht angezeigt, je nachKonfiguration.

• Die Schaltflächen links auf der Seite bieten Informationen zu Ihrem Schutz.

Status Bringt Sie zurück zur Status-Hauptseite.

Ereignisprotokoll Zeigt das Protokoll aller Schutz- und Bedrohungsereignisse auf diesem Computeran.

Quarantäne Öffnet den Quarantäne-Manager.

Diese Schaltfläche ist nur verfügbar, wenn das Bedrohungsschutz-Modul installiertist.

• Die Bedrohungszusammenfassung bietet Informationen zu Bedrohungen, die Endpoint Security inIhrem System während der letzten 30 Tage erkannt hat.

Siehe auch Laden einer EXTRA.DAT-Datei auf Seite 29Anmelden als Administrator auf Seite 25Scannen Ihres Computers auf Malware auf Seite 41Manuelles Aktualisieren von Schutz und Software auf Seite 21Anzeigen des Ereignisprotokolls auf Seite 22Verwalten von isolierten Elementen auf Seite 46Verwalten von Endpoint Security auf Seite 25Informationen zur Bedrohungszusammenfassung auf Seite 13

Informationen zur BedrohungszusammenfassungDie Endpoint Security-Client-Statusseite bietet eine Zusammenfassung in Echtzeit von allenBedrohungen, die in Ihrem System während der letzten 30 Tage erkannt wurden.

Wenn neue Bedrohungen erkannt werden, aktualisiert die Statusseite dynamisch im unteren Bereichunter Bedrohungszusammenfassung die Daten.



Die Bedrohungszusammenfassung beinhaltet:

• Datum der letzten eliminierten Bedrohung

• Die zwei häufigsten Bedrohungsvektoren nach Kategorie:

Web Bedrohungen aus Webseiten oder Downloads.

Externes Gerät oder Medien Bedrohungen aus externen Geräten, wie USB, Firewire 1394, eSATA, Band,CD, DVD oder Diskette.

Netzwerk Bedrohungen aus dem Netzwerk (nicht aus Netzwerkdateifreigaben).

Lokales System Bedrohungen aus dem Laufwerk des lokalen Startdateisystems (gewöhnlichC:) oder aus anderen Laufwerken, die nicht unter Externes Gerät oderMedien fallen.

Dateifreigabe Bedrohungen aus einer Netzwerkdateifreigabe.

E-Mail Bedrohungen aus E-Mail-Nachrichten.

Instant Message Bedrohungen durch Instant Messaging.

Unbekannt Bedrohungen, wo der Angriffsvektor nicht ermittelt werden kann (aufgrundeines Fehlers oder anderen Versagens).

• Anzahl der Bedrohungen pro Bedrohungsvektor

Wenn der Endpoint Security-Client den Ereignis-Manager nicht erreichen kann, zeigt EndpointSecurity-Client eine Kommunikationsfehlermeldung an. Starten Sie in diesem Fall Ihr System neu, umdie Bedrohungszusammenfassung anzuzeigen.

Auswirkungen von Einstellungen auf den ClientDie Ihrem Computer zugewiesene Einstellungen für den Client-Schnittstellen-Modus legen fest, aufwelche Module und Funktionen Sie zugreifen können.

Ändern Sie den Client-Schnittstellen-Modus in den Allgemeingültig Einstellungen.

Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee ePO die Änderungen von derSeite Einstellungen überschreiben.

Die Optionen für den Client-Schnittstellen-Modus sind folgende:



Vollzugriff Ermöglicht den Zugriff auf alle Funktionen, darunter:• Aktivieren und Deaktivieren einzelner Module und Funktionen.

• Zugriff auf die Seite Einstellungen, um alle Einstellungen für den EndpointSecurity-Client anzuzeigen oder zu ändern.

Dieser Modus ist die Standardeinstellung für selbstverwaltete Systeme.

Standardzugriff Zeigt den Schutzstatus an und bietet Zugriff auf die meisten Funktionen:• Aktualisiert die Content-Dateien und Software-Komponenten auf Ihrem

Computer (wenn vom Administrator aktiviert).

• Ausführen einer gründlichen Überprüfung aller Bereiche auf Ihrem System(empfohlen, wenn Sie vermuten, dass Ihr Computer infiziert ist).

• Ausführen einer schnellen (zweiminütigen) Überprüfung der für Infektionenbesonders anfälligen Systembereiche.

• Zugreifen auf das Ereignisprotokoll.

• Verwalten der Elemente in der Quarantäne.

Dieser Modus ist die Standardeinstellung für durch McAfee ePO oder McAfeeePO Cloud verwaltete Systeme.

Wenn der Schnittstellenmodus auf Standardzugriff gesetzt ist, können Sie sich alsAdministrator anmelden, um auf alle Funktionen, einschließlich Einstellungen,zuzugreifen.

Client-Benutzeroberflächesperren

Erfordert ein Kennwort für den Zugriff auf den Client.Das Standardkennwort ist mcafee.

Sobald Sie die Client-Schnittstelle entsperrt haben, können Sie auf alleFunktionen zugreifen.

Wenn Sie nicht auf den Endpoint Security-Client oder bestimmte Tasks und Funktionen zugreifenkönnen, die Sie für Ihre Arbeit benötigen, wenden Sie sich an Ihren Administrator.

Siehe auch Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit auf Seite 31

Auswirkungen der Module auf den Client Einige Aspekte des Clients sind möglicherweise nicht verfügbar, je nach den auf Ihrem Computerinstallierten Modulen.

Diese Funktionen sind nur verfügbar, wenn der Bedrohungsschutz installiert ist:

•-Schaltfläche

• Quarantäne-Schaltfläche



Die auf dem System installierten Funktionen entscheiden über die angezeigten Funktionen:

• Im Dropdown-Menü Ereignisprotokoll Nach Modul filtern.

• Auf der Seite Einstellungen.

Allgemeingültig Wird angezeigt, wenn ein Modul installiert ist.

Bedrohungsschutz Wird nur angezeigt, wenn der Bedrohungsschutz installiert ist.

Firewall Wird nur angezeigt, wenn die Firewall installiert ist.

Webkontrolle Wird nur angezeigt, wenn die Webkontrolle installiert ist.

Bedrohungsabwehrdaten Wird nur angezeigt, wenn Bedrohungsabwehrdaten und derBedrohungsschutz installiert sind.

Das Bedrohungsabwehrdaten-Modul wird nur auf von McAfee ePOverwalteten Systemen unterstützt.

Für Bedrohungsabwehrdaten muss Bedrohungsschutz installiert sein.

Je nach Client-Schnittstellen-Modus und wie der Administrator Ihren Zugriff konfiguriert hat, sind einigeoder alle Funktion möglicherweise nicht verfügbar.

Siehe auch Auswirkungen von Einstellungen auf den Client auf Seite 14



2 Verwenden der Endpoint Security-Client

Verwenden Sie den Client zum Ausführen der meisten Funktionen wie System-Scans und Verwaltenvon isolierten Elementen im Standardzugriffsmodus.

Inhalt Öffnen des Endpoint Security-Client Hilfe anfordern Reagieren auf Aufforderungen Informationen zu Ihrem Schutz Manuelles Aktualisieren von Schutz und Software Anzeigen des Ereignisprotokolls Verwalten von Endpoint Security

Öffnen des Endpoint Security-ClientÖffnen Sie den Endpoint Security-Client, um den Status der auf dem Computer installiertenSchutzfunktionen anzuzeigen.

Wenn der Schnittstellenmodus auf Client-Benutzeroberfläche sperren eingestellt ist, müssen Sie dasAdministratorkennwort eingeben, um den Endpoint Security-Client zu öffnen.

Vorgehensweise1 Verwenden Sie eine der folgenden Methoden zur Anzeige vom Endpoint Security-Client:

• Klicken Sie mit der rechten Maustaste auf das System-Taskleistensymbol, und wählen Sie dannMcAfee Endpoint Security.

• Wählen Sie Start | Alle Programme | McAfee | McAfee Endpoint Securityaus.

• Starten Sie unter Windows 8 und 10 die McAfee Endpoint Security-App.

1 Drücken Sie die Windows-Taste.

2 Geben Sie im Suchfeld McAfee Endpoint Security ein, und doppelklicken Sie dann auf dieMcAfee Endpoint Security-App oder tippen Sie darauf.

2 Geben Sie auf Aufforderung auf der Seite Administratoranmeldung das Administratorkennwort ein, undklicken Sie dann auf Anmelden.

Der Endpoint Security-Client wird im Schnittstellenmodus geöffnet, den der Administrator konfigurierthat.

Siehe auch Entsperren der Client-Schnittstelle auf Seite 26

2


Hilfe anfordernBei der Arbeit auf dem Client können Sie Hilfethemen entweder über die Menüoption Hilfe oder überdas Symbol ? aufrufen.

Vorgehensweise1 Öffnen Sie den Endpoint Security-Client.

2 Je nach der Seite, auf der Sie sich befinden:

• Seiten Status, Ereignisprotokoll und Quarantäne: Wählen Sie im Menü Aktion Hilfe.

• Seiten Einstellungen, Aktualisierung, System scannen, Roll Back von AMCore Content und EXTRA.DAT-Dateien laden:Klicken Sie auf ? auf der Benutzeroberfläche.

Reagieren auf AufforderungenWenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie je nach Konfigurierung derEinstellungen von Endpoint Security möglicherweise eine Aufforderung, per Eingabe fortzufahren.

Aufgaben• Reagieren auf eine Aufforderung bei erkannter Bedrohung auf Seite 18

Wenn ein Scanner eine Bedrohung erkennt, werden Sie je nach den konfiguriertenEinstellungen möglicherweise von Endpoint Security aufgefordert, per Eingabe fortzufahren.

• Reagieren auf eine Scan-Aufforderung auf Seite 19Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von EndpointSecurity möglicherweise eine Aufforderung, per Eingabe fortzufahren. Die Aufforderungwird nur angezeigt, wenn der Scan so konfiguriert ist, dass Sie den Scan verschieben,anhalten, fortsetzen oder abbrechen dürfen.

• Reagieren auf eine Aufforderung bei Datei-Reputation auf Seite 19Wenn versucht wird, eine Datei mit einer bestimmten Reputation auf Ihrem Systemauszuführen, erhalten Sie von Endpoint Security möglicherweise eine Aufforderung, perEingabe fortzufahren. Die Eingabeaufforderung wird nur angezeigt, wenn dieBedrohungsabwehrdaten entsprechend konfiguriert sind.

Reagieren auf eine Aufforderung bei erkannter BedrohungWenn ein Scanner eine Bedrohung erkennt, werden Sie je nach den konfigurierten Einstellungenmöglicherweise von Endpoint Security aufgefordert, per Eingabe fortzufahren.


VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.

• Wählen Sie auf der Seite On-Access-Scan Optionen, um erkannte Bedrohungen zu verwalten.

Sie können die Scan-Seite erneut öffnen, um erkannte Bedrohungen jederzeit zu verwalten.

Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der Endpoint Security-Dienst oder dasSystem neu gestartet wird.

Siehe auch Verwalten von erkannten Bedrohungen auf Seite 45

2 Verwenden der Endpoint Security-ClientHilfe anfordern


Reagieren auf eine Scan-AufforderungWenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von Endpoint Securitymöglicherweise eine Aufforderung, per Eingabe fortzufahren. Die Aufforderung wird nur angezeigt,wenn der Scan so konfiguriert ist, dass Sie den Scan verschieben, anhalten, fortsetzen oder abbrechendürfen.

Wenn Sie keine Option auswählen, startet der Scan automatisch.

Nur in verwalteten Systemem: Wenn der Scan nur ausgeführt wird, wenn der Computer im Leerlaufist, zeigt Endpoint Security ein Dialogfeld an, wenn der Scan angehalten wurde. Bei entsprechenderKonfiguration können Sie angehaltene Scans auch fortsetzen oder sie zurücksetzen und nur ausführenlassen, wenn sich das System im Leerlauf befindet.



• Wählen Sie bei Aufforderung eine der folgenden Optionen aus.

Die angezeigten Optionen sind abhängig von der Scan-Konfiguration.

Jetzt scannen Startet de Scan sofort.

Scan anzeigen Zeigt Erkennungen für laufende Scans an.

Scan anhalten Hält den Scan an. Je nach Konfiguration wird der Scan beim Klicken auf Scan anhaltenmöglicherweise zurückgesetzt und nur ausgeführt, wenn sich das System imLeerlauf befindet. Klicken Sie auf Scan fortsetzen, um den Scan an der Stellefortzusetzen, an der die Unterbrechung stattgefunden hat.

Scan fortsetzen Setzt einen angehaltenen Scan fort.

Scan abbrechen Bricht den Scan ab.

Scan verschieben Verschiebt den Scan für die festgelegte Anzahl an Stunden.

Optionen für den geplanten Scan legen fest, wie oft Sie den Scan eine Stunde langverschieben können. Sie können den Scan möglicherweise öfter als ein Malverschieben.

Schließen Schließt die Scan-Seite.

Wenn der Scanner eine Bedrohung erkennt, werden Sie je nach den konfigurierten Einstellungenmöglicherweise von Endpoint Security aufgefordert, eine Eingabe vorzunehmen, um fortzufahren.

Reagieren auf eine Aufforderung bei Datei-ReputationWenn versucht wird, eine Datei mit einer bestimmten Reputation auf Ihrem System auszuführen,erhalten Sie von Endpoint Security möglicherweise eine Aufforderung, per Eingabe fortzufahren. DieEingabeaufforderung wird nur angezeigt, wenn die Bedrohungsabwehrdaten entsprechend konfiguriertsind.


Der Administrator konfiguriert den Reputationsschwellenwert, bei dem eine Eingabeaufforderungangezeigt wird. Ist der Reputationsschwellenwert beispielsweise "Unbekannt", erhalten Sie vonEndpoint Security Eingabeaufforderungen für sämtliche Dateien mit unbekannter Reputation unddarunter.

Verwenden der Endpoint Security-ClientReagieren auf Aufforderungen 2


Wenn Sie keine Option auswählen, führen die Bedrohungsabwehrdaten die vom Administratorkonfigurierte Standardaktion aus.

Die Eingabeaufforderung, Zeitüberschreitung und Standardaktion hängen von der Konfiguration derBedrohungsabwehrdaten ab.



1 (Optional) Geben Sie in der Aufforderung eine Nachricht ein, die an den Administrator gesendetwerden soll.

Sie können diese Nachricht beispielsweise dazu verwenden, um die Datei zu beschreiben oder umIhre Entscheidung, die Datei auf Ihrem System zuzulassen oder zu blockieren, zu erläutern.

2 Klicken Sie auf Zulassen oder Blockieren

Zulassen Lässt die Datei zu.

Blockieren Blockiert die Datei auf Ihrem System.

Damit die Bedrohungsabwehrdaten für die Datei keine Aufforderung mehr anzeigt, wählen Sie DieseEntscheidung speichern aus.

Die Bedrohungsabwehrdaten führen die von Ihnen gewählte Aktion bzw. die Standardaktion durch undschließen das Aufforderungsfenster.

Informationen zu Ihrem SchutzSie können Informationen zu Ihrem Endpoint Security-Schutz abrufen, etwa zu Verwaltungstypen,Schutzmodulen, Funktionen, Status, Versionsnummern und Lizenzen.

Vorgehensweise

1 Öffnen Sie den Endpoint Security-Client.

2 Wählen Sie im Menü Aktion Informationen.

3 Klicken Sie links auf den Namen eines Moduls oder einer Funktion, um Informationen zum Elementanzuzeigen.

4 Klicken Sie auf die Browser-Schaltfläche Schließen, um die Seite Informationen zu schließen.

Siehe auch Verwaltungstypen auf Seite 20Öffnen des Endpoint Security-Client auf Seite 17

VerwaltungstypenDer Verwaltungstyp zeigt an, wie Endpoint Security verwaltet wird.


2 Verwenden der Endpoint Security-ClientInformationen zu Ihrem Schutz


Verwaltungstyp Beschreibung

McAfee ePolicy Orchestrator Ein Administrator verwaltet Endpoint Security mithilfe von McAfeeePO (lokal).

McAfee ePolicy OrchestratorCloud

Ein Administrator verwaltet Endpoint Security mithilfe von McAfeeePO Cloud.

Selbstverwaltet Endpoint Security wird lokal mithilfe des Endpoint Security-Clientverwaltet. Dieser Modus wird auch als nicht verwaltet oderStandalone bezeichnet.

Manuelles Aktualisieren von Schutz und SoftwareSie können je nach Konfigurierung der Einstellungen manuell nach Aktualisierungen fürContent-Dateien und Software-Komponenten suchen und diese über den Endpoint Security-Clientherunterladen.Manuelle Aktualisierungen werden als On-Demand-Aktualisierungen bezeichnet.

Sie können auch manuelle Aktualisierungen über das McAfee-Taskleistensymbol durchführen. WeitereInformationen finden Sie unter Informationen zum McAfee-System-Taskleistensymbol auf Seite 10.

Endpoint Security unterstützt kein manuelles Abrufen und Kopieren aktualisierter Content-Dateien indas Client-System. Wenn Sie Unterstützung beim Aktualisieren auf eine bestimmte Inhaltsversionbenötigen, wenden Sie sich an den McAfee-Support .


2Klicken Sie auf .

Wenn nicht im Client angezeigt wird, können Sie die Schaltfläche in denEinstellungen aktivieren. Weitere Informationen finden Sie unter Konfigurieren desStandardverhaltens für Aktualisierungen auf Seite 35.

Der Endpoint Security-Client sucht nach Aktualisierungen.

• Wenn Sie die Aktualisierung abbrechen möchten, wählen Sie Abbrechen.

Diese Option ist nur auf selbstverwalteten und von McAfee ePO verwalteten Systemen verfügbar.

• Wenn Ihr System auf dem neuesten Stand ist, wird die Seite Keine Aktualisierungen verfügbarangezeigt sowie das Datum und die Zeit der letzten Aktualisierung.

• Nach Abschluss der Aktualisierung werden auf der Seite das aktuelle Datum und die aktuelleUhrzeit als Zeitpunkt der letzten Aktualisierung angezeigt.

Alle Meldungen oder Fehler werden im Bereich Meldungen angezeigt.Zeigen Sie das Protokoll PackageManager_Activity.log oder PackageManager_Debug.log an.

3 Klicken Sie auf Schließen, um die Aktualisierungsseite zu schließen.

Siehe auch So bleibt Ihr Schutz auf dem neuesten Stand auf Seite 8Informationen zu Protokolldateien auf Seite 23Zu aktualisierende Elemente auf Seite 22Öffnen des Endpoint Security-Client auf Seite 17

Verwenden der Endpoint Security-ClientManuelles Aktualisieren von Schutz und Software 2


http://mysupport.mcafee.com

Zu aktualisierende ElementeEndpoint Security aktualisiert Sicherheitsinhalte, Software (HotFixes und Patches) undRichtlinieneinstellungen je nach Verwaltungstyp unterschiedlich.

Bei von McAfee ePO verwalteten und selbstverwalteten Systemen lässt sich die Schaltfläche

in Bezug auf Sichtbarkeit und Verhalten konfigurieren. WeitereInformationen finden Sie unter Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite37.

Verwaltungstyp Aktualisierungsmethode Aktualisierungen

McAfee ePO Option Sicherheit aktualisieren imMcAfee-Taskleistenmenü

Nur Inhalt und Software, keineRichtlinieneinstellungen

Schaltfläche imEndpoint Security-Client

Inhalt, Software undRichtlinieneinstellungen, sofernkonfiguriert

McAfee ePO Cloud Option Sicherheit aktualisieren imMcAfee-Taskleistenmenü

Inhalt, Software undRichtlinieneinstellungen



Selbstverwaltet Option Sicherheit aktualisieren imMcAfee-Taskleistenmenü

Nur Inhalt und Software



Anzeigen des Ereignisprotokolls In den Aktivitäts- und Fehlerbehebungsprotokollen wird ein Datensatz mit Ereignissen gespeichert, diein dem von McAfee geschützten System auftreten. Sie können das Ereignisprotokoll im EndpointSecurity-Client anzeigen.

Vorgehensweise

Wählen Sie für Hilfe im Menü Aktion Hilfe.


2 Klicken Sie links auf der Seite auf Ereignisprotokoll.

Auf der Seite werden alle Ereignisse angezeigt, die in den letzten 30 Tagen von Endpoint Securityauf dem System protokolliert wurden.

Wenn der Endpoint Security-Client den Ereignis-Manager nicht erreichen kann, wird eineKommunikationsfehlermeldung angezeigt. Starten Sie in diesem Fall das System neu, um dasEreignisprotokoll anzuzeigen.

3 Wählen Sie im oberen Bereich ein Ereignis aus, um im unteren Bereich die Details anzuzeigen.

Zum Ändern der relativen Größen der Bereiche klicken Sie auf das Sash-Widget zwischen denBereichen, und ziehen Sie es an die gewünschte Stelle.

2 Verwenden der Endpoint Security-ClientAnzeigen des Ereignisprotokolls


4 Auf der Ereignisprotokoll-Seite können Sie Ereignisse sortieren, suchen, filtern oder erneut laden.

Die angezeigten Optionen sind abhängig von der Scan-Konfiguration.

Ziel Schritte

Sortieren der Ereignisse nachDatum, Funktionen, ausgeführterAktion und Schweregrad

Klicken Sie auf die Tabellenspaltenüberschrift.

Durchsuchen desEreignisprotokolls

Geben Sie den Suchtext in das Suchfeld ein, und drücken Siedie Eingabetaste, oder klicken Sie auf Suchen.Bei der Suche wird die Groß-/Kleinschreibung beachtet. AlleFelder des Ereignisprotokolls werden nach dem Suchtextdurchsucht. In der Ereignisliste werden alle Elemente mit dementsprechenden Text angezeigt.

Zum Abbrechen der Suche und Anzeigen aller Ereignisseklicken Sie im Suchfeld auf das x.

Filtern von Ereignissen nachSchweregrad oder Modul

Wählen Sie in der Dropdown-Filterliste eine Option.Wählen Sie zum Entfernen des Filters und Anzeigen allerEreignisse Alle Ereignisse anzeigen aus der Dropdown-Liste.

Aktualisieren derEreignisprotokoll-Anzeige mit neuenEreignissen

Klicken Sie auf .

Öffnen des Ordners mit denProtokolldateien

Klicken Sie auf Protokollordner anzeigen.

5 Navigieren Sie innerhalb des Ereignisprotokolls.

Ziel Schritte

Anzeigen der vorherigen Seite mitEreignissen

Klicken Sie auf Vorherige Seite.

Anzeigen der nächsten Seite mitEreignissen

Klicken Sie auf Nächste Seite.

Anzeigen einer bestimmten Seite imProtokoll

Geben Sie eine Seitenzahl ein, und drücken Sie dieEingabetaste, oder klicken Sie auf Start.

Standardmäßig zeigt das Ereignisprotokoll 20 Ereignisse pro Seite an. Zum Anzeigen weitererEreignisse pro Seite wählen Sie eine Option aus der Dropdown-Liste Ereignisse pro Seite.

Siehe auch Informationen zu Protokolldateien auf Seite 23Öffnen des Endpoint Security-Client auf Seite 17

Informationen zu ProtokolldateienDie Aktivitäts-, Fehler- und Fehlerbehebungsprotokolldateien zeichnen Ereignisse auf, die in Systemenmit aktivierter Endpoint Security auftreten. Konfigurieren Sie die Protokollierung in denAllgemeingültig Einstellungen.

Aktivitätsprotokolldateien werden immer in der von der Ländereinstellung des Systems festgelegtenSprache angezeigt.

Alle Aktivitäts- und Fehlerbehebungsprotokolle werden in Abhängigkeit Ihres Betriebssystems in einemder folgenden Standardverzeichnisse gespeichert.

Verwenden der Endpoint Security-ClientAnzeigen des Ereignisprotokolls 2


Betriebssystem Standardspeicherort

Microsoft Windows 10 %ProgramData%\McAfee\Endpoint Security\Logs

Microsoft Windows 8 und 8.1

Microsoft Windows 7

Microsoft Vista C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Endpoint Security\Logs

Jedes Modul und jede Funktion oder Technologie erstellt für die Aktivitäts- oderFehlerbehebungsprotokollierung eine separate Datei. Alle Module protokollieren Fehler in einergemeinsamen Datei: EndpointSecurityPlatform_Errors.log.

Durch das Aktivieren der Protokollierung der Fehlerbehebung für ein Modul wird diese auch für dieFunktionen des Moduls Allgemeingültig aktiviert, etwa für den Selbstschutz.

Tabelle 2-1 Protokolldateien

Modul Funktion oder Technologie Dateiname

Allgemeingültig EndpointSecurityPlatform_Activity.log

EndpointSecurityPlatform_Debug.log

Selbstschutz SelfProtection_Activity.log

SelfProtection_Debug.log

Aktualisierungen PackageManager_Activity.log

PackageManager_Debug.log

Fehler EndpointSecurityPlatform_Errors.log

BedrohungsschutzDurch das Aktivieren derProtokollierung derFehlerbehebung für eineBedrohungsschutz-Technologiewird diese auch für denEndpoint Security-Clientaktiviert.

ThreatPrevention_Activity.log

ThreatPrevention_Debug.log

Zugriffsschutz AccessProtection_Activity.log

AccessProtection_Debug.log

Exploit-Schutz ExploitPrevention_Activity.log

ExploitPrevention_Debug.log

On-Access-Scanner OnAccessScan_Activity.log

OnAccessScan_Debug.log

On-Demand-Scanner• Schnellscan

• Vollständiger Scan

• Scan per Kontextmenü

OnDemandScan_Activity.log

OnDemandScan_Debug.log

Endpoint Security-Client MFEConsole_Debug.log

Firewall Firewall_Activity.log

Firewall_Debug.log

2 Verwenden der Endpoint Security-ClientAnzeigen des Ereignisprotokolls


Tabelle 2-1 Protokolldateien (Fortsetzung)

Modul Funktion oder Technologie Dateiname

FirewallEventMonitor.logProtokolliert blockierten undzugelassenen Netzwerkverkehr, wennkonfiguriert.

Webkontrolle WebControl_Activity.log

WebControl_Debug.log

BedrohungsabwehrdatenDurch das Aktivieren derProtokollierung derFehlerbehebung für eineBedrohungsschutz-Technologiewird diese auch für dieBedrohungsabwehrdatenaktiviert.

ThreatIntelligence_Activity.log

ThreatIntelligence_Debug.log

Standardmäßig werden Installationsprotokolldateien in folgenden Ordnern gespeichert:

Selbstverwaltet %TEMP%\McAfeeLogs (Temp-Ordner des Windows-Benutzers)

Verwaltet TEMP\McAfeeLogs (Temp-Ordner des Windows-Systems)

Verwalten von Endpoint SecurityAls Administrator können Sie Endpoint Security über den Endpoint Security-Client verwalten. Siekönnen auch Funktionen deaktivieren und aktivieren, Content-Dateien verwalten, das Verhalten derClient-Benutzeroberfläche festlegen, Tasks planen und Moduleinstellungen konfigurieren.


Siehe auch Anmelden als Administrator auf Seite 25Entsperren der Client-Schnittstelle auf Seite 26Deaktivieren und Aktivieren von Funktionen auf Seite 26Ändern der AMCore Content-Version auf Seite 27Verwenden von EXTRA.DAT-Dateien auf Seite 28Konfigurieren gemeinsamer Einstellungen auf Seite 29

Anmelden als AdministratorWenn der Schnittstellenmodus für den Endpoint Security-Client auf Standardzugriff festgelegt ist, könnenSie sich als Administrator anmelden, um auf alle Einstellungen zuzugreifen.

Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Standardzugriff eingestelltsein.

Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security 2


Vorgehensweise



2 Wählen Sie im Menü Aktion die Option Administratoranmeldung aus.

3 Geben Sie im Feld Kennwort das Administratorkennwort ein, und klicken Sie dann auf Anmeldung.

Nun können Sie auf alle Funktionen des Endpoint Security-Client zugreifen.

Zum Abmelden wählen Sie Aktion | Administratorabmeldung. Der Client kehrt zumSchnittstellenmodusStandardzugriff zurück.

Entsperren der Client-SchnittstelleWenn die Schnittstelle für Endpoint Security-Client gesperrt ist, können Sie die Schnittstelle mit demAdministratorkennwort entsperren, um auf alle Einstellungen zuzugreifen.

Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Client-Benutzeroberflächesperren eingestellt sein.


2 Geben Sie auf der Seite Administratoranmeldung im Feld Kennwort das Administratorkennwort ein, undklicken Sie dann auf Anmelden.

Endpoint Security-Client wird geöffnet, und Sie können jetzt auf alle Funktionen des Clients zugreifen.

Wählen Sie zum Abmelden und Schließen des Clients im Menü Aktion Administratorabmeldung.

Deaktivieren und Aktivieren von FunktionenAls Administrator können Sie Endpoint Security-Funktionen über den Endpoint Security-Clientdeaktivieren und aktivieren.

Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.

Die Status-Seite zeigt den aktivierten Status des Funktionsmoduls, der möglicherweise nicht dentatsächlichen Status der Funktion wiedergibt. Sie können den Status jeder Funktion auf derEinstellungen-Seite. Wenn beispielsweise die Einstellung ScriptScan aktivieren nicht erfolgreich angewendetwird, ist der Status möglicherweise (Status: Deaktiviert).

2 Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security




2 Klicken Sie auf der Status-Hauptseite auf den Modulnamen (wie Threat Prevention oder Firewall).

Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf denModulnamen.

3 Wählen Sie die Option Aktivieren für Modul oder Funktion.

Das Aktivieren der Bedrohungsschutz-Funktionen aktiviert das Bedrohungsschutz-Modul.

Siehe auch Anmelden als Administrator auf Seite 25

Ändern der AMCore Content-Version Verwenden Sie Endpoint Security-Client zum Ändern der Version von AMCore Content auf IhremSystem.


Endpoint Security speichert die aktuell geladene Content-Datei und die vorherigen zwei Versionen imOrdner Programme\Gemeinsame Dateien\McAfee\Engine\content. Bei Bedarf können Sie eine frühereVersion wiederherstellen.



2 Wählen Sie im Menü Aktion Roll Back von AMCore Content.

3 Wählen Sie aus dem Dropdown-Menü die zu ladende Version aus.

4 Klicken Sie auf Übernehmen.

Die neuen Informationen zu Erkennungen in der geladenen AMCore Content-Datei werden umgehendwirksam.

Siehe auch Funktionsweise von Content-Dateien auf Seite 9Anmelden als Administrator auf Seite 25



Verwenden von EXTRA.DAT-DateienSie können eine EXTRA.DAT-Datei installieren, um Ihr System vor einem gravierendenMalware-Ausbruch zu schützen, bis die nächste geplante AMCore Content-Aktualisierung veröffentlichtwird.

Aufgaben• Herunterladen von EXTRA.DAT-Dateien auf Seite 28

Um eine EXTRA.DAT-Datei herunterzuladen, klicken Sie auf den Download-Link, den Sievon McAfee Labs erhalten haben.

• Laden einer EXTRA.DAT-Datei auf Seite 29Verwenden Sie zum Installieren der heruntergeladenen EXTRA.DAT-Datei EndpointSecurity-Client.

Siehe auch Informationen zu EXTRA.DAT-Dateien auf Seite 28

Informationen zu EXTRA.DAT-DateienWenn neue Malware entdeckt wird und eine zusätzliche Erkennung nötig ist, veröffentlicht McAfee Labseine EXTRA.DAT-Datei. EXTRA.DAT-Dateien enthalten Informationen, die Bedrohungsschutz zurVerarbeitung der neuen Malware verwendet wird.

Sie können EXTRA.DAT-Dateien für bestimmte Bedrohungen von der WebsiteMcAfee Labs Extra.DATRequest Page herunterladen.

Bedrohungsschutz unterstützt nur die Verwendung einer EXTRA.DAT-Datei zu einer Zeit.

Jede EXTRA.DAT-Datei hat ein integriertes Ablaufdatum. Wenn die EXTRA.DAT-Datei geladen wird,wird das Ablaufdatum mit dem Build-Datum des auf dem System installierten AMCore Contentverglichen. Wenn das Build-Datum des AMCore Content neuer ist als dasEXTRA.DAT-Datei-Ablaufdatum, wird die EXTRA.DAT-Datei als abgelaufen angesehen und vom Modulnicht mehr geladen und verwendet. Während der nächsten Aktualisierung wird die EXTRA.DAT-Dateivom System entfernt.

Wenn die nächste Aktualisierung von AMCore Content die EXTRA.DAT-Signatur enthält, wird dieEXTRA.DAT-Datei entfernt.

Endpoint Security speichert Extra.DAT-Dateien im Ordner c:\Program Files\Common Files\McAfee\Engine\content\avengine\extradat.

Herunterladen von EXTRA.DAT-DateienUm eine EXTRA.DAT-Datei herunterzuladen, klicken Sie auf den Download-Link, den Sie von McAfeeLabs erhalten haben.

Vorgehensweise1 Klicken Sie auf den Download-Link, geben Sie einen Speicherort für die EXTRA.DAT-Datei an, und

klicken Sie dann auf Speichern.

2 Dekomprimieren Sie gegebenenfalls die EXTRA.ZIP-Datei.

3 Laden Sie die EXTRA.DAT-Datei mit Endpoint Security-Client.



https://www.webimmune.net/extra/getextra.aspx

https://www.webimmune.net/extra/getextra.aspx

Laden einer EXTRA.DAT-Datei Verwenden Sie zum Installieren der heruntergeladenen EXTRA.DAT-Datei Endpoint Security-Client.




2 Wählen Sie im Menü Aktion EXTRA.DAT-Dateien laden.

3 Klicken Sie aufDurchsuchen, navigieren Sie zu dem Speicherort, in den die EXTRA.DAT-Dateiheruntergeladen wurde, und klicken Sie dann auf Öffnen.

4 Klicken Sie auf Übernehmen.

Die neuen Informationen zu Erkennungen in der EXTRA.DAT-Datei werden umgehend wirksam.


Konfigurieren gemeinsamer EinstellungenKonfigurieren Sie im Allgemeingültig-Modul Einstellungen, die auf alle Module und Funktionen vonEndpoint Security zutreffen. Zu diesen Einstellungen gehören Benutzeroberflächensicherheit undSpracheinstellungen für Endpoint Security-Client, Protokollierung sowie Einstellungen für denProxy-Server für McAfee GTI und Aktualisierungskonfigurationen.

Aufgaben• Schützen von Endpoint Security-Ressourcen auf Seite 30

Malware versucht bei einem Angriff oft zunächst, Ihre Systemsicherheitssoftware zudeaktivieren. Konfigurieren Sie den Endpoint Security-Selbstschutz in den Einstellungen desAllgemeingültig, damit Endpoint Security-Dienste und -Dateien nicht beendet oder geändertwerden können.

• Konfigurieren von Protokollierungseinstellungen auf Seite 30Konfigurieren Sie die Endpoint Security-Protokollierung in denAllgemeingültig-Einstellungen.

• Zulassen zertifikatbasierter Authentifizierung auf Seite 31Mit Zertifikaten kann ein Anbieter Code innerhalb von McAfee-Prozessen ausführen.

• Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit auf Seite 31Konfigurieren Sie das Schnittstellenkennwort und die Anzeigeoptionen für EndpointSecurity-Client in den Allgemeingültig-Einstellungen.

• Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI auf Seite 32Legen Sie Proxy-Server-Optionen für das Abrufen der McAfee GTI-Reputation in denEinstellungen für das Allgemeingültig fest.



Schützen von Endpoint Security-RessourcenMalware versucht bei einem Angriff oft zunächst, Ihre Systemsicherheitssoftware zu deaktivieren.Konfigurieren Sie den Endpoint Security-Selbstschutz in den Einstellungen des Allgemeingültig, damitEndpoint Security-Dienste und -Dateien nicht beendet oder geändert werden können.


Für Benutzer, Administratoren, Entwickler oder Sicherheitsexperten sollte es nie notwendig sein, denEndpoint Security-Schutz in ihren Systemen zu deaktivieren.



2 Wählen Sie im Menü Aktion Einstellungen aus.

3 Klicken Sie auf Erweiterte anzeigen.

4 Prüfen Sie unter Selbstschutz, dass Selbstschutz aktiviert ist.

5 Legen Sie die Aktion für jede der folgenden Endpoint Security-Ressourcen fest:

• Dateien und Ordner – Verhindert, dass die Benutzer die Datenbanken, Binärdateien, Dateien für diesichere Suche und Konfigurationsdateien von McAfee ändern.

• Registrierung – Verhindert, dass die Benutzer Systeme die Registrierungsstruktur undCOM-Komponenten von McAfee ändern oder eine Deinstallation mithilfe des Registrierungswertsdurchführen.

• Prozesse – Verhindert, dass McAfee-Prozesse angehalten werden.

6 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.


Konfigurieren von ProtokollierungseinstellungenKonfigurieren Sie die Endpoint Security-Protokollierung in den Allgemeingültig-Einstellungen.








4 Konfigurieren Sie die Einstellungen der Client-Protokollierung auf der Seite.


Siehe auch Informationen zu Protokolldateien auf Seite 23Anmelden als Administrator auf Seite 25

Zulassen zertifikatbasierter AuthentifizierungMit Zertifikaten kann ein Anbieter Code innerhalb von McAfee-Prozessen ausführen.

Wenn ein Prozess erkannt wird, wird die Zertifikattabelle mit folgenden Daten befüllt: Anbieter,Antragsteller und Öffentlicher Schlüssel SHA-1.

Diese Einstellung kann zu Kompatibilitätsproblemen und weniger Sicherheit führen.

Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.

Vorgehensweise




4 Wählen Sie im Abschnitt Zertifikate die Option Zulassen aus.


Die Zertifikatinformationen werden in der Tabelle angezeigt.

Konfigurieren der Einstellungen für die Client-SchnittstellensicherheitKonfigurieren Sie das Schnittstellenkennwort und die Anzeigeoptionen für Endpoint Security-Client inden Allgemeingültig-Einstellungen.


Ändern Sie diese Einstellungen mit Vorsicht, weil Benutzer damit ihre Sicherheitskonfiguration ändernkönnen, sodass Systeme ungeschützt vor Malware-Angriffen sind.




3 Konfigurieren Sie die Einstellungen für den Client-Schnittstellen-Modus auf der Seite.


Siehe auch Auswirkungen beim Einrichten eines Administratorkennworts auf Seite 32Anmelden als Administrator auf Seite 25



Auswirkungen beim Einrichten eines AdministratorkennwortsWenn Sie den Schnittstellenmodus als Standardzugriff einrichten, müssen Sie auch einAdministratorkennwort festlegen.Das Festlegen eines Administratorkennworts auf dem Endpoint Security-Client hat Auswirkungen fürfolgende Benutzer:

Nicht-Administratoren(Benutzer ohneAdministratorrechte)

Nicht-Administratoren können:

• Einige Konfigurationsparameter anzeigen.

• Scans ausführen.

• Suchen Sie nach Aktualisierungen (wenn aktiviert).

• Die Quarantäne anzeigen.

• Das Ereignisprotokoll anzeigen.

• Zugreifen auf die Seite Einstellungen, um Firewall-Regelnanzuzeigen oder zu ändern (wenn aktiviert).

Nicht-Administratoren können nicht:

• Konfigurationsparameter ändern.

• anzeigen, erstellen, löschen oder ändern.Eine Ausnahme ist das Anzeigen oder Ändern von Firewall-Regeln(wenn aktiviert).

Administratoren(Benutzer mitAdministratorrechten)

Administratoren müssen das Kennwort eingeben, um auf diegeschützten Bereiche zuzugreifen und Einstellungen zu ändern.

Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI Legen Sie Proxy-Server-Optionen für das Abrufen der McAfee GTI-Reputation in den Einstellungen fürdas Allgemeingültig fest.






4 Konfigurieren Sie auf der Seite die Proxy-Server für McAfee GTI-Einstellungen.


Siehe auch Funktionsweise von McAfee GTI auf Seite 32Anmelden als Administrator auf Seite 25

Funktionsweise von McAfee GTIWenn Sie McAfee GTI für den On-Access- oder On-Demand-Scanner aktivieren, verwendet derScanner eine Heuristik zur Überprüfung auf verdächtige Dateien. Der McAfee GTI-Server speichert



Site-Bewertungen und Berichte für die Webkontrolle. Wenn Sie die Webkontrolle so konfigurieren, dassheruntergeladene Dateien gescannt werden, werden verdächtige Dateien vom Scanner mithilfe dervon McAfee GTI bereitgestellten Datei-Reputation überprüft.

Der Scanner sendet Fingerabdrücke von Proben, auch Hashes genannt, an einen zentralenDatenbankserver, der von McAfee Labs gehostet wird, um festzustellen, ob es sich um Malwarehandelt. Durch Senden der Hashes kann die Erkennung schneller zur Verfügung gestellt werden als inder nächsten Content-Datei-Aktualisierung, wenn McAfee Labs die Aktualisierung veröffentlicht.

Sie können die Sensibilitätsstufe konfigurieren, die von McAfee GTI zur Feststellung verwendetwerden, ob es sich bei der erkannten Probe um Malware handelt. Je höher die Sensibilitätsstufe, destohöher die Anzahl der Malware-Erkennungen. Bei mehr Erkennungen wird jedoch auch die Anzahl derFalse-Positives größer. Die McAfee GTI-Sensibilitätsstufe für den Bedrohungsschutz ist standardmäßigauf Mittel eingestellt. Konfigurieren Sie die Sensibilitätsstufe für jeden Scanner in denBedrohungsschutz-Einstellungen. Die McAfee GTI-Sensibilitätsstufe für die Webkontrolle iststandardmäßig auf Sehr hoch eingestellt. Konfigurieren Sie die Sensibilitätsstufe für das Scannen vonDatei-Downloads in den Einstellungen der Webkontrolle-Optionen.

Sie können Endpoint Security in den Einstellungen für das Allgemeingültig so konfigurieren, dass einProxy-Server zum Abrufen von McAfee GTI-Reputationsinformationen verwendet wird.

Konfigurieren des AktualisierungsverhaltensGeben Sie in den Allgemeingültig-Einstellungen das Verhalten für Aktualisierungen an, die vomEndpoint Security-Client initiiert werden.

Aufgaben

• Konfigurieren von Quellsites für Aktualisierungen auf Seite 33In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in denEinstellungen für das Endpoint Security-Client Allgemeingültig die Sites konfigurieren, vondenen der aktualisierte Sicherheitsdateien erhält.

• Konfigurieren des Standardverhaltens für Aktualisierungen auf Seite 35In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in denEinstellungen für das Endpoint Security-Client Allgemeingültig das Standardverhalten fürAktualisierungen festlegen, die vom initiiert werden.

• Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in denEinstellungen für das Allgemeingültig benutzerdefinierte Aktualisierungs-Tasks konfigurierenoder den Zeitplan für den Task Standard-Client-Aktualisierung über den Endpoint Security-Clientändern.

• Konfigurieren, Planen und Ausführen von Spiegelungs-Tasks auf Seite 38Sie können Spiegelungs-Tasks über den Endpoint Security-Client in den Einstellungen fürdas Allgemeingültig ändern oder planen.

Konfigurieren von Quellsites für Aktualisierungen In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in den Einstellungen fürdas Endpoint Security-Client Allgemeingültig die Sites konfigurieren, von denen der aktualisierteSicherheitsdateien erhält.


Sie können diese Einstellungen nur auf selbstverwalteten und von McAfee ePO verwalteten Systemenkonfigurieren.







4 Klicken Sie unter Allgemeingültig auf Optionen.

5 Konfigurieren Sie auf der Seite Einstellungen der Quellsites für Aktualisierungen.

Sie können die Standard-Sicherungs-Quellsite, McAfeeHttp, und den Management-Server (fürverwaltete Systeme) aktivieren und deaktivieren, aber nicht ändern oder löschen.

Die Reihenfolge der Sites legt die Reihenfolge fest, die Endpoint Security bei der Suche nach derAktualisierungs-Site verwendet.

Ziel Auszuführende Schritte

Der Liste eine Sitehinzufügen

1 Klicken Sie auf Hinzufügen.

2 Legen Sie die Site-Einstellungen fest, und klicken Sie auf OK.

Die Site wird am Anfang der Liste angezeigt.

Eine vorhandene Site ändern 1 Doppelklicken Sie auf den Site-Namen.

2 Ändern Sie die Einstellungen, und klicken Sie auf OK.

Eine Site löschen. Wählen Sie die gewünschte Site aus, und klicken Sie dann aufLöschen.

Sites aus einerQuellsite-Listendateiimportieren

1 Klicken Sie auf Importieren.

2 Wählen Sie die zu importierende Datei aus, und klicken Sie aufOK.

Die vorhandene Quellsite-Liste wird durch die Site-Listendateiersetzt.

Quellsite-Liste in eineSiteList.xml-Dateiexportieren

1 Klicken Sie auf Alle exportieren.

2 Wählen Sie den Speicherort der Quellsite-Listendatei aus, undklicken Sie auf OK.

Sites in der Liste neuanordnen

So verschieben Sie Elemente:1 Wählen Sie Elemente zum Verschieben aus.

Der Ziehpunkt erscheint links von Elementen, die verschobenwerden können.

2 Verschieben Sie die Elemente per Drag-and-Drop an dengewünschten Ort.Eine blaue Linie erscheint zwischen Elementen, wo Sie diegezogenen Elemente ablegen können.




Siehe auch Inhalt der Repository-Liste auf Seite 35Funktionsweise des Tasks Standard-Client-Aktualisierung auf Seite 36Anmelden als Administrator auf Seite 25Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37

Inhalt der Repository-ListeIn der Repository-Liste werden Informationen zu Repositorys aufgeführt, die McAfee Agent zurAktualisierung von McAfee-Produkten sowie Modul- und DAT-Dateien verwendet.

Die Repository-Liste umfasst Folgendes:

• Repository-Informationen und -Speicherort

• Bevorzugte Reihenfolge der Repositorys

• Proxy-Server-Einstellungen, falls erforderlich

• Verschlüsselte Anmeldeinformationen für den Zugriff auf die einzelnen Repositorys

Der McAfee Agent-Client-Produktaktualisierungs-Task stellt eine Verbindung mit dem ersten aktiviertenRepository (Aktualisierungs-Site) in der Repository-Liste her. Ist dieses Repository nicht verfügbar,kontaktiert der Task die nächste Site in der Liste, bis eine Verbindung hergestellt wird oder das Endeder Liste erreicht ist.

Wenn in Ihrem Netzwerk ein Proxy-Server eingesetzt wird, können Sie dessen Adresse und die zuverwendenden Proxy-Einstellungen festlegen und bestimmen, ob eine Authentifizierung verwendetwerden soll. Proxy-Informationen werden in der Repository-Liste gespeichert. Die von Ihnenkonfigurierten Proxy-Einstellungen gelten für alle Repositorys in der Repository-Liste.

Der Speicherort der Repository-Liste ist von Ihrem Betriebssystem abhängig.

Betriebssystem Speicherort der Repository-Liste

Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml

Microsoft Windows 7

Ältere Versionen C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Common Framework\SiteList.xml

Konfigurieren des Standardverhaltens für Aktualisierungen In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in den Einstellungen fürdas Endpoint Security-Client Allgemeingültig das Standardverhalten für Aktualisierungen festlegen, dievom initiiert werden.



Verwenden Sie diese Einstellungen für Folgendes:

•Ein- oder Ausblenden der Schaltfläche auf dem Client.

• Festlegen, welche Aktualisierung beim Klicken auf die Schaltfläche oder beim Ausführen des TasksStandard-Client-Aktualisierung vorgenommen wird.



Standardmäßig wird der Task Standard-Client-Aktualisierung täglich um 1:00 Uhr ausgeführt und allevier Stunden bis 23:59 Uhr wiederholt. Informationen zum Ändern von Zeitplänen finden Sie unter Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37.

Auf selbstverwalteten Systemen aktualisiert der Task Standard-Client-Aktualisierung sämtlichen Inhaltund die Software. Auf verwalteten Systemen aktualisiert dieser Task nur den Inhalt.





4 Konfigurieren Sie die Einstellungen für die Standard-Client-Aktualisierung auf der Seite.


Siehe auch Anmelden als Administrator auf Seite 25Konfigurieren von Quellsites für Aktualisierungen auf Seite 33Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37

Funktionsweise des Tasks Standard-Client-AktualisierungDer Task Standard-Client-Aktualisierung lädt den aktuellen Schutz für den Endpoint Security-Clientherunter.

Endpoint Security enthält den Task Standard-Client-Aktualisierung. Dieser wird täglich um 1:00 Uhrausgeführt und alle vier Stunden bis 23:59 Uhr wiederholt.

Der Task Standard-Client-Aktualisierung:

1 Stellt eine Verbindung mit der ersten aktivierten Quellsite in der Liste her.

Wenn diese Site nicht verfügbar ist, kontaktiert der Task die nächste Site bis eine Verbindunghergestellt wird oder das Ende der Liste erreicht ist.

2 Lädt eine verschlüsselte CATALOG.Z-Datei von der Site herunter.

Die Datei enthält die für die Aktualisierung benötigten Informationen, darunter verfügbare Dateienund Updates.

3 Vergleicht die in der Datei aufgeführten Softwareversionen mit den Versionen auf dem Computerund lädt neu verfügbare Software-Aktualisierungen herunter.

Wenn der Task Standard-Client-Aktualisierung während der Aktualisierung unterbrochen wird:

Aktualisierungen von ... Bei Unterbrechung ...

HTTP, UNC oder eine lokale Site Setzt die Aktualisierung bei einem erneuten Start derAktualisierung an der Stelle der Unterbrechung fort.

FTP-Site (Einzeldatei-Download) Wird bei Unterbrechung nicht fortgesetzt.

FTP-Site (Download mehrerer Dateien) Beginnend mit der vor der Unterbrechung zuletztheruntergeladenen Datei wird der Task fortgesetzt.

Siehe auch Konfigurieren von Quellsites für Aktualisierungen auf Seite 33Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37Inhalt der Repository-Liste auf Seite 35



Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in den Einstellungen fürdas Allgemeingültig benutzerdefinierte Aktualisierungs-Tasks konfigurieren oder den Zeitplan für denTask Standard-Client-Aktualisierung über den Endpoint Security-Client ändern.



Verwenden Sie diese Einstellungen zum Konfigurieren über den Client, wenn der TaskStandard-Client-Aktualisierung ausgeführt wird. Im Abschnitt Konfigurieren des Standardverhaltens fürAktualisierungen auf Seite 35 erhalten Sie weitere Informationen zum Konfigurieren desStandardverhaltens für Client-Aktualisierungen, die vom Endpoint Security-Client initiiert werden.





4 Klicken Sie unter Allgemeingültig auf Tasks.

5 Konfigurieren Sie die Einstellungen des Aktualisierungs-Tasks auf der Seite.


BenutzerdefiniertenAktualisierungs-Taskerstellen


2 Geben Sie den Namen ein, und wählen Sie anschließend aus derDropdown-Liste Task-Typ auswählen die Option Aktualisieren aus.

3 Konfigurieren Sie die Einstellungen, und klicken Sie zumSpeichern des Tasks auf OK.

Aktualisierungs-Task ändern • Doppelklicken Sie auf den Task, nehmen Sie die gewünschtenÄnderungen vor, und klicken Sie zum Speichern des Tasks auf OK.

BenutzerdefiniertenAktualisierungs-Taskentfernen

• Wählen Sie den Task aus, und klicken Sie dann auf Löschen.

Kopie einesAktualisierungs-Taskserstellen

1 Wählen Sie den Task aus, und klicken Sie dann auf Duplizieren.

2 Geben Sie den Namen ein, konfigurieren Sie die Einstellungen,und klicken Sie zum Speichern des Tasks auf OK.




Zeitplan für den TaskStandard-Client-Aktualisierungändern

1 Doppelklicken Sie auf Standard-Client-Aktualisierung.

2 Klicken Sie auf die Registerkarte Zeitplan, nehmen Sie diegewünschten Änderungen am Zeitplan vor, und klicken Sie zumSpeichern des Tasks auf OK.

Im Abschnitt Konfigurieren des Standardverhaltens fürAktualisierungen auf Seite 35 erhalten Sie weitere Informationenzum Konfigurieren des Standardverhaltens fürClient-Aktualisierungen, die vom Endpoint Security-Client initiiertwerden.

Aktualisierungs-Taskausführen

• Wählen Sie den Task aus, und klicken Sie dann auf Jetzt ausführen.

Wird der Task bereits ausgeführt (einschließlich angehalten oderverschoben), ändert sich die Schaltfläche in Anzeigen.

Wenn Sie einen Task ausführen, bevor die Änderungenübernommen wurden, werden Sie vom Endpoint Security-Clientdazu aufgefordert, die Änderungen zu speichern.


Siehe auch Funktionsweise des Tasks Standard-Client-Aktualisierung auf Seite 36Konfigurieren von Quellsites für Aktualisierungen auf Seite 33

Konfigurieren, Planen und Ausführen von Spiegelungs-Tasks Sie können Spiegelungs-Tasks über den Endpoint Security-Client in den Einstellungen für dasAllgemeingültig ändern oder planen.







5 Konfigurieren Sie die Einstellungen des Spiegelungs-Tasks auf der Seite.




Spiegelungs-Taskerstellen


2 Geben Sie den Namen ein, und wählen Sie anschließend aus derDropdown-Liste Task-Typ auswählen die Option Spiegeln aus.

3 Konfigurieren Sie die Einstellungen, und klicken Sie dann auf OK.

Spiegelungs-Taskändern

• Doppelklicken Sie auf den Spiegelungs-Task, nehmen Sie diegewünschten Änderungen vor, und klicken Sie auf OK.

Spiegelungs-Taskentfernen.


Kopie einesSpiegelungs-Taskserstellen


2 Geben Sie den Namen ein, konfigurieren Sie die Einstellungen, undklicken Sie dann auf OK.

Spiegelungs-Taskplanen

1 Doppelklicken Sie auf den Task.

2 Klicken Sie auf die Registerkarte Zeitplan, nehmen Sie die gewünschtenÄnderungen am Zeitplan vor, und klicken Sie zum Speichern des Tasksauf OK.

Spiegelungs-Taskausführen

• Wählen Sie den Task aus, und klicken Sie dann auf Jetzt ausführen.


Wenn Sie einen Task ausführen, bevor die Änderungen übernommenwurden, werden Sie vom Endpoint Security-Client dazu aufgefordert, dieÄnderungen zu speichern.


Funktionsweise von Spiegelungs-TasksMit Spiegelungs-Tasks können Sie Aktualisierungsdateien aus dem ersten erreichbaren Repository, dasin der Repository-Liste definiert ist, in eine Spiegel-Site in Ihrem Netzwerk replizieren.

Dieser Task wird meist zum Spiegeln des Inhalts der McAfee-Download-Site auf einen lokalen Serververwendet.

Nachdem Sie die McAfee-Site repliziert haben, die die Aktualisierungsdateien enthält, könnenComputer in Ihrem Netzwerk die Dateien von der Spiegel-Site herunterladen. Auf diese Weise könnenSie jeden Computer in Ihrem Netzwerk aktualisieren, auch jene ohne Internetzugriff. Die Verwendungeiner replizierten Site ist effizienter, da Ihre Systeme mit einem Server kommunizieren, der näher istals eine McAfee-Internet-Site, wodurch wiederum Zugriffszeit und die Zeit zum Herunterladenverringert werden.

Der Bedrohungsschutz ist zur eigenen Aktualisierung auf ein bestimmtes Verzeichnis angewiesen.Beim Spiegeln einer Site muss daher die gesamte Verzeichnisstruktur repliziert werden.





3 Verwenden von Bedrohungsschutz

Bedrohungsschutz prüft auf Viren, Spyware, unerwünschte Programme und andere Bedrohungendurch Scannen von Elementen auf Ihrem Computer.

Inhalt Scannen Ihres Computers auf Malware Verwalten von erkannten Bedrohungen Verwalten von isolierten Elementen Verwalten von Bedrohungsschutz

Scannen Ihres Computers auf MalwareScannen Sie Ihren Computer auf Malware, indem Sie Optionen im Endpoint Security-Client oderWindows Explorer auswählen.

Aufgaben• Ausführen eines vollständigen Scans oder Schnellscans auf Seite 42

Verwenden Sie Endpoint Security-Client zum manuellen Ausführen eines vollständigenScans oder Schnellscans auf Ihrem Computer.

• Scannen einer Datei oder eines Ordners auf Seite 44Falls Sie vermuten, dass eine Datei oder ein Ordner infiziert sein könnte, sollten Sieumgehend einen Scan per Kontextmenü im Windows Explorer durchführen.

Siehe auch Scan-Typen auf Seite 41

Scan-TypenEndpoint Security stellt zwei Scan-Typen zur Verfügung: On-Access-Scans und On-Demand-Scans.

• On-Access-Scan: Der Administrator konfiguriert On-Access-Scans für die Ausführung aufverwalteten Computern. Konfigurieren Sie für selbstverwaltete Computer den On-Access-Scannerauf der Seite Einstellungen.

Wenn auf Dateien, Ordner und Programme zugegriffen wird, fängt der On-Access-Scanner denVorgang ab und scannt das Element basierend auf Kriterien, die in den Einstellungen konfiguriertwurden.

• On-Demand-Scan

3


Manuell Der Administrator (oder Benutzer bei selbstverwalteten Systemen) konfiguriertvordefinierte oder benutzerdefinierte On-Demand-Scans, die Benutzer auf verwaltetenComputern ausführen können.

• Führen Sie jederzeit einen vordefinierten On-Demand-Scan vom Endpoint

Security-Client aus, indem Sie auf klicken und einen Scan-Typauswählen:Der Schnellscan führt eine schnelle Überprüfung der für Infektionen besondersanfälligen Systembereiche aus.

Der vollständige Scan führt eine gründliche Überprüfung aller Systembereiche aus.(Empfohlen, wenn Sie vermuten, dass der Computer infiziert ist.)

• Scannen Sie eine einzelne Datei oder einen Ordner jederzeit im Windows Explorer,indem Sie mit der rechten Maustaste auf die Datei oder den Ordner klicken undScannen auf Bedrohungen aus dem Pop-Up-Menü auswählen.

• Konfigurieren Sie einen benutzerdefinierten On-Demand-Scan als Administrator vomEndpoint Security-Client:

1 Wählen Sie Einstellungen | Allgemeingültig | Tasks aus.

2 Wählen Sie den auszuführenden Task aus.

3 Klicken Sie auf Jetzt ausführen.

Geplant Der Administrator (oder Benutzer bei selbstverwalteten Systemen) konfiguriertOn-Demand-Scans für die Ausführung auf Computern.

Vor dem Start eines geplanten On-Demand-Scans zeigt Endpoint Security unten aufdem Bildschirm eine Scan-Aufforderung an. Sie können den Scan sofort starten oder ihnverschieben, sofern konfiguriert.

So konfigurieren und planen Sie einen Schnellscan oder einen vollständigen Scan alsvordefinierten On-Demand-Scan:1 Einstellungen | On-Demand-Scan | vollständiger Scan-Registerkarte oder

Schnellscan-Registerkarte: konfiguriert On-Demand-Scans.

2 Einstellungen | Common | Tasks – Plant On-Demand-Scans.

Siehe auch Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75Reagieren auf eine Scan-Aufforderung auf Seite 19

Ausführen eines vollständigen Scans oder SchnellscansVerwenden Sie Endpoint Security-Client zum manuellen Ausführen eines vollständigen Scans oderSchnellscans auf Ihrem Computer.

Bevor Sie beginnenDas Bedrohungsschutz-Modul muss installiert sein.

Das Verhalten des vollständigen Scans und Schnellscans ist abhängig von der Konfiguration derEinstellungen. Mit Administratoranmeldeinformationen können Sie diese Scans in denOn-Demand-Scan-Einstellungen ändern und planen.

3 Verwenden von BedrohungsschutzScannen Ihres Computers auf Malware




2Klicken Sie auf .

3 Klicken Sie auf der Seite System scannen bei dem auszuführenden Scan auf Jetzt scannen.

Vollständiger Scan Führt eine gründliche Überprüfung aller Bereiche auf Ihrem System aus(empfohlen, wenn Sie vermuten, dass Ihr Computer infiziert ist).

Schnellscan Führt eine schnelle Überprüfung der für Infektionen besonders anfälligenSystembereiche aus.

Wenn bereits ein Scan ausgeführt wird, ändert sich die Schaltfläche Jetzt scannen zu Scan anzeigen.

Je nach konfigurierten Einstellungen und ob eine Bedrohung erkannt wurde, wird möglicherweiseauch die Schaltfläche Erkennungen anzeigen für den On-Access-Scanner angezeigt. Klicken Sie auf dieseSchaltfläche, um die Seite On-Access-Scan zu öffnen und erkannte Bedrohungen jederzeit zuverwalten. Siehe Verwalten von erkannten Bedrohungen auf Seite 45.

Endpoint Security-Client zeigt den Status des Scans auf einer neuen Seite an.

Das AMCore Content-Erstellungsdatum zeigt den letzten Zeitpunkt der Content-Aktualisierung an.Wenn der Content älter als zwei Tage ist, empfiehlt McAfee, dass Sie vor Ausführen des Scans IhrenSchutz aktualisieren.

4 Klicken Sie oben auf der Statusseite auf die entsprechenden Schaltflächen, um den Scan zusteuern.

Scan anhalten Pausiert den Scan, bevor er abgeschlossen ist.


Scan abbrechen Bricht einen laufenden Scan ab.

5 Sobald der Scan abgeschlossen ist, werden auf der Seite die Anzahl der gescannten Dateien, dieverstrichene Zeit und alle Erkennungen angezeigt.

Erkennungsname Identifiziert den Namen der erkannten Malware.

Typ Zeigt den Bedrohungstyp an.

Datei Identifiziert die infizierte Datei.

Aktion Beschreibt die zuletzt ausgeführte Aktion für die infizierte Datei:• Zugriff verweigert

• Gesäubert

• Gelöscht

• Keine

Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der nächste On-Demand-Scan startet.

Verwenden von BedrohungsschutzScannen Ihres Computers auf Malware 3


6 Wählen Sie eine Erkennung aus der Tabelle, klicken Sie dann auf Säubern oder Löschen, um dieinfizierte Datei zu säubern bzw. zu löschen.

Je nach Bedrohungstyp und Scan-Einstellungen stehen diese Aktionen möglicherweise nicht zurVerfügung.

7 Klicken Sie auf Schließen, um die Seite zu schließen.

Siehe auch Scan-Typen auf Seite 41Erkennungsnamen auf Seite 48Manuelles Aktualisieren von Schutz und Software auf Seite 21Verwalten von erkannten Bedrohungen auf Seite 45Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75

Scannen einer Datei oder eines OrdnersFalls Sie vermuten, dass eine Datei oder ein Ordner infiziert sein könnte, sollten Sie umgehend einenScan per Kontextmenü im Windows Explorer durchführen.


Das Verhalten des Scans per Kontextmenü ist abhängig von der Konfiguration der Einstellungen. MitAdministratoranmeldeinformationen können Sie diese Scans in den On-Demand-Scan-Einstellungenändern.

Vorgehensweise

1 Klicken Sie im Windows Explorer zum Scannen mit der rechten Maustaste auf eine Datei oder einenOrdner, und wählen Sie Scannen auf Bedrohungen aus dem Pop-Up-Menü.

Endpoint Security-Client zeigt den Scan-Status auf der Seite Scannen auf Bedrohungen an.

2 Klicken Sie oben auf der Seite auf die entsprechenden Schaltflächen, um den Scan zu steuern.

Scan anhalten Pausiert den Scan, bevor er abgeschlossen ist.


Scan abbrechen Bricht einen laufenden Scan ab.

3 Sobald der Scan abgeschlossen ist, werden auf der Seite die Anzahl der gescannten Dateien, dieverstrichene Zeit und alle Erkennungen angezeigt.

Erkennungsname Identifiziert den Namen der erkannten Malware.

Typ Zeigt den Bedrohungstyp an.

Datei Identifiziert die infizierte Datei.

Aktion Beschreibt die zuletzt ausgeführte Aktion für die infizierte Datei:• Zugriff verweigert

• Gesäubert

• Gelöscht

• Keine


3 Verwenden von BedrohungsschutzScannen Ihres Computers auf Malware


4 Wählen Sie eine Erkennung aus der Tabelle, klicken Sie dann auf Säubern oder Löschen, um dieinfizierte Datei zu säubern bzw. zu löschen.

Je nach Bedrohungstyp und Scan-Einstellungen stehen diese Aktionen möglicherweise nicht zurVerfügung.

5 Klicken Sie auf Schließen, um die Seite zu schließen.

Siehe auch Scan-Typen auf Seite 41Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Erkennungsnamen auf Seite 48

Verwalten von erkannten BedrohungenJe nach Konfigurierung der Einstellungen können Sie erkannte Bedrohungen über den EndpointSecurity-Client verwalten.




2 Klicken Sie auf Jetzt scannen, um die Seite System scannen zu öffnen.

Verwenden von BedrohungsschutzVerwalten von erkannten Bedrohungen 3


3 Klicken Sie unter On-Access-Scan aufErkennungen anzeigen.

Diese Option ist nicht verfügbar, wenn die Liste keine Erkennungen enthält oder Benutzermeldungendeaktiviert sind.


4 Wählen Sie eine der folgenden Optionen auf der Seite On-Access-Scan.

Säubern Versucht, das Element (Datei, Registrierungseintrag) zu säubern und es in dieQuarantäne zu verschieben.

Endpoint Security verwendet Informationen in der Content-Dateien zurDateisäuberung. Wenn eine Content-Datei kein Säuberungsprogramm hat oder dieDatei unrettbar beschädigt ist, verweigert der Scanner den Zugriff auf die Datei. Indiesem Fall wird von McAfee empfohlen, die Datei aus der Quarantäne zu löschenund den Inhalt aus einer sauberen Sicherungskopie wiederherzustellen.

Löschen Löscht das Element mit der Bedrohung.

Eintrag entfernen Entfernt den Eintrag aus der Erkennungsliste.

Schließen Schließt die Scan-Seite.

Wenn eine Aktion für die Bedrohung nicht verfügbar ist, ist die entsprechende Option deaktiviert.Beispielsweise ist die Option Säubern nicht verfügbar, wenn die Datei bereits gelöscht wurde.


Verwalten von isolierten Elementen Endpoint Security speichert Elemente, die als Bedrohungen erkannt wurden, in der Quarantäne. Siekönnen für isolierte Elemente Aktionen ausführen.


Beispielsweise können Sie ein Element wiederherstellen, nachdem Sie eine aktuellere Version derContent-Datei heruntergeladen haben, die Informationen zum Säubern der Bedrohung enthält.

Isolierte Elemente können mehrere Typen gescannter Objekte enthalten: Dateien, Registrierungen oderandere, die Endpoint Security auf Malware scannt.

Vorgehensweise



2 Klicken Sie links auf der Seite auf Quarantäne.

Auf der Seite werden alle Elemente in der Quarantäne angezeigt.

Wenn der Endpoint Security-Client den Quarantäne-Manager nicht erreichen kann, wird eineKommunikationsfehlermeldung angezeigt. Starten Sie in diesem Fall das System neu, um die SeiteQuarantäne anzuzeigen.

3 Verwenden von BedrohungsschutzVerwalten von isolierten Elementen


3 Wählen Sie aus dem oberen Bereich ein Element aus, um die Details unten anzuzeigen.


Relative Größen der Bereiche ändern Ziehen Sie am Widget, um die Größe der Bereiche zuändern.

Elemente in der Tabelle nachBedrohungsnamen oder -typ sortieren

Klicken Sie auf die Tabellenspaltenüberschrift.

4 Führen Sie auf der Quarantäne-Seite Aktionen für ausgewählte Elemente aus.


Elemente aus derQuarantäne löschen

Wählen Sie Elemente, klicken Sie auf Löschen und anschließend zurBestätigung erneut auf Löschen.

Gelöschte Elemente können nicht wiederhergestellt werden.

Elemente aus derQuarantänewiederherstellen

Wählen Sie Elemente, klicken Sie auf Wiederherstellen und anschließend zurBestätigung erneut auf Wiederherstellen.Endpoint Security stellt die Elemente im ursprünglichen Speicherortwieder her und entfernt sie aus der Quarantäne.

Wenn ein Element noch immer eine gültige Bedrohung darstellt, wird esvon Endpoint Security beim nächsten Zugriff darauf erneut in dieQuarantäne verschoben.

Elemente erneutscannen

Wählen Sie Elemente aus, und klicken Sie dann auf Erneut scannen.Sie könnten beispielsweise ein Element erneut scannen, nachdem SieIhren Schutz aktualisiert haben. Wenn das Element keine Bedrohungmehr ist, können Sie es in seinen ursprünglichen Speicherortwiederherstellen und aus der Quarantäne entfernen.

Element imEreignisprotokollanzeigen

Wählen Sie ein Element aus, und klicken Sie dann im Detailbereich aufden Link Im Ereignisprotokoll anzeigen.Die Seite Ereignisprotokoll wird geöffnet, auf der das zum Ereignis gehörigeausgewählte Element hervorgehoben ist.

Weitere Informationenzu einer Bedrohungabrufen

Wählen Sie ein Element aus, und klicken Sie dann im Detailbereich aufden Link Weitere Informationen zu dieser Bedrohung.Ein neues Browserfenster mit der McAfee Labs-Website wird geöffnet, aufder Sie weitere Informationen zu der Bedrohung finden, die die Ursachefür die Isolierung des Elements war.

Siehe auch Erkennungsnamen auf Seite 48Erneutes Scannen isolierter Elemente auf Seite 49Öffnen des Endpoint Security-Client auf Seite 17Manuelles Aktualisieren von Schutz und Software auf Seite 21

Verwenden von BedrohungsschutzVerwalten von isolierten Elementen 3


ErkennungsnamenDer Quarantäne-Bericht meldet Bedrohungen mit Erkennungsname.

Erkennungsname Beschreibung

Adware Software, die Umsatz erzeugt, indem dem Benutzer Werbung angezeigtwird. Adware erzielt Einkünfte durch den Anbieter oder durchAnbieterpartner. Manche Arten von Adware können persönliche Datenerfassen und weiterzugeben.

Dialer Software, die Internetverbindungen an einen Dritten weiterleitet, bei demes sich nicht um den standardmäßigen Internet Service Provider desBenutzers handelt. Durch Dialer sollen zusätzliche Verbindungsgebührenfür einen Inhaltsanbieter, Händler oder einen Dritten anfallen.

Scherzprogramm Software, die behauptet, einem Computer Schaden zuzufügen, aberweder schädliche Nutzlast enthält noch zum Schaden verwendet wird. Siewirkt sich nicht auf den Sicherheits- oder Datenschutzstatus aus, kannaber einen Benutzer alarmieren oder verärgern.

Keylogger Software, die Daten zwischen dem Benutzer, der sie eingibt, und derbeabsichtigten Empfängeranwendung abfängt. Trojaner und potenziellunerwünschte Programm-Keylogger können auf identische Weisefunktionieren. McAfee-Software erkennt beide Arten und verhindertIntrusionen.

Kennwort-Cracker Software, die es einem Benutzer oder Administrator gestattet, vergesseneKennwörter für Benutzerkonten oder Datendateien wiederherzustellen. Inden Händen eines Angreifers ermöglicht sie Zugriff auf vertrauliche Datenund stellt somit eine Bedrohung für Sicherheit und Datenschutz dar.

Potenziell unerwünschtesProgramm

Enthält häufig an und für sich legitime Software (keine Malware), diejedoch den Sicherheits- oder Datenschutzstatus des Systems ändernkönnen. Diese Software kann mit einem gewünschten Programmzusammen heruntergeladen werden. Dazu gehören beispielsweiseSpyware, Adware, Keylogger, Kennwort-Cracker, Hacker-Tools undDialer-Anwendungen.

Remote-Verwaltungstool Software, mit der ein Administrator ein System aus der Ferne steuernkann. Diese Tools stellen eine ernsthafte Sicherheitsbedrohung dar, wennsie von einem Angreifer gesteuert werden.

Spyware Spyware übermittelt persönliche Informationen ohne Wissen oderZustimmung des Benutzers an Dritte. Spyware nutzt infizierte Computerzu Profitzwecken aus, etwa auf folgende Weise:• Einblenden unerwünschter Werbe-Pop-Ups

• Stehlen persönlicher Daten stehlen, z. B. Finanzdaten wieKreditkartennummern

• Überwachen von Webaktivitäten zu Marketingzwecken

• Umleiten von HTTP-Anfragen auf Werbe-Websites

Siehe auch Potenziell unerwünschtes Programm.

Tarnprogramm Ein Virentyp, der versucht, der Erkennung durch Virenschutz-Software zuentgehen.Auch bekannt als Unterbrechungsabfänger.

Viele Tarnprogramm-Viren fangen Anfragen für den Laufwerkszugriff ab.Wenn eine Virenschutz-Anwendung auf der Suche nach Viren versucht,Dateien oder Boot-Sektoren zu lesen, zeigt der Virus ein "sauberes" Bilddes gewünschten Elements. Andere Viren verbergen die tatsächlicheGröße einer infizierten Datei und zeigt die Größe der Datei vor derInfektion an.

3 Verwenden von BedrohungsschutzVerwalten von isolierten Elementen


Erkennungsname Beschreibung

Trojaner Dies ist ein bösartiges Programm, das als gutartige Anwendung getarntist. Ein Trojaner wird nicht repliziert, aber verursacht Schaden odergefährdet die Sicherheit Ihres Computers.Ein Computer wird oft infiziert:

• Wenn ein Benutzer einen Trojaner-Anhang in einer E-Mail öffnet.

• Wenn ein Benutzer einen Trojaner von einer Website herunterlädt.

• Durch Peer-to-Peer-Netzwerkdienste.

Weil Sie sich nicht selbst replizieren, werden Trojaner nicht als Virenangesehen.

Virus Ein Virus hängt sich an Festplatten oder andere Dateien und repliziert sichwiederholt, typischerweise ohne Wissen oder Erlaubnis des Benutzers.Einige Viren heften sich an Dateien, sodass sie bei der Ausführung derinfizierten Datei mit ausgeführt werden. Andere nisten sich imComputerspeicher ein und infizieren laufend Dateien, wenn diese vomRechner geöffnet, verändert und erstellt werden. Einige Viren weisenSymptome auf, andere beschädigen Dateien und Computersysteme.

Erneutes Scannen isolierter ElementeBeim erneuten Scannen von Elementen in Quarantäne verwendet Endpoint SecurityScan-Einstellungen, die maximalen Schutz bieten.

Bevor Sie Elemente in Quarantäne wiederherstellen, sollten Sie sie immer erneut scannen. Sie könntenbeispielsweise ein Element erneut scannen, nachdem Sie Ihren Schutz aktualisiert haben. Wenn dasElement keine Bedrohung mehr ist, können Sie es in seinen ursprünglichen Speicherort wiederherstellenund aus der Quarantäne entfernen.

Die Scan-Bedingungen können sich im Zeitraum von der ursprünglichen Erkennung bis zum erneutenScannen verändern. Dies kann Auswirkungen auf die Erkennung isolierter Elemente haben.

Beim erneuten Scannen isolierter Elemente führt Endpoint Security stets folgende Aktionen durch:

• MIME-codierte Dateien scannen

• Komprimierte Archivdateien scannen

• McAfee GTI-Suche für Elemente erzwingen

• McAfee GTI-Sensibilitätsstufe auf Sehr hoch einstellen

Selbst bei Verwendung dieser Scan-Einstellungen könnten beim erneuten Scannen der Elemente inQuarantäne Bedrohungen nicht erkannt werden. Ändern sich beispielsweise die Metadaten (Pfad oderRegistrierungsverzeichnis) eines Elements, könnte beim erneuten Scan ein False-Positive produziertwerden, obwohl das Element noch immer infiziert ist.

Verwalten von BedrohungsschutzAls Administrator können Sie Bedrohungsschutz-Einstellungen festlegen, um bösartigen Zugriff zuvermeiden und Scans zu konfigurieren.


Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3


Konfigurieren von AusschlüssenMit dem Bedrohungsschutz können Sie den Schutz an Ihre Bedürfnisse anpassen, indem Sieauszuschließende Elemente festlegen.

Es könnte beispielsweise nötig sein, einige Dateitypen auszuschließen, damit ein Scanner keine Dateisperrt, die von einer Datenbank oder einem Server verwendet wird. (Durch eine gesperrte Dateikönnten bei der Datenbank oder dem Server Fehler auftreten.)

Um einen Ordner auf Windows-Systemen auszuschließen, fügen Sie dem Pfad einen umgekehrtenSchrägstrich (\) hinzu. Um einen Ordner auf Mac-Systemen auszuschließen, fügen Sie dem Pfad einenSchrägstrich (/) hinzu.

Funktion AuszuschließendeElementefestlegen

Konfigurationsort Elementeausschließennach

Platzhalterverwenden?

Zugriffsschutz Prozesse (für alleRegeln oder einefestgelegte Regel)

Zugriffsschutz-Einstellungen Name oder Pfadder ausführbarenDatei, MD5-HashoderSignaturgeber

Ja –Dateinameund -pfadNein –MD5-HashundSignaturgeber

Exploit-Schutz Prozesse Exploit-Schutz-Einstellungen Prozessname,Anrufermoduloder API

Nein

Alle Scans Erkennungsnamen Optionen-Einstellungen Erkennungsname(Groß-/Kleinschreibungwird beachtet)

Ja

PotenziellunerwünschteProgramme

Name Ja

On-Access-Scan• Standard

• Hohes Risiko

• Niedriges Risiko

Dateien, Dateitypenund Ordner

On-Access-Scan-Einstellungen Dateiname oderOrdner, Dateitypoder Dateialter

Ja

ScriptScan-URLs URL-Name Nein

On-Demand-Scan• Schnellscan


• Scan perKontextmenü

Dateien, Ordnerund Laufwerke

On-Demand-Scan-Einstellungen Dateiname oderOrdner, Dateitypoder Dateialter

Ja

BenutzerdefinierterOn-Demand-Scan

Dateien, Ordnerund Laufwerke

Allgemeingültig | Tasks | Taskhinzufügen | benutzerdefinierterScan

Dateiname oderOrdner, Dateitypoder Dateialter

Ja

Siehe auch Platzhalter in Ausschlüssen auf Seite 51

3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz


Platzhalter in AusschlüssenSie haben die Möglichkeit, Platzhalter zur Darstellung von Zeichen in Ausschlüssen für Dateien,Ordner, Erkennungsnamen und potenziell unerwünschte Programme zu verwenden.

Tabelle 3-1 Gültige Platzhalter

Platzhalterzeichen Name Steht für

? Fragezeichen Einzelnes Zeichen.

Dieser Platzhalter gilt nur dann, wenn die Anzahl derZeichen mit denen des Datei- oder Ordnernamensübereinstimmt. Beispiel: Der Ausschluss W?? schließt dieZeichenfolge WWW aus, aber nicht die Zeichenfolgen WWoder WWWW.

* Sternchen Mehrere Zeichen außer umgekehrtem Schrägstrich (\).

** Zwei Sternchen Null oder mehr beliebige Zeichen einschließlich desumgekehrten Schrägstriches (\).

Dieser Platzhalter stimmt mit null oder mehr Zeichenüberein. Beispiel: C:\ABC\**\XYZ stimmt überein mit C:\ABC\DEF\XYZ und C:\ABC\XYZ.

In einer Pfadangabe können Platzhalter vor umgekehrten Schrägstrichen (\) eingesetzt werden.Beispielsweise stimmt C:\ABC\*\XYZ überein mit C:\ABC\DEF\XYZ.

Ausschlüsse auf Stammebene

Für Ausschlüsse auf Stammebene benötigt der Bedrohungsschutz einen absoluten Pfad. Dievorangestellten Platzhalterzeichen \ oder ?:\ können also nicht verwendet werden, umübereinstimmende Laufwerksnamen auf Stammebene zu finden.

Dieses Verhalten unterscheidet sich von VirusScan Enterprise. Weitere Informationen finden Sie imKnowledgeBase-Artikel KB85746 und im McAfee Endpoint Security-Migrationshandbuch.

Mit dem Bedrohungsschutz können Sie die vorangestellten Platzhalterzeichen **\ in Ausschlüssen aufStammebene verwenden, um übereinstimmende Laufwerke und Unterordner zu finden. **\testentspricht beispielsweise Folgendem:

C:\test

D:\test

C:\temp\test

D:\foo\test

Schützen der SystemzugriffspunkteDer Schutz der Zugriffspunkte Ihres Client-Systems vor Bedrohungen stellt Ihre ersteVerteidigungslinie gegen Malware dar. Der Zugriffsschutz verhindert unerwünschte Änderungen amverwalteten Computer, indem der Zugriff auf bestimmte Dateien, Freigaben sowieRegistrierungsschlüssel und -werte eingeschränkt wird.

Der Zugriffsschutz verwendet von McAfee definierte und benutzerdefinierte Regeln, um den Zugriff aufElemente zu melden oder zu blockieren. Der Zugriffsschutz vergleicht eine angeforderte Aktion mit derRegelliste und handelt entsprechend der Regel.



https://kc.mcafee.com/corporate/index?page=content&id=KB85746

Der Zugriffsschutz muss aktiviert sein, damit Zugriffsversuche auf Dateien, Freigaben sowieRegistrierungsschlüssel und -werte erkannt werden.

Der Zugriffsschutz ist standardmäßig aktiviert.

Zugriffsmöglichkeiten für BedrohungenBedrohungen dringen über verschiedene Zugriffspunkte in Ihr System ein.

Zugriffspunkt Beschreibung

Makros Als Teil von Textverarbeitungsdokumenten oderTabellenanwendungen.

Ausführbare Dateien Scheinbar gutartige Programme können neben dem erwartetenProgramm auch Viren enthalten. Einige häufige Dateierweiterungensind .EXE, .COM, .VBS, .BAT, .HLP und .DLL.

Skripts Verknüpft mit Webseiten und E-Mails können Skripte wie ActiveX undJavaScript können Viren enthalten, wenn ihre Ausführung zugelassenwird.

Internet RelayChat-Nachrichten (IRC)

Mit diesen Nachrichten gesendete Dateien können leicht Malware alsTeil der Nachricht enthalten. Automatische Startprozesse könnenbeispielsweise Bedrohungen in Form von Würmern oder Trojanernenthalten.

Browser- undAnwendungshilfedateien

Beim Herunterladen dieser Hilfedateien ist das System eingebettetenViren und ausführbaren Dateien ausgesetzt.

E-Mail Scherze, Spiele und Bilder als Teil von E-Mails mit Anlagen.

Kombinationen aller dieserZugriffspunkte

Erfahrene Malware-Entwickler kombinieren alle dieseÜbertragungsmethoden und betten eine Malware in eine andere ein,um auf den Computer zuzugreifen.

So werden Bedrohungen mit dem Zugriffsschutz abgewehrtDer Zugriffsschutz stoppt potenzielle Bedrohungen, indem er Aktionen basierend auf von McAfeedefinierten und benutzerdefinierten Schutzregeln verwaltet.Bedrohungsschutz verwendet zum Bereitstellen des Zugriffsschutzes diesen Basisprozess.

Beim Auftreten einer BedrohungWenn ein Benutzer oder ein Prozess eine Aktion ausführt:

1 Die Aktion wird gemäß den definierten Regeln vom Zugriffsschutz überprüft.

2 Wenn die Aktion eine Regel bricht, wird sie vom Zugriffsschutz unter Verwendung derInformationen in den konfigurierten Regeln verwaltet.

3 Der Zugriffsschutz aktualisiert die Protokolldatei, generiert ein Ereignis und sendet es beiverwalteten Systemen an den Management-Server.

Beispiel für eine Zugriffsbedrohung1 Ein Benutzer lädt ein zulässiges Programm (keine Malware) namens MyProgram.exe aus dem

Internet herunter.

2 Der Benutzer startet MyProgram.exe, und es scheint, dass es wie erwartet gestartet wird.

3 MyProgram.exe startet einen untergeordneten Prozess namens AnnoyMe.exe.

4 AnnoyMe.exe versucht, das Betriebssystem zu ändern, um sicherzustellen, dass dieser Prozess beijedem Systemstart immer geladen wird.



5 Der Zugriffsschutz verarbeitet die Anfrage und ordnet sie einer vorhandenen Regeln zu, dass dieAnfrage blockiert und gemeldet wird.

6 Der Zugriffsschutz hindert AnnoyMe.exe daran, das Betriebssystem zu ändern. Er protokolliert dieDetails des Zugriffsversuchs. Außerdem wird eine Warnung generiert und an denManagement-Server gesendet.

Informationen zu ZugriffsschutzregelnVerwenden Sie Zugriffsschutzregeln, um Ihre Systemzugriffspunkte zu schützen.

Regeltyp Parameter

Von McAfee definierteRegeln

• Mit diesen Regeln werden Änderungen an häufig verwendeten Dateienund Einstellungen verhindert.

• Sie können die Konfiguration der von McAfee definierten Regelnaktivieren, deaktivieren und ändern. Sie können die Regeln jedoch nichtlöschen.

BenutzerdefinierteRegeln

• Diese benutzerdefinierten Regeln ergänzen den Schutz durch die vonMcAfee definierten Regeln.

• Bei einer leeren Tabelle ausführbarer Dateien werden alle ausführbarenDateien eingeschlossen.

• Sie können die Konfiguration dieser Regeln aktivieren, deaktivieren undändern sowie Regeln hinzufügen und löschen.

Ausschlüsse

Auf Regelebene gelten Aus- und Einschlüsse für eine bestimmte Regel. Auf Richtlinienebene geltenAusschlüsse für sämtliche Regeln. Ausschlüsse sind optional.

Konfigurieren der von McAfee definierten ZugriffsschutzregelnVon McAfee definierte Regeln verhindern Änderungen an häufig verwendeten Dateien undEinstellungen. Sie können die Blockierungs- und Berichtseinstellungen ändern sowie ausgeschlosseneund eingeschlossene ausführbare Dateien hinzufügen. Das Löschen dieser Regeln oder das Ändern vonDateien und Einstellungen, die durch diese Regeln geschützt sind, ist jedoch nicht möglich.


Untergeordnete Regeln können durch von McAfee definierte Regeln nicht hinzugefügt werden.



2 Klicken Sie auf der Status-Hauptseite auf Threat Prevention.

Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf ThreatPrevention.




4 Klicken Sie auf Zugriffsschutz.

5 Überprüfen Sie, dass der Zugriffsschutz aktiviert ist.


6 Ändern Sie die Regel:

a Wählen Sie für die Regel im Abschnitt Regeln die Option Blockieren oder Bericht bzw. beide Optionenaus.

Wählen Sie in der ersten Zeile Blockieren oder Bericht, um alle zu blockieren oder zu melden.

Ist weder Blockieren noch Bericht ausgewählt, ist die Regel deaktiviert.

b Doppelklicken Sie auf eine von McAfee definierte Regel, die Sie bearbeiten möchten.

c Konfigurieren Sie auf der Seite Von McAfee definierte Regel bearbeiten die Einstellungen.

d Klicken Sie im Abschnitt Ausführbare Dateien auf Hinzufügen, konfigurieren Sie die Einstellungen, undklicken Sie zum Speichern der Regel zweimal auf Speichern.

Siehe auch Von McAfee definierte Regeln auf Seite 54Anmelden als Administrator auf Seite 25

Von McAfee definierte RegelnSchützen Sie Ihren Computer vor unerwünschten Änderungen, indem Sie von McAfee definierte Regelnverwenden.

Tabelle 3-2

Von McAfee definierteRegel

Beschreibung

Ändern der Registrierungen allerDateierweiterungen

Schützt die Registrierungsschlüssel unter "HKEY_CLASSES_ROOT", woDateierweiterungen registriert werden.Diese Regel verhindert, dass Malware dieDateierweiterungsregistrierungen ändert, damit sie unbemerktausgeführt werden kann.

Deaktivieren Sie diese Regel, wenn Sie gültige Anwendungen installieren,die Dateierweiterungsregistrierungen in der Registrierung ändern.

Diese Regel ist eine einschränkendere Alternative als Missbrauch von .EXE undanderen Erweiterungen für ausführbare Dateien.

Ändern von Richtlinien fürBenutzerrechte

Schützt Registrierungswerte mit Windows-Sicherheitsinformationen.Diese Regel verhindert, dass durch Würmer Konten geändert werden, dieAdministratorrechte haben.

Erstellen neuer ausführbarerDateien imProgrammdateien-Ordner

Verhindert das Erstellen neuer ausführbarer Dateien im Ordner"Programme".Diese Regel verhindert, dass Adware und Spyware neue EXE- undDLL-Dateien erstellen sowie neue ausführbare Dateien im Ordner"Programme" installieren.

Wir empfehlen, Anwendungen vor der Aktivierung dieser Regel zuinstallieren oder die blockierten Prozesse der Ausschlusslistehinzuzufügen.



Tabelle 3-2 (Fortsetzung)


Beschreibung

Erstellen neuer ausführbarerDateien im Windows-Ordner

Verhindert das Erstellen von Dateien über sämtliche Prozesse, nicht nurüber das Netzwerk.Diese Regel verhindert das Erstellen von EXE- und DLL-Dateien imWindows-Ordner.

Fügen Sie Prozesse der Ausschlussliste hinzu, die Dateien imWindows-Ordner ablegen müssen.

Deaktivieren vonRegistrierungseditor und TaskManager

Schützt Registrierungseinträge in Windows und verhindert dasDeaktivieren von Registrierungseditor und Task-Manager.

Deaktivieren Sie bei einem Virenausbruch diese Regel, um dieRegistrierung zu ändern, oder öffnen Sie den Task Manager, um aktiveProzesse zu beenden.

Ausführen von Skripten durchWindows Script Host (CScript.exeoder Wscript.exe) aus einemTemp-Ordner

Verhindert das Ausführen von VBScript- und JavaScript-Skripten durchden Windows Scripting Host in einem Ordner, dessen Name "temp"enthält.Die Regel schützt vor vielen Trojanern und fragwürdigenWebinstallationsmechanismen, die von Adware- undSpyware-Anwendungen verwendet werden.

Sie könnte allerdings die Installation oder Ausführung legitimer Skripteund Drittanbieter-Anwendungen blockieren.

Missbrauch von .EXE oderanderen Erweiterungen fürausführbare Dateien

Schützt .EXE, .BAT und andere ausführbare Registrierungsschlüssel unter"HKEY_CLASSES_ROOT".Diese Regel verhindert, dass Malware Registrierungsschlüssel ändert undso der Virus gemeinsam mit einer anderen ausführbaren Datei ausgeführtwird.

Diese Regel ist eine weniger einschränkende Alternative zu Ändern derRegistrierung aller Dateierweiterungen.

Installieren vonBrowserhilfsobjekten oderShell-Erweiterungen

Verhindert, dass Adware, Spyware und Trojaner als Browserhilfsobjekteauf dem Host-Computer installiert werden.Diese Regel verhindert, dass Adware und Spyware auf Systemeninstalliert werden.

Damit legitime benutzerdefinierte Anwendungen oderDrittanbieter-Anwendungen diese Objekte installieren können, fügen Siesie der Ausschlussliste hinzu. Nach der Installation können Sie die Regelwieder aktivieren, weil das Funktionieren installierter Browserhilfsobjektenicht behindert wird.

Installieren neuer CLSIDs,APPIDs und TYPELIBs

Verhindert die Installation oder Registrierung neuer COM-Server.Diese Regel schützt vor Adware- und Spyware-Programmen, die sich alsCOM-Add-On im Internet Explorer oder in Microsoft Office-Anwendungeninstallieren.

Fügen Sie legitime Anwendungen, die COM-Add-Ons registrieren(einschließlich häufiger Anwendungen wie Macromedia Flash), zurAusschlussliste hinzu, damit sie nicht blockiert werden.





Beschreibung

Starten von Dateien aus demOrdner "HeruntergeladeneProgrammdateien" mit InternetExplorer

Verhindert die Installation von Software über den Webbrowser. DieseRegel gilt für den Microsoft Internet Explorer.Da diese Regel auch die Installation legitimer Software blockieren kann,installieren Sie die Anwendung vor der Aktivierung dieser Regel, oderfügen Sie den Installationsprozess als Ausnahme hinzu.

Für die Regel ist standardmäßig die Aktion Bericht festgelegt.

Diese Regel verhindert, dass Adware und Spyware aus diesem Ordnerausführbare Dateien installieren und ausführen.

Ändern vonWindows-Kernprozessen

Verhindert, dass Dateien mit den häufigsten Spoof-Namen erstellt oderausgeführt werden.Diese Regel verhindert, dass Viren und Trojaner mit dem Namen einesWindows-Prozesses ausgeführt werden. Authentische Windows-Dateienwerden ausgeschlossen.

Ändern von InternetExplorer-Einstellungen

Blockiert Prozesse, die Änderungen an Einstellungen im Internet Explorervornehmen.Diese Regel verhindert, dass Startseiten-Trojaner, -Adware und -SpywareÄnderungen an Browser-Einstellungen vornehmen, beispielsweise dieStartseite ändern oder Favoriten installieren.

Ändern vonNetzwerkeinstellungen

Verhindert Änderungen an den Netzwerkeinstellungen des Systems durchProzesse, die nicht in der Ausschlussliste enthalten sind.Diese Regel schützt vor Mehrschicht-Dienstanbietern, die Daten (z. B.zum Surfverhalten) übertragen, indem sie Netzwerkverkehr abfangenund an Drittanbieter-Sites senden.

Fügen Sie Prozesse, die die Netzwerkeinstellungen ändern müssen, derAusschlussliste hinzu, oder deaktivieren Sie die Regel, währendÄnderungen vorgenommen werden.

Registrieren von Programmen fürAutorun

Verhindert, dass Adware, Spyware, Trojaner und Viren versuchen, sich zuregistrieren und bei jedem Neustart des Systems zu laden.Diese Regel verhindert die Registrierung von Prozessen, die bei jedemNeustart des Systems ausgeführt werden, durch Prozesse, die nicht inder Ausschlussliste enthalten sind.

Fügen Sie zulässige Anwendungen der Ausschlussliste hinzu, oderinstallieren Sie sie vor der Aktivierung der Regel.

Remote-Zugreifen auf lokaleDateien oder Ordner

Verhindert den Lese- und Schreibzugriff von Remote-Computern auf denComputer.Die Regel schützt vor dem Ausbreiten eines Wurms von einer Freigabezur nächsten.

In einer typischen Umgebung ist die Regel für Workstations geeignet,aber nicht für Server, und nur dann sinnvoll, wenn Computer tatsächlichangegriffen werden.

Wenn ein Computer mithilfe von Push-Dateien verwaltet wird, verhindertdie Regel, dass Aktualisierungen oder Patches installiert werden. DieseRegel hat keine Auswirkungen auf die Verwaltungsfunktionen von McAfeeePO.





Beschreibung

Remote-Erstellen vonAutorun-Dateien

Verhindert, dass andere Computer eine Verbindung herstellen undautomatisch ausführbare Dateien (autorun.inf) erstellen oder ändern.Diese Dateien werden zum automatischen Starten von Programmdateien,typischerweise Setup-Dateien von CDs, verwendet.

Diese Regel verhindert, dass Spyware und Adware von CDs ausgeführtwerden.

Für die Regel sind standardmäßig die Aktionen Blockieren und Berichtausgewählt.

Remote-Erstellen oder -Ändernvon Dateien oder Ordnern

Blockiert den Schreibzugriff auf alle Freigaben.Diese Regel ist bei einem Virenausbruch hilfreich, weil sie denSchreibzugriff verhindert und somit das Ausbreiten der Infektionbegrenzt. Sie blockiert Malware, die andernfalls die Verwendung desComputers oder Netzwerks ernsthaft einschränken würde.

In einer typischen Umgebung ist die Regel für Workstations geeignet,aber nicht für Server, und nur dann sinnvoll, wenn Computer tatsächlichangegriffen werden.

Wenn ein Computer mithilfe von Push-Dateien verwaltet wird, verhindertdie Regel, dass Aktualisierungen oder Patches installiert werden. DieseRegel hat keine Auswirkungen auf die Verwaltungsfunktionen von McAfeeePO.

Remote-Erstellen oder -Ändernvon übertragbaren ausführbarenDateien, .INI- und .PIF-Dateitypensowie Core-Systemspeicherorten

Verhindert, dass andere Computer eine Verbindung herstellen undausführbare Dateien ändern, wie etwa Dateien im Windows-Ordner. DieseRegel gilt nur für Dateitypen, die häufig von Viren infiziert werden.Diese Regel schützt vor der schnellen Ausbreitung von Würmern oderViren, die ein Netzwerk durch offene oder administrative Freigabendurchlaufen.

Diese Regel ist eine weniger sichere Alternative zu Alle Freigaben mitSchreibschutz versehen.

Ausführen von Dateien aus einemTemp-Ordner

Blockiert alle ausführbaren Dateien, sodass sie nicht in einem Ordnerausgeführt oder gestartet werden, dessen Name "temp" enthält.Diese Regel verhindert, dass Malware im Temp-Ordner des Benutzersoder Systems gespeichert und ausgeführt wird. Zu dieser Malware zählenausführbare Anhänge in E-Mails und heruntergeladene Programme.

Obwohl die Regel den höchsten Schutz bietet, könnte die Installationlegitimer Anwendungen blockiert werden.

Ausführen von Dateien imTemp-Ordner durch häufiggenutzte Programme

Verhindert, dass Anwendungen Software über den Browser oder denE-Mail-Client installieren können.Diese Regel verhindert die Ausführung von E-Mail-Anhängen undausführbaren Dateien auf Webseiten.

Um eine Anwendung zu installieren, die den Temp-Ordner verwendet,fügen Sie den Prozess der Ausschlussliste hinzu.

Siehe auch Konfigurieren der von McAfee definierten Zugriffsschutzregeln auf Seite 53



Konfigurieren benutzerdefinierter ZugriffsschutzregelnBenutzerdefinierte Regeln ergänzen den Schutz durch die von McAfee definierten Regeln. Sie könnendie Konfiguration dieser Regeln aktivieren, deaktivieren und ändern sowie Regeln hinzufügen undlöschen.








5 Stellen Sie sicher, dass der Zugriffsschutz aktiviert ist.


6 Erstellen Sie die Regel:

a Klicken Sie im Abschnitt Regeln auf Hinzufügen.

b Konfigurieren Sie auf der Seite Regel hinzufügen die Einstellungen.

c Klicken Sie im Abschnitt Ausführbare Dateien auf Hinzufügen, konfigurieren Sie die Eigenschaften derausführbaren Datei, und klicken Sie auf Speichern.

Bei einer leeren Tabelle ausführbarer Dateien werden alle ausführbaren Dateien eingeschlossen.

d Klicken Sie im Abschnitt Untergeordnete Regeln auf Hinzufügen, und konfigurieren Sie dieEigenschaften der untergeordneten Regel.

Der Vorgang Lesen könnte sich auf die Leistung auswirken.

e Klicken Sie im Abschnitt Parameter auf Hinzufügen, konfigurieren Sie die Parameterinformationen,und klicken Sie zweimal auf Speichern.

f Wählen Sie für die Regel im Abschnitt Regeln die Option Blockieren oder Bericht bzw. beide Optionenaus.

Wählen Sie in der ersten Zeile Blockieren oder Bericht, um alle zu blockieren oder zu melden.

Aufgaben• Bewerten von Parametern in untergeordneten Zugriffsschutzregeln auf Seite 59

Jeder Parameter wird entweder mit einer Einschließen- oder Ausschließen-Richtliniehinzugefügt.



Bewerten von Parametern in untergeordneten ZugriffsschutzregelnJeder Parameter wird entweder mit einer Einschließen- oder Ausschließen-Richtlinie hinzugefügt.

Wird ein Systemereignis anhand einer untergeordneten Regel bewertet, gibt die untergeordnete Regeltrue zurück, wenn:

• Für mindestens einen Einschluss true zurückgegeben wird.

und

• Für alle Ausschlüsse false zurückgegeben wird.

Ausschlüsse haben Vorrang vor Einschlüssen. Beispiele:

• Wenn eine untergeordnete Regel eine Datei C:\marketing\jjohns einschließt und dieselbe Dateiausschließt, wird die untergeordnete Regel nicht ausgelöst, wenn die Datei C:\marketing\jjohns ist.

• Wenn eine untergeordnete Regel alle Dateien einschließt, die Datei C:\marketing\jjohns jedochausschließt, wird die untergeordnete Regel ausgelöst, wenn die Datei nicht C:\marketing\jjohns ist.

• Wenn eine untergeordnete Regel eine Datei C:\marketing\* einschließt, aber C:\marketing\jjohnsausschließt, wird die untergeordnete Regel ausgelöst, wenn die Datei C:\marketing\jeder ist; bei C:\marketing\jjohns wird sie hingegen nicht ausgelöst.

Ausschließen von Prozessen aus dem ZugriffsschutzWird ein vertrauenswürdiges Programm blockiert, schließen Sie den Prozess durch die Erstellung einesrichtlinien- oder regelbasierten Ausschlusses aus.









5 Stellen Sie sicher, dass der Zugriffsschutz aktiviert ist.


6 Führen Sie eine der folgenden Aktionen aus:


RichtlinienbasiertenAusschluss erstellen

1 Klicken Sie im Abschnitt Ausschlüsse auf Hinzufügen, um Prozessehinzuzufügen, die von allen Regeln ausgeschlossen werden sollen.

2 Konfigurieren Sie auf der Seite Ausführbare Datei hinzufügen dieEigenschaften der ausführbaren Datei.

3 Klicken Sie auf Speichern und dann auf Übernehmen, um die Einstellungenzu speichern.

RegelbasiertenAusschluss erstellen

1 Bearbeiten Sie eine vorhandene Regel, oder fügen Sie eine neue Regelhinzu.

2 Klicken Sie auf der Seite Regel hinzufügen oder Regel bearbeiten auf Hinzufügen,um eine auszuschließende ausführbare Datei hinzuzufügen.

3 Konfigurieren Sie auf der Seite Ausführbare Datei hinzufügen dieEigenschaften der ausführbaren Datei.

4 Klicken Sie zum Speichern der Ausschlüsse auf Speichern.

Blockieren von Buffer Overflow-ExploitsExploit-Schutz verhindert, dass Buffer Overflows zur Ausführung von beliebigem Code ausgenutztwerden können. Diese Funktion überwacht im Benutzermodus ausgeführte API-Aufrufe und erkennt,wenn diese das Ergebnis eines Buffer Overflows sind.

Bei einer Erkennung werden die entsprechenden Informationen im Aktivitätsprotokoll aufgezeichnet,im Client-System angezeigt und an den Management-Server gesendet (wenn konfiguriert).

Von Bedrohungsschutz wird eine Exploit-Schutz-Content-Datei verwendet, um Anwendungen wieMicrosoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word und MSN Messengerzu schützen.

Host Intrusion Prevention 8.0 kann auf dem gleichen System wie Endpoint Security 10.1 installiertwerden. Wenn McAfee Host IPS aktiviert ist, wird der Exploit-Schutz deaktiviert, selbst wenn er in denRichtlinieneinstellungen aktiviert ist.



Auftreten von Buffer Overflow-ExploitsAngreifer verwenden Buffer Overflow-Exploits zum Ausführen von Code, indem die für einenEingabeprozess reservierten Speicherpuffer mit fester Größe überflutet werden. Mit diesem Code kannder Angreifer den Zielcomputer übernehmen oder seine Dateien schädigen.

Über 25 Prozent der Malware-Angriffe sind Buffer Overflow-Angriffe, bei denen benachbarter Speicherim Stack-Frame überschrieben werden soll.

Es gibt zwei Typen von Buffer Overflow-Exploits:

• Stack-basierte Angriffe verwenden die Stack-Speicherobjekte zum Speichern von Benutzereingaben(häufigster Typ).

• Heap-basierte Angriffe überfluten den für ein Programm reservierten Speicherplatz (seltener Typ).

Das Stack-Speicherobjekt mit fester Größe ist leer und wartet auf Benutzereingaben. Wenn einProgramm Eingaben des Benutzers empfängt, werden die Daten am Anfang des Stacks gespeichert,und ihnen wird eine Absenderspeicheradresse zugewiesen. Beim Verarbeiten des Stacks werden dieEingaben des Benutzers an die vom Programm angegebene Absenderadresse gesendet.

Der folgenden Prozess beschreibt einen Stack-basierten Buffer Overflow-Angriff:

1 Überlaufen des Stacks.

Beim Schreiben des Programms wird eine bestimmte Menge an Speicherplatz für die Datenreserviert. Der Stack läuft über, wenn die Menge der geschriebenen Daten größer ist als der für sieim Stack-Speicher reservierte Speicherplatz. Diese Situation stellt nur in Kombination mitbösartigen Eingaben ein Problem dar.

2 Ausnutzen des Überlaufs.

Das Programm wartet auf eine Benutzereingabe. Wenn der Angreifer einen ausführbaren Befehleingibt, der die Stack-Größe überschreitet, wird der Befehl außerhalb des reserviertenSpeicherplatzes gespeichert.

3 Ausführen der Malware.

Der Befehl wird nicht automatisch ausgeführt, wenn er den Stack-Pufferspeicherplatz überschreitet.Zunächst stürzt das Programm aufgrund des Buffer Overflow ab. Wenn der Angreifer eineAbsenderspeicheradresse verwendet hat, die sich auf den bösartigen Befehl bezieht, versucht dasProgramm, damit eine Wiederherstellung vorzunehmen. Wenn die Absenderadresse gültig ist, wirdder bösartige Befehl ausgeführt.

4 Ausnutzen der Berechtigungen.

Die Malware wird nun mit den gleichen Berechtigungen ausgeführt wie die Anwendung, diemanipuliert wurde. Da Programme in der Regel im Kernel-Modus oder mit von einem Dienstkontogeerbten Berechtigungen ausgeführt werden, kann der Angreifer jetzt die vollständige Kontrolleüber das Betriebssystem erlangen.

Konfigurieren Exploit-Schutz-Richtlinieneinstellungen.Sie müssen die für den Exploit-Schutz konfigurieren, um zu verhindern, dass beliebiger Code vonAnwendungen auf dem verwalteten Computer ausgeführt werden kann.









4 Klicken Sie auf Exploit-Schutz.

5 Konfigurieren Sie die Einstellungen auf der Seite, klicken Sie auf Anwenden, um Ihre Änderungen zuspeichern, oder klicken Sie auf Abbrechen.


Ausschließen von Prozessen aus dem Exploit-SchutzWenn der Exploit-Schutz verletzt wird, gibt es einen zugeordneten Prozess und ein möglichesAnrufermodul oder eine API.

Wenn Sie vermuten, dass die gemeldete Verletzung ein False-Positive ist, können Sie einen Ausschlusshinzufügen, der den Namen der Prozessdatei angibt. Sie können auch das Anrufermodul oder die APIfestlegen.

Innerhalb eines Ausschlusses sind der Vorgang, das Modul und die API durch ein logisches ANDverbunden. Alle Elemente, die mit dem dem Verletzungsereignis zugeordneten Prozess, Modul bzw.der API übereinstimmen, werden ausgeschlossen.

Alle Ausschlüsse sind unabhängig voneinander: Mehrere Ausschlüsse sind durch ein logisches ORverbunden, sodass bei einer Übereinstimmung das Verletzungsereignis verhindert wird.

Erkennen von potenziell unerwünschten ProgrammenWenn Sie den verwalteten Computer vor potenziell unerwünschten Programmen schützen möchten,müssen Sie Dateien und Programme festlegen, die in Ihrer Umgebung erkannt werden sollen unddann die Erkennung aktivieren.

Potenziell unerwünschte Programme werden als Softwareprogramme definiert, die als störendempfunden werden oder den Sicherheitsstatus oder die Datenschutzrichtlinien des Systems verändern.Potenziell unerwünschte Programme können in Programmen eingebettet sein, die Benutzerherunterladen. Dazu können auch Spyware, Adware und Dialer zählen.

1 Legen Sie in den Richtlinieneinstellungen benutzerdefinierte Programme fest, die derOn-Access-Scanner und der On-Demand-Scanner als unerwünschte Programme behandeln soll.

2 Aktivieren Sie die Erkennung unerwünschter Programme, und legen Sie unter folgendenEinstellungen die Aktionen fest, die bei Erkennungen ausgeführt werden sollen:

• On-Access-Scan

• On-Demand-Scan



Siehe auch Legen Sie benutzerdefinierte, potenziell unerwünschte Programme für die Erkennung fest aufSeite 63Aktivieren und Konfigurieren der Erkennung potenziell unerwünschter Programme sowie derfolgenden Reaktion auf Seite 64Konfigurieren von Richtlinieneinstellungen für auf Seite 65Konfigurieren Sie die für den On-Demand-Scan auf Seite 70

Legen Sie benutzerdefinierte, potenziell unerwünschte Programme für dieErkennung festLegen Sie in den Richtlinieneinstellungen weitere Programme fest, die der On-Access-Scanner und derOn-Demand-Scanner als unerwünschtes Programm behandeln sollen.


Die Scanner erkennen die Programme, die Sie festlegen sowie Programme, die in den AMCoreContent-Dateien festgelegt sind.






4 Klicken Sie auf Optionen.

5 In Erkennung von potenziell unerwünschten Programmen:

• Klicken Sie auf Hinzufügen, um den Namen und die optionale Beschreibung einer Datei oder einesProgramms festzulegen, die bzw. das als potenziell unerwünschtes Programm behandelt werdensoll.

Die Beschreibung wird im Fall einer Erkennung als Erkennungsname angezeigt.

• Doppelklicken Sie zum Ändern auf den Namen oder die Beschreibung von einem vorhandenenunerwünschten Programm.

• Wählen Sie ein vorhandenes potenziell unerwünschtes Programm aus, und klicken Sie dann aufLöschen, um es von der Liste zu entfernen.




Aktivieren und Konfigurieren der Erkennung potenziell unerwünschterProgramme sowie der folgenden ReaktionAktivieren Sie die Funktionen im On-Access- und On-Demand-Scanner zur Erkennung potenziellunerwünschte Programme, und legen Sie die Reaktion fest, wenn eines erkannt wurde.



1 Konfigurieren Sie Richtlinieneinstellungen für den .

a Öffnen Sie den Endpoint Security-Client.

b Klicken Sie auf der Status-Hauptseite auf Threat Prevention.

Sie können auch im Menü Aktion Einstellungen wählen. Klicken Sie dann auf der SeiteEinstellungen auf Threat Prevention.

c Klicken Sie auf Erweiterte anzeigen.

d Klicken Sie auf On-Access-Scan.

e WählOn-Access-Scanen Sie für jeden On-Access Scan-Typ unter ProzesseinstellungenUnerwünschteProgramme erkennen.

f Konfigurieren Sie unter Aktionen Reaktionen auf unerwünschte Programme.

2 Konfigurieren Sie die Richtlinieneinstellungen für den .

a Öffnen Sie den Endpoint Security-Client.

b Klicken Sie auf der Status-Hauptseite auf Threat Prevention.

Sie können auch im Menü Aktion Einstellungen wählen. Klicken Sie dann auf der SeiteEinstellungen auf Threat Prevention.

c Klicken Sie auf Erweiterte anzeigen.

d Klicken Sie auf On-Demand-Scan.

e Für jeden Scan-Typ (Vollständiger Scan, Schnellscan und Scan per Kontextmenü):

• Wählen Sie Unerwünschte Programme erkennen.

• Konfigurieren Sie unter Aktionen Reaktionen auf unerwünschte Programme.

Siehe auch Konfigurieren von Richtlinieneinstellungen für auf Seite 65Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Anmelden als Administrator auf Seite 25



Konfigurieren gemeinsamer Scan-EinstellungenUm Einstellungen festzulegen, die sowohl für On-Access- als auch für On-Demand-Scans gelten,konfigurieren Sie die Bedrohungsschutz der Bedrohungsschutz-.


Die folgenden Einstellungen gelten für alle Scans:

• Quarantäne-Speicherort und die Dauer in Tagen, für die isolierte Elemente vor ihrer automatischenLöschung gespeichert werden

• Erkennungsnamen, die von Scans ausgeschlossen werden sollen

• Potenziell unerwünschte Programme für die Erkennung, wie Spyware und Adware

• McAfee GTI-basiertes Telemetrie-Feedback



2 Klicken Sie auf der Status-Hauptseite auf Bedrohungsschutz.

Sie können auch im Menü Aktion Einstellungen wählen. Klicken Sie dann auf der Seite Einstellungenauf Bedrohungsschutz.

3 Klicken Sie auf Erweiterte einblenden.



Siehe auch Anmelden als Administrator auf Seite 25Konfigurieren von Richtlinieneinstellungen für auf Seite 65Konfigurieren Sie die für den On-Demand-Scan auf Seite 70

Konfigurieren von Richtlinieneinstellungen für Mit diesen Einstellungen können Sie On-Access-Scans aktivieren und konfigurieren. Sie können auchNachrichten festlegen, die bei einer erkannten Bedrohung gesendet werden und verschiedeneEinstellungen entsprechend dem Prozesstyp konfigurieren.


Informationen zu weiteren Scan-Konfigurationsoptionen finden Sie in der Hilfe für die Einstellungen derBedrohungsschutz-Optionen.








4 Klicken Sie auf On-Access-Scan.

5 Wählen Sie On-Access-Scan aktivieren, um den On-Access-Scanner zu aktivieren und Optionen zuändern.

6 Legen Sie fest, ob Sie Standard-Einstellungen für alle Prozesse verwenden möchten oderunterschiedliche Richtlinien für Prozesse mit hohem und niedrigem Risiko.

• Standard-Einstellungen – Konfigurieren Sie die Scan-Einstellungen auf der RegisterkarteStandard.

• Unterschiedliche Einstellungen entsprechend dem Prozesstyp – Konfigurieren Sie auf derRegisterkarte (Standard, Hohes Risiko oder Niedriges Risiko) die Scan-Einstellungen für jedenProzesstyp.


Siehe auch Anmelden als Administrator auf Seite 25Konfigurieren gemeinsamer Scan-Einstellungen auf Seite 65

Funktionsweise von On-Access-ScansDer On-Access-Scanner integriert sich in die tiefsten Ebenen des Systems (Dateisystem-Filtertreiber),und scannt Dateien an der Stelle, an der sie zuerst in das System gelangen.

Der On-Access-Scanner sendet bei Erkennungen Benachrichtigungen an die Benutzeroberfläche desDienstes.

Wenn versucht wird, eine Datei zu öffnen oder zu schließen, fängt der Scanner den Vorgang ab undführt die folgenden Aktionen aus:

1 Der Scanner bestimmt, ob das Element aufgrund der folgenden Kriterien gescannt werden soll:

• Die Dateierweiterung stimmt mit der Konfiguration überein.

• Die Datei wurde nicht im Cache abgelegt, ausgeschlossen oder bereits zu einem früherenZeitpunkt gescannt.

Wenn Sie McAfee GTI konfigurieren, wird vom Scanner eine Heuristik zur Überprüfung aufverdächtige Dateien verwendet.

2 Wenn die Datei die Scan-Kriterien erfüllt, vergleicht sie der Scanner mit den Signaturen in denaktuell geladenen AMCore Content-Dateien.

• Wenn die Datei "sauber" ist, wird das Ergebnis in den Cache kopiert und der Zugriff für Lese-oder Schreibvorgänge wird erteilt.

• Enthält die Datei eine Bedrohung, wird der Vorgang verweigert, und der Scanner führt diekonfigurierte Aktion aus.



Wenn die Aktion beispielsweise das Säubern der Datei vorsieht, geschieht Folgendes:

1 Verwenden der Informationen in der aktuell geladenen AMCore Content-Datei, um die Dateizu säubern.

2 Die Ergebnisse werden im Aktivitätsprotokoll aufgezeichnet.

3 Der Benutzer wird benachrichtigt, dass in der Datei eine Bedrohung erkannt wurde, und erwird aufgefordert, eine Aktion auszuwählen (Säubern oder Löschen der Datei).

Windows 8 und 10: Wenn vom Scanner eine Bedrohung im Pfad einer installierten WindowsStore-App erkannt wird, wird die App als manipuliert gekennzeichnet. Die Kennzeichnung fürmanipulierte Dateien wird von Windows zur Kachel der App hinzugefügt. Bei einemAusführungsversuch benachrichtigt Sie Windows von dem Problem und leitet Sie zum WindowsStore weiter, damit Sie die App neu installieren.

3 Wenn die Datei nicht den Scan-Anforderungen entspricht, wird sie im Cache abgelegt, und derVorgang wird zugelassen.


Der Bedrohungsschutz leert den globalen Scan-Cache und scannt alle Dateien erneut, wenn:

• Die On-Access-Scan-Konfiguration geändert wird.

• Eine EXTRA.DAT-Datei hinzugefügt wird.

Scannen beim Schreiben auf oder Lesen von Datenträger oder wenn McAfeeentscheiden sollSie können festlegen, wann der On-Access-Scanner Dateien scannt: beim Schreiben auf einenDatenträger oder beim Lesen von einem Datenträger. Sie können auch McAfee die Entscheidungüberlassen, wann ein Scan ausgeführt wird.



Beim Schreiben von Dateien auf den Datenträger werden vom On-Access-Scanner die folgendenDateien gescannt:

• Eingehende Dateien, die auf die lokale Festplatte geschrieben werden.

• Dateien, die auf der lokalen Festplatte oder einem zugeordneten Netzwerklaufwerk, wenn aktiviert,erstellt werden (hierzu gehören neue Dateien, geänderte Dateien und Dateien, die von einemLaufwerk auf ein anderes kopiert oder verschoben werden).

Da der Scan fehlschlagen könnte, wenn die Datei auf einen Datenträger geschrieben wird, wird dieAktivierung der Option Beim Lesen von einem Datenträger dringend empfohlen.

Beim Lesen von Dateien auf dem Datenträger werden vom Scanner die folgenden Dateien gescannt:

• Ausgehende Dateien, die von der lokalen Festplatte oder zugeordneten Netzwerklaufwerken (wennaktiviert) gelesen werden.

• Dateien, die versuchen, einen Vorgang auf der lokalen Festplatte auszuführen.

• Dateien, die auf der lokalen Festplatte geöffnet werden.

Wenn Sie McAfee die Entscheidung überlassen, ob ein Scan für eine Datei nötig ist, verwendet derOn-Access-Scanner Vertrauenslogik für die Scan-Optimierung. Vertrauenslogik verbessert IhreSicherheit und beschleunigt die Leistung durch Vermeidung unnötiger Scans. Beispielsweise analysiertMcAfee bestimmte Programme und betrachtet sie als vertrauenswürdig. Wenn McAfee verifiziert, dassdiese Programme nicht manipuliert wurden, wird möglicherweise nur ein reduzierter oder optimierterScan ausgeführt.

Informationen zu ScriptScanDer Bedrohungsschutz-Skript-Scanner wird als Proxy-Komponente des nativen Windows Script Hostsausgeführt. Er fängt Skripte vor der Ausführung ab und scannt sie.



• Wenn das Skript sauber ist, wird es vom Skript-Scanner an die native Komponente Windows ScriptHost übergeben.

• Enthält das Skript eine potenzielle Bedrohung, verhindert der Skript-Scanner dessen Ausführung.

ScriptScan-Ausschlüsse

Die Leistung Skript-intensiver Websites und webbasierter Anwendungen kann durch die Aktivierungvon ScriptScan beeinträchtigt werden. Statt ScriptScan zu deaktivieren, sollten Sie URL-Ausschlüssefür vertrauenswürdige Sites festlegen, etwa für Sites innerhalb eines Intranets oder fürWeb-Anwendungen, die bekanntermaßen sicher sind.

Bei Erstellung von URL-Ausschlüssen:

• Verwenden Sie keine Platzhalterzeichen.

• Verwenden Sie keine Portnummern.

• Wir empfehlen, dass Sie nur vollqualifizierte Domänennamen (FQDN) und NetBIOS-Namenverwenden.

Auf Windows Server 2008-Systemen können ScriptScan-URL-Ausschlüsse im Internet Explorer nurverwendet werden, wenn Sie Browsererweiterungen von Drittanbietern aktivieren und das System neustarten. Weitere Informationen finden Sie im KnowledgeBase-Artikel KB69526.

ScriptScan und Internet Explorer

Nach der Installation von Bedrohungsschutz werden Sie beim ersten Starten vom Internet Explorerdazu aufgefordert, ein oder mehrere McAfee-Add-Ons zu aktivieren. Folgende Bedingungen müssenerfüllt sein, damit Skripte mithilfe von ScriptScan gescannt werden:

• Die Einstellung ScriptScan aktivieren muss ausgewählt sein.

• Das Add-On muss im Browser aktiviert sein.

Wenn ScriptScan beim Start vom Internet Explorer deaktiviert ist und dann aktiviert wird, erkennt eskeine bösartigen Skripte in dieser Instanz vom Internet Explorer. Nach der Aktivierung von ScriptScanmüssen Sie den Internet Explorer neu starten, um bösartige Skripte zu erkennen.

Bestimmen der Scan-Einstellungen für ProzesseMit folgendem Verfahren prüfen Sie, ob Sie verschiedene Einstellungen je nach Prozesstypkonfigurieren sollten.




Konfigurieren Sie die für den On-Demand-Scan Diese Einstellungen konfigurieren das Verhalten der drei vordefinierten On-Demand-Scans:Vollständiger Scan, Schnellscan und Scan per Kontextmenü.


Informationen zu weiteren Scan-Konfigurationsoptionen finden Sie in der Hilfe für die Einstellungen derBedrohungsschutz-Optionen.





2 Klicken Sie auf der Status-Hauptseite auf Bedrohungsschutz.

Sie können auch im Menü Aktion Einstellungen wählen. Klicken Sie dann auf der Seite Einstellungenauf Bedrohungsschutz.


4 Klicken Sie auf On-Demand-Scan.

5 Klicken Sie auf eine Registerkarte, um Einstellungen für den ausgewählten Scan zu konfigurieren.


• Schnellscan

• Scan per Kontextmenü


Siehe auch Anmelden als Administrator auf Seite 25Konfigurieren gemeinsamer Scan-Einstellungen auf Seite 65Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75

Funktionsweise von On-Demand-ScansDer On-Demand-Scanner durchsucht die Dateien, Ordner, den Speicher und die Registrierung aufMalware, durch die der Computer infiziert sein könnte.

Sie legen fest, wann und wie oft On-Demand-Scans ausgeführt werden. Sie können Ihre Systememanuell, zu einer geplanten Zeit oder beim Systemstart scannen.

1 Der On-Demand-Scanner verwendet folgende Kriterien, um festzulegen, ob das Element gescanntwerden muss:

• Die Dateierweiterung entspricht der Konfiguration.

• Die Datei befindet sich nicht im Cache, wurde ausgeschlossen oder zuvor nicht gescannt (wennder Scanner den Scan-Cache verwendet).

Wenn Sie McAfee GTI konfigurieren, wird vom Scanner eine Heuristik zur Überprüfung aufverdächtige Dateien verwendet.

2 Wenn die Datei die Scan-Kriterien erfüllt, vergleicht der Scanner die Informationen im Element mitden bekannten Malware-Signaturen in den aktuell geladenen AMCore Content-Dateien.

• Wenn die Datei "sauber" ist, wird das Ergebnis im Cache gespeichert und das nächste Elementüberprüft.

• Enthält die Datei eine Bedrohung, führt der Scanner die konfigurierte Aktion aus.



Wenn die Aktion beispielsweise das Säubern der Datei ist, führt der Scanner folgende Vorgängeaus:

1 Verwenden der Informationen in der aktuell geladenen AMCore Content-Datei, um die Dateizu säubern.

2 Aufzeichnen der Ergebnisse im Aktivitätsprotokoll.

3 Benachrichtigen des Benutzers, dass eine Bedrohung in der Datei erkannt wurde, unterAngabe des Elementnamens und der durchgeführten Aktion.

Windows 8 und 10: Wenn vom Scanner eine Bedrohung im Pfad einer installierten WindowsStore-App erkannt wird, wird die App als manipuliert gekennzeichnet. Die Kennzeichnung fürmanipulierte Dateien wird von Windows zur Kachel der App hinzugefügt. Bei einemAusführungsversuch benachrichtigt Sie Windows von dem Problem und leitet Sie zum WindowsStore weiter, damit Sie die App neu installieren.

3 Wenn die Datei nicht den Scan-Anforderungen entspricht, wird Sie vom Scanner nicht überprüft.Stattdessen wird der Scan-Vorgang fortgesetzt, bis alle Daten überprüft wurden.


Bedrohungsschutz leert den globalen Scan-Cache und scannt alle Dateien erneut, wenn eineEXTRA.DAT-Datei geladen wird.

Verringern der Beeinträchtigungen von Scans für die BenutzerLegen Sie beim Konfigurieren von On-Demand-Scans Leistungsoptionen fest, um die Auswirkungendieser Scans auf Systeme zu verringern.



Nur scannen, wenn das System im Leerlauf ist

Am einfachsten können Sie sicherstellen, dass durch den Scan keine Beeinträchtigungen für Benutzerentstehen, indem Sie den On-Demand-Scan nur dann ausführen, wenn sich der Computer im Leerlaufbefindet.

Bei Auswahl dieser Option hält der Bedrohungsschutz den Scan an, wenn Laufwerk- oderBenutzeraktivität erkannt wird, wie Zugriff über die Tastatur oder Maus. Der Bedrohungsschutz setztden Scan fort, wenn der Benutzer drei Minuten lang nicht auf das System zugegriffen hat.

Folgende Optionen stehen zur Verfügung:

• Benutzer können Scans fortsetzen, die aufgrund von Benutzeraktivität angehalten wurden.

• Scan nur ausführen, wenn der Computer des Systems im Leerlauf ist.

McAfee empfiehlt das Deaktivieren dieser Option auf Serversystemen und Systemen, auf die Benutzernur über die Remote-Desktop-Verbindung (RDP) zugreifen. Der Bedrohungsschutz stellt mithilfe vonMcTray fest, ob sich das System im Leerlauf befindet. Auf nur über RDP zugegriffene Systemen startetMcTray nicht und der On-Demand-Scanner wird nie ausgeführt.

Zur Problemumgehung können Benutzer manuell McTray starten (standardmäßig unter C:\Programme\McAfee\Agent\mctray.exe),wenn Sie sich über RDP anmelden.

Wählen Sie im Bereich Leistung der Scan-Task-Einstellungen-Registerkarte Nur scannen, wenn dasSystem im Leerlauf ist.

Scans werden automatisch angehalten

Zur Verbesserung der Leistung können Sie On-Demand-Scans anhalten, wenn das System imBatteriebetrieb ist. Sie können den Scan auch anhalten, wenn eine Anwendung, wie ein Browser,Media Player oder eine Präsentation im Vollbildmodus ausgeführt wird. Der Scan wird sofortfortgesetzt, wenn das System an die Stromversorgung angeschlossen wird oder sich nicht mehr imVollbildmodus befindet.

Wählen Sie diese Optionen im Bereich Leistung der Scan-Task-Einstellungen-Registerkarte:

• Keine Scans durchführen, wenn das System mit Batterie betrieben wird

• Keine Scans durchführen, wenn sich das System im Präsentationsmodus befindet (verfügbar, wenn Jederzeit scannenausgewählt ist)

Zulassen, dass Benutzer Scans verschieben

Wenn Sie Jederzeit scannen wählen, können Sie Benutzern gestatten, geplante Scans in Schritten voneiner Stunde (bis zu 24 Stunden lang oder unbegrenzt) zu verschieben. Jede Benutzerverschiebungdauert eine Stunde an. Wenn beispielsweise die Option Maximale Stundenanzahl, um die ein Scan verschobenwerden kann auf 2 festgelegt wurde, kann der Benutzer den Scan zweimal bzw. für zwei Stundenverschieben. Wenn die angegebene maximale Anzahl von Stunden abgelaufen ist, wird der Scanfortgesetzt. Falls Sie unbegrenzte Verschiebungen zulassen, indem Sie die Option auf null (0)festgelegen, kann der Benutzer den Scan auf unbegrenzte Zeit verschieben.

Wählen Sie im Bereich Leistung der Scan-Task-Einstellungen-Registerkarte Benutzer darf Scansverschieben:

Beschränken der Scan-Aktivität mit inkrementellen Scans

Verwenden Sie inkrementelle bzw. fortsetzbare Scans, um die Häufigkeit derOn-Demand-Scan-Aktivität einzuschränken und das gesamte System dennoch in mehreren Sitzungenzu scannen. Das inkrementelle Scannen kann verwendet werden, indem Sie dem geplanten Scan eine



Zeitbeschränkung hinzufügen. Der Scan wird angehalten, sobald die Zeitbeschränkung erreicht wurde.Beim nächsten Start wird der Task an der Stelle in der Datei oder der Ordnerstruktur fortgesetzt, ander der vorherige Scan angehalten wurde.

Wählen Sie im Bereich Optionen der Scan-Task-Planen-Registerkarte Diesen Task stoppen, wenn erlänger läuft als. Siehe Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75.

Konfigurieren der Systemauslastung

Systemauslastung legt die CPU-Zeit fest, die der Scanner während des Scan-Vorgangs empfängt.Legen Sie für Systeme mit Endbenutzeraktivität die Systemauslastung auf Niedrig fest.

Wählen Sie im Bereich Leistung der Scan-Task-Einstellungen-Registerkarte Systemauslastung.

Siehe auch Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75

Funktionsweise der SystemauslastungDer On-Demand-Scanner verwendet die von Windows festgelegte Prioritätseinstellung als Priorität fürScan-Vorgänge und Threads. Mit der Systemauslastungseinstellung (Drosselung) kann dasBetriebssystem die CPU-Zeit, die der On-Demand-Scanner empfängt, während des Scan-Vorgangsfestlegen.

Wenn die Systemauslastung für den Scan auf Niedrig eingestellt wird, wird die Leistung für andereausgeführte Anwendungen erhöht. Die niedrige Einstellung eignet sich für Systeme mitEndbenutzeraktivität. Umgekehrt wird der Scan-Vorgang schneller abgeschlossen, wenn Sie dieSystemauslastung auf Normal einstellen. Die normale Einstellung eignet sich für Systeme mit großenVolumes und wenig Endbenutzeraktivität.

Jeder Task wird unabhängig von den Beschränkungen anderer Tasks ausgeführt.

Tabelle 3-3 Standardprozesseinstellungen

Bedrohungsschutz-Prozesseinstellung Diese Option... Von WindowsfestgelegtePrioritätseinstellung

Niedrig Erhöht die Leistung für andereausgeführte Anwendungen.Wählen Sie diese Option fürSysteme mitEndbenutzeraktivität.

Niedrig

Niedriger als normal Legt Systemauslastung fürden Scan auf den McAfeeePO-Standard fest.

Niedriger als normal

Normal (Standard) Damit kann der Scan-Vorgangschneller abgeschlossenwerden. Wählen Sie dieseOption für Systeme mitgroßen Datenträgern undwenig Endbenutzeraktivität.

Normal



Funktionsweise des Scannens vom Remote-SpeicherSie können den On-Demand-Scanner so konfigurieren, dass der Inhalt von Dateien gescannt wird, dieder Remote-Speicher verwaltet.

Der Remote-Speicher überwacht die Größe des verfügbaren Speicherplatzes auf dem lokalen System.Falls nötig, migriert der Remote-Speicher automatisch den Inhalt (Daten) geeigneter Dateien vomClient-System zu einem Speichergerät, wie etwa eine Bandbibliothek. Wenn ein Benutzer eine Dateiöffnet, dessen Daten migriert wurden, ruft der Remote-Speicher automatisch die Daten vomSpeichergerät ab.

Wählen Sie die Option In den Speicher migrierte Dateien aus, um den On-Demand-Scanner so zukonfigurieren, dass vom Remote-Speicher verwaltete Dateien gescannt werden. Wenn der Scanner aufeine Datei mit migriertem Inhalt stößt, wird diese vor dem Scannen im lokalen Systemwiederhergestellt.

Weitere Informationen finden Sie unter Was ist ein Remote-Speicher.

Konfigurieren, Planen und Ausführen von Scan-Tasks Sie können über den Endpoint Security-Client in den Einstellungen für Allgemeingültig die Standard-Tasks fürEndpoint Security-Client und Allgemeingültig planen oder benutzerdefinierte Scan-Tasks erstellen.







5 Konfigurieren Sie die Einstellungen des Scan-Tasks auf der Seite.


BenutzerdefiniertenScan-Task erstellen


2 Geben Sie den Namen ein, wählen Sie aus der Dropdown-Liste dieOption Benutzerdefinierter Scan aus, und klicken Sie dann auf Weiter.

3 Konfigurieren Sie die Einstellungen und den Zeitplan des Scan-Tasks,und klicken Sie zum Speichern des Tasks auf OK.

Scan-Task ändern • Doppelklicken Sie auf den Task, nehmen Sie die gewünschtenÄnderungen vor, und klicken Sie zum Speichern des Tasks auf OK.

BenutzerdefiniertenScan-Task entfernen.


Kopie eines Scan-Taskserstellen


2 Geben Sie den Namen ein, konfigurieren Sie die Einstellungen, undklicken Sie zum Speichern des Tasks auf OK.



http://technet.microsoft.com/en-us/library/cc759742(v=ws.10).aspx


Zeitplan für den Taskvollständiger Scan oderSchnellscan ändern

1 Doppelklicken Sie auf vollständiger Scan oder Schnellscan.

2 Klicken Sie auf die Registerkarte Zeitplan, nehmen Sie die gewünschtenÄnderungen am Zeitplan vor, und klicken Sie zum Speichern des Tasksauf OK.

Die Einstellungen für die Tasks vollständiger Scan und Schnellscan könnennur auf selbstverwalteten Systemen konfiguriert werden.

Unter Konfigurieren Sie die für den On-Demand-Scan auf Seite 70erhalten Sie Informationen zum Konfigurieren des Standardverhaltensfür die Tasks vollständiger Scan und Schnellscan, die vom EndpointSecurity-Client initiiert werden.

Standardmäßig ist die Ausführung des vollständigen Scans für jedenMittwoch um Mitternacht geplant. Die Ausführung des Schnellscans isttäglich für 19 Uhr geplant. Die Zeitpläne sind aktiviert.

Scan-Task ausführen • Wählen Sie den Task aus, und klicken Sie dann auf Jetzt ausführen.


Wenn Sie einen Task ausführen, bevor die Änderungen übernommenwurden, werden Sie vom Endpoint Security-Client dazu aufgefordert,die Änderungen zu speichern.


Siehe auch Anmelden als Administrator auf Seite 25Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Ausführen eines vollständigen Scans oder Schnellscans auf Seite 42



4 Verwenden von Firewall

Die Firewall fungiert als Filter zwischen Ihrem Computer und dem Netzwerk oder dem Internet.

Inhalt Firewall – Funktionsweise Aktivieren oder Anzeigen von zeitbeschränkten Firewall-Gruppen Verwalten der Firewall

Firewall – FunktionsweiseDie Firewall scannt allen eingehenden und ausgehenden Datenverkehr.

Beim Prüfen des ein- oder ausgehenden Datenverkehrs kontrolliert die Firewall die Liste der Regeln,die einen Satz von Kriterien und zugehörigen Aktionen enthält. Wenn der Datenverkehr allen Kriterienin einer Regel entspricht, handelt die Firewall entsprechend der Regel und blockiert den Datenverkehrüber die Firewall oder lässt ihn zu.

Informationen zur Erkennung von Bedrohungen werden für Berichte gespeichert, die denAdministrator über Sicherheitsprobleme für Ihren Computer benachrichtigen.

Firewall-Optionen und -Regeln definieren, wie die Firewall arbeitet. In Regelgruppen werdenFirewall-Regeln zur einfachen Verwaltung organisiert.

Wenn der Client-Schnittstellenmodus auf Vollzugriff eingestellt ist, oder Sie als Administrator angemeldetsind, können Sie mithilfe des Endpoint Security-Client Regeln und Gruppen konfigurieren. Inverwalteten Systemen werden Regeln und Gruppen, die Sie erstellen, möglicherweise überschrieben,wenn der Administrator eine aktualisierte Richtlinie bereitstellt.

Siehe auch Konfigurieren der Firewall-Optionen auf Seite 78Funktionsweise von Firewall-Regeln auf Seite 81Funktionsweise von Firewall-Regelgruppen auf Seite 83

Aktivieren oder Anzeigen von zeitbeschränkten Firewall-Gruppen

Über das McAfee-Taskleistensymbol können Sie zeitbeschränkte Firewall-Gruppen aktivieren oderanzeigen.

Diese Optionen sind je nach konfigurierten Einstellungen möglicherweise nicht verfügbar.

4


Vorgehensweise• Klicken Sie mit der rechten Maustaste auf das McAfee-Taskleistensymbol, und wählen Sie aus dem

Menü Schnellkonfiguration eine Option aus.

• Zeitbeschränkte Firewall-Gruppen aktivieren – aktiviert zeitbeschränkte Gruppen für einen festgelegtenZeitraum, um den Nicht-Netzwerkzugriff auf das Internet zuzulassen, bevor Regeln angewendetwerden, die den Zugriff beschränken.

Bei jeder Auswahl dieser Option wird die Zeit für die Gruppen zurückgesetzt.

• Zeitbeschränkte Firewall-Gruppen anzeigen – zeigt die Namen der zeitbeschränkten Gruppen und dieverbleibende Zeit, für die die einzelnen Gruppen aktiv sind, an.

Verwalten der FirewallAls Administrator können Sie Firewall-Optionen konfigurieren und Regeln und Gruppen auf demEndpoint Security-Client erstellen.


Ändern von Firewall-OptionenAls Administrator können Sie Firewall-Optionen über denEndpoint Security-Client ändern.

Aufgaben• Konfigurieren der Firewall-Optionen auf Seite 78

Konfigurieren Sie Einstellungen in Optionen , um den Firewall-Schutz ein- undauszuschalten, den adaptiven Modus zu aktivieren und andere Firewall-Optionen zukonfigurieren.

• Blockieren des DNS-Datenverkehrs auf Seite 79Um den Firewall-Schutz zu optimieren, erstellen Sie eine Liste zu blockierender FQDNs.Firewall blockiert Verbindungen zu den IP-Adressen, die in die Domänennamen aufgelöstwerden.

Siehe auch FAQ – McAfee GTI und Firewall auf Seite 80

Konfigurieren der Firewall-Optionen Konfigurieren Sie Einstellungen in Optionen , um den Firewall-Schutz ein- und auszuschalten, denadaptiven Modus zu aktivieren und andere Firewall-Optionen zu konfigurieren.


4 Verwenden von FirewallVerwalten der Firewall




2 Klicken Sie auf der Status-Hauptseite auf Firewall.

Sie können auch im Menü Aktion Einstellungen auswählen. Klicken Sie dann auf der SeiteEinstellungen auf Firewall.

3 Wählen Sie Firewall aktivieren, um die Firewall zu aktivieren und die Optionen zu ändern.

Host Intrusion Prevention 8.0 kann auf dem gleichen System wie Endpoint Security 10.1 installiertwerden. Ist McAfee Host IPS installiert und aktiviert, wird die Endpoint Security-Firewall deaktiviert,selbst wenn sie in den Richtlinieneinstellungen aktiviert ist.

4 Klicken Sie auf Erweiterte einblenden.



Blockieren des DNS-DatenverkehrsUm den Firewall-Schutz zu optimieren, erstellen Sie eine Liste zu blockierender FQDNs. Firewallblockiert Verbindungen zu den IP-Adressen, die in die Domänennamen aufgelöst werden.





Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Firewall.

3 Klicken Sie unter DNS-Blockierung auf Hinzufügen.

4 Geben Sie den FQDN der zu blockierenden Domänen ein.

Sie können * und ? als Platzhalterzeichen verwenden. Beispiel: *domain.com.

Alle doppelten Einträge werden automatisch entfernt.


Verwenden von FirewallVerwalten der Firewall 4


FAQ – McAfee GTI und FirewallIn diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen.

FirewallOptionseinstellungen ermöglichen das Blockieren eingehenden und ausgehendenDatenverkehrs von einer Netzwerkverbindung, die McAfee GTI als "hohes Risiko" bewertet hat. Indieser häufig gestellten Frage wird die Funktionsweise von McAfee GTI erläutert und inwiefern sichdiese auf die Firewall auswirkt.

Was ist McAfee GTI?

McAfee GTI ist ein System zur globalen Reputationsanalyse von Internetseiten. Anhand vonEchtzeitanalysen der verhaltensbasierten Muster und Versendemuster für E-Mails, von Malware,Internetaktivität und des Verhaltens der Systeme untereinander ermittelt McAfee GTI positivesund negatives Verhalten im Internet. Mithilfe der Daten, die bei dieser Analyse ermittelt werden,berechnet McAfee GTI dynamisch die Reputationsfaktoren, die die Risikostufe darstellt, mit derdas Besuchen einer Webseite für Ihr Netzwerk eingeordnet wird. Das Ergebnis ist eineDatenbank mit Reputationsfaktoren für IP-Adressen, Domänen, spezifische Meldungen, URLsund Bilder.

Funktionsweise

Wenn die McAfee GTI-Optionen ausgewählt werden, werden zwei Firewall-Regeln erstellt: McAfeeGTI – Endpoint Security Firewall-Dienst zulassen und McAfee GTI – Bewertung anzeigen. Die erste Regel erlaubteine Verbindung zu McAfee GTI, und die zweite Regel blockiert Datenverkehr oder lässt ihn zu(auf der Grundlage der Reputation einer Verbindung und des festgelegtenBlockierungsschwellenwerts).

Was bedeutet "Reputation"?

Für jede IP-Adresse im Internet berechnet McAfee GTI einen Reputationswert. McAfee GTIbasiert den Wert auf dem Sende- oder Hosting-Verhalten und verschiedenen Umgebungsdaten,die von Kunden und Partnern zum Zustand der Bedrohungslandschaft im Internet erfasstwerden. Basierend auf unsere Analyse wird die Reputation in vier Klassen angegeben:• Minimales Risiko (Nicht blockieren) – Es handelt sich um eine zulässige Quelle oder ein zulässiges

Ziel für Inhalte/Datenverkehr.

• Nicht verifiziert – Es handelt sich um eine zulässige Quelle oder ein zulässiges Ziel für Inhalte/Datenverkehr. Offenbar sind auf dieser Site auch bestimmte Merkmale vorhanden, die daraufhinweisen, dass eine genauere Prüfung erforderlich ist.

• Mittleres Risiko – Diese Quelle/dieses Ziel weist ein Verhalten auf, das wir als verdächtigansehen. Die Inhalte/der Datenverkehr aus dieser Quelle bzw. an dieses Ziel erfordernbesondere Sorgfalt.

• Hohes Risiko – Diese Quelle/dieses Ziel ist bekannt dafür oder es ist wahrscheinlich, dasspotenziell bösartiger Inhalt/Datenverkehr von dort gesendet bzw. dort gehostet wird. UnsererAnsicht nach stellt diese Site ein ernsthaftes Risiko dar.

Führt McAfee GTI zu Latenz? In welchem Umfang?

Wenn McAfee GTI für die Reputations-Suche verwendet wird, ist eine gewisse Latenzunvermeidlich. McAfee hat alle Maßnahmen ergriffen, um diese so gering wie möglich zu halten.McAfee GTI:• Überprüfung der Reputationen erfolgt nur, wenn diese Optionen ausgewählt sind.

• Verwendung einer intelligenten Caching-Architektur. Bei normalen Netzwerknutzungsmusternkönnen die meisten der gewünschten Verbindungen anhand des Caches gelöst werden, ohnedass eine reale Reputationsabfrage erfolgen muss.

Wird der Datenverkehr gestoppt, wenn die Firewall keine Verbindung mit McAfeeGTI-Servern herstellen kann?

Wenn die Firewall keine Verbindung mit McAfee GTI-Servern herstellen kann, werden alleanwendbaren Verbindungen automatisch einer zugelassenen Standardreputation zugeordnet. ImAnschluss setzt die Firewall die Analyse der nächsten Regeln fort.



Konfigurieren Sie Firewall-Regeln und -GruppenAls Administrator können Sie Firewall-Regeln und -Gruppen auf dem Endpoint Security-Clientkonfigurieren.

Aufgaben• Erstellen und Verwalten von Firewall-Regeln und -Gruppen auf Seite 87

In verwalteten Systemen werden Regeln und Gruppen, die Sie über den EndpointSecurity-Client konfigurieren, möglicherweise überschrieben, wenn der Administrator eineaktualisierte Richtlinie bereitstellt.

• Erstellen von Verbindungsisolierungsgruppen auf Seite 89Um einen Satz an Regeln zu erstellen, die nur bei Verbindung mit einem Netzwerk mitbestimmten Parametern gelten sollen, erstellen Sie eine Firewall-Regelgruppe fürVerbindungsisolierung.

• Erstellen zeitbeschränkter Gruppen auf Seite 90Erstellen Sie zeitbeschränkte Firewall-Gruppen, um den Internetzugriff zu beschränken, bisein Client-System eine Verbindung über ein VPN herstellt.

Funktionsweise von Firewall-RegelnFirewall-Regeln bestimmen, wie Netzwerkverkehr verarbeitet wird. Jede Regel bietet einen Satz anBedingungen, die der Datenverkehr erfüllen muss, sowie eine Maßnahme, mit welcher derDatenverkehr zugelassen oder blockiert wird.

Wenn Firewall Datenverkehr findet, der einer Regelbedingung entspricht, dann wird die verknüpfteAktion durchgeführt.

Sie können diese Regeln allgemein definieren (z. B. für alle Arten von IP-basiertem Datenverkehr)oder spezifisch (z. B. durch Ermitteln einer spezifischen Anwendung oder eines spezifischen Dienstes)und dabei Optionen festlegen. Sie können Regeln zur einfacheren Verwaltung nach einer Funktion,einem Dienst oder einer Anwendung gruppieren. Für die Regelgruppen können Sie – genau wie beiden Regeln – verschiedene Netzwerk-, Datenübertragungs-, Anwendungs-, Zeitplan- undSpeicherortoptionen definieren.

In Firewall werden Regeln nach Vorrang angewendet:

1 Die am Anfang der Firewall-Regelliste stehenden Regeln werden von der Firewall zuerstangewendet.

Wenn der Datenverkehr die Bedingungen dieser Regel erfüllt, erlaubt Firewall diesen Datenverkehroder blockiert ihn. Es werden keine weiteren in der Regelliste enthaltenen Regeln angewendet.

2 Wenn der Datenverkehr die Bedingung der ersten Regel jedoch nicht erfüllt, prüft Firewall dienächste in der Liste enthaltene Regel und so weiter, bis eine passende Regel gefunden wurde.

3 Wenn keine Regel die Bedingung erfüllt, blockiert die Firewall den Datenverkehr automatisch.



Im adaptiven Modus wird für den Datenverkehr eine Zulassungsregel erstellt. Es kann vorkommen,dass der abgefangene Datenverkehr mehr als eine Regel erfüllt. In diesem Fall sorgt dieVorrangfunktion dafür, dass Firewall nur die erste in der Liste erfüllte Regel anwendet.

Empfohlene Vorgehensweisen

Stellen Sie die spezifischeren Regeln an den Anfang der Liste und die allgemeineren Regeln ans Ende.Durch diese Reihenfolge wird gewährleistet, dass Firewall den Datenverkehr angemessen filtert.

Um beispielsweise alle HTTP-Anfragen zu blockieren, mit Ausnahme einer spezifischen IP-Adresse(z. B. 10.10.10.1), müssen Sie zwei Regeln erstellen:

• Blockierungsregel – HTTP-Datenverkehr von Adresse 10.10.10.1 wird blockiert. Diese Regel istallgemein.

• Zulassungsregel – sämtlicher Datenverkehr wird zugelassen, der den HTTP-Dienst verwendet.Diese Regel ist allgemein.

Platzieren Sie die Blockierungsregel in der Firewall-Regelliste vor der Zulassungsregel. Wenn dieFirewall eine HTTP-Anfrage von der Adresse 10.10.10.1 abfängt, blockiert die erste passende Regelden Datenverkehr durch die Firewall.

Wenn Sie die allgemeinere Zulassungsregel vor der spezifischeren Blockierregel platzieren, werden dieAnfragen von Firewall mit der Zulassungsregel abgeglichen, bevor die Blockierungsregel gefundenwird. Auf diese Weise wird der Datenverkehr zugelassen, obwohl Sie die HTTP-Anfrage von einerbestimmten Adresse blockieren wollten.



Funktionsweise von Firewall-RegelgruppenIn Firewall werden Firewall-Regeln zur einfachen Verwaltung organisiert. Firewall-Regelgruppen habenkeine Auswirkung auf die Art und Weise, wie die Firewall die darin enthaltenen Regeln behandelt;diese werden weiterhin von oben nach unten durch die Firewall abgearbeitet.

Die Firewall verarbeitet die Einstellungen für die Gruppe vor der Verarbeitung der Einstellungen für dieGruppe, die sie enthält. Wenn ein Konflikt zwischen diesen Einstellungen existiert, haben dieGruppeneinstellungen Vorrang.

Festlegen von Gruppen als standortabhängige Gruppen

In der Firewall können Sie standortabhängige Regeln für eine Gruppe und Verbindungsisolierungerstellen. Über Ort und Netzwerkoptionen können Sie Gruppen so konfigurieren, dass Netzwerkadapterberücksichtigt werden. Verwenden Sie Netzwerkadaptergruppen, um adapterspezifische Regeln fürComputer mit verschiedenen Netzwerkschnittstellen anzuwenden. Nachdem der Speicherortstatusaktiviert und der Speicherort benannt wurden, können die Parameter für zugelassene Verbindungenfür jeden Netzwerkadapter folgende Parameter enthalten:

Speicherort:

• Erforderlich machen, dass McAfee ePO erreichbar ist

• Verbindungsspezifisches DNS-Suffix

• Standard-Gateway-IP-Adresse

• DHCP-Server-IP-Adresse

• DNS-Server für die Auflösung von URLs

• IP-Adresse des primären WINS-Servers

• IP-Adresse des sekundären WINS-Servers

• Domänenerreichbarkeit (HTTPS)

• Registrierungsschlüssel

Netzwerke:

• IP-Adresse des lokalen Netzwerks

• Verbindungstypen

Wenn zwei standortabhängige Gruppen für eine Verbindung zutreffen, verwendet die Firewall dennormalen Vorrang und verarbeitet die erste zutreffende Gruppe in der Regelliste. Wenn in der erstenGruppe keine Regel übereinstimmt, wird die Regelverarbeitung fortgesetzt.

Wenn die Firewall die Parameter einer standortabhängigen Gruppe mit einer aktiven Verbindungabgleicht, werden die in der Gruppe enthaltenen Regeln angewendet. Die Regeln werden als kleinerRegelsatz behandelt und der normale Vorrang eingehalten. Wenn der abgefangene Datenverkehreinige Regeln nicht erfüllt, werden diese von der Firewall ignoriert.

Bei Auswahl dieser Option... Vorgehensweise

Standortbewusstsein aktivieren Der Name eines Standorts ist erforderlich.

Erforderlich machen, dass McAfeeePO erreichbar ist

McAfee ePO ist erreichbar, und der FQDN des Servers wurdeaufgelöst.

Lokales Netzwerk Die IP-Adresse des Adapters muss mit einem der Einträge in derListe übereinstimmen.



Bei Auswahl dieser Option... Vorgehensweise

VerbindungsspezifischesDNS-Suffix

Das DNS-Suffix des Adapters muss mit einem der Einträge in derListe übereinstimmen.

Standard-Gateway Die IP-Adresse des Standard-Gateway-Adapters muss mitmindestens einem der Listeneinträge übereinstimmen.

DHCP-Server Die IP-Adresse des DHCP-Server-Adapters muss mit mindestenseinem der Listeneinträge übereinstimmen.

DNS-Server Die IP-Adresse des DNS-Server-Adapters muss mit einembeliebigen der Listeneinträge übereinstimmen.

Primärer WINS-Server Die IP-Adresse des primären WINS-Server-Adapters muss mitmindestens einem der Listeneinträge übereinstimmen.

Sekundärer WINS-Server Die IP-Adresse des sekundären WINS-Server-Adapters muss mitmindestens einem der Listeneinträge übereinstimmen.

Domänenerreichbarkeit (HTTPS) Die angegebene Domäne muss über HTTPS erreichbar sein.

Firewall-Regelgruppen und VerbindungsisolierungVerwenden Sie Verbindungsisolierung für Gruppen, um unerwünschten Datenverkehr daran zuhindern, auf ein ausgewiesenes Netzwerk zuzugreifen.

Wenn bei aktivierter Verbindungsisolierung für eine Gruppe eine aktive Netzwerkschnittstellenkarte(NIC) den Gruppenkriterien entspricht, verarbeitet die Firewall nur Datenverkehr, der mit Folgendemübereinstimmt:

• Zulassungsregeln oberhalb der Gruppe in der Firewall-Regelliste

• Gruppenkriterien

Sonstiger Datenverkehr wird blockiert.

Gruppen, für die die Verbindungsisolierung aktiviert ist, können keine verknüpften Transportoptionenund ausführbaren Dateien enthalten.



Als Anwendungsbeispiel für die Verbindungsisolierung betrachten wir zwei Fälle: eineUnternehmensumgebung und ein Hotel. Die Liste aktiver Firewall-Regeln enthält Regeln und Gruppenin folgender Reihenfolge:

1 Grundlegende Verbindungsregeln

2 Verbindungsregeln für VPN

3 Gruppe mit Verbindungsregeln für Unternehmensnetzwerke

4 Gruppe mit VPN-Verbindungsregeln



Beispiel: Verbindungsisolierung im Unternehmensnetzwerk

Verbindungsregeln werden abgearbeitet, bis die Gruppe mit Verbindungsregeln fürUnternehmensnetzwerke erreicht wird. Diese Gruppe umfasst folgende Einstellungen:

• Verbindungstyp = Kabelgebunden

• Verbindungsspezifisches DNS-Suffix = meinunternehmen.de

• Standard-Gateway

• Verbindungsisolierung = Aktiviert

Der Computer verfügt über kabelgebundene und kabellose Netzwerkadapter. Der Computer ist mitdem Unternehmensnetzwerk über eine kabelgebundene Verbindung verbunden. DieDrahtlosschnittstelle ist aber noch aktiv und verbindet sich daher mit einem Hotspot außerhalb desBetriebsgeländes. Der Computer ist mit beiden Netzwerken verbunden, da die grundlegendenVerbindungsregeln oben an der Liste der Firewall-Regeln angeordnet sind. Die LAN-Kabelverbindungist aktiv und entspricht den Kriterien der Verbindungsgruppe des Unternehmensnetzwerks. DieFirewall verarbeitet den Netzwerkverkehr durch das LAN, blockiert aber weiteren Netzwerkverkehraußerhalb des LAN aufgrund der aktivierten Netzwerkverbindungsisolierung.

Beispiel: Verbindungsisolierung in einem Hotel

Verbindungsregeln werden abgearbeitet, bis die Gruppe mit VPN-Verbindungsregeln erreicht wird.Diese Gruppe umfasst folgende Einstellungen:

• Verbindungstyp = virtuell

• Verbindungsspezifisches DNS-Suffix = vpn.meinunternehmen.de

• IP-Adresse = eine Adresse im Adressbereich des VPN-Konzentrators

• Verbindungsisolierung = Aktiviert

Über allgemeine Verbindungsregeln lässt sich ein zeitlich begrenztes Konto für den Internetzugang ineinem Hotel einrichten. Die VPN-Verbindungsregeln ermöglichen die Verbindung mit dem VPN-Tunnelund dessen Nutzung. Nach dem Aufbau des Tunnels erzeugt der VPN-Client einen virtuellenNetzwerkadapter, der den Kriterien der VPN-Gruppe entspricht. Die Firewall beschränkt denzugelassenen Netzwerkverkehr (mit Ausnahme des Basisverkehrs des physischen Adapters selbst) aufden VPN-Tunnel. Versuche anderer Hotelgäste, drahtlos oder per Netzwerkkabel über das Netzwerk aufden Computer zuzugreifen, werden blockiert.

Vordefinierte Firewall-RegelgruppenDie Firewall beinhaltet verschiedene vordefinierte Firewall-Gruppen.

Firewall-Gruppe Beschreibung

McAfee Core-Netzwerke Enthält die von McAfee bereitgestellten Core-Netzwerkregeln sowie Regeln zumZulassen von McAfee-Anwendungen und DNS.

Sie können diese Regeln weder ändern noch löschen. Sie können die Gruppe inden Firewall-Optionen deaktivieren. Dies kann jedoch zu Störungen bei derNetzwerkkommunikation auf dem Client führen.

Administrator hinzugefügt Enthält vom Administrator auf dem Management-Server definierte Regeln.

Diese Regeln können auf dem Endpoint Security-Client weder geändert nochgelöscht werden.



Firewall-Gruppe Beschreibung

Benutzer hinzugefügt Enthält auf dem Endpoint Security-Client definierte Regeln.

Abhängig von den Richtlinieneinstellungen können diese Regeln überschriebenwerden, wenn die Richtlinie erzwungen wird.

Dynamisch Enthält Regeln, die von anderen auf dem System installierten EndpointSecurity-Modulen dynamisch erstellt wurden.Beispielsweise kann der Bedrohungsschutz ein Ereignis an das Modul EndpointSecurity-Client senden, um eine Regel zur Blockierung des Zugriffs auf einSystem im Netzwerk zu erstellen.

Adaptiv Enthält Client-Ausnahmeregeln, die automatisch erstellt werden, wenn sich dasSystem im adaptiven Modus befindet.

Abhängig von den Richtlinieneinstellungen können diese Regeln überschriebenwerden, wenn die Richtlinie erzwungen wird.

Standard Enthält von McAfee bereitgestellte Standardregeln.

Diese Regeln können weder geändert noch gelöscht werden.

Erstellen und Verwalten von Firewall-Regeln und -GruppenIn verwalteten Systemen werden Regeln und Gruppen, die Sie über den Endpoint Security-Clientkonfigurieren, möglicherweise überschrieben, wenn der Administrator eine aktualisierte Richtliniebereitstellt.


Die Gruppen und Regeln werden nach Priorität geordnet in der Tabelle Firewall-Regeln angezeigt. Regelnkönnen nicht nach Spalte geordnet werden.





3 Verwenden Sie diese Tasks zur Verwaltung von Firewall-Regeln und -Gruppen.

Für diese Aktion... Befolgen Sie diese Schritte

Regeln in einer Firewall-Gruppeanzeigen.

Klicken Sie auf .

Eine Firewall-Gruppe reduzieren. Klicken Sie auf .



Für diese Aktion... Befolgen Sie diese Schritte

Eine vorhandene Regel ändern.

Sie können nur Regeln inder Gruppe Vom Benutzerhinzugefügt ändern.

1 Erweitern Sie die Gruppe Vom Benutzer hinzugefügt.

2 Doppelklicken Sie auf die Richtlinie.

3 Ändern Sie die Regeleinstellungen.

4 Klicken Sie auf OK, um Ihre Änderungen zu speichern.

Eine vorhandene Regel in einerGruppe anzeigen.

1 Erweitern Sie die Gruppe.

2 Wählen Sie die Regel aus, um ihre Details unten anzuzeigen.

Eine Regel erstellen. 1 Klicken Sie auf Regel hinzufügen.

2 Legen Sie die Regeleinstellungen fest.


Die Regel wird am Ende der Gruppe Vom Benutzer hinzugefügtangezeigt.

Regeln kopieren. 1 Wählen Sie die Regel oder Regeln aus, und klicken Sie aufDuplizieren.Kopierte Regeln werden am Ende der Gruppe Vom Benutzerhinzugefügt angezeigt.

2 Ändern Sie die Regeln, um den Namen und die Einstellungenzu ändern.

Regeln löschen.

Sie können Regeln nur ausden Gruppen Vom Benutzerhinzugefügt und Adaptivlöschen.

1 Erweitern Sie die Gruppe.

2 Wählen Sie die Regel oder Regeln aus, und klicken Sie aufLöschen.

Eine Gruppe erstellen. 1 Klicken Sie auf Gruppe hinzufügen.

2 Legen Sie die Gruppeneinstellungen fest.


Die Gruppe wird in der Gruppe Vom Benutzer hinzugefügt angezeigt.

Regeln und Gruppen innerhalbund zwischen Gruppenverschieben.

Sie können nur Regeln undGruppen in der Gruppe VomBenutzer hinzugefügtverschieben.

Um Elemente zu verschieben:1 Wählen Sie Elemente zum Verschieben aus.

Der Ziehpunkt erscheint links von Elementen, dieverschoben werden können.

2 Verschieben Sie per Drag-and-Drop die Elemente an dengewünschten Ort.Eine blaue Linie erscheint zwischen Elementen, wo Sie diegezogenen Elemente ablegen können.


Siehe auch Platzhalter in Firewall-Regeln auf Seite 89Anmelden als Administrator auf Seite 25Erstellen von Verbindungsisolierungsgruppen auf Seite 89



Platzhalter in Firewall-RegelnSie können Platzhalter verwenden, um Zeichen für einige Werte in Firewall-Regeln darzustellen.

Platzhalter in Pfad- und Adresswerten

Folgende Platzhalter dürfen in Dateipfaden, Registrierungsschlüsseln, ausführbaren Dateien und URLsverwendet werden.

In Registrierungsschlüsselpfaden für Firewall-Gruppenspeicherorte werden keine Platzhalterwerteerkannt.

? Fragezeichen Ein einzelnes Zeichen.

* Sternchen Mehrere Zeichen, ausgenommen Schrägstrich (/) und umgekehrter Schrägstrich(\). Verwenden Sie dieses Zeichen als Entsprechung der Stammebene einesOrdners ohne Unterordner verwendet.

** zwei Sternchen Mehrere Zeichen, einschließlich Schrägstrich (/) und umgekehrter Schrägstrich(\).

| Pipe Platzhalter-Escape.

Die Escape-Zeichenfolge für ein doppeltes Sternchen (**) lautet "|*|*".

Platzhalter in allen anderen Werten

Für Werte, die normalerweise keine Pfadangaben mit Schrägstrichen enthalten, können folgendePlatzhalter verwendet werden.

? Fragezeichen Ein einzelnes Zeichen.

* Sternchen Mehrere Zeichen, einschließlich Schrägstrich (/) und umgekehrter Schrägstrich (\).

| Pipe Platzhalter-Escape.

Erstellen von VerbindungsisolierungsgruppenUm einen Satz an Regeln zu erstellen, die nur bei Verbindung mit einem Netzwerk mit bestimmtenParametern gelten sollen, erstellen Sie eine Firewall-Regelgruppe für Verbindungsisolierung.






3 Klicken Sie unter REGELN auf Gruppe hinzufügen.

4 Geben Sie unter Beschreibung die Optionen für die Gruppe an.

5 Wählen Sie unter Standort die Option Standortbewusstsein aktivieren und Verbindungsisolierung aktivieren.Wählen Sie dann die Standortkriterien für die Zuordnung.



6 Wählen Sie unter Netzwerke für Verbindungstypen den Typ der Verbindung (Kabelgebunden, Kabellos, Virtuell)aus, für den die in dieser Gruppe enthaltenen Regeln angewendet werden sollen.

Einstellungen für Transport und Ausführbare Dateien sind für Verbindungsisolierungsgruppen nichtverfügbar.

7 Klicken Sie auf OK.

8 Erstellen Sie in dieser Gruppe neue Regeln, oder verschieben Sie vorhandene Regeln aus derFirewall-Regelliste in die Gruppe.


Siehe auch Firewall-Regelgruppen und Verbindungsisolierung auf Seite 84Funktionsweise von Firewall-Regelgruppen auf Seite 83

Erstellen zeitbeschränkter GruppenErstellen Sie zeitbeschränkte Firewall-Gruppen, um den Internetzugriff zu beschränken, bis einClient-System eine Verbindung über ein VPN herstellt.

Wenn Benutzer für den Zugriff auf interne Websites über öffentliche Netzwerke eine Verbindungherstellen müssen, können Sie eine zeitbeschränkte Gruppe erstellen, um die Einrichtung einerVPN-Verbindung zu ermöglichen.

Zur Aktivierung dieser zeitbeschränkten Gruppe klicken Sie im Client-System mit der rechtenMaustaste auf das McAfee-Taskleistensymbol, und wählen Sie Schnellkonfiguration | ZeitbeschränkteFirewall-Gruppen aktivieren aus. Die Gruppe ist dann für die angegebene Anzahl von Minuten aktiv, und dasClient-System kann eine Verbindung zu einem öffentlichen Netzwerk herstellen und eineVPN-Verbindung einrichten.





3 Erstellen Sie eine Firewall-Gruppe mit Standardeinstellungen, die Internetverbindungen zulassen.

Beispiel: Lassen Sie HTTP-Verkehr über Port 80 zu.

4 Wählen Sie unter Zeitplan die Option Zeitplan deaktivieren und die Gruppe über das McAfee-Taskleistensymbolaktivieren aus, und geben Sie die Anzahl von Minuten für die Gruppenaktivität ein.


6 Erstellen Sie eine Verbindungsisolierungsgruppe, die mit dem VPN übereinstimmt, um den nötigenDatenverkehr zuzulassen.

Siehe Erstellen von Verbindungsisolierungsgruppen auf Seite 89.

Um über die Verbindungsisolierungsgruppe hinaus ausgehenden Datenverkehr aus demClient-System zu verhindern, vermeiden Sie jegliche Firewall-Regeln unter dieser Gruppe.




5 Verwenden der Webkontrolle

Webkontrolle-Schutzfunktionen werden in Ihrem Browser angezeigt, während Sie im Internet surfenoder suchen.

Inhalt Informationen zu Webkontrolle-Funktionen Zugreifen auf Webkontrolle-Funktionen Verwalten von Webkontrolle

Informationen zu Webkontrolle-FunktionenWenn die Webkontrolle auf jedem verwalteten System ausgeführt wird, benachrichtigt sie Sie überBedrohungen, während Sie nach Websites suchen oder surfen.

Ein McAfee-Team analysiert jede Website und weist ihr eine farbcodierte Sicherheitsbewertungbasierend auf den Testergebnissen zu. Die Farbe gibt die Sicherheitsstufe der Site wieder.

Die Software verwendet die Testergebnisse, um Sie über webbasierte Bedrohungen zu informieren, aufdie Sie möglicherweise stoßen.

Auf Suchergebnisseiten: Ein Symbol erscheint neben jeder aufgeführten Site. Die Farbe desSymbols gibt die Sicherheitsbewertung der jeweiligen Site wieder. Sie können über diese Symbole aufzusätzliche Informationen zugreifen.

Im Browserfenster: Eine Schaltfläche wird im Browser angezeigt. Die Farbe der Schaltfläche gibt dieSicherheitsbewertung der jeweiligen Site wieder. Sie können durch einen Klick auf die Schaltfläche aufzusätzliche Informationen zugreifen.

Diese Schaltfläche informiert Sie darüber hinaus über aufgetretene Kommunikationsprobleme underleichtert den schnellen Zugriff auf Tests, mit denen häufige Probleme identifiziert werden können.

In Sicherheitsberichten: Gibt detailliert an, wie die Sicherheitsbewertung auf Basis der erkanntenBedrohungsarten, der Testergebnisse und anderer Daten berechnet wurde.

Für verwaltete Systeme erstellen Administratoren Richtlinien für folgende Aktionen:

• Aktivieren und Deaktivieren der Webkontrolle auf Ihrem System; Verhindern oder Zulassen derDeaktivierung des Browser-Plug-Ins

• Steuern des Zugriffs auf Sites, Seiten und Downloads, basierend auf deren Sicherheitsbewertungoder Inhaltstyp

Sie können beispielsweise rote Sites blockieren und Benutzer bei einem versuchten Zugriff aufgelbe Sites warnen.

• Identifizieren von Sites als blockiert oder zugelassen, basierend auf URLs und Domänen

5


• Verhindern, dass Sie Webkontrolle-Dateien, Registrierungsschlüssel, Registrierungswerte, Diensteund Prozesse deinstallieren oder ändern

• Anpassen der angezeigten Benachrichtigung, wenn Sie versuchen, auf eine blockierte Websitezuzugreifen

• Überwachen und steuern Sie die Browser-Aktivitäten auf Netzwerk-Computern, und erstellen Siedetaillierte Berichte zu Websites.

Für von Ihnen selbst verwaltete Systeme können Sie die folgenden Einstellungen konfigurieren:

• Aktivieren und Deaktivieren der Webkontrolle auf Ihrem System

• Steuern des Zugriffs auf Sites, Seiten und Downloads, basierend auf deren Sicherheitsbewertungoder Inhaltstyp

Sie können beispielsweise rote Sites blockieren und Benutzer bei einem versuchten Zugriff aufgelbe Sites warnen.

Die Software unterstützt die Browser Microsoft Internet Explorer, Mozilla Firefox und Google Chrome.

In selbstverwalteten Systemen sind sowohl unterstützte als auch nicht unterstützte Browserstandardmäßig zugelassen.

Chrome unterstützt weder die Erzwingung von Datei-Downloads noch die Option Sprechblase anzeigen.

Siehe auch Identifizieren von Bedrohungen durch die Webkontrolle-Schaltfläche beim Surfen auf Seite93Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen auf Seite 94Site-Berichte für Details auf Seite 94So werden Sicherheitsbewertungen kompiliert auf Seite 95

Blockieren oder Warnen bezüglich Sites und Downloads durchdie WebkontrolleBesucht ein Benutzer eine Site, die blockiert oder vor der gewarnt wurde, zeigt die Webkontrolle eineSeite bzw. Pop-Up-Benachrichtigung mit dem entsprechenden Grund an.

Bei Einstellung der Bewertungsaktionen für eine Site auf:

• Warnen: Webkontrolle zeigt eine Warnung an, um Benutzer über mögliche Gefahren in Verbindungmit der Site zu informieren.

• Durch Abbrechen kehren Sie zur zuvor aufgerufenen Site zurück.

Wenn die Browser-Registerkarte keine zuvor angezeigte Site enthält, ist Abbrechen nichtverfügbar.

• Durch Fortfahren wird die Site aufgerufen.

• Blockieren: Webkontrolle zeigt eine Meldung an, dass die Site blockiert ist, und verhindert, dassBenutzer auf die Site zugreifen.

Durch OK kehren Sie zur zuvor aufgerufenen Site zurück.

Wenn die Browser-Registerkarte keine zuvor angezeigte Site enthält, ist OK nicht verfügbar.

5 Verwenden der WebkontrolleInformationen zu Webkontrolle-Funktionen


Bei Einstellung der Bewertungsaktionen für Downloads von einer Site auf:

• Warnen: Webkontrolle zeigt eine Warnung an, um Benutzer über mögliche Gefahren in Verbindungmit der Download-Datei zu informieren.

• Durch Blockieren wird der Download verhindert, und Sie kehren zur Site zurück.

• Durch Fortfahren wird der Download fortgesetzt.

• Blockieren: Webkontrolle zeigt eine Meldung an, dass die Site blockiert ist, und verhindert denDownload.

Durch OK kehren Sie zur Site zurück.

Identifizieren von Bedrohungen durch die Webkontrolle-Schaltfläche beim SurfenBeim Besuch einer Website wird im Browser eine farbcodierte Schaltfläche angezeigt.Die Farbe der Schaltfläche entspricht der Sicherheitsbewertung der jeweiligen Site.

Die Sicherheitsbewertung gilt nur für URLs mit HTTP- und HTTPS-Protokollen.

Internet Explorerund Safari (Mac)

Firefox undChrome

Beschreibung

Diese Site wird von McAfee SECURE™ täglich getestet und alssicher zertifiziert. (Nur Windows)

Diese Site ist sicher.

Bei dieser Site bestehen möglicherweise Probleme.

Diese Site enthält einige ernst zu nehmende Probleme.

Für diese Site ist keine Bewertung verfügbar.Diese Schaltfläche wird nur für URLs mit FILE-Protokollen(file://) angezeigt.

Bei der Kommunikation mit dem McAfee GTI-Server, auf demBewertungsinformationen vorhanden sind, ist ein Fehleraufgetreten.

Die Webkontrolle hat keine Abfrage an McAfee GTI für dieseSite gesendet, was bedeutet, dass sie intern oder in einemprivaten IP-Adressbereich ist.

Diese Site ist eine Phishing-Site.

Phishing ist ein Versuch, sich vertrauliche Informationen zuverschaffen, beispielsweise Benutzernamen, Kennwörter undKreditkartendaten. Phishing-Sites geben sich bei derelektronischen Kommunikation als vertrauenswürdigeEntitäten aus.

Eine Einstellung lässt diese Site zu.

Eine Einstellung hat die Webkontrolle deaktiviert.

Verwenden der WebkontrolleInformationen zu Webkontrolle-Funktionen 5


Die Schaltfläche ist je nach Browser an verschiedenen Stellen zu finden:

• Internet Explorer: Webkontrolle-Symbolleiste

• Firefox: rechte Ecke der Firefox-Symbolleiste

• Chrome: in der Adressleiste

Siehe auch Anzeigen von Informationen zu einer Site beim Surfen auf Seite 97

Sicherheitssymbole zur Bedrohungsanzeige bei SuchvorgängenWenn Sie Stichwörter in Suchmaschinen wie Google, Yahoo!, Bing oder Ask eingeben, werdenSicherheitssymbole neben den Sites angezeigt, die auf der Suchergebnisseite aufgeführt sind. DieFarbe der Menüschaltfläche entspricht der Sicherheitsbewertung der Site.

Tests haben keine schwerwiegenden Probleme gefunden.

Tests ergaben einige Probleme, von denen Sie wissen sollten. Die Website versuchtebeispielsweise Änderungen an den Standard-Browsereinstellungen der Tester vorzunehmen,zeigte Pop-Ups an oder verschickte eine signifikante Menge an Non-Spam-E-Mails an Tester.

Tests ergaben einige ernst zu nehmende Probleme, die Sie vor dem Zugriff auf die Sitesorgfältig beachten müssen. Die Website sendete beispielsweise Spam-E-Mails an die Testeroder kombinierte Adware mit einem Download.

Eine hat diese Site blockiert.

Diese Site wurde noch nicht bewertet.

Siehe auch Site-Bericht während der Suche anzeigen auf Seite 98

Site-Berichte für DetailsIm Site-Bericht einer Website können Sie sich Details zu bestimmten Bedrohungen anzeigen lassen.

Site-Berichte werden vom Server für die McAfee GTI-Bewertungen bereitgestellt und enthalten diefolgenden Informationen.

5 Verwenden der WebkontrolleInformationen zu Webkontrolle-Funktionen


Dieses Element... Zeigt Folgendes an...

Überblick Die Gesamtbewertung der Website, erstellt auf Grundlage dieser Tests:• Auswertung der E-Mail- und Download-Praktiken für eine Website mithilfe

von Techniken zur Erfassung und Analyse von Daten.

• Untersuchung der Website selbst, um festzustellen, ob sie störendePraktiken wie übermäßige Pop-Ups verwendet oder Aufforderungen zumWechseln der Homepage sendet.

• Analyse der Online-Zugehörigkeiten, um festzustellen, ob die Website mitanderen verdächtigen Sites verknüpft ist.

• Kombination der McAfee-Überprüfung verdächtiger Sites mit demFeedback von unseren Threat Intelligence Services.

Online-Zugehörigkeiten Wie aggressiv von der Site versucht wird, Sie auf andere Sites umzuleiten,die McAfee mit einer roten Bewertung gekennzeichnet hat.Verdächtige Sites sind oft mit anderen verdächtigen Sites verknüpft. Derwesentliche Zweck von solchen Zubringer -Sites besteht darin, Sie zu demBesuch der verdächtigen Site zu verleiten. Eine Site kann beispielsweiseeine rote Bewertung erhalten, wenn sie zu aggressiv mit anderen roten Sitesverknüpft ist. In diesem Fall wird die Site von Webkontrolle als Rot aufgrundvon Verknüpfungenbewertet.

Web-Spam-Tests Die Gesamtbewertung für die E-Mail-Praktiken einer Website, basierend aufden Testergebnissen.McAfee bewertet Sites anhand der Menge an E-Mails, die wir nach derEingabe einer Adresse auf der Site erhalten, und der Höhe desSpam-Gehalts der E-Mails. Wenn eine dieser Messungen zu einem Wertführt, der höher als akzeptabel ist, bewertet McAfee die Site gelb. Wennbeide Messwerte hoch sind oder einer der Messwerte sehr hoch ausfällt,bewertet McAfee die Site rot.

Download-Tests Die Gesamtbewertung der Auswirkung, die die herunterladbare Softwareeiner Site auf unseren Test-Computer hatte, basierend auf denTestergebnissen.Rote Bewertungen ordnet McAfee Sites mit vireninfizierten Downloads zuoder die sachfremde Software hinzufügen, die viele Benutzer als Adwareoder Spyware empfinden. Für die Bewertung werden auch dieNetzwerk-Server berücksichtigt, die von einem heruntergeladenenProgramm bei der Ausführung kontaktiert werden, sowie alle Modifikationenan den Browser-Einstellungen oder den Registrierungsdateien einesComputers.

Siehe auch Site-Bericht während der Suche anzeigen auf Seite 98Anzeigen von Informationen zu einer Site beim Surfen auf Seite 97

So werden Sicherheitsbewertungen kompiliert Ein McAfee-Team entwickelt Sicherheitsbewertungen anhand von Kriterien für die einzelnen Websitesund wertet die Ergebnisse aus, um häufig auftretende Bedrohungen zu erkennen.

Automatisierte Tests kompilieren die Sicherheitsbewertung für eine Website, indem sie:

• heruntergeladene Dateien auf Viren und potenziell unerwünschte Programme prüfen, die mit demDownload gebündelt sind.

• Kontaktdaten in Anmeldeformulare eingeben und auf nachfolgenden Spam beziehungsweise aufeine hohe Menge an Non-Spam-E-Mails achten, die von der Site oder ihren Partnern geschicktwurden.

Verwenden der WebkontrolleInformationen zu Webkontrolle-Funktionen 5


• Auf eine exzessive Anzahl an Pop-Up-Fenstern prüfen.

• auf Versuche der Site prüfen, die Schwachstellen des Browsers auszunutzen.

• auf betrügerische Praktiken der Site prüfen.

Das Team fasst die Testergebnisse zu einem Sicherheitsbericht zusammen, der auch Folgendesenthält:

• Durch Site-Eigentümer eingereichtes Feedback, das Beschreibungen der von der Site verwendetenSicherheitsmaßnahmen sowie Antworten auf Benutzer-Feedback zur Site enthalten kann

• Von den Site-Benutzern eingesendetes Feedback, das Berichte zu Phishing-Scams sowieInformationen zu schlechten Einkaufserfahrungen enthalten kann.

• Zusätzliche Analyse durch McAfee-Experten.

Der McAfee GTI-Server speichert Site-Bewertungen und Berichte.

Zugreifen auf Webkontrolle-FunktionenGreifen Sie über den Browser auf Webkontrolle-Funktionen zu.

Aufgaben• Aktivieren des Webkontrolle-Plug-Ins über den Browser auf Seite 96

Bei einigen Browsern müssen Sie das Webkontrolle-Plug-In manuell aktivieren, um beimSurfen und Suchen über webbasierte Bedrohungen benachrichtigt zu werden.

• Anzeigen von Informationen zu einer Site beim Surfen auf Seite 97Verwenden Sie die Schaltfläche Webkontrolle im Browser, um Informationen zu einer Siteanzuzeigen. Die Funktion der Schaltfläche unterscheidet sich abhängig vom verwendetenBrowser.

• Site-Bericht während der Suche anzeigen auf Seite 98Das Sicherheitssymbol auf einer Seite mit Suchergebnissen zeigt weitere Informationen zueiner Site an.

Aktivieren des Webkontrolle-Plug-Ins über den BrowserBei einigen Browsern müssen Sie das Webkontrolle-Plug-In manuell aktivieren, um beim Surfen undSuchen über webbasierte Bedrohungen benachrichtigt zu werden.

Bevor Sie beginnenDas Webkontrolle-Modul muss aktiviert werden.

Sie werden beim ersten Starten vom Internet Explorer oder von Chrome dazu aufgefordert, Plug-Inszu aktivieren. Das Webkontrolle-Plug-In ist in Firefox standardmäßig aktiviert.


• Klicken Sie bei Aufforderung auf die Schaltfläche zum Aktivieren des Plug-Ins.

5 Verwenden der WebkontrolleZugreifen auf Webkontrolle-Funktionen


InternetExplorer

• Klicken Sie auf Aktivieren.

• Wenn mehr als ein Plug-In verfügbar ist, klicken Sie auf Add-Ons auswählen unddann für die Webkontrolle-Symbolleiste auf Webkontrolle.

Chrome Klicken Sie auf Erweiterung aktivieren.

Wenn Sie in Internet Explorer die Webkontrolle-Symbolleiste deaktivieren, werden Sie auch zurDeaktivierung des Webkontrolle-Plug-Ins aufgefordert. Verhindern die Richtlinieneinstellungen inverwalteten Systemen das Deinstallieren oder Deaktivieren des Plug-Ins, bleibt dasWebkontrolle-Plug-In aktiviert, auch wenn die Symbolleiste nicht angezeigt wird.

Anzeigen von Informationen zu einer Site beim SurfenVerwenden Sie die Schaltfläche Webkontrolle im Browser, um Informationen zu einer Site anzuzeigen.Die Funktion der Schaltfläche unterscheidet sich abhängig vom verwendeten Browser.

Bevor Sie beginnen• Das Webkontrolle-Modul muss aktiviert sein.

• Das Webkontrolle-Plug-In muss im Browser aktiviert sein.

• Die Option Symbolleiste im Client-Browser ausblenden in den Einstellungen der Optionen mussdeaktiviert sein.

Wenn sich Internet Explorer im Vollbildmodus befindet, wird die Symbolleiste der Webkontrolle nichtangezeigt.

So zeigen Sie das Webkontrolle-Menü an:

Internet Explorer und FirefoxKlicken Sie in der Symbolleiste auf die Schaltfläche .

Chrome Klicken Sie in der Adressleiste auf die Schaltfläche .

Vorgehensweise1 Anzeigen einer Sprechblase mit einer Zusammenfassung der Sicherheitsbewertung für die Site:

Halten Sie den Mauszeiger in der Webkontrolle-Symbolleiste über die Schaltfläche.

(Nur Internet Explorer und Firefox)

2 Anzeigen des detaillierten Site-Berichts mit weiteren Informationen zur Sicherheitsbewertung fürdie Site:

• Klicken Sie auf die Webkontrolle-Schaltfläche.

• Wählen Sie aus dem Webkontrolle-Menü Site-Bericht anzeigen aus.

• Klicken Sie in der Sprechblase der Site auf den Link Site-Bericht lesen. (Nur Internet Explorer undFirefox)

Siehe auch Identifizieren von Bedrohungen durch die Webkontrolle-Schaltfläche beim Surfen auf Seite 93Site-Berichte für Details auf Seite 94

Verwenden der WebkontrolleZugreifen auf Webkontrolle-Funktionen 5


Site-Bericht während der Suche anzeigenDas Sicherheitssymbol auf einer Seite mit Suchergebnissen zeigt weitere Informationen zu einer Sitean.

Vorgehensweise1 Halten Sie den Mauszeiger über das Sicherheitssymbol. Eine Sprechblase mit einer

Zusammenfassung des Sicherheitsberichts für die Site wird angezeigt.

2 Klicken Sie in der Sprechblase der Site auf Site-Bericht lesen, um einen detaillierten Sicherheitsberichtin einem neuen Browser-Fenster zu öffnen.

Siehe auch Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen auf Seite 94Site-Berichte für Details auf Seite 94

Verwalten von WebkontrolleAls Administrator können Sie Webkontrolle-Einstellungen festlegen, um den Schutz zu aktivieren undanzupassen, Sites basierend auf Webkategorien blockieren und Protokollierung konfigurieren.


Konfigurieren von Webkontrolle-OptionenSie können vom Endpoint Security-Client aus die Webkontrolle aktivieren und Optionen konfigurieren.




2 Klicken Sie auf der Status-Hauptseite auf Web Control.

Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf WebControl.



5 Verwenden der WebkontrolleVerwalten von Webkontrolle


5 Wählen Sie Webkontrolle aktivieren aus, um Webkontrolle zu aktivieren und die Optionen zu ändern.

Ziel Auszuführende Schritte Hinweise

Blenden Sie dieSymbolleiste derWebkontrolle im Browseraus, ohne den Schutz zudeaktivieren.

Wählen Sie Symbolleiste imClient-Browser ausblenden.

Verfolgen SieBrowser-Ereignisse für dieBerichterstellung.

Konfigurieren SieEinstellungen unterEreignisprotokoll.

Konfigurieren SieWebkontrolle-Ereignisse, die vonClient-Systemen an denManagement-Server für Abfragen undBerichte gesendet werden.

Blockieren Sie unbekannteURLs, oder lassen Sie eineWarnung anzeigen.

Wählen Sie unter Erzwingung vonAktionen die Aktion (Blockieren,Zulassen oder Warnen) für Sitesaus, die noch nicht vonMcAfee GTI überprüft wurden.

Scannen Sie Dateien vordem Download.

Wählen Sie Datei-Scan beiDatei-Downloads aktivieren, undwählen Sie dann die McAfeeGTI-Risikostufe für dieBlockierung.

Blockieren Sie die Anzeigeriskanter Websites inSuchergebnissen.

Wählen Sie unter Sichere SucheSichere Suche aktivieren undanschließend dieSuchmaschine aus, und legenSie dann fest, ob Sie Links fürriskante Sites blockierenmöchten.

Die sichere Suche filtert diebösartigen Websites in denSuchergebnissen anhand ihrerSicherheitsbewertungen. DieWebkontrolle nutzt Yahoo alsStandard-Suchmaschine.

Wenn Sie dieStandard-Suchmaschine ändern,starten Sie den Browser neu,damit die Änderungen wirksamwerden.

6 Konfigurieren Sie andere Optionen nach Bedarf.


Siehe auch Wie Datei-Downloads gescannt werden auf Seite 100Anmelden als Administrator auf Seite 25

Verwenden der WebkontrolleVerwalten von Webkontrolle 5


Wie Datei-Downloads gescannt werdenDie Webkontrolle sendet Anfragen für Datei-Downloads an den Bedrohungsschutz, damit sie vor demHerunterladen gescannt werden.



Angeben von Bewertungsaktionen und Blockieren des Site-Zugriffs basierend auf der Webkategorie Konfigurieren Sie Einstellungen für Inhaltsaktionen-, um die Aktionen für Sites und Datei-Downloadsbasierend auf den Sicherheitsbewertungen festzulegen. Optional können Sie festlegen, ob Sites in derjeweiligen Webkategorie blockiert oder zugelassen werden sollen.


Mithilfe der Einstellungen unter Erzwingungsmeldungen können Sie die angezeigte Meldung für Sitesund Datei-Downloads anpassen, je nachdem, ob sie blockiert sind oder eine Warnung dafür ausgegebenwird, oder ob es sich um blockierte Phishing-Seiten handelt.



2 Klicken Sie auf der Status-Hauptseite auf Web Control.

Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf WebControl.


4 Klicken Sie auf Inhaltsaktionen.

5 Aktivieren oder deaktivieren Sie unter Webkategorie-Blockierung für jede Webkategorie die Option Blockieren.

Für Sites in den nicht blockierten Kategorien wendet die Webkontrolle außerdem dieBewertungsaktionen an.

6 Legen Sie unter Bewertungsaktionen die anzuwendenden Aktionen für Sites und Datei-Downloadsbasierend auf den von McAfee definierten Sicherheitsbewertungen fest.

Diese Aktionen gelten auch für Sites, die nicht basierend auf Webkategorie-Blockierung blockiertsind.


Siehe auch Verwenden von Webkategorien zur Zugriffssteuerung auf Seite 101Verwenden von Sicherheitsbewertungen zum Kontrollieren des Zugriffs auf Seite 102Anmelden als Administrator auf Seite 25

Verwenden von Webkategorien zur ZugriffssteuerungWebkategorien ermöglichen Ihnen die Steuerung des Zugriffs auf Sites basierend auf Kategorien, dievon McAfee festgelegt werden. Sie können Optionen angeben, um den Zugriff auf Websites ausgehendvon der enthaltenen Inhaltskategorie zuzulassen oder zu blockieren.

Wenn Sie die Webkategorie-Blockierung in den Richtlinieneinstellungen für aktivieren, werdenWebsite-Kategorien von der Software blockiert oder zugelassen. Zu diesen Webkategorien gehörenGlücksspiel, Spiele und Instant Messaging. Die Liste der etwa 105 Webkategorien wird von McAfeedefiniert und gewartet.

Verwenden der WebkontrolleVerwalten von Webkontrolle 5


Wenn ein Client-Benutzer auf eine Site zugreift, überprüft die Software die Webkategorie für die Site.Wenn die Site zu einer definierten Kategorie gehört, wird der Zugriff basierend auf denRichtlinieneinstellungen für oder zugelassen. Die Software wendet die angegebenenBewertungsaktionen für Sites und Datei-Downloads in den nicht blockierten Kategorien an.

Verwenden von Sicherheitsbewertungen zum Kontrollieren des ZugriffsKonfigurieren Sie Aktionen anhand von Sicherheitsbewertungen, um zu entscheiden, ob Benutzer aufeine Site oder auf Ressourcen einer Site zugreifen können.

Legen Sie für jede Site oder jeden Datei-Download fest, ob diese oder dieser je nach Bewertungzugelassen, blockiert oder eine Warnung dafür generiert werden soll. Auf diese Weise kann genauerfestgelegt werden, wie Benutzer vor Dateien geschützt werden sollen, die auf Sites mit insgesamtgrüner Bewertung eine Bedrohung darstellen können.



6 Verwenden von Bedrohungsabwehrdaten

Bedrohungsabwehrdaten stellt eine kontextbewusste und anpassbare Sicherheitslösung für IhreNetzwerkumgebung dar.

Bedrohungsabwehrdaten analysiert Inhalte des Unternehmens und entscheidet basierend auf derReputation einer Datei sowie den von Ihrem Administrator festgelegten Kriterien.

Inhalt Funktionsweise von Bedrohungsabwehrdaten Verwalten von Bedrohungsabwehrdaten

Funktionsweise von BedrohungsabwehrdatenVon Bedrohungsabwehrdaten werden mithilfe des Data Exchange Layer-Frameworks Datei- undBedrohungsinformationen sofort an das gesamte Netzwerk weitergegeben.

In der Vergangenheit haben Sie unbekannte Dateien oder Zertifikate zur Analyse an McAfee gesendetund dann die Dateiinformationen Tage später im gesamten Netzwerk aktualisiert. MitBedrohungsabwehrdaten können Sie die Datei-Reputation auf lokaler Ebene steuern, das heißt in IhrerUmgebung. Sie entscheiden, welche Dateien ausgeführt werden können und welche blockiert werden.Die Informationen werden dann von Data Exchange Layer sofort an die gesamte Umgebungweitergegeben.

Szenarien für die Verwendung von Bedrohungsabwehrdaten

• Sofortiges Blockieren einer Datei: Der Netzwerkadministrator wird vonBedrohungsabwehrdaten gewarnt, dass in der Umgebung eine unbekannte Datei gefunden wurde.Anstatt die Dateiinformationen zur Analyse an McAfee zu senden, blockiert der Administrator dieDatei sofort. Anschließend kann er sich mithilfe von Bedrohungsabwehrdaten informieren, ob dieDatei eine Bedrohung darstellt und auf wie vielen Systemen sie ausgeführt wurde.

• Zulassen der Ausführung einer benutzerdefinierten Datei: Ein Unternehmen verwendetregelmäßig eine Datei mit der Standardreputation Verdächtig oder Bösartig. Dies kannbeispielsweise eine benutzerdefinierte Datei sein, die für das Unternehmen erstellt wurde. Da dieDatei zulässig ist, muss der Administrator nicht die Dateiinformationen an McAfee senden, um eineaktualisierte DAT-Datei zu erhalten. Vielmehr kann er die Reputation der Datei in Vertrauenswürdigändern, und zulassen, dass sie ohne Warnungen oder Eingabeaufforderungen ausgeführt wird.

6


Verwalten von BedrohungsabwehrdatenAls Administrator können Sie Bedrohungsabwehrdaten-Einstellungen festlegen, etwa die Auswahl vonRegelgruppen und die Festlegung von Reputationsschwellenwerten.

Richtlinienänderungen von McAfee ePO überschreiben die Änderungen von der Seite Einstellungen.


Informationen zu BedrohungsabwehrdatenBedrohungsabwehrdaten entsteht ein Sicherheitsökosystem mit unmittelbarer Kommunikationzwischen Systemen und Geräten in Ihrer Umgebung. Diese Kommunikation wird durch das DataExchange Layer-Framework ermöglicht.

Sie können sehen, auf welchen Systemen eine Bedrohung zuerst erkannt wurde, welchen weiterenWeg die Bedrohung nimmt, und sie dann sofort stoppen.

Bedrohungsabwehrdaten bietet die folgenden Vorteile:

• Schnelle Erkennung von Sicherheitsbedrohungen sowie Malware und entsprechender Schutz

• Identifizieren kompromittierter Systeme oder Geräte und der Ausbreitungswege in der Umgebung

• Sofortiges Blockieren oder Zulassen bestimmter Dateien und Zertifikate basierend auf denjeweiligen Bedrohungsreputationen und Ihren Risikokriterien

• Echtzeitintegration mit McAfee® Advanced Threat Defense und McAfee GTI, um detaillierteBewertungen und Daten zur Klassifizierung von Malware bereitzustellen. Dank dieser Integrationkönnen Sie auf Bedrohungen reagieren und die Informationen in der gesamten Umgebung nutzen.


Bedrohungsabwehrdaten-KomponentenBedrohungsabwehrdaten besteht aus den folgenden Komponenten.

• Mit einem Modul für Endpoint Security können Sie Richtlinien erstellen, um Dateien oder Zertifikatebasierend auf ihrer Reputation zu blockieren oder zuzulassen.

• Auf einem Server werden Informationen zu Datei- und Zertifikatreputationen gespeichert und dannan andere Systeme weitergegeben.

• Durch Data Exchange Layer-Broker wird bidirektionale Kommunikation zwischen verwaltetenSystemen in einem Netzwerk ermöglicht.

Die Komponenten werden als Erweiterungen für McAfee®

ePolicy Orchestrator®

(McAfee ePO™

)installiert. Dort stehen dann verschiedene neue Funktionen und Berichte zur Verfügung.

6 Verwenden von BedrohungsabwehrdatenVerwalten von Bedrohungsabwehrdaten


Vom Modul und vom Server werden Datei-Reputationsinformationen kommuniziert. DieseInformationen werden vom Data Exchange Layer-Framework sofort an die verwalteten Endpunkteweitergegeben. Außerdem werden Informationen gemeinsam mit anderen McAfee-Produkten genutzt,in denen auf Data Exchange Layer zugegriffen wird. Dazu gehören beispielsweise McAfee

®

EnterpriseSecurity Manager (McAfee ESM) und McAfee

®

Network Security Platform.

Bedrohungsabwehrdaten-ModulIm Bedrohungsabwehrdaten-Modul können Sie festlegen, was passieren soll, wenn eine Datei mitbösartiger oder unbekannter Reputation in Ihrer Umgebung erkannt wird. Darüber hinaus können SieInformationen zum Bedrohungsverlauf sowie die ausgeführten Aktionen anzeigen.

Mit dem Bedrohungsabwehrdaten-Modul können Sie die folgenden Aufgaben ausführen.

• Erstellen von Richtlinien zu folgenden Zwecken:

• Zulassen oder Blockieren von Dateien und Zertifikaten abhängig von ihrer Reputation

• Anzeigen einer Eingabeaufforderung bei jedem Versuch, eine Datei oder ein Zertifikat mit einerbestimmten Reputation auszuführen

• Automatisches Senden von Dateien an Advanced Threat Defense zu weiteren Tests

• Anzeigen von Ereignissen in den Dashboards von Bedrohungsabwehrdaten Sie können Ereignissebezüglich Säubern, Blockieren oder Zulassen für die letzten 30 Tage oder nach Ereignistypanzeigen.

Verwenden von BedrohungsabwehrdatenVerwalten von Bedrohungsabwehrdaten 6


Bedrohungsabwehrdaten Exchange ServerAuf dem Server werden Informationen zu Datei- und Zertifikatreputationen gespeichert und dann anandere Systeme in der Umgebung weitergegeben.

Informationen zum Server finden Sie im Bedrohungsabwehrdaten Exchange-Produkthandbuch.

Verbinden von TIE Servern und Datenbanken über einen Bridge-Computer

Wenn Sie TIE Server und Datenbanken über verschiedene McAfee ePO-Systeme verwalten, können Siediese über einen Bridge-Computer verbinden, um Reputationsinformationen gemeinsam zu nutzen.Details zum Verbinden von TIE Servern und Datenbanken über einen Bridge-Computer finden Sie imData Exchange Layer-Produkthandbuch und im Knowledge Base-Artikel KB83896.

Data Exchange Layer Data Exchange Layer umfasst Client-Software und Broker, durch die bidirektionale Kommunikationzwischen Endpunkten in einem Netzwerk ermöglicht wird.

Data Exchange Layer ist im Hintergrund für die Kommunikation mit Diensten, Datenbanken,Endpunkten und Anwendungen zuständig. Data Exchange Layer Client wird auf allen verwaltetenEndpunkten installiert, damit Bedrohungsinformationen aus Sicherheitsprodukten, in denen DXLverwendet wird, sofort an alle anderen Dienste und Geräte weitergegeben werden können. Aufgrundder sofortigen Weitergabe von verfügbaren Reputationsinformationen müssen beim Austausch vonInformationen weniger gegenseitige Annahmen zur Sicherheit in Anwendungen und Diensten getroffenwerden. Durch diese gemeinsam genutzten Informationen wird die Ausbreitung von Bedrohungeneingedämmt.

Details zum Installieren und Verwenden von Data Exchange Layer finden Sie im Data ExchangeLayer-Produkthandbuch.

So wird eine Reputation bestimmtDie Datei- und Zertifikatreputation wird bestimmt, wenn versucht wird, eine Datei auf einemverwalteten System auszuführen.

Die Reputation einer Datei oder eines Zertifikats wird mit den folgenden Schritten bestimmt.

1 Ein Benutzer oder System versucht, eine Datei auszuführen.

2 Die Datei wird von Endpoint Security überprüft. Dabei können die Gültigkeit und Reputation nichtbestimmt werden.

3 Die Datei wird vom Bedrohungsabwehrdaten-Modul überprüft. Außerdem werden relevanteEigenschaften der Datei und des lokalen Systems erfasst.

4 Der Datei-Hash wird im lokalen Reputations-Cache gesucht. Wenn der Datei-Hash gefunden wird,werden Enterprise-Daten zur Verbreitung sowie zur Reputation der Datei durch das Modul aus demCache abgerufen.

5 Wenn der Datei-Hash im lokalen Reputations-Cache nicht gefunden wird, wird eine Abfrage an denTIE Server gesendet. Wenn der Hash gefunden wird, werden die Enterprise-Daten zur Verbreitung(und zu verfügbaren Reputationen) für den Datei-Hash abgerufen.

6 Wenn der Datei-Hash weder im TIE Server noch in der Datenbank gefunden wird, wird vom Serverdie Reputation des Datei-Hashs in McAfee GTI abgefragt. McAfee GTI sendet die verfügbarenInformationen, zum Beispiel "Unbekannte Reputation". Diese Informationen werden dann auf demServer gespeichert.




In den folgenden Fällen sendet der Server die Datei zum Scannen:

• Advanced Threat Defense ist vorhanden, und der Datei-Hash wurde nicht in McAfee GTIgefunden.

• Für die Richtlinie auf dem Endpunkt wurde das Senden der Datei an Advanced Threat Defensekonfiguriert.

Zusätzliche Schritte finden Sie unter Wenn Advanced Threat Defense vorhanden ist.

7 Vom Server werden basierend auf den gefundenen Daten die Dauer des Datei-Hash-Vorkommensim Unternehmen, die Verbreitungsdaten und die Reputation an das Modul zurückgegeben. Wenndie Datei neu in der Umgebung ist, sendet der Server außerdem die Kennzeichnung "erstesAuftreten" an das Bedrohungsabwehrdaten-Modul. Wenn McAfee Web Gateway vorhanden ist undeinen Reputationsfaktor sendet, wird die Reputation der Datei von Bedrohungsabwehrdatenzurückgegeben.

8 Diese Metadaten werden vom Modul getestet, um die Reputation der Datei zu bestimmen:

• Datei- und Systemeigenschaften

• Enterprise-Alter und Verbreitungsdaten

• Reputation

9 Basierend auf der Richtlinie, die dem System zugewiesen ist, auf dem die Datei ausgeführt wird,wird vom Modul eine Aktion ausgeführt.

10 Der Server wird mit den Reputationsinformationen und Angaben dazu, ob die Datei zugelassenoder blockiert wird, aktualisiert. Außerdem werden über McAfee Agent Bedrohungsereignisse anMcAfee ePO gesendet.

11 Auf dem Server wird das Reputationsänderungsereignis für den Datei-Hash veröffentlicht.

Wenn Advanced Threat Defense vorhanden ist

Wenn Advanced Threat Defense vorhanden ist, läuft der folgende Prozess ab.

1 Wenn für das System das Senden von Dateien an Advanced Threat Defense konfiguriert wurde unddie Datei neu in der Umgebung ist, sendet das System sie an den TIE Server. Der TIE Serversendet sie dann zum Scannen an Advanced Threat Defense.

2 Die Datei wird von Advanced Threat Defense gescannt, und die Ergebnisse für die Datei-Reputationwerden über Data Exchange Layer an den TIE Server gesendet. Außerdem wird die Datenbankaktualisiert, und die aktualisierten Reputationsinformationen werden an alle Systeme gesendet, aufdenen das Bedrohungsabwehrdaten-Modul aktiviert ist. Dadurch wird die Umgebung sofortgeschützt. Das Bedrohungsabwehrdaten-Modul oder ein anderes McAfee-Produkt kann diesenProzess initiieren. In jedem Fall wird die Reputation jedoch in Bedrohungsabwehrdaten verarbeitetund in der Datenbank gespeichert.

Weitere Informationen zur Integration von Advanced Threat Defense in dasBedrohungsabwehrdaten-Modul finden Sie im Kapitel Malware-Erkennung und Advanced Threat Defenseim Produkthandbuch für McAfee Advanced Threat Defense.

Wenn McAfee Web Gateway vorhanden ist

Wenn McAfee Web Gateway vorhanden ist, läuft der folgende Prozess ab.



• Wenn Sie Dateien herunterladen, wird ein Bericht von McAfee Web Gateway an den TIE Servergesendet und ein Reputationsfaktor in der Datenbank gespeichert. Erhält der Server eine Anfragevom Modul für eine Datei-Reputation, gibt es die Reputation zurück, die es von McAfee WebGateway und anderen Reputationsanbietern erhalten hat.

Weitere Informationen zum Austausch von Informationen in McAfee Web Gateway über den TIEServer finden Sie im Kapitel zu Proxys im Produkthandbuch für McAfee Web Gateway.

Erste SchritteSie haben das Bedrohungsabwehrdaten-Modul installiert. Wie geht es nun weiter?

Um das Bedrohungsabwehrdaten-Modul zu nutzen, führen Sie die folgenden Schritte aus:

1 Erstellen Sie Bedrohungsabwehrdaten-Richtlinien, um zu bestimmen, was zugelassen oder blockiertwird. Führen Sie dann das Bedrohungsabwehrdaten-Modul im Beobachtungsmodus aus, um dieDateiverbreitung festzustellen und zu beobachten, was vom Bedrohungsabwehrdaten-Modul in derUmgebung erkannt wird. Der Dateiverbreitung können Sie entnehmen, wie oft eine Datei in einerUmgebung auftritt.

2 Überwachen Sie die Richtlinien oder einzelne Datei- bzw. Zertifikat-Reputationen, oder passen Siesie an. Auf diese Weise steuern Sie, was in der Umgebung zugelassen wird.

Feststellen und Beobachten der DateiverbreitungBeginnen Sie nach der Installation und Bereitstellung, die Dateiverbreitung festzustellen undInformationen zu aktuellen Bedrohungen zu sammeln.

Sie können sehen, welche Elemente in der Umgebung ausgeführt werden undReputationsinformationen für Dateien und Zertifikate zur TIE-Datenbank hinzufügen. Mit diesenInformationen werden außerdem die Diagramme und Dashboards in dem Modul aufgefüllt, in dem Siedetaillierte Reputationsinformationen für Dateien und Zertifikate anzeigen.

Erstellen Sie zunächst eine oder mehrere Bedrohungsabwehrdaten-Richtlinien, die auf einigen wenigenSystemen in der Umgebung ausgeführt werden sollen. Mit den Richtlinien bestimmen Sie Folgendes:

• Wann eine Datei oder ein Zertifikat mit einer bestimmten Reputation auf einem System ausgeführtwerden darf

• Wann eine Datei oder ein Zertifikat blockiert wird

• Wann der Benutzer zu einer Eingabe aufgefordert wird

• Wann eine Datei zur weiteren Analyse an Advanced Threat Defense übermittelt wird

Während Sie die Dateiverbreitung feststellen, können Sie die Richtlinien im Beobachtungsmodusausführen. Datei- und Zertifikatreputationen werden zur Datenbank hinzugefügt, ohne dass eineAktion ausgeführt wird. Sie können sehen, was vom Bedrohungsabwehrdaten-Modul blockiert oderzugelassen wird, wenn die Richtlinie erzwungen wird.

Details finden Sie unter Konfigurieren von Bedrohungsabwehrdaten-Optionen.

Überwachen und Vornehmen von AnpassungenWährend die Richtlinien in der Umgebung ausgeführt werden, werden Reputationsdaten zurDatenbank hinzugefügt.

In den Dashboards und Ereignisansichten von McAfee ePO können Sie die Dateien und Zertifikatesehen, die gemäß den Richtlinien zugelassen oder blockiert wurden.



Sie können detaillierte Informationen nach System (Computer), Datei, Regel oder Zertifikat anzeigenund schnell sehen, wie viele Elemente identifiziert und welche Aktionen ausgeführt wurden. Siekönnen einen Drilldown ausführen, indem Sie auf ein Element klicken und dieReputationseinstellungen für bestimmte Dateien oder Zertifikate anpassen, damit die entsprechendeAktion ausgeführt wird.

Wenn beispielsweise die Standard-Reputation einer Datei Verdächtig oder Unbekannt entspricht,obwohl Sie wissen, dass die Datei vertrauenswürdig ist, können Sie die Reputation inVertrauenswürdig ändern. Dann wird die Datei in der Umgebung ausgeführt, ohne dass sie blockiertoder der Benutzer zu einer Eingabe aufgefordert wird. Dies ist besonders hilfreich, wenn in derUmgebung interne oder benutzerdefinierte Dateien verwendet werden.

• Suchen Sie mit der Funktion TIE-Reputationen nach einem bestimmten Datei- oderZertifikatnamen. Sie können Details zu der Datei oder dem Zertifikat anzeigen, beispielsweise denNamen des Unternehmens, den SHA-1-Hash, die Beschreibung und McAfee GTI-Informationen. BeiDateien können Sie außerdem direkt über die Seite mit den Details für TIE-Reputationen aufVirusTotal zugreifen, um zusätzliche Informationen zu sehen.

• Auf der Seite Berichterstellungs-Dashboard können Sie verschiedene Arten vonReputationsinformationen gleichzeitig sehen. Sie können unter anderem die Anzahl der in derletzten Woche in der Umgebung erkannten neuen Dateien, der Dateien nach Reputation, derDateien mit kürzlich geänderter Reputation und der Systeme, auf denen kürzlich neue Dateienausgeführt wurden, anzeigen. Wenn Sie im Dashboard auf ein Element klicken, werden detaillierteInformationen angezeigt.

• Wenn Sie eine schädliche oder verdächtige Datei identifiziert haben, können Sie schnell sehen, aufwelchen Systemen die Datei ausgeführt wurde und die möglicherweise kompromittiert sind.

• Ändern Sie die Reputation einer Datei oder eines Zertifikats gemäß den Anforderungen derUmgebung. Die Informationen werden sofort in der Datenbank aktualisiert und an alle Geräte inder Umgebung gesendet. Dateien und Zertifikate werden basierend auf ihrer Reputation blockiertoder zugelassen.

Wenn Sie bei bestimmten Dateien oder Zertifikaten nicht sicher sind, können Sie die Ausführungblockieren, während Sie sich weiter informieren. Im Gegensatz zu einer Säuberungsaktion vonBedrohungsschutz, bei der die Datei möglicherweise gelöscht wird, bleibt eine blockierte Datei anOrt und Stelle, kann jedoch nicht ausgeführt werden. Die Datei bleibt intakt, während Sierecherchieren und über die Vorgehensweise entscheiden.

• Importieren Sie Datei- oder Zertifikatreputationen in die Datenbank, um bestimmte Dateien oderZertifikate basierend auf anderen Reputationsquellen zuzulassen oder zu blockieren. Auf dieseWeise können Sie die importierten Einstellungen für bestimmte Dateien und Zertifikate verwenden,ohne diese einzeln auf dem Server festlegen zu müssen.

Übermitteln von Dateien zur weiteren AnalyseWenn die Reputation einer Datei unbekannt oder ungewiss ist, können Sie die Datei zur weiterenAnalyse an Advanced Threat Defense übermitteln. Sie legen in der Bedrohungsabwehrdaten-Richtliniefest, ob die Dateien an Advanced Threat Defense gesendet werden.

Mit Advanced Threat Defense wird Zero-Day-Malware erkannt und mit Virenschutz-Signaturen,Reputationsinformationen und Abwehrmaßnahmen durch Echtzeit-Emulation kombiniert. Dateienkönnen von Bedrohungsabwehrdaten basierend auf ihrer Reputationsstufe und Größe automatischanAdvanced Threat Defense gesendet werden. Die von Advanced Threat Defense gesendetenInformationen zur Datei-Reputation werden der TIE Server-Datenbank hinzugefügt.



Datei- und Zertifikatinformationen werden direkt zur Analyse an McAfee gesendet. Die Informationenwerden verwendet, um die Dateien und Zertifikate besser zu verstehen und dieReputationsinformationen zu verbessern.

McAfee erfasst keine persönlichen Informationen und gibt Informationen nicht außerhalb von McAfeeweiter.

Datei- und Zertifikatinformationen• Versionen des TIE Servers und des Moduls

• Im TIE Server vorgenommene Einstellungen zur Außerkraftsetzung der Reputation

• Externe Reputationsinformationen, beispielsweise aus Advanced Threat Defense

Ausschließlich dateibezogene Informationen• Dateiname, Pfad, Größe, Produkt, Herausgeber und Verbreitung

• Informationen zu SHA1, SHA256 und MD5 Hash

• Betriebssystemversion des meldenden Computers

• Für die Datei festgelegte maximale, minimale und durchschnittliche Reputation

• Ob sich das Berichterstellungsmodul im Beobachtungsmodus befindet

• Ob die Ausführung der Datei zugelassen wurde, ob die Datei blockiert wurde oder ob sie gesäubertwurde

• Das Produkt, von dem die Datei erkannt wurde, beispielsweise Advanced Threat Defense oderBedrohungsschutz

Ausschließlich zertifikatbezogene Informationen• Informationen zum SHA-Hash

• Namen von Aussteller und Antragsteller des Zertifikats

• Gültigkeits- und Ablaufdatum des Zertifikats

Konfigurieren von Bedrohungsabwehrdaten-OptionenMit bestimmen Sie, wann eine Datei oder ein Zertifikat ausgeführt werden darf bzw. gesäubert oderblockiert wird oder ob Benutzer aufgefordert werden, eine Entscheidung zu treffen.


Richtlinienänderungen von McAfee ePO überschreiben die Änderungen von der Seite Einstellungen.



2 Klicken Sie auf der Status-Hauptseite auf Threat Intelligence Exchange.

Sie können auch im Menü Aktion Einstellungen wählen. Klicken Sie dann auf der Seite Einstellungenauf Threat Intelligence Exchange.






Blockieren oder Zulassen von Dateien und ZertifikatenDateien und Zertifikate haben Bedrohungsreputationen, die auf ihrem Inhalt und ihren Eigenschaftenbasieren. Gemäß den Bedrohungsabwehrdaten-Richtlinien werden Dateien und Zertifikate abhängigvon ihren Reputationsstufen auf Systemen in der Umgebung blockiert oder zugelassen.

Es gibt drei Sicherheitsstufen, mit denen Sie abstimmen können, wie die Regeln für bestimmteSystemtypen angewendet werden. Jeder Stufe sind bestimmte Regeln zugeordnet, mit denenbösartige und verdächtige Dateien und Zertifikate identifiziert werden.

• Produktivität: Systeme, auf denen häufig Änderungen vorgenommen werden, oft Programmeinstalliert und deinstalliert werden und die regelmäßig Aktualisierungen erhalten. Dazu gehörenComputer, die in Entwicklungsumgebungen verwendet werden. Mit den Richtlinien für dieseEinstellung werden weniger Regeln verwendet. Für Benutzer bedeutet dies weniger Blockierungenund Eingabeaufforderungen, wenn neue Dateien erkannt werden.

• Ausgleich: Dies sind typische Unternehmenssysteme, auf denen selten neue Programme installiertoder Änderungen vorgenommen werden. Mit den Richtlinien für diese Einstellung werden mehrRegeln verwendet. Den Benutzern werden häufiger Blockierungen und Eingabeaufforderungenangezeigt.

• Sicherheit: Von der IT-Abteilung verwaltete Geräte mit strikter Kontrolle und wenig Änderungen. Diessind beispielsweise Systeme, über die in einer Umgebung von Finanzinstitutionen oder Behördenauf kritische oder vertrauliche Informationen zugegriffen wird. Diese Einstellung wird auch fürServer verwendet. Mit den Richtlinien für diese Einstellung wird die maximale Anzahl von Regelnverwendet. Den Benutzern werden noch häufiger Blockierungen und Eingabeaufforderungenangezeigt.

Zum Anzeigen der den einzelnen Sicherheitsstufen zugeordneten Regeln wählen Sie Menü |Server-Einstellungen. Wählen Sie in der Liste Einstellungskategorien die Option Bedrohungsabwehrdaten aus.

Bedenken Sie beim Bestimmen der Sicherheitsstufe, die Sie einer Richtlinie zuweisen möchten, denTyp der Systeme, auf denen die Richtlinie verwendet wird. Berücksichtigen Sie außerdem, in welchemUmfang Blockierungen und Eingabeaufforderungen auftreten sollen. Weisen Sie die erstellte RichtlinieComputern oder Geräten zu, um festzulegen, in welchem Umfang Blockierungen undEingabeaufforderungen auftreten.





7 Client-Schnittstellenreferenz

Die Hilfethemen der Referenz für die Benutzeroberfläche bieten eine kontextbezogene Hilfe für Seitenauf der Client-Benutzeroberfläche.

Inhalt Seite Ereignisprotokoll Seite Quarantäne Allgemeingültig – Optionen Allgemeingültig – Tasks Bedrohungsschutz – Zugriffsschutz Bedrohungsschutz – Exploit-Schutz Bedrohungsschutz – On-Demand-Scan Bedrohungsschutz – On-Demand-Scan Scan-Speicherorte McAfee GTI Aktionen Ausschluss hinzufügen oder Ausschluss bearbeiten Bedrohungsschutz – Optionen Rollback von AMCore Content Firewall – Optionen Firewall – Regeln Webkontrolle – Optionen Webkontrolle – Inhaltsaktionen Bedrohungsabwehrdaten – Optionen

Seite EreignisprotokollZeigt die Aktivität und Debug-Ereignisse im Ereignisprotokoll an.

Option Beschreibung

Anzahl der Ereignisse Zeigt alle Ereignisse an, die von Endpoint Security in den vergangenen 30 Tagenim System protokolliert wurden.

Aktualisiert die Ereignisprotokoll -Anzeige mit neuen Ereignissen.

Protokollordner anzeigen Öffnet den Ordner, der die Protokolldateien in Windows Explorer enthält.

Alle Ereignisse anzeigen Entfernt alle Filter.

7


Option Beschreibung

Nach Schweregrad filtern Filtert Ereignisse nach einem Schweregrad filtert:

Kritisch Zeigt nur Ereignisse des Schweregrads 1 an.

Wichtig und höher Zeigt nur Ereignisse des Schweregrads 1 und 2 an.

Unwichtig und höher Zeigt nur Ereignisse des Schweregrads 1, 2 und 3 an.

Warnung und höher Zeigt Ereignisse des Schweregrads 1, 2, 3 und 4 an.

Nach Modul filtern Filtert Ereignisse nach Modul:

Common Zeigt nur Allgemeingültig-Ereignisse an.

Threat Prevention Zeigt nur Bedrohungsschutz-Ereignisse an.

Firewall Zeigt nur Firewall-Ereignisse an.

Web Control Zeigt nur Webkontrolle-Ereignisse an.

Die Funktionen in der Dropdown-Liste hängen von den Funktionen ab, die imSystem installiert sind, wenn Sie das Ereignisprotokoll öffnen.

Suche Durchsucht das Ereignisprotokoll nach einer Zeichenfolge.

Ereignisse pro Seite Legt die Anzahl der Ereignisse fest, die auf einer Seite angezeigt werden sollen.(Standardmäßig 20 Ereignisse pro Seite)

Vorherige Seite Zeigt die vorherige Seite im Ereignisprotokoll an.

Nächste Seite Zeigt die nächste Seite im Ereignisprotokoll an.

Seite x von x Wählt eine bestimmte Seite im Ereignisprotokoll aus.Geben Sie eine Zahl in das Feld Seite ein, und drücken Sie die Eingabetaste,oder klicken Sie auf Start, um zur Seite zu navigieren.

Spaltenüberschrift Sortiert die Ereignisliste nach...

Datum Datum, an dem das Ereignis stattfand.

Funktion Funktion, für die das Ereignis protokolliert wurde.

7 Client-SchnittstellenreferenzSeite Ereignisprotokoll


Spaltenüberschrift Sortiert die Ereignisliste nach...

Aktion Aktion, die gegebenenfalls von Endpoint Security als Reaktion auf das Ereignisausgeführt wurde.

Die Aktion wird in den Einstellungen konfiguriert.

Zugelassen Der Zugriff auf Dateien wurde zugelassen.

Zugriff verweigert Der Zugriff auf die Datei wurde verhindert.

Gelöscht Die Datei wurde automatisch gelöscht.

Fortsetzen

Gesäubert Die Bedrohung wurde automatisch aus der Datei entfernt.

Verschoben Die Datei wurde in den Quarantäne-Ordner verschoben.

Blockiert Der Zugriff auf die Datei wurde blockiert.

Würde blockiert Eine Zugriffsschutzregel hätte den Zugriff auf die Dateiblockiert, wäre die Regel erzwungen worden.

Schweregrad Schweregrad des Ereignisses.

Kritisch 1

Hoch 2

Gering 3

Warnung 4

Information 5

Siehe auch Anzeigen des Ereignisprotokolls auf Seite 22

Seite QuarantäneVerwalten Sie Elemente in der Quarantäne.

Tabelle 7-1 Optionen

Option Definition

Löschen Löscht ausgewählte Elemente aus der Quarantäne.

Gelöschte Elemente können nicht wiederhergestellt werden.

Wiederherstellen Stellt Elemente aus der Quarantäne wieder her.Endpoint Security stellt die Elemente im ursprünglichen Speicherort wieder her undentfernt sie aus der Quarantäne.

Wenn ein Element noch immer eine gültige Bedrohung darstellt, wird es von EndpointSecurity sofort zurück in die Quarantäne verschoben.

Erneut scannen Scannt ausgewählte Elemente in der Quarantäne erneut.Wenn das Element keine Bedrohung mehr ist, stellt es Endpoint Security wieder inseinen ursprünglichen Speicherort her und entfernt es aus der Quarantäne.

Client-SchnittstellenreferenzSeite Quarantäne 7


Spaltenüberschrift Sortiert die Quarantäne-Liste nach...

Erkennungsname Name der Erkennung.

Typ Bedrohungstyp, zum Beispiel: Trojaner oder Adware.

Quarantäne-Zeit Die Zeitdauer, die das Element isoliert wurde.

Anzahl der Objekte Die Anzahl der erkannten Objekte.

AMCore Content-Version Die Versionsnummer von AMCore Content, die die Bedrohung erkannt hat.

Status des erneuten Scans Der Status des erneuten Scans, wenn das Element erneut gescannt wurde:• Sauber: Beim erneuten Scan wurden keine Bedrohungen erkannt.

• Infiziert: Endpoint Security hat beim erneuten Scan eine Bedrohung erkannt.

Siehe auch Verwalten von isolierten Elementen auf Seite 46Erkennungsnamen auf Seite 48Erneutes Scannen isolierter Elemente auf Seite 49

Allgemeingültig – OptionenKonfigurieren Sie Einstellungen für Endpoint Security-Client-Benutzeroberfläche, Selbstschutz,Protokollierung von Aktivität und Fehlerbehebung sowie Einstellungen für den Proxy-Server.


Abschnitt Option Definition

Client-Schnittstellen-Modus Vollzugriff Ermöglicht den Zugriff auf alle Funktionen.(Standard für selbstverwaltete Systeme)

Standardzugriff Zeigt den Schutzstatus an und bietet Zugriff auf diemeisten Funktionen, beispielsweise das Durchführenvon Aktualisierungen und Scans.

Für den Modus Standardzugriff ist ein Kennworterforderlich, um Einstellungen auf der EndpointSecurity-Client-Seite Einstellungen anzuzeigen und zuändern.

Das Standardkennwort ist mcafee.

(Standard für von McAfee ePO verwaltete Systeme)

Client-Benutzeroberflächesperren

Erfordert ein Kennwort zum Zugriff auf den EndpointSecurity-Client.

7 Client-SchnittstellenreferenzAllgemeingültig – Optionen


Tabelle 7-2 Optionen (Fortsetzung)


Administratorkennwortfestlegen

Legt bei Standardzugriff und Client-Benutzeroberfläche sperrendas Administratorkennwort für den Zugriff auf alleFunktionen der EndpointSecurity-Client-Benutzeroberfläche fest.

Kennwort Gibt das Kennwort an.

Kennwort bestätigen Bestätigt das Kennwort.

Deinstallation Kennwort zum Deinstallierendes Clients erforderlichmachen

Erfordert ein Kennwort für die Deinstallation desEndpoint Security-Client und legt das Kennwort fest.(Standardmäßig deaktiviert für selbstverwalteteSysteme)

Das Standardkennwort ist mcafee.

Kennwort Gibt das Kennwort an.

Kennwort bestätigen Bestätigt das Kennwort.

Tabelle 7-3 Erweiterte Optionen


Sprache derClient-Benutzeroberfläche

Automatisch Wählt automatisch die für Text in der EndpointSecurity-Client-Benutzeroberfläche zuverwendende Sprache basierend auf derSprache des Client-Systems.

Sprache Legt die für Text in der EndpointSecurity-Client-Benutzeroberfläche zuverwendende Sprache fest.Bei verwalteten Systemen setzen über denEndpoint Security-Client vorgenommeneSprachänderungen Richtlinienänderungen vomManagement-Server außer Kraft. DieSprachänderung wird nach dem Neustart desEndpoint Security-Client übernommen.

Die Client-Sprache hat keine Auswirkungauf die Protokolldateien. Protokolldateienwerden immer in der von derLändereinstellung des Systems festgelegtenSprache angezeigt.

Selbstschutz Selbstschutz aktivieren Schützt Endpoint Security-Systemressourcenvor schädlichen Aktivitäten.

Aktion Legt die Aktion fest, die beim Auftretenschädlicher Aktivitäten ausgeführt werden soll:• Blockieren und melden: Blockiert Aktivitäten und

meldet sie an McAfee ePO. (Standard)

• Nur blockieren: Blockiert Aktivitäten, abermeldet sie nicht an McAfee ePO.

• Nur melden: Meldet an McAfee ePO, blockiertdie Aktion aber nicht.

Dateien und Ordner Verhindert, dass McAfee-Systemdateienund -ordner geändert oder gelöscht werden.

Client-SchnittstellenreferenzAllgemeingültig – Optionen 7


Tabelle 7-3 Erweiterte Optionen (Fortsetzung)


Registrierung Verhindert, dassMcAfee-Registrierungsschlüssel und -wertegeändert oder gelöscht werden.

Prozesse Verhindert, dass McAfee-Prozesse angehaltenwerden.

Diese Prozesse ausschließen Erlaubt den Zugriff für die angegebenenProzesse.

Platzhalter werden unterstützt.

Hinzufügen: Fügt der Ausschlussliste einenProzess hinzu. Klicken Sie auf Hinzufügen, undgeben Sie den genauen Ressourcennamen an,z. B. avtask.exe.

Doppelklicken auf ein Element: Ändert dasausgewählte Element.

Löschen – Löscht das ausgewählte Element.Wählen Sie die gewünschte Ressource aus, undklicken Sie dann auf Löschen.

Zertifikate Legt Zertifikatoptionen fest.

Zulassen Lässt zu, dass ein Anbieter Code innerhalb vonMcAfee-Prozessen ausführt.

Diese Einstellung kann zuKompatibilitätsproblemen und wenigerSicherheit führen.

Anbieter Gibt den allgemeinen Namen (Common Name,CN) der Zertifizierungsstelle an, die dasZertifikat signiert und ausgestellt hat.

Betreff Gibt den definierten Namen des Signaturgebers(Signer Distinguished Name, SDN) an, der diemit dem Zertifikat verknüpfte Entität definiert.Diese Informationen können Folgendesumfassen:

• CN: AllgemeinerName

• L: Ort

• OU:Organisationseinheit

• ST: Bundesland

• O: Unternehmen • C: Ländercode

Öffentlicher Schlüssel SHA-1 Gibt den SHA-1-Hash des verknüpftenöffentlichen Schlüssels an.





Client-Protokollierung Speicherort der Protokolldateien Gibt den Speicherort der Protokolldateien an.Der Standardpfad lautet:

<SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs

Geben Sie den Speicherort ein, oder klicken Sieauf Durchsuchen, um zum Speicherort zunavigieren.

Aktivitätsprotokollierung Aktivitätsprotokollierungaktivieren

Aktiviert die Protokollierung aller EndpointSecurity-Aktivitäten.

Größe (MB) jederAktivitätsprotokolldateibeschränken

Beschränkt die Größe der Aktivitätsprotokoll aufdie festgelegte Maximalgröße (zwischen 1 MBund 999 MB). Die Standardeinstellung ist10 MB.Deaktivieren Sie diese Option, damitProtokolldateien auf eine beliebige Größewachsen können.

Wenn die Protokolldatei die festgelegteDateigröße überschreitet, werden dieältesten 25 Prozent der Einträge in derDatei gelöscht.

Protokollierung derFehlerbehebung Durch das Aktivieren der Protokollierung der

Fehlerbehebung für ein Modul wird dieseauch für die Funktionen des ModulsAllgemeingültig aktiviert, etwa für denSelbstschutz.

Wir empfehlen, dass Sie die Protokollierungder Fehlerbehebung mindestens für dieersten 24 Stunden während der Test- undPilotphasen aktivieren. Tretenwährenddessen keine Probleme auf,deaktivieren Sie die Protokollierung derFehlerbehebung wieder, um die Leistung desClient-Systems nicht zu beeinträchtigen.





Für Bedrohungsschutz aktivieren Aktiviert eine ausführliche Protokollierung fürden Bedrohungsschutz und individuelleTechnologien:Für Zugriffsschutz aktivieren: Schreibt inAccessProtection_Debug.log.

Für Exploit-Schutz aktivieren: Schreibt inExploitPrevention_Debug.log.

Für On-Access-Scanner aktivieren: Schreibt inOnAccessScan_Debug.log.

Für On-Demand-Scanner aktivieren: Schreibt inOnDemandScan_Debug.log.

Durch das Aktivieren der Protokollierung derFehlerbehebung für eineBedrohungsschutz-Technologie wird dieseauch für den Endpoint Security-Clientaktiviert.

Durch das Aktivieren der Protokollierung derFehlerbehebung für eineBedrohungsschutz-Technologie wird dieseauch für die Bedrohungsabwehrdatenaktiviert.

Für Firewall aktivieren Aktiviert eine ausführliche Protokollierung vonFirewall-Aktivitäten.

Für Webkontrolle aktivieren Aktiviert eine ausführliche Protokollierung vonWebkontrolle-Aktivitäten.

Größe (MB) jederDebug-Protokolldateibeschränken

Beschränkt die Größe der Debug-Protokolldateiauf die festgelegte Maximalgröße (zwischen1 MB und 999 MB). Die Standardeinstellung ist50 MB.Deaktivieren Sie diese Option, damitProtokolldateien auf eine beliebige Größewachsen können.

Wenn die Protokolldatei die festgelegteDateigröße überschreitet, werden dieältesten 25 Prozent der Einträge in derDatei gelöscht.

Ereignisprotokollierung Ereignisse an McAfee ePOsenden

Sendet alle im Ereignisprotokoll protokolliertenEreignisse auf dem Endpoint Security-Client anMcAfee ePO.

Diese Option ist nur auf von McAfee ePOverwalteten Systemen verfügbar.

Ereignisse inWindows-Anwendungsprotokollschreiben

Sendet alle im Ereignisprotokoll protokolliertenEreignisse auf dem Endpoint Security-Client andas Windows-Ereignisprotokoll.Das Windows-Anwendungsprotokoll kann unterWindows Ereignisanzeige | Windows-Protokolle |Anwendung aufgerufen werden.





Schweregrade Gibt den Schweregrad von Ereignissen an, dieauf dem Endpoint Security-Client in dasEreignisprotokoll protokolliert werden sollen:• Keine: Sendet keine Warnungen

• Nur kritische: Sendet nur Warnstufe 1.

• Wichtig und kritisch: Sendet Warnstufen 1 und 2.

• Unwichtig, wichtig und kritisch: Sendet Warnstufen1–3.

• Alle außer Informationen: Sendet Warnstufen 1–4.

• Alle: Sendet Warnstufen 1–5.

• 1 – Kritisch • 4 – Warnung

• 2 – Wichtig • 5 –Informationen

• 3 – Unwichtig

Zu protokollierendeBedrohungsschutz-Ereignisse

Gibt für jede Funktion den Schweregrad vonEreignissen an, die vom Bedrohungsschutzprotokolliert werden sollen:• Zugriffsschutz

Das Aktivieren der Ereignisprotokollierungfür den Zugriffsschutz aktiviert auch dieEreignisprotokollierung für denSelbstschutz.

• Exploit-Schutz

• On-Access-Scanner

• On-Demand-Scanner

Zu protokollierendeFirewall-Ereignisse

Gibt den Schweregrad von Firewall-Ereignissenan, die protokolliert werden sollen.

Zu protokollierendeWebkontrolle-Ereignisse

Gibt den Schweregrad vonWebkontrolle-Ereignissen an, die protokolliertwerden sollen.

Proxy-Server für McAfee GTI Kein Proxy-Server Gibt an, dass die verwalteten Systeme McAfeeGTI-Reputationsinformationen direkt über dasInternet abrufen, nicht über einenProxy-Server. (Standard)

System-Proxy-Einstellungenverwenden

Gibt an, dass die Proxy-Einstellungen desClient-Systems verwendet und optionalHTTP-Proxy-Authentifizierung aktiviert werdensollen.





Proxy-Server konfigurieren Passt die Proxy-Einstellungen an.• Adresse: Gibt die IP-Adresse oder den

vollständig qualifizierten Domänennamen desHTTP-Proxy-Servers an.

• Port: Begrenzt den Zugriff über denangegebenen Port.

• Diese Adressen ausschließen: Verwenden Sie denHTTP-Proxy-Server nicht für Websites oderIP-Adressen, die mit den festgelegtenAngaben beginnen.Klicken Sie auf Hinzufügen, und geben Sie dannden auszuschließenden Adressnamen ein.

HTTP-Proxy-Authentifizierungaktivieren

Gibt an, dass eine Authentifizierung für denHTTP-Proxy-Server erforderlich ist. (DieseOption ist nur verfügbar, wenn Sie einenHTTP-Proxy-Server gewählt haben.) Geben Siedie Anmeldeinformationen des HTTP-Proxysein:• Benutzername: Gibt das Benutzerkonto an, das

Berechtigungen für den HTTP-Proxy-Serverbesitzt.

• Kennwort: Gibt das Kennwort für denBenutzernamen an.

• Kennwort bestätigen: Bestätigt das angegebeneKennwort.

Standard-Client-Aktualisierung Schaltfläche 'Jetzt aktualisieren'im Client aktivieren Zeigt die -Schaltfläche

auf der Hauptseite des Endpoint Security-Clientan oder blendet sie aus.Klicken Sie auf diese Schaltfläche, um manuellnach Aktualisierungen für Content-Dateien undSoftware-Komponenten zu suchen und auf dasClient-System herunterzuladen.

Zu aktualisierende Elemente Legt die Elemente fest, die beim Klicken auf die

Schaltfläche aktualisiertwerden.• Sicherheitsinhalte, HotFixes und Patches: Aktualisiert

sämtlichen Sicherheitsinhalt (einschließlichModul, AMCore undExploit-Schutz-Content-Datei) sowie alleHotFixes und Patches auf die neuestenVersionen.

• Sicherheitsinhalte: Aktualisiert nurSicherheitsinhalte (Standard).

• HotFixes und Patches: Aktualisiert nur HotFixesund Patches.





Quellsites für Aktualisierungen Konfiguriert Sites, von denen Aktualisierungenfür Content-Dateien undSoftware-Komponenten abgerufen werden.

Sie können dieStandard-Sicherungs-Quellsite, McAfeeHttp,und den Management-Server (fürverwaltete Systeme) aktivieren unddeaktivieren, aber nicht ändern oderlöschen.

Gibt Elemente an, die in der Liste verschobenwerden können.Wählen Sie Elemente aus, und verschieben Siesie per Drag-and-Drop an ihren neuenStandort. Eine blaue Linie erscheint zwischenElementen, wo Sie die gezogenen Elementeablegen können.

Hinzufügen Fügt eine Site zur Quellsite-Liste hinzu.Weitere Informationen finden Sie unter Sitehinzufügen oder Site bearbeiten auf Seite 124.

Doppelklicken auf einElement

Ändert das ausgewählte Element.

Löschen Löscht die ausgewählte Site aus derQuellsite-Liste.

Importieren Importiert Sites aus einer Quellsite-Listendatei.Wählen Sie die zu importierende Datei aus, undklicken Sie auf OK.

Die vorhandene Quellsite-Liste wird durchdie Site-Listendatei ersetzt.

Alle exportieren Exportiert die Quellsite-Liste in eineSiteList.xml-Datei.Wählen Sie den Speicherort derQuellsite-Listendatei aus, und klicken Sie aufOK.

Proxy-Server für Quellsites Kein Proxy-Server Gibt an, dass die verwalteten Systeme McAfeeGTI-Reputationsinformationen direkt über dasInternet abrufen, nicht über einenProxy-Server. (Standard)

System-Proxy-Einstellungenverwenden

Gibt an, dass die Proxy-Einstellungen desClient-Systems verwendet und optional HTTP-oder FTP-Proxy-Authentifizierung aktiviertwerden soll.





Proxy-Server konfigurieren Passt die Proxy-Einstellungen an.• HTTP-/FTP-Adresse – Legt die DNS-, IPv4- oder

IPv6-Adresse des HTTP- oderFTP-Proxy-Servers fest.

• Port: Begrenzt den Zugriff über denangegebenen Port.

• Diese Adressen ausschließen: Legt die Adressen fürEndpoint Security-Client-Systeme fest, dieder Proxy-Server nicht für das Abrufen vonMcAfee GTI-Bewertungen verwenden soll.Klicken Sie auf Hinzufügen, und geben Sie dannden auszuschließenden Adressnamen ein.

HTTP-/FTP-Proxy-Authentifizierungaktivieren

Gibt an, dass eine Authentifizierung für denHTTP- oder FTP-Proxy-Server erforderlich ist.(Diese Option ist nur verfügbar, wenn Sie einenHTTP- oder FTP-Proxy-Server gewählt haben.)Geben Sie die Proxy-Anmeldeinformationen ein:• Benutzername: Gibt das Benutzerkonto an, das

Berechtigungen für den Proxy-Server besitzt.

• Kennwort: Gibt das Kennwort für denangegebenen Benutzernamen an.

• Kennwort bestätigen: Bestätigt das angegebeneKennwort.

Siehe auch Schützen von Endpoint Security-Ressourcen auf Seite 30Konfigurieren von Protokollierungseinstellungen auf Seite 30Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit auf Seite 31Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI auf Seite 32Konfigurieren des Standardverhaltens für Aktualisierungen auf Seite 35Konfigurieren von Quellsites für Aktualisierungen auf Seite 33Site hinzufügen oder Site bearbeiten auf Seite 124

Site hinzufügen oder Site bearbeitenFügt eine Site in der Quellsite-Liste hinzu oder bearbeitet diese.

Tabelle 7-4 Optionsbeschreibungen

Option Beschreibung

Name Gibt den Namen der Quellsite an, die die Aktualisierungsdateien enthält.

Aktivieren Aktiviert oder deaktiviert die Verwendung der Quellsite für das Herunterladen vonAktualisierungsdateien.

Dateien abrufen von Legt fest, woher die Dateien abgerufen werden sollen.



Tabelle 7-4 Optionsbeschreibungen (Fortsetzung)

Option Beschreibung

HTTP-Repository Ruft die Dateien von dem festgelegten Speicherort für das HTTP-Repository ab.

HTTP bietet Aktualisierungen ohne Berücksichtigung der Netzwerksicherheit,unterstützt jedoch eine größere Menge gleichzeitiger Verbindungen als FTP.

URL • DNS-Name: Zeigt an, dass die URL ein Domänenname ist.

• IPv4: Zeigt an, dass die URL eine IPv4-Adresse ist.


http:// – Legt die Adresse des HTTP-Servers und des Ordners fest,in dem sich die Aktualisierungsdateien befinden.

Port – Gibt die Portnummer für den HTTP-Server an.

Authentifizierungverwenden

Bei Auswahl wird Authentifizierung mit anschließendfestgelegten Anmeldeinformationen für den Zugriff auf denOrdner der Aktualisierungsdatei verwendet.• Benutzername: Gibt das Benutzerkonto an, das

Leseberechtigungen für den Ordner der Aktualisierungsdateihat.

• Kennwort: Gibt das Kennwort für den angegebenen Benutzernamenan.

• Kennwort bestätigen: Bestätigt das angegebene Kennwort.



Tabelle 7-4 Optionsbeschreibungen (Fortsetzung)

Option Beschreibung

FTP-Repository Ruft die Dateien von dem festgelegten Speicherort für das FTP-Repository ab.

Eine FTP-Website bietet Flexibilität, da keine Netzwerksicherheitsberechtigungenberücksichtigt werden müssen. Da FTP weniger anfällig für Angriffe durchunerwünschten Code als HTTP ist, bietet es möglicherweise eine bessere Toleranz.

URL • DNS-Name: Zeigt an, dass die URL ein Domänenname ist.



ftp:// – Legt die Adresse des FTP-Servers und des Ordners fest, indem sich die Aktualisierungsdateien befinden.

Port – Gibt die Portnummer für den FTP-Server an.

AnonymeAnmeldungverwenden

Bei Auswahl wird anonymer FTP für den Zugriff auf den Ordner derAktualisierungsdatei verwendet.Heben Sie die Auswahl der Option auf, um Anmeldeinformationenfür den Zugriff festzulegen.

• Benutzername: Gibt das Benutzerkonto an, das Leseberechtigungenfür den Ordner der Aktualisierungsdatei hat.

• Kennwort: Gibt das Kennwort für den angegebenen Benutzernamen an.


UNC-Pfad oderLokaler Pfad

Ruft Dateien von einem UNC-Pfad oder lokalen Pfad ab.

UNC-Websites lassen sich äußerst schnell und einfach einrichten.Domänenübergreifende UNC-Aktualisierungen erfordern Sicherheitsberechtigungenfür jede Domäne, was die Konfiguration des Aktualisierungsprozesses etwaskomplexer macht.

Pfad • UNC-Pfad: Gibt den Pfad in UNC-Schreibweise an (\\servername\path\).

• Lokaler Pfad: Gibt den Pfad eines Ordners auf einem lokalen oderNetzwerklaufwerk an.

AngemeldetesKontoverwenden

Greift auf die Aktualisierungsdatei mit dem angemeldeten Kontozu. Dieses Konto muss Leseberechtigungen für die Ordner mit denAktualisierungsdateien haben.Heben Sie die Auswahl der Option auf, um Anmeldeinformationenfür den Zugriff festzulegen.

• Domäne: Gibt die Domäne für das Benutzerkonto an.

• Benutzername: Gibt das Benutzerkonto an, dasLeseberechtigungen für den Ordner der Aktualisierungsdateihat.

• Kennwort: Gibt das Kennwort für den angegebenen Benutzernamenan.




Allgemeingültig – TasksKonfigurieren und planen Sie Endpoint Security-Client-Tasks.

Auf verwalteten Systemen können Sie keine Administrator-Tasks starten, beenden oder löschen.



Tasks Zeigt die derzeit definierten und geplanten Tasks an.• Name: Der Name des geplanten Tasks.

• Funktion: Modul oder Feature, mit dem der Task verknüpft ist.

• Plan: Wann der Task planmäßig ausgeführt wird und ob er deaktiviertist.Auf verwalteten Systemen kann der Task-PlanStandard-Client-Aktualisierung vom Administrator deaktiviert werden.

• Status: Status bei der letzten Ausführung des Tasks:

• (kein Status) – Niemals ausgeführt

• Wird ausgeführt – Wird derzeit ausgeführt oder fortgesetzt

• Angehalten – Wurde vom Benutzer angehalten (etwas ein Scan)

• Verschoben – Wurde vom Benutzer verschoben (etwas ein Scan)

• Abgeschlossen – Ausführung abgeschlossen ohne Fehler

• Abgeschlossen (Fehler) – Ausführung abgeschlossen mit Fehlern

• Fehlgeschlagen – Nicht erfolgreich abgeschlossen

• Letzte Ausführung: Das Datum und der Zeitpunkt, zu dem der Taskzuletzt ausgeführt wurde.

• Ursprung: Gibt den Ursprung des Tasks an:

• McAfee: Von McAfee bereitgestellt.

• Administrator (nur verwaltete Systeme): Vom Administrator definiert.

• Benutzer: Auf dem Endpoint Security-Client definiert.

Je nach Ursprung können einige dieser Tasks weder geändert nochgelöscht werden. Beispielsweise kann der TaskStandard-Client-Aktualisierung nur auf selbstverwalteten Systemengeändert werden. Administrator-Tasks, definiert vom Administrator aufverwalteten Systemen, können auf dem Endpoint Security-Clientweder geändert noch gelöscht werden.

Doppelklickenauf ein Element


Hinzufügen Erstellt einen Scan-, Aktualisierungs- oder Spiegelungs-Task.

Löschen Löscht den ausgewählten Task.

Client-SchnittstellenreferenzAllgemeingültig – Tasks 7




Duplizieren Erstellt eine Kopie des ausgewählten Tasks.

Jetzt ausführen Führt den ausgewählten Task aus.


• Schnellscan: Öffnet das Dialogfeld Schnellscan und startet den Scan.

• Vollständiger Scan: Öffnet das Dialogfeld Vollständiger Scan und startet denScan.

• Benutzerdefinierter Scan: Öffnet das Dialogfeld Benutzerdefinierter Scan undstartet den Scan.

• Standard-Client-Aktualisierung: Öffnet das Dialogfeld Aktualisierung undstartet die Aktualisierung.

• Aktualisierung: Öffnet das Dialogfeld Benutzerdefinierte Aktualisierung undstartet die Aktualisierung.

• Spiegeln: Öffnet das Dialogfeld Spiegeln und startet dieRepository-Replikation.

Wenn Sie einen Task ausführen, bevor die Änderungen übernommenwurden, werden Sie vom Endpoint Security-Client dazu aufgefordert,die Änderungen zu speichern.

Siehe auch Ausführen eines vollständigen Scans oder Schnellscans auf Seite 42Manuelles Aktualisieren von Schutz und Software auf Seite 21Konfigurieren, Planen und Ausführen von Spiegelungs-Tasks auf Seite 38Task hinzufügen auf Seite 128

Task hinzufügenFügt benutzerdefinierte Scan-Tasks, Spiegelungs-Tasks oder Aktualisierungs-Tasks hinzu.

Option Definition

Name Legt den Namen für den Task fest.

Task-Typauswählen

Legt den Task-Typ fest:• Benutzerdefinierter Scan: Konfiguriert und plant einen benutzerdefinierten Scan, z. B.

tägliche Speicher-Scans.

• Spiegeln: Repliziert die aktualisierten Content- und Moduldateien aus dem erstenzugänglichen Repository in eine Spiegel-Site in Ihrem Netzwerk.

• Aktualisieren: Konfiguriert und plant eine Aktualisierung der Content-Dateien, desScan-Moduls oder des Produkts.

Siehe auch Scan-Task hinzufügen oder Scan-Task bearbeiten auf Seite 129Spiegelungs-Task hinzufügen oder Spiegelungs-Task bearbeiten auf Seite 130Aktualisierungs-Task hinzufügen oder Aktualisierungs-Task bearbeiten auf Seite 129

7 Client-SchnittstellenreferenzAllgemeingültig – Tasks


Scan-Task hinzufügen oder Scan-Task bearbeitenPlant den Task Vollständiger Scan oder Schnellscan oder konfiguriert und plant benutzerdefinierteScan-Tasks, die auf dem Client-System ausgeführt werden.


Registerkarte Option Definition

Einstellungen Konfiguriert Scan-Task-Einstellungen.

Name Gibt den Namen des Tasks an.

Optionen Weitere Informationen finden Sie unter Bedrohungsschutz – On-Demand-Scan auf Seite 146.

Die Einstellungen für die Tasks vollständiger Scan und Schnellscan können nurauf selbstverwalteten Systemen konfiguriert werden.

Zeitplan Aktiviert und plant die Ausführung des Tasks zu einem bestimmtenZeitpunkt.Weitere Informationen finden Sie unter Zeitplan auf Seite 131.

Siehe auch Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Ausführen eines vollständigen Scans oder Schnellscans auf Seite 42Bedrohungsschutz – On-Demand-Scan auf Seite 146Zeitplan auf Seite 131

Aktualisierungs-Task hinzufügen oder Aktualisierungs-TaskbearbeitenPlant den Task Standard-Client-Aktualisierung oder konfiguriert und plant benutzerdefinierteAktualisierungs-Tasks, die auf dem Client-System ausgeführt werden.


Einstellungen Konfiguriert Aktualisierungs-Task-Einstellungen.

Name Gibt den Namen des Tasks an.

Zu aktualisierendeElemente

Gibt an, was aktualisiert werden soll:• Sicherheitsinhalt, HotFixes und Patches

• Sicherheitsinhalt

• HotFixes und Patches

Informationen zum Ändern der Einstellungen für denStandard-Client-Aktualisierungs-Task finden Sie im AbschnittStandard-Client-Aktualisierung unter Allgemeingültig – Optionen auf Seite116.

Sie können diese Einstellungen nur auf selbstverwalteten Systemenkonfigurieren.


Standardmäßig wird der Task Standard-Client-Aktualisierung täglich um00:00 Uhr ausgeführt und alle vier Stunden bis 23:59 Uhrwiederholt.



Siehe auch Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37Zeitplan auf Seite 131

Spiegelungs-Task hinzufügen oder Spiegelungs-TaskbearbeitenKonfiguriert und plant Spiegelungs-Tasks.


Einstellungen Name Gibt den Namen des Tasks an.

Verzeichnis spiegeln Gibt den Ordner an, in dem das replizierte Repository gespeichertwird.


Siehe auch Konfigurieren, Planen und Ausführen von Spiegelungs-Tasks auf Seite 38Zeitplan auf Seite 131

7 Client-SchnittstellenreferenzAllgemeingültig – Tasks


ZeitplanPlanen Sie Scan-, Aktualisierungs- und Spiegelungs-Tasks.


Kategorie Option Definition

Zeitplan Zeitplan aktivieren Plant die Ausführung des Tasks zu einem bestimmten Zeitpunkt.(Standardmäßig aktiviert)

Diese Option muss ausgewählt sein, um den Task zu planen.

Planungstyp Legt das Intervall für die Ausführung des Tasks fest.• Täglich: Führt den Task jeden Tag zu einer bestimmten Uhrzeit,

regelmäßig zwischen zwei Uhrzeiten des Tages oder als Kombinationbeider Möglichkeiten aus.

• Wöchentlich: Führt den Task wöchentlich aus:

• an einem bestimmten Wochentag, an allen Wochentagen odereiner Kombination von Tagen

• zu einer bestimmten Uhrzeit an den ausgewählten Tagen oderregelmäßig zwischen zwei Uhrzeiten an den ausgewählten Tagen

• Monatlich: Führt den Task monatlich zu einem der folgendenZeitpunkte aus:

• Am festgelegten Tag des Monats

• An den festgelegten Tagen der Woche: erster, zweiter, dritter,vierter oder letzter

• Einmal: Startet den Task zum angegebenen Datum und Zeitpunkt.

• Beim Systemstart: Führt den Task beim Systemstart aus.

• Bei Anmeldung: Führt den Task bei der nächsten Anmeldung desBenutzers aus.

• Sofort ausführen: Startet den Task sofort.

Häufigkeit Legt die Häufigkeit für tägliche und wöchentliche Tasks fest.

Ausführen am Legt die Wochentage für wöchentliche und monatliche Tasks fest.

Ausführen im Legt die Monate des Jahres für monatliche Tasks fest.

Diesen Task nureinmal täglichausführen

Führt den Task einmal täglich für die Tasks Beim Systemstart und BeiAnmeldung aus.

Diesen Taskverzögern um

Legt die Anzahl von Minuten fest, um die die Ausführung der Tasks BeimSystemstart und Bei Anmeldung verzögert wird.

Startdatum Legt das Startdatum für die Tasks Täglich, Wöchentlich, Monatlich und Einmalfest.

Enddatum Legt das Enddatum für die Tasks Täglich, Wöchentlich und Monatlich fest.




Kategorie Option Definition

Startzeit Legt die Zeit fest, wenn der Task gestartet wird.• Einmal zu diesem Zeitpunkt ausführen: Führt den Task einmal zur

festgelegten Startzeit aus.

• Zu diesem Zeitpunkt ausführen und dann wiederholen bis: Führt den Task zurfestgelegten Startzeit aus. Anschließend wird der Task zu jeder unterTask starten alle festgelegten Stunde/Minute bis zur angegebenenEndzeit gestartet.

• Zu diesem Zeitpunkt ausführen und dann wiederholen für: Führt den Task zurfestgelegten Startzeit aus. Anschließend wird der Task zu jeder unterTask starten alle festgelegten Stunde/Minute für die angegebeneZeitdauer gestartet.

Optionen Diesen Task nachkoordinierter Weltzeit(UTC) ausführen

Gibt an, ob der Task-Plan nach der lokalen Zeit des verwaltetenSystems oder nach der koordinierten Weltzeit (Coordinated UniversalTime, UTC) ausgeführt wird.

Diesen Taskbeenden, wenn erlänger läuft als

Beendet den Task nach der festgelegten Anzahl an Stunden undMinuten.

Wenn der Task vor Abschluss unterbrochen wird, wird der Task beimnächsten Start an der Stelle fortgesetzt, an der die Unterbrechungstattgefunden hat.

Task-Startzeit zufälligfestlegen auf

Legt fest, dass der Task innerhalb des angegebenen Zeitraums nachdem Zufallsprinzip ausgeführt wird.Andernfalls wird der Task zur geplanten Zeit gestartet, unabhängigdavon, ob die Ausführung anderer Client-Tasks zur gleichen Zeitgeplant ist.

Ausgelassenen Taskausführen

Führt den Task nach der unter Start verzögern um festgelegten Anzahl vonMinuten aus, sobald das verwaltete System neu gestartet wird.

Konto Legt die Anmeldeinformationen für das Ausführen des Tasks fest.

Wenn keine Anmeldeinformationen festgelegt wurden, wird der Taskmit den Anmeldeinformationen des lokalenSystemadministratorkontos ausgeführt.

Benutzername Gibt das Benutzerkonto an.

Kennwort Gibt das Kennwort für das angegebene Benutzerkonto an.

Kennwort bestätigen Bestätigt das Kennwort für das angegebene Benutzerkonto.

Domäne Gibt die Domäne für das angegebene Benutzerkonto an.

Siehe auch Scan-Task hinzufügen oder Scan-Task bearbeiten auf Seite 129Aktualisierungs-Task hinzufügen oder Aktualisierungs-Task bearbeiten auf Seite 129Spiegelungs-Task hinzufügen oder Spiegelungs-Task bearbeiten auf Seite 130

Bedrohungsschutz – ZugriffsschutzSchützen Sie die Zugriffspunkte Ihres Systems basierend auf konfigurierten Regeln.

Siehe Einstellungen für Allgemeingültig – Optionen auf Seite 116 für die Protokollierungskonfiguration.

7 Client-SchnittstellenreferenzBedrohungsschutz – Zugriffsschutz


Der Zugriffsschutz vergleicht eine angeforderte Aktion mit der Liste konfigurierter Regeln und handeltentsprechend der Regel.



ZUGRIFFSSCHUTZ Zugriffsschutz aktivieren Aktiviert die Zugriffsschutz-Funktion.


Abschnitt Option Beschreibung

Ausschlüsse Erlaubt den Zugriff auf die angegebenen Prozesse (auch ausführbare Dateiengenannt) für alle Regeln.• Hinzufügen: Fügt der Ausschlussliste einen Prozess hinzu.

Weitere Informationen finden Sie unter Ausführbare Datei hinzufügen oderAusführbare Datei bearbeiten auf Seite 138.

• Doppelklicken auf ein Element: Ändert das ausgewählte Element.

• Löschen: Löscht das ausgewählte Element.

• Duplizieren: Erstellt eine Kopie des ausgewählten Elements.

Regeln Konfiguriert Zugriffsschutzregeln.Weitere Informationen finden Sie unter Von McAfee definierte Regeln auf Seite54.

Sie können von McAfee definierte Regeln aktivieren, deaktivieren und ändern.Sie können die Regeln jedoch nicht löschen.

• Hinzufügen: Erstellt eine benutzerdefinierte Regel und fügt sie der Liste hinzu.Weitere Informationen finden Sie unter Regel hinzufügen oder Regelbearbeiten auf Seite 134.

• Doppelklicken auf ein Element: Ändert das ausgewählte Element.Weitere Informationen finden Sie unter Regel hinzufügen oder Regelbearbeiten auf Seite 134.



• Blockieren (nur): Blockiert Zugriffsversuche ohne Protokollierung.

• Bericht (nur): Warnt, ohne Zugriffsversuche zu blockieren.

Diese Einstellung ist dann nützlich, wenn die volle Auswirkung einer Regelunbekannt ist. Überwachen Sie die Protokolle und Berichte, um besserfestzulegen, ob der Zugriff blockiert werden soll.

• Blockieren und Bericht: Blockiert und protokolliert Zugriffsversuche.

Wählen Sie in der ersten Zeile Blockieren oder Bericht, um alle zu blockieren oderzu melden.

Das Aufheben der Auswahl Blockieren und Bericht deaktiviert die Regel.

Siehe auch Konfigurieren der von McAfee definierten Zugriffsschutzregeln auf Seite 53Regel hinzufügen oder Regel bearbeiten auf Seite 134Von McAfee definierte Regeln auf Seite 54

Client-SchnittstellenreferenzBedrohungsschutz – Zugriffsschutz 7


Regel hinzufügen oder Regel bearbeitenFügt benutzerdefinierte Zugriffsschutzregeln hinzu oder bearbeitet sie.

Tabelle 7-10


Optionen Name Legt den Namen der Regel fest. (Erforderlich)

Reaktion Legt Aktionen für die Regel fest.• Blockieren (nur): Blockiert Zugriffsversuche ohne Protokollierung.

• Bericht (nur): Warnt, ohne Zugriffsversuche zu blockieren.

Diese Einstellung ist dann nützlich, wenn die volle Auswirkung einerRegel unbekannt ist. Überwachen Sie die Protokolle und Berichte, umbesser festzulegen, ob der Zugriff blockiert werden soll.

• Blockieren und Bericht: Blockiert und protokolliert Zugriffsversuche.

Wählen Sie in der ersten Zeile Blockieren oder Bericht, um alle zu blockierenoder zu melden.

Das Aufheben der Auswahl Blockieren und Bericht deaktiviert die Regel.

AusführbareDateien

Legt ausführbare Dateien für die Regel fest.• Hinzufügen: Erstellt eine ausführbare Datei und fügt sie der Liste hinzu.

Weitere Informationen finden Sie unter Ausführbare Datei hinzufügenoder Ausführbare Datei bearbeiten auf Seite 138.

• Doppelklicken auf ein Element: Ändert das ausgewählte Element.Weitere Informationen finden Sie unter Ausführbare Datei hinzufügenoder Ausführbare Datei bearbeiten auf Seite 138.



• Einschlussstatus wechseln: Wechselt den Einschlussstatus der ausführbarenDatei zwischen Einschließen und Ausschließen.

UntergeordneteRegeln

Konfiguriert untergeordnete Regeln.

Untergeordnete Regeln werden nur für benutzerdefinierte Regelnangezeigt.

Weitere Informationen finden Sie unter Untergeordnete Regel hinzufügenoder Untergeordnete Regel bearbeiten auf Seite 135.

• Hinzufügen: Erstellt eine untergeordnete Regel und fügt sie der Listehinzu.

• Doppelklicken auf ein Element: Ändert das ausgewählte Element.



Hinweise Bieten weitere Informationen über das Element.

Siehe auch Ausführbare Datei hinzufügen oder Ausführbare Datei bearbeiten auf Seite 138Untergeordnete Regel hinzufügen oder Untergeordnete Regel bearbeiten auf Seite 135



Untergeordnete Regel hinzufügen oder Untergeordnete RegelbearbeitenFügen Sie eine untergeordnete Standardregel hinzu, oder bearbeiten Sie sie.



Beschreibung Name Legt den Namen für die untergeordnete Regel fest.

Eigenschaften Regeltyp Legt den Regeltyp fest.• Dateien: Schützt eine Datei oder ein Verzeichnis. Beispiel: Erstellen Sie eine

benutzerdefinierte Regel zum Blockieren oder Melden von Versuchen, eineExcel-Tabelle mit vertraulichen Daten zu löschen.

• Registrierungsschlüssel: Schützt den angegebenen Schlüssel. EinRegistrierungsschlüssel ist der Container für den Registrierungswert. Beispiel:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

• Registrierungswert: Schützt den angegebenen Wert. Registrierungswerte werdenin Registrierungsschlüsseln gespeichert und separat von diesen referenziert.Beispiel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autorun.

Durch die Änderung des Typs der untergeordneten Regel werden sämtlichezuvor definierten Einträge in der Parametertabelle entfernt.





Vorgänge Gibt die Vorgänge an, die mit dem Typ der untergeordneten Regel erlaubt sind.

Der Vorgang Lesen könnte sich auf die Leistung auswirken.

• Dateien:

• Schreibgeschützte oder ausgeblendete Attribute ändern

• Erstellen: Blockiert das Erstellen von Dateien im angegebenen Ordner.

• Löschen: Blockiert das Löschen von Dateien im angegebenen Ordner.

• Ausführen: Blockiert das Ausführen von Dateien im angegebenen Ordner.

• Lesen: Blockiert den Lesezugriff auf die angegebenen Dateien.

• Schreiben: Blockiert den Schreibzugriff auf die angegebenen Dateien.

• Registrierungsschlüssel:• Schreiben: Blockiert den Schreibzugriff auf den angegebenen Schlüssel.

• Erstellen: Blockiert das Erstellen des angegebenen Schlüssels.

• Löschen: Blockiert das Löschen des angegebenen Schlüssels.

• Lesen: Blockiert den Lesezugriff auf den angegebenen Schlüssel.

• Aufzählen: Blockiert die Aufzählung der Unterschlüssel für den angegebenenRegistrierungsschlüssel.

• Laden: Blockiert die Möglichkeit der Entladung des angegebenenRegistrierungsschlüssels und seiner Unterschlüssel aus der Registrierung.

• Ersetzen: Blockiert das Ersetzen des angegebenen Registrierungsschlüsselsund seiner Unterschlüssel mit einer anderen Datei.

• Wiederherstellen: Blockiert die Möglichkeit der Speicherung vonRegistrierungsinformationen in einer angegebenen Datei und kopiert denangegebenen Schlüssel.

• Registrierungswert:• Schreiben: Blockiert den Schreibzugriff auf den angegebenen Wert.

• Erstellen: Blockiert das Erstellen des angegebenen Werts.

• Löschen: Blockiert das Löschen des angegebenen Werts.

• Lesen: Blockiert den Lesezugriff auf den angegebenen Wert.

Parameter • Hinzufügen: Legt Parameter für die Regel fest. Die Parameter ändern sichabhängig vom ausgewählten Regeltyp. Geben Sie mindestens einenParameter ein.Klicken Sie auf Hinzufügen, wählen Sie den Einschlussstatus aus, und geben Sieanschließend die ein- oder auszuschließenden Parameter ein, bzw. wählen Siesie aus.

Siehe Parameter auf Seite 137.

• Doppelklicken auf ein Element: Ändert das ausgewählte Element.Siehe Parameter auf Seite 137.


Siehe auch Parameter auf Seite 137



ParameterLegt den Einschlussstatus und die Definition für einen Parameter fest.

Tabelle 7-12


Parameter Bestimmt, ob der Parameter mit der untergeordneten Regel positivübereinstimmt. Legt auch den Status des Einschlusses für denParameter fest.• Einschließen: Zeigt an, dass die untergeordnete Regel mit dem

angegebenen Parameter übereinstimmen kann.

• Ausschließen: Zeigt an, dass die ausführbare Datei mit deruntergeordneten Regel nicht übereinstimmen darf.

Bei Auswahl desRegeltyps Dateien …

Suchen Sie nach der Datei, um sie auszuwählen.Systemumgebungsvariablen werden unterstützt.Umgebungsvariablen können in einem der folgenden Formateangegeben werden:• $(EnvVar) – $(SystemDrive), $(SystemRoot)• %EnvVar% – %SystemRoot%, %SystemDriver%Nicht auf alle systemdefinierten Umgebungsvariablen kann mithilfeder $(var)-Syntax zugegriffen werden. Das trifft besonders aufjene mit Oder-Zeichen zu. Um dieses Problem zu vermeiden,können Sie die %var%-Syntax verwenden.

Benutzerumgebungsvariablen werden nicht unterstützt.

Sie können folgende Platzhalter verwenden: ?, * und **.

Bei Auswahl desRegeltypsRegistrierungsschlüsseloderRegistrierungswert …

Verwenden Sie Stammschlüssel, um Registrierungswerteund -schlüssel zu definieren. Folgende Stammschlüssel werdenunterstützt:• HKLM oder HKEY_LOCAL_MACHINE

• HKCU oder HKEY_CURRENT_USER

• HKCR oder HKEY_CLASSES_ROOT

• HKCCS stimmt mit HKLM/SYSTEM/CurrentControlSet und HKLM/SYSTEM/ControlSet00X überein

• HKLMS stimmt mit HKLM/Software auf 32- und 64-Bit-Systemensowie HKLM/Software/Wow6432Node auf 64-Bit-Systemenüberein

• HKCUS stimmt mit HKCU/Software auf 32- und 64-Bit-Systemensowie HKCU/Software/Wow6432Node auf 64-Bit-Systemenüberein

• HKULM wird als HKLM und HKCU behandelt

• HKULMS wird als HKLMS und HKCUS behandelt

• HKALL wird als HKLM und HKU behandelt

Sie können ?, * und ** als Platzhalter sowie | (senkrechter Strich)als Escape-Zeichen verwenden.



Ausführbare Datei hinzufügen oder Ausführbare DateibearbeitenFügt eine ausführbare Datei hinzu oder bearbeitet diese.

Tabelle 7-13

Option Definition

Name Legt den Namen für die ausführbare Datei fest.Dieses und mindestens eines der folgenden Felder müssen ausgefüllt werden:Dateiname oder Pfad, MD5-Hash oder Signaturgeber.

Einschlussstatus Ermittelt den Einschlussstatus der ausführbaren Datei.

Einschlussstatus wird nur angezeigt, wenn einer Regel eine ausführbare Dateihinzugefügt wird.

• Einschließen: Zeigt an, dass die ausführbare Datei mit dem angegebenen Parameterübereinstimmen kann.

• Ausschließen: Zeigt an, dass die ausführbare Datei mit dem angegebenenParameter nicht übereinstimmen darf.

Dateiname oder Pfad Gibt den Pfad zur ausführbaren Datei an, die hinzugefügt oder bearbeitet werdensoll.Klicken Sie auf Durchsuchen, um die ausführbare Datei auszuwählen.

Der Pfad kann Platzhalter enthalten.

MD5-Hash Zeigt den MD5-Hash (32-stellige Hexadezimalzahl) des Prozesses an.

Signaturgeber Überprüfung digitaler Signaturen aktivieren: Gewährleistet, dass seit der Unterzeichnung miteinem Kryptographie-Hash der Code weder geändert noch beschädigt wurde.Legen Sie bei Aktivierung Folgendes fest:

• Beliebige Signatur zulassen – Dateien dürfen von einem beliebigen Signaturgeberunterzeichnet werden.

• Signiert von – Dateien dürfen nur von dem angegebenen Signaturgeberunterzeichnet werden.Für die ausführbare Datei ist der definierte Name eines Signaturgebers (SDN)erforderlich. Der Name muss den Einträgen im entsprechenden Feld,einschließlich Kommas und Leerzeichen, genau entsprechen.

So rufen Sie den SDN einer ausführbaren Datei ab:

1 Klicken Sie mit der rechten Maustaste auf die ausführbare Datei, und wählen SieEigenschaften aus.

2 Wählen Sie auf der Registerkarte Digitale Signaturen einen Signaturgeber aus, undklicken Sie auf Details.

3 Klicken Sie auf der Registerkarte Allgemein auf Zertifikat anzeigen.

4 Wählen Sie auf der Registerkarte Details das Feld Betreff aus. Der definierte Namedes Signaturgebers wird angezeigt. Beispielsweise hat Firefox folgendendefinierten Namen als Signaturgeber:

• CN = Mozilla Corporation • L = Mountain View

• OU = Release Engineering • S = California

• O = Mozilla Corporation • C = US




Siehe auch Regel hinzufügen oder Regel bearbeiten auf Seite 134

Bedrohungsschutz – Exploit-SchutzAktiviert und konfiguriert den Exploit-Schutz, dass über Buffer Overflow-Exploits kein beliebiger Codeauf Ihrem Computer ausgeführt wird.

Siehe Allgemeingültig – Optionen auf Seite 116-Einstellungen für Protokollierungskonfiguration.

Host Intrusion Prevention 8.0 kann auf dem gleichen System wie Endpoint Security 10.1 installiertwerden. Wenn McAfee Host IPS aktiviert ist, wird der Exploit-Schutz deaktiviert, selbst wenn er in denRichtlinieneinstellungen aktiviert ist.

Tabelle 7-14


EXPLOIT-SCHUTZ Exploit-Schutz aktivieren Aktiviert die Exploit-Schutz-Funktion.

Wird diese Funktion nicht aktiviert, ist das System nicht vorMalware-Angriffen geschützt.



Schutzebene Legt die Ebene des Exploit-Schutzes fest.

Standard Erkennt und blockiert nur BufferOverflow-Exploits mit hohem Schweregrad, die inder Exploit-Schutz-Content-Datei identifiziertwerden und stoppt die erkannte Bedrohung.Verwenden Sie die Funktion für kurze Zeit imStandard-Modus. Überprüfen Sie die Protokolldateifür diesen Zeitraum, um herauszufinden, ob inden Maximalen Schutzmodus gewechselt werdenmuss.

Maximal Erkennt und blockiert Buffer Overflow-Exploitsmit hohem und mittlerem Schweregrad, die inder Exploit-Schutz-Content-Datei identifiziertwerden, und stoppt die erkannte Bedrohung.

Diese Einstellung kann zu False-Positivesführen.

Windows-Datenausführungsverhinderung Windows-Datenausführungsverhinderungaktivieren

AktiviertWindows-Datenausführungsverhinderung (DEP) .(Standardmäßig deaktiviert)

Das Deaktivieren dieser Option hat keineAuswirkung auf die Prozesse, bei denen DEPals Ergebnis der Windows-DEP-Richtlinieaktiviert ist.

Client-SchnittstellenreferenzBedrohungsschutz – Exploit-Schutz 7




Aktion Legt die Aktionen Blockieren oder Bericht für denExploit-Schutz fest.

Die Meldungseinstellung kann bei aktivierterWindows-Datenausführungsverhinderungnicht angewendet werden.

Blockieren Blockiert den angegebenen Prozess. Wählen SieBlockieren aus, um den Exploit-Schutz zuaktivieren, oder heben Sie die Auswahl auf, umden Exploit-Schutz zu deaktivieren.

Wenn Sie Zugriffsversuche ohneProtokollierung blockieren möchten, wählenSie nur die Option Blockieren, nicht aber dieOption Bericht aus.

Bericht Aktiviert das Erstellen von Berichten überVersuche, den Exploit-Schutz zu verletzen. Beieiner Erkennung werden die entsprechendenInformationen im Aktivitätsprotokollaufgezeichnet.

Wenn Sie eine Warnung erhalten wollen,Zugriffsversuche aber nicht blockierenmöchten, wählen Sie nur die Option Bericht,nicht aber die Option Blockieren aus. Dies istdann nützlich, wenn die volle Auswirkungeiner Regel unbekannt ist. Überwachen Siedie Protokolle und Berichte für einen kurzenZeitraum. So können Sie besser festlegen, obder Zugriff blockiert werden soll.

Ausschlüsse Gibt den Namen des Prozesses an, zu dem derbeschreibbare Speicher gehört, über den derAufruf ausgeführt wird.

Ausschlüsse mit Anrufermodul oder API geltennicht für die Datenausführungsverhinderung.

Hinzufügen Fügt der Ausschlussliste einenProzess hinzu.Geben Sie den Prozessnamenbzw. den Prozessnamen undseinen Pfad ein.

Bei Ausschlüssen mussdie Groß-/Kleinschreibungbeachtet werden.Platzhalter sind nichterlaubt.

Doppelklickenauf einElement

Ändert das ausgewählteElement.

Löschen Löscht das ausgewählteElement.

7 Client-SchnittstellenreferenzBedrohungsschutz – Exploit-Schutz




Prozess Legt den Namen des auszuschließendenProzesses fest. Der Exploit-Schutz schließt denProzess aus, egal, wo er sich befindet.

Anrufermodul Legt den Namen des Moduls fest, zu dem derbeschreibbare Speicher gehört, über den derAufruf ausgeführt wird.

API Legt die aufgerufene API(Programmierschnittstelle) fest.

Siehe auch Konfigurieren Exploit-Schutz-Richtlinieneinstellungen. auf Seite 61

Bedrohungsschutz – On-Demand-ScanAktivieren und konfigurieren Sie die Einstellungen für den On-Access-Scan.




ON-ACCESS-SCAN On-Access-Scan aktivieren Aktiviert die On-Access-Scan-Funktion.Standardmäßig aktiviert.

On-Access-Scan währenddes Systemstarts aktivieren

Aktiviert die On-Access-Scan-Funktion jedes Mal, wenn Sieden Computer hochfahren.Standardmäßig aktiviert.

Höchstdauer (in Sekunden)für jeden Datei-Scanangeben

Begrenzt jeden Datei-Scan auf die angegebene Höchstdauerin Sekunden.Standardmäßig aktiviert.

Wenn ein Scan-Vorgang das Zeitlimit überschreitet, wird derScan fehlerfrei beendet und eine Meldung protokolliert.

Boot-Sektoren scannen Überprüft den Boot-Sektor der Festplatte.Standardmäßig aktiviert.

Wenn eine Festplatte einen speziellen oder anormalenBoot-Sektor besitzt, der nicht gescannt werden kann, ist esratsam, das Scannen des Boot-Sektors zu deaktivieren.

Client-SchnittstellenreferenzBedrohungsschutz – On-Demand-Scan 7




Prozesse bei Starten desDienstes undInhaltsaktualisierungscannen

Scannt jedes Mal alle Prozesse, die sich derzeit im Speicherbefinden, wenn:• Sie On-Access-Scans erneut aktivieren.

• Content-Dateien aktualisiert werden.

• Das System gestartet wird.

• Der McShield.exe-Prozess gestartet wird.

Da einige Programme oder ausführbare Dateienautomatisch gestartet werden, wenn Sie Ihr Systemstarten, kann die Aktivierung dieser Option Ihr Systemverlangsamen und die benötigte Zeit des Systemstartsverlängern.

Standardmäßig deaktiviert.

Wenn der On-Access-Scanner aktiviert ist, werden immer alleProzesse bei der Ausführung gescannt.

VertrauenswürdigeInstallationsprogrammescannen

Scannt MSI-Dateien (die über msiexec.exe installiert wurdenund eine McAfee- oder Microsoft-Signatur aufweisen) oderDienstdateien von vertrauenswürdigenWindows-Installationsprogrammen.Standardmäßig deaktiviert.

Deaktivieren Sie diese Option, um die Leistung vonInstallationsprogrammen für große Microsoft-Anwendungenzu verbessern.

Bei Kopieren in lokalenOrdnern scannen

Scannt Dateien, wenn der Benutzer innerhalb lokaler Ordnerkopiert.Wenn diese Option folgenden Status hat:• Deaktiviert – Nur Elemente im Zielordner werden

gescannt.

• Aktiviert – Elemente im Quellordner (lesen) und imZielordner (schreiben) werden gescannt.

Standardmäßig deaktiviert.

McAfee GTI Weitere Informationen finden Sie unter McAfee GTI auf Seite151.

ScriptScan ScriptScan aktivieren Ermöglicht das Scannen von JavaScript- undVBScript-Skripts, damit unerwünschte Skripts nichtausgeführt werden.Standardmäßig aktiviert.

Wenn ScriptScan beim Start vom Internet Explorerdeaktiviert ist und dann aktiviert wird, erkennt es keinebösartigen Skripte in dieser Instanz vom Internet Explorer.Nach der Aktivierung von ScriptScan müssen Sie denInternet Explorer neu starten, um bösartige Skripte zuerkennen.

7 Client-SchnittstellenreferenzBedrohungsschutz – On-Demand-Scan




Benutzermeldungen beiErkennung vonBedrohungen

Bei Erkennung einerBedrohung dasOn-Access-Scan-Fenster fürBenutzer anzeigen

Zeigt bei einer Erkennung die On-Access-Scan-Seite mitder festgelegten Meldung für Client-Benutzer an.Standardmäßig aktiviert.

Bei Auswahl dieser Option können Benutzer diese Seiteüber die Seite Jetzt scannen öffnen, wenn dieErkennungsliste mindestens eine Bedrohung enthält.

Die On-Access-Scan-Erkennungsliste wird bereinigt,wenn der Endpoint Security-Dienst oder das Systemneu gestartet wird.

Meldung Zeigt die Meldung an, die Client-Benutzern beiErkennungen angezeigt wird.Die Standardnachricht lautet: McAfee Endpoint Security hateine Bedrohung erkannt.

Prozesseinstellungen Standard-Einstellungen füralle Prozesse verwenden

Wendet die gleichen konfigurierten Einstellungen aufalle Prozesse an, wenn ein On-Access-Scan ausgeführtwird.

Verschiedene Einstellungenfür Prozesse mit hohemRisiko und geringem Risikokonfigurieren

Konfiguriert verschiedene Scan-Einstellungen für jedenProzesstyp, den Sie identifizieren.

Standard Konfiguriert Einstellungen für Prozesse, die weder einhohes noch ein geringes Risiko darstellen.Standardmäßig aktiviert.

Hohes Risiko Konfiguriert Einstellungen für Prozesse, die ein hohesRisiko darstellen.

Geringes Risiko Konfiguriert Einstellungen für Prozesse, die eingeringes Risiko darstellen.

Hinzufügen Fügt der Liste Hohes Risiko oder Niedriges Risiko einenProzess hinzu.

Löschen Entfernt einen Prozess aus der Liste Hohes Risiko oderGeringes Risiko.

Scan wird ausgeführt Zeitpunkt für Scan

Beim Schreiben auf einenDatenträger

Versucht alle Dateien zu scannen, wenn sie auf denComputer oder ein anderes Datenspeichergerätgeschrieben oder darauf geändert werden.

Da der Scan fehlschlagen könnte, wenn die Dateiauf einen Datenträger geschrieben wird, wird dieAktivierung der Option Beim Lesen von einem Datenträgerdringend empfohlen.

Beim Lesen von einemDatenträger

Scannt die Dateien, wenn sie auf dem Computer odereinem anderen Datenspeichergerät gelesen werden.

Die Aktivierung dieser Option wird dringendempfohlen.





McAfee entscheiden lassen Mit dieser Option wird die Entscheidung McAfeeüberlassen, ob eine Datei gescannt werden muss,wobei Vertrauenslogik für optimiertes Scannenverwendet wird. Vertrauenslogik verbessert IhreSicherheit und beschleunigt die Leistung durchVermeidung unnötiger Scans.

Nicht scannen bei Lesen oderSchreiben auf die Festplatte

Legt fest, nur Prozesses mitgeringem Risiko nicht zuscannen.

Zu scannende Elemente

Alle Dateien Scannt alle Dateien unabhängig von ihrerDateierweiterung.

Die Aktivierung von Alle Dateien wird dringendempfohlen. Wird diese Option nicht aktiviert, ist dasSystem vor Malware-Angriffen nicht geschützt.

Standardmäßige undangegebene Dateitypen

Scannt:• Die Standardliste der definierten Dateierweiterungen

in der aktuellen AMCore Content-Datei, einschließlichDateien ohne Erweiterung

• Alle zusätzlichen Dateierweiterungen, die SieangebenTrennen Sie Erweiterungen mit einem Komma.

• (Optional) Bekannte Makrobedrohungen in der Listestandardmäßiger und angegebenerDateierweiterungen

Eine Liste der Standarddateitypen für Mac-Systemefinden Sie im KnowledgeBase-Artikel KB84411.

Nur angegebene Dateitypen Scannt eine der folgenden oder beide Optionen:• Nur Dateien mit den von Ihnen angegebenen

(kommagetrennten) Erweiterungen

• Alle Dateien ohne Erweiterung

Auf Netzlaufwerken Scannt Ressourcen auf zugeordnetenNetzwerklaufwerken.

Das Scannen von Netzwerkressourcen kann dieLeistung beeinträchtigen.

Zur Sicherung geöffnet Scannt Dateien, wenn von Sicherungssoftware daraufzugegriffen wird.

Für die meisten Umgebungen ist die Aktivierungdieser Einstellung nicht empfehlenswert.

Komprimierte Archivdateien Überprüft die Inhalte von (komprimierten)Archivdateien, einschließlich JAR-Dateien.

Da das Scannen komprimierter Dateien negativeAuswirkungen auf die Systemleistung hat, empfiehltsich diese Option für Scans, die bei nichtverwendeten Systemen ausgeführt werden.






KomprimierteMIME-verschlüsselte Dateien

Erkennt, decodiert und scannt MIME-codierte(Multipurpose Internet Mail Extensions) Dateien (AppleMail-Nachrichten auf Mac-Systemen).

Zusätzliche Scan-Optionen

Unerwünschte Programmeerkennen

Damit kann der Scanner potenziell unerwünschteProgramme erkennen.Der Scanner verwendet die Informationen, die Sie inden Einstellungen der Bedrohungsschutz-Optionenkonfiguriert haben, um potenziell unerwünschteProgramme zu erkennen.

UnbekannteProgrammbedrohungenerkennen

Verwendet McAfee GTI, um ausführbare Dateien zuerkennen, in denen sich Malware-ähnlicher Codebefindet.

UnbekannteMakrobedrohungen erkennen

Verwendet McAfee GTI, um unbekannte Makroviren zuerkennen.

Aktionen Weitere Informationen finden Sie unter Aktionen aufSeite 153.

Ausschlüsse Legt Dateien, Ordner und Laufwerke fest, die vomScan ausgeschlossen werden.Weitere Informationen finden Sie unter Ausschlusshinzufügen oder Ausschluss bearbeiten auf Seite 155.

Hinzufügen Fügt ein Element zur Ausschlussliste hinzu.

Löschen Entfernt ein Element aus der Ausschlussliste.

ScriptScan Diese URLs ausschließen Gibt die ScriptScan-Ausschlüsse anhand der URL an.Hinzufügen: Fügt der Ausschlussliste eine URL hinzu.

Löschen: Entfernt eine URL von der Ausschlussliste.

URLs dürfen keine Platzhalter enthalten. Eine URL miteinem String aus einer ausgeschlossenen URL wirdebenfalls ausgeschlossen. Wenn beispielsweise die URLmsn.com ausgeschlossen wird, werden die folgendenURLs ebenfalls ausgeschlossen:• http://weather.msn.com

• http://music.msn.com

Auf Windows Server 2008-Systemen könnenScriptScan-URL-Ausschlüsse im Internet Explorernur verwendet werden, wenn SieBrowsererweiterungen von Drittanbietern aktivierenund das System neu starten. Weitere Informationenfinden Sie im KnowledgeBase-Artikel KB69526.

Siehe auch Konfigurieren von Richtlinieneinstellungen für auf Seite 65McAfee GTI auf Seite 151Aktionen auf Seite 153Ausschluss hinzufügen oder Ausschluss bearbeiten auf Seite 155




Bedrohungsschutz – On-Demand-ScanKonfigurieren Sie die Einstellungen des On-Demand-Scans für die vorkonfigurierten undbenutzerdefinierten Scans, die auf Ihrem System ausgeführt werden.


Diese Einstellungen legen das Scanner-Verhalten fest, wenn:

• Vollständiger Scan oder Schnellscan auf der Seite Jetzt scannen im Endpoint Security-Client ausgewähltwird.

• Einen benutzerdefinierten On-Demand-Scan-Task als Administrator über Einstellungen | Allgemeingültig |Tasks im Endpoint Security-Client ausführen.

• Klicken Sie mit der rechten Maustaste auf eine Datei oder einen Ordner, und wählen Sie Scannen aufBedrohungen aus dem Pop-Up-Menü aus.



Zu scannendeElemente

Boot-Sektoren Überprüft den Boot-Sektor der Festplatte.

Wenn eine Festplatte einen speziellen oder anormalenBoot-Sektor besitzt, der nicht gescannt werden kann, istes ratsam, das Scannen des Boot-Sektors zu deaktivieren.

In den Speicher migrierteDateien

Scannt Dateien, die vom Remote-Speicher verwaltetwerden.Einige Offline-Datenspeicherlösungen ersetzen Dateien miteiner Stub-Datei. Wenn der Scanner auf eine Stub-Dateistößt (ein Hinweis darauf, dass die Datei migriert wurde),wird diese vor dem Scannen im lokalen Systemwiederhergestellt.

Wir empfehlen die Deaktivierung dieser Option.

KomprimierteMIME-verschlüsselteDateien

Erkennt, decodiert und scannt MIME-codierte (MultipurposeInternet Mail Extensions) Dateien (Apple Mail-Nachrichtenauf Mac-Systemen).

KomprimierteArchivdateien

Überprüft die Inhalte von (komprimierten) Archivdateien,einschließlich JAR-Dateien.

Da das Scannen komprimierter Dateien negativeAuswirkungen auf die Systemleistung hat, empfiehlt sichdiese Option für Scans, die bei nicht verwendetenSystemen ausgeführt werden.

Unterordner (nur Scanper Kontextmenü)

Überprüft alle Unterordner des angegebenen Ordners.

ZusätzlicheScan-Optionen

Unerwünschte Programmeerkennen

Damit kann der Scanner potenziell unerwünschteProgramme erkennen.Der Scanner verwendet die Informationen, die Sie in denEinstellungen der Bedrohungsschutz-Optionen konfigurierthaben, um potenziell unerwünschte Programme zuerkennen.

UnbekannteProgrammbedrohungenerkennen

Verwendet McAfee GTI, um ausführbare Dateien zuerkennen, in denen sich Malware-ähnlicher Code befindet.





UnbekannteMakrobedrohungenerkennen

Verwendet McAfee GTI, um unbekannte Makroviren zuerkennen.

Scan-Speicherorte (nur vollständiger Scanund Schnellscan)

Weitere Informationen finden Sie unter Scan-Speicherorteauf Seite 149.

Diese Optionen gelten nur für vollständiger Scan, Schnellscanund benutzerdefinierte Scans.

Zu scannendeDateitypen

Alle Dateien Scannt alle Dateien unabhängig von ihrer Dateierweiterung.Die Aktivierung von Alle Dateien wird von McAfee dringendempfohlen.

Die Aktivierung von Alle Dateien wird dringend empfohlen.Wird diese Option nicht aktiviert, ist das System vorMalware-Angriffen nicht geschützt.

Standardmäßige undangegebene Dateitypen

Scannt:• Die Standardliste der definierten Dateierweiterungen in

der aktuellen AMCore Content-Datei, einschließlichDateien ohne Erweiterung

• Alle zusätzlichen Dateierweiterungen, die Sie angebenTrennen Sie Erweiterungen mit einem Komma.

• (Optional) Bekannte Makrobedrohungen in der Listestandardmäßiger und angegebener Dateierweiterungen

Eine Liste der Standarddateitypen für Mac-Systeme findenSie im KnowledgeBase-Artikel KB84411.

Nur angegebene Dateitypen Scannt eine der folgenden oder beide Optionen:• Nur Dateien mit den von Ihnen angegebenen

(kommagetrennten) Erweiterungen

• Alle Dateien ohne Erweiterung

McAfee GTI Weitere Informationen finden Sie unter McAfee GTI aufSeite 151.

Ausschlüsse Legt Dateien, Ordner und Laufwerke fest, die vom Scanausgeschlossen werden.Weitere Informationen finden Sie unter Ausschlusshinzufügen oder Ausschluss bearbeiten auf Seite 155.

Hinzufügen Fügt ein Element zur Ausschlussliste hinzu.

Löschen Entfernt ein Element aus der Ausschlussliste.

Aktionen Weitere Informationen finden Sie unter Aktionen auf Seite153.

Leistung Scan-Cache verwenden Damit kann der On-Demand-Scanner die vorhandenensauberen Scan-Ergebnisse verwenden.Wählen Sie diese Option, um doppelte Scan-Vorgänge zuvermeiden und die Leistung zu verbessern.






Systemauslastung Damit kann vom Betriebssystem die CPU-Zeit, die derScanner empfängt, während des Scan-Vorgangs festgelegtwerden.

Jeder Task wird unabhängig von den Beschränkungenanderer Tasks ausgeführt.

• Niedrig – erhöht die Leistung für andere ausgeführteAnwendungen.

Wählen Sie diese Option für Systeme mitEndbenutzeraktivität.

• Niedriger als normal – legt für die Systemauslastung für denScan den McAfee ePO-Standard fest.

• Normal (Standard) – damit kann der Scan-Vorgangschneller abgeschlossen werden.

Wählen Sie diese Option für Systeme mit großenDatenträgern und wenig Endbenutzeraktivität.

Optionen fürgeplanten Scan Diese Optionen gelten nur für vollständiger Scan, Schnellscan

und benutzerdefinierte Scans.

Nur scannen, wenn dasSystem im Leerlauf ist

Führt den Scan nur aus, wenn der Computer des Benutzersim Leerlauf ist.Der Bedrohungsschutz hält den Scan an, wenn der Benutzerauf das System über Tastatur oder Maus zugreift. Der Scanwird vom Bedrohungsschutz fortgesetzt, wenn derComputer (und die CPU) länger als fünf Minuten im Leerlaufist.

McAfee empfiehlt das Deaktivieren dieser Option aufServersystemen und Systemen, auf die Benutzer nur überdie Remote-Desktop-Verbindung (RDP) zugreifen. DerBedrohungsschutz stellt mithilfe von McTray fest, ob sichdas System im Leerlauf befindet. Auf nur über RDPzugegriffene Systemen startet McTray nicht und derOn-Demand-Scanner wird nie ausgeführt.

Zur Problemumgehung können Benutzer manuellMcTray starten (standardmäßig unter C:\Programme\McAfee\Agent\mctray.exe),wenn Siesich über RDP anmelden.

Jederzeit scannen Führt den Scan auch dann aus, wenn der Computer desBenutzers aktiv ist, und legt Scan-Optionen fest.





Benutzer darf Scans verschieben – Der Benutzer kann geplanteScans verschieben und Optionen für Scan-Verschiebungenfestlegen.• Benutzer darf Scans so oft eine Stunde lang verschieben – legt fest,

wie oft (1–23) der Benutzer den Scan für eine Stundeverschieben darf.

• Benutzermeldung – legt die Meldung fest, die vor dem Starteines Scans angezeigt wird.Die Standardmeldung lautet: McAfee Endpoint Securitywird in Kürze Ihr System scannen.

• Meldungsdauer (Sekunden) – legt fest, wie lange (in Sekunden)die Benutzermeldung vor dem Start eines Scansangezeigt wird. Der gültige Bereich für die Dauer beträgt30–300; die Standarddauer ist 45 Sekunden.

Keine Scans durchführen, wenn sich das System im Präsentationsmodusbefindet – Verschiebt den Scan, wenn das System imPräsentationsmodus ist.

Keine Scans durchführen,wenn das System mit Akkubetrieben wird

Verschiebt den Scan, wenn das System mit Batteriestrombetrieben wird.

Siehe auch Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75Ausführen eines vollständigen Scans oder Schnellscans auf Seite 42Scannen einer Datei oder eines Ordners auf Seite 44Scan-Speicherorte auf Seite 149McAfee GTI auf Seite 151Aktionen auf Seite 153Ausschluss hinzufügen oder Ausschluss bearbeiten auf Seite 155

Scan-SpeicherorteLegen Sie die zu scannenden Speicherorte fest.

Diese Optionen gelten nur für vollständiger Scan, Schnellscan und benutzerdefinierte Scans.

Client-SchnittstellenreferenzScan-Speicherorte 7




Scan-Speicherorte Unterordner scannen Prüft alle Unterordner auf den angegebenen Datenträgern,wenn einer der folgenden Optionen ausgewählt wurde:• Basisordner • Temp-Ordner

• Benutzerprofilordner • Laufwerk oder Ordner

• Programmdateien-Ordner

Um nur die Stammebene der Datenträger zu scannen,deaktivieren Sie diese Option.

Speicherorte angeben Legt die zu scannenden Speicherorte fest.

Hinzufügen Fügt einen Speicherort für den Scanhinzu.Klicken Sie auf Hinzufügen, und wählen Sieden Speicherort aus der Dropdown-Liste.

Doppelklicken aufein Element


Löschen Entfernt einen Scan-Speicherort.Wählen Sie den Speicherort aus, undklicken Sie auf Löschen.

Speicher für Rootkits Scannt den Systemspeicher auf installierte Rootkits, versteckteProzesse und anderes Verhalten, das auf Malware hinweisenkann, die sich zu verstecken versucht. Dieser Scan-Vorgangwird vor allen weiteren Scan-Vorgängen ausgeführt.

Wird diese Option nicht aktiviert, ist das System vorMalware-Angriffen nicht geschützt.

Laufende Prozesse Der Speicher aller aktuell ausgeführten Prozesse wirdgescannt.Alle anderen Aktionen, außer Dateien säubern, werden alsScan-Vorgang fortsetzen behandelt.

Wird diese Option nicht aktiviert, ist das System vorMalware-Angriffen nicht geschützt.

Registrierte Dateien Scannt Dateien, auf die die Windows-Registrierung verweist.Der Scanner analysiert zunächst die Registrierung aufDateinamen, ermittelt, ob die Dateien vorhanden sind, erstellteine Liste der zu scannenden Dateien und scannt dann dieentsprechenden Dateien.

Arbeitsplatz Scannt alle Laufwerke, die physisch an den Computerangeschlossen oder einem Laufwerksbuchstaben auf demComputer logisch zugeordnet sind.

Alle lokalen Laufwerke Scannt alle Laufwerke und deren Unterordner auf IhremComputer.

Alle fest installiertenLaufwerke

Scannt alle physisch mit dem Computer verbundenenLaufwerke.

Alle Wechseldatenträger Scannt alle Wechsellaufwerke und andere Speichergeräte, diemit dem Computer verbunden sind.

7 Client-SchnittstellenreferenzScan-Speicherorte




Alle zugeordnetenLaufwerke

Scannt Netzwerklaufwerke, die einem Netzwerklaufwerk aufdem Computer logisch zugeordnet sind.

Basisordner Scannt den Basisordner des Benutzers, der den Scanvorgangstartet.

Benutzerprofilordner Scannt das Profil des Benutzers, der den Scan startet,einschließlich des Ordners "Eigene Dokumente" des Benutzers.

Windows-Ordner Scannt den Inhalt des Windows-Ordners.

Ordner 'Programme' Scannt den Inhalt des Ordners "Programme".

Temp-Ordner Scannt den Inhalt des Temp-Ordners.

Papierkorb Scannt den Inhalt des Papierkorbs.

Datei oder Ordner Scannt eine bestimmte Datei oder einen Ordner.

Siehe auch Bedrohungsschutz – On-Demand-Scan auf Seite 146

McAfee GTIAktiviert und konfiguriert McAfee GTI-Einstellungen.

Tabelle 7-21


McAfee GTIaktivieren

Aktiviert und deaktiviert heuristische Überprüfungen.• Bei Aktivierung werden Fingerabdrücke von Proben, auch Hashes

genannt, anMcAfee Labs gesendet, um eine Prüfung auf Malwarevorzunehmen. Durch Senden der Hashes kann die Erkennung schnellerzur Verfügung gestellt werden als in der nächsten AMCoreContent-Datei-Version, wenn McAfee Labs die Aktualisierungveröffentlicht.

• Bei Deaktivierung werden keine Fingerabdrücke oder Daten an McAfeeLabs gesendet.

Sensibilitätsstufe Konfiguriert die Sensibilitätsstufe, mit der die Prüfung einer erkanntenProbe auf Malware durchgeführt werden soll.

Je höher die Sensibilitätsstufe, desto höher die Anzahl derMalware-Erkennungen. Bei mehr Erkennungen wird jedoch auch dieAnzahl der False-Positives größer.

Sehrniedrig

Die Erkennungen und Risiken für False-Positives sind dieselben wie fürreguläre AMCore Content-Dateien. Im Falle einer Veröffentlichung durchMcAfee Labs steht Bedrohungsschutz eine Erkennung bereits vor dernächsten AMCore Content-Datei-Aktualisierung zur Verfügung.Verwenden Sie diese Einstellung für Desktops und Server mitbeschränkten Benutzerrechte und einem großenSicherheits-Speicherbedarf.

Mit dieser Einstellung werden durchschnittlich 10–15 Abfragen pro Tagund Computer ausgeführt.

Client-SchnittstellenreferenzMcAfee GTI 7




Niedrig Diese Einstellung sind die empfohlenen Mindesteinstellungen für Laptopsoder Desktop- und Server-Computer mit einem großenSicherheits-Speicherbedarf.Mit dieser Einstellung werden durchschnittlich 10–15 Abfragen pro Tagund Computer ausgeführt.

Mittel Nutzen Sie diese Stufe, wenn die Möglichkeit einer Infektion mit Malwarewahrscheinlicher ist als ein False-Positive. Die von McAfee Labsentwickelte interne heuristische Überprüfung führt zu Erkennungen, diemit hoher Wahrscheinlichkeit Malware sind. Einige Erkennungen könnenjedoch zu False-Positives führen. Bei dieser Einstellung überprüft McAfeeLabs, dass für beliebte Anwendungen und Dateien des Betriebssystemskeine False-Positive-Erkennungen stattfinden.Diese Einstellung sind die empfohlenen Mindesteinstellungen für Laptopsoder Desktop- und Server-Computer.


Hoch Verwenden Sie diese Einstellung für die Bereitstellung für Systeme oderBereiche, die regelmäßig infiziert werden.Mit dieser Einstellung werden durchschnittlich 20–25 Abfragen pro Tagund Computer ausgeführt.

Sehr hoch McAfee empfiehlt diese Stufe nur für das Scannen von Datenträgern undVerzeichnissen, die keine ausführbaren Programme oder Betriebssystemeunterstützen.

Erkennungen auf dieser Stufe werden als bösartiger Code angesehen,sind aber bisher nicht vollständig auf diese Eigenschaft hin geprüftworden, um sie als False-Positives auszuschließen.

Verwenden Sie diese Einstellung für On-Demand-Scans, die nicht fürbetriebssystembasierte Datenträger ausgeführt werden.

Verwenden Sie diese Einstellung auf keinen betriebssystembasiertenDatenträgern.


Siehe auch Bedrohungsschutz – On-Demand-Scan auf Seite 141Bedrohungsschutz – On-Demand-Scan auf Seite 146Webkontrolle – Optionen auf Seite 172

7 Client-SchnittstellenreferenzMcAfee GTI


AktionenLegen Sie fest, wie der Scanner bei Erkennung einer Bedrohung reagieren soll.


Abschnitt Option Definition Scan-Typ

On-Access-Scan On-Demand-Scan

Erste Reaktion beiErkennung einerBedrohung

Legt die erste Aktion fest, die der Scanner durchführen soll, wenneine Bedrohung erkannt wird.

Zugriff aufDateienverweigern

Verhindert, dass Benutzer aufDateien mit potenziellenBedrohungen zugreifenkönnen.

Scanfortsetzen

Setzt den Datei-Scan fort,wenn eine Bedrohung erkanntwurde. Der Scannerverschiebt keine Elemente indie Quarantäne.

Dateiensäubern

Entfernt die Bedrohung ausder erkannten Datei, wennmöglich.

Dateienlöschen

Löscht Dateien mitpotenziellen Bedrohungen.

Wenn erste Reaktionfehlschlägt

Legt die erste Aktion fest, die der Scanner durchführen soll, wenneine Bedrohung erkannt wird und die erste Aktion fehlschlägt.



Scanfortsetzen


Dateienlöschen

Löscht Dateien mitpotenziellen Bedrohungen.

Erste Reaktion beiunerwünschtenProgrammen

Legt die erste Aktion fest, die der Scanner durchführen soll, wenn einpotenziell unerwünschtes Programm erkannt wird.

Diese Option ist nur verfügbar, wenn Unerwünschte Programme erkennenausgewählt wurde.



Zugriff aufDateienzulassen

Lässt Benutzer auf Dateienmit potenziellen Bedrohungenzugreifen.

Scanfortsetzen


Client-SchnittstellenreferenzAktionen 7




On-Access-Scan On-Demand-Scan

Dateiensäubern

Entfernt die Bedrohung ausdem potenziell unerwünschtenProgramm, wenn möglich.

Dateienlöschen

Löscht potenziellunerwünschteProgrammdateien.

Wenn erste Reaktionfehlschlägt

Legt die Aktion fest, die der Scanner durchführen soll, wenn einunerwünschtes Programm erkannt wurde und die erste Reaktionfehlschlägt.

Diese Option ist nur verfügbar, wenn Unerwünschte Programme erkennenausgewählt wurde.



Zugriff aufDateienzulassen

Lässt Benutzer auf Dateienmit potenziellen Bedrohungenzugreifen.

Scanfortsetzen


Dateienlöschen

Löscht automatisch potenziellunerwünschteProgrammdateien.

Siehe auch Bedrohungsschutz – On-Demand-Scan auf Seite 141Bedrohungsschutz – On-Demand-Scan auf Seite 146

7 Client-SchnittstellenreferenzAktionen


Ausschluss hinzufügen oder Ausschluss bearbeitenFügen Sie eine Ausschlussdefinition hinzu, oder bearbeiten Sie diese.



BeiZugriff

On-Demand

AuszuschließendeElemente

Legt den Ausschlusstyp und die Ausschlussdetails fest.

Dateiname oderPfad

Legt den auszuschließenden Dateinamenoder Pfad fest.


Um einen Ordner aufWindows-Systemen auszuschließen,fügen Sie dem Pfad einenumgekehrten Schrägstrich (\) hinzu.Um einen Ordner auf Mac-Systemenauszuschließen, fügen Sie dem Pfadeinen Schrägstrich (/) hinzu.

Wählen Sie, falls erforderlich, Unterordnerebenfalls ausschließen aus.

Dateityp Legt die auszuschließenden Dateitypen(Dateierweiterungen) fest.

Dateialter Legt den Zugriffstyp (GeändertZugriff am(nur On-Demand-Scan) oder Erstellt) derauszuschließenden Dateien und dasMindestalter in Tagen fest.

Zeitpunkt desAusschlusses

Legt fest, wann das ausgewählte Element ausgeschlossen werdensoll.

Beim Schreibenauf oder Lesenvon einemDatenträger

Schließt Dateien vom Scannen aus, wennsie auf einen Datenträger geschriebenoder von einem Datenträger (oder einemanderen Datenspeichergerät) gelesenwerden.

Beim Lesen voneinemDatenträger

Schließt Dateien vom Scannen aus, wennsie vom Computer (oder einem anderenDatenspeichergerät) gelesen werden.

Beim Schreibenauf einenDatenträger

Schließt alle Dateien vom Scan aus,wenn sie auf den Datenträger (oder einanderes Datenspeichergerät) geschriebenoder darauf geändert werden.

Siehe auch Bedrohungsschutz – On-Demand-Scan auf Seite 141Bedrohungsschutz – On-Demand-Scan auf Seite 146Platzhalter in Ausschlüssen auf Seite 51Konfigurieren von Ausschlüssen auf Seite 50

Client-SchnittstellenreferenzAusschluss hinzufügen oder Ausschluss bearbeiten 7


Bedrohungsschutz – OptionenKonfigurieren Sie die Einstellungen für die Bedrohungsschutz-Funktion, einschließlich Quarantäne,potenziell unerwünschte Programme und Ausschlüsse.


Dieser Abschnitt enthält nur erweiterte Optionen.



Quarantäne-Manager Quarantäne-Ordner Geben Sie einen Speicherort für den Quarantäne-Ordner an,oder akzeptieren Sie den Standardspeicherort:c:\Quarantine

Der Quarantäne-Ordner ist auf 190 Zeichen begrenzt.

MaximaleSpeicherdauer derQuarantänedaten inTagen festlegen

Legt die Dauer in Tagen (1–999) fest, für die isolierteElemente vor ihrer automatischen Löschung gespeichertwerden. Die Standardeinstellung ist 30 Tage.

Ausschluss nachErkennungsname

DieseErkennungsnamenausschließen

Gibt Erkennungsausschlüsse nach Erkennungsnamen an.Um beispielsweise festzulegen, dass der On-Access-Scannerund der On-Demand-Scanner keine Bedrohungen beiInstallationsüberprüfungen erkennen, geben SieInstallationsüberprüfung ein.

Hinzufügen: Fügt der Ausschlussliste einen Erkennungsnamenhinzu. Klicken Sie auf Hinzufügen, und geben Sie dann denErkennungsnamen ein.

Doppelklicken auf ein Element: Ändert das ausgewählteElement.

Löschen: Entfernt einen Erkennungsnamen von derAusschlussliste. Wählen Sie den Namen aus, und klicken Siedann auf Löschen.

7 Client-SchnittstellenreferenzBedrohungsschutz – Optionen




Erkennung vonpotenziellunerwünschtenProgrammen

Schließen SiebenutzerdefinierteunerwünschteProgramme aus

Legt bestimmte Dateien oder Programme fest, die alspotenziell unerwünschte Programme behandelt werden sollen.

Die Scanner erkennen die Programme, die Sie festlegensowie Programme, die in den AMCore Content-Dateienfestgelegt sind.

Der Scanner berücksichtigt keine benutzerdefiniertenunerwünschten Programme mit einer Dateigröße von 0 Byte.

• Hinzufügen: Definiert ein benutzerdefiniertes unerwünschtesProgramm.Klicken Sie auf Hinzufügen, geben Sie den Namen ein, unddrücken Sie dann die Tab-Taste, um die Beschreibungeinzugeben.

• Name – Gibt den Dateinamen des potenziell unerwünschtenProgramms an.

• Beschreibung – Gibt die Informationen an, die im Fall einerErkennung als Erkennungsname angezeigt werden.

• Doppelklicken auf ein Element: Ändert das ausgewählteElement.

• Löschen: Entfernt ein potenziell unerwünschtes Programmvon der Liste.Wählen Sie das Programm aus der Tabelle, und klicken Sieauf Entfernen.

Proaktive Datenanalyse Sendet anonyme Diagnose- und Nutzungsdaten an McAfee.

McAfee GTI-Feedback Aktiviert McAfee GTI-basiertes Telemetrie-Feedback, umanonymisierte Daten zu Dateien und Prozessen auf demClient-System zu erfassen.

Client-SchnittstellenreferenzBedrohungsschutz – Optionen 7




Intervallprüfung Führt eine Statusüberprüfung des Client-Systems vor undnach AMCore Content-Datei-Aktualisierungen sowie inregelmäßigen Intervallen durch und sendet die Ergebnisse anMcAfee.Die Ergebnisse sind verschlüsselt und werden über SSL anMcAfee gesendet. McAfee aggregiert und analysiert die Datendann aus diesen Berichten, um Anomalien zu identifizieren,die auf potenzielle inhaltsbezogene Probleme hinweisenkönnen. Die schnelle Identifizierung solcher Probleme istwichtig für eine zeitnahe Eindämmung und Behebung.

Mit der Intervallprüfung werden Daten zu den folgendenAspekten erfasst:

• Betriebssystem-Version und -Gebietsschema

• McAfee-Produktversion

• AMCore Content- und Scan-Modul-Version

• Informationen zum in McAfee und Microsoft ausgeführtenProzess

AMCoreContent-Reputation

Führt vor der Aktualisierung des Client-Systems eine McAfeeGTI-Reputations-Suche für die AMCore Content-Datei durch.• Wenn McAfee GTI die Datei zulässt, aktualisiert Endpoint

Security AMCore Content.

• Wenn McAfee GTI die Datei nicht zulässt, aktualisiertEndpoint Security AMCore Content nicht.

Siehe auch Konfigurieren gemeinsamer Scan-Einstellungen auf Seite 65

Rollback von AMCore ContentÄndert den AMCore Content auf eine frühere Version.

Option Beschreibung

Zu ladende Versionauswählen

Legt die Versionsnummern einer früheren AMCore Content-Datei fest, die geladenwerden soll.Endpoint Security speichert die letzten zwei Versionen auf dem Client-System.

Wenn Sie auf eine frühere Version ändern, entfernt Endpoint Security die aktuelleVersion von AMCore Content vom System.

Siehe auch Ändern der AMCore Content-Version auf Seite 27

7 Client-SchnittstellenreferenzRollback von AMCore Content


Firewall – OptionenAktivieren und deaktivieren Sie das Firewall-Modul, und legen Sie Schutzoptionen fest.


Der Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein, oder Siemüssen als Administrator angemeldet sein.

Host Intrusion Prevention 8.0 kann auf dem gleichen System wie Endpoint Security 10.1 installiertwerden. Ist McAfee Host IPS installiert und aktiviert, wird die Endpoint Security-Firewall deaktiviert,selbst wenn sie in den Richtlinieneinstellungen aktiviert ist.



Firewall aktivieren Aktiviert und deaktiviert das Firewall-Modul.

Schutzoptionen Datenverkehr für nicht unterstützteProtokolle zulassen

Lässt allen Datenverkehr zu, bei dem nichtunterstützte Protokolle verwendet werden. BeiDeaktivierung wird der Datenverkehr für nichtunterstützte Protokolle vollständig blockiert.

Nur ausgehenden Datenverkehr bis zumStart der Firewall-Dienste zulassen

Lässt ausgehenden Datenverkehr zu, jedoch keineneingehenden, bis der Firewall-Dienst gestartet wird.Wenn diese Option deaktiviert ist, lässt die Firewallsämtlichen Datenverkehr vor dem Start der Dienstezu.

Datenverkehr über Bridge zulassen Lässt Verkehr über eine lokale MAC-Adresse imBereich der unterstützten VM-Software zu, bei der essich nicht um die MAC-Adresse des lokalen Systemshandelt. Lässt Folgendes zu:• Eingehende Pakete mit MAC-Zieladresse.

• Ausgehende Pakete mit MAC-Quelladresse.

IP-Spoofing-Schutz aktivieren Blockiert Netzwerkverkehr von nicht lokalenHost-IP-Adressen oder lokalen Prozessen, dieversuchen, ihre IP zu fälschen.

Dynamische Blockierungsregelnaktivieren

Lässt zu, dass andere Endpoint Security-ModuleBlockierungsregeln erstellen und dynamisch derGruppe Dynamische Regeln auf dem EndpointSecurity-Client hinzufügen können.(Standardmäßig deaktiviert)

Client-SchnittstellenreferenzFirewall – Optionen 7




Firewall-Eindringungswarnungenaktivieren

Zeigt automatisch Warnungen an, wenn die Firewalleinen potenziellen Angriff erkennt.

DNS-Blockierung Domänenname Definiert zu blockierende Domänennamen.Diese Einstellung fügt eine Regel am Anfang derFirewall-Regelliste hinzu, die Verbindungen zu denIP-Adressen, die in die Domänennamen aufgelöstwerden, blockiert.

• Hinzufügen: Fügt der Sperrliste einen Domänennamenhinzu. Trennen Sie mehrere Domänen durch einKomma (,) oder den Wagenrücklauf.Sie können * und ? als Platzhalterzeichenverwenden. Beispiel: *domain.com.

Alle doppelten Einträge werden automatischentfernt.

• Doppelklicken auf ein Element: Ändert dasausgewählte Element.

• Löschen: Entfernt den ausgewählten Domänennamenaus der Sperrliste.



Optimierungsoptionen Adaptiven Modus aktivieren Erstellt automatisch Regeln zum Zulassen vonDatenverkehr.

Aktivieren Sie den adaptiven Modus temporär aufeinigen Systemen nur während derFirewall-Optimierung. Da durch das Aktivieren diesesModus viele Client-Regeln entstehen können, die derMcAfee ePO-Server verarbeiten muss, kann dieLeistung beeinträchtigt werden.

McAfee Core-Netzwerkregelndeaktivieren

Deaktiviert die integrierten McAfee-Netzwerkregeln (inder Gruppe McAfee Core-Netzwerkregeln).(Standardmäßig deaktiviert)

Aktivieren dieser Option kann zu Störungen bei derNetzwerkkommunikation auf dem Client führen.

Gesamten blockiertenDatenverkehr protokollieren

Protokolliert den gesamten blockierten Datenverkehrim Firewall-Ereignisprotokoll (FirewallEventMonitor.log)auf dem Endpoint Security-Client.(Standardmäßig aktiviert)

Gesamten zugelassenenDatenverkehr protokollieren

Protokolliert den gesamten zugelassenen Datenverkehrim Firewall-Ereignisprotokoll (FirewallEventMonitor.log)auf dem Endpoint Security-Client.(Standardmäßig deaktiviert)

Die Aktivierung dieser Option kann sich negativ aufdie Leistung auswirken.

7 Client-SchnittstellenreferenzFirewall – Optionen




Netzwerkreputation fürMcAfee GTI

McAfee GTI-Übereinstimmungals Eindringungsversuchbehandeln

Behandelt Datenverkehr, der der McAfeeGTI-Schwellenwerteinstellung zum Blockierenentspricht, als Eindringungsversuch. Bei aktivierterOption wird eine Warnung angezeigt und das Ereignisan den Management-Server gesendet sowie derEndpoint Security-Client-Protokolldatei hinzugefügt.(Standardmäßig aktiviert)

Sämtliche IP-Adressen für vertrauenswürdigeNetzwerke sind von McAfee GTI-Suchenausgeschlossen.

ÜbereinstimmendenDatenverkehr protokollieren

Behandelt Datenverkehr, der der McAfeeGTI-Schwellenwerteinstellung zum Blockierenentspricht, als Erkennung. Bei aktivierter Option wirddas Ereignis an den Management-Server gesendetsowie der Endpoint Security-Client-Protokolldateihinzugefügt.(Standardmäßig aktiviert)

Sämtliche IP-Adressen für vertrauenswürdigeNetzwerke sind von McAfee GTI-Suchenausgeschlossen.

Reputationsschwellenwert deseingehenden/ausgehendenNetzwerks

Legt den Bewertungsschwellenwert von McAfee GTIfest, ab dem ein- oder ausgehender Datenverkehr übereine Netzwerkverbindung blockiert werden soll.• Nicht blockieren: Bei dieser Site handelt es sich um eine

zulässige Quelle oder ein zulässiges Ziel für Inhalt/Datenverkehr.

• Hohes Risiko: Diese Quelle bzw. dieses Ziel sendet oderhostet potenziell bösartigen Inhalt/Datenverkehr, denMcAfee als riskant einstuft.

• Mittleres Risiko: Diese Quelle bzw. dieses Ziel weistVerhalten auf, das McAfee als verdächtig einstuft.Sämtlicher Inhalt oder Datenverkehr von dieser Siteist genau zu prüfen.

• Nicht verifiziert: Bei dieser Site handelt es sich offenbarum eine zulässige Quelle oder ein zulässiges Ziel fürInhalt/Datenverkehr, allerdings weisen mehrereEigenschaften darauf hin, dass eine weitereUntersuchung erforderlich ist.

Statusbehaftete Firewall FTP-Protokollprüfungverwenden

Ermöglicht die Nachverfolgung von FTP-Verbindungen,sodass nur eine Firewall-Regel für ausgehendenFTP-Client-Verkehr und eingehendenFTP-Server-Verkehr erforderlich ist.Wird die Option nicht ausgewählt, erfordernFTP-Verbindungen eine separate Regel für eingehendenFTP-Client-Datenverkehr und ausgehendenFTP-Server-Datenverkehr.

Client-SchnittstellenreferenzFirewall – Optionen 7




Zeitlimit für TCP-Verbindung(in Sekunden, 1-240)

Legt die Zeit in Sekunden fest, während der eine nichthergestellte TCP-Verbindung aktiv bleibt, wenn keineweiteren mit der Verbindung übereinstimmendenPakete gesendet oder empfangen werden. Der gültigeBereich liegt zwischen 1 und 240.

UDP- und ICMP-Echo-Zeitlimitfür virtuelle Verbindungen (inSekunden, 1-300)

Legt die Zeit in Sekunden fest, während der einevirtuelle UDP- oder ICMP-Echo-Verbindung aktiv bleibt,wenn keine weiteren mit der Verbindungübereinstimmenden Pakete gesendet oder empfangenwerden. Die Option setzt die Zeit jedes Mal auf denkonfigurierten Wert zurück, wenn ein Paket, das mitder virtuellen Verbindung übereinstimmt, gesendetoder empfangen wird. Der gültige Bereich liegtzwischen 1 und 300.

Siehe auch Konfigurieren der Firewall-Optionen auf Seite 78

Firewall – RegelnVerwalten Sie Firewall-Regeln und -Gruppen.

Sie können nur Regeln und Gruppen in der Gruppe Benutzer hinzugefügt hinzufügen und löschen.Firewall verschiebt automatisch neu hinzugefügte Regeln in diese Gruppe.


Abschnitt Option Definition Regel Gruppe

REGELN Regel hinzufügen Erstellt eine Firewall-Regel.Weitere Informationen finden Sie unter Regelhinzufügen oder Regel bearbeiten, Gruppehinzufügen oder Gruppe bearbeiten auf Seite163.

Gruppe hinzufügen Erstellt eine Firewall-Gruppe.



Duplizieren Erstellt eine Kopie des ausgewählten Elements.

Löschen Entfernt ein ausgewähltes Firewall-Element.

Gibt Elemente an, die in der Liste verschobenwerden können.Wählen Sie Elemente aus, und verschieben Siesie per Drag-and-Drop an ihren neuen Standort.Eine blaue Linie erscheint zwischen Elementen,wo Sie die gezogenen Elemente ablegen können.

Siehe auch Erstellen und Verwalten von Firewall-Regeln und -Gruppen auf Seite 87Regel hinzufügen oder Regel bearbeiten, Gruppe hinzufügen oder Gruppe bearbeiten auf Seite163

7 Client-SchnittstellenreferenzFirewall – Regeln


Regel hinzufügen oder Regel bearbeiten, Gruppe hinzufügenoder Gruppe bearbeitenFügen Sie Firewall-Regeln und -Gruppen hinzu, oder bearbeiten Sie sie.



Beschreibung Name Legt den beschreibenden Namen des Elementsfest (erforderlich).

Status Aktiviert oder deaktiviert das Element.

Aktionen festlegen Zulassen – zeigt Datenverkehr über die Firewallan, wenn das Element übereinstimmt.

Blockieren – stoppt Datenverkehr über dieFirewall, wenn das Element übereinstimmt.

Übereinstimmung als Eindringungsversuch behandeln –behandelt Datenverkehr, der der Regelentspricht, als Eindringungsversuch. Beiaktivierter Option wird eine Warnung angezeigtund das Ereignis an den Management-Servergesendet sowie der EndpointSecurity-Client-Protokolldatei hinzugefügt.

Das Aktivieren dieser Option für eineZulassungsregel wird nicht empfohlen, weildadurch zu viele Ereignisse generiertwerden.

Übereinstimmenden Datenverkehr protokollieren –behandelt Datenverkehr, der der Regelentspricht, als Erkennung. Bei aktivierter Optionwird das Ereignis an den Management-Servergesendet sowie der EndpointSecurity-Client-Protokolldatei hinzugefügt.

Richtung Legt die Richtung fest:• Beide – Überwacht ein- und ausgehenden

Datenverkehr.

• Ein – Überwacht eingehenden Datenverkehr.

• Aus – Überwacht ausgehenden Datenverkehr.

Hinweise Bietet weitere Informationen über das Element.

Speicherort Standortbewusstseinaktivieren

Aktiviert oder deaktiviert dieSpeicherortinformationen für die Gruppe.

Name Legt den Namen des Speicherorts fest(erforderlich).

Client-SchnittstellenreferenzFirewall – Regeln 7




Verbindungsisolierungaktivieren

Blockiert Datenverkehr auf nicht mit der Gruppeübereinstimmenden Netzwerkadaptern, falls einmit der Gruppe übereinstimmender Adapter zurVerfügung steht.

Einstellungen für Transport und AusführbareDateien sind fürVerbindungsisolierungsgruppen nichtverfügbar.

Eine mögliche Anwendung dieser Option ist dasBlockieren von Netzwerkverkehr potenziellunerwünschten Ursprungs von außerhalb desUnternehmensnetzwerks in das Unternehmenhinein. Ein solches Blockieren ist nur dannmöglich, wenn der Netzwerkverkehr nichtbereits durch eine vor der Gruppe gelegeneRegel der Firewall zugelassen wurde.

Wenn die Verbindungsisolierung aktiviert ist undein Netzwerkadapter (NIC) mit der Gruppeübereinstimmt, wird nur in folgenden FällenDatenverkehr zugelassen:

• Der Datenverkehr stimmt mit einerZulassungsregel überein, die vor der Gruppeliegt.

• Der durch einen Netzwerkadapter verlaufendeDatenverkehr stimmt mit der Gruppe überein,und es ist eine Regel in oder unterhalb derGruppe vorhanden, die den Datenverkehrzulässt.

Falls kein Netzwerkadapter mit der Gruppeübereinstimmt, wird diese ignoriert, und dieRegelübereinstimmung wird fortgesetzt.

Erforderlich machen, dassMcAfee ePO erreichbar ist

Lässt die Gruppenübereinstimmung nur beiKommunikation mit dem McAfee ePO-Serverund nach Auflösung des Server-FQDN zu.





Standortkriterien • Verbindungsspezifisches DNS-Suffix – legt einverbindungsspezifisches DNS-Suffix imFormat beispiel.com fest.

• Standard-Gateway – gibt eine einzelne IP-Adressefür ein Standard-Gateway im IPv4- oderIPv6-Format an.

• DHCP-Server – gibt eine einzelne IP-Adresse füreinen DHCP-Server im IPv4- oderIPv6-Format an.

• DNS-Server – gibt eine einzelne IP-Adresse füreinen DNS im IPv4- oder IPv6-Format an.

• Primärer WINS-Server – gibt eine einzelneIP-Adresse für einen primären WINS-Serverim IPv4- oder IPv6-Format an.

• Sekundärer WINS-Server – gibt eine einzelneIP-Adresse für einen sekundären WINS-Serverim IPv4- oder IPv6-Format an.

• Domänenerreichbarkeit (HTTPS) – erfordert, dass dieangegebene Domäne über HTTPS erreichbarist.

• Registrierungsschlüssel – legt denRegistrierungsschlüssel und Schlüsselwertfest.


2 Geben Sie in der Spalte Wert einenRegistrierungsschlüssel im folgendenFormat ein:<ROOT>\<KEY>\[VALUE_NAME] ein.

• Unter <ROOT> muss der ganzeStammname angegeben werden, wiebeispielsweise HKEY_LOCAL_MACHINE,und nicht der gekürzte HKLM.

• <KEY> ist der Schlüsselname im Stamm.

• [VALUE_NAME] ist der Name desSchlüsselwerts. Wird kein Wertnameangegeben, wird der Standardwertverwendet.

Beispielformate:

• IPv4 – 123.123.123.123• IPv6 – 2001:db8:c0fa:f340:9219:bd20:9832:0ac7

IPv6-Adressen werden aufMac-Betriebssystemen nicht unterstützt.

Netzwerke Legt die geltenden Netzwerk-Host-Optionen fürdas Element fest.





Netzwerkprotokoll Legt das geltende Netzwerkprotokoll für dasElement fest.

Beliebiges Protokoll Lässt sowohl IP- als auch Nicht-IP-Protokolle zu.

Ist ein Transportprotokoll oder eineAnwendung angegeben, sind nurIP-Protokolle zulässig.

IP-Protokoll Schließt Nicht-IP-Protokolle aus.• IPv4-Protokoll

• IPv6-Protokoll

Wird keines der Kontrollkästchen aktiviert, giltein beliebiges IP-Protokoll. Sie können auchIPv4 und IPv6 gemeinsam auswählen.

Nicht-IP-Protokoll Schließt nur Nicht-IP-Protokolle ein.• EtherType aus Liste auswählen – legt einen

EtherType fest.

• Benutzerdefinierten EtherType angeben – gibt denvierstelligen EtherType des Nicht-IP-Protokollsim Hexadezimalformat ein. EtherType-Wertefinden Sie unter Ethernet-Nummern. Beispiel:Für AppleTalk lautet der Wert 809B, fürNetBEUI 8191 und für IPX 8037.

Verbindungstypen Gibt an, ob ein bestimmter oder alleVerbindungstypen gelten:• Kabelgebunden

• Drahtlos

• Virtuell

Ein virtueller Verbindungstyp ist ein durchein VPN oder eine Anwendung für virtuelleMaschinen wie VMware repräsentierterAdapter, kein physischer Adapter.

Netzwerke festlegen Legt die geltenden Netzwerke für das Elementfest.• Hinzufügen – Erstellt ein Netzwerk und fügt es

hinzu.Weitere Informationen finden Sie unter Netzwerk hinzufügen oder Netzwerkbearbeiten auf Seite 171.


• Löschen – Löscht das Netzwerk aus der Liste.

Transportieren Legt die geltenden Transportoptionen für dasElement fest.



http://www.iana.org/assignments/ethernet-numbers



Transportprotokoll Legt das dem Element zugeordneteTransportprotokoll fest.Wählen Sie das Protokoll aus, und klicken Siedann auf Hinzufügen, um Ports hinzuzufügen.

• Alle Protokolle – lässt IP-, Nicht-IP- und nichtunterstützte Protokolle zu.

• TCP und UDPWählen Sie aus demDropdown-Menü aus:

• Lokaler Port – Legt den lokalenDatenverkehrsdienst oder Port fest, auf dendie Regel angewendet wird.

• Remote-Port – Legt den auf einem anderenComputer befindlichen Datenverkehrsdienstoder Port fest, auf den die Regelangewendet wird.

Lokaler Port und Remote-Port können Folgendessein:

• Ein einzelner Dienst, beispielsweise 23.

• Ein Bereich, beispielsweise 1-1024.

• Eine durch Komma getrennte Liste einzelnerPorts und Bereiche, Beispiel: 80, 8080, 1–10, 8443 (bis zu 4 Elemente).

Standardmäßig gilt die Regel für alle Diensteund Ports.

• ICMP – legen Sie im Dropdown-MenüMeldungstyp einen ICMP-Meldungstyp fest:Siehe ICMP.

• ICMPv6 – legen Sie im Dropdown-MenüMeldungstyp einen ICMP-Meldungstyp fest:Siehe ICMPv6.

• Sonstige – wählt aus einer Liste von wenigerhäufigen Protokollen aus.

AusführbareDateien

Legt die ausführbaren Dateien für die Regelfest.• Hinzufügen – erstellt eine ausführbare Datei und

fügt sie hinzu.Weitere Informationen finden Sie unter Ausführbare Datei hinzufügen oderAusführbare Datei bearbeiten auf Seite 170.


• Löschen – entfernt eine ausführbare Datei ausder Liste.

Zeitplan Legt Einstellungen des Zeitplans für die Regeloder Gruppe fest.



http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xhtml

http://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xhtml



Zeitplan aktivieren Aktiviert den Zeitplan für die zeitbeschränkteRegel oder Gruppe.

Wenn der Zeitplan deaktiviert ist, gelten dieRegel bzw. Regeln in der Gruppe nicht.

• Startzeit – legt die Startzeit für die Aktivierungdes Zeitplans fest.

• Endzeit – legt die Zeit für die Deaktivierung desZeitplans fest.

• Wochentage – gibt die Anzahl derWochentage an, an denen der Zeitplanaktiviert werden soll.

Verwenden Sie das 24-Stunden-Format fürStart- und Endzeiten. Beispiel: 13:00 = 1:00p.m.

Sie können zeitbeschränkteFirewall-Gruppen planen oder dem Benutzergestatten, sie über dasMcAfee-Taskleistensymbol zu aktivieren.





Zeitplan deaktivieren unddie Gruppe über dasMcAfee-Taskleistensymbolaktivieren

Legt fest, dass der Benutzer die zeitbeschränkteGruppe für eine festgelegte Anzahl von Minutenüber das McAfee-Taskleistensymbol statt überden Zeitplan aktivieren kann.Verwenden Sie diese Option beispielsweise ineinem Hotel für einen breiten Netzwerkzugriff,bevor eine VPN-Verbindung erstellt werdenkann.

Durch Auswahl der Option werden weitereMenüoptionen unter Schnellkonfiguration imMcAfee-Taskleistensymbol angezeigt:

• Zeitbeschränkte Firewall-Gruppen aktivieren – aktiviertzeitbeschränkte Gruppen für einenfestgelegten Zeitraum, um denNicht-Netzwerkzugriff auf das Internetzuzulassen, bevor Regeln angewendetwerden, die den Zugriff beschränken.

Bei jeder Auswahl dieser Option wird dieZeit für die Gruppen zurückgesetzt.

• Zeitbeschränkte Firewall-Gruppen anzeigen – zeigt dieNamen der zeitbeschränkten Gruppen und dieverbleibende Zeit, für die die einzelnenGruppen aktiv sind, an.

Sie können zeitbeschränkteFirewall-Gruppen planen oder dem Benutzergestatten, sie über dasMcAfee-Taskleistensymbol zu aktivieren.

Anzahl an Minuten (1-60),um die Gruppe zuaktivieren

Legt nach Auswahl der Option ZeitbeschränkteFirewall-Gruppen aktivieren imMcAfee-Taskleistensymbol die Minutenanzahl(1–60) fest, während der die zeitbeschränkteGruppe aktiviert werden soll.

Siehe auch Erstellen und Verwalten von Firewall-Regeln und -Gruppen auf Seite 87Erstellen zeitbeschränkter Gruppen auf Seite 90Aktivieren oder Anzeigen von zeitbeschränkten Firewall-Gruppen auf Seite 77Netzwerk hinzufügen oder Netzwerk bearbeiten auf Seite 171Ausführbare Datei hinzufügen oder Ausführbare Datei bearbeiten auf Seite 170



Ausführbare Datei hinzufügen oder Ausführbare Datei bearbeitenFügen Sie eine mit einer Regel oder Gruppe verknüpfte ausführbare Datei hinzu, oder bearbeiten Siediese.


Option Definition

Name Legt den Namen für die ausführbare Datei fest.Dieses und mindestens eines der folgenden Felder müssen ausgefüllt werden:Dateiname oder Pfad, Dateibeschreibung, MD5-Hash oder Signaturgeber.

Dateiname oder Pfad Gibt den Pfad zur ausführbaren Datei an, die hinzugefügt oder bearbeitet werdensoll.Klicken Sie auf Durchsuchen, um die ausführbare Datei auszuwählen.


Dateibeschreibung Zeigt die Beschreibung der Datei an.

MD5-Hash Zeigt den MD5-Hash (32-stellige Hexadezimalzahl) des Prozesses an.

Signaturgeber Überprüfung digitaler Signaturen aktivieren: Gewährleistet, dass seit der Unterzeichnung miteinem Kryptographie-Hash der Code weder geändert noch beschädigt wurde.Legen Sie bei Aktivierung Folgendes fest:

• Beliebige Signatur zulassen – Dateien dürfen von einem beliebigen Signaturgeberunterzeichnet werden.

• Signiert von – Dateien dürfen nur von dem angegebenen Signaturgeberunterzeichnet werden.Für die ausführbare Datei ist der definierte Name eines Signaturgebers (SDN)erforderlich. Der Name muss den Einträgen im entsprechenden Feld,einschließlich Kommas und Leerzeichen, genau entsprechen.

So rufen Sie den SDN einer ausführbaren Datei ab:

1 Klicken Sie mit der rechten Maustaste auf die ausführbare Datei, und wählen SieEigenschaften aus.

2 Wählen Sie auf der Registerkarte Digitale Signaturen einen Signaturgeber aus, undklicken Sie auf Details.

3 Klicken Sie auf der Registerkarte Allgemein auf Zertifikat anzeigen.

4 Wählen Sie auf der Registerkarte Details das Feld Betreff aus. Der definierte Namedes Signaturgebers wird angezeigt. Beispielsweise hat Firefox folgendendefinierten Namen als Signaturgeber:

• CN = Mozilla Corporation • L = Mountain View

• OU = Release Engineering • S = California

• O = Mozilla Corporation • C = US




Netzwerk hinzufügen oder Netzwerk bearbeitenHier kann ein mit einer Regel oder Gruppe verknüpftes Netzwerk hinzugefügt oder bearbeitet werden.

Tabelle 7-30

Option Beschreibung Regel Gruppe

Name Legt den Namen der Netzwerkadresse fest (erforderlich).

Typ Wählen Sie entweder:• Lokales Netzwerk – Erstellt ein lokales Netzwerk und fügt es

hinzu.

• Remote-Netzwerk – Erstellt ein Remote-Netzwerk und fügt eshinzu.

Hinzufügen Fügt einen Netzwerktyp zur Netzwerkliste hinzu.



Löschen Löscht das ausgewählte Element.

Adresstyp Legt den Ursprung oder das Ziel des Datenverkehrs fest.Wählen Sie einen Typ aus der Dropdown-Liste Adresstyp.Die Liste der Adresstypen finden Sie unter Adresstyp aufSeite 171.

Adresse Legt die IP-Adresse fest, die zum Netzwerk hinzugefügtwerden soll.

Platzhalter sind zulässig.

Siehe auch Adresstyp auf Seite 171

AdresstypGeben Sie den Adresstyp für ein definiertes Netzwerk an.

IPv6-Adressen werden auf Mac-Betriebssystemen nicht unterstützt.


Option Definition

Einzelne IP-Adresse Legt eine konkrete IP-Adresse fest. Beispiel:• IPv4 – 123.123.123.123• IPv6 – 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*

Subnetz Legt die Subnetzadresse eines beliebigen Adapters im Netzwerk fest. Beispiel:• IPv4 – 123.123.123.0/24• IPv6 – 2001:db8::0/32

Lokales Subnetz Legt die Subnetzadresse des lokalen Adapters fest.




Option Definition

Bereich Legt einen Bereich von IP-Adressen fest. Geben Sie die Anfangs- undEndadresse des Bereichs an. Beispiel:• IPv4 – 123.123.1.0 – 123.123.255.255• IPv6 – 2001:db8::0000:0000:0000:0000 –2001:db8::ffff:ffff:ffff:ffff

VollqualifizierterDomänenname

Legt den FQDN fest. Beispiel: www.example.com.

Beliebige lokaleIP-Adresse

Legt eine beliebige lokale IP-Adresse fest.

Beliebige IPv4-Adresse Legt eine beliebige IPv4-Adresse fest.

Beliebige IPv6-Adresse Legt eine beliebige IPv6-Adresse fest.

Webkontrolle – OptionenKonfigurieren Sie allgemeine Webkontrolle-Einstellungen, wozu die Aktivierung, die Erzwingung vonAktionen, die sichere Suche und E-Mail-Anmerkungen gehören.




OPTIONEN Webkontrolle aktivieren Deaktiviert oder aktiviert die Webkontrolle.(Standardmäßig aktiviert)

Symbolleiste im Client-Browserausblenden

Blendet die Symbolleiste von Webkontrolle imBrowser aus, ohne dass ihre Funktionalitätdeaktiviert wird. (Standardmäßig deaktiviert)

Ereignisprotokollierung Webkategorien für Sites mit derBewertung "Grün" protokollieren

Protokolliert Inhaltskategorien für alle Sites mit derBewertung "Grün".

Das Aktivieren dieser Funktion kann sichnegativ auf die Leistung des McAfeeePO-Servers auswirken.

Webkontrolle-iframe-Ereignisseprotokollieren

Protokolliert die Blockierung bösartiger Sites (rot)und von Sites mit Warnungen (gelb), die in einemHTML-iframe angezeigt werden.

Erzwingung vonAktionen

Diese Aktion für alle noch nicht vonMcAfee GTI verifizierten Sitesanwenden

Legt die Standardaktion für Sites fest, die nochnicht von McAfee GTI bewertet wurden.• Zulassen (Standard): Lässt den Zugriff auf die Site

zu.

• Warnen: Zeigt eine Warnung an, um Benutzer übermögliche Gefahren in Verbindung mit der Site zuinformieren. Die Benutzer müssen dieWarnmeldung vor dem Fortfahren schließen.

• Blockieren: Verhindert, dass Benutzer auf die Sitezugreifen, und zeigt eine Meldung an, dass derSite-Download blockiert ist.

7 Client-SchnittstellenreferenzWebkontrolle – Optionen




HTML-iframe-Unterstützungaktivieren

Blockiert den Zugriff auf böswillige Sites (Rot) undSites mit Warnungen (Gelb), die in einemHTML-iframe angezeigt werden. (Standardmäßigaktiviert)

Websites werden standardmäßigblockiert, wenn der Server für dieMcAfee GTI-Bewertungen nichterreichbar ist

Blockiert den Zugriff auf Websites standardmäßig,wenn die Webkontrolle den McAfee GTI-Servernicht erreichen kann.

Phishing-Seiten für alle Sitesblockieren

Blockiert sämtliche Phishing-Seiten unterAußerkraftsetzung der Aktionen zurInhaltsbewertung. (Standardmäßig aktiviert)

Datei-Scan bei Datei-Downloadsaktivieren

Scannt alle Dateitypen(.zip, .exe, .ecx, .cab, .msi, .rar, .scr und .com) vordem Herunterladen. (Standardmäßig aktiviert)Diese Option verhindert, dass Benutzer auf eineheruntergeladene Datei zugreifen können, bis dieWebkontrolle und der Bedrohungsschutz die Dateials sauber kennzeichnen.

Die Webkontrolle führt eine McAfee GTI-Suche fürdie Datei aus. Wenn McAfee GTI die Datei zulässt,sendet Webkontrolle die Datei zum Scannen an denBedrohungsschutz. Wenn eine heruntergeladeneDatei als Bedrohung erkannt wird, führt EndpointSecurity eine Aktion für die Datei aus und warntden Benutzer.

McAfee GTI-Sensibilitätsstufe Legt die zu verwendende McAfeeGTI-Sensibilitätsstufe fest, die die Webkontrolle fürScans von Datei-Downloads verwendet.Weitere Informationen finden Sie unter McAfee GTIauf Seite 151.

Privater IP-Bereich Konfiguriert die Webkontrolle so, dass für denprivaten IP-Adressbereich keine Bewertungen oderAktionen ausgeführt werden.• Hinzufügen: Fügt eine private IP-Adresse zur Liste

der Adressen hinzu, die von Bewertungen oderBlockierungen auszuschließen sind.


• Löschen: Löscht eine IP-Adresse von der Liste derAdressen, die von Bewertungen oderBlockierungen auszuschließen sind.

Sichere Suche Sichere Suche aktivieren Aktiviert die sichere Suche, wobei automatischbösartige Sites in Suchergebnissen anhand vonSicherheitsbewertungen blockiert werden.

Client-SchnittstellenreferenzWebkontrolle – Optionen 7




Standard-Suchmaschine inunterstützten Browsern festlegen

Legt die Standard-Suchmaschine fest, die inunterstützten Browsern verwendet werden soll:• Yahoo

• Google

• Bing

• Ask

Links zu gefährlichen Websites inSuchergebnissen blockieren

Verhindert, dass Benutzer in Suchergebnissen aufLinks zu gefährlichen Websites klicken.



E-Mail-Anmerkungen Anmerkungen in browserbasiertenE-Mails aktivieren

Fügt URL-Anmerkungen in browserbasiertenE-Mail-Clients wie Yahoo! Mail und Gmail hinzu.

Anmerkungen in nichtbrowserbasierten E-Mails aktivieren

Fügt URL-Anmerkungen in E-Mail-Verwaltungstools(32 Bit) wie Microsoft Outlook oder Outlook Expresshinzu.

Siehe auch Konfigurieren von Webkontrolle-Optionen auf Seite 98Wie Datei-Downloads gescannt werden auf Seite 100McAfee GTI auf Seite 151

Webkontrolle – InhaltsaktionenLegen Sie Aktionen für bewertete Sites und Webinhaltskategorien fest.

Die Webkontrolle wendet die Bewertungsaktionen für Sites und Datei-Downloads in den nichtblockierten Kategorien an.

7 Client-SchnittstellenreferenzWebkontrolle – Inhaltsaktionen




Bewertungsaktionen Bewertungsaktionenfür Sites

Legt Aktionen für Sites fest, die rot, gelb oder nicht bewertetsind.

Grün bewertete Sites und Downloads werden automatischzugelassen.

• Zulassen: Lässt den Zugriff auf die Site zu.(Standard für nicht bewertete Sites)

• Warnen: Zeigt eine Warnung an, um Benutzer über möglicheGefahren in Verbindung mit der Site zu informieren.Benutzer müssen auf Abbrechen klicken, um zurvorhergehenden Site zurückzukehren, oder auf Fortsetzen, umdie Site aufzurufen.

Wenn die Browser-Registerkarte keine zuvor angezeigte Siteenthält, ist Abbrechen nicht verfügbar.

(Standard für gelbe Sites)

• Blockieren: Verhindert, dass Benutzer auf die Site zugreifen, undzeigt eine Meldung an, dass die Site blockiert ist.Klicken Sie auf OK, um zur zuvor angezeigten Sitezurückzukehren.

Wenn die Browser-Registerkarte keine zuvor angezeigte Siteenthält, ist OK nicht verfügbar.

(Standard für rote Sites)

Bewertungsaktionenfür Datei-Downloads

Legt Aktionen für Datei-Downloads fest, die rot, gelb oder nichtbewertet sind.

Diese Bewertungsaktionen gelten nur, wenn Datei-Scan beiDatei-Downloads aktivieren in den Einstellungen Optionen aktiviert ist.

• Zulassen: Ermöglicht es Benutzern, mit dem Downloadfortzufahren.(Standard für nicht bewertete Sites)

• Warnen: Zeigt eine Warnung an, um Benutzer über möglicheGefahren in Verbindung mit der Download-Datei zuinformieren. Die Warnung muss geschlossen werden, bevorder Download abgebrochen oder mit diesem fortgefahrenwerden kann.(Standard für gelbe Sites)

• Blockieren: Zeigt eine Meldung an, dass der Download blockiertwurde, und verhindert das Herunterladen der Datei.(Standard für rote Sites)

Sie können diese Meldung mithilfe der Einstellungen unterErzwingungsmeldungen anpassen.

Client-SchnittstellenreferenzWebkontrolle – Inhaltsaktionen 7




Webkategorie-Blockierung Webkategorie-Blockierung aktivieren Ermöglicht das Blockieren von Sites abhängig vonder Inhaltskategorie.

Blockieren Verhindert, dass Benutzer auf eine Site in dieserKategorie zugreifen, und zeigt eine Meldung an,dass die Site blockiert ist.

Webkategorie Listet die Webkategorien auf.

Siehe auch Angeben von Bewertungsaktionen und Blockieren des Site-Zugriffs basierend auf derWebkategorie auf Seite 101Verwenden von Sicherheitsbewertungen zum Kontrollieren des Zugriffs auf Seite 102Verwenden von Webkategorien zur Zugriffssteuerung auf Seite 101

Bedrohungsabwehrdaten – OptionenKonfiguriert Einstellungen für Bedrohungsabwehrdaten.




Optionen Bedrohungsabwehrdaten aktivieren Aktiviert das Bedrohungsabwehrdaten-Modul.

Das Erfassen anonymer Diagnose-und Nutzungsdaten durch denBedrohungsabwehrdaten-Serverzulassen

Lässt zu, dass der Bedrohungsabwehrdaten-Serveranonyme Dateiinformationen an McAfee sendet.

McAfee GTI-Datei-Reputationverwenden, wenn derBedrohungsabwehrdaten-Server nichterreichbar ist

Rufen Sie Informationen zur Datei-Reputation vomGlobal Threat Intelligence-Proxy ab, wenn derBedrohungsabwehrdaten-Server nicht verfügbar ist.

Ändern von Einstellungen durchBenutzer verhindern (nurBedrohungsabwehrdaten-Clients 1.0)

Verhindert, dass Benutzer auf verwaltetenEndpunkten Einstellungen fürBedrohungsabwehrdaten ändern.

Regelzuweisung Produktivität Weist die Regelgruppe Produktivität der Richtlinie zu.Verwenden Sie diese Regelgruppe für Systeme mithoher Änderungsrate und häufigenSoftware-Installationen und -Aktualisierungen.

Diese Gruppe verwendet die geringste Anzahl vonRegeln. Benutzer erleben nur wenigeAufforderungen und Blockierungen bei Erkennungneuer Dateien.

7 Client-SchnittstellenreferenzBedrohungsabwehrdaten – Optionen




Ausgleich Weist die Regelgruppe Ausgleich der Richtlinie zu.Verwenden Sie diese Gruppe fürStandardunternehmenssysteme, auf denen nichthäufig neue Software installiert wird oder Änderungenvorgenommen werden.

Diese Gruppe verwendet mehr Regeln undBenutzer erleben mehr Aufforderungen undBlockierungen als bei der Gruppe Produktivität.

Sicherheit Weist die Regelgruppe Sicherheit der Richtlinie zu.Verwenden Sie diese Regelgruppe für Systeme mitniedriger Änderungsrate, zum Beispiel IT-verwalteteSysteme und Server mit strikter Kontrolle.

Benutzer erleben mehr Aufforderungen undBlockierungen als bei der Gruppe Ausgleich.

Erzwingung vonAktionen

Beobachtungsmodus aktivieren Erfasst Daten und sendet sie an den Server, dieRichtlinie wird jedoch nicht erzwungen. Mit dieserOption können Sie die Auswirkung der Richtliniesimulieren, ohne sie ausführen zu müssen.

Blockieren, wenn derReputationsschwellenwert folgendenWert erreicht:

Blockiert Dateien, wenn die Datei-Reputation einenbestimmten Schwellenwert erreicht, und gibt diesenSchwellenwert an:• Als bösartig bekannt • Unbekannt

• Höchstwahrscheinlichbösartig

• Möglicherweisevertrauenswürdig

• Möglicherweise bösartig(Standard)

• Höchstwahrscheinlichvertrauenswürdig

Wenn versucht wird, eine Datei mit dieser Reputationin Ihrer Umgebung auszuführen, wird dies verhindert.Die Datei wird jedoch nicht gelöscht. Wenn eine Dateisicher ist und Sie sie ausführen möchten, ändern Siedie Reputation auf eine Stufe wieHöchstwahrscheinlich vertrauenswürdig, bei der dieNutzung möglich ist.

Säubern, wenn derReputationsschwellenwert folgendenWert erreicht:

Säubert Dateien, wenn die Datei-Reputation einenbestimmten Schwellenwert erreicht, und gibt diesenSchwellenwert an:• Als bösartig bekannt (Standard)

• Höchstwahrscheinlich bösartig

• Möglicherweise bösartig

• Unbekannt

Verwenden Sie diese Option bei derDatei-Reputation Als bösartig bekannt, da Dateienbeim Säubern entfernt werden können.

Client-SchnittstellenreferenzBedrohungsabwehrdaten – Optionen 7




Benutzermeldungen beiErkennung vonBedrohungen

Bedrohungsbenachrichtigungen fürden Benutzer anzeigen

Zeigt Bedrohungsbenachrichtigungen für denBenutzer an.

Den Benutzer benachrichtigen, wennder Reputationsschwellenwertfolgenden Wert erreicht:

Benachrichtigt den Benutzer, wenn dieDatei-Reputation einen festgelegten Schwellenwerterreicht:• Als bösartig bekannt • Unbekannt

(Standard)

• Höchstwahrscheinlichbösartig

• Möglicherweisevertrauenswürdig

• Möglicherweise bösartig • Höchstwahrscheinlichvertrauenswürdig

Die Stufe der Eingabeaufforderung darf keinenKonflikt mit den Einstellungen für Säubern oderBlockieren auslösen. Wenn Sie zum Beispielunbekannte Dateien blockieren, können Sie indiesem Feld nicht Möglicherweise bösartigfestlegen, da dafür eine höhereSicherheitsbedrohung gilt als für Unbekannt.

Standardaktion Legt die Aktion fest, wenn der Benutzer nicht aufdie Eingabeaufforderung reagiert:• Zulassen

• Blockieren (Standard)

Länge (in Minuten) bis zurZeitüberschreitung festlegen

Legt die Anzahl der Minuten fest, für die dieAufforderung vor Ausführung der Standardaktionangezeigt wird.Die Standardeinstellung beträgt 5 Minuten.

Meldung Legt den Text fest, der Benutzern angezeigt wird,wenn versucht wird, eine Datei auszuführen, dieden Kriterien für eine Eingabeaufforderungentspricht.

Bedrohungsbenachrichtigungendeaktivieren, wenn derBedrohungsabwehrdaten-Servernicht erreichbar ist

Deaktiviert die Anzeige vonEingabeaufforderungen, falls der Server nichterreichbar ist. Benutzer werden somit bei Dateien,für die keine Reputation abgerufen werden kann,nicht zu einer Aktion aufgefordert.





Advanced ThreatDefense

Noch nicht verifizierte Dateien zurAnalyse an McAfee Advanced ThreatDefense senden

Gibt an, wann ausführbare Dateien zur Analyse anMcAfee Advanced Threat Defense gesendet werdensollen.Sie können Informationen für den AdvancedThreat Defense-Server in der Verwaltungsrichtliniefür den Bedrohungsabwehrdaten-Server angeben.

Die Dateien werden in den folgenden Fällengesendet:

• Im Bedrohungsabwehrdaten-Server sind keineAdvanced Threat Defense-Informationen überdie Datei vorhanden.

• Die Datei entspricht der angegebenenReputationsstufe oder liegt darunter.

• Die Datei entspricht der angegebenenGrößenbeschränkung für Dateien oder liegtdarunter.

Dateien übermitteln, wenn derReputationsschwellenwert folgendenWert erreicht:

Sendet Dateien an Advanced Threat Defense,wenn die Datei-Reputation einen festgelegtenSchwellenwert erreicht:• Als bösartig bekannt

• Unbekannt (Standard)

• Höchstwahrscheinlich vertrauenswürdig

Größe (MB) begrenzen auf: Begrenzt die Größe der Dateien, die an AdvancedThreat Defense gesendet werden, auf 1 bis 10 MB.Der Standardwert ist 5 MB.

Client-SchnittstellenreferenzBedrohungsabwehrdaten – Optionen 7




Index

AAdaptive Regelgruppe, Firewall 86, 87

Adaptiver Modusin Firewall konfigurieren 78

Regelvorrang 81

Administrator-AnmeldeseiteBeim Öffnen des Endpoint Security Client 17

Entsperren der Client-Benutzeroberfläche 26

Administratorenbeim Endpoint Security-Client anmelden 25

definiert 8Kennwort 26

Standardkennwort 12

Advanced Threat Defense 109

Senden von Dateien an 111

Verwendung beim Bestimmen von Reputationen 106

Adware, Informationen 48

Aktionen, Bedrohungsschutzfür isolierte Elemente ausführen 46

Aktionen, Threat PreventionFestlegen der Aktion bei erkannter Bedrohung 65, 70

Säubern und Löschen infizierter Dateien für Benutzerermöglichen 65, 70

Unerwünschte Programme 64

Aktionsmenü, Informationen 12

Aktivitätsprotokolle, Endpoint Security-Client 23

Aktualisierungenabbrechen 21

Option "Sicherheit aktualisieren" 10

Schaltfläche "Jetzt aktualisieren", Endpoint Security-Client21

Aktualisierungen, Bedrohungsschutzmanuell suchen 10, 21

Standard-Client-Aktualisierungs-Task, Informationen 36

Überblick 9Aktualisierungen, Endpoint Security

Quellsites für Aktualisierungen konfigurieren 33

Standard-Client-Aktualisierung, konfigurieren 35

über den Client konfigurieren und planen 37

Verhalten konfigurieren 33

Aktualisierungen, Threat PreventionContent-Dateien 8EXTRA.DAT-Dateien 28

Aktualisierungsseite 21

Allgemeingültig-Modul, konfigurierenAktualisierungseinstellungen 33

Allgemeingültiges Modul, Endpoint Security-Client 7, 15

Allgemeingültiges Modul, konfigurierenAktualisierungseinstellungen 35

Quellsites für Client-Aktualisierungen 33

Quellsites für Client-Aktualisierungen, konfigurieren 33

AMCore Content-DateienÄndern der Version 27

EXTRA.DAT-Dateien 28

Informationen 8Informationen zu Signaturen und Aktualisierungen 9On-Access-Scan – Überblick 66

On-Demand-Scan – Überblick 71

Angriffe, Buffer Overflow-Exploits 61

Anmeldeinformationen, Repository-Liste 35

Anmeldeinformationen, Standard für Administrator 12

Apps, Windows Store 66, 71

Archive, Festlegen von Scanoptionen 65, 70

Ask-Suchmaschine und Sicherheitssymbole 94

Aufforderungen, Endpoint SecurityReagieren auf Scan 19

AusschlüsseErkennungsname 65

Festlegen von URLs für ScriptScan 65

konfigurieren 50

On-Access-Scan, Festlegen von Dateien, Ordnern undLaufwerken 65

On-Demand-Scan, festlegen 70

Platzhalter verwenden 51

Stammebene 51

Zugriffsschutz, richtlinienbasiert und regelbasiert 59

Ausschlüsse auf Stammebene, Siehe Ausschlüsse

BBedrohungen

AMCore Content-Dateien 9Erkennungen beim Scannen 44

isolierte Elemente erneut scannen 49

Quarantäne-Ordner 46

Reagieren auf Erkennungen 18

Typen 48

und Sicherheitsbewertungen 95

Verletzungen von Systemzugriffspunkten 52


Bedrohungen (Fortsetzung)Verwalten von Erkennungen 45

weitere Informationen von McAfee Labs abrufen 46

Windows Store-Apps 66, 71

Zugriffsschutzprozess 52

BedrohungsabwehrdatenAktivitätsprotokoll 23

durch McAfee ePO verwaltete TIE Server über einenBridge-Computer verbinden 106

Endpoint Security-Client 15

Fehlerbehebungsprotokoll 23

Informationen 104

konfigurieren 110

Protokolldateien 23

verwalten 104

Workflow-Beispiele 108

BedrohungsschutzDateien vor dem Download scannen 98

Dateien vor dem Herunterladen scannen 100


Informationen 7On-Access-Scans, Informationen 66

Zugriffsschutzfunktion 53

Bedrohungszusammenfassung, Informationen 13

BenachrichtigungenInformationen 11

Interaktion mit Endpoint Security-Client 9Windows 8 und 10 11

benutzerdefinierte Aktualisierungs-Tasks, Siehe Tasks, EndpointSecurity-Client

benutzerdefinierte Regeln, Siehe benutzerdefinierte Regeln,Zugriffsschutz

benutzerdefinierte Regeln, Zugriffsschutzkonfigurieren 58

Typen 53

benutzerdefinierte Scans, Siehe On-Demand-Scans Benutzerkonten, Steuern des Zugriffs auf Client 32

Berichte, Web Control 94, 95

Anzeigen 98

Website-Sicherheit 94

Berichte, Webkontrolleanzeigen 97

Sicherheit 91

Bewertungen, Sicherheit, Siehe Sicherheitsbewertungen Bewertungen, Web Control, Siehe Sicherheitsbewertungen Bing-Suchmaschinen und Sicherheitssymbole 94

Blockieren von Dateien und Zertifikaten 111

Boot-Sektoren, scannen 65, 70

BrowserInformationen zu einer Site anzeigen 97

Plug-In aktivieren 96

unterstützt 91, 97

Webkontrolle-Plug-In deaktivieren 98

Buffer Overflow-Exploits, Informationen 61

CCache, globaler Scan

On-Access-Scans 66

On-Demand-Scans 71

ChromeInformationen zu einer Site anzeigen 97


unterstützte Browser 91, 97

Webkontrolle-Schaltflächen 93

Client, Siehe Endpoint Security Client Client-Produktaktualisierungs-Tasks

Informationen 35

Repository-Liste 35

Client-Protokollierung, konfigurieren 30

Client-Schnittstellen-Modus, Optionen 14

Client-Software, definiert 8Common-Modul, konfigurieren

Client-Schnittstellensicherheit 31

Einstellungen 29

McAfee GTI Proxy-Server-Einstellungen 32

Protokollierung 30

Selbstschutz 30

Content-DateienÄndern der AMCore-Version 27


Informationen 8manuell nach Aktualisierungen suchen 10, 21

On-Access-Scan – Überblick 66


über den Client Aktualisierungen planen 37

und Erkennungen 18

CPU-Zeit, On-Demand-Scans 74

DData Exchange Layer

Informationen 106

Datei-Downloadsbasierend auf Bewertungen blockieren oder warnen 101

mit Bedrohungsschutz scannen 100

unbekannte Sites blockieren 98

Datei-Reputationauf Eingabeaufforderungen reagieren 19

DateienÄnderungen verhindern 30

Ausführen von Scans 44

Bestimmen 106

bestimmte Typen von Scans ausschließen 50

Endpoint Security-Client-Protokolle 22

für Quarantäne konfigurieren 65

in der Quarantäne verwalten 46

in Quarantäne erneut scannen 49

Konfigurieren von Protokolldateien 30

Platzhalter in Ausschlüssen 51

Protokolldateien 23

Index


Dateien (Fortsetzung)Zugriff beschränken 53

Dateien, ContentÄndern der AMCore Content-Version 27

Exploit-Schutz 9Extra.DAT und AMCore 9EXTRA.DAT-Dateien 28

Laden von Extra.DAT-Dateien 29



Signaturen und Aktualisierungen 9Verwenden von EXTRA.DAT-Dateien 28

Datenverkehrausgehend, bis Start der Firewall-Dienste zulassen 78

Von Firewall gescannt 77

Desktopmodus, Windows 8 und 10Benachrichtigungen 11

Desktopmodus, Windows 8 und 10Reaktion auf Aufforderungen bei erkannten Bedrohungen

18

Dialers, Informationen 48

DNS-Datenverkehr, blockieren 79

Domänen, Blockieren 79

Download-Anfragen, Siehe Datei-Downloads Downloads

Blockierungs- und Warnungsverhalten 92

Drosselung, konfigurieren 74

Dynamische Regelgruppe, Firewall 86

EEindringversuche, Firewall-Warnungen aktivieren 78

Eingabeaufforderungen, Endpoint Securityauf Datei-Reputation reagieren 19

Informationen 11

Windows 8 und 10 18

EinstellungenAktualisierungen, konfigurieren für 33, 35


Quellsites, konfigurieren für 33

Einstellungen für InhaltsaktionenWeb Control 102

Webkontrolle 101

Einstellungen für Inhaltsaktionen, Webkontrolle 101

Einstellungen, BedrohungsschutzZugriffsschutzfunktion 53

Einstellungen, Threat PreventionKonfigurieren potenziell unerwünschter Programme 63

On-Access-Scans 64

On-Demand-Scans 64

Einstellungen, Web ControlSteuern des Zugriffs nach Sicherheitsbewertungen 102

Einstellungen, WebkontrolleZugriff auf Websites steuern 101

Zugriff mit Webkategorien steuern 101

EinstellungsseiteAktualisierungseinstellungen, konfigurieren 33, 35

Client-Schnittstellensicherheit, konfigurieren 31

Firewall-Optionen ändern 78

On-Access-Scan-Einstellungen, konfigurieren 65

On-Demand-Scan-Einstellungen, konfigurieren 70

Protokollierung, konfigurieren 30

Proxy-Server-Einstellungen, konfigurieren 32

Selbstschutz, konfigurieren 30

und Client-Schnittstellen-Modus 14

Verwalten von Firewall-Regeln und -Gruppen 87

Endpoint Security ClientAnzeigen der Hilfe 18

Anzeigen von Schutzinformationen 20

Bedrohungszusammenfassung 13

Entsperren der Schnittstelle 26

Informationen 12

Konfigurieren von Sicherheitseinstellungen 31

Öffnen 10, 17

Scannen auf Malware 41

Scans ausführen 42

Schützen mit Kennwort 32

System-Scans 41

Verwalten von erkannten Bedrohungen 45

Verwaltungstypen 20

Endpoint Security-Clientals Administrator anmelden 25

benutzerdefinierte Aktualisierungs-Tasks, erstellen 37

Ereignisprotokoll anzeigen 22

Interaktion mit 9Module 15

Protokolle, Informationen 23


Richtlinieneinstellungen 14

Schutz aktualisieren 21

Spiegelungs-Tasks, Informationen 39

Spiegelungs-Tasks, konfigurieren und planen 38

Standard-Client-Aktualisierungs-Task, Informationen 36

Standard-Client-Aktualisierungs-Task, konfigurieren 35

Standard-Client-Aktualisierungs-Task, planen 37

Verwaltungstypen 8vollständiger Scan und Schnellscan, planen 75

Endpoint Security, Funktionsweise 8Endpoint Security, verwalten 25

Ereignisprotokolle, Endpoint Security-ClientAktualisierungsfehler 21

Ereignisprotokollseite anzeigen 22

Informationen 23

Ereignisse, Webkontrolle-Browser-Ereignisse überwachen 98

Erkennungenan Management-Server berichten 8Anzeigen von Benutzernachrichten 65, 70

nach Name ausschließen 65

Namen 48

Reagieren auf 18

Index


Erkennungen (Fortsetzung)Typen 42, 44

Verwalten 42, 45

Erkennungen anzeigen-Schaltfläche 45

Erkennungsdefinitionsdateien, Siehe Content-Dateien Erste Schritte mit Bedrohungsabwehrdaten 108

Exploit-SchutzContent-Datei-Aktualisierungen 9Informationen 60

Konfigurieren 61

Protokolldateien 23

Prozesse ausschließen 50

und Host IPS 60

ExploitsAuftreten von Buffer Overflow-Exploits 61

Blockieren von Buffer Overflows 60, 61

Extra.DAT-DateienAMCore Content-Dateien 9On-Access-Scan – Überblick 66

EXTRA.DAT-DateienHerunterladen 28

Informationen 28

Laden 29


Verwenden 28

FFarben, Webkontrolle-Schaltflächen 93

Fehler, Aktualisierung 21

Fehlerbehebungsprotokolle, Endpoint Security-Client 23

Fehlermeldungen, Status des Taskleistensymbols 10

Fehlerprotokolle, Endpoint Security-Client 23

FirefoxInformationen zu einer Site anzeigen 97




FirewallAktivitätsprotokoll 23

Blockieren des DNS-Datenverkehrs 79

Eindringungswarnungen 11



Firewall-Regeln, Funktionsweise 81

Funktionsweise 77

Informationen 7Informationen zu zeitbeschränkten Gruppen 10

Optionen ändern 78

Protokolldateien 23

Regeln, Siehe Firewall-RegelnSchutz aktivieren und deaktivieren 78

standortabhängige Gruppen, erstellen 89

standortabhängige Gruppen, Informationen 83

Verwalten 78

Firewall (Fortsetzung)Verwalten von Regeln und Gruppen 87

zeitbeschränkte Gruppen aktivieren und anzeigen 77

zeitbeschränkte Gruppen erstellen 90

Firewall-Gruppen, Siehe Firewall-Regelgruppen Firewall-Optionen

Ändern 78

Firewall-RegelgruppenFunktionsweise der Firewall 77

Konfigurieren 81

standortabhängig, erstellen 89

standortabhängig, Information 83

und Verbindungsisolierung 84

vordefiniert 86

Vorrang 83

zeitbeschränkte Gruppen erstellen 90

zeitbeschränkte Gruppen über das Taskleistensymbolverwalten 10, 77

Firewall-RegelnFunktionsweise 81

Funktionsweise der Firewall 77

Konfigurieren 81

Reihenfolge und Vorrang 81

Verwenden von Platzhaltern 89

Zulassen und blockieren 81

fortsetzbare Scans, Siehe inkrementelle Scans Funktionen

Deaktivieren und aktivieren 26

Endpoint Security-Client-Zugriff basierend auf Richtlinien14

GGlobaler Scan-Cache

On-Access-Scans 66

On-Demand-Scans 71

GoogleChrome 91

Sicherheitssymbole 94

Unterstützte Suchmaschinen 94

Gruppen, Firewall, Siehe Firewall-Regelgruppen

HHashes, Informationen 32

Häufig gestellte Fragen, McAfee GTI 80

Heap-basierte Angriffe, Buffer Overflow-Exploits 61

Hilfe, anzeigen 12, 18

Host IPS und Exploit-Schutz 60

Host-Eindringungsschutz und Exploit-Schutz 60

IInformationen, zu Schutz anzeigen 20

Informationsseite 8, 20

Inhaltskategorien, Siehe Webkategorien inkrementelle Scans 72

Index


Installationsprogramme, vertrauenswürdige scannen 65

Internet ExplorerInformationen zu einer Site anzeigen 97


und ScriptScan-Verhalten 68


IP-AdressenRegelgruppen 83

standortabhängige Gruppen 83

JJetzt scannen-Schaltfläche 42

KKennwort-Cracker, Informationen 48

KennwörterAdministrator 25, 26

Konfigurieren der Client-Sicherheit 31

Standard für Administrator 12

Steuern des Zugriffs auf Client 32

Keylogger, Informationen 48

Konfiguration, TIE Server über einen Bridge-Computerverbinden 106

LLeerlauf-Scan-Funktion 19, 72

MMalware

Erkennungen beim Scannen 42, 44


Scannen auf 41

manuelle Aktualisierungen, ausführen 21

Manuelle ScansAusführen in Endpoint Security Client 42, 44

Informationen zu Scan-Typen 41

McAfee AgentProduktaktualisierungs-Task und Repository-Liste 35

McAfee Core-Netzwerkregelgruppe, Firewall 86

McAfee Endpoint Security Client, Siehe Endpoint Security Client McAfee ePO

Aktualisieren des Schutzes 8AMCore Content-Dateien abrufen 9und Verwaltungstypen 20

McAfee ePO Cloud-Verwaltungstyp 20

McAfee GTIBlockierungsereignisse an Server senden 78

Dateien vor dem Download scannen 98

Dateien vor dem Herunterladen scannen 100

Festlegen von Proxy-Server-Einstellungen 32

Firewall-Optionen, konfigurieren 78

Häufig gestellte Fragen 80

Netzwerkreputation für Firewall, konfigurieren 78

On-Access-Scans, Funktionsweise 66

McAfee GTI (Fortsetzung)On-Access-Scans, konfigurieren 65

On-Demand-Scans, Funktionsweise 71

On-Demand-Scans, konfigurieren 70

Sensibilitätsstufe konfigurieren 65

Telemetrie-Feedback 65

Überblick 32

und Webkategorien 101

Web Control-Sicherheitsbewertungen 95

Web Control-Site-Berichte 94

Webkontrolle-Kommunikationsfehler 93

McAfee LabsAMCore Content-Datei-Aktualisierungen 9Download von EXTRA.DAT-Dateien 28


und McAfee GTI 32

weitere Informationen zu Bedrohungen abrufen 46

McAfee SECURE, Webkontrolle-Schaltfläche 93

McAfee-Client, Siehe Endpoint Security Client McAfee-Schutz-Client, Siehe Endpoint Security Client McAfee-Symbol, Siehe System-Taskleistensymbol, McAfee McTray, starten 72

Meldungen, Endpoint SecurityInformationen 11

MenüsAktion 12, 26

Einstellungen 12, 14, 15, 78, 87

Hilfe 12, 18

Informationen 20

Webkontrolle 97

Microsoft Internet Explorer, Siehe Internet Explorer Module

Anzeigen von Informationen 20

Endpoint Security-Client-Zugriff basierend auf Richtlinien14

in Endpoint Security-Client installiert 15

Informationen zu Endpoint Security 7Module, allgemeingültig

Aktualisierungseinstellungen, konfigurieren 35

Quellsites für Client-Aktualisierungen konfigurieren 33

Module, AllgemeingültigAktualisierungseinstellungen, konfigurieren 33

Funktionsweise von McAfee GTI 32


Module, CommonClient-Schnittstellensicherheit, konfigurieren 31

McAfee GTI Proxy-Server-Einstellungen, konfigurieren 32

Protokollierung, konfigurieren 30


Mozilla Firefox, Siehe Firefox

NNachrichten, Endpoint Security

Anzeigen bei erkannter Bedrohung 65, 70

Netzwerkadapter, Verbindung zulassen 83

Index


Netzwerklaufwerke, Festlegen von Scanoptionen 65

nicht verwaltet, Siehe selbstverwaltet, Informationen

OOn-Access-Scans

Anzahl von Scan-Richtlinien 69

Elemente ausschließen 50

Erkennung von Bedrohungen 18

Informationen 41

konfigurieren 65

Konfigurieren 65

mit Vertrauenslogik optimieren 66

Potenziell unerwünschte Programme, Aktivieren derErkennung 64

Protokolldateien 23

ScriptScan 68

Skripte scannen 68

Überblick 66

von Datenträger lesen oder darauf schreiben 66

On-Demand-Aktualisierungen, Siehe manuelleAktualisierungen, ausführen

On-Demand-ScansAusführen eines vollständigen Scans oder Schnellscans 42


Informationen 41

konfigurieren 65

Potenziell unerwünschte Programme, Aktivieren derErkennung 64

Protokolldateien 23

Reagieren auf Aufforderungen 19

Scan per Kontextmenü 44

Scannen von Dateien oder Ordnern 44

Scans des Remote-Speichers 75

Systemauslastung 74

Überblick 71

OptionenKonfigurieren von On-Access-Scans 65

Konfigurieren von On-Demand-Scans 70

Scannen auf Malware 41

Optionen, allgemeingültigAktualisierungseinstellungen, konfigurieren 35


Optionen, AllgemeingültigAktualisierungseinstellungen, konfigurieren 33


Optionen, Bedrohungsschutzallgemeingültige Scan-Einstellungen 65

Optionen, CommonClient-Schnittstellensicherheit, konfigurieren 31

Konfigurieren 29

Planen von Scans auf Anforderung 41

Protokollierungseinstellungen, konfigurieren 30

Proxy-Server-Einstellungen, konfigurieren 32


Optionen, Threat PreventionUnerwünschte Programme 63

OrdnerAusführen von Scans 44

für Quarantäne konfigurieren 65

in der Quarantäne verwalten 46

in Quarantäne erneut scannen 49


Zugriff beschränken 53

PParameter, Zugriffsschutz

Beispiele 59

bewerten mit untergeordneten Regeln 59

Phishing, gesendete Berichte an Site-Benutzer 95

Planungen, On-Demand-Scans, verschieben 72

Platzhalterin Ausschlüssen 51

in Ausschlüssen auf Stammebene 51

in Ausschlüssen verwenden 51

In Firewall-Regeln verwenden 89

Plug-Ins, Webkontrolle im Browser aktivieren 96

Pop-Up-Benachrichtigungen, Windows 8 und 10 11

Pop-Up-Benachrichtigungen, Windows 8 und 10 18

Pop-Ups und Sicherheitsbewertungen 95

potenziell unerwünschte ProgrammeElemente ausschließen 50


zu erkennende Programme festlegen 65

Potenziell unerwünschte ProgrammeAktivieren der Erkennung 64, 65, 70

Erkennungen beim Scannen 42, 44

Festlegen 63

Informationen 48

Konfigurieren der Erkennung 62

Prioritäten, On-Access-Scans 74

Product Improvement Program 109

Produktaktualisierungenmanuell suchen 10, 21

über den Client planen 37

Programme, Aktivieren der Erkennung potenziell unerwünschter65, 70

ProtokolldateienAktualisierungsfehler 21

anzeigen 22

Konfigurieren 30

Speicherorte 23

Proxy-ServerEinstellungen in Repository-Liste 35

Funktionsweise von McAfee GTI 32

Konfigurieren für McAfee GTI 32

Prozesse mit hohem Risiko, festlegen 65

Prozesse mit niedrigem Risiko, festlegen 65

Prozesse, Bedrohungsschutzausschließen 50

Index


Prozesse, Bedrohungsschutz (Fortsetzung)in Zugriffsschutz einschließen oder daraus ausschließen 59

scannen 66

Prozesse, Threat PreventionFestlegen von hohem und niedrigem Risiko 65

Scannen 65

Prozesse, Zugriffsschutzin Zugriffsschutz einschließen oder daraus ausschließen 53

regelbasierter Ausschluss 59

richtlinienbasierter Ausschluss 59

Prozesseinstellungen, On-Demand-Scans 74

QQuarantäne-Seite 46

Quarantäne, Bedrohungsschutzisolierte Elemente erneut scannen 49

Speicherort- und Aufbewahrungseinstellungenkonfigurieren 65

RReaktionen, Konfigurieren für die Erkennung unerwünschter

Programme 64

Regelgruppen, Firewall, Siehe Firewall-Regelgruppen Regeln, Bedrohungsschutz

konfigurieren 53

Regeln, Firewall, Siehe Firewall Regeln, Threat Prevention

Funktionsweise des Zugriffsschutzes 52

Registrierungsschlüssel, Zugriff beschränken 53

Remote-Desktop und Leerlauf-Scan-Funktion 72

Remote-Verwaltungs-Tools, Informationen 48

Repository-Listebevorzugte Reihenfolge, Repository-Liste 35

Speicherort auf Client 35

Überblick 35

ReputationenBestimmen 106

Richtlinienauf Endpoint Security-Client zugreifen 14

Client-Funktionen 9definiert 8

Richtlinien, Bedrohungsschutzallgemeingültige Scan-Einstellungen 65

On-Demand-Scans, verschieben 72

Richtlinien, CommonKonfigurieren 29

Richtlinien, Threat PreventionOn-Access-Scans 69

SSafari (Macintosh)


Scan anzeigen-Schaltfläche 42

Scan per KontextmenüAusführen im Windows Explorer 44

Informationen 41

Konfigurieren 70

Scan-CacheOn-Access-Scans 66

On-Demand-Scans 71

Scan-Module, AMCore Content-Dateien – Überblick 9Scan-Seite, anzeigen 18, 42

Scan-Umgehung 66

Scan-Verschiebung, Überblick 72

Scansallgemeingültige Einstellungen für On-Access- und On-

Demand-Scans 65

Ausführen in Endpoint Security Client 42

benutzerdefiniert, über den Client erstellen und planen 75

mit Endpoint Security-Client planen 75

Platzhalter in Ausschlüssen verwenden 51

Reagieren auf Aufforderungen 19

Scan per Kontextmenü 44

Typen 41

Verschieben, anhalten, fortsetzen und abbrechen 19

Webkontrolle 100

Scans des Remote-Speichers, Überblick 75

Scans ohne Auswirkungen 72

Scans, benutzerdefiniert, Siehe Scans, On-Demand Scans, On-Access

Anzahl von Richtlinien 69

Bedrohungen in Windows Store-Apps erkennen 66


Erkennung von Bedrohungen, reagieren 18

Konfigurieren 65

mit Vertrauenslogik optimieren 66

ScriptScan 68

Überblick 66

Scans, On-DemandElemente ausschließen 50

Erkennen von Bedrohungen in Windows Store-Apps 71

Konfigurieren 70

Scans des Remote-Speichers 75

Systemauslastung 74


SchaltflächenErkennungen anzeigen 45

Jetzt scannen 42

Scan anzeigen 42

Schaltflächen, Webkontrolle 93

Scherzprogramme, Informationen 48

SchnellscanAusführen in Endpoint Security Client 42

Konfigurieren 70

Scan-Typen 41


SchnittstellenmodusKonfigurieren der Client-Sicherheitseinstellungen 31

Index


Schnittstellenmodus (Fortsetzung)Standardzugriff 25, 32

SchutzAktuell bleiben 8Anzeigen von Informationen 20

Interaktion mit 9Konfigurieren des Selbstschutzes 30

Schwachstellen, Siehe Bedrohungen ScriptScan

Aktivieren 65

Informationen 68

URLs ausschließen 50

Seite "Roll Back von AMCore Content" 27

Seite "Scannen auf Bedrohungen" 44

Seite "System scannen" 42

Seite McAfee-Sicherheitsstatus, anzeigen 10

Seite On-Access-Scan 45

Seite System scannen 45

SeitenAktualisierung 21

Einstellungen 14, 30–33, 35, 70, 78

Ereignisprotokoll 22

Informationen 8, 20

McAfee-Sicherheitsstatus 10

On-Access-Scan 18, 45

Quarantäne 46

Rollback von AMCore Content 27

Scan, anzeigen 42

Scannen auf Bedrohungen 44

System scannen 42, 45


selbstverwaltet, Informationen 20

Sensibilitätsstufe, McAfee GTI 32

Serverdurch McAfee ePO verwaltete TIE Server über einen

Bridge-Computer verbinden 106

Informationen zu TIE Servern 106

Server, Proxy, Siehe Proxy-Server Serversysteme und Leerlauf-Scan-Funktion 72

sichere Suche, Webkontrolle konfigurieren 98

SicherheitKonfigurieren der Client-Schnittstellensicherheit 31

Sicherheitsberichte, Siehe Berichte, Web Control Sicherheitsbewertungen

Aktionen für Sites und Downloads konfigurieren 101

Herleitung von Website-Sicherheitsbewertungen 95


Steuern des Site-Zugriffs 102

Webkontrolle und 91

SicherheitsstufenBeispiele 111

Sicherungen, Festlegen von Scanoptionen 65, 70

SignaturenInformationen zu bekannten Bedrohungen 9

Site-Berichte, Siehe Berichte, Web Control

SitesBlockierungs- und Warnungsverhalten 92

Schutz beim Surfen 93

Schutz während der Suche 94

Sicherheitsbewertungen 95

Webkontrolle-Site-Berichte anzeigen 97

Sites, blockierenbasierend auf Bewertungen 101

basierend auf Sicherheitsbewertungen 102

basierend auf Webkategorie 101

Sites, warnenbasierend auf Bewertungen 101


Sites, Zugriff steuernmit Sicherheitsbewertungen 102

mit Webkategorien 101

Skripte, scannen 68

Software-Aktualisierungenmanuell suchen 10, 21


Sperrmodus der Client-SchnittstelleBeim Öffnen des Endpoint Security Client 17

Entsperren der Schnittstelle 26

und Richtlinieneinstellungen 14

Spiegelungs-TasksInformationen 39

konfigurieren und planen 38

Sprechblasen, Web Control 94, 98

Spyware, Informationen 48

Stack-basierte Angriffe, Buffer Overflow-Exploits 61

Standalone, Siehe selbstverwaltet, Informationen Standard-Client-Aktualisierungs-Task

Informationen 36

konfigurieren 35

mit Endpoint Security-Client planen 37


Standardkennwort, Endpoint Security Client 12

Standardregelgruppe, Firewall 86

Standardzugriffsmodusals Administrator anmelden 25

Auswirkungen beim Festlegen eines Kennworts 32

Konfigurieren der Client-Sicherheitseinstellungen 31

und Richtlinieneinstellungen 14

Verwalten von Firewall-Regeln und -Gruppen 87

standortabhängige Gruppenerstellen 89

Informationen 83

Verbindungsisolierung 84

Startmenü, Endpoint Security Client öffnen 17

Status, Endpoint Security, im McAfee-Taskleistensymbolanzeigen 10

Statusseite, Bedrohungszusammenfassung anzeigen 13

Suchenriskante Websites in Ergebnissen blockieren 98


Index


Symbole, McAfee, Siehe System-Taskleistensymbol, McAfee Symbole, Web Control 94

System-Scans, Typen 41

System-Taskleistensymbol, McAfee 9, 10, 31

Definition 10

Konfigurieren des Zugriffs auf Endpoint Security 31

Öffnen des Endpoint Security Client 17

Systemauslastungsoptionen, Überblick 74

TTarnprogramm, Informationen 48

Taskleistensymbol, McAfeeSicherheit aktualisieren 10

zeitbeschränkte Firewall-Gruppen 10

zeitbeschränkte Gruppen aktivieren und anzeigen 77

Tasks, Bedrohungsschutzbenutzerdefinierte Scans, planen 75

Standard-Client-Aktualisierung, Informationen 36

vollständiger Scan und Schnellscan, planen 75

Tasks, Endpoint Security-Clientbenutzerdefinierte Aktualisierung, konfigurieren und planen

37

Spiegelungs-Tasks konfigurieren und planen 38

Spiegelungs-Tasks, Informationen 39

Standard-Client-Aktualisierung, konfigurieren 35

Standard-Client-Aktualisierung, planen 37

Tasks, Threat PreventionVollständige und Schnellscans, Informationen 41

Threads, Priorität 74

Threat IntelligenceEndpoint Security 105

Komponenten 104

Szenarien 103

Threat Intelligence Exchange Server, Siehe TIE Server Threat Prevention

Exploit-Schutz-Funktion 61

On-Access-Scans, konfigurieren 65

On-Demand-Scans, Informationen 71

On-Demand-Scans, konfigurieren 70

Optionen, unerwünschte Programme 63

Potenziell unerwünschte Programme, erkennen 62

Verwalten 49

TIE ServerInformationen 106

über Bridge-Computer verbinden 106

TrojanerErkennungen beim Scannen 42, 44

Informationen 48

UÜbermitteln von Dateien zur weiteren Analyse

Advanced Threat Defense 109

Product Improvement Program 109

untergeordnete Regeln, Zugriffsschutzausschließen und einschließen 59

bewerten mit Parametern 59

Upgrades, Client-Software-Komponenten 8URLs

ausschließen aus Skript-Scans 50

Ausschließen von Skript-Scans 65

unbekannte blockieren 98

VVertrauenslogik, On-Access-Scans optimieren 66

Vertrauenswürdige Installationsprogramme, scannen 65

VerwaltungstypenAnzeigen 20

Informationen 20

VirenErkennungen beim Scannen 42, 44

Informationen 48


Signaturen 9vollständiger Scan


Vollständiger ScanAusführen in Endpoint Security Client 42

Informationen 41

Konfigurieren 70

VollzugriffsmodusFirewall-Optionen ändern 78

Richtlinieneinstellungen 14

Vom Administrator hinzugefügte Regelgruppe, Firewall 86

Vom Benutzer hinzugefügte Regelgruppe, Firewall 86, 87

von McAfee definierte Regeln, Zugriffsschutz 54

Von Windows festgelegte Prioritätseinstellung 74

vordefinierte Firewall-Regelgruppen 86

VorrangFirewall-Gruppen 83

Firewall-Regeln 81

WWarnungen, Bedrohungsschutz


Warnungen, Firewall 11

Warnungen, Threat PreventionOn-Demand-Scan – Überblick 71

Web ControlSite-Berichte 94

Sprechblasen und Symbole 98

Suchmaschinen und Sicherheitssymbole 94

Symbole, Beschreibung 94

Verwalten 98

Webkategorien, blockieren oder warnen 101

Webkategorien, blockieren oder warnen basierend auf 101

Webkontrolleaktivieren 98

Index


Webkontrolle (Fortsetzung)Aktivitätsprotokoll 23



Funktionen 91

Informationen 7Informationen zu einer Site anzeigen 97

konfigurieren 98

Menü 93


Protokolldateien 23

Schaltflächen, Beschreibung 93

Site-Berichte anzeigen 97

und blockierte Sites 92

und Sites, vor denen gewarnt wurde 92

wie Datei-Downloads gescannt werden 100

WebsitesSchutz beim Surfen 93

Schutz während der Suche 94

Sicherheitsbewertungen 95

Webkontrolle-Site-Berichte anzeigen 97

Websites, blockierenbasierend auf Bewertungen 101


basierend auf Webkategorie 101

nicht bewertet oder unbekannt 98

riskante Websites in Suchergebnissen 98

Websites, warnenbasierend auf Bewertungen 101

Websites, Warnungbasierend auf Sicherheitsbewertungen 102

Websites, Zugriff steuernmit Sicherheitsbewertungen 102

mit Webkategorien 101

Windows 8 und 10Informationen zu Benachrichtigungen 11

Windows 8 und 10Öffnen des Endpoint Security Client 17

Windows 8 und 10 (Fortsetzung)Reaktion auf Aufforderungen bei erkannten Bedrohungen

18

Windows Store-Apps, Bedrohungen erkennen 66, 71

Workflow-Beispiele 108

Feststellen und Beobachten der Dateiverbreitung 108

Übermitteln von Dateien zur weiteren Analyse 109

Überwachen und Vornehmen von Anpassungen 108

YYahoo


Standard-Suchmaschine 98

Unterstützte Suchmaschine 94

ZZertifikate

Bestimmen von Reputationen 106

ZugriffsschutzBeispiele 52

benutzerdefinierte Regeln, Informationen 53

benutzerdefinierte Regeln, konfigurieren 58

Informationen 51

Protokolldateien 23

Protokolle, beschränken 53

Prozesse ausschließen 50

Prozesse, einschließen und ausschließen 53, 59

Richtlinien, Überblick 53

von McAfee definierte Regeln, Informationen 54

von McAfee definierte Regeln, konfigurieren 53

Zugriffssmodi, Endpoint Security-Client 14

Zulassen von Dateien und Zertifikaten 111

Index


0-15

Documents

McAfee Endpoint Security 10.1 Produkthandbuch · PDF file1 Einführung Endpoint Security ist eine umfassende Lösung zur Sicherheitsverwaltung, die auf Netzwerkcomputern ausgeführt