Upload
hoangkhanh
View
258
Download
2
Embed Size (px)
Citation preview
COPYRIGHT
Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
MARKENIntel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfeeActive Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global ThreatIntelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfeeTechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinenTochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.
LIZENZINFORMATIONEN
LIZENZVEREINBARUNGHINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIEALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHENSOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DERLIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE,DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKETHERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHTEINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHRENHÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.
2 McAfee Endpoint Security 10.1 Produkthandbuch
Inhaltsverzeichnis
McAfee Endpoint Security 5
1 Einführung 7Endpoint Security-Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7So schützt Endpoint Security Ihren Computer . . . . . . . . . . . . . . . . . . . . . . . 8
So bleibt Ihr Schutz auf dem neuesten Stand . . . . . . . . . . . . . . . . . . . . 8Interaktion mit Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Informationen zum McAfee-System-Taskleistensymbol . . . . . . . . . . . . . . . . 10Informationen zu Benachrichtigungen . . . . . . . . . . . . . . . . . . . . . . 11Informationen zum Endpoint Security-Client . . . . . . . . . . . . . . . . . . . . 12
2 Verwenden der Endpoint Security-Client 17Öffnen des Endpoint Security-Client . . . . . . . . . . . . . . . . . . . . . . . . . . 17Hilfe anfordern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Reagieren auf Aufforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Reagieren auf eine Aufforderung bei erkannter Bedrohung . . . . . . . . . . . . . . 18Reagieren auf eine Scan-Aufforderung . . . . . . . . . . . . . . . . . . . . . . 19Reagieren auf eine Aufforderung bei Datei-Reputation . . . . . . . . . . . . . . . . 19
Informationen zu Ihrem Schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Verwaltungstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Manuelles Aktualisieren von Schutz und Software . . . . . . . . . . . . . . . . . . . . . 21Zu aktualisierende Elemente . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Anzeigen des Ereignisprotokolls . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Informationen zu Protokolldateien . . . . . . . . . . . . . . . . . . . . . . . . 23
Verwalten von Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Anmelden als Administrator . . . . . . . . . . . . . . . . . . . . . . . . . . 25Entsperren der Client-Schnittstelle . . . . . . . . . . . . . . . . . . . . . . . . 26Deaktivieren und Aktivieren von Funktionen . . . . . . . . . . . . . . . . . . . . 26Ändern der AMCore Content-Version . . . . . . . . . . . . . . . . . . . . . . . 27Verwenden von EXTRA.DAT-Dateien . . . . . . . . . . . . . . . . . . . . . . . 28Konfigurieren gemeinsamer Einstellungen . . . . . . . . . . . . . . . . . . . . . 29Konfigurieren des Aktualisierungsverhaltens . . . . . . . . . . . . . . . . . . . . 33
3 Verwenden von Bedrohungsschutz 41Scannen Ihres Computers auf Malware . . . . . . . . . . . . . . . . . . . . . . . . . 41
Scan-Typen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Ausführen eines vollständigen Scans oder Schnellscans . . . . . . . . . . . . . . . 42Scannen einer Datei oder eines Ordners . . . . . . . . . . . . . . . . . . . . . 44
Verwalten von erkannten Bedrohungen . . . . . . . . . . . . . . . . . . . . . . . . . 45Verwalten von isolierten Elementen . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Erkennungsnamen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Erneutes Scannen isolierter Elemente . . . . . . . . . . . . . . . . . . . . . . 49
Verwalten von Bedrohungsschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Konfigurieren von Ausschlüssen . . . . . . . . . . . . . . . . . . . . . . . . . 50Schützen der Systemzugriffspunkte . . . . . . . . . . . . . . . . . . . . . . . 51
McAfee Endpoint Security 10.1 Produkthandbuch 3
Blockieren von Buffer Overflow-Exploits . . . . . . . . . . . . . . . . . . . . . . 60Erkennen von potenziell unerwünschten Programmen . . . . . . . . . . . . . . . . 62Konfigurieren gemeinsamer Scan-Einstellungen . . . . . . . . . . . . . . . . . . 65Konfigurieren von Richtlinieneinstellungen für . . . . . . . . . . . . . . . . . . . 65Konfigurieren Sie die für den On-Demand-Scan . . . . . . . . . . . . . . . . . . 70Konfigurieren, Planen und Ausführen von Scan-Tasks . . . . . . . . . . . . . . . . 75
4 Verwenden von Firewall 77Firewall – Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Aktivieren oder Anzeigen von zeitbeschränkten Firewall-Gruppen . . . . . . . . . . . . . . 77Verwalten der Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Ändern von Firewall-Optionen . . . . . . . . . . . . . . . . . . . . . . . . . . 78Konfigurieren Sie Firewall-Regeln und -Gruppen . . . . . . . . . . . . . . . . . . 81
5 Verwenden der Webkontrolle 91Informationen zu Webkontrolle-Funktionen . . . . . . . . . . . . . . . . . . . . . . . 91
Blockieren oder Warnen bezüglich Sites und Downloads durch die Webkontrolle . . . . . 92Identifizieren von Bedrohungen durch die Webkontrolle-Schaltfläche beim Surfen . . . . . 93Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen . . . . . . . . . . . . 94Site-Berichte für Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94So werden Sicherheitsbewertungen kompiliert . . . . . . . . . . . . . . . . . . . 95
Zugreifen auf Webkontrolle-Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . 96Aktivieren des Webkontrolle-Plug-Ins über den Browser . . . . . . . . . . . . . . . 96Anzeigen von Informationen zu einer Site beim Surfen . . . . . . . . . . . . . . . 97Site-Bericht während der Suche anzeigen . . . . . . . . . . . . . . . . . . . . . 98
Verwalten von Webkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Konfigurieren von Webkontrolle-Optionen . . . . . . . . . . . . . . . . . . . . . 98Angeben von Bewertungsaktionen und Blockieren des Site-Zugriffs basierend auf derWebkategorie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
6 Verwenden von Bedrohungsabwehrdaten 103Funktionsweise von Bedrohungsabwehrdaten . . . . . . . . . . . . . . . . . . . . . . 103Verwalten von Bedrohungsabwehrdaten . . . . . . . . . . . . . . . . . . . . . . . . 104
Informationen zu Bedrohungsabwehrdaten . . . . . . . . . . . . . . . . . . . . 104Konfigurieren von Bedrohungsabwehrdaten-Optionen . . . . . . . . . . . . . . . 110
Index 181
Inhaltsverzeichnis
4 McAfee Endpoint Security 10.1 Produkthandbuch
McAfee Endpoint Security
McAfee®
Endpoint Security ist eine umfassende Lösung zur Sicherheitsverwaltung, die aufNetzwerkcomputern ausgeführt wird, um Bedrohungen automatisch zu identifizieren und zu stoppen.In dieser Hilfe finden Sie Informationen über die Verwendung der grundlegendenSicherheitsfunktionen und die Fehlerbehebung bei Problemen.
Erste Schritte
• Endpoint Security-Module auf Seite 7
• So schützt Endpoint Security Ihren Computer auf Seite 8
• Interaktion mit Endpoint Security auf Seite 9
Häufig durchgeführte Tasks
• Öffnen des Endpoint Security-Client auf Seite 17
• Manuelles Aktualisieren von Schutz und Software auf Seite 21
• Scannen Ihres Computers auf Malware auf Seite 41
• Entsperren der Client-Schnittstelle auf Seite 26
Weitere Informationen
Zusätzliche Informationen zu diesem Produkt finden Sie unter:
• McAfee EndpointSecurity-Installationshandbuch
• Endpoint Security-Firewall-Hilfe
• McAfee EndpointSecurity-Migrationshandbuch
• Endpoint Security-Webkontrolle-Hilfe
• McAfee Endpoint Security-Versionshinweise • EndpointSecurity-Bedrohungsabwehrdaten-Hilfe
• Endpoint Security-Bedrohungsschutz-Hilfe • McAfee-Support
McAfee Endpoint Security 10.1 Produkthandbuch 5
1 Einführung
Endpoint Security ist eine umfassende Lösung zur Sicherheitsverwaltung, die auf Netzwerkcomputernausgeführt wird, um Bedrohungen automatisch zu identifizieren und zu stoppen. In dieser Hilfe findenSie Informationen über die Verwendung der grundlegenden Sicherheitsfunktionen und dieFehlerbehebung bei Problemen.
Wenn Ihr Computer verwaltet ist, richtet ein Administrator Endpoint Security ein und konfiguriert esmithilfe eines dieser Management-Servers:
• McAfee® ePolicy Orchestrator® (McAfee ePO™)
• McAfee® ePolicy Orchestrator® Cloud (McAfee ePO™ Cloud)
Wenn Ihr Computer selbstverwaltet ist, können Sie (oder Ihr Administrator) die Software mithilfe desEndpoint Security-Client konfigurieren.
Das Bedrohungsabwehrdaten-Modul wird nur auf von McAfee ePO verwalteten Systemen unterstützt.
Inhalt Endpoint Security-Module So schützt Endpoint Security Ihren Computer Interaktion mit Endpoint Security
Endpoint Security-ModuleDer Administrator konfiguriert und installiert ein oder mehrere Endpoint Security-Module aufClient-Computern.
• Bedrohungsschutz: Prüft auf Viren, Spyware, unerwünschte Programme und andereBedrohungen, indem er Elemente automatisch scannt, wenn Benutzer darauf zugreifen oder dieseanfordern.
• Firewall: Überwacht die Kommunikation zwischen dem Computer und Ressourcen im Netzwerkund im Internet. Fängt verdächtige Kommunikationsvorgänge ab.
• Webkontrolle: Zeigt während des Browsens und der Suche im Internet Sicherheitsbewertungenund Berichte für Websites an. Mit der Webkontrolle kann der Site-Administrator den Zugriff aufWebsites blockieren, basierend auf Sicherheitsbewertungen oder Inhalt.
• Bedrohungsabwehrdaten: Stellt eine kontextbewusste und anpassbare Sicherheitslösung fürIhre Netzwerkumgebung dar. Bedrohungsabwehrdaten analysiert Inhalte des Unternehmens undentscheidet basierend auf der Reputation einer Datei sowie den von Ihrem Administratorfestgelegten Kriterien.
Das Bedrohungsabwehrdaten-Modul wird nur auf von McAfee ePO verwalteten Systemenunterstützt.
1
McAfee Endpoint Security 10.1 Produkthandbuch 7
Außerdem bietet das Modul Allgemeingültig Einstellungen für allgemeingültige Einstellungen wieSchnittstellensicherheit und Protokollierung. Dieses Modul wird automatisch bei Installation einesanderen Moduls installiert.
So schützt Endpoint Security Ihren ComputerÜblicherweise richtet ein Administrator Endpoint Security ein, installiert die Software aufClient-Computern, überwacht den Sicherheitsstatus und richtet Sicherheitsregeln, sogenannteRichtlinien, ein.
Als Benutzer eines Client-Computers interagieren Sie über eine auf Ihrem Computer installierteClient-Software mit Endpoint Security. Die vom Administrator definierten Richtlinien legen fest, wie dieModule und Funktionen auf Ihrem Computer ausgeführt werden, und ob Sie sie modifizieren können.
Wenn Endpoint Security selbstverwaltet ist, können Sie festlegen, wie die Module und Funktionenausgeführt werden sollen. Informationen zur Ermittlung Ihres Verwaltungstyps finden Sie auf derInformationsseite.
In regelmäßigen Abständen stellt die Client-Software auf Ihrem Computer eine Verbindung mit einerWebsite her, um ihre Komponenten zu aktualisieren. Gleichzeitig sendet sie Daten über Erkennungenauf Ihrem Computer an den Management-Server. Anhand dieser Daten werden Berichte überErkennungen und Sicherheitsprobleme auf Ihrem Computer für Ihren Administrator erstellt.
In der Regel wird die Client-Software ohne Ihr Zutun im Hintergrund ausgeführt. Es kann jedochvorkommen, dass Sie eine Auswahl treffen müssen. Beispielsweise könnten Sie unter bestimmtenUmständen manuell nach Software-Aktualisierungen suchen oder auf Malware scannen. Abhängig vonden Richtlinien, die von Ihrem Administrator festgelegt wurden, können Sie möglicherweise auch dieSicherheitseinstellungen anpassen.
Falls Sie ein Administrator sind, können Sie mithilfe von McAfee ePO oder McAfee ePO Cloud dieClient-Software zentral verwalten und konfigurieren.
Siehe auch Informationen zu Ihrem Schutz auf Seite 20
So bleibt Ihr Schutz auf dem neuesten StandRegelmäßige Aktualisierungen von Endpoint Security stellen sicher, dass Ihr Computer immer vor denneuesten Bedrohungen geschützt ist.
Für Aktualisierungen stellt die Client-Software eine Verbindung zu einem lokalen oder Remote-Servervon McAfee ePO oder direkt zu einer Site im Internet her. Endpoint Security sucht nach:
• Aktualisierungen der Content-Dateien, die zur Erkennung von Bedrohungen verwendet werden.Content-Dateien enthalten Definitionen für Bedrohungen wie Viren und Spyware. Diese Definitionenwerden aktualisiert, wenn neue Bedrohungen erkannt werden.
• Upgrades für Software-Komponenten wie Patches und HotFixes.
Zur Vereinfachung der Terminologie wird in dieser Hilfe sowohl für Aktualisierungen als auch fürUpgrades der Begriff Aktualisierungen verwendet.
Aktualisierungen werden gewöhnlich automatisch im Hintergrund ausgeführt. Möglicherweise müssenSie auch manuell nach Aktualisierungen suchen. Je nach Einstellungen können Sie Ihren Schutz
manuell vomEndpoint Security-Client aus aktualisieren, indem Sie auf klicken.
1 EinführungSo schützt Endpoint Security Ihren Computer
8 McAfee Endpoint Security 10.1 Produkthandbuch
Siehe auch Manuelles Aktualisieren von Schutz und Software auf Seite 21
Funktionsweise von Content-DateienWenn das Scan-Modul Dateien nach Bedrohungen durchsucht, vergleicht es den Inhalt der gescanntenDateien mit bekannten Bedrohungsinformationen, die in AMCore Content-Dateien gespeichert sind.Der Exploit-Schutz verwendet seine eigenen Content-Dateien als Schutz vor Exploits.
AMCore Content
McAfee Labs findet Informationen (Signaturen) zu bekannten Bedrohungen und fügt diese denContent-Dateien hinzu. Content-Dateien enthalten neben Signaturen Informationen zum Säubern undEntgegenwirken des vom erkannten Virus verursachten Schadens.
Wenn sich die Signatur eines Virus in keiner installierten Content-Datei befindet, kann das Scan-Moduldiesen Virus nicht erkennen und säubern.
Es treten regelmäßig neue Bedrohungen auf. McAfee Labs veröffentlicht Modulaktualisierungen undneue Content-Dateien, durch die die Ergebnisse der ständigen Untersuchung von Bedrohungen fasttäglich um 18:00 Uhr (GMT) integriert werden .
Endpoint Security speichert die aktuell geladene Content-Datei und die vorherigen zwei Versionen imOrdner Programme\Gemeinsame Dateien\McAfee\Engine\content. Bei Bedarf können Sie eine frühereVersion wiederherstellen.
Wenn neue Malware entdeckt wird und eine zusätzliche Erkennung außerhalb des regulärenContent-Aktualisierungszeitplan nötig ist, veröffentlicht McAfee Labs eine EXTRA.DAT-Datei.
Exploit-Schutz-Content-Datei
Die Exploit-Schutz-Content-Datei enthält:
• Speicherschutz-Signaturen – Generischer Buffer Overflow-Schutz (GBOP) und gezielteAPI-Überwachung.
• Anwendungsschutzliste – Prozesse, die der Exploit-Schutz schützt.
McAfee veröffentlicht einmal im Monat neue Exploit-Schutz-Content-Dateien.
Interaktion mit Endpoint SecurityEndpoint Security verfügt über zwei visuelle Komponenten zur Interaktion mit dem EndpointSecurity-Client.
• McAfee-Symbol in der Windows-Taskleiste – Damit können Sie den Endpoint Security-Client startenund den Sicherheitsstatus anzeigen.
• Benachrichtigungen – Warnt Sie bei Erkennung von Firewall-Eindringungsversuchen sowie Dateienmit unbekannter Reputation und fordert Sie zu einem Scan oder einer Eingabe auf.
• On-Access-Scan-Seite – Zeigt die Liste mit erkannten Bedrohungen an, wenn derOn-Access-Scanner eine Bedrohung erkannt hat.
• Endpoint Security-Client – Zeigt den aktuellen Schutzstatus an und bietet Zugriff auf Funktionen.
Für verwaltete Systeme konfiguriert der Administrator Richtlinien, um die angezeigten Komponentenfestzulegen und weist diese zu.
EinführungInteraktion mit Endpoint Security 1
McAfee Endpoint Security 10.1 Produkthandbuch 9
Siehe auch Informationen zum McAfee-System-Taskleistensymbol auf Seite 10Informationen zu Benachrichtigungen auf Seite 11Verwalten von erkannten Bedrohungen auf Seite 45Informationen zum Endpoint Security-Client auf Seite 12
Informationen zum McAfee-System-TaskleistensymbolÜber das McAfee-Symbol in der Windows-Taskleiste können Sie auf den Endpoint Security-Client undeinige grundlegende Tasks zugreifen.
Das McAfee-Symbol ist je nach konfigurierten Einstellungen möglicherweise nicht verfügbar.
Verwenden Sie das McAfee-Taskleistensymbol für folgende Aufgaben:
Sicherheitsstatusüberprüfen
Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen SieSicherheitsstatus anzeigen aus, um die Seite McAfee-Sicherheitsstatus anzuzeigen.
EndpointSecurity-Client öffnen
Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen Sie McAfeeEndpoint Security aus.
Schutz und Softwaremanuell aktualisieren
Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen SieSicherheit aktualisieren aus.Siehe Zu aktualisierende Elemente auf Seite 22.
ZeitbeschränkteFirewall-Gruppenaktivieren oderanzeigen
Klicken Sie mit der rechten Maustaste auf das Symbol, und wählen Sie ausdem Menü Schnellkonfiguration eine Option aus:• Zeitbeschränkte Firewall-Gruppen aktivieren – aktiviert zeitbeschränkte Gruppen für
einen festgelegten Zeitraum, um den Nicht-Netzwerkzugriff auf dasInternet zuzulassen, bevor Regeln angewendet werden, die den Zugriffbeschränken.
Bei jeder Auswahl dieser Option wird die Zeit für die Gruppenzurückgesetzt.
• Zeitbeschränkte Firewall-Gruppen anzeigen – zeigt die Namen der zeitbeschränktenGruppen und die verbleibende Zeit, für die die einzelnen Gruppen aktivsind, an.
Diese Optionen sind je nach konfigurierten Einstellungen möglicherweisenicht verfügbar.
So erkennen Sie den Status von Endpoint Security am Symbol
Der Status von Endpoint Security lässt sich am Anzeigebild des Symbols ablesen. Bewegen Sie denCursor über das Symbol, um eine Nachricht mit einer Beschreibung des Status anzuzeigen.
1 EinführungInteraktion mit Endpoint Security
10 McAfee Endpoint Security 10.1 Produkthandbuch
Symbol Zeigt Folgendes an...
Endpoint Security schützt Ihr System. Es sind keine Probleme vorhanden.
Endpoint Security erkennt ein Problem mit Ihrer Sicherheit, etwa dass ein Modul oder eineTechnologie deaktiviert ist.• Firewall ist deaktiviert.
• Bedrohungsschutz – Exploit-Schutz, On-Access-Scan oder ScriptScan ist deaktiviert.
Endpoint Security meldet Probleme auf andere Weise, je nach dem Verwaltungstyp.• Selbstverwaltet:
• Eine oder mehrere Technologien sind deaktiviert.
• Eine oder mehrere Technologien antworten nicht.
• Verwaltet:
• Eine oder mehrere Technologien sind deaktiviert, und zwar nicht als Ergebnis einerRichtlinienerzwingung durch den Management-Server oder den EndpointSecurity-Client.
• Eine oder mehrere Technologien antworten nicht.
Wenn ein Problem erkannt wird, zeigt die Seite McAfee-Sicherheitsstatus an, welches Modul oderwelche Technologie deaktiviert ist.
Siehe auch Zu aktualisierende Elemente auf Seite 22
Informationen zu BenachrichtigungenEndpoint Security verwendet zwei Arten von Benachrichtigungen, um Sie über Probleme mit IhremSchutz zu informieren oder Eingaben anzufragen. Einige Benachrichtigungen werden möglicherweisenicht angezeigt, je nach Konfiguration.
Der Vorgang "McTray.exe" muss für Endpoint Security ausgeführt werden, damit Benachrichtigungenangezeigt werden können.
Endpoint Security sendet zwei Arten von Benachrichtigungen:
• Warnungen werden fünf Sekunden lang als Pop-Up-Meldungen über drm McAfee-Symbolangezeigt und dann wieder ausgeblendet.
Warnungen benachrichtigen Sie über erkannte Bedrohungen, etwa Firewall-Eindringungsereignisseoder wenn ein On-Demand-Scan angehalten bzw. fortgesetzt wird. Es sind keine ReaktionenIhrerseits erforderlich.
• Eingabeaufforderungen öffnen eine Seite am unteren Rand Ihres Bildschirms und bleibensolange sichtbar, bis Sie eine Option wählen.
EinführungInteraktion mit Endpoint Security 1
McAfee Endpoint Security 10.1 Produkthandbuch 11
Beispiel:
• Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von Endpoint Securitymöglicherweise eine Aufforderung, den Scan zu verschieben.
• Wenn der On-Access-Scanner eine Bedrohung erkennt, erhalten Sie möglicherweise vonEndpoint Security die Aufforderung, auf die Erkennung zu reagieren.
• Wenn Bedrohungsabwehrdaten eine Datei mit unbekannter Reputation erkennt, werden Sie vonEndpoint Security möglicherweise dazu aufgefordert, die Datei zuzulassen oder zu blockieren.
In Windows 8 und 10 werden Pop-Up-Benachrichtigungen angezeigt, um Sie über Warnungen undAufforderungen zu informieren. Klicken Sie auf die Pop-Up-Benachrichtigung, um sie im Desktopmodusanzuzeigen.
Siehe auch Reagieren auf eine Aufforderung bei erkannter Bedrohung auf Seite 18Reagieren auf eine Scan-Aufforderung auf Seite 19Reagieren auf eine Aufforderung bei Datei-Reputation auf Seite 19
Informationen zum Endpoint Security-ClientMit dem Endpoint Security-Client können Sie den Schutzstatus überprüfen und auf Funktionen aufIhrem Computer zugreifen.
• Optionen im Menü Aktionen bieten Zugriff auf Funktionen.
Einstellungen Konfiguriert Funktionseinstellungen.Diese Menüoption ist verfügbar, wenn eine der folgenden Möglichkeitenzutrifft:
• Der Client-Schnittstellen-Modus auf Vollzugriff gesetzt ist.
• Sie als Administrator angemeldet sind.
Extra.DAT-Dateien laden Lässt Sie eine heruntergeladene EXTRA.DAT-Datei installieren.
Rollback von AMCore Content Setzt den AMCore Content auf eine frühere Version zurück.Diese Menüoption ist verfügbar, wenn eine frühere Version von AMCoreContent auf dem System vorhanden ist und wenn eine der folgendenMöglichkeiten zutrifft:
• Der Client-Schnittstellen-Modus auf Vollzugriff gesetzt ist.
• Sie als Administrator angemeldet sind.
Hilfe Zeigt Hilfe an.
Support-Links Zeigt eine Seite mit Links zu hilfreichen Seiten an wie das McAfeeServicePortal und das Knowledge Center.
Administratoranmeldung Für die Anmeldung als Website-Administrator. (Die Anmeldeinformationendes Administrators sind erforderlich.)Das Standardkennwort ist mcafee.
Diese Menüoption ist verfügbar, wenn der Client-Schnittstellen-Modus aufVollzugriff gesetzt ist. Wenn Sie schon als Administrator angemeldet sind,ist diese Option Administratorabmeldung.
Informationen Zeigt Informationen zu Endpoint Security an.
Beenden Beendet den Endpoint Security-Client.
1 EinführungInteraktion mit Endpoint Security
12 McAfee Endpoint Security 10.1 Produkthandbuch
• Schaltflächen rechts oben auf der Seite bieten schnellen Zugriff auf häufig verwendete Tasks.
Überprüfung Ihres Systems auf Malware mit einem vollständigen Scanoder Schnellscan.
Diese Schaltfläche ist nur verfügbar, wenn das Bedrohungsschutz-Modulinstalliert ist.
Aktualisiert Content-Dateien und Software-Komponenten auf IhremComputer.
Diese Schaltfläche wird möglicherweise nicht angezeigt, je nachKonfiguration.
• Die Schaltflächen links auf der Seite bieten Informationen zu Ihrem Schutz.
Status Bringt Sie zurück zur Status-Hauptseite.
Ereignisprotokoll Zeigt das Protokoll aller Schutz- und Bedrohungsereignisse auf diesem Computeran.
Quarantäne Öffnet den Quarantäne-Manager.
Diese Schaltfläche ist nur verfügbar, wenn das Bedrohungsschutz-Modul installiertist.
• Die Bedrohungszusammenfassung bietet Informationen zu Bedrohungen, die Endpoint Security inIhrem System während der letzten 30 Tage erkannt hat.
Siehe auch Laden einer EXTRA.DAT-Datei auf Seite 29Anmelden als Administrator auf Seite 25Scannen Ihres Computers auf Malware auf Seite 41Manuelles Aktualisieren von Schutz und Software auf Seite 21Anzeigen des Ereignisprotokolls auf Seite 22Verwalten von isolierten Elementen auf Seite 46Verwalten von Endpoint Security auf Seite 25Informationen zur Bedrohungszusammenfassung auf Seite 13
Informationen zur BedrohungszusammenfassungDie Endpoint Security-Client-Statusseite bietet eine Zusammenfassung in Echtzeit von allenBedrohungen, die in Ihrem System während der letzten 30 Tage erkannt wurden.
Wenn neue Bedrohungen erkannt werden, aktualisiert die Statusseite dynamisch im unteren Bereichunter Bedrohungszusammenfassung die Daten.
EinführungInteraktion mit Endpoint Security 1
McAfee Endpoint Security 10.1 Produkthandbuch 13
Die Bedrohungszusammenfassung beinhaltet:
• Datum der letzten eliminierten Bedrohung
• Die zwei häufigsten Bedrohungsvektoren nach Kategorie:
Web Bedrohungen aus Webseiten oder Downloads.
Externes Gerät oder Medien Bedrohungen aus externen Geräten, wie USB, Firewire 1394, eSATA, Band,CD, DVD oder Diskette.
Netzwerk Bedrohungen aus dem Netzwerk (nicht aus Netzwerkdateifreigaben).
Lokales System Bedrohungen aus dem Laufwerk des lokalen Startdateisystems (gewöhnlichC:) oder aus anderen Laufwerken, die nicht unter Externes Gerät oderMedien fallen.
Dateifreigabe Bedrohungen aus einer Netzwerkdateifreigabe.
E-Mail Bedrohungen aus E-Mail-Nachrichten.
Instant Message Bedrohungen durch Instant Messaging.
Unbekannt Bedrohungen, wo der Angriffsvektor nicht ermittelt werden kann (aufgrundeines Fehlers oder anderen Versagens).
• Anzahl der Bedrohungen pro Bedrohungsvektor
Wenn der Endpoint Security-Client den Ereignis-Manager nicht erreichen kann, zeigt EndpointSecurity-Client eine Kommunikationsfehlermeldung an. Starten Sie in diesem Fall Ihr System neu, umdie Bedrohungszusammenfassung anzuzeigen.
Auswirkungen von Einstellungen auf den ClientDie Ihrem Computer zugewiesene Einstellungen für den Client-Schnittstellen-Modus legen fest, aufwelche Module und Funktionen Sie zugreifen können.
Ändern Sie den Client-Schnittstellen-Modus in den Allgemeingültig Einstellungen.
Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee ePO die Änderungen von derSeite Einstellungen überschreiben.
Die Optionen für den Client-Schnittstellen-Modus sind folgende:
1 EinführungInteraktion mit Endpoint Security
14 McAfee Endpoint Security 10.1 Produkthandbuch
Vollzugriff Ermöglicht den Zugriff auf alle Funktionen, darunter:• Aktivieren und Deaktivieren einzelner Module und Funktionen.
• Zugriff auf die Seite Einstellungen, um alle Einstellungen für den EndpointSecurity-Client anzuzeigen oder zu ändern.
Dieser Modus ist die Standardeinstellung für selbstverwaltete Systeme.
Standardzugriff Zeigt den Schutzstatus an und bietet Zugriff auf die meisten Funktionen:• Aktualisiert die Content-Dateien und Software-Komponenten auf Ihrem
Computer (wenn vom Administrator aktiviert).
• Ausführen einer gründlichen Überprüfung aller Bereiche auf Ihrem System(empfohlen, wenn Sie vermuten, dass Ihr Computer infiziert ist).
• Ausführen einer schnellen (zweiminütigen) Überprüfung der für Infektionenbesonders anfälligen Systembereiche.
• Zugreifen auf das Ereignisprotokoll.
• Verwalten der Elemente in der Quarantäne.
Dieser Modus ist die Standardeinstellung für durch McAfee ePO oder McAfeeePO Cloud verwaltete Systeme.
Wenn der Schnittstellenmodus auf Standardzugriff gesetzt ist, können Sie sich alsAdministrator anmelden, um auf alle Funktionen, einschließlich Einstellungen,zuzugreifen.
Client-Benutzeroberflächesperren
Erfordert ein Kennwort für den Zugriff auf den Client.Das Standardkennwort ist mcafee.
Sobald Sie die Client-Schnittstelle entsperrt haben, können Sie auf alleFunktionen zugreifen.
Wenn Sie nicht auf den Endpoint Security-Client oder bestimmte Tasks und Funktionen zugreifenkönnen, die Sie für Ihre Arbeit benötigen, wenden Sie sich an Ihren Administrator.
Siehe auch Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit auf Seite 31
Auswirkungen der Module auf den Client Einige Aspekte des Clients sind möglicherweise nicht verfügbar, je nach den auf Ihrem Computerinstallierten Modulen.
Diese Funktionen sind nur verfügbar, wenn der Bedrohungsschutz installiert ist:
•-Schaltfläche
• Quarantäne-Schaltfläche
EinführungInteraktion mit Endpoint Security 1
McAfee Endpoint Security 10.1 Produkthandbuch 15
Die auf dem System installierten Funktionen entscheiden über die angezeigten Funktionen:
• Im Dropdown-Menü Ereignisprotokoll Nach Modul filtern.
• Auf der Seite Einstellungen.
Allgemeingültig Wird angezeigt, wenn ein Modul installiert ist.
Bedrohungsschutz Wird nur angezeigt, wenn der Bedrohungsschutz installiert ist.
Firewall Wird nur angezeigt, wenn die Firewall installiert ist.
Webkontrolle Wird nur angezeigt, wenn die Webkontrolle installiert ist.
Bedrohungsabwehrdaten Wird nur angezeigt, wenn Bedrohungsabwehrdaten und derBedrohungsschutz installiert sind.
Das Bedrohungsabwehrdaten-Modul wird nur auf von McAfee ePOverwalteten Systemen unterstützt.
Für Bedrohungsabwehrdaten muss Bedrohungsschutz installiert sein.
Je nach Client-Schnittstellen-Modus und wie der Administrator Ihren Zugriff konfiguriert hat, sind einigeoder alle Funktion möglicherweise nicht verfügbar.
Siehe auch Auswirkungen von Einstellungen auf den Client auf Seite 14
1 EinführungInteraktion mit Endpoint Security
16 McAfee Endpoint Security 10.1 Produkthandbuch
2 Verwenden der Endpoint Security-Client
Verwenden Sie den Client zum Ausführen der meisten Funktionen wie System-Scans und Verwaltenvon isolierten Elementen im Standardzugriffsmodus.
Inhalt Öffnen des Endpoint Security-Client Hilfe anfordern Reagieren auf Aufforderungen Informationen zu Ihrem Schutz Manuelles Aktualisieren von Schutz und Software Anzeigen des Ereignisprotokolls Verwalten von Endpoint Security
Öffnen des Endpoint Security-ClientÖffnen Sie den Endpoint Security-Client, um den Status der auf dem Computer installiertenSchutzfunktionen anzuzeigen.
Wenn der Schnittstellenmodus auf Client-Benutzeroberfläche sperren eingestellt ist, müssen Sie dasAdministratorkennwort eingeben, um den Endpoint Security-Client zu öffnen.
Vorgehensweise1 Verwenden Sie eine der folgenden Methoden zur Anzeige vom Endpoint Security-Client:
• Klicken Sie mit der rechten Maustaste auf das System-Taskleistensymbol, und wählen Sie dannMcAfee Endpoint Security.
• Wählen Sie Start | Alle Programme | McAfee | McAfee Endpoint Securityaus.
• Starten Sie unter Windows 8 und 10 die McAfee Endpoint Security-App.
1 Drücken Sie die Windows-Taste.
2 Geben Sie im Suchfeld McAfee Endpoint Security ein, und doppelklicken Sie dann auf dieMcAfee Endpoint Security-App oder tippen Sie darauf.
2 Geben Sie auf Aufforderung auf der Seite Administratoranmeldung das Administratorkennwort ein, undklicken Sie dann auf Anmelden.
Der Endpoint Security-Client wird im Schnittstellenmodus geöffnet, den der Administrator konfigurierthat.
Siehe auch Entsperren der Client-Schnittstelle auf Seite 26
2
McAfee Endpoint Security 10.1 Produkthandbuch 17
Hilfe anfordernBei der Arbeit auf dem Client können Sie Hilfethemen entweder über die Menüoption Hilfe oder überdas Symbol ? aufrufen.
Vorgehensweise1 Öffnen Sie den Endpoint Security-Client.
2 Je nach der Seite, auf der Sie sich befinden:
• Seiten Status, Ereignisprotokoll und Quarantäne: Wählen Sie im Menü Aktion Hilfe.
• Seiten Einstellungen, Aktualisierung, System scannen, Roll Back von AMCore Content und EXTRA.DAT-Dateien laden:Klicken Sie auf ? auf der Benutzeroberfläche.
Reagieren auf AufforderungenWenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie je nach Konfigurierung derEinstellungen von Endpoint Security möglicherweise eine Aufforderung, per Eingabe fortzufahren.
Aufgaben• Reagieren auf eine Aufforderung bei erkannter Bedrohung auf Seite 18
Wenn ein Scanner eine Bedrohung erkennt, werden Sie je nach den konfiguriertenEinstellungen möglicherweise von Endpoint Security aufgefordert, per Eingabe fortzufahren.
• Reagieren auf eine Scan-Aufforderung auf Seite 19Wenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von EndpointSecurity möglicherweise eine Aufforderung, per Eingabe fortzufahren. Die Aufforderungwird nur angezeigt, wenn der Scan so konfiguriert ist, dass Sie den Scan verschieben,anhalten, fortsetzen oder abbrechen dürfen.
• Reagieren auf eine Aufforderung bei Datei-Reputation auf Seite 19Wenn versucht wird, eine Datei mit einer bestimmten Reputation auf Ihrem Systemauszuführen, erhalten Sie von Endpoint Security möglicherweise eine Aufforderung, perEingabe fortzufahren. Die Eingabeaufforderung wird nur angezeigt, wenn dieBedrohungsabwehrdaten entsprechend konfiguriert sind.
Reagieren auf eine Aufforderung bei erkannter BedrohungWenn ein Scanner eine Bedrohung erkennt, werden Sie je nach den konfigurierten Einstellungenmöglicherweise von Endpoint Security aufgefordert, per Eingabe fortzufahren.
In Windows 8 und 10 werden Pop-Up-Benachrichtigungen angezeigt, um Sie über Warnungen undAufforderungen zu informieren. Klicken Sie auf die Pop-Up-Benachrichtigung, um sie im Desktopmodusanzuzeigen.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
• Wählen Sie auf der Seite On-Access-Scan Optionen, um erkannte Bedrohungen zu verwalten.
Sie können die Scan-Seite erneut öffnen, um erkannte Bedrohungen jederzeit zu verwalten.
Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der Endpoint Security-Dienst oder dasSystem neu gestartet wird.
Siehe auch Verwalten von erkannten Bedrohungen auf Seite 45
2 Verwenden der Endpoint Security-ClientHilfe anfordern
18 McAfee Endpoint Security 10.1 Produkthandbuch
Reagieren auf eine Scan-AufforderungWenn ein geplanter On-Demand-Scan gestartet werden soll, erhalten Sie von Endpoint Securitymöglicherweise eine Aufforderung, per Eingabe fortzufahren. Die Aufforderung wird nur angezeigt,wenn der Scan so konfiguriert ist, dass Sie den Scan verschieben, anhalten, fortsetzen oder abbrechendürfen.
Wenn Sie keine Option auswählen, startet der Scan automatisch.
Nur in verwalteten Systemem: Wenn der Scan nur ausgeführt wird, wenn der Computer im Leerlaufist, zeigt Endpoint Security ein Dialogfeld an, wenn der Scan angehalten wurde. Bei entsprechenderKonfiguration können Sie angehaltene Scans auch fortsetzen oder sie zurücksetzen und nur ausführenlassen, wenn sich das System im Leerlauf befindet.
In Windows 8 und 10 werden Pop-Up-Benachrichtigungen angezeigt, um Sie über Warnungen undAufforderungen zu informieren. Klicken Sie auf die Pop-Up-Benachrichtigung, um sie im Desktopmodusanzuzeigen.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
• Wählen Sie bei Aufforderung eine der folgenden Optionen aus.
Die angezeigten Optionen sind abhängig von der Scan-Konfiguration.
Jetzt scannen Startet de Scan sofort.
Scan anzeigen Zeigt Erkennungen für laufende Scans an.
Scan anhalten Hält den Scan an. Je nach Konfiguration wird der Scan beim Klicken auf Scan anhaltenmöglicherweise zurückgesetzt und nur ausgeführt, wenn sich das System imLeerlauf befindet. Klicken Sie auf Scan fortsetzen, um den Scan an der Stellefortzusetzen, an der die Unterbrechung stattgefunden hat.
Scan fortsetzen Setzt einen angehaltenen Scan fort.
Scan abbrechen Bricht den Scan ab.
Scan verschieben Verschiebt den Scan für die festgelegte Anzahl an Stunden.
Optionen für den geplanten Scan legen fest, wie oft Sie den Scan eine Stunde langverschieben können. Sie können den Scan möglicherweise öfter als ein Malverschieben.
Schließen Schließt die Scan-Seite.
Wenn der Scanner eine Bedrohung erkennt, werden Sie je nach den konfigurierten Einstellungenmöglicherweise von Endpoint Security aufgefordert, eine Eingabe vorzunehmen, um fortzufahren.
Reagieren auf eine Aufforderung bei Datei-ReputationWenn versucht wird, eine Datei mit einer bestimmten Reputation auf Ihrem System auszuführen,erhalten Sie von Endpoint Security möglicherweise eine Aufforderung, per Eingabe fortzufahren. DieEingabeaufforderung wird nur angezeigt, wenn die Bedrohungsabwehrdaten entsprechend konfiguriertsind.
Das Bedrohungsabwehrdaten-Modul wird nur auf von McAfee ePO verwalteten Systemen unterstützt.
Der Administrator konfiguriert den Reputationsschwellenwert, bei dem eine Eingabeaufforderungangezeigt wird. Ist der Reputationsschwellenwert beispielsweise "Unbekannt", erhalten Sie vonEndpoint Security Eingabeaufforderungen für sämtliche Dateien mit unbekannter Reputation unddarunter.
Verwenden der Endpoint Security-ClientReagieren auf Aufforderungen 2
McAfee Endpoint Security 10.1 Produkthandbuch 19
Wenn Sie keine Option auswählen, führen die Bedrohungsabwehrdaten die vom Administratorkonfigurierte Standardaktion aus.
Die Eingabeaufforderung, Zeitüberschreitung und Standardaktion hängen von der Konfiguration derBedrohungsabwehrdaten ab.
In Windows 8 und 10 werden Pop-Up-Benachrichtigungen angezeigt, um Sie über Warnungen undAufforderungen zu informieren. Klicken Sie auf die Pop-Up-Benachrichtigung, um sie im Desktopmodusanzuzeigen.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 (Optional) Geben Sie in der Aufforderung eine Nachricht ein, die an den Administrator gesendetwerden soll.
Sie können diese Nachricht beispielsweise dazu verwenden, um die Datei zu beschreiben oder umIhre Entscheidung, die Datei auf Ihrem System zuzulassen oder zu blockieren, zu erläutern.
2 Klicken Sie auf Zulassen oder Blockieren
Zulassen Lässt die Datei zu.
Blockieren Blockiert die Datei auf Ihrem System.
Damit die Bedrohungsabwehrdaten für die Datei keine Aufforderung mehr anzeigt, wählen Sie DieseEntscheidung speichern aus.
Die Bedrohungsabwehrdaten führen die von Ihnen gewählte Aktion bzw. die Standardaktion durch undschließen das Aufforderungsfenster.
Informationen zu Ihrem SchutzSie können Informationen zu Ihrem Endpoint Security-Schutz abrufen, etwa zu Verwaltungstypen,Schutzmodulen, Funktionen, Status, Versionsnummern und Lizenzen.
Vorgehensweise
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion Informationen.
3 Klicken Sie links auf den Namen eines Moduls oder einer Funktion, um Informationen zum Elementanzuzeigen.
4 Klicken Sie auf die Browser-Schaltfläche Schließen, um die Seite Informationen zu schließen.
Siehe auch Verwaltungstypen auf Seite 20Öffnen des Endpoint Security-Client auf Seite 17
VerwaltungstypenDer Verwaltungstyp zeigt an, wie Endpoint Security verwaltet wird.
Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee ePO die Änderungen von derSeite Einstellungen überschreiben.
2 Verwenden der Endpoint Security-ClientInformationen zu Ihrem Schutz
20 McAfee Endpoint Security 10.1 Produkthandbuch
Verwaltungstyp Beschreibung
McAfee ePolicy Orchestrator Ein Administrator verwaltet Endpoint Security mithilfe von McAfeeePO (lokal).
McAfee ePolicy OrchestratorCloud
Ein Administrator verwaltet Endpoint Security mithilfe von McAfeeePO Cloud.
Selbstverwaltet Endpoint Security wird lokal mithilfe des Endpoint Security-Clientverwaltet. Dieser Modus wird auch als nicht verwaltet oderStandalone bezeichnet.
Manuelles Aktualisieren von Schutz und SoftwareSie können je nach Konfigurierung der Einstellungen manuell nach Aktualisierungen fürContent-Dateien und Software-Komponenten suchen und diese über den Endpoint Security-Clientherunterladen.Manuelle Aktualisierungen werden als On-Demand-Aktualisierungen bezeichnet.
Sie können auch manuelle Aktualisierungen über das McAfee-Taskleistensymbol durchführen. WeitereInformationen finden Sie unter Informationen zum McAfee-System-Taskleistensymbol auf Seite 10.
Endpoint Security unterstützt kein manuelles Abrufen und Kopieren aktualisierter Content-Dateien indas Client-System. Wenn Sie Unterstützung beim Aktualisieren auf eine bestimmte Inhaltsversionbenötigen, wenden Sie sich an den McAfee-Support .
Vorgehensweise1 Öffnen Sie den Endpoint Security-Client.
2Klicken Sie auf .
Wenn nicht im Client angezeigt wird, können Sie die Schaltfläche in denEinstellungen aktivieren. Weitere Informationen finden Sie unter Konfigurieren desStandardverhaltens für Aktualisierungen auf Seite 35.
Der Endpoint Security-Client sucht nach Aktualisierungen.
• Wenn Sie die Aktualisierung abbrechen möchten, wählen Sie Abbrechen.
Diese Option ist nur auf selbstverwalteten und von McAfee ePO verwalteten Systemen verfügbar.
• Wenn Ihr System auf dem neuesten Stand ist, wird die Seite Keine Aktualisierungen verfügbarangezeigt sowie das Datum und die Zeit der letzten Aktualisierung.
• Nach Abschluss der Aktualisierung werden auf der Seite das aktuelle Datum und die aktuelleUhrzeit als Zeitpunkt der letzten Aktualisierung angezeigt.
Alle Meldungen oder Fehler werden im Bereich Meldungen angezeigt.Zeigen Sie das Protokoll PackageManager_Activity.log oder PackageManager_Debug.log an.
3 Klicken Sie auf Schließen, um die Aktualisierungsseite zu schließen.
Siehe auch So bleibt Ihr Schutz auf dem neuesten Stand auf Seite 8Informationen zu Protokolldateien auf Seite 23Zu aktualisierende Elemente auf Seite 22Öffnen des Endpoint Security-Client auf Seite 17
Verwenden der Endpoint Security-ClientManuelles Aktualisieren von Schutz und Software 2
McAfee Endpoint Security 10.1 Produkthandbuch 21
Zu aktualisierende ElementeEndpoint Security aktualisiert Sicherheitsinhalte, Software (HotFixes und Patches) undRichtlinieneinstellungen je nach Verwaltungstyp unterschiedlich.
Bei von McAfee ePO verwalteten und selbstverwalteten Systemen lässt sich die Schaltfläche
in Bezug auf Sichtbarkeit und Verhalten konfigurieren. WeitereInformationen finden Sie unter Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite37.
Verwaltungstyp Aktualisierungsmethode Aktualisierungen
McAfee ePO Option Sicherheit aktualisieren imMcAfee-Taskleistenmenü
Nur Inhalt und Software, keineRichtlinieneinstellungen
Schaltfläche imEndpoint Security-Client
Inhalt, Software undRichtlinieneinstellungen, sofernkonfiguriert
McAfee ePO Cloud Option Sicherheit aktualisieren imMcAfee-Taskleistenmenü
Inhalt, Software undRichtlinieneinstellungen
Schaltfläche imEndpoint Security-Client
Inhalt, Software undRichtlinieneinstellungen, sofernkonfiguriert
Selbstverwaltet Option Sicherheit aktualisieren imMcAfee-Taskleistenmenü
Nur Inhalt und Software
Schaltfläche imEndpoint Security-Client
Inhalt, Software undRichtlinieneinstellungen, sofernkonfiguriert
Anzeigen des Ereignisprotokolls In den Aktivitäts- und Fehlerbehebungsprotokollen wird ein Datensatz mit Ereignissen gespeichert, diein dem von McAfee geschützten System auftreten. Sie können das Ereignisprotokoll im EndpointSecurity-Client anzeigen.
Vorgehensweise
Wählen Sie für Hilfe im Menü Aktion Hilfe.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie links auf der Seite auf Ereignisprotokoll.
Auf der Seite werden alle Ereignisse angezeigt, die in den letzten 30 Tagen von Endpoint Securityauf dem System protokolliert wurden.
Wenn der Endpoint Security-Client den Ereignis-Manager nicht erreichen kann, wird eineKommunikationsfehlermeldung angezeigt. Starten Sie in diesem Fall das System neu, um dasEreignisprotokoll anzuzeigen.
3 Wählen Sie im oberen Bereich ein Ereignis aus, um im unteren Bereich die Details anzuzeigen.
Zum Ändern der relativen Größen der Bereiche klicken Sie auf das Sash-Widget zwischen denBereichen, und ziehen Sie es an die gewünschte Stelle.
2 Verwenden der Endpoint Security-ClientAnzeigen des Ereignisprotokolls
22 McAfee Endpoint Security 10.1 Produkthandbuch
4 Auf der Ereignisprotokoll-Seite können Sie Ereignisse sortieren, suchen, filtern oder erneut laden.
Die angezeigten Optionen sind abhängig von der Scan-Konfiguration.
Ziel Schritte
Sortieren der Ereignisse nachDatum, Funktionen, ausgeführterAktion und Schweregrad
Klicken Sie auf die Tabellenspaltenüberschrift.
Durchsuchen desEreignisprotokolls
Geben Sie den Suchtext in das Suchfeld ein, und drücken Siedie Eingabetaste, oder klicken Sie auf Suchen.Bei der Suche wird die Groß-/Kleinschreibung beachtet. AlleFelder des Ereignisprotokolls werden nach dem Suchtextdurchsucht. In der Ereignisliste werden alle Elemente mit dementsprechenden Text angezeigt.
Zum Abbrechen der Suche und Anzeigen aller Ereignisseklicken Sie im Suchfeld auf das x.
Filtern von Ereignissen nachSchweregrad oder Modul
Wählen Sie in der Dropdown-Filterliste eine Option.Wählen Sie zum Entfernen des Filters und Anzeigen allerEreignisse Alle Ereignisse anzeigen aus der Dropdown-Liste.
Aktualisieren derEreignisprotokoll-Anzeige mit neuenEreignissen
Klicken Sie auf .
Öffnen des Ordners mit denProtokolldateien
Klicken Sie auf Protokollordner anzeigen.
5 Navigieren Sie innerhalb des Ereignisprotokolls.
Ziel Schritte
Anzeigen der vorherigen Seite mitEreignissen
Klicken Sie auf Vorherige Seite.
Anzeigen der nächsten Seite mitEreignissen
Klicken Sie auf Nächste Seite.
Anzeigen einer bestimmten Seite imProtokoll
Geben Sie eine Seitenzahl ein, und drücken Sie dieEingabetaste, oder klicken Sie auf Start.
Standardmäßig zeigt das Ereignisprotokoll 20 Ereignisse pro Seite an. Zum Anzeigen weitererEreignisse pro Seite wählen Sie eine Option aus der Dropdown-Liste Ereignisse pro Seite.
Siehe auch Informationen zu Protokolldateien auf Seite 23Öffnen des Endpoint Security-Client auf Seite 17
Informationen zu ProtokolldateienDie Aktivitäts-, Fehler- und Fehlerbehebungsprotokolldateien zeichnen Ereignisse auf, die in Systemenmit aktivierter Endpoint Security auftreten. Konfigurieren Sie die Protokollierung in denAllgemeingültig Einstellungen.
Aktivitätsprotokolldateien werden immer in der von der Ländereinstellung des Systems festgelegtenSprache angezeigt.
Alle Aktivitäts- und Fehlerbehebungsprotokolle werden in Abhängigkeit Ihres Betriebssystems in einemder folgenden Standardverzeichnisse gespeichert.
Verwenden der Endpoint Security-ClientAnzeigen des Ereignisprotokolls 2
McAfee Endpoint Security 10.1 Produkthandbuch 23
Betriebssystem Standardspeicherort
Microsoft Windows 10 %ProgramData%\McAfee\Endpoint Security\Logs
Microsoft Windows 8 und 8.1
Microsoft Windows 7
Microsoft Vista C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Endpoint Security\Logs
Jedes Modul und jede Funktion oder Technologie erstellt für die Aktivitäts- oderFehlerbehebungsprotokollierung eine separate Datei. Alle Module protokollieren Fehler in einergemeinsamen Datei: EndpointSecurityPlatform_Errors.log.
Durch das Aktivieren der Protokollierung der Fehlerbehebung für ein Modul wird diese auch für dieFunktionen des Moduls Allgemeingültig aktiviert, etwa für den Selbstschutz.
Tabelle 2-1 Protokolldateien
Modul Funktion oder Technologie Dateiname
Allgemeingültig EndpointSecurityPlatform_Activity.log
EndpointSecurityPlatform_Debug.log
Selbstschutz SelfProtection_Activity.log
SelfProtection_Debug.log
Aktualisierungen PackageManager_Activity.log
PackageManager_Debug.log
Fehler EndpointSecurityPlatform_Errors.log
BedrohungsschutzDurch das Aktivieren derProtokollierung derFehlerbehebung für eineBedrohungsschutz-Technologiewird diese auch für denEndpoint Security-Clientaktiviert.
ThreatPrevention_Activity.log
ThreatPrevention_Debug.log
Zugriffsschutz AccessProtection_Activity.log
AccessProtection_Debug.log
Exploit-Schutz ExploitPrevention_Activity.log
ExploitPrevention_Debug.log
On-Access-Scanner OnAccessScan_Activity.log
OnAccessScan_Debug.log
On-Demand-Scanner• Schnellscan
• Vollständiger Scan
• Scan per Kontextmenü
OnDemandScan_Activity.log
OnDemandScan_Debug.log
Endpoint Security-Client MFEConsole_Debug.log
Firewall Firewall_Activity.log
Firewall_Debug.log
2 Verwenden der Endpoint Security-ClientAnzeigen des Ereignisprotokolls
24 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 2-1 Protokolldateien (Fortsetzung)
Modul Funktion oder Technologie Dateiname
FirewallEventMonitor.logProtokolliert blockierten undzugelassenen Netzwerkverkehr, wennkonfiguriert.
Webkontrolle WebControl_Activity.log
WebControl_Debug.log
BedrohungsabwehrdatenDurch das Aktivieren derProtokollierung derFehlerbehebung für eineBedrohungsschutz-Technologiewird diese auch für dieBedrohungsabwehrdatenaktiviert.
ThreatIntelligence_Activity.log
ThreatIntelligence_Debug.log
Standardmäßig werden Installationsprotokolldateien in folgenden Ordnern gespeichert:
Selbstverwaltet %TEMP%\McAfeeLogs (Temp-Ordner des Windows-Benutzers)
Verwaltet TEMP\McAfeeLogs (Temp-Ordner des Windows-Systems)
Verwalten von Endpoint SecurityAls Administrator können Sie Endpoint Security über den Endpoint Security-Client verwalten. Siekönnen auch Funktionen deaktivieren und aktivieren, Content-Dateien verwalten, das Verhalten derClient-Benutzeroberfläche festlegen, Tasks planen und Moduleinstellungen konfigurieren.
Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee ePO die Änderungen von derSeite Einstellungen überschreiben.
Siehe auch Anmelden als Administrator auf Seite 25Entsperren der Client-Schnittstelle auf Seite 26Deaktivieren und Aktivieren von Funktionen auf Seite 26Ändern der AMCore Content-Version auf Seite 27Verwenden von EXTRA.DAT-Dateien auf Seite 28Konfigurieren gemeinsamer Einstellungen auf Seite 29
Anmelden als AdministratorWenn der Schnittstellenmodus für den Endpoint Security-Client auf Standardzugriff festgelegt ist, könnenSie sich als Administrator anmelden, um auf alle Einstellungen zuzugreifen.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Standardzugriff eingestelltsein.
Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security 2
McAfee Endpoint Security 10.1 Produkthandbuch 25
Vorgehensweise
Wählen Sie für Hilfe im Menü Aktion Hilfe.
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion die Option Administratoranmeldung aus.
3 Geben Sie im Feld Kennwort das Administratorkennwort ein, und klicken Sie dann auf Anmeldung.
Nun können Sie auf alle Funktionen des Endpoint Security-Client zugreifen.
Zum Abmelden wählen Sie Aktion | Administratorabmeldung. Der Client kehrt zumSchnittstellenmodusStandardzugriff zurück.
Entsperren der Client-SchnittstelleWenn die Schnittstelle für Endpoint Security-Client gesperrt ist, können Sie die Schnittstelle mit demAdministratorkennwort entsperren, um auf alle Einstellungen zuzugreifen.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Client-Benutzeroberflächesperren eingestellt sein.
Vorgehensweise1 Öffnen Sie den Endpoint Security-Client.
2 Geben Sie auf der Seite Administratoranmeldung im Feld Kennwort das Administratorkennwort ein, undklicken Sie dann auf Anmelden.
Endpoint Security-Client wird geöffnet, und Sie können jetzt auf alle Funktionen des Clients zugreifen.
Wählen Sie zum Abmelden und Schließen des Clients im Menü Aktion Administratorabmeldung.
Deaktivieren und Aktivieren von FunktionenAls Administrator können Sie Endpoint Security-Funktionen über den Endpoint Security-Clientdeaktivieren und aktivieren.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Die Status-Seite zeigt den aktivierten Status des Funktionsmoduls, der möglicherweise nicht dentatsächlichen Status der Funktion wiedergibt. Sie können den Status jeder Funktion auf derEinstellungen-Seite. Wenn beispielsweise die Einstellung ScriptScan aktivieren nicht erfolgreich angewendetwird, ist der Status möglicherweise (Status: Deaktiviert).
2 Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security
26 McAfee Endpoint Security 10.1 Produkthandbuch
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf den Modulnamen (wie Threat Prevention oder Firewall).
Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf denModulnamen.
3 Wählen Sie die Option Aktivieren für Modul oder Funktion.
Das Aktivieren der Bedrohungsschutz-Funktionen aktiviert das Bedrohungsschutz-Modul.
Siehe auch Anmelden als Administrator auf Seite 25
Ändern der AMCore Content-Version Verwenden Sie Endpoint Security-Client zum Ändern der Version von AMCore Content auf IhremSystem.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Endpoint Security speichert die aktuell geladene Content-Datei und die vorherigen zwei Versionen imOrdner Programme\Gemeinsame Dateien\McAfee\Engine\content. Bei Bedarf können Sie eine frühereVersion wiederherstellen.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion Roll Back von AMCore Content.
3 Wählen Sie aus dem Dropdown-Menü die zu ladende Version aus.
4 Klicken Sie auf Übernehmen.
Die neuen Informationen zu Erkennungen in der geladenen AMCore Content-Datei werden umgehendwirksam.
Siehe auch Funktionsweise von Content-Dateien auf Seite 9Anmelden als Administrator auf Seite 25
Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security 2
McAfee Endpoint Security 10.1 Produkthandbuch 27
Verwenden von EXTRA.DAT-DateienSie können eine EXTRA.DAT-Datei installieren, um Ihr System vor einem gravierendenMalware-Ausbruch zu schützen, bis die nächste geplante AMCore Content-Aktualisierung veröffentlichtwird.
Aufgaben• Herunterladen von EXTRA.DAT-Dateien auf Seite 28
Um eine EXTRA.DAT-Datei herunterzuladen, klicken Sie auf den Download-Link, den Sievon McAfee Labs erhalten haben.
• Laden einer EXTRA.DAT-Datei auf Seite 29Verwenden Sie zum Installieren der heruntergeladenen EXTRA.DAT-Datei EndpointSecurity-Client.
Siehe auch Informationen zu EXTRA.DAT-Dateien auf Seite 28
Informationen zu EXTRA.DAT-DateienWenn neue Malware entdeckt wird und eine zusätzliche Erkennung nötig ist, veröffentlicht McAfee Labseine EXTRA.DAT-Datei. EXTRA.DAT-Dateien enthalten Informationen, die Bedrohungsschutz zurVerarbeitung der neuen Malware verwendet wird.
Sie können EXTRA.DAT-Dateien für bestimmte Bedrohungen von der WebsiteMcAfee Labs Extra.DATRequest Page herunterladen.
Bedrohungsschutz unterstützt nur die Verwendung einer EXTRA.DAT-Datei zu einer Zeit.
Jede EXTRA.DAT-Datei hat ein integriertes Ablaufdatum. Wenn die EXTRA.DAT-Datei geladen wird,wird das Ablaufdatum mit dem Build-Datum des auf dem System installierten AMCore Contentverglichen. Wenn das Build-Datum des AMCore Content neuer ist als dasEXTRA.DAT-Datei-Ablaufdatum, wird die EXTRA.DAT-Datei als abgelaufen angesehen und vom Modulnicht mehr geladen und verwendet. Während der nächsten Aktualisierung wird die EXTRA.DAT-Dateivom System entfernt.
Wenn die nächste Aktualisierung von AMCore Content die EXTRA.DAT-Signatur enthält, wird dieEXTRA.DAT-Datei entfernt.
Endpoint Security speichert Extra.DAT-Dateien im Ordner c:\Program Files\Common Files\McAfee\Engine\content\avengine\extradat.
Herunterladen von EXTRA.DAT-DateienUm eine EXTRA.DAT-Datei herunterzuladen, klicken Sie auf den Download-Link, den Sie von McAfeeLabs erhalten haben.
Vorgehensweise1 Klicken Sie auf den Download-Link, geben Sie einen Speicherort für die EXTRA.DAT-Datei an, und
klicken Sie dann auf Speichern.
2 Dekomprimieren Sie gegebenenfalls die EXTRA.ZIP-Datei.
3 Laden Sie die EXTRA.DAT-Datei mit Endpoint Security-Client.
2 Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security
28 McAfee Endpoint Security 10.1 Produkthandbuch
Laden einer EXTRA.DAT-Datei Verwenden Sie zum Installieren der heruntergeladenen EXTRA.DAT-Datei Endpoint Security-Client.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion EXTRA.DAT-Dateien laden.
3 Klicken Sie aufDurchsuchen, navigieren Sie zu dem Speicherort, in den die EXTRA.DAT-Dateiheruntergeladen wurde, und klicken Sie dann auf Öffnen.
4 Klicken Sie auf Übernehmen.
Die neuen Informationen zu Erkennungen in der EXTRA.DAT-Datei werden umgehend wirksam.
Siehe auch Anmelden als Administrator auf Seite 25
Konfigurieren gemeinsamer EinstellungenKonfigurieren Sie im Allgemeingültig-Modul Einstellungen, die auf alle Module und Funktionen vonEndpoint Security zutreffen. Zu diesen Einstellungen gehören Benutzeroberflächensicherheit undSpracheinstellungen für Endpoint Security-Client, Protokollierung sowie Einstellungen für denProxy-Server für McAfee GTI und Aktualisierungskonfigurationen.
Aufgaben• Schützen von Endpoint Security-Ressourcen auf Seite 30
Malware versucht bei einem Angriff oft zunächst, Ihre Systemsicherheitssoftware zudeaktivieren. Konfigurieren Sie den Endpoint Security-Selbstschutz in den Einstellungen desAllgemeingültig, damit Endpoint Security-Dienste und -Dateien nicht beendet oder geändertwerden können.
• Konfigurieren von Protokollierungseinstellungen auf Seite 30Konfigurieren Sie die Endpoint Security-Protokollierung in denAllgemeingültig-Einstellungen.
• Zulassen zertifikatbasierter Authentifizierung auf Seite 31Mit Zertifikaten kann ein Anbieter Code innerhalb von McAfee-Prozessen ausführen.
• Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit auf Seite 31Konfigurieren Sie das Schnittstellenkennwort und die Anzeigeoptionen für EndpointSecurity-Client in den Allgemeingültig-Einstellungen.
• Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI auf Seite 32Legen Sie Proxy-Server-Optionen für das Abrufen der McAfee GTI-Reputation in denEinstellungen für das Allgemeingültig fest.
Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security 2
McAfee Endpoint Security 10.1 Produkthandbuch 29
Schützen von Endpoint Security-RessourcenMalware versucht bei einem Angriff oft zunächst, Ihre Systemsicherheitssoftware zu deaktivieren.Konfigurieren Sie den Endpoint Security-Selbstschutz in den Einstellungen des Allgemeingültig, damitEndpoint Security-Dienste und -Dateien nicht beendet oder geändert werden können.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Für Benutzer, Administratoren, Entwickler oder Sicherheitsexperten sollte es nie notwendig sein, denEndpoint Security-Schutz in ihren Systemen zu deaktivieren.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion Einstellungen aus.
3 Klicken Sie auf Erweiterte anzeigen.
4 Prüfen Sie unter Selbstschutz, dass Selbstschutz aktiviert ist.
5 Legen Sie die Aktion für jede der folgenden Endpoint Security-Ressourcen fest:
• Dateien und Ordner – Verhindert, dass die Benutzer die Datenbanken, Binärdateien, Dateien für diesichere Suche und Konfigurationsdateien von McAfee ändern.
• Registrierung – Verhindert, dass die Benutzer Systeme die Registrierungsstruktur undCOM-Komponenten von McAfee ändern oder eine Deinstallation mithilfe des Registrierungswertsdurchführen.
• Prozesse – Verhindert, dass McAfee-Prozesse angehalten werden.
6 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch Anmelden als Administrator auf Seite 25
Konfigurieren von ProtokollierungseinstellungenKonfigurieren Sie die Endpoint Security-Protokollierung in den Allgemeingültig-Einstellungen.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion Einstellungen aus.
3 Klicken Sie auf Erweiterte anzeigen.
2 Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security
30 McAfee Endpoint Security 10.1 Produkthandbuch
4 Konfigurieren Sie die Einstellungen der Client-Protokollierung auf der Seite.
5 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch Informationen zu Protokolldateien auf Seite 23Anmelden als Administrator auf Seite 25
Zulassen zertifikatbasierter AuthentifizierungMit Zertifikaten kann ein Anbieter Code innerhalb von McAfee-Prozessen ausführen.
Wenn ein Prozess erkannt wird, wird die Zertifikattabelle mit folgenden Daten befüllt: Anbieter,Antragsteller und Öffentlicher Schlüssel SHA-1.
Diese Einstellung kann zu Kompatibilitätsproblemen und weniger Sicherheit führen.
Beschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
Vorgehensweise
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion Einstellungen aus.
3 Klicken Sie auf Erweiterte anzeigen.
4 Wählen Sie im Abschnitt Zertifikate die Option Zulassen aus.
5 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Die Zertifikatinformationen werden in der Tabelle angezeigt.
Konfigurieren der Einstellungen für die Client-SchnittstellensicherheitKonfigurieren Sie das Schnittstellenkennwort und die Anzeigeoptionen für Endpoint Security-Client inden Allgemeingültig-Einstellungen.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Ändern Sie diese Einstellungen mit Vorsicht, weil Benutzer damit ihre Sicherheitskonfiguration ändernkönnen, sodass Systeme ungeschützt vor Malware-Angriffen sind.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion Einstellungen aus.
3 Konfigurieren Sie die Einstellungen für den Client-Schnittstellen-Modus auf der Seite.
4 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch Auswirkungen beim Einrichten eines Administratorkennworts auf Seite 32Anmelden als Administrator auf Seite 25
Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security 2
McAfee Endpoint Security 10.1 Produkthandbuch 31
Auswirkungen beim Einrichten eines AdministratorkennwortsWenn Sie den Schnittstellenmodus als Standardzugriff einrichten, müssen Sie auch einAdministratorkennwort festlegen.Das Festlegen eines Administratorkennworts auf dem Endpoint Security-Client hat Auswirkungen fürfolgende Benutzer:
Nicht-Administratoren(Benutzer ohneAdministratorrechte)
Nicht-Administratoren können:
• Einige Konfigurationsparameter anzeigen.
• Scans ausführen.
• Suchen Sie nach Aktualisierungen (wenn aktiviert).
• Die Quarantäne anzeigen.
• Das Ereignisprotokoll anzeigen.
• Zugreifen auf die Seite Einstellungen, um Firewall-Regelnanzuzeigen oder zu ändern (wenn aktiviert).
Nicht-Administratoren können nicht:
• Konfigurationsparameter ändern.
• anzeigen, erstellen, löschen oder ändern.Eine Ausnahme ist das Anzeigen oder Ändern von Firewall-Regeln(wenn aktiviert).
Administratoren(Benutzer mitAdministratorrechten)
Administratoren müssen das Kennwort eingeben, um auf diegeschützten Bereiche zuzugreifen und Einstellungen zu ändern.
Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI Legen Sie Proxy-Server-Optionen für das Abrufen der McAfee GTI-Reputation in den Einstellungen fürdas Allgemeingültig fest.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion Einstellungen aus.
3 Klicken Sie auf Erweiterte anzeigen.
4 Konfigurieren Sie auf der Seite die Proxy-Server für McAfee GTI-Einstellungen.
5 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch Funktionsweise von McAfee GTI auf Seite 32Anmelden als Administrator auf Seite 25
Funktionsweise von McAfee GTIWenn Sie McAfee GTI für den On-Access- oder On-Demand-Scanner aktivieren, verwendet derScanner eine Heuristik zur Überprüfung auf verdächtige Dateien. Der McAfee GTI-Server speichert
2 Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security
32 McAfee Endpoint Security 10.1 Produkthandbuch
Site-Bewertungen und Berichte für die Webkontrolle. Wenn Sie die Webkontrolle so konfigurieren, dassheruntergeladene Dateien gescannt werden, werden verdächtige Dateien vom Scanner mithilfe dervon McAfee GTI bereitgestellten Datei-Reputation überprüft.
Der Scanner sendet Fingerabdrücke von Proben, auch Hashes genannt, an einen zentralenDatenbankserver, der von McAfee Labs gehostet wird, um festzustellen, ob es sich um Malwarehandelt. Durch Senden der Hashes kann die Erkennung schneller zur Verfügung gestellt werden als inder nächsten Content-Datei-Aktualisierung, wenn McAfee Labs die Aktualisierung veröffentlicht.
Sie können die Sensibilitätsstufe konfigurieren, die von McAfee GTI zur Feststellung verwendetwerden, ob es sich bei der erkannten Probe um Malware handelt. Je höher die Sensibilitätsstufe, destohöher die Anzahl der Malware-Erkennungen. Bei mehr Erkennungen wird jedoch auch die Anzahl derFalse-Positives größer. Die McAfee GTI-Sensibilitätsstufe für den Bedrohungsschutz ist standardmäßigauf Mittel eingestellt. Konfigurieren Sie die Sensibilitätsstufe für jeden Scanner in denBedrohungsschutz-Einstellungen. Die McAfee GTI-Sensibilitätsstufe für die Webkontrolle iststandardmäßig auf Sehr hoch eingestellt. Konfigurieren Sie die Sensibilitätsstufe für das Scannen vonDatei-Downloads in den Einstellungen der Webkontrolle-Optionen.
Sie können Endpoint Security in den Einstellungen für das Allgemeingültig so konfigurieren, dass einProxy-Server zum Abrufen von McAfee GTI-Reputationsinformationen verwendet wird.
Konfigurieren des AktualisierungsverhaltensGeben Sie in den Allgemeingültig-Einstellungen das Verhalten für Aktualisierungen an, die vomEndpoint Security-Client initiiert werden.
Aufgaben
• Konfigurieren von Quellsites für Aktualisierungen auf Seite 33In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in denEinstellungen für das Endpoint Security-Client Allgemeingültig die Sites konfigurieren, vondenen der aktualisierte Sicherheitsdateien erhält.
• Konfigurieren des Standardverhaltens für Aktualisierungen auf Seite 35In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in denEinstellungen für das Endpoint Security-Client Allgemeingültig das Standardverhalten fürAktualisierungen festlegen, die vom initiiert werden.
• Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in denEinstellungen für das Allgemeingültig benutzerdefinierte Aktualisierungs-Tasks konfigurierenoder den Zeitplan für den Task Standard-Client-Aktualisierung über den Endpoint Security-Clientändern.
• Konfigurieren, Planen und Ausführen von Spiegelungs-Tasks auf Seite 38Sie können Spiegelungs-Tasks über den Endpoint Security-Client in den Einstellungen fürdas Allgemeingültig ändern oder planen.
Konfigurieren von Quellsites für Aktualisierungen In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in den Einstellungen fürdas Endpoint Security-Client Allgemeingültig die Sites konfigurieren, von denen der aktualisierteSicherheitsdateien erhält.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Sie können diese Einstellungen nur auf selbstverwalteten und von McAfee ePO verwalteten Systemenkonfigurieren.
Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security 2
McAfee Endpoint Security 10.1 Produkthandbuch 33
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion Einstellungen aus.
3 Klicken Sie auf Erweiterte anzeigen.
4 Klicken Sie unter Allgemeingültig auf Optionen.
5 Konfigurieren Sie auf der Seite Einstellungen der Quellsites für Aktualisierungen.
Sie können die Standard-Sicherungs-Quellsite, McAfeeHttp, und den Management-Server (fürverwaltete Systeme) aktivieren und deaktivieren, aber nicht ändern oder löschen.
Die Reihenfolge der Sites legt die Reihenfolge fest, die Endpoint Security bei der Suche nach derAktualisierungs-Site verwendet.
Ziel Auszuführende Schritte
Der Liste eine Sitehinzufügen
1 Klicken Sie auf Hinzufügen.
2 Legen Sie die Site-Einstellungen fest, und klicken Sie auf OK.
Die Site wird am Anfang der Liste angezeigt.
Eine vorhandene Site ändern 1 Doppelklicken Sie auf den Site-Namen.
2 Ändern Sie die Einstellungen, und klicken Sie auf OK.
Eine Site löschen. Wählen Sie die gewünschte Site aus, und klicken Sie dann aufLöschen.
Sites aus einerQuellsite-Listendateiimportieren
1 Klicken Sie auf Importieren.
2 Wählen Sie die zu importierende Datei aus, und klicken Sie aufOK.
Die vorhandene Quellsite-Liste wird durch die Site-Listendateiersetzt.
Quellsite-Liste in eineSiteList.xml-Dateiexportieren
1 Klicken Sie auf Alle exportieren.
2 Wählen Sie den Speicherort der Quellsite-Listendatei aus, undklicken Sie auf OK.
Sites in der Liste neuanordnen
So verschieben Sie Elemente:1 Wählen Sie Elemente zum Verschieben aus.
Der Ziehpunkt erscheint links von Elementen, die verschobenwerden können.
2 Verschieben Sie die Elemente per Drag-and-Drop an dengewünschten Ort.Eine blaue Linie erscheint zwischen Elementen, wo Sie diegezogenen Elemente ablegen können.
6 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
2 Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security
34 McAfee Endpoint Security 10.1 Produkthandbuch
Siehe auch Inhalt der Repository-Liste auf Seite 35Funktionsweise des Tasks Standard-Client-Aktualisierung auf Seite 36Anmelden als Administrator auf Seite 25Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37
Inhalt der Repository-ListeIn der Repository-Liste werden Informationen zu Repositorys aufgeführt, die McAfee Agent zurAktualisierung von McAfee-Produkten sowie Modul- und DAT-Dateien verwendet.
Die Repository-Liste umfasst Folgendes:
• Repository-Informationen und -Speicherort
• Bevorzugte Reihenfolge der Repositorys
• Proxy-Server-Einstellungen, falls erforderlich
• Verschlüsselte Anmeldeinformationen für den Zugriff auf die einzelnen Repositorys
Der McAfee Agent-Client-Produktaktualisierungs-Task stellt eine Verbindung mit dem ersten aktiviertenRepository (Aktualisierungs-Site) in der Repository-Liste her. Ist dieses Repository nicht verfügbar,kontaktiert der Task die nächste Site in der Liste, bis eine Verbindung hergestellt wird oder das Endeder Liste erreicht ist.
Wenn in Ihrem Netzwerk ein Proxy-Server eingesetzt wird, können Sie dessen Adresse und die zuverwendenden Proxy-Einstellungen festlegen und bestimmen, ob eine Authentifizierung verwendetwerden soll. Proxy-Informationen werden in der Repository-Liste gespeichert. Die von Ihnenkonfigurierten Proxy-Einstellungen gelten für alle Repositorys in der Repository-Liste.
Der Speicherort der Repository-Liste ist von Ihrem Betriebssystem abhängig.
Betriebssystem Speicherort der Repository-Liste
Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml
Microsoft Windows 7
Ältere Versionen C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Common Framework\SiteList.xml
Konfigurieren des Standardverhaltens für Aktualisierungen In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in den Einstellungen fürdas Endpoint Security-Client Allgemeingültig das Standardverhalten für Aktualisierungen festlegen, dievom initiiert werden.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Sie können diese Einstellungen nur auf selbstverwalteten und von McAfee ePO verwalteten Systemenkonfigurieren.
Verwenden Sie diese Einstellungen für Folgendes:
•Ein- oder Ausblenden der Schaltfläche auf dem Client.
• Festlegen, welche Aktualisierung beim Klicken auf die Schaltfläche oder beim Ausführen des TasksStandard-Client-Aktualisierung vorgenommen wird.
Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security 2
McAfee Endpoint Security 10.1 Produkthandbuch 35
Standardmäßig wird der Task Standard-Client-Aktualisierung täglich um 1:00 Uhr ausgeführt und allevier Stunden bis 23:59 Uhr wiederholt. Informationen zum Ändern von Zeitplänen finden Sie unter Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37.
Auf selbstverwalteten Systemen aktualisiert der Task Standard-Client-Aktualisierung sämtlichen Inhaltund die Software. Auf verwalteten Systemen aktualisiert dieser Task nur den Inhalt.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion Einstellungen aus.
3 Klicken Sie auf Erweiterte anzeigen.
4 Konfigurieren Sie die Einstellungen für die Standard-Client-Aktualisierung auf der Seite.
5 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch Anmelden als Administrator auf Seite 25Konfigurieren von Quellsites für Aktualisierungen auf Seite 33Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37
Funktionsweise des Tasks Standard-Client-AktualisierungDer Task Standard-Client-Aktualisierung lädt den aktuellen Schutz für den Endpoint Security-Clientherunter.
Endpoint Security enthält den Task Standard-Client-Aktualisierung. Dieser wird täglich um 1:00 Uhrausgeführt und alle vier Stunden bis 23:59 Uhr wiederholt.
Der Task Standard-Client-Aktualisierung:
1 Stellt eine Verbindung mit der ersten aktivierten Quellsite in der Liste her.
Wenn diese Site nicht verfügbar ist, kontaktiert der Task die nächste Site bis eine Verbindunghergestellt wird oder das Ende der Liste erreicht ist.
2 Lädt eine verschlüsselte CATALOG.Z-Datei von der Site herunter.
Die Datei enthält die für die Aktualisierung benötigten Informationen, darunter verfügbare Dateienund Updates.
3 Vergleicht die in der Datei aufgeführten Softwareversionen mit den Versionen auf dem Computerund lädt neu verfügbare Software-Aktualisierungen herunter.
Wenn der Task Standard-Client-Aktualisierung während der Aktualisierung unterbrochen wird:
Aktualisierungen von ... Bei Unterbrechung ...
HTTP, UNC oder eine lokale Site Setzt die Aktualisierung bei einem erneuten Start derAktualisierung an der Stelle der Unterbrechung fort.
FTP-Site (Einzeldatei-Download) Wird bei Unterbrechung nicht fortgesetzt.
FTP-Site (Download mehrerer Dateien) Beginnend mit der vor der Unterbrechung zuletztheruntergeladenen Datei wird der Task fortgesetzt.
Siehe auch Konfigurieren von Quellsites für Aktualisierungen auf Seite 33Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37Inhalt der Repository-Liste auf Seite 35
2 Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security
36 McAfee Endpoint Security 10.1 Produkthandbuch
Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks In selbstverwalteten und von McAfee ePO verwalteten Systemen können Sie in den Einstellungen fürdas Allgemeingültig benutzerdefinierte Aktualisierungs-Tasks konfigurieren oder den Zeitplan für denTask Standard-Client-Aktualisierung über den Endpoint Security-Client ändern.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Sie können diese Einstellungen nur auf selbstverwalteten und von McAfee ePO verwalteten Systemenkonfigurieren.
Verwenden Sie diese Einstellungen zum Konfigurieren über den Client, wenn der TaskStandard-Client-Aktualisierung ausgeführt wird. Im Abschnitt Konfigurieren des Standardverhaltens fürAktualisierungen auf Seite 35 erhalten Sie weitere Informationen zum Konfigurieren desStandardverhaltens für Client-Aktualisierungen, die vom Endpoint Security-Client initiiert werden.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion Einstellungen aus.
3 Klicken Sie auf Erweiterte anzeigen.
4 Klicken Sie unter Allgemeingültig auf Tasks.
5 Konfigurieren Sie die Einstellungen des Aktualisierungs-Tasks auf der Seite.
Ziel Auszuführende Schritte
BenutzerdefiniertenAktualisierungs-Taskerstellen
1 Klicken Sie auf Hinzufügen.
2 Geben Sie den Namen ein, und wählen Sie anschließend aus derDropdown-Liste Task-Typ auswählen die Option Aktualisieren aus.
3 Konfigurieren Sie die Einstellungen, und klicken Sie zumSpeichern des Tasks auf OK.
Aktualisierungs-Task ändern • Doppelklicken Sie auf den Task, nehmen Sie die gewünschtenÄnderungen vor, und klicken Sie zum Speichern des Tasks auf OK.
BenutzerdefiniertenAktualisierungs-Taskentfernen
• Wählen Sie den Task aus, und klicken Sie dann auf Löschen.
Kopie einesAktualisierungs-Taskserstellen
1 Wählen Sie den Task aus, und klicken Sie dann auf Duplizieren.
2 Geben Sie den Namen ein, konfigurieren Sie die Einstellungen,und klicken Sie zum Speichern des Tasks auf OK.
Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security 2
McAfee Endpoint Security 10.1 Produkthandbuch 37
Ziel Auszuführende Schritte
Zeitplan für den TaskStandard-Client-Aktualisierungändern
1 Doppelklicken Sie auf Standard-Client-Aktualisierung.
2 Klicken Sie auf die Registerkarte Zeitplan, nehmen Sie diegewünschten Änderungen am Zeitplan vor, und klicken Sie zumSpeichern des Tasks auf OK.
Im Abschnitt Konfigurieren des Standardverhaltens fürAktualisierungen auf Seite 35 erhalten Sie weitere Informationenzum Konfigurieren des Standardverhaltens fürClient-Aktualisierungen, die vom Endpoint Security-Client initiiertwerden.
Aktualisierungs-Taskausführen
• Wählen Sie den Task aus, und klicken Sie dann auf Jetzt ausführen.
Wird der Task bereits ausgeführt (einschließlich angehalten oderverschoben), ändert sich die Schaltfläche in Anzeigen.
Wenn Sie einen Task ausführen, bevor die Änderungenübernommen wurden, werden Sie vom Endpoint Security-Clientdazu aufgefordert, die Änderungen zu speichern.
6 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch Funktionsweise des Tasks Standard-Client-Aktualisierung auf Seite 36Konfigurieren von Quellsites für Aktualisierungen auf Seite 33
Konfigurieren, Planen und Ausführen von Spiegelungs-Tasks Sie können Spiegelungs-Tasks über den Endpoint Security-Client in den Einstellungen für dasAllgemeingültig ändern oder planen.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion Einstellungen aus.
3 Klicken Sie auf Erweiterte anzeigen.
4 Klicken Sie unter Allgemeingültig auf Tasks.
5 Konfigurieren Sie die Einstellungen des Spiegelungs-Tasks auf der Seite.
2 Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security
38 McAfee Endpoint Security 10.1 Produkthandbuch
Ziel Auszuführende Schritte
Spiegelungs-Taskerstellen
1 Klicken Sie auf Hinzufügen.
2 Geben Sie den Namen ein, und wählen Sie anschließend aus derDropdown-Liste Task-Typ auswählen die Option Spiegeln aus.
3 Konfigurieren Sie die Einstellungen, und klicken Sie dann auf OK.
Spiegelungs-Taskändern
• Doppelklicken Sie auf den Spiegelungs-Task, nehmen Sie diegewünschten Änderungen vor, und klicken Sie auf OK.
Spiegelungs-Taskentfernen.
• Wählen Sie den Task aus, und klicken Sie dann auf Löschen.
Kopie einesSpiegelungs-Taskserstellen
1 Wählen Sie den Task aus, und klicken Sie dann auf Duplizieren.
2 Geben Sie den Namen ein, konfigurieren Sie die Einstellungen, undklicken Sie dann auf OK.
Spiegelungs-Taskplanen
1 Doppelklicken Sie auf den Task.
2 Klicken Sie auf die Registerkarte Zeitplan, nehmen Sie die gewünschtenÄnderungen am Zeitplan vor, und klicken Sie zum Speichern des Tasksauf OK.
Spiegelungs-Taskausführen
• Wählen Sie den Task aus, und klicken Sie dann auf Jetzt ausführen.
Wird der Task bereits ausgeführt (einschließlich angehalten oderverschoben), ändert sich die Schaltfläche in Anzeigen.
Wenn Sie einen Task ausführen, bevor die Änderungen übernommenwurden, werden Sie vom Endpoint Security-Client dazu aufgefordert, dieÄnderungen zu speichern.
6 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Funktionsweise von Spiegelungs-TasksMit Spiegelungs-Tasks können Sie Aktualisierungsdateien aus dem ersten erreichbaren Repository, dasin der Repository-Liste definiert ist, in eine Spiegel-Site in Ihrem Netzwerk replizieren.
Dieser Task wird meist zum Spiegeln des Inhalts der McAfee-Download-Site auf einen lokalen Serververwendet.
Nachdem Sie die McAfee-Site repliziert haben, die die Aktualisierungsdateien enthält, könnenComputer in Ihrem Netzwerk die Dateien von der Spiegel-Site herunterladen. Auf diese Weise könnenSie jeden Computer in Ihrem Netzwerk aktualisieren, auch jene ohne Internetzugriff. Die Verwendungeiner replizierten Site ist effizienter, da Ihre Systeme mit einem Server kommunizieren, der näher istals eine McAfee-Internet-Site, wodurch wiederum Zugriffszeit und die Zeit zum Herunterladenverringert werden.
Der Bedrohungsschutz ist zur eigenen Aktualisierung auf ein bestimmtes Verzeichnis angewiesen.Beim Spiegeln einer Site muss daher die gesamte Verzeichnisstruktur repliziert werden.
Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security 2
McAfee Endpoint Security 10.1 Produkthandbuch 39
2 Verwenden der Endpoint Security-ClientVerwalten von Endpoint Security
40 McAfee Endpoint Security 10.1 Produkthandbuch
3 Verwenden von Bedrohungsschutz
Bedrohungsschutz prüft auf Viren, Spyware, unerwünschte Programme und andere Bedrohungendurch Scannen von Elementen auf Ihrem Computer.
Inhalt Scannen Ihres Computers auf Malware Verwalten von erkannten Bedrohungen Verwalten von isolierten Elementen Verwalten von Bedrohungsschutz
Scannen Ihres Computers auf MalwareScannen Sie Ihren Computer auf Malware, indem Sie Optionen im Endpoint Security-Client oderWindows Explorer auswählen.
Aufgaben• Ausführen eines vollständigen Scans oder Schnellscans auf Seite 42
Verwenden Sie Endpoint Security-Client zum manuellen Ausführen eines vollständigenScans oder Schnellscans auf Ihrem Computer.
• Scannen einer Datei oder eines Ordners auf Seite 44Falls Sie vermuten, dass eine Datei oder ein Ordner infiziert sein könnte, sollten Sieumgehend einen Scan per Kontextmenü im Windows Explorer durchführen.
Siehe auch Scan-Typen auf Seite 41
Scan-TypenEndpoint Security stellt zwei Scan-Typen zur Verfügung: On-Access-Scans und On-Demand-Scans.
• On-Access-Scan: Der Administrator konfiguriert On-Access-Scans für die Ausführung aufverwalteten Computern. Konfigurieren Sie für selbstverwaltete Computer den On-Access-Scannerauf der Seite Einstellungen.
Wenn auf Dateien, Ordner und Programme zugegriffen wird, fängt der On-Access-Scanner denVorgang ab und scannt das Element basierend auf Kriterien, die in den Einstellungen konfiguriertwurden.
• On-Demand-Scan
3
McAfee Endpoint Security 10.1 Produkthandbuch 41
Manuell Der Administrator (oder Benutzer bei selbstverwalteten Systemen) konfiguriertvordefinierte oder benutzerdefinierte On-Demand-Scans, die Benutzer auf verwaltetenComputern ausführen können.
• Führen Sie jederzeit einen vordefinierten On-Demand-Scan vom Endpoint
Security-Client aus, indem Sie auf klicken und einen Scan-Typauswählen:Der Schnellscan führt eine schnelle Überprüfung der für Infektionen besondersanfälligen Systembereiche aus.
Der vollständige Scan führt eine gründliche Überprüfung aller Systembereiche aus.(Empfohlen, wenn Sie vermuten, dass der Computer infiziert ist.)
• Scannen Sie eine einzelne Datei oder einen Ordner jederzeit im Windows Explorer,indem Sie mit der rechten Maustaste auf die Datei oder den Ordner klicken undScannen auf Bedrohungen aus dem Pop-Up-Menü auswählen.
• Konfigurieren Sie einen benutzerdefinierten On-Demand-Scan als Administrator vomEndpoint Security-Client:
1 Wählen Sie Einstellungen | Allgemeingültig | Tasks aus.
2 Wählen Sie den auszuführenden Task aus.
3 Klicken Sie auf Jetzt ausführen.
Geplant Der Administrator (oder Benutzer bei selbstverwalteten Systemen) konfiguriertOn-Demand-Scans für die Ausführung auf Computern.
Vor dem Start eines geplanten On-Demand-Scans zeigt Endpoint Security unten aufdem Bildschirm eine Scan-Aufforderung an. Sie können den Scan sofort starten oder ihnverschieben, sofern konfiguriert.
So konfigurieren und planen Sie einen Schnellscan oder einen vollständigen Scan alsvordefinierten On-Demand-Scan:1 Einstellungen | On-Demand-Scan | vollständiger Scan-Registerkarte oder
Schnellscan-Registerkarte: konfiguriert On-Demand-Scans.
2 Einstellungen | Common | Tasks – Plant On-Demand-Scans.
Siehe auch Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75Reagieren auf eine Scan-Aufforderung auf Seite 19
Ausführen eines vollständigen Scans oder SchnellscansVerwenden Sie Endpoint Security-Client zum manuellen Ausführen eines vollständigen Scans oderSchnellscans auf Ihrem Computer.
Bevor Sie beginnenDas Bedrohungsschutz-Modul muss installiert sein.
Das Verhalten des vollständigen Scans und Schnellscans ist abhängig von der Konfiguration derEinstellungen. Mit Administratoranmeldeinformationen können Sie diese Scans in denOn-Demand-Scan-Einstellungen ändern und planen.
3 Verwenden von BedrohungsschutzScannen Ihres Computers auf Malware
42 McAfee Endpoint Security 10.1 Produkthandbuch
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2Klicken Sie auf .
3 Klicken Sie auf der Seite System scannen bei dem auszuführenden Scan auf Jetzt scannen.
Vollständiger Scan Führt eine gründliche Überprüfung aller Bereiche auf Ihrem System aus(empfohlen, wenn Sie vermuten, dass Ihr Computer infiziert ist).
Schnellscan Führt eine schnelle Überprüfung der für Infektionen besonders anfälligenSystembereiche aus.
Wenn bereits ein Scan ausgeführt wird, ändert sich die Schaltfläche Jetzt scannen zu Scan anzeigen.
Je nach konfigurierten Einstellungen und ob eine Bedrohung erkannt wurde, wird möglicherweiseauch die Schaltfläche Erkennungen anzeigen für den On-Access-Scanner angezeigt. Klicken Sie auf dieseSchaltfläche, um die Seite On-Access-Scan zu öffnen und erkannte Bedrohungen jederzeit zuverwalten. Siehe Verwalten von erkannten Bedrohungen auf Seite 45.
Endpoint Security-Client zeigt den Status des Scans auf einer neuen Seite an.
Das AMCore Content-Erstellungsdatum zeigt den letzten Zeitpunkt der Content-Aktualisierung an.Wenn der Content älter als zwei Tage ist, empfiehlt McAfee, dass Sie vor Ausführen des Scans IhrenSchutz aktualisieren.
4 Klicken Sie oben auf der Statusseite auf die entsprechenden Schaltflächen, um den Scan zusteuern.
Scan anhalten Pausiert den Scan, bevor er abgeschlossen ist.
Scan fortsetzen Setzt einen angehaltenen Scan fort.
Scan abbrechen Bricht einen laufenden Scan ab.
5 Sobald der Scan abgeschlossen ist, werden auf der Seite die Anzahl der gescannten Dateien, dieverstrichene Zeit und alle Erkennungen angezeigt.
Erkennungsname Identifiziert den Namen der erkannten Malware.
Typ Zeigt den Bedrohungstyp an.
Datei Identifiziert die infizierte Datei.
Aktion Beschreibt die zuletzt ausgeführte Aktion für die infizierte Datei:• Zugriff verweigert
• Gesäubert
• Gelöscht
• Keine
Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der nächste On-Demand-Scan startet.
Verwenden von BedrohungsschutzScannen Ihres Computers auf Malware 3
McAfee Endpoint Security 10.1 Produkthandbuch 43
6 Wählen Sie eine Erkennung aus der Tabelle, klicken Sie dann auf Säubern oder Löschen, um dieinfizierte Datei zu säubern bzw. zu löschen.
Je nach Bedrohungstyp und Scan-Einstellungen stehen diese Aktionen möglicherweise nicht zurVerfügung.
7 Klicken Sie auf Schließen, um die Seite zu schließen.
Siehe auch Scan-Typen auf Seite 41Erkennungsnamen auf Seite 48Manuelles Aktualisieren von Schutz und Software auf Seite 21Verwalten von erkannten Bedrohungen auf Seite 45Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75
Scannen einer Datei oder eines OrdnersFalls Sie vermuten, dass eine Datei oder ein Ordner infiziert sein könnte, sollten Sie umgehend einenScan per Kontextmenü im Windows Explorer durchführen.
Bevor Sie beginnenDas Bedrohungsschutz-Modul muss installiert sein.
Das Verhalten des Scans per Kontextmenü ist abhängig von der Konfiguration der Einstellungen. MitAdministratoranmeldeinformationen können Sie diese Scans in den On-Demand-Scan-Einstellungenändern.
Vorgehensweise
1 Klicken Sie im Windows Explorer zum Scannen mit der rechten Maustaste auf eine Datei oder einenOrdner, und wählen Sie Scannen auf Bedrohungen aus dem Pop-Up-Menü.
Endpoint Security-Client zeigt den Scan-Status auf der Seite Scannen auf Bedrohungen an.
2 Klicken Sie oben auf der Seite auf die entsprechenden Schaltflächen, um den Scan zu steuern.
Scan anhalten Pausiert den Scan, bevor er abgeschlossen ist.
Scan fortsetzen Setzt einen angehaltenen Scan fort.
Scan abbrechen Bricht einen laufenden Scan ab.
3 Sobald der Scan abgeschlossen ist, werden auf der Seite die Anzahl der gescannten Dateien, dieverstrichene Zeit und alle Erkennungen angezeigt.
Erkennungsname Identifiziert den Namen der erkannten Malware.
Typ Zeigt den Bedrohungstyp an.
Datei Identifiziert die infizierte Datei.
Aktion Beschreibt die zuletzt ausgeführte Aktion für die infizierte Datei:• Zugriff verweigert
• Gesäubert
• Gelöscht
• Keine
Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der nächste On-Demand-Scan startet.
3 Verwenden von BedrohungsschutzScannen Ihres Computers auf Malware
44 McAfee Endpoint Security 10.1 Produkthandbuch
4 Wählen Sie eine Erkennung aus der Tabelle, klicken Sie dann auf Säubern oder Löschen, um dieinfizierte Datei zu säubern bzw. zu löschen.
Je nach Bedrohungstyp und Scan-Einstellungen stehen diese Aktionen möglicherweise nicht zurVerfügung.
5 Klicken Sie auf Schließen, um die Seite zu schließen.
Siehe auch Scan-Typen auf Seite 41Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Erkennungsnamen auf Seite 48
Verwalten von erkannten BedrohungenJe nach Konfigurierung der Einstellungen können Sie erkannte Bedrohungen über den EndpointSecurity-Client verwalten.
Bevor Sie beginnenDas Bedrohungsschutz-Modul muss installiert sein.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf Jetzt scannen, um die Seite System scannen zu öffnen.
Verwenden von BedrohungsschutzVerwalten von erkannten Bedrohungen 3
McAfee Endpoint Security 10.1 Produkthandbuch 45
3 Klicken Sie unter On-Access-Scan aufErkennungen anzeigen.
Diese Option ist nicht verfügbar, wenn die Liste keine Erkennungen enthält oder Benutzermeldungendeaktiviert sind.
Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der Endpoint Security-Dienst oder dasSystem neu gestartet wird.
4 Wählen Sie eine der folgenden Optionen auf der Seite On-Access-Scan.
Säubern Versucht, das Element (Datei, Registrierungseintrag) zu säubern und es in dieQuarantäne zu verschieben.
Endpoint Security verwendet Informationen in der Content-Dateien zurDateisäuberung. Wenn eine Content-Datei kein Säuberungsprogramm hat oder dieDatei unrettbar beschädigt ist, verweigert der Scanner den Zugriff auf die Datei. Indiesem Fall wird von McAfee empfohlen, die Datei aus der Quarantäne zu löschenund den Inhalt aus einer sauberen Sicherungskopie wiederherzustellen.
Löschen Löscht das Element mit der Bedrohung.
Eintrag entfernen Entfernt den Eintrag aus der Erkennungsliste.
Schließen Schließt die Scan-Seite.
Wenn eine Aktion für die Bedrohung nicht verfügbar ist, ist die entsprechende Option deaktiviert.Beispielsweise ist die Option Säubern nicht verfügbar, wenn die Datei bereits gelöscht wurde.
Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der Endpoint Security-Dienst oder dasSystem neu gestartet wird.
Verwalten von isolierten Elementen Endpoint Security speichert Elemente, die als Bedrohungen erkannt wurden, in der Quarantäne. Siekönnen für isolierte Elemente Aktionen ausführen.
Bevor Sie beginnenDas Bedrohungsschutz-Modul muss installiert sein.
Beispielsweise können Sie ein Element wiederherstellen, nachdem Sie eine aktuellere Version derContent-Datei heruntergeladen haben, die Informationen zum Säubern der Bedrohung enthält.
Isolierte Elemente können mehrere Typen gescannter Objekte enthalten: Dateien, Registrierungen oderandere, die Endpoint Security auf Malware scannt.
Vorgehensweise
Wählen Sie für Hilfe im Menü Aktion Hilfe.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie links auf der Seite auf Quarantäne.
Auf der Seite werden alle Elemente in der Quarantäne angezeigt.
Wenn der Endpoint Security-Client den Quarantäne-Manager nicht erreichen kann, wird eineKommunikationsfehlermeldung angezeigt. Starten Sie in diesem Fall das System neu, um die SeiteQuarantäne anzuzeigen.
3 Verwenden von BedrohungsschutzVerwalten von isolierten Elementen
46 McAfee Endpoint Security 10.1 Produkthandbuch
3 Wählen Sie aus dem oberen Bereich ein Element aus, um die Details unten anzuzeigen.
Ziel Auszuführende Schritte
Relative Größen der Bereiche ändern Ziehen Sie am Widget, um die Größe der Bereiche zuändern.
Elemente in der Tabelle nachBedrohungsnamen oder -typ sortieren
Klicken Sie auf die Tabellenspaltenüberschrift.
4 Führen Sie auf der Quarantäne-Seite Aktionen für ausgewählte Elemente aus.
Ziel Auszuführende Schritte
Elemente aus derQuarantäne löschen
Wählen Sie Elemente, klicken Sie auf Löschen und anschließend zurBestätigung erneut auf Löschen.
Gelöschte Elemente können nicht wiederhergestellt werden.
Elemente aus derQuarantänewiederherstellen
Wählen Sie Elemente, klicken Sie auf Wiederherstellen und anschließend zurBestätigung erneut auf Wiederherstellen.Endpoint Security stellt die Elemente im ursprünglichen Speicherortwieder her und entfernt sie aus der Quarantäne.
Wenn ein Element noch immer eine gültige Bedrohung darstellt, wird esvon Endpoint Security beim nächsten Zugriff darauf erneut in dieQuarantäne verschoben.
Elemente erneutscannen
Wählen Sie Elemente aus, und klicken Sie dann auf Erneut scannen.Sie könnten beispielsweise ein Element erneut scannen, nachdem SieIhren Schutz aktualisiert haben. Wenn das Element keine Bedrohungmehr ist, können Sie es in seinen ursprünglichen Speicherortwiederherstellen und aus der Quarantäne entfernen.
Element imEreignisprotokollanzeigen
Wählen Sie ein Element aus, und klicken Sie dann im Detailbereich aufden Link Im Ereignisprotokoll anzeigen.Die Seite Ereignisprotokoll wird geöffnet, auf der das zum Ereignis gehörigeausgewählte Element hervorgehoben ist.
Weitere Informationenzu einer Bedrohungabrufen
Wählen Sie ein Element aus, und klicken Sie dann im Detailbereich aufden Link Weitere Informationen zu dieser Bedrohung.Ein neues Browserfenster mit der McAfee Labs-Website wird geöffnet, aufder Sie weitere Informationen zu der Bedrohung finden, die die Ursachefür die Isolierung des Elements war.
Siehe auch Erkennungsnamen auf Seite 48Erneutes Scannen isolierter Elemente auf Seite 49Öffnen des Endpoint Security-Client auf Seite 17Manuelles Aktualisieren von Schutz und Software auf Seite 21
Verwenden von BedrohungsschutzVerwalten von isolierten Elementen 3
McAfee Endpoint Security 10.1 Produkthandbuch 47
ErkennungsnamenDer Quarantäne-Bericht meldet Bedrohungen mit Erkennungsname.
Erkennungsname Beschreibung
Adware Software, die Umsatz erzeugt, indem dem Benutzer Werbung angezeigtwird. Adware erzielt Einkünfte durch den Anbieter oder durchAnbieterpartner. Manche Arten von Adware können persönliche Datenerfassen und weiterzugeben.
Dialer Software, die Internetverbindungen an einen Dritten weiterleitet, bei demes sich nicht um den standardmäßigen Internet Service Provider desBenutzers handelt. Durch Dialer sollen zusätzliche Verbindungsgebührenfür einen Inhaltsanbieter, Händler oder einen Dritten anfallen.
Scherzprogramm Software, die behauptet, einem Computer Schaden zuzufügen, aberweder schädliche Nutzlast enthält noch zum Schaden verwendet wird. Siewirkt sich nicht auf den Sicherheits- oder Datenschutzstatus aus, kannaber einen Benutzer alarmieren oder verärgern.
Keylogger Software, die Daten zwischen dem Benutzer, der sie eingibt, und derbeabsichtigten Empfängeranwendung abfängt. Trojaner und potenziellunerwünschte Programm-Keylogger können auf identische Weisefunktionieren. McAfee-Software erkennt beide Arten und verhindertIntrusionen.
Kennwort-Cracker Software, die es einem Benutzer oder Administrator gestattet, vergesseneKennwörter für Benutzerkonten oder Datendateien wiederherzustellen. Inden Händen eines Angreifers ermöglicht sie Zugriff auf vertrauliche Datenund stellt somit eine Bedrohung für Sicherheit und Datenschutz dar.
Potenziell unerwünschtesProgramm
Enthält häufig an und für sich legitime Software (keine Malware), diejedoch den Sicherheits- oder Datenschutzstatus des Systems ändernkönnen. Diese Software kann mit einem gewünschten Programmzusammen heruntergeladen werden. Dazu gehören beispielsweiseSpyware, Adware, Keylogger, Kennwort-Cracker, Hacker-Tools undDialer-Anwendungen.
Remote-Verwaltungstool Software, mit der ein Administrator ein System aus der Ferne steuernkann. Diese Tools stellen eine ernsthafte Sicherheitsbedrohung dar, wennsie von einem Angreifer gesteuert werden.
Spyware Spyware übermittelt persönliche Informationen ohne Wissen oderZustimmung des Benutzers an Dritte. Spyware nutzt infizierte Computerzu Profitzwecken aus, etwa auf folgende Weise:• Einblenden unerwünschter Werbe-Pop-Ups
• Stehlen persönlicher Daten stehlen, z. B. Finanzdaten wieKreditkartennummern
• Überwachen von Webaktivitäten zu Marketingzwecken
• Umleiten von HTTP-Anfragen auf Werbe-Websites
Siehe auch Potenziell unerwünschtes Programm.
Tarnprogramm Ein Virentyp, der versucht, der Erkennung durch Virenschutz-Software zuentgehen.Auch bekannt als Unterbrechungsabfänger.
Viele Tarnprogramm-Viren fangen Anfragen für den Laufwerkszugriff ab.Wenn eine Virenschutz-Anwendung auf der Suche nach Viren versucht,Dateien oder Boot-Sektoren zu lesen, zeigt der Virus ein "sauberes" Bilddes gewünschten Elements. Andere Viren verbergen die tatsächlicheGröße einer infizierten Datei und zeigt die Größe der Datei vor derInfektion an.
3 Verwenden von BedrohungsschutzVerwalten von isolierten Elementen
48 McAfee Endpoint Security 10.1 Produkthandbuch
Erkennungsname Beschreibung
Trojaner Dies ist ein bösartiges Programm, das als gutartige Anwendung getarntist. Ein Trojaner wird nicht repliziert, aber verursacht Schaden odergefährdet die Sicherheit Ihres Computers.Ein Computer wird oft infiziert:
• Wenn ein Benutzer einen Trojaner-Anhang in einer E-Mail öffnet.
• Wenn ein Benutzer einen Trojaner von einer Website herunterlädt.
• Durch Peer-to-Peer-Netzwerkdienste.
Weil Sie sich nicht selbst replizieren, werden Trojaner nicht als Virenangesehen.
Virus Ein Virus hängt sich an Festplatten oder andere Dateien und repliziert sichwiederholt, typischerweise ohne Wissen oder Erlaubnis des Benutzers.Einige Viren heften sich an Dateien, sodass sie bei der Ausführung derinfizierten Datei mit ausgeführt werden. Andere nisten sich imComputerspeicher ein und infizieren laufend Dateien, wenn diese vomRechner geöffnet, verändert und erstellt werden. Einige Viren weisenSymptome auf, andere beschädigen Dateien und Computersysteme.
Erneutes Scannen isolierter ElementeBeim erneuten Scannen von Elementen in Quarantäne verwendet Endpoint SecurityScan-Einstellungen, die maximalen Schutz bieten.
Bevor Sie Elemente in Quarantäne wiederherstellen, sollten Sie sie immer erneut scannen. Sie könntenbeispielsweise ein Element erneut scannen, nachdem Sie Ihren Schutz aktualisiert haben. Wenn dasElement keine Bedrohung mehr ist, können Sie es in seinen ursprünglichen Speicherort wiederherstellenund aus der Quarantäne entfernen.
Die Scan-Bedingungen können sich im Zeitraum von der ursprünglichen Erkennung bis zum erneutenScannen verändern. Dies kann Auswirkungen auf die Erkennung isolierter Elemente haben.
Beim erneuten Scannen isolierter Elemente führt Endpoint Security stets folgende Aktionen durch:
• MIME-codierte Dateien scannen
• Komprimierte Archivdateien scannen
• McAfee GTI-Suche für Elemente erzwingen
• McAfee GTI-Sensibilitätsstufe auf Sehr hoch einstellen
Selbst bei Verwendung dieser Scan-Einstellungen könnten beim erneuten Scannen der Elemente inQuarantäne Bedrohungen nicht erkannt werden. Ändern sich beispielsweise die Metadaten (Pfad oderRegistrierungsverzeichnis) eines Elements, könnte beim erneuten Scan ein False-Positive produziertwerden, obwohl das Element noch immer infiziert ist.
Verwalten von BedrohungsschutzAls Administrator können Sie Bedrohungsschutz-Einstellungen festlegen, um bösartigen Zugriff zuvermeiden und Scans zu konfigurieren.
Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee ePO die Änderungen von derSeite Einstellungen überschreiben.
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 49
Konfigurieren von AusschlüssenMit dem Bedrohungsschutz können Sie den Schutz an Ihre Bedürfnisse anpassen, indem Sieauszuschließende Elemente festlegen.
Es könnte beispielsweise nötig sein, einige Dateitypen auszuschließen, damit ein Scanner keine Dateisperrt, die von einer Datenbank oder einem Server verwendet wird. (Durch eine gesperrte Dateikönnten bei der Datenbank oder dem Server Fehler auftreten.)
Um einen Ordner auf Windows-Systemen auszuschließen, fügen Sie dem Pfad einen umgekehrtenSchrägstrich (\) hinzu. Um einen Ordner auf Mac-Systemen auszuschließen, fügen Sie dem Pfad einenSchrägstrich (/) hinzu.
Funktion AuszuschließendeElementefestlegen
Konfigurationsort Elementeausschließennach
Platzhalterverwenden?
Zugriffsschutz Prozesse (für alleRegeln oder einefestgelegte Regel)
Zugriffsschutz-Einstellungen Name oder Pfadder ausführbarenDatei, MD5-HashoderSignaturgeber
Ja –Dateinameund -pfadNein –MD5-HashundSignaturgeber
Exploit-Schutz Prozesse Exploit-Schutz-Einstellungen Prozessname,Anrufermoduloder API
Nein
Alle Scans Erkennungsnamen Optionen-Einstellungen Erkennungsname(Groß-/Kleinschreibungwird beachtet)
Ja
PotenziellunerwünschteProgramme
Name Ja
On-Access-Scan• Standard
• Hohes Risiko
• Niedriges Risiko
Dateien, Dateitypenund Ordner
On-Access-Scan-Einstellungen Dateiname oderOrdner, Dateitypoder Dateialter
Ja
ScriptScan-URLs URL-Name Nein
On-Demand-Scan• Schnellscan
• Vollständiger Scan
• Scan perKontextmenü
Dateien, Ordnerund Laufwerke
On-Demand-Scan-Einstellungen Dateiname oderOrdner, Dateitypoder Dateialter
Ja
BenutzerdefinierterOn-Demand-Scan
Dateien, Ordnerund Laufwerke
Allgemeingültig | Tasks | Taskhinzufügen | benutzerdefinierterScan
Dateiname oderOrdner, Dateitypoder Dateialter
Ja
Siehe auch Platzhalter in Ausschlüssen auf Seite 51
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
50 McAfee Endpoint Security 10.1 Produkthandbuch
Platzhalter in AusschlüssenSie haben die Möglichkeit, Platzhalter zur Darstellung von Zeichen in Ausschlüssen für Dateien,Ordner, Erkennungsnamen und potenziell unerwünschte Programme zu verwenden.
Tabelle 3-1 Gültige Platzhalter
Platzhalterzeichen Name Steht für
? Fragezeichen Einzelnes Zeichen.
Dieser Platzhalter gilt nur dann, wenn die Anzahl derZeichen mit denen des Datei- oder Ordnernamensübereinstimmt. Beispiel: Der Ausschluss W?? schließt dieZeichenfolge WWW aus, aber nicht die Zeichenfolgen WWoder WWWW.
* Sternchen Mehrere Zeichen außer umgekehrtem Schrägstrich (\).
** Zwei Sternchen Null oder mehr beliebige Zeichen einschließlich desumgekehrten Schrägstriches (\).
Dieser Platzhalter stimmt mit null oder mehr Zeichenüberein. Beispiel: C:\ABC\**\XYZ stimmt überein mit C:\ABC\DEF\XYZ und C:\ABC\XYZ.
In einer Pfadangabe können Platzhalter vor umgekehrten Schrägstrichen (\) eingesetzt werden.Beispielsweise stimmt C:\ABC\*\XYZ überein mit C:\ABC\DEF\XYZ.
Ausschlüsse auf Stammebene
Für Ausschlüsse auf Stammebene benötigt der Bedrohungsschutz einen absoluten Pfad. Dievorangestellten Platzhalterzeichen \ oder ?:\ können also nicht verwendet werden, umübereinstimmende Laufwerksnamen auf Stammebene zu finden.
Dieses Verhalten unterscheidet sich von VirusScan Enterprise. Weitere Informationen finden Sie imKnowledgeBase-Artikel KB85746 und im McAfee Endpoint Security-Migrationshandbuch.
Mit dem Bedrohungsschutz können Sie die vorangestellten Platzhalterzeichen **\ in Ausschlüssen aufStammebene verwenden, um übereinstimmende Laufwerke und Unterordner zu finden. **\testentspricht beispielsweise Folgendem:
C:\test
D:\test
C:\temp\test
D:\foo\test
Schützen der SystemzugriffspunkteDer Schutz der Zugriffspunkte Ihres Client-Systems vor Bedrohungen stellt Ihre ersteVerteidigungslinie gegen Malware dar. Der Zugriffsschutz verhindert unerwünschte Änderungen amverwalteten Computer, indem der Zugriff auf bestimmte Dateien, Freigaben sowieRegistrierungsschlüssel und -werte eingeschränkt wird.
Der Zugriffsschutz verwendet von McAfee definierte und benutzerdefinierte Regeln, um den Zugriff aufElemente zu melden oder zu blockieren. Der Zugriffsschutz vergleicht eine angeforderte Aktion mit derRegelliste und handelt entsprechend der Regel.
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 51
Der Zugriffsschutz muss aktiviert sein, damit Zugriffsversuche auf Dateien, Freigaben sowieRegistrierungsschlüssel und -werte erkannt werden.
Der Zugriffsschutz ist standardmäßig aktiviert.
Zugriffsmöglichkeiten für BedrohungenBedrohungen dringen über verschiedene Zugriffspunkte in Ihr System ein.
Zugriffspunkt Beschreibung
Makros Als Teil von Textverarbeitungsdokumenten oderTabellenanwendungen.
Ausführbare Dateien Scheinbar gutartige Programme können neben dem erwartetenProgramm auch Viren enthalten. Einige häufige Dateierweiterungensind .EXE, .COM, .VBS, .BAT, .HLP und .DLL.
Skripts Verknüpft mit Webseiten und E-Mails können Skripte wie ActiveX undJavaScript können Viren enthalten, wenn ihre Ausführung zugelassenwird.
Internet RelayChat-Nachrichten (IRC)
Mit diesen Nachrichten gesendete Dateien können leicht Malware alsTeil der Nachricht enthalten. Automatische Startprozesse könnenbeispielsweise Bedrohungen in Form von Würmern oder Trojanernenthalten.
Browser- undAnwendungshilfedateien
Beim Herunterladen dieser Hilfedateien ist das System eingebettetenViren und ausführbaren Dateien ausgesetzt.
E-Mail Scherze, Spiele und Bilder als Teil von E-Mails mit Anlagen.
Kombinationen aller dieserZugriffspunkte
Erfahrene Malware-Entwickler kombinieren alle dieseÜbertragungsmethoden und betten eine Malware in eine andere ein,um auf den Computer zuzugreifen.
So werden Bedrohungen mit dem Zugriffsschutz abgewehrtDer Zugriffsschutz stoppt potenzielle Bedrohungen, indem er Aktionen basierend auf von McAfeedefinierten und benutzerdefinierten Schutzregeln verwaltet.Bedrohungsschutz verwendet zum Bereitstellen des Zugriffsschutzes diesen Basisprozess.
Beim Auftreten einer BedrohungWenn ein Benutzer oder ein Prozess eine Aktion ausführt:
1 Die Aktion wird gemäß den definierten Regeln vom Zugriffsschutz überprüft.
2 Wenn die Aktion eine Regel bricht, wird sie vom Zugriffsschutz unter Verwendung derInformationen in den konfigurierten Regeln verwaltet.
3 Der Zugriffsschutz aktualisiert die Protokolldatei, generiert ein Ereignis und sendet es beiverwalteten Systemen an den Management-Server.
Beispiel für eine Zugriffsbedrohung1 Ein Benutzer lädt ein zulässiges Programm (keine Malware) namens MyProgram.exe aus dem
Internet herunter.
2 Der Benutzer startet MyProgram.exe, und es scheint, dass es wie erwartet gestartet wird.
3 MyProgram.exe startet einen untergeordneten Prozess namens AnnoyMe.exe.
4 AnnoyMe.exe versucht, das Betriebssystem zu ändern, um sicherzustellen, dass dieser Prozess beijedem Systemstart immer geladen wird.
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
52 McAfee Endpoint Security 10.1 Produkthandbuch
5 Der Zugriffsschutz verarbeitet die Anfrage und ordnet sie einer vorhandenen Regeln zu, dass dieAnfrage blockiert und gemeldet wird.
6 Der Zugriffsschutz hindert AnnoyMe.exe daran, das Betriebssystem zu ändern. Er protokolliert dieDetails des Zugriffsversuchs. Außerdem wird eine Warnung generiert und an denManagement-Server gesendet.
Informationen zu ZugriffsschutzregelnVerwenden Sie Zugriffsschutzregeln, um Ihre Systemzugriffspunkte zu schützen.
Regeltyp Parameter
Von McAfee definierteRegeln
• Mit diesen Regeln werden Änderungen an häufig verwendeten Dateienund Einstellungen verhindert.
• Sie können die Konfiguration der von McAfee definierten Regelnaktivieren, deaktivieren und ändern. Sie können die Regeln jedoch nichtlöschen.
BenutzerdefinierteRegeln
• Diese benutzerdefinierten Regeln ergänzen den Schutz durch die vonMcAfee definierten Regeln.
• Bei einer leeren Tabelle ausführbarer Dateien werden alle ausführbarenDateien eingeschlossen.
• Sie können die Konfiguration dieser Regeln aktivieren, deaktivieren undändern sowie Regeln hinzufügen und löschen.
Ausschlüsse
Auf Regelebene gelten Aus- und Einschlüsse für eine bestimmte Regel. Auf Richtlinienebene geltenAusschlüsse für sämtliche Regeln. Ausschlüsse sind optional.
Konfigurieren der von McAfee definierten ZugriffsschutzregelnVon McAfee definierte Regeln verhindern Änderungen an häufig verwendeten Dateien undEinstellungen. Sie können die Blockierungs- und Berichtseinstellungen ändern sowie ausgeschlosseneund eingeschlossene ausführbare Dateien hinzufügen. Das Löschen dieser Regeln oder das Ändern vonDateien und Einstellungen, die durch diese Regeln geschützt sind, ist jedoch nicht möglich.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Untergeordnete Regeln können durch von McAfee definierte Regeln nicht hinzugefügt werden.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Threat Prevention.
Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf ThreatPrevention.
3 Klicken Sie auf Erweiterte anzeigen.
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 53
4 Klicken Sie auf Zugriffsschutz.
5 Überprüfen Sie, dass der Zugriffsschutz aktiviert ist.
Der Zugriffsschutz ist standardmäßig aktiviert.
6 Ändern Sie die Regel:
a Wählen Sie für die Regel im Abschnitt Regeln die Option Blockieren oder Bericht bzw. beide Optionenaus.
Wählen Sie in der ersten Zeile Blockieren oder Bericht, um alle zu blockieren oder zu melden.
Ist weder Blockieren noch Bericht ausgewählt, ist die Regel deaktiviert.
b Doppelklicken Sie auf eine von McAfee definierte Regel, die Sie bearbeiten möchten.
c Konfigurieren Sie auf der Seite Von McAfee definierte Regel bearbeiten die Einstellungen.
d Klicken Sie im Abschnitt Ausführbare Dateien auf Hinzufügen, konfigurieren Sie die Einstellungen, undklicken Sie zum Speichern der Regel zweimal auf Speichern.
Siehe auch Von McAfee definierte Regeln auf Seite 54Anmelden als Administrator auf Seite 25
Von McAfee definierte RegelnSchützen Sie Ihren Computer vor unerwünschten Änderungen, indem Sie von McAfee definierte Regelnverwenden.
Tabelle 3-2
Von McAfee definierteRegel
Beschreibung
Ändern der Registrierungen allerDateierweiterungen
Schützt die Registrierungsschlüssel unter "HKEY_CLASSES_ROOT", woDateierweiterungen registriert werden.Diese Regel verhindert, dass Malware dieDateierweiterungsregistrierungen ändert, damit sie unbemerktausgeführt werden kann.
Deaktivieren Sie diese Regel, wenn Sie gültige Anwendungen installieren,die Dateierweiterungsregistrierungen in der Registrierung ändern.
Diese Regel ist eine einschränkendere Alternative als Missbrauch von .EXE undanderen Erweiterungen für ausführbare Dateien.
Ändern von Richtlinien fürBenutzerrechte
Schützt Registrierungswerte mit Windows-Sicherheitsinformationen.Diese Regel verhindert, dass durch Würmer Konten geändert werden, dieAdministratorrechte haben.
Erstellen neuer ausführbarerDateien imProgrammdateien-Ordner
Verhindert das Erstellen neuer ausführbarer Dateien im Ordner"Programme".Diese Regel verhindert, dass Adware und Spyware neue EXE- undDLL-Dateien erstellen sowie neue ausführbare Dateien im Ordner"Programme" installieren.
Wir empfehlen, Anwendungen vor der Aktivierung dieser Regel zuinstallieren oder die blockierten Prozesse der Ausschlusslistehinzuzufügen.
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
54 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 3-2 (Fortsetzung)
Von McAfee definierteRegel
Beschreibung
Erstellen neuer ausführbarerDateien im Windows-Ordner
Verhindert das Erstellen von Dateien über sämtliche Prozesse, nicht nurüber das Netzwerk.Diese Regel verhindert das Erstellen von EXE- und DLL-Dateien imWindows-Ordner.
Fügen Sie Prozesse der Ausschlussliste hinzu, die Dateien imWindows-Ordner ablegen müssen.
Deaktivieren vonRegistrierungseditor und TaskManager
Schützt Registrierungseinträge in Windows und verhindert dasDeaktivieren von Registrierungseditor und Task-Manager.
Deaktivieren Sie bei einem Virenausbruch diese Regel, um dieRegistrierung zu ändern, oder öffnen Sie den Task Manager, um aktiveProzesse zu beenden.
Ausführen von Skripten durchWindows Script Host (CScript.exeoder Wscript.exe) aus einemTemp-Ordner
Verhindert das Ausführen von VBScript- und JavaScript-Skripten durchden Windows Scripting Host in einem Ordner, dessen Name "temp"enthält.Die Regel schützt vor vielen Trojanern und fragwürdigenWebinstallationsmechanismen, die von Adware- undSpyware-Anwendungen verwendet werden.
Sie könnte allerdings die Installation oder Ausführung legitimer Skripteund Drittanbieter-Anwendungen blockieren.
Missbrauch von .EXE oderanderen Erweiterungen fürausführbare Dateien
Schützt .EXE, .BAT und andere ausführbare Registrierungsschlüssel unter"HKEY_CLASSES_ROOT".Diese Regel verhindert, dass Malware Registrierungsschlüssel ändert undso der Virus gemeinsam mit einer anderen ausführbaren Datei ausgeführtwird.
Diese Regel ist eine weniger einschränkende Alternative zu Ändern derRegistrierung aller Dateierweiterungen.
Installieren vonBrowserhilfsobjekten oderShell-Erweiterungen
Verhindert, dass Adware, Spyware und Trojaner als Browserhilfsobjekteauf dem Host-Computer installiert werden.Diese Regel verhindert, dass Adware und Spyware auf Systemeninstalliert werden.
Damit legitime benutzerdefinierte Anwendungen oderDrittanbieter-Anwendungen diese Objekte installieren können, fügen Siesie der Ausschlussliste hinzu. Nach der Installation können Sie die Regelwieder aktivieren, weil das Funktionieren installierter Browserhilfsobjektenicht behindert wird.
Installieren neuer CLSIDs,APPIDs und TYPELIBs
Verhindert die Installation oder Registrierung neuer COM-Server.Diese Regel schützt vor Adware- und Spyware-Programmen, die sich alsCOM-Add-On im Internet Explorer oder in Microsoft Office-Anwendungeninstallieren.
Fügen Sie legitime Anwendungen, die COM-Add-Ons registrieren(einschließlich häufiger Anwendungen wie Macromedia Flash), zurAusschlussliste hinzu, damit sie nicht blockiert werden.
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 55
Tabelle 3-2 (Fortsetzung)
Von McAfee definierteRegel
Beschreibung
Starten von Dateien aus demOrdner "HeruntergeladeneProgrammdateien" mit InternetExplorer
Verhindert die Installation von Software über den Webbrowser. DieseRegel gilt für den Microsoft Internet Explorer.Da diese Regel auch die Installation legitimer Software blockieren kann,installieren Sie die Anwendung vor der Aktivierung dieser Regel, oderfügen Sie den Installationsprozess als Ausnahme hinzu.
Für die Regel ist standardmäßig die Aktion Bericht festgelegt.
Diese Regel verhindert, dass Adware und Spyware aus diesem Ordnerausführbare Dateien installieren und ausführen.
Ändern vonWindows-Kernprozessen
Verhindert, dass Dateien mit den häufigsten Spoof-Namen erstellt oderausgeführt werden.Diese Regel verhindert, dass Viren und Trojaner mit dem Namen einesWindows-Prozesses ausgeführt werden. Authentische Windows-Dateienwerden ausgeschlossen.
Ändern von InternetExplorer-Einstellungen
Blockiert Prozesse, die Änderungen an Einstellungen im Internet Explorervornehmen.Diese Regel verhindert, dass Startseiten-Trojaner, -Adware und -SpywareÄnderungen an Browser-Einstellungen vornehmen, beispielsweise dieStartseite ändern oder Favoriten installieren.
Ändern vonNetzwerkeinstellungen
Verhindert Änderungen an den Netzwerkeinstellungen des Systems durchProzesse, die nicht in der Ausschlussliste enthalten sind.Diese Regel schützt vor Mehrschicht-Dienstanbietern, die Daten (z. B.zum Surfverhalten) übertragen, indem sie Netzwerkverkehr abfangenund an Drittanbieter-Sites senden.
Fügen Sie Prozesse, die die Netzwerkeinstellungen ändern müssen, derAusschlussliste hinzu, oder deaktivieren Sie die Regel, währendÄnderungen vorgenommen werden.
Registrieren von Programmen fürAutorun
Verhindert, dass Adware, Spyware, Trojaner und Viren versuchen, sich zuregistrieren und bei jedem Neustart des Systems zu laden.Diese Regel verhindert die Registrierung von Prozessen, die bei jedemNeustart des Systems ausgeführt werden, durch Prozesse, die nicht inder Ausschlussliste enthalten sind.
Fügen Sie zulässige Anwendungen der Ausschlussliste hinzu, oderinstallieren Sie sie vor der Aktivierung der Regel.
Remote-Zugreifen auf lokaleDateien oder Ordner
Verhindert den Lese- und Schreibzugriff von Remote-Computern auf denComputer.Die Regel schützt vor dem Ausbreiten eines Wurms von einer Freigabezur nächsten.
In einer typischen Umgebung ist die Regel für Workstations geeignet,aber nicht für Server, und nur dann sinnvoll, wenn Computer tatsächlichangegriffen werden.
Wenn ein Computer mithilfe von Push-Dateien verwaltet wird, verhindertdie Regel, dass Aktualisierungen oder Patches installiert werden. DieseRegel hat keine Auswirkungen auf die Verwaltungsfunktionen von McAfeeePO.
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
56 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 3-2 (Fortsetzung)
Von McAfee definierteRegel
Beschreibung
Remote-Erstellen vonAutorun-Dateien
Verhindert, dass andere Computer eine Verbindung herstellen undautomatisch ausführbare Dateien (autorun.inf) erstellen oder ändern.Diese Dateien werden zum automatischen Starten von Programmdateien,typischerweise Setup-Dateien von CDs, verwendet.
Diese Regel verhindert, dass Spyware und Adware von CDs ausgeführtwerden.
Für die Regel sind standardmäßig die Aktionen Blockieren und Berichtausgewählt.
Remote-Erstellen oder -Ändernvon Dateien oder Ordnern
Blockiert den Schreibzugriff auf alle Freigaben.Diese Regel ist bei einem Virenausbruch hilfreich, weil sie denSchreibzugriff verhindert und somit das Ausbreiten der Infektionbegrenzt. Sie blockiert Malware, die andernfalls die Verwendung desComputers oder Netzwerks ernsthaft einschränken würde.
In einer typischen Umgebung ist die Regel für Workstations geeignet,aber nicht für Server, und nur dann sinnvoll, wenn Computer tatsächlichangegriffen werden.
Wenn ein Computer mithilfe von Push-Dateien verwaltet wird, verhindertdie Regel, dass Aktualisierungen oder Patches installiert werden. DieseRegel hat keine Auswirkungen auf die Verwaltungsfunktionen von McAfeeePO.
Remote-Erstellen oder -Ändernvon übertragbaren ausführbarenDateien, .INI- und .PIF-Dateitypensowie Core-Systemspeicherorten
Verhindert, dass andere Computer eine Verbindung herstellen undausführbare Dateien ändern, wie etwa Dateien im Windows-Ordner. DieseRegel gilt nur für Dateitypen, die häufig von Viren infiziert werden.Diese Regel schützt vor der schnellen Ausbreitung von Würmern oderViren, die ein Netzwerk durch offene oder administrative Freigabendurchlaufen.
Diese Regel ist eine weniger sichere Alternative zu Alle Freigaben mitSchreibschutz versehen.
Ausführen von Dateien aus einemTemp-Ordner
Blockiert alle ausführbaren Dateien, sodass sie nicht in einem Ordnerausgeführt oder gestartet werden, dessen Name "temp" enthält.Diese Regel verhindert, dass Malware im Temp-Ordner des Benutzersoder Systems gespeichert und ausgeführt wird. Zu dieser Malware zählenausführbare Anhänge in E-Mails und heruntergeladene Programme.
Obwohl die Regel den höchsten Schutz bietet, könnte die Installationlegitimer Anwendungen blockiert werden.
Ausführen von Dateien imTemp-Ordner durch häufiggenutzte Programme
Verhindert, dass Anwendungen Software über den Browser oder denE-Mail-Client installieren können.Diese Regel verhindert die Ausführung von E-Mail-Anhängen undausführbaren Dateien auf Webseiten.
Um eine Anwendung zu installieren, die den Temp-Ordner verwendet,fügen Sie den Prozess der Ausschlussliste hinzu.
Siehe auch Konfigurieren der von McAfee definierten Zugriffsschutzregeln auf Seite 53
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 57
Konfigurieren benutzerdefinierter ZugriffsschutzregelnBenutzerdefinierte Regeln ergänzen den Schutz durch die von McAfee definierten Regeln. Sie könnendie Konfiguration dieser Regeln aktivieren, deaktivieren und ändern sowie Regeln hinzufügen undlöschen.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Threat Prevention.
Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf ThreatPrevention.
3 Klicken Sie auf Erweiterte anzeigen.
4 Klicken Sie auf Zugriffsschutz.
5 Stellen Sie sicher, dass der Zugriffsschutz aktiviert ist.
Der Zugriffsschutz ist standardmäßig aktiviert.
6 Erstellen Sie die Regel:
a Klicken Sie im Abschnitt Regeln auf Hinzufügen.
b Konfigurieren Sie auf der Seite Regel hinzufügen die Einstellungen.
c Klicken Sie im Abschnitt Ausführbare Dateien auf Hinzufügen, konfigurieren Sie die Eigenschaften derausführbaren Datei, und klicken Sie auf Speichern.
Bei einer leeren Tabelle ausführbarer Dateien werden alle ausführbaren Dateien eingeschlossen.
d Klicken Sie im Abschnitt Untergeordnete Regeln auf Hinzufügen, und konfigurieren Sie dieEigenschaften der untergeordneten Regel.
Der Vorgang Lesen könnte sich auf die Leistung auswirken.
e Klicken Sie im Abschnitt Parameter auf Hinzufügen, konfigurieren Sie die Parameterinformationen,und klicken Sie zweimal auf Speichern.
f Wählen Sie für die Regel im Abschnitt Regeln die Option Blockieren oder Bericht bzw. beide Optionenaus.
Wählen Sie in der ersten Zeile Blockieren oder Bericht, um alle zu blockieren oder zu melden.
Aufgaben• Bewerten von Parametern in untergeordneten Zugriffsschutzregeln auf Seite 59
Jeder Parameter wird entweder mit einer Einschließen- oder Ausschließen-Richtliniehinzugefügt.
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
58 McAfee Endpoint Security 10.1 Produkthandbuch
Bewerten von Parametern in untergeordneten ZugriffsschutzregelnJeder Parameter wird entweder mit einer Einschließen- oder Ausschließen-Richtlinie hinzugefügt.
Wird ein Systemereignis anhand einer untergeordneten Regel bewertet, gibt die untergeordnete Regeltrue zurück, wenn:
• Für mindestens einen Einschluss true zurückgegeben wird.
und
• Für alle Ausschlüsse false zurückgegeben wird.
Ausschlüsse haben Vorrang vor Einschlüssen. Beispiele:
• Wenn eine untergeordnete Regel eine Datei C:\marketing\jjohns einschließt und dieselbe Dateiausschließt, wird die untergeordnete Regel nicht ausgelöst, wenn die Datei C:\marketing\jjohns ist.
• Wenn eine untergeordnete Regel alle Dateien einschließt, die Datei C:\marketing\jjohns jedochausschließt, wird die untergeordnete Regel ausgelöst, wenn die Datei nicht C:\marketing\jjohns ist.
• Wenn eine untergeordnete Regel eine Datei C:\marketing\* einschließt, aber C:\marketing\jjohnsausschließt, wird die untergeordnete Regel ausgelöst, wenn die Datei C:\marketing\jeder ist; bei C:\marketing\jjohns wird sie hingegen nicht ausgelöst.
Ausschließen von Prozessen aus dem ZugriffsschutzWird ein vertrauenswürdiges Programm blockiert, schließen Sie den Prozess durch die Erstellung einesrichtlinien- oder regelbasierten Ausschlusses aus.
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 59
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Threat Prevention.
Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf ThreatPrevention.
3 Klicken Sie auf Erweiterte anzeigen.
4 Klicken Sie auf Zugriffsschutz.
5 Stellen Sie sicher, dass der Zugriffsschutz aktiviert ist.
Der Zugriffsschutz ist standardmäßig aktiviert.
6 Führen Sie eine der folgenden Aktionen aus:
Ziel Auszuführende Schritte
RichtlinienbasiertenAusschluss erstellen
1 Klicken Sie im Abschnitt Ausschlüsse auf Hinzufügen, um Prozessehinzuzufügen, die von allen Regeln ausgeschlossen werden sollen.
2 Konfigurieren Sie auf der Seite Ausführbare Datei hinzufügen dieEigenschaften der ausführbaren Datei.
3 Klicken Sie auf Speichern und dann auf Übernehmen, um die Einstellungenzu speichern.
RegelbasiertenAusschluss erstellen
1 Bearbeiten Sie eine vorhandene Regel, oder fügen Sie eine neue Regelhinzu.
2 Klicken Sie auf der Seite Regel hinzufügen oder Regel bearbeiten auf Hinzufügen,um eine auszuschließende ausführbare Datei hinzuzufügen.
3 Konfigurieren Sie auf der Seite Ausführbare Datei hinzufügen dieEigenschaften der ausführbaren Datei.
4 Klicken Sie zum Speichern der Ausschlüsse auf Speichern.
Blockieren von Buffer Overflow-ExploitsExploit-Schutz verhindert, dass Buffer Overflows zur Ausführung von beliebigem Code ausgenutztwerden können. Diese Funktion überwacht im Benutzermodus ausgeführte API-Aufrufe und erkennt,wenn diese das Ergebnis eines Buffer Overflows sind.
Bei einer Erkennung werden die entsprechenden Informationen im Aktivitätsprotokoll aufgezeichnet,im Client-System angezeigt und an den Management-Server gesendet (wenn konfiguriert).
Von Bedrohungsschutz wird eine Exploit-Schutz-Content-Datei verwendet, um Anwendungen wieMicrosoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word und MSN Messengerzu schützen.
Host Intrusion Prevention 8.0 kann auf dem gleichen System wie Endpoint Security 10.1 installiertwerden. Wenn McAfee Host IPS aktiviert ist, wird der Exploit-Schutz deaktiviert, selbst wenn er in denRichtlinieneinstellungen aktiviert ist.
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
60 McAfee Endpoint Security 10.1 Produkthandbuch
Auftreten von Buffer Overflow-ExploitsAngreifer verwenden Buffer Overflow-Exploits zum Ausführen von Code, indem die für einenEingabeprozess reservierten Speicherpuffer mit fester Größe überflutet werden. Mit diesem Code kannder Angreifer den Zielcomputer übernehmen oder seine Dateien schädigen.
Über 25 Prozent der Malware-Angriffe sind Buffer Overflow-Angriffe, bei denen benachbarter Speicherim Stack-Frame überschrieben werden soll.
Es gibt zwei Typen von Buffer Overflow-Exploits:
• Stack-basierte Angriffe verwenden die Stack-Speicherobjekte zum Speichern von Benutzereingaben(häufigster Typ).
• Heap-basierte Angriffe überfluten den für ein Programm reservierten Speicherplatz (seltener Typ).
Das Stack-Speicherobjekt mit fester Größe ist leer und wartet auf Benutzereingaben. Wenn einProgramm Eingaben des Benutzers empfängt, werden die Daten am Anfang des Stacks gespeichert,und ihnen wird eine Absenderspeicheradresse zugewiesen. Beim Verarbeiten des Stacks werden dieEingaben des Benutzers an die vom Programm angegebene Absenderadresse gesendet.
Der folgenden Prozess beschreibt einen Stack-basierten Buffer Overflow-Angriff:
1 Überlaufen des Stacks.
Beim Schreiben des Programms wird eine bestimmte Menge an Speicherplatz für die Datenreserviert. Der Stack läuft über, wenn die Menge der geschriebenen Daten größer ist als der für sieim Stack-Speicher reservierte Speicherplatz. Diese Situation stellt nur in Kombination mitbösartigen Eingaben ein Problem dar.
2 Ausnutzen des Überlaufs.
Das Programm wartet auf eine Benutzereingabe. Wenn der Angreifer einen ausführbaren Befehleingibt, der die Stack-Größe überschreitet, wird der Befehl außerhalb des reserviertenSpeicherplatzes gespeichert.
3 Ausführen der Malware.
Der Befehl wird nicht automatisch ausgeführt, wenn er den Stack-Pufferspeicherplatz überschreitet.Zunächst stürzt das Programm aufgrund des Buffer Overflow ab. Wenn der Angreifer eineAbsenderspeicheradresse verwendet hat, die sich auf den bösartigen Befehl bezieht, versucht dasProgramm, damit eine Wiederherstellung vorzunehmen. Wenn die Absenderadresse gültig ist, wirdder bösartige Befehl ausgeführt.
4 Ausnutzen der Berechtigungen.
Die Malware wird nun mit den gleichen Berechtigungen ausgeführt wie die Anwendung, diemanipuliert wurde. Da Programme in der Regel im Kernel-Modus oder mit von einem Dienstkontogeerbten Berechtigungen ausgeführt werden, kann der Angreifer jetzt die vollständige Kontrolleüber das Betriebssystem erlangen.
Konfigurieren Exploit-Schutz-Richtlinieneinstellungen.Sie müssen die für den Exploit-Schutz konfigurieren, um zu verhindern, dass beliebiger Code vonAnwendungen auf dem verwalteten Computer ausgeführt werden kann.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 61
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Threat Prevention.
Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf ThreatPrevention.
3 Klicken Sie auf Erweiterte anzeigen.
4 Klicken Sie auf Exploit-Schutz.
5 Konfigurieren Sie die Einstellungen auf der Seite, klicken Sie auf Anwenden, um Ihre Änderungen zuspeichern, oder klicken Sie auf Abbrechen.
Siehe auch Anmelden als Administrator auf Seite 25
Ausschließen von Prozessen aus dem Exploit-SchutzWenn der Exploit-Schutz verletzt wird, gibt es einen zugeordneten Prozess und ein möglichesAnrufermodul oder eine API.
Wenn Sie vermuten, dass die gemeldete Verletzung ein False-Positive ist, können Sie einen Ausschlusshinzufügen, der den Namen der Prozessdatei angibt. Sie können auch das Anrufermodul oder die APIfestlegen.
Innerhalb eines Ausschlusses sind der Vorgang, das Modul und die API durch ein logisches ANDverbunden. Alle Elemente, die mit dem dem Verletzungsereignis zugeordneten Prozess, Modul bzw.der API übereinstimmen, werden ausgeschlossen.
Alle Ausschlüsse sind unabhängig voneinander: Mehrere Ausschlüsse sind durch ein logisches ORverbunden, sodass bei einer Übereinstimmung das Verletzungsereignis verhindert wird.
Erkennen von potenziell unerwünschten ProgrammenWenn Sie den verwalteten Computer vor potenziell unerwünschten Programmen schützen möchten,müssen Sie Dateien und Programme festlegen, die in Ihrer Umgebung erkannt werden sollen unddann die Erkennung aktivieren.
Potenziell unerwünschte Programme werden als Softwareprogramme definiert, die als störendempfunden werden oder den Sicherheitsstatus oder die Datenschutzrichtlinien des Systems verändern.Potenziell unerwünschte Programme können in Programmen eingebettet sein, die Benutzerherunterladen. Dazu können auch Spyware, Adware und Dialer zählen.
1 Legen Sie in den Richtlinieneinstellungen benutzerdefinierte Programme fest, die derOn-Access-Scanner und der On-Demand-Scanner als unerwünschte Programme behandeln soll.
2 Aktivieren Sie die Erkennung unerwünschter Programme, und legen Sie unter folgendenEinstellungen die Aktionen fest, die bei Erkennungen ausgeführt werden sollen:
• On-Access-Scan
• On-Demand-Scan
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
62 McAfee Endpoint Security 10.1 Produkthandbuch
Siehe auch Legen Sie benutzerdefinierte, potenziell unerwünschte Programme für die Erkennung fest aufSeite 63Aktivieren und Konfigurieren der Erkennung potenziell unerwünschter Programme sowie derfolgenden Reaktion auf Seite 64Konfigurieren von Richtlinieneinstellungen für auf Seite 65Konfigurieren Sie die für den On-Demand-Scan auf Seite 70
Legen Sie benutzerdefinierte, potenziell unerwünschte Programme für dieErkennung festLegen Sie in den Richtlinieneinstellungen weitere Programme fest, die der On-Access-Scanner und derOn-Demand-Scanner als unerwünschtes Programm behandeln sollen.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Die Scanner erkennen die Programme, die Sie festlegen sowie Programme, die in den AMCoreContent-Dateien festgelegt sind.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Threat Prevention.
Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf ThreatPrevention.
3 Klicken Sie auf Erweiterte anzeigen.
4 Klicken Sie auf Optionen.
5 In Erkennung von potenziell unerwünschten Programmen:
• Klicken Sie auf Hinzufügen, um den Namen und die optionale Beschreibung einer Datei oder einesProgramms festzulegen, die bzw. das als potenziell unerwünschtes Programm behandelt werdensoll.
Die Beschreibung wird im Fall einer Erkennung als Erkennungsname angezeigt.
• Doppelklicken Sie zum Ändern auf den Namen oder die Beschreibung von einem vorhandenenunerwünschten Programm.
• Wählen Sie ein vorhandenes potenziell unerwünschtes Programm aus, und klicken Sie dann aufLöschen, um es von der Liste zu entfernen.
Siehe auch Anmelden als Administrator auf Seite 25
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 63
Aktivieren und Konfigurieren der Erkennung potenziell unerwünschterProgramme sowie der folgenden ReaktionAktivieren Sie die Funktionen im On-Access- und On-Demand-Scanner zur Erkennung potenziellunerwünschte Programme, und legen Sie die Reaktion fest, wenn eines erkannt wurde.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Konfigurieren Sie Richtlinieneinstellungen für den .
a Öffnen Sie den Endpoint Security-Client.
b Klicken Sie auf der Status-Hauptseite auf Threat Prevention.
Sie können auch im Menü Aktion Einstellungen wählen. Klicken Sie dann auf der SeiteEinstellungen auf Threat Prevention.
c Klicken Sie auf Erweiterte anzeigen.
d Klicken Sie auf On-Access-Scan.
e WählOn-Access-Scanen Sie für jeden On-Access Scan-Typ unter ProzesseinstellungenUnerwünschteProgramme erkennen.
f Konfigurieren Sie unter Aktionen Reaktionen auf unerwünschte Programme.
2 Konfigurieren Sie die Richtlinieneinstellungen für den .
a Öffnen Sie den Endpoint Security-Client.
b Klicken Sie auf der Status-Hauptseite auf Threat Prevention.
Sie können auch im Menü Aktion Einstellungen wählen. Klicken Sie dann auf der SeiteEinstellungen auf Threat Prevention.
c Klicken Sie auf Erweiterte anzeigen.
d Klicken Sie auf On-Demand-Scan.
e Für jeden Scan-Typ (Vollständiger Scan, Schnellscan und Scan per Kontextmenü):
• Wählen Sie Unerwünschte Programme erkennen.
• Konfigurieren Sie unter Aktionen Reaktionen auf unerwünschte Programme.
Siehe auch Konfigurieren von Richtlinieneinstellungen für auf Seite 65Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Anmelden als Administrator auf Seite 25
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
64 McAfee Endpoint Security 10.1 Produkthandbuch
Konfigurieren gemeinsamer Scan-EinstellungenUm Einstellungen festzulegen, die sowohl für On-Access- als auch für On-Demand-Scans gelten,konfigurieren Sie die Bedrohungsschutz der Bedrohungsschutz-.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Die folgenden Einstellungen gelten für alle Scans:
• Quarantäne-Speicherort und die Dauer in Tagen, für die isolierte Elemente vor ihrer automatischenLöschung gespeichert werden
• Erkennungsnamen, die von Scans ausgeschlossen werden sollen
• Potenziell unerwünschte Programme für die Erkennung, wie Spyware und Adware
• McAfee GTI-basiertes Telemetrie-Feedback
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Bedrohungsschutz.
Sie können auch im Menü Aktion Einstellungen wählen. Klicken Sie dann auf der Seite Einstellungenauf Bedrohungsschutz.
3 Klicken Sie auf Erweiterte einblenden.
4 Klicken Sie auf Optionen.
5 Konfigurieren Sie die Einstellungen auf der Seite, klicken Sie auf Anwenden, um Ihre Änderungen zuspeichern, oder klicken Sie auf Abbrechen.
Siehe auch Anmelden als Administrator auf Seite 25Konfigurieren von Richtlinieneinstellungen für auf Seite 65Konfigurieren Sie die für den On-Demand-Scan auf Seite 70
Konfigurieren von Richtlinieneinstellungen für Mit diesen Einstellungen können Sie On-Access-Scans aktivieren und konfigurieren. Sie können auchNachrichten festlegen, die bei einer erkannten Bedrohung gesendet werden und verschiedeneEinstellungen entsprechend dem Prozesstyp konfigurieren.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Informationen zu weiteren Scan-Konfigurationsoptionen finden Sie in der Hilfe für die Einstellungen derBedrohungsschutz-Optionen.
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 65
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Threat Prevention.
Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf ThreatPrevention.
3 Klicken Sie auf Erweiterte anzeigen.
4 Klicken Sie auf On-Access-Scan.
5 Wählen Sie On-Access-Scan aktivieren, um den On-Access-Scanner zu aktivieren und Optionen zuändern.
6 Legen Sie fest, ob Sie Standard-Einstellungen für alle Prozesse verwenden möchten oderunterschiedliche Richtlinien für Prozesse mit hohem und niedrigem Risiko.
• Standard-Einstellungen – Konfigurieren Sie die Scan-Einstellungen auf der RegisterkarteStandard.
• Unterschiedliche Einstellungen entsprechend dem Prozesstyp – Konfigurieren Sie auf derRegisterkarte (Standard, Hohes Risiko oder Niedriges Risiko) die Scan-Einstellungen für jedenProzesstyp.
7 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch Anmelden als Administrator auf Seite 25Konfigurieren gemeinsamer Scan-Einstellungen auf Seite 65
Funktionsweise von On-Access-ScansDer On-Access-Scanner integriert sich in die tiefsten Ebenen des Systems (Dateisystem-Filtertreiber),und scannt Dateien an der Stelle, an der sie zuerst in das System gelangen.
Der On-Access-Scanner sendet bei Erkennungen Benachrichtigungen an die Benutzeroberfläche desDienstes.
Wenn versucht wird, eine Datei zu öffnen oder zu schließen, fängt der Scanner den Vorgang ab undführt die folgenden Aktionen aus:
1 Der Scanner bestimmt, ob das Element aufgrund der folgenden Kriterien gescannt werden soll:
• Die Dateierweiterung stimmt mit der Konfiguration überein.
• Die Datei wurde nicht im Cache abgelegt, ausgeschlossen oder bereits zu einem früherenZeitpunkt gescannt.
Wenn Sie McAfee GTI konfigurieren, wird vom Scanner eine Heuristik zur Überprüfung aufverdächtige Dateien verwendet.
2 Wenn die Datei die Scan-Kriterien erfüllt, vergleicht sie der Scanner mit den Signaturen in denaktuell geladenen AMCore Content-Dateien.
• Wenn die Datei "sauber" ist, wird das Ergebnis in den Cache kopiert und der Zugriff für Lese-oder Schreibvorgänge wird erteilt.
• Enthält die Datei eine Bedrohung, wird der Vorgang verweigert, und der Scanner führt diekonfigurierte Aktion aus.
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
66 McAfee Endpoint Security 10.1 Produkthandbuch
Wenn die Aktion beispielsweise das Säubern der Datei vorsieht, geschieht Folgendes:
1 Verwenden der Informationen in der aktuell geladenen AMCore Content-Datei, um die Dateizu säubern.
2 Die Ergebnisse werden im Aktivitätsprotokoll aufgezeichnet.
3 Der Benutzer wird benachrichtigt, dass in der Datei eine Bedrohung erkannt wurde, und erwird aufgefordert, eine Aktion auszuwählen (Säubern oder Löschen der Datei).
Windows 8 und 10: Wenn vom Scanner eine Bedrohung im Pfad einer installierten WindowsStore-App erkannt wird, wird die App als manipuliert gekennzeichnet. Die Kennzeichnung fürmanipulierte Dateien wird von Windows zur Kachel der App hinzugefügt. Bei einemAusführungsversuch benachrichtigt Sie Windows von dem Problem und leitet Sie zum WindowsStore weiter, damit Sie die App neu installieren.
3 Wenn die Datei nicht den Scan-Anforderungen entspricht, wird sie im Cache abgelegt, und derVorgang wird zugelassen.
Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der Endpoint Security-Dienst oder dasSystem neu gestartet wird.
Der Bedrohungsschutz leert den globalen Scan-Cache und scannt alle Dateien erneut, wenn:
• Die On-Access-Scan-Konfiguration geändert wird.
• Eine EXTRA.DAT-Datei hinzugefügt wird.
Scannen beim Schreiben auf oder Lesen von Datenträger oder wenn McAfeeentscheiden sollSie können festlegen, wann der On-Access-Scanner Dateien scannt: beim Schreiben auf einenDatenträger oder beim Lesen von einem Datenträger. Sie können auch McAfee die Entscheidungüberlassen, wann ein Scan ausgeführt wird.
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 67
Beim Schreiben von Dateien auf den Datenträger werden vom On-Access-Scanner die folgendenDateien gescannt:
• Eingehende Dateien, die auf die lokale Festplatte geschrieben werden.
• Dateien, die auf der lokalen Festplatte oder einem zugeordneten Netzwerklaufwerk, wenn aktiviert,erstellt werden (hierzu gehören neue Dateien, geänderte Dateien und Dateien, die von einemLaufwerk auf ein anderes kopiert oder verschoben werden).
Da der Scan fehlschlagen könnte, wenn die Datei auf einen Datenträger geschrieben wird, wird dieAktivierung der Option Beim Lesen von einem Datenträger dringend empfohlen.
Beim Lesen von Dateien auf dem Datenträger werden vom Scanner die folgenden Dateien gescannt:
• Ausgehende Dateien, die von der lokalen Festplatte oder zugeordneten Netzwerklaufwerken (wennaktiviert) gelesen werden.
• Dateien, die versuchen, einen Vorgang auf der lokalen Festplatte auszuführen.
• Dateien, die auf der lokalen Festplatte geöffnet werden.
Wenn Sie McAfee die Entscheidung überlassen, ob ein Scan für eine Datei nötig ist, verwendet derOn-Access-Scanner Vertrauenslogik für die Scan-Optimierung. Vertrauenslogik verbessert IhreSicherheit und beschleunigt die Leistung durch Vermeidung unnötiger Scans. Beispielsweise analysiertMcAfee bestimmte Programme und betrachtet sie als vertrauenswürdig. Wenn McAfee verifiziert, dassdiese Programme nicht manipuliert wurden, wird möglicherweise nur ein reduzierter oder optimierterScan ausgeführt.
Informationen zu ScriptScanDer Bedrohungsschutz-Skript-Scanner wird als Proxy-Komponente des nativen Windows Script Hostsausgeführt. Er fängt Skripte vor der Ausführung ab und scannt sie.
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
68 McAfee Endpoint Security 10.1 Produkthandbuch
• Wenn das Skript sauber ist, wird es vom Skript-Scanner an die native Komponente Windows ScriptHost übergeben.
• Enthält das Skript eine potenzielle Bedrohung, verhindert der Skript-Scanner dessen Ausführung.
ScriptScan-Ausschlüsse
Die Leistung Skript-intensiver Websites und webbasierter Anwendungen kann durch die Aktivierungvon ScriptScan beeinträchtigt werden. Statt ScriptScan zu deaktivieren, sollten Sie URL-Ausschlüssefür vertrauenswürdige Sites festlegen, etwa für Sites innerhalb eines Intranets oder fürWeb-Anwendungen, die bekanntermaßen sicher sind.
Bei Erstellung von URL-Ausschlüssen:
• Verwenden Sie keine Platzhalterzeichen.
• Verwenden Sie keine Portnummern.
• Wir empfehlen, dass Sie nur vollqualifizierte Domänennamen (FQDN) und NetBIOS-Namenverwenden.
Auf Windows Server 2008-Systemen können ScriptScan-URL-Ausschlüsse im Internet Explorer nurverwendet werden, wenn Sie Browsererweiterungen von Drittanbietern aktivieren und das System neustarten. Weitere Informationen finden Sie im KnowledgeBase-Artikel KB69526.
ScriptScan und Internet Explorer
Nach der Installation von Bedrohungsschutz werden Sie beim ersten Starten vom Internet Explorerdazu aufgefordert, ein oder mehrere McAfee-Add-Ons zu aktivieren. Folgende Bedingungen müssenerfüllt sein, damit Skripte mithilfe von ScriptScan gescannt werden:
• Die Einstellung ScriptScan aktivieren muss ausgewählt sein.
• Das Add-On muss im Browser aktiviert sein.
Wenn ScriptScan beim Start vom Internet Explorer deaktiviert ist und dann aktiviert wird, erkennt eskeine bösartigen Skripte in dieser Instanz vom Internet Explorer. Nach der Aktivierung von ScriptScanmüssen Sie den Internet Explorer neu starten, um bösartige Skripte zu erkennen.
Bestimmen der Scan-Einstellungen für ProzesseMit folgendem Verfahren prüfen Sie, ob Sie verschiedene Einstellungen je nach Prozesstypkonfigurieren sollten.
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 69
Konfigurieren Sie die für den On-Demand-Scan Diese Einstellungen konfigurieren das Verhalten der drei vordefinierten On-Demand-Scans:Vollständiger Scan, Schnellscan und Scan per Kontextmenü.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Informationen zu weiteren Scan-Konfigurationsoptionen finden Sie in der Hilfe für die Einstellungen derBedrohungsschutz-Optionen.
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
70 McAfee Endpoint Security 10.1 Produkthandbuch
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Bedrohungsschutz.
Sie können auch im Menü Aktion Einstellungen wählen. Klicken Sie dann auf der Seite Einstellungenauf Bedrohungsschutz.
3 Klicken Sie auf Erweiterte anzeigen.
4 Klicken Sie auf On-Demand-Scan.
5 Klicken Sie auf eine Registerkarte, um Einstellungen für den ausgewählten Scan zu konfigurieren.
• Vollständiger Scan
• Schnellscan
• Scan per Kontextmenü
6 Konfigurieren Sie die Einstellungen auf der Seite, klicken Sie auf Anwenden, um Ihre Änderungen zuspeichern, oder klicken Sie auf Abbrechen.
Siehe auch Anmelden als Administrator auf Seite 25Konfigurieren gemeinsamer Scan-Einstellungen auf Seite 65Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75
Funktionsweise von On-Demand-ScansDer On-Demand-Scanner durchsucht die Dateien, Ordner, den Speicher und die Registrierung aufMalware, durch die der Computer infiziert sein könnte.
Sie legen fest, wann und wie oft On-Demand-Scans ausgeführt werden. Sie können Ihre Systememanuell, zu einer geplanten Zeit oder beim Systemstart scannen.
1 Der On-Demand-Scanner verwendet folgende Kriterien, um festzulegen, ob das Element gescanntwerden muss:
• Die Dateierweiterung entspricht der Konfiguration.
• Die Datei befindet sich nicht im Cache, wurde ausgeschlossen oder zuvor nicht gescannt (wennder Scanner den Scan-Cache verwendet).
Wenn Sie McAfee GTI konfigurieren, wird vom Scanner eine Heuristik zur Überprüfung aufverdächtige Dateien verwendet.
2 Wenn die Datei die Scan-Kriterien erfüllt, vergleicht der Scanner die Informationen im Element mitden bekannten Malware-Signaturen in den aktuell geladenen AMCore Content-Dateien.
• Wenn die Datei "sauber" ist, wird das Ergebnis im Cache gespeichert und das nächste Elementüberprüft.
• Enthält die Datei eine Bedrohung, führt der Scanner die konfigurierte Aktion aus.
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 71
Wenn die Aktion beispielsweise das Säubern der Datei ist, führt der Scanner folgende Vorgängeaus:
1 Verwenden der Informationen in der aktuell geladenen AMCore Content-Datei, um die Dateizu säubern.
2 Aufzeichnen der Ergebnisse im Aktivitätsprotokoll.
3 Benachrichtigen des Benutzers, dass eine Bedrohung in der Datei erkannt wurde, unterAngabe des Elementnamens und der durchgeführten Aktion.
Windows 8 und 10: Wenn vom Scanner eine Bedrohung im Pfad einer installierten WindowsStore-App erkannt wird, wird die App als manipuliert gekennzeichnet. Die Kennzeichnung fürmanipulierte Dateien wird von Windows zur Kachel der App hinzugefügt. Bei einemAusführungsversuch benachrichtigt Sie Windows von dem Problem und leitet Sie zum WindowsStore weiter, damit Sie die App neu installieren.
3 Wenn die Datei nicht den Scan-Anforderungen entspricht, wird Sie vom Scanner nicht überprüft.Stattdessen wird der Scan-Vorgang fortgesetzt, bis alle Daten überprüft wurden.
Die On-Access-Scan-Erkennungsliste wird bereinigt, wenn der nächste On-Demand-Scan startet.
Bedrohungsschutz leert den globalen Scan-Cache und scannt alle Dateien erneut, wenn eineEXTRA.DAT-Datei geladen wird.
Verringern der Beeinträchtigungen von Scans für die BenutzerLegen Sie beim Konfigurieren von On-Demand-Scans Leistungsoptionen fest, um die Auswirkungendieser Scans auf Systeme zu verringern.
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
72 McAfee Endpoint Security 10.1 Produkthandbuch
Nur scannen, wenn das System im Leerlauf ist
Am einfachsten können Sie sicherstellen, dass durch den Scan keine Beeinträchtigungen für Benutzerentstehen, indem Sie den On-Demand-Scan nur dann ausführen, wenn sich der Computer im Leerlaufbefindet.
Bei Auswahl dieser Option hält der Bedrohungsschutz den Scan an, wenn Laufwerk- oderBenutzeraktivität erkannt wird, wie Zugriff über die Tastatur oder Maus. Der Bedrohungsschutz setztden Scan fort, wenn der Benutzer drei Minuten lang nicht auf das System zugegriffen hat.
Folgende Optionen stehen zur Verfügung:
• Benutzer können Scans fortsetzen, die aufgrund von Benutzeraktivität angehalten wurden.
• Scan nur ausführen, wenn der Computer des Systems im Leerlauf ist.
McAfee empfiehlt das Deaktivieren dieser Option auf Serversystemen und Systemen, auf die Benutzernur über die Remote-Desktop-Verbindung (RDP) zugreifen. Der Bedrohungsschutz stellt mithilfe vonMcTray fest, ob sich das System im Leerlauf befindet. Auf nur über RDP zugegriffene Systemen startetMcTray nicht und der On-Demand-Scanner wird nie ausgeführt.
Zur Problemumgehung können Benutzer manuell McTray starten (standardmäßig unter C:\Programme\McAfee\Agent\mctray.exe),wenn Sie sich über RDP anmelden.
Wählen Sie im Bereich Leistung der Scan-Task-Einstellungen-Registerkarte Nur scannen, wenn dasSystem im Leerlauf ist.
Scans werden automatisch angehalten
Zur Verbesserung der Leistung können Sie On-Demand-Scans anhalten, wenn das System imBatteriebetrieb ist. Sie können den Scan auch anhalten, wenn eine Anwendung, wie ein Browser,Media Player oder eine Präsentation im Vollbildmodus ausgeführt wird. Der Scan wird sofortfortgesetzt, wenn das System an die Stromversorgung angeschlossen wird oder sich nicht mehr imVollbildmodus befindet.
Wählen Sie diese Optionen im Bereich Leistung der Scan-Task-Einstellungen-Registerkarte:
• Keine Scans durchführen, wenn das System mit Batterie betrieben wird
• Keine Scans durchführen, wenn sich das System im Präsentationsmodus befindet (verfügbar, wenn Jederzeit scannenausgewählt ist)
Zulassen, dass Benutzer Scans verschieben
Wenn Sie Jederzeit scannen wählen, können Sie Benutzern gestatten, geplante Scans in Schritten voneiner Stunde (bis zu 24 Stunden lang oder unbegrenzt) zu verschieben. Jede Benutzerverschiebungdauert eine Stunde an. Wenn beispielsweise die Option Maximale Stundenanzahl, um die ein Scan verschobenwerden kann auf 2 festgelegt wurde, kann der Benutzer den Scan zweimal bzw. für zwei Stundenverschieben. Wenn die angegebene maximale Anzahl von Stunden abgelaufen ist, wird der Scanfortgesetzt. Falls Sie unbegrenzte Verschiebungen zulassen, indem Sie die Option auf null (0)festgelegen, kann der Benutzer den Scan auf unbegrenzte Zeit verschieben.
Wählen Sie im Bereich Leistung der Scan-Task-Einstellungen-Registerkarte Benutzer darf Scansverschieben:
Beschränken der Scan-Aktivität mit inkrementellen Scans
Verwenden Sie inkrementelle bzw. fortsetzbare Scans, um die Häufigkeit derOn-Demand-Scan-Aktivität einzuschränken und das gesamte System dennoch in mehreren Sitzungenzu scannen. Das inkrementelle Scannen kann verwendet werden, indem Sie dem geplanten Scan eine
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 73
Zeitbeschränkung hinzufügen. Der Scan wird angehalten, sobald die Zeitbeschränkung erreicht wurde.Beim nächsten Start wird der Task an der Stelle in der Datei oder der Ordnerstruktur fortgesetzt, ander der vorherige Scan angehalten wurde.
Wählen Sie im Bereich Optionen der Scan-Task-Planen-Registerkarte Diesen Task stoppen, wenn erlänger läuft als. Siehe Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75.
Konfigurieren der Systemauslastung
Systemauslastung legt die CPU-Zeit fest, die der Scanner während des Scan-Vorgangs empfängt.Legen Sie für Systeme mit Endbenutzeraktivität die Systemauslastung auf Niedrig fest.
Wählen Sie im Bereich Leistung der Scan-Task-Einstellungen-Registerkarte Systemauslastung.
Siehe auch Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75
Funktionsweise der SystemauslastungDer On-Demand-Scanner verwendet die von Windows festgelegte Prioritätseinstellung als Priorität fürScan-Vorgänge und Threads. Mit der Systemauslastungseinstellung (Drosselung) kann dasBetriebssystem die CPU-Zeit, die der On-Demand-Scanner empfängt, während des Scan-Vorgangsfestlegen.
Wenn die Systemauslastung für den Scan auf Niedrig eingestellt wird, wird die Leistung für andereausgeführte Anwendungen erhöht. Die niedrige Einstellung eignet sich für Systeme mitEndbenutzeraktivität. Umgekehrt wird der Scan-Vorgang schneller abgeschlossen, wenn Sie dieSystemauslastung auf Normal einstellen. Die normale Einstellung eignet sich für Systeme mit großenVolumes und wenig Endbenutzeraktivität.
Jeder Task wird unabhängig von den Beschränkungen anderer Tasks ausgeführt.
Tabelle 3-3 Standardprozesseinstellungen
Bedrohungsschutz-Prozesseinstellung Diese Option... Von WindowsfestgelegtePrioritätseinstellung
Niedrig Erhöht die Leistung für andereausgeführte Anwendungen.Wählen Sie diese Option fürSysteme mitEndbenutzeraktivität.
Niedrig
Niedriger als normal Legt Systemauslastung fürden Scan auf den McAfeeePO-Standard fest.
Niedriger als normal
Normal (Standard) Damit kann der Scan-Vorgangschneller abgeschlossenwerden. Wählen Sie dieseOption für Systeme mitgroßen Datenträgern undwenig Endbenutzeraktivität.
Normal
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
74 McAfee Endpoint Security 10.1 Produkthandbuch
Funktionsweise des Scannens vom Remote-SpeicherSie können den On-Demand-Scanner so konfigurieren, dass der Inhalt von Dateien gescannt wird, dieder Remote-Speicher verwaltet.
Der Remote-Speicher überwacht die Größe des verfügbaren Speicherplatzes auf dem lokalen System.Falls nötig, migriert der Remote-Speicher automatisch den Inhalt (Daten) geeigneter Dateien vomClient-System zu einem Speichergerät, wie etwa eine Bandbibliothek. Wenn ein Benutzer eine Dateiöffnet, dessen Daten migriert wurden, ruft der Remote-Speicher automatisch die Daten vomSpeichergerät ab.
Wählen Sie die Option In den Speicher migrierte Dateien aus, um den On-Demand-Scanner so zukonfigurieren, dass vom Remote-Speicher verwaltete Dateien gescannt werden. Wenn der Scanner aufeine Datei mit migriertem Inhalt stößt, wird diese vor dem Scannen im lokalen Systemwiederhergestellt.
Weitere Informationen finden Sie unter Was ist ein Remote-Speicher.
Konfigurieren, Planen und Ausführen von Scan-Tasks Sie können über den Endpoint Security-Client in den Einstellungen für Allgemeingültig die Standard-Tasks fürEndpoint Security-Client und Allgemeingültig planen oder benutzerdefinierte Scan-Tasks erstellen.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Wählen Sie im Menü Aktion Einstellungen aus.
3 Klicken Sie auf Erweiterte anzeigen.
4 Klicken Sie unter Allgemeingültig auf Tasks.
5 Konfigurieren Sie die Einstellungen des Scan-Tasks auf der Seite.
Ziel Auszuführende Schritte
BenutzerdefiniertenScan-Task erstellen
1 Klicken Sie auf Hinzufügen.
2 Geben Sie den Namen ein, wählen Sie aus der Dropdown-Liste dieOption Benutzerdefinierter Scan aus, und klicken Sie dann auf Weiter.
3 Konfigurieren Sie die Einstellungen und den Zeitplan des Scan-Tasks,und klicken Sie zum Speichern des Tasks auf OK.
Scan-Task ändern • Doppelklicken Sie auf den Task, nehmen Sie die gewünschtenÄnderungen vor, und klicken Sie zum Speichern des Tasks auf OK.
BenutzerdefiniertenScan-Task entfernen.
• Wählen Sie den Task aus, und klicken Sie dann auf Löschen.
Kopie eines Scan-Taskserstellen
1 Wählen Sie den Task aus, und klicken Sie dann auf Duplizieren.
2 Geben Sie den Namen ein, konfigurieren Sie die Einstellungen, undklicken Sie zum Speichern des Tasks auf OK.
Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz 3
McAfee Endpoint Security 10.1 Produkthandbuch 75
Ziel Auszuführende Schritte
Zeitplan für den Taskvollständiger Scan oderSchnellscan ändern
1 Doppelklicken Sie auf vollständiger Scan oder Schnellscan.
2 Klicken Sie auf die Registerkarte Zeitplan, nehmen Sie die gewünschtenÄnderungen am Zeitplan vor, und klicken Sie zum Speichern des Tasksauf OK.
Die Einstellungen für die Tasks vollständiger Scan und Schnellscan könnennur auf selbstverwalteten Systemen konfiguriert werden.
Unter Konfigurieren Sie die für den On-Demand-Scan auf Seite 70erhalten Sie Informationen zum Konfigurieren des Standardverhaltensfür die Tasks vollständiger Scan und Schnellscan, die vom EndpointSecurity-Client initiiert werden.
Standardmäßig ist die Ausführung des vollständigen Scans für jedenMittwoch um Mitternacht geplant. Die Ausführung des Schnellscans isttäglich für 19 Uhr geplant. Die Zeitpläne sind aktiviert.
Scan-Task ausführen • Wählen Sie den Task aus, und klicken Sie dann auf Jetzt ausführen.
Wird der Task bereits ausgeführt (einschließlich angehalten oderverschoben), ändert sich die Schaltfläche in Anzeigen.
Wenn Sie einen Task ausführen, bevor die Änderungen übernommenwurden, werden Sie vom Endpoint Security-Client dazu aufgefordert,die Änderungen zu speichern.
6 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch Anmelden als Administrator auf Seite 25Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Ausführen eines vollständigen Scans oder Schnellscans auf Seite 42
3 Verwenden von BedrohungsschutzVerwalten von Bedrohungsschutz
76 McAfee Endpoint Security 10.1 Produkthandbuch
4 Verwenden von Firewall
Die Firewall fungiert als Filter zwischen Ihrem Computer und dem Netzwerk oder dem Internet.
Inhalt Firewall – Funktionsweise Aktivieren oder Anzeigen von zeitbeschränkten Firewall-Gruppen Verwalten der Firewall
Firewall – FunktionsweiseDie Firewall scannt allen eingehenden und ausgehenden Datenverkehr.
Beim Prüfen des ein- oder ausgehenden Datenverkehrs kontrolliert die Firewall die Liste der Regeln,die einen Satz von Kriterien und zugehörigen Aktionen enthält. Wenn der Datenverkehr allen Kriterienin einer Regel entspricht, handelt die Firewall entsprechend der Regel und blockiert den Datenverkehrüber die Firewall oder lässt ihn zu.
Informationen zur Erkennung von Bedrohungen werden für Berichte gespeichert, die denAdministrator über Sicherheitsprobleme für Ihren Computer benachrichtigen.
Firewall-Optionen und -Regeln definieren, wie die Firewall arbeitet. In Regelgruppen werdenFirewall-Regeln zur einfachen Verwaltung organisiert.
Wenn der Client-Schnittstellenmodus auf Vollzugriff eingestellt ist, oder Sie als Administrator angemeldetsind, können Sie mithilfe des Endpoint Security-Client Regeln und Gruppen konfigurieren. Inverwalteten Systemen werden Regeln und Gruppen, die Sie erstellen, möglicherweise überschrieben,wenn der Administrator eine aktualisierte Richtlinie bereitstellt.
Siehe auch Konfigurieren der Firewall-Optionen auf Seite 78Funktionsweise von Firewall-Regeln auf Seite 81Funktionsweise von Firewall-Regelgruppen auf Seite 83
Aktivieren oder Anzeigen von zeitbeschränkten Firewall-Gruppen
Über das McAfee-Taskleistensymbol können Sie zeitbeschränkte Firewall-Gruppen aktivieren oderanzeigen.
Diese Optionen sind je nach konfigurierten Einstellungen möglicherweise nicht verfügbar.
4
McAfee Endpoint Security 10.1 Produkthandbuch 77
Vorgehensweise• Klicken Sie mit der rechten Maustaste auf das McAfee-Taskleistensymbol, und wählen Sie aus dem
Menü Schnellkonfiguration eine Option aus.
• Zeitbeschränkte Firewall-Gruppen aktivieren – aktiviert zeitbeschränkte Gruppen für einen festgelegtenZeitraum, um den Nicht-Netzwerkzugriff auf das Internet zuzulassen, bevor Regeln angewendetwerden, die den Zugriff beschränken.
Bei jeder Auswahl dieser Option wird die Zeit für die Gruppen zurückgesetzt.
• Zeitbeschränkte Firewall-Gruppen anzeigen – zeigt die Namen der zeitbeschränkten Gruppen und dieverbleibende Zeit, für die die einzelnen Gruppen aktiv sind, an.
Verwalten der FirewallAls Administrator können Sie Firewall-Optionen konfigurieren und Regeln und Gruppen auf demEndpoint Security-Client erstellen.
Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee ePO die Änderungen von derSeite Einstellungen überschreiben.
Ändern von Firewall-OptionenAls Administrator können Sie Firewall-Optionen über denEndpoint Security-Client ändern.
Aufgaben• Konfigurieren der Firewall-Optionen auf Seite 78
Konfigurieren Sie Einstellungen in Optionen , um den Firewall-Schutz ein- undauszuschalten, den adaptiven Modus zu aktivieren und andere Firewall-Optionen zukonfigurieren.
• Blockieren des DNS-Datenverkehrs auf Seite 79Um den Firewall-Schutz zu optimieren, erstellen Sie eine Liste zu blockierender FQDNs.Firewall blockiert Verbindungen zu den IP-Adressen, die in die Domänennamen aufgelöstwerden.
Siehe auch FAQ – McAfee GTI und Firewall auf Seite 80
Konfigurieren der Firewall-Optionen Konfigurieren Sie Einstellungen in Optionen , um den Firewall-Schutz ein- und auszuschalten, denadaptiven Modus zu aktivieren und andere Firewall-Optionen zu konfigurieren.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
4 Verwenden von FirewallVerwalten der Firewall
78 McAfee Endpoint Security 10.1 Produkthandbuch
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Firewall.
Sie können auch im Menü Aktion Einstellungen auswählen. Klicken Sie dann auf der SeiteEinstellungen auf Firewall.
3 Wählen Sie Firewall aktivieren, um die Firewall zu aktivieren und die Optionen zu ändern.
Host Intrusion Prevention 8.0 kann auf dem gleichen System wie Endpoint Security 10.1 installiertwerden. Ist McAfee Host IPS installiert und aktiviert, wird die Endpoint Security-Firewall deaktiviert,selbst wenn sie in den Richtlinieneinstellungen aktiviert ist.
4 Klicken Sie auf Erweiterte einblenden.
5 Konfigurieren Sie die Einstellungen auf der Seite, klicken Sie auf Anwenden, um Ihre Änderungen zuspeichern, oder klicken Sie auf Abbrechen.
Siehe auch Anmelden als Administrator auf Seite 25
Blockieren des DNS-DatenverkehrsUm den Firewall-Schutz zu optimieren, erstellen Sie eine Liste zu blockierender FQDNs. Firewallblockiert Verbindungen zu den IP-Adressen, die in die Domänennamen aufgelöst werden.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Firewall.
Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Firewall.
3 Klicken Sie unter DNS-Blockierung auf Hinzufügen.
4 Geben Sie den FQDN der zu blockierenden Domänen ein.
Sie können * und ? als Platzhalterzeichen verwenden. Beispiel: *domain.com.
Alle doppelten Einträge werden automatisch entfernt.
5 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Verwenden von FirewallVerwalten der Firewall 4
McAfee Endpoint Security 10.1 Produkthandbuch 79
FAQ – McAfee GTI und FirewallIn diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen.
FirewallOptionseinstellungen ermöglichen das Blockieren eingehenden und ausgehendenDatenverkehrs von einer Netzwerkverbindung, die McAfee GTI als "hohes Risiko" bewertet hat. Indieser häufig gestellten Frage wird die Funktionsweise von McAfee GTI erläutert und inwiefern sichdiese auf die Firewall auswirkt.
Was ist McAfee GTI?
McAfee GTI ist ein System zur globalen Reputationsanalyse von Internetseiten. Anhand vonEchtzeitanalysen der verhaltensbasierten Muster und Versendemuster für E-Mails, von Malware,Internetaktivität und des Verhaltens der Systeme untereinander ermittelt McAfee GTI positivesund negatives Verhalten im Internet. Mithilfe der Daten, die bei dieser Analyse ermittelt werden,berechnet McAfee GTI dynamisch die Reputationsfaktoren, die die Risikostufe darstellt, mit derdas Besuchen einer Webseite für Ihr Netzwerk eingeordnet wird. Das Ergebnis ist eineDatenbank mit Reputationsfaktoren für IP-Adressen, Domänen, spezifische Meldungen, URLsund Bilder.
Funktionsweise
Wenn die McAfee GTI-Optionen ausgewählt werden, werden zwei Firewall-Regeln erstellt: McAfeeGTI – Endpoint Security Firewall-Dienst zulassen und McAfee GTI – Bewertung anzeigen. Die erste Regel erlaubteine Verbindung zu McAfee GTI, und die zweite Regel blockiert Datenverkehr oder lässt ihn zu(auf der Grundlage der Reputation einer Verbindung und des festgelegtenBlockierungsschwellenwerts).
Was bedeutet "Reputation"?
Für jede IP-Adresse im Internet berechnet McAfee GTI einen Reputationswert. McAfee GTIbasiert den Wert auf dem Sende- oder Hosting-Verhalten und verschiedenen Umgebungsdaten,die von Kunden und Partnern zum Zustand der Bedrohungslandschaft im Internet erfasstwerden. Basierend auf unsere Analyse wird die Reputation in vier Klassen angegeben:• Minimales Risiko (Nicht blockieren) – Es handelt sich um eine zulässige Quelle oder ein zulässiges
Ziel für Inhalte/Datenverkehr.
• Nicht verifiziert – Es handelt sich um eine zulässige Quelle oder ein zulässiges Ziel für Inhalte/Datenverkehr. Offenbar sind auf dieser Site auch bestimmte Merkmale vorhanden, die daraufhinweisen, dass eine genauere Prüfung erforderlich ist.
• Mittleres Risiko – Diese Quelle/dieses Ziel weist ein Verhalten auf, das wir als verdächtigansehen. Die Inhalte/der Datenverkehr aus dieser Quelle bzw. an dieses Ziel erfordernbesondere Sorgfalt.
• Hohes Risiko – Diese Quelle/dieses Ziel ist bekannt dafür oder es ist wahrscheinlich, dasspotenziell bösartiger Inhalt/Datenverkehr von dort gesendet bzw. dort gehostet wird. UnsererAnsicht nach stellt diese Site ein ernsthaftes Risiko dar.
Führt McAfee GTI zu Latenz? In welchem Umfang?
Wenn McAfee GTI für die Reputations-Suche verwendet wird, ist eine gewisse Latenzunvermeidlich. McAfee hat alle Maßnahmen ergriffen, um diese so gering wie möglich zu halten.McAfee GTI:• Überprüfung der Reputationen erfolgt nur, wenn diese Optionen ausgewählt sind.
• Verwendung einer intelligenten Caching-Architektur. Bei normalen Netzwerknutzungsmusternkönnen die meisten der gewünschten Verbindungen anhand des Caches gelöst werden, ohnedass eine reale Reputationsabfrage erfolgen muss.
Wird der Datenverkehr gestoppt, wenn die Firewall keine Verbindung mit McAfeeGTI-Servern herstellen kann?
Wenn die Firewall keine Verbindung mit McAfee GTI-Servern herstellen kann, werden alleanwendbaren Verbindungen automatisch einer zugelassenen Standardreputation zugeordnet. ImAnschluss setzt die Firewall die Analyse der nächsten Regeln fort.
4 Verwenden von FirewallVerwalten der Firewall
80 McAfee Endpoint Security 10.1 Produkthandbuch
Konfigurieren Sie Firewall-Regeln und -GruppenAls Administrator können Sie Firewall-Regeln und -Gruppen auf dem Endpoint Security-Clientkonfigurieren.
Aufgaben• Erstellen und Verwalten von Firewall-Regeln und -Gruppen auf Seite 87
In verwalteten Systemen werden Regeln und Gruppen, die Sie über den EndpointSecurity-Client konfigurieren, möglicherweise überschrieben, wenn der Administrator eineaktualisierte Richtlinie bereitstellt.
• Erstellen von Verbindungsisolierungsgruppen auf Seite 89Um einen Satz an Regeln zu erstellen, die nur bei Verbindung mit einem Netzwerk mitbestimmten Parametern gelten sollen, erstellen Sie eine Firewall-Regelgruppe fürVerbindungsisolierung.
• Erstellen zeitbeschränkter Gruppen auf Seite 90Erstellen Sie zeitbeschränkte Firewall-Gruppen, um den Internetzugriff zu beschränken, bisein Client-System eine Verbindung über ein VPN herstellt.
Funktionsweise von Firewall-RegelnFirewall-Regeln bestimmen, wie Netzwerkverkehr verarbeitet wird. Jede Regel bietet einen Satz anBedingungen, die der Datenverkehr erfüllen muss, sowie eine Maßnahme, mit welcher derDatenverkehr zugelassen oder blockiert wird.
Wenn Firewall Datenverkehr findet, der einer Regelbedingung entspricht, dann wird die verknüpfteAktion durchgeführt.
Sie können diese Regeln allgemein definieren (z. B. für alle Arten von IP-basiertem Datenverkehr)oder spezifisch (z. B. durch Ermitteln einer spezifischen Anwendung oder eines spezifischen Dienstes)und dabei Optionen festlegen. Sie können Regeln zur einfacheren Verwaltung nach einer Funktion,einem Dienst oder einer Anwendung gruppieren. Für die Regelgruppen können Sie – genau wie beiden Regeln – verschiedene Netzwerk-, Datenübertragungs-, Anwendungs-, Zeitplan- undSpeicherortoptionen definieren.
In Firewall werden Regeln nach Vorrang angewendet:
1 Die am Anfang der Firewall-Regelliste stehenden Regeln werden von der Firewall zuerstangewendet.
Wenn der Datenverkehr die Bedingungen dieser Regel erfüllt, erlaubt Firewall diesen Datenverkehroder blockiert ihn. Es werden keine weiteren in der Regelliste enthaltenen Regeln angewendet.
2 Wenn der Datenverkehr die Bedingung der ersten Regel jedoch nicht erfüllt, prüft Firewall dienächste in der Liste enthaltene Regel und so weiter, bis eine passende Regel gefunden wurde.
3 Wenn keine Regel die Bedingung erfüllt, blockiert die Firewall den Datenverkehr automatisch.
Verwenden von FirewallVerwalten der Firewall 4
McAfee Endpoint Security 10.1 Produkthandbuch 81
Im adaptiven Modus wird für den Datenverkehr eine Zulassungsregel erstellt. Es kann vorkommen,dass der abgefangene Datenverkehr mehr als eine Regel erfüllt. In diesem Fall sorgt dieVorrangfunktion dafür, dass Firewall nur die erste in der Liste erfüllte Regel anwendet.
Empfohlene Vorgehensweisen
Stellen Sie die spezifischeren Regeln an den Anfang der Liste und die allgemeineren Regeln ans Ende.Durch diese Reihenfolge wird gewährleistet, dass Firewall den Datenverkehr angemessen filtert.
Um beispielsweise alle HTTP-Anfragen zu blockieren, mit Ausnahme einer spezifischen IP-Adresse(z. B. 10.10.10.1), müssen Sie zwei Regeln erstellen:
• Blockierungsregel – HTTP-Datenverkehr von Adresse 10.10.10.1 wird blockiert. Diese Regel istallgemein.
• Zulassungsregel – sämtlicher Datenverkehr wird zugelassen, der den HTTP-Dienst verwendet.Diese Regel ist allgemein.
Platzieren Sie die Blockierungsregel in der Firewall-Regelliste vor der Zulassungsregel. Wenn dieFirewall eine HTTP-Anfrage von der Adresse 10.10.10.1 abfängt, blockiert die erste passende Regelden Datenverkehr durch die Firewall.
Wenn Sie die allgemeinere Zulassungsregel vor der spezifischeren Blockierregel platzieren, werden dieAnfragen von Firewall mit der Zulassungsregel abgeglichen, bevor die Blockierungsregel gefundenwird. Auf diese Weise wird der Datenverkehr zugelassen, obwohl Sie die HTTP-Anfrage von einerbestimmten Adresse blockieren wollten.
4 Verwenden von FirewallVerwalten der Firewall
82 McAfee Endpoint Security 10.1 Produkthandbuch
Funktionsweise von Firewall-RegelgruppenIn Firewall werden Firewall-Regeln zur einfachen Verwaltung organisiert. Firewall-Regelgruppen habenkeine Auswirkung auf die Art und Weise, wie die Firewall die darin enthaltenen Regeln behandelt;diese werden weiterhin von oben nach unten durch die Firewall abgearbeitet.
Die Firewall verarbeitet die Einstellungen für die Gruppe vor der Verarbeitung der Einstellungen für dieGruppe, die sie enthält. Wenn ein Konflikt zwischen diesen Einstellungen existiert, haben dieGruppeneinstellungen Vorrang.
Festlegen von Gruppen als standortabhängige Gruppen
In der Firewall können Sie standortabhängige Regeln für eine Gruppe und Verbindungsisolierungerstellen. Über Ort und Netzwerkoptionen können Sie Gruppen so konfigurieren, dass Netzwerkadapterberücksichtigt werden. Verwenden Sie Netzwerkadaptergruppen, um adapterspezifische Regeln fürComputer mit verschiedenen Netzwerkschnittstellen anzuwenden. Nachdem der Speicherortstatusaktiviert und der Speicherort benannt wurden, können die Parameter für zugelassene Verbindungenfür jeden Netzwerkadapter folgende Parameter enthalten:
Speicherort:
• Erforderlich machen, dass McAfee ePO erreichbar ist
• Verbindungsspezifisches DNS-Suffix
• Standard-Gateway-IP-Adresse
• DHCP-Server-IP-Adresse
• DNS-Server für die Auflösung von URLs
• IP-Adresse des primären WINS-Servers
• IP-Adresse des sekundären WINS-Servers
• Domänenerreichbarkeit (HTTPS)
• Registrierungsschlüssel
Netzwerke:
• IP-Adresse des lokalen Netzwerks
• Verbindungstypen
Wenn zwei standortabhängige Gruppen für eine Verbindung zutreffen, verwendet die Firewall dennormalen Vorrang und verarbeitet die erste zutreffende Gruppe in der Regelliste. Wenn in der erstenGruppe keine Regel übereinstimmt, wird die Regelverarbeitung fortgesetzt.
Wenn die Firewall die Parameter einer standortabhängigen Gruppe mit einer aktiven Verbindungabgleicht, werden die in der Gruppe enthaltenen Regeln angewendet. Die Regeln werden als kleinerRegelsatz behandelt und der normale Vorrang eingehalten. Wenn der abgefangene Datenverkehreinige Regeln nicht erfüllt, werden diese von der Firewall ignoriert.
Bei Auswahl dieser Option... Vorgehensweise
Standortbewusstsein aktivieren Der Name eines Standorts ist erforderlich.
Erforderlich machen, dass McAfeeePO erreichbar ist
McAfee ePO ist erreichbar, und der FQDN des Servers wurdeaufgelöst.
Lokales Netzwerk Die IP-Adresse des Adapters muss mit einem der Einträge in derListe übereinstimmen.
Verwenden von FirewallVerwalten der Firewall 4
McAfee Endpoint Security 10.1 Produkthandbuch 83
Bei Auswahl dieser Option... Vorgehensweise
VerbindungsspezifischesDNS-Suffix
Das DNS-Suffix des Adapters muss mit einem der Einträge in derListe übereinstimmen.
Standard-Gateway Die IP-Adresse des Standard-Gateway-Adapters muss mitmindestens einem der Listeneinträge übereinstimmen.
DHCP-Server Die IP-Adresse des DHCP-Server-Adapters muss mit mindestenseinem der Listeneinträge übereinstimmen.
DNS-Server Die IP-Adresse des DNS-Server-Adapters muss mit einembeliebigen der Listeneinträge übereinstimmen.
Primärer WINS-Server Die IP-Adresse des primären WINS-Server-Adapters muss mitmindestens einem der Listeneinträge übereinstimmen.
Sekundärer WINS-Server Die IP-Adresse des sekundären WINS-Server-Adapters muss mitmindestens einem der Listeneinträge übereinstimmen.
Domänenerreichbarkeit (HTTPS) Die angegebene Domäne muss über HTTPS erreichbar sein.
Firewall-Regelgruppen und VerbindungsisolierungVerwenden Sie Verbindungsisolierung für Gruppen, um unerwünschten Datenverkehr daran zuhindern, auf ein ausgewiesenes Netzwerk zuzugreifen.
Wenn bei aktivierter Verbindungsisolierung für eine Gruppe eine aktive Netzwerkschnittstellenkarte(NIC) den Gruppenkriterien entspricht, verarbeitet die Firewall nur Datenverkehr, der mit Folgendemübereinstimmt:
• Zulassungsregeln oberhalb der Gruppe in der Firewall-Regelliste
• Gruppenkriterien
Sonstiger Datenverkehr wird blockiert.
Gruppen, für die die Verbindungsisolierung aktiviert ist, können keine verknüpften Transportoptionenund ausführbaren Dateien enthalten.
4 Verwenden von FirewallVerwalten der Firewall
84 McAfee Endpoint Security 10.1 Produkthandbuch
Als Anwendungsbeispiel für die Verbindungsisolierung betrachten wir zwei Fälle: eineUnternehmensumgebung und ein Hotel. Die Liste aktiver Firewall-Regeln enthält Regeln und Gruppenin folgender Reihenfolge:
1 Grundlegende Verbindungsregeln
2 Verbindungsregeln für VPN
3 Gruppe mit Verbindungsregeln für Unternehmensnetzwerke
4 Gruppe mit VPN-Verbindungsregeln
Verwenden von FirewallVerwalten der Firewall 4
McAfee Endpoint Security 10.1 Produkthandbuch 85
Beispiel: Verbindungsisolierung im Unternehmensnetzwerk
Verbindungsregeln werden abgearbeitet, bis die Gruppe mit Verbindungsregeln fürUnternehmensnetzwerke erreicht wird. Diese Gruppe umfasst folgende Einstellungen:
• Verbindungstyp = Kabelgebunden
• Verbindungsspezifisches DNS-Suffix = meinunternehmen.de
• Standard-Gateway
• Verbindungsisolierung = Aktiviert
Der Computer verfügt über kabelgebundene und kabellose Netzwerkadapter. Der Computer ist mitdem Unternehmensnetzwerk über eine kabelgebundene Verbindung verbunden. DieDrahtlosschnittstelle ist aber noch aktiv und verbindet sich daher mit einem Hotspot außerhalb desBetriebsgeländes. Der Computer ist mit beiden Netzwerken verbunden, da die grundlegendenVerbindungsregeln oben an der Liste der Firewall-Regeln angeordnet sind. Die LAN-Kabelverbindungist aktiv und entspricht den Kriterien der Verbindungsgruppe des Unternehmensnetzwerks. DieFirewall verarbeitet den Netzwerkverkehr durch das LAN, blockiert aber weiteren Netzwerkverkehraußerhalb des LAN aufgrund der aktivierten Netzwerkverbindungsisolierung.
Beispiel: Verbindungsisolierung in einem Hotel
Verbindungsregeln werden abgearbeitet, bis die Gruppe mit VPN-Verbindungsregeln erreicht wird.Diese Gruppe umfasst folgende Einstellungen:
• Verbindungstyp = virtuell
• Verbindungsspezifisches DNS-Suffix = vpn.meinunternehmen.de
• IP-Adresse = eine Adresse im Adressbereich des VPN-Konzentrators
• Verbindungsisolierung = Aktiviert
Über allgemeine Verbindungsregeln lässt sich ein zeitlich begrenztes Konto für den Internetzugang ineinem Hotel einrichten. Die VPN-Verbindungsregeln ermöglichen die Verbindung mit dem VPN-Tunnelund dessen Nutzung. Nach dem Aufbau des Tunnels erzeugt der VPN-Client einen virtuellenNetzwerkadapter, der den Kriterien der VPN-Gruppe entspricht. Die Firewall beschränkt denzugelassenen Netzwerkverkehr (mit Ausnahme des Basisverkehrs des physischen Adapters selbst) aufden VPN-Tunnel. Versuche anderer Hotelgäste, drahtlos oder per Netzwerkkabel über das Netzwerk aufden Computer zuzugreifen, werden blockiert.
Vordefinierte Firewall-RegelgruppenDie Firewall beinhaltet verschiedene vordefinierte Firewall-Gruppen.
Firewall-Gruppe Beschreibung
McAfee Core-Netzwerke Enthält die von McAfee bereitgestellten Core-Netzwerkregeln sowie Regeln zumZulassen von McAfee-Anwendungen und DNS.
Sie können diese Regeln weder ändern noch löschen. Sie können die Gruppe inden Firewall-Optionen deaktivieren. Dies kann jedoch zu Störungen bei derNetzwerkkommunikation auf dem Client führen.
Administrator hinzugefügt Enthält vom Administrator auf dem Management-Server definierte Regeln.
Diese Regeln können auf dem Endpoint Security-Client weder geändert nochgelöscht werden.
4 Verwenden von FirewallVerwalten der Firewall
86 McAfee Endpoint Security 10.1 Produkthandbuch
Firewall-Gruppe Beschreibung
Benutzer hinzugefügt Enthält auf dem Endpoint Security-Client definierte Regeln.
Abhängig von den Richtlinieneinstellungen können diese Regeln überschriebenwerden, wenn die Richtlinie erzwungen wird.
Dynamisch Enthält Regeln, die von anderen auf dem System installierten EndpointSecurity-Modulen dynamisch erstellt wurden.Beispielsweise kann der Bedrohungsschutz ein Ereignis an das Modul EndpointSecurity-Client senden, um eine Regel zur Blockierung des Zugriffs auf einSystem im Netzwerk zu erstellen.
Adaptiv Enthält Client-Ausnahmeregeln, die automatisch erstellt werden, wenn sich dasSystem im adaptiven Modus befindet.
Abhängig von den Richtlinieneinstellungen können diese Regeln überschriebenwerden, wenn die Richtlinie erzwungen wird.
Standard Enthält von McAfee bereitgestellte Standardregeln.
Diese Regeln können weder geändert noch gelöscht werden.
Erstellen und Verwalten von Firewall-Regeln und -GruppenIn verwalteten Systemen werden Regeln und Gruppen, die Sie über den Endpoint Security-Clientkonfigurieren, möglicherweise überschrieben, wenn der Administrator eine aktualisierte Richtliniebereitstellt.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Die Gruppen und Regeln werden nach Priorität geordnet in der Tabelle Firewall-Regeln angezeigt. Regelnkönnen nicht nach Spalte geordnet werden.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Firewall.
Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Firewall.
3 Verwenden Sie diese Tasks zur Verwaltung von Firewall-Regeln und -Gruppen.
Für diese Aktion... Befolgen Sie diese Schritte
Regeln in einer Firewall-Gruppeanzeigen.
Klicken Sie auf .
Eine Firewall-Gruppe reduzieren. Klicken Sie auf .
Verwenden von FirewallVerwalten der Firewall 4
McAfee Endpoint Security 10.1 Produkthandbuch 87
Für diese Aktion... Befolgen Sie diese Schritte
Eine vorhandene Regel ändern.
Sie können nur Regeln inder Gruppe Vom Benutzerhinzugefügt ändern.
1 Erweitern Sie die Gruppe Vom Benutzer hinzugefügt.
2 Doppelklicken Sie auf die Richtlinie.
3 Ändern Sie die Regeleinstellungen.
4 Klicken Sie auf OK, um Ihre Änderungen zu speichern.
Eine vorhandene Regel in einerGruppe anzeigen.
1 Erweitern Sie die Gruppe.
2 Wählen Sie die Regel aus, um ihre Details unten anzuzeigen.
Eine Regel erstellen. 1 Klicken Sie auf Regel hinzufügen.
2 Legen Sie die Regeleinstellungen fest.
3 Klicken Sie auf OK, um Ihre Änderungen zu speichern.
Die Regel wird am Ende der Gruppe Vom Benutzer hinzugefügtangezeigt.
Regeln kopieren. 1 Wählen Sie die Regel oder Regeln aus, und klicken Sie aufDuplizieren.Kopierte Regeln werden am Ende der Gruppe Vom Benutzerhinzugefügt angezeigt.
2 Ändern Sie die Regeln, um den Namen und die Einstellungenzu ändern.
Regeln löschen.
Sie können Regeln nur ausden Gruppen Vom Benutzerhinzugefügt und Adaptivlöschen.
1 Erweitern Sie die Gruppe.
2 Wählen Sie die Regel oder Regeln aus, und klicken Sie aufLöschen.
Eine Gruppe erstellen. 1 Klicken Sie auf Gruppe hinzufügen.
2 Legen Sie die Gruppeneinstellungen fest.
3 Klicken Sie auf OK, um Ihre Änderungen zu speichern.
Die Gruppe wird in der Gruppe Vom Benutzer hinzugefügt angezeigt.
Regeln und Gruppen innerhalbund zwischen Gruppenverschieben.
Sie können nur Regeln undGruppen in der Gruppe VomBenutzer hinzugefügtverschieben.
Um Elemente zu verschieben:1 Wählen Sie Elemente zum Verschieben aus.
Der Ziehpunkt erscheint links von Elementen, dieverschoben werden können.
2 Verschieben Sie per Drag-and-Drop die Elemente an dengewünschten Ort.Eine blaue Linie erscheint zwischen Elementen, wo Sie diegezogenen Elemente ablegen können.
4 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch Platzhalter in Firewall-Regeln auf Seite 89Anmelden als Administrator auf Seite 25Erstellen von Verbindungsisolierungsgruppen auf Seite 89
4 Verwenden von FirewallVerwalten der Firewall
88 McAfee Endpoint Security 10.1 Produkthandbuch
Platzhalter in Firewall-RegelnSie können Platzhalter verwenden, um Zeichen für einige Werte in Firewall-Regeln darzustellen.
Platzhalter in Pfad- und Adresswerten
Folgende Platzhalter dürfen in Dateipfaden, Registrierungsschlüsseln, ausführbaren Dateien und URLsverwendet werden.
In Registrierungsschlüsselpfaden für Firewall-Gruppenspeicherorte werden keine Platzhalterwerteerkannt.
? Fragezeichen Ein einzelnes Zeichen.
* Sternchen Mehrere Zeichen, ausgenommen Schrägstrich (/) und umgekehrter Schrägstrich(\). Verwenden Sie dieses Zeichen als Entsprechung der Stammebene einesOrdners ohne Unterordner verwendet.
** zwei Sternchen Mehrere Zeichen, einschließlich Schrägstrich (/) und umgekehrter Schrägstrich(\).
| Pipe Platzhalter-Escape.
Die Escape-Zeichenfolge für ein doppeltes Sternchen (**) lautet "|*|*".
Platzhalter in allen anderen Werten
Für Werte, die normalerweise keine Pfadangaben mit Schrägstrichen enthalten, können folgendePlatzhalter verwendet werden.
? Fragezeichen Ein einzelnes Zeichen.
* Sternchen Mehrere Zeichen, einschließlich Schrägstrich (/) und umgekehrter Schrägstrich (\).
| Pipe Platzhalter-Escape.
Erstellen von VerbindungsisolierungsgruppenUm einen Satz an Regeln zu erstellen, die nur bei Verbindung mit einem Netzwerk mit bestimmtenParametern gelten sollen, erstellen Sie eine Firewall-Regelgruppe für Verbindungsisolierung.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Firewall.
Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Firewall.
3 Klicken Sie unter REGELN auf Gruppe hinzufügen.
4 Geben Sie unter Beschreibung die Optionen für die Gruppe an.
5 Wählen Sie unter Standort die Option Standortbewusstsein aktivieren und Verbindungsisolierung aktivieren.Wählen Sie dann die Standortkriterien für die Zuordnung.
Verwenden von FirewallVerwalten der Firewall 4
McAfee Endpoint Security 10.1 Produkthandbuch 89
6 Wählen Sie unter Netzwerke für Verbindungstypen den Typ der Verbindung (Kabelgebunden, Kabellos, Virtuell)aus, für den die in dieser Gruppe enthaltenen Regeln angewendet werden sollen.
Einstellungen für Transport und Ausführbare Dateien sind für Verbindungsisolierungsgruppen nichtverfügbar.
7 Klicken Sie auf OK.
8 Erstellen Sie in dieser Gruppe neue Regeln, oder verschieben Sie vorhandene Regeln aus derFirewall-Regelliste in die Gruppe.
9 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch Firewall-Regelgruppen und Verbindungsisolierung auf Seite 84Funktionsweise von Firewall-Regelgruppen auf Seite 83
Erstellen zeitbeschränkter GruppenErstellen Sie zeitbeschränkte Firewall-Gruppen, um den Internetzugriff zu beschränken, bis einClient-System eine Verbindung über ein VPN herstellt.
Wenn Benutzer für den Zugriff auf interne Websites über öffentliche Netzwerke eine Verbindungherstellen müssen, können Sie eine zeitbeschränkte Gruppe erstellen, um die Einrichtung einerVPN-Verbindung zu ermöglichen.
Zur Aktivierung dieser zeitbeschränkten Gruppe klicken Sie im Client-System mit der rechtenMaustaste auf das McAfee-Taskleistensymbol, und wählen Sie Schnellkonfiguration | ZeitbeschränkteFirewall-Gruppen aktivieren aus. Die Gruppe ist dann für die angegebene Anzahl von Minuten aktiv, und dasClient-System kann eine Verbindung zu einem öffentlichen Netzwerk herstellen und eineVPN-Verbindung einrichten.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Firewall.
Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf Firewall.
3 Erstellen Sie eine Firewall-Gruppe mit Standardeinstellungen, die Internetverbindungen zulassen.
Beispiel: Lassen Sie HTTP-Verkehr über Port 80 zu.
4 Wählen Sie unter Zeitplan die Option Zeitplan deaktivieren und die Gruppe über das McAfee-Taskleistensymbolaktivieren aus, und geben Sie die Anzahl von Minuten für die Gruppenaktivität ein.
5 Klicken Sie auf OK, um Ihre Änderungen zu speichern.
6 Erstellen Sie eine Verbindungsisolierungsgruppe, die mit dem VPN übereinstimmt, um den nötigenDatenverkehr zuzulassen.
Siehe Erstellen von Verbindungsisolierungsgruppen auf Seite 89.
Um über die Verbindungsisolierungsgruppe hinaus ausgehenden Datenverkehr aus demClient-System zu verhindern, vermeiden Sie jegliche Firewall-Regeln unter dieser Gruppe.
7 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
4 Verwenden von FirewallVerwalten der Firewall
90 McAfee Endpoint Security 10.1 Produkthandbuch
5 Verwenden der Webkontrolle
Webkontrolle-Schutzfunktionen werden in Ihrem Browser angezeigt, während Sie im Internet surfenoder suchen.
Inhalt Informationen zu Webkontrolle-Funktionen Zugreifen auf Webkontrolle-Funktionen Verwalten von Webkontrolle
Informationen zu Webkontrolle-FunktionenWenn die Webkontrolle auf jedem verwalteten System ausgeführt wird, benachrichtigt sie Sie überBedrohungen, während Sie nach Websites suchen oder surfen.
Ein McAfee-Team analysiert jede Website und weist ihr eine farbcodierte Sicherheitsbewertungbasierend auf den Testergebnissen zu. Die Farbe gibt die Sicherheitsstufe der Site wieder.
Die Software verwendet die Testergebnisse, um Sie über webbasierte Bedrohungen zu informieren, aufdie Sie möglicherweise stoßen.
Auf Suchergebnisseiten: Ein Symbol erscheint neben jeder aufgeführten Site. Die Farbe desSymbols gibt die Sicherheitsbewertung der jeweiligen Site wieder. Sie können über diese Symbole aufzusätzliche Informationen zugreifen.
Im Browserfenster: Eine Schaltfläche wird im Browser angezeigt. Die Farbe der Schaltfläche gibt dieSicherheitsbewertung der jeweiligen Site wieder. Sie können durch einen Klick auf die Schaltfläche aufzusätzliche Informationen zugreifen.
Diese Schaltfläche informiert Sie darüber hinaus über aufgetretene Kommunikationsprobleme underleichtert den schnellen Zugriff auf Tests, mit denen häufige Probleme identifiziert werden können.
In Sicherheitsberichten: Gibt detailliert an, wie die Sicherheitsbewertung auf Basis der erkanntenBedrohungsarten, der Testergebnisse und anderer Daten berechnet wurde.
Für verwaltete Systeme erstellen Administratoren Richtlinien für folgende Aktionen:
• Aktivieren und Deaktivieren der Webkontrolle auf Ihrem System; Verhindern oder Zulassen derDeaktivierung des Browser-Plug-Ins
• Steuern des Zugriffs auf Sites, Seiten und Downloads, basierend auf deren Sicherheitsbewertungoder Inhaltstyp
Sie können beispielsweise rote Sites blockieren und Benutzer bei einem versuchten Zugriff aufgelbe Sites warnen.
• Identifizieren von Sites als blockiert oder zugelassen, basierend auf URLs und Domänen
5
McAfee Endpoint Security 10.1 Produkthandbuch 91
• Verhindern, dass Sie Webkontrolle-Dateien, Registrierungsschlüssel, Registrierungswerte, Diensteund Prozesse deinstallieren oder ändern
• Anpassen der angezeigten Benachrichtigung, wenn Sie versuchen, auf eine blockierte Websitezuzugreifen
• Überwachen und steuern Sie die Browser-Aktivitäten auf Netzwerk-Computern, und erstellen Siedetaillierte Berichte zu Websites.
Für von Ihnen selbst verwaltete Systeme können Sie die folgenden Einstellungen konfigurieren:
• Aktivieren und Deaktivieren der Webkontrolle auf Ihrem System
• Steuern des Zugriffs auf Sites, Seiten und Downloads, basierend auf deren Sicherheitsbewertungoder Inhaltstyp
Sie können beispielsweise rote Sites blockieren und Benutzer bei einem versuchten Zugriff aufgelbe Sites warnen.
Die Software unterstützt die Browser Microsoft Internet Explorer, Mozilla Firefox und Google Chrome.
In selbstverwalteten Systemen sind sowohl unterstützte als auch nicht unterstützte Browserstandardmäßig zugelassen.
Chrome unterstützt weder die Erzwingung von Datei-Downloads noch die Option Sprechblase anzeigen.
Siehe auch Identifizieren von Bedrohungen durch die Webkontrolle-Schaltfläche beim Surfen auf Seite93Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen auf Seite 94Site-Berichte für Details auf Seite 94So werden Sicherheitsbewertungen kompiliert auf Seite 95
Blockieren oder Warnen bezüglich Sites und Downloads durchdie WebkontrolleBesucht ein Benutzer eine Site, die blockiert oder vor der gewarnt wurde, zeigt die Webkontrolle eineSeite bzw. Pop-Up-Benachrichtigung mit dem entsprechenden Grund an.
Bei Einstellung der Bewertungsaktionen für eine Site auf:
• Warnen: Webkontrolle zeigt eine Warnung an, um Benutzer über mögliche Gefahren in Verbindungmit der Site zu informieren.
• Durch Abbrechen kehren Sie zur zuvor aufgerufenen Site zurück.
Wenn die Browser-Registerkarte keine zuvor angezeigte Site enthält, ist Abbrechen nichtverfügbar.
• Durch Fortfahren wird die Site aufgerufen.
• Blockieren: Webkontrolle zeigt eine Meldung an, dass die Site blockiert ist, und verhindert, dassBenutzer auf die Site zugreifen.
Durch OK kehren Sie zur zuvor aufgerufenen Site zurück.
Wenn die Browser-Registerkarte keine zuvor angezeigte Site enthält, ist OK nicht verfügbar.
5 Verwenden der WebkontrolleInformationen zu Webkontrolle-Funktionen
92 McAfee Endpoint Security 10.1 Produkthandbuch
Bei Einstellung der Bewertungsaktionen für Downloads von einer Site auf:
• Warnen: Webkontrolle zeigt eine Warnung an, um Benutzer über mögliche Gefahren in Verbindungmit der Download-Datei zu informieren.
• Durch Blockieren wird der Download verhindert, und Sie kehren zur Site zurück.
• Durch Fortfahren wird der Download fortgesetzt.
• Blockieren: Webkontrolle zeigt eine Meldung an, dass die Site blockiert ist, und verhindert denDownload.
Durch OK kehren Sie zur Site zurück.
Identifizieren von Bedrohungen durch die Webkontrolle-Schaltfläche beim SurfenBeim Besuch einer Website wird im Browser eine farbcodierte Schaltfläche angezeigt.Die Farbe der Schaltfläche entspricht der Sicherheitsbewertung der jeweiligen Site.
Die Sicherheitsbewertung gilt nur für URLs mit HTTP- und HTTPS-Protokollen.
Internet Explorerund Safari (Mac)
Firefox undChrome
Beschreibung
Diese Site wird von McAfee SECURE™ täglich getestet und alssicher zertifiziert. (Nur Windows)
Diese Site ist sicher.
Bei dieser Site bestehen möglicherweise Probleme.
Diese Site enthält einige ernst zu nehmende Probleme.
Für diese Site ist keine Bewertung verfügbar.Diese Schaltfläche wird nur für URLs mit FILE-Protokollen(file://) angezeigt.
Bei der Kommunikation mit dem McAfee GTI-Server, auf demBewertungsinformationen vorhanden sind, ist ein Fehleraufgetreten.
Die Webkontrolle hat keine Abfrage an McAfee GTI für dieseSite gesendet, was bedeutet, dass sie intern oder in einemprivaten IP-Adressbereich ist.
Diese Site ist eine Phishing-Site.
Phishing ist ein Versuch, sich vertrauliche Informationen zuverschaffen, beispielsweise Benutzernamen, Kennwörter undKreditkartendaten. Phishing-Sites geben sich bei derelektronischen Kommunikation als vertrauenswürdigeEntitäten aus.
Eine Einstellung lässt diese Site zu.
Eine Einstellung hat die Webkontrolle deaktiviert.
Verwenden der WebkontrolleInformationen zu Webkontrolle-Funktionen 5
McAfee Endpoint Security 10.1 Produkthandbuch 93
Die Schaltfläche ist je nach Browser an verschiedenen Stellen zu finden:
• Internet Explorer: Webkontrolle-Symbolleiste
• Firefox: rechte Ecke der Firefox-Symbolleiste
• Chrome: in der Adressleiste
Siehe auch Anzeigen von Informationen zu einer Site beim Surfen auf Seite 97
Sicherheitssymbole zur Bedrohungsanzeige bei SuchvorgängenWenn Sie Stichwörter in Suchmaschinen wie Google, Yahoo!, Bing oder Ask eingeben, werdenSicherheitssymbole neben den Sites angezeigt, die auf der Suchergebnisseite aufgeführt sind. DieFarbe der Menüschaltfläche entspricht der Sicherheitsbewertung der Site.
Tests haben keine schwerwiegenden Probleme gefunden.
Tests ergaben einige Probleme, von denen Sie wissen sollten. Die Website versuchtebeispielsweise Änderungen an den Standard-Browsereinstellungen der Tester vorzunehmen,zeigte Pop-Ups an oder verschickte eine signifikante Menge an Non-Spam-E-Mails an Tester.
Tests ergaben einige ernst zu nehmende Probleme, die Sie vor dem Zugriff auf die Sitesorgfältig beachten müssen. Die Website sendete beispielsweise Spam-E-Mails an die Testeroder kombinierte Adware mit einem Download.
Eine hat diese Site blockiert.
Diese Site wurde noch nicht bewertet.
Siehe auch Site-Bericht während der Suche anzeigen auf Seite 98
Site-Berichte für DetailsIm Site-Bericht einer Website können Sie sich Details zu bestimmten Bedrohungen anzeigen lassen.
Site-Berichte werden vom Server für die McAfee GTI-Bewertungen bereitgestellt und enthalten diefolgenden Informationen.
5 Verwenden der WebkontrolleInformationen zu Webkontrolle-Funktionen
94 McAfee Endpoint Security 10.1 Produkthandbuch
Dieses Element... Zeigt Folgendes an...
Überblick Die Gesamtbewertung der Website, erstellt auf Grundlage dieser Tests:• Auswertung der E-Mail- und Download-Praktiken für eine Website mithilfe
von Techniken zur Erfassung und Analyse von Daten.
• Untersuchung der Website selbst, um festzustellen, ob sie störendePraktiken wie übermäßige Pop-Ups verwendet oder Aufforderungen zumWechseln der Homepage sendet.
• Analyse der Online-Zugehörigkeiten, um festzustellen, ob die Website mitanderen verdächtigen Sites verknüpft ist.
• Kombination der McAfee-Überprüfung verdächtiger Sites mit demFeedback von unseren Threat Intelligence Services.
Online-Zugehörigkeiten Wie aggressiv von der Site versucht wird, Sie auf andere Sites umzuleiten,die McAfee mit einer roten Bewertung gekennzeichnet hat.Verdächtige Sites sind oft mit anderen verdächtigen Sites verknüpft. Derwesentliche Zweck von solchen Zubringer -Sites besteht darin, Sie zu demBesuch der verdächtigen Site zu verleiten. Eine Site kann beispielsweiseeine rote Bewertung erhalten, wenn sie zu aggressiv mit anderen roten Sitesverknüpft ist. In diesem Fall wird die Site von Webkontrolle als Rot aufgrundvon Verknüpfungenbewertet.
Web-Spam-Tests Die Gesamtbewertung für die E-Mail-Praktiken einer Website, basierend aufden Testergebnissen.McAfee bewertet Sites anhand der Menge an E-Mails, die wir nach derEingabe einer Adresse auf der Site erhalten, und der Höhe desSpam-Gehalts der E-Mails. Wenn eine dieser Messungen zu einem Wertführt, der höher als akzeptabel ist, bewertet McAfee die Site gelb. Wennbeide Messwerte hoch sind oder einer der Messwerte sehr hoch ausfällt,bewertet McAfee die Site rot.
Download-Tests Die Gesamtbewertung der Auswirkung, die die herunterladbare Softwareeiner Site auf unseren Test-Computer hatte, basierend auf denTestergebnissen.Rote Bewertungen ordnet McAfee Sites mit vireninfizierten Downloads zuoder die sachfremde Software hinzufügen, die viele Benutzer als Adwareoder Spyware empfinden. Für die Bewertung werden auch dieNetzwerk-Server berücksichtigt, die von einem heruntergeladenenProgramm bei der Ausführung kontaktiert werden, sowie alle Modifikationenan den Browser-Einstellungen oder den Registrierungsdateien einesComputers.
Siehe auch Site-Bericht während der Suche anzeigen auf Seite 98Anzeigen von Informationen zu einer Site beim Surfen auf Seite 97
So werden Sicherheitsbewertungen kompiliert Ein McAfee-Team entwickelt Sicherheitsbewertungen anhand von Kriterien für die einzelnen Websitesund wertet die Ergebnisse aus, um häufig auftretende Bedrohungen zu erkennen.
Automatisierte Tests kompilieren die Sicherheitsbewertung für eine Website, indem sie:
• heruntergeladene Dateien auf Viren und potenziell unerwünschte Programme prüfen, die mit demDownload gebündelt sind.
• Kontaktdaten in Anmeldeformulare eingeben und auf nachfolgenden Spam beziehungsweise aufeine hohe Menge an Non-Spam-E-Mails achten, die von der Site oder ihren Partnern geschicktwurden.
Verwenden der WebkontrolleInformationen zu Webkontrolle-Funktionen 5
McAfee Endpoint Security 10.1 Produkthandbuch 95
• Auf eine exzessive Anzahl an Pop-Up-Fenstern prüfen.
• auf Versuche der Site prüfen, die Schwachstellen des Browsers auszunutzen.
• auf betrügerische Praktiken der Site prüfen.
Das Team fasst die Testergebnisse zu einem Sicherheitsbericht zusammen, der auch Folgendesenthält:
• Durch Site-Eigentümer eingereichtes Feedback, das Beschreibungen der von der Site verwendetenSicherheitsmaßnahmen sowie Antworten auf Benutzer-Feedback zur Site enthalten kann
• Von den Site-Benutzern eingesendetes Feedback, das Berichte zu Phishing-Scams sowieInformationen zu schlechten Einkaufserfahrungen enthalten kann.
• Zusätzliche Analyse durch McAfee-Experten.
Der McAfee GTI-Server speichert Site-Bewertungen und Berichte.
Zugreifen auf Webkontrolle-FunktionenGreifen Sie über den Browser auf Webkontrolle-Funktionen zu.
Aufgaben• Aktivieren des Webkontrolle-Plug-Ins über den Browser auf Seite 96
Bei einigen Browsern müssen Sie das Webkontrolle-Plug-In manuell aktivieren, um beimSurfen und Suchen über webbasierte Bedrohungen benachrichtigt zu werden.
• Anzeigen von Informationen zu einer Site beim Surfen auf Seite 97Verwenden Sie die Schaltfläche Webkontrolle im Browser, um Informationen zu einer Siteanzuzeigen. Die Funktion der Schaltfläche unterscheidet sich abhängig vom verwendetenBrowser.
• Site-Bericht während der Suche anzeigen auf Seite 98Das Sicherheitssymbol auf einer Seite mit Suchergebnissen zeigt weitere Informationen zueiner Site an.
Aktivieren des Webkontrolle-Plug-Ins über den BrowserBei einigen Browsern müssen Sie das Webkontrolle-Plug-In manuell aktivieren, um beim Surfen undSuchen über webbasierte Bedrohungen benachrichtigt zu werden.
Bevor Sie beginnenDas Webkontrolle-Modul muss aktiviert werden.
Sie werden beim ersten Starten vom Internet Explorer oder von Chrome dazu aufgefordert, Plug-Inszu aktivieren. Das Webkontrolle-Plug-In ist in Firefox standardmäßig aktiviert.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
• Klicken Sie bei Aufforderung auf die Schaltfläche zum Aktivieren des Plug-Ins.
5 Verwenden der WebkontrolleZugreifen auf Webkontrolle-Funktionen
96 McAfee Endpoint Security 10.1 Produkthandbuch
InternetExplorer
• Klicken Sie auf Aktivieren.
• Wenn mehr als ein Plug-In verfügbar ist, klicken Sie auf Add-Ons auswählen unddann für die Webkontrolle-Symbolleiste auf Webkontrolle.
Chrome Klicken Sie auf Erweiterung aktivieren.
Wenn Sie in Internet Explorer die Webkontrolle-Symbolleiste deaktivieren, werden Sie auch zurDeaktivierung des Webkontrolle-Plug-Ins aufgefordert. Verhindern die Richtlinieneinstellungen inverwalteten Systemen das Deinstallieren oder Deaktivieren des Plug-Ins, bleibt dasWebkontrolle-Plug-In aktiviert, auch wenn die Symbolleiste nicht angezeigt wird.
Anzeigen von Informationen zu einer Site beim SurfenVerwenden Sie die Schaltfläche Webkontrolle im Browser, um Informationen zu einer Site anzuzeigen.Die Funktion der Schaltfläche unterscheidet sich abhängig vom verwendeten Browser.
Bevor Sie beginnen• Das Webkontrolle-Modul muss aktiviert sein.
• Das Webkontrolle-Plug-In muss im Browser aktiviert sein.
• Die Option Symbolleiste im Client-Browser ausblenden in den Einstellungen der Optionen mussdeaktiviert sein.
Wenn sich Internet Explorer im Vollbildmodus befindet, wird die Symbolleiste der Webkontrolle nichtangezeigt.
So zeigen Sie das Webkontrolle-Menü an:
Internet Explorer und FirefoxKlicken Sie in der Symbolleiste auf die Schaltfläche .
Chrome Klicken Sie in der Adressleiste auf die Schaltfläche .
Vorgehensweise1 Anzeigen einer Sprechblase mit einer Zusammenfassung der Sicherheitsbewertung für die Site:
Halten Sie den Mauszeiger in der Webkontrolle-Symbolleiste über die Schaltfläche.
(Nur Internet Explorer und Firefox)
2 Anzeigen des detaillierten Site-Berichts mit weiteren Informationen zur Sicherheitsbewertung fürdie Site:
• Klicken Sie auf die Webkontrolle-Schaltfläche.
• Wählen Sie aus dem Webkontrolle-Menü Site-Bericht anzeigen aus.
• Klicken Sie in der Sprechblase der Site auf den Link Site-Bericht lesen. (Nur Internet Explorer undFirefox)
Siehe auch Identifizieren von Bedrohungen durch die Webkontrolle-Schaltfläche beim Surfen auf Seite 93Site-Berichte für Details auf Seite 94
Verwenden der WebkontrolleZugreifen auf Webkontrolle-Funktionen 5
McAfee Endpoint Security 10.1 Produkthandbuch 97
Site-Bericht während der Suche anzeigenDas Sicherheitssymbol auf einer Seite mit Suchergebnissen zeigt weitere Informationen zu einer Sitean.
Vorgehensweise1 Halten Sie den Mauszeiger über das Sicherheitssymbol. Eine Sprechblase mit einer
Zusammenfassung des Sicherheitsberichts für die Site wird angezeigt.
2 Klicken Sie in der Sprechblase der Site auf Site-Bericht lesen, um einen detaillierten Sicherheitsberichtin einem neuen Browser-Fenster zu öffnen.
Siehe auch Sicherheitssymbole zur Bedrohungsanzeige bei Suchvorgängen auf Seite 94Site-Berichte für Details auf Seite 94
Verwalten von WebkontrolleAls Administrator können Sie Webkontrolle-Einstellungen festlegen, um den Schutz zu aktivieren undanzupassen, Sites basierend auf Webkategorien blockieren und Protokollierung konfigurieren.
Bei verwalteten Systemen könnten Richtlinienänderungen von McAfee ePO die Änderungen von derSeite Einstellungen überschreiben.
Konfigurieren von Webkontrolle-OptionenSie können vom Endpoint Security-Client aus die Webkontrolle aktivieren und Optionen konfigurieren.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Web Control.
Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf WebControl.
3 Klicken Sie auf Erweiterte anzeigen.
4 Klicken Sie auf Optionen.
5 Verwenden der WebkontrolleVerwalten von Webkontrolle
98 McAfee Endpoint Security 10.1 Produkthandbuch
5 Wählen Sie Webkontrolle aktivieren aus, um Webkontrolle zu aktivieren und die Optionen zu ändern.
Ziel Auszuführende Schritte Hinweise
Blenden Sie dieSymbolleiste derWebkontrolle im Browseraus, ohne den Schutz zudeaktivieren.
Wählen Sie Symbolleiste imClient-Browser ausblenden.
Verfolgen SieBrowser-Ereignisse für dieBerichterstellung.
Konfigurieren SieEinstellungen unterEreignisprotokoll.
Konfigurieren SieWebkontrolle-Ereignisse, die vonClient-Systemen an denManagement-Server für Abfragen undBerichte gesendet werden.
Blockieren Sie unbekannteURLs, oder lassen Sie eineWarnung anzeigen.
Wählen Sie unter Erzwingung vonAktionen die Aktion (Blockieren,Zulassen oder Warnen) für Sitesaus, die noch nicht vonMcAfee GTI überprüft wurden.
Scannen Sie Dateien vordem Download.
Wählen Sie Datei-Scan beiDatei-Downloads aktivieren, undwählen Sie dann die McAfeeGTI-Risikostufe für dieBlockierung.
Blockieren Sie die Anzeigeriskanter Websites inSuchergebnissen.
Wählen Sie unter Sichere SucheSichere Suche aktivieren undanschließend dieSuchmaschine aus, und legenSie dann fest, ob Sie Links fürriskante Sites blockierenmöchten.
Die sichere Suche filtert diebösartigen Websites in denSuchergebnissen anhand ihrerSicherheitsbewertungen. DieWebkontrolle nutzt Yahoo alsStandard-Suchmaschine.
Wenn Sie dieStandard-Suchmaschine ändern,starten Sie den Browser neu,damit die Änderungen wirksamwerden.
6 Konfigurieren Sie andere Optionen nach Bedarf.
7 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch Wie Datei-Downloads gescannt werden auf Seite 100Anmelden als Administrator auf Seite 25
Verwenden der WebkontrolleVerwalten von Webkontrolle 5
McAfee Endpoint Security 10.1 Produkthandbuch 99
Wie Datei-Downloads gescannt werdenDie Webkontrolle sendet Anfragen für Datei-Downloads an den Bedrohungsschutz, damit sie vor demHerunterladen gescannt werden.
5 Verwenden der WebkontrolleVerwalten von Webkontrolle
100 McAfee Endpoint Security 10.1 Produkthandbuch
Angeben von Bewertungsaktionen und Blockieren des Site-Zugriffs basierend auf der Webkategorie Konfigurieren Sie Einstellungen für Inhaltsaktionen-, um die Aktionen für Sites und Datei-Downloadsbasierend auf den Sicherheitsbewertungen festzulegen. Optional können Sie festlegen, ob Sites in derjeweiligen Webkategorie blockiert oder zugelassen werden sollen.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Mithilfe der Einstellungen unter Erzwingungsmeldungen können Sie die angezeigte Meldung für Sitesund Datei-Downloads anpassen, je nachdem, ob sie blockiert sind oder eine Warnung dafür ausgegebenwird, oder ob es sich um blockierte Phishing-Seiten handelt.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Web Control.
Oder wählen Sie im Menü Aktion Einstellungen. Klicken Sie dann auf der Seite Einstellungen auf WebControl.
3 Klicken Sie auf Erweiterte anzeigen.
4 Klicken Sie auf Inhaltsaktionen.
5 Aktivieren oder deaktivieren Sie unter Webkategorie-Blockierung für jede Webkategorie die Option Blockieren.
Für Sites in den nicht blockierten Kategorien wendet die Webkontrolle außerdem dieBewertungsaktionen an.
6 Legen Sie unter Bewertungsaktionen die anzuwendenden Aktionen für Sites und Datei-Downloadsbasierend auf den von McAfee definierten Sicherheitsbewertungen fest.
Diese Aktionen gelten auch für Sites, die nicht basierend auf Webkategorie-Blockierung blockiertsind.
7 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern, oder klicken Sie auf Abbrechen.
Siehe auch Verwenden von Webkategorien zur Zugriffssteuerung auf Seite 101Verwenden von Sicherheitsbewertungen zum Kontrollieren des Zugriffs auf Seite 102Anmelden als Administrator auf Seite 25
Verwenden von Webkategorien zur ZugriffssteuerungWebkategorien ermöglichen Ihnen die Steuerung des Zugriffs auf Sites basierend auf Kategorien, dievon McAfee festgelegt werden. Sie können Optionen angeben, um den Zugriff auf Websites ausgehendvon der enthaltenen Inhaltskategorie zuzulassen oder zu blockieren.
Wenn Sie die Webkategorie-Blockierung in den Richtlinieneinstellungen für aktivieren, werdenWebsite-Kategorien von der Software blockiert oder zugelassen. Zu diesen Webkategorien gehörenGlücksspiel, Spiele und Instant Messaging. Die Liste der etwa 105 Webkategorien wird von McAfeedefiniert und gewartet.
Verwenden der WebkontrolleVerwalten von Webkontrolle 5
McAfee Endpoint Security 10.1 Produkthandbuch 101
Wenn ein Client-Benutzer auf eine Site zugreift, überprüft die Software die Webkategorie für die Site.Wenn die Site zu einer definierten Kategorie gehört, wird der Zugriff basierend auf denRichtlinieneinstellungen für oder zugelassen. Die Software wendet die angegebenenBewertungsaktionen für Sites und Datei-Downloads in den nicht blockierten Kategorien an.
Verwenden von Sicherheitsbewertungen zum Kontrollieren des ZugriffsKonfigurieren Sie Aktionen anhand von Sicherheitsbewertungen, um zu entscheiden, ob Benutzer aufeine Site oder auf Ressourcen einer Site zugreifen können.
Legen Sie für jede Site oder jeden Datei-Download fest, ob diese oder dieser je nach Bewertungzugelassen, blockiert oder eine Warnung dafür generiert werden soll. Auf diese Weise kann genauerfestgelegt werden, wie Benutzer vor Dateien geschützt werden sollen, die auf Sites mit insgesamtgrüner Bewertung eine Bedrohung darstellen können.
5 Verwenden der WebkontrolleVerwalten von Webkontrolle
102 McAfee Endpoint Security 10.1 Produkthandbuch
6 Verwenden von Bedrohungsabwehrdaten
Bedrohungsabwehrdaten stellt eine kontextbewusste und anpassbare Sicherheitslösung für IhreNetzwerkumgebung dar.
Bedrohungsabwehrdaten analysiert Inhalte des Unternehmens und entscheidet basierend auf derReputation einer Datei sowie den von Ihrem Administrator festgelegten Kriterien.
Inhalt Funktionsweise von Bedrohungsabwehrdaten Verwalten von Bedrohungsabwehrdaten
Funktionsweise von BedrohungsabwehrdatenVon Bedrohungsabwehrdaten werden mithilfe des Data Exchange Layer-Frameworks Datei- undBedrohungsinformationen sofort an das gesamte Netzwerk weitergegeben.
In der Vergangenheit haben Sie unbekannte Dateien oder Zertifikate zur Analyse an McAfee gesendetund dann die Dateiinformationen Tage später im gesamten Netzwerk aktualisiert. MitBedrohungsabwehrdaten können Sie die Datei-Reputation auf lokaler Ebene steuern, das heißt in IhrerUmgebung. Sie entscheiden, welche Dateien ausgeführt werden können und welche blockiert werden.Die Informationen werden dann von Data Exchange Layer sofort an die gesamte Umgebungweitergegeben.
Szenarien für die Verwendung von Bedrohungsabwehrdaten
• Sofortiges Blockieren einer Datei: Der Netzwerkadministrator wird vonBedrohungsabwehrdaten gewarnt, dass in der Umgebung eine unbekannte Datei gefunden wurde.Anstatt die Dateiinformationen zur Analyse an McAfee zu senden, blockiert der Administrator dieDatei sofort. Anschließend kann er sich mithilfe von Bedrohungsabwehrdaten informieren, ob dieDatei eine Bedrohung darstellt und auf wie vielen Systemen sie ausgeführt wurde.
• Zulassen der Ausführung einer benutzerdefinierten Datei: Ein Unternehmen verwendetregelmäßig eine Datei mit der Standardreputation Verdächtig oder Bösartig. Dies kannbeispielsweise eine benutzerdefinierte Datei sein, die für das Unternehmen erstellt wurde. Da dieDatei zulässig ist, muss der Administrator nicht die Dateiinformationen an McAfee senden, um eineaktualisierte DAT-Datei zu erhalten. Vielmehr kann er die Reputation der Datei in Vertrauenswürdigändern, und zulassen, dass sie ohne Warnungen oder Eingabeaufforderungen ausgeführt wird.
6
McAfee Endpoint Security 10.1 Produkthandbuch 103
Verwalten von BedrohungsabwehrdatenAls Administrator können Sie Bedrohungsabwehrdaten-Einstellungen festlegen, etwa die Auswahl vonRegelgruppen und die Festlegung von Reputationsschwellenwerten.
Richtlinienänderungen von McAfee ePO überschreiben die Änderungen von der Seite Einstellungen.
Das Bedrohungsabwehrdaten-Modul wird nur auf von McAfee ePO verwalteten Systemen unterstützt.
Informationen zu BedrohungsabwehrdatenBedrohungsabwehrdaten entsteht ein Sicherheitsökosystem mit unmittelbarer Kommunikationzwischen Systemen und Geräten in Ihrer Umgebung. Diese Kommunikation wird durch das DataExchange Layer-Framework ermöglicht.
Sie können sehen, auf welchen Systemen eine Bedrohung zuerst erkannt wurde, welchen weiterenWeg die Bedrohung nimmt, und sie dann sofort stoppen.
Bedrohungsabwehrdaten bietet die folgenden Vorteile:
• Schnelle Erkennung von Sicherheitsbedrohungen sowie Malware und entsprechender Schutz
• Identifizieren kompromittierter Systeme oder Geräte und der Ausbreitungswege in der Umgebung
• Sofortiges Blockieren oder Zulassen bestimmter Dateien und Zertifikate basierend auf denjeweiligen Bedrohungsreputationen und Ihren Risikokriterien
• Echtzeitintegration mit McAfee® Advanced Threat Defense und McAfee GTI, um detaillierteBewertungen und Daten zur Klassifizierung von Malware bereitzustellen. Dank dieser Integrationkönnen Sie auf Bedrohungen reagieren und die Informationen in der gesamten Umgebung nutzen.
Das Bedrohungsabwehrdaten-Modul wird nur auf von McAfee ePO verwalteten Systemen unterstützt.
Bedrohungsabwehrdaten-KomponentenBedrohungsabwehrdaten besteht aus den folgenden Komponenten.
• Mit einem Modul für Endpoint Security können Sie Richtlinien erstellen, um Dateien oder Zertifikatebasierend auf ihrer Reputation zu blockieren oder zuzulassen.
• Auf einem Server werden Informationen zu Datei- und Zertifikatreputationen gespeichert und dannan andere Systeme weitergegeben.
• Durch Data Exchange Layer-Broker wird bidirektionale Kommunikation zwischen verwaltetenSystemen in einem Netzwerk ermöglicht.
Die Komponenten werden als Erweiterungen für McAfee®
ePolicy Orchestrator®
(McAfee ePO™
)installiert. Dort stehen dann verschiedene neue Funktionen und Berichte zur Verfügung.
6 Verwenden von BedrohungsabwehrdatenVerwalten von Bedrohungsabwehrdaten
104 McAfee Endpoint Security 10.1 Produkthandbuch
Vom Modul und vom Server werden Datei-Reputationsinformationen kommuniziert. DieseInformationen werden vom Data Exchange Layer-Framework sofort an die verwalteten Endpunkteweitergegeben. Außerdem werden Informationen gemeinsam mit anderen McAfee-Produkten genutzt,in denen auf Data Exchange Layer zugegriffen wird. Dazu gehören beispielsweise McAfee
®
EnterpriseSecurity Manager (McAfee ESM) und McAfee
®
Network Security Platform.
Bedrohungsabwehrdaten-ModulIm Bedrohungsabwehrdaten-Modul können Sie festlegen, was passieren soll, wenn eine Datei mitbösartiger oder unbekannter Reputation in Ihrer Umgebung erkannt wird. Darüber hinaus können SieInformationen zum Bedrohungsverlauf sowie die ausgeführten Aktionen anzeigen.
Mit dem Bedrohungsabwehrdaten-Modul können Sie die folgenden Aufgaben ausführen.
• Erstellen von Richtlinien zu folgenden Zwecken:
• Zulassen oder Blockieren von Dateien und Zertifikaten abhängig von ihrer Reputation
• Anzeigen einer Eingabeaufforderung bei jedem Versuch, eine Datei oder ein Zertifikat mit einerbestimmten Reputation auszuführen
• Automatisches Senden von Dateien an Advanced Threat Defense zu weiteren Tests
• Anzeigen von Ereignissen in den Dashboards von Bedrohungsabwehrdaten Sie können Ereignissebezüglich Säubern, Blockieren oder Zulassen für die letzten 30 Tage oder nach Ereignistypanzeigen.
Verwenden von BedrohungsabwehrdatenVerwalten von Bedrohungsabwehrdaten 6
McAfee Endpoint Security 10.1 Produkthandbuch 105
Bedrohungsabwehrdaten Exchange ServerAuf dem Server werden Informationen zu Datei- und Zertifikatreputationen gespeichert und dann anandere Systeme in der Umgebung weitergegeben.
Informationen zum Server finden Sie im Bedrohungsabwehrdaten Exchange-Produkthandbuch.
Verbinden von TIE Servern und Datenbanken über einen Bridge-Computer
Wenn Sie TIE Server und Datenbanken über verschiedene McAfee ePO-Systeme verwalten, können Siediese über einen Bridge-Computer verbinden, um Reputationsinformationen gemeinsam zu nutzen.Details zum Verbinden von TIE Servern und Datenbanken über einen Bridge-Computer finden Sie imData Exchange Layer-Produkthandbuch und im Knowledge Base-Artikel KB83896.
Data Exchange Layer Data Exchange Layer umfasst Client-Software und Broker, durch die bidirektionale Kommunikationzwischen Endpunkten in einem Netzwerk ermöglicht wird.
Data Exchange Layer ist im Hintergrund für die Kommunikation mit Diensten, Datenbanken,Endpunkten und Anwendungen zuständig. Data Exchange Layer Client wird auf allen verwaltetenEndpunkten installiert, damit Bedrohungsinformationen aus Sicherheitsprodukten, in denen DXLverwendet wird, sofort an alle anderen Dienste und Geräte weitergegeben werden können. Aufgrundder sofortigen Weitergabe von verfügbaren Reputationsinformationen müssen beim Austausch vonInformationen weniger gegenseitige Annahmen zur Sicherheit in Anwendungen und Diensten getroffenwerden. Durch diese gemeinsam genutzten Informationen wird die Ausbreitung von Bedrohungeneingedämmt.
Details zum Installieren und Verwenden von Data Exchange Layer finden Sie im Data ExchangeLayer-Produkthandbuch.
So wird eine Reputation bestimmtDie Datei- und Zertifikatreputation wird bestimmt, wenn versucht wird, eine Datei auf einemverwalteten System auszuführen.
Die Reputation einer Datei oder eines Zertifikats wird mit den folgenden Schritten bestimmt.
1 Ein Benutzer oder System versucht, eine Datei auszuführen.
2 Die Datei wird von Endpoint Security überprüft. Dabei können die Gültigkeit und Reputation nichtbestimmt werden.
3 Die Datei wird vom Bedrohungsabwehrdaten-Modul überprüft. Außerdem werden relevanteEigenschaften der Datei und des lokalen Systems erfasst.
4 Der Datei-Hash wird im lokalen Reputations-Cache gesucht. Wenn der Datei-Hash gefunden wird,werden Enterprise-Daten zur Verbreitung sowie zur Reputation der Datei durch das Modul aus demCache abgerufen.
5 Wenn der Datei-Hash im lokalen Reputations-Cache nicht gefunden wird, wird eine Abfrage an denTIE Server gesendet. Wenn der Hash gefunden wird, werden die Enterprise-Daten zur Verbreitung(und zu verfügbaren Reputationen) für den Datei-Hash abgerufen.
6 Wenn der Datei-Hash weder im TIE Server noch in der Datenbank gefunden wird, wird vom Serverdie Reputation des Datei-Hashs in McAfee GTI abgefragt. McAfee GTI sendet die verfügbarenInformationen, zum Beispiel "Unbekannte Reputation". Diese Informationen werden dann auf demServer gespeichert.
6 Verwenden von BedrohungsabwehrdatenVerwalten von Bedrohungsabwehrdaten
106 McAfee Endpoint Security 10.1 Produkthandbuch
In den folgenden Fällen sendet der Server die Datei zum Scannen:
• Advanced Threat Defense ist vorhanden, und der Datei-Hash wurde nicht in McAfee GTIgefunden.
• Für die Richtlinie auf dem Endpunkt wurde das Senden der Datei an Advanced Threat Defensekonfiguriert.
Zusätzliche Schritte finden Sie unter Wenn Advanced Threat Defense vorhanden ist.
7 Vom Server werden basierend auf den gefundenen Daten die Dauer des Datei-Hash-Vorkommensim Unternehmen, die Verbreitungsdaten und die Reputation an das Modul zurückgegeben. Wenndie Datei neu in der Umgebung ist, sendet der Server außerdem die Kennzeichnung "erstesAuftreten" an das Bedrohungsabwehrdaten-Modul. Wenn McAfee Web Gateway vorhanden ist undeinen Reputationsfaktor sendet, wird die Reputation der Datei von Bedrohungsabwehrdatenzurückgegeben.
8 Diese Metadaten werden vom Modul getestet, um die Reputation der Datei zu bestimmen:
• Datei- und Systemeigenschaften
• Enterprise-Alter und Verbreitungsdaten
• Reputation
9 Basierend auf der Richtlinie, die dem System zugewiesen ist, auf dem die Datei ausgeführt wird,wird vom Modul eine Aktion ausgeführt.
10 Der Server wird mit den Reputationsinformationen und Angaben dazu, ob die Datei zugelassenoder blockiert wird, aktualisiert. Außerdem werden über McAfee Agent Bedrohungsereignisse anMcAfee ePO gesendet.
11 Auf dem Server wird das Reputationsänderungsereignis für den Datei-Hash veröffentlicht.
Wenn Advanced Threat Defense vorhanden ist
Wenn Advanced Threat Defense vorhanden ist, läuft der folgende Prozess ab.
1 Wenn für das System das Senden von Dateien an Advanced Threat Defense konfiguriert wurde unddie Datei neu in der Umgebung ist, sendet das System sie an den TIE Server. Der TIE Serversendet sie dann zum Scannen an Advanced Threat Defense.
2 Die Datei wird von Advanced Threat Defense gescannt, und die Ergebnisse für die Datei-Reputationwerden über Data Exchange Layer an den TIE Server gesendet. Außerdem wird die Datenbankaktualisiert, und die aktualisierten Reputationsinformationen werden an alle Systeme gesendet, aufdenen das Bedrohungsabwehrdaten-Modul aktiviert ist. Dadurch wird die Umgebung sofortgeschützt. Das Bedrohungsabwehrdaten-Modul oder ein anderes McAfee-Produkt kann diesenProzess initiieren. In jedem Fall wird die Reputation jedoch in Bedrohungsabwehrdaten verarbeitetund in der Datenbank gespeichert.
Weitere Informationen zur Integration von Advanced Threat Defense in dasBedrohungsabwehrdaten-Modul finden Sie im Kapitel Malware-Erkennung und Advanced Threat Defenseim Produkthandbuch für McAfee Advanced Threat Defense.
Wenn McAfee Web Gateway vorhanden ist
Wenn McAfee Web Gateway vorhanden ist, läuft der folgende Prozess ab.
Verwenden von BedrohungsabwehrdatenVerwalten von Bedrohungsabwehrdaten 6
McAfee Endpoint Security 10.1 Produkthandbuch 107
• Wenn Sie Dateien herunterladen, wird ein Bericht von McAfee Web Gateway an den TIE Servergesendet und ein Reputationsfaktor in der Datenbank gespeichert. Erhält der Server eine Anfragevom Modul für eine Datei-Reputation, gibt es die Reputation zurück, die es von McAfee WebGateway und anderen Reputationsanbietern erhalten hat.
Weitere Informationen zum Austausch von Informationen in McAfee Web Gateway über den TIEServer finden Sie im Kapitel zu Proxys im Produkthandbuch für McAfee Web Gateway.
Erste SchritteSie haben das Bedrohungsabwehrdaten-Modul installiert. Wie geht es nun weiter?
Um das Bedrohungsabwehrdaten-Modul zu nutzen, führen Sie die folgenden Schritte aus:
1 Erstellen Sie Bedrohungsabwehrdaten-Richtlinien, um zu bestimmen, was zugelassen oder blockiertwird. Führen Sie dann das Bedrohungsabwehrdaten-Modul im Beobachtungsmodus aus, um dieDateiverbreitung festzustellen und zu beobachten, was vom Bedrohungsabwehrdaten-Modul in derUmgebung erkannt wird. Der Dateiverbreitung können Sie entnehmen, wie oft eine Datei in einerUmgebung auftritt.
2 Überwachen Sie die Richtlinien oder einzelne Datei- bzw. Zertifikat-Reputationen, oder passen Siesie an. Auf diese Weise steuern Sie, was in der Umgebung zugelassen wird.
Feststellen und Beobachten der DateiverbreitungBeginnen Sie nach der Installation und Bereitstellung, die Dateiverbreitung festzustellen undInformationen zu aktuellen Bedrohungen zu sammeln.
Sie können sehen, welche Elemente in der Umgebung ausgeführt werden undReputationsinformationen für Dateien und Zertifikate zur TIE-Datenbank hinzufügen. Mit diesenInformationen werden außerdem die Diagramme und Dashboards in dem Modul aufgefüllt, in dem Siedetaillierte Reputationsinformationen für Dateien und Zertifikate anzeigen.
Erstellen Sie zunächst eine oder mehrere Bedrohungsabwehrdaten-Richtlinien, die auf einigen wenigenSystemen in der Umgebung ausgeführt werden sollen. Mit den Richtlinien bestimmen Sie Folgendes:
• Wann eine Datei oder ein Zertifikat mit einer bestimmten Reputation auf einem System ausgeführtwerden darf
• Wann eine Datei oder ein Zertifikat blockiert wird
• Wann der Benutzer zu einer Eingabe aufgefordert wird
• Wann eine Datei zur weiteren Analyse an Advanced Threat Defense übermittelt wird
Während Sie die Dateiverbreitung feststellen, können Sie die Richtlinien im Beobachtungsmodusausführen. Datei- und Zertifikatreputationen werden zur Datenbank hinzugefügt, ohne dass eineAktion ausgeführt wird. Sie können sehen, was vom Bedrohungsabwehrdaten-Modul blockiert oderzugelassen wird, wenn die Richtlinie erzwungen wird.
Details finden Sie unter Konfigurieren von Bedrohungsabwehrdaten-Optionen.
Überwachen und Vornehmen von AnpassungenWährend die Richtlinien in der Umgebung ausgeführt werden, werden Reputationsdaten zurDatenbank hinzugefügt.
In den Dashboards und Ereignisansichten von McAfee ePO können Sie die Dateien und Zertifikatesehen, die gemäß den Richtlinien zugelassen oder blockiert wurden.
6 Verwenden von BedrohungsabwehrdatenVerwalten von Bedrohungsabwehrdaten
108 McAfee Endpoint Security 10.1 Produkthandbuch
Sie können detaillierte Informationen nach System (Computer), Datei, Regel oder Zertifikat anzeigenund schnell sehen, wie viele Elemente identifiziert und welche Aktionen ausgeführt wurden. Siekönnen einen Drilldown ausführen, indem Sie auf ein Element klicken und dieReputationseinstellungen für bestimmte Dateien oder Zertifikate anpassen, damit die entsprechendeAktion ausgeführt wird.
Wenn beispielsweise die Standard-Reputation einer Datei Verdächtig oder Unbekannt entspricht,obwohl Sie wissen, dass die Datei vertrauenswürdig ist, können Sie die Reputation inVertrauenswürdig ändern. Dann wird die Datei in der Umgebung ausgeführt, ohne dass sie blockiertoder der Benutzer zu einer Eingabe aufgefordert wird. Dies ist besonders hilfreich, wenn in derUmgebung interne oder benutzerdefinierte Dateien verwendet werden.
• Suchen Sie mit der Funktion TIE-Reputationen nach einem bestimmten Datei- oderZertifikatnamen. Sie können Details zu der Datei oder dem Zertifikat anzeigen, beispielsweise denNamen des Unternehmens, den SHA-1-Hash, die Beschreibung und McAfee GTI-Informationen. BeiDateien können Sie außerdem direkt über die Seite mit den Details für TIE-Reputationen aufVirusTotal zugreifen, um zusätzliche Informationen zu sehen.
• Auf der Seite Berichterstellungs-Dashboard können Sie verschiedene Arten vonReputationsinformationen gleichzeitig sehen. Sie können unter anderem die Anzahl der in derletzten Woche in der Umgebung erkannten neuen Dateien, der Dateien nach Reputation, derDateien mit kürzlich geänderter Reputation und der Systeme, auf denen kürzlich neue Dateienausgeführt wurden, anzeigen. Wenn Sie im Dashboard auf ein Element klicken, werden detaillierteInformationen angezeigt.
• Wenn Sie eine schädliche oder verdächtige Datei identifiziert haben, können Sie schnell sehen, aufwelchen Systemen die Datei ausgeführt wurde und die möglicherweise kompromittiert sind.
• Ändern Sie die Reputation einer Datei oder eines Zertifikats gemäß den Anforderungen derUmgebung. Die Informationen werden sofort in der Datenbank aktualisiert und an alle Geräte inder Umgebung gesendet. Dateien und Zertifikate werden basierend auf ihrer Reputation blockiertoder zugelassen.
Wenn Sie bei bestimmten Dateien oder Zertifikaten nicht sicher sind, können Sie die Ausführungblockieren, während Sie sich weiter informieren. Im Gegensatz zu einer Säuberungsaktion vonBedrohungsschutz, bei der die Datei möglicherweise gelöscht wird, bleibt eine blockierte Datei anOrt und Stelle, kann jedoch nicht ausgeführt werden. Die Datei bleibt intakt, während Sierecherchieren und über die Vorgehensweise entscheiden.
• Importieren Sie Datei- oder Zertifikatreputationen in die Datenbank, um bestimmte Dateien oderZertifikate basierend auf anderen Reputationsquellen zuzulassen oder zu blockieren. Auf dieseWeise können Sie die importierten Einstellungen für bestimmte Dateien und Zertifikate verwenden,ohne diese einzeln auf dem Server festlegen zu müssen.
Übermitteln von Dateien zur weiteren AnalyseWenn die Reputation einer Datei unbekannt oder ungewiss ist, können Sie die Datei zur weiterenAnalyse an Advanced Threat Defense übermitteln. Sie legen in der Bedrohungsabwehrdaten-Richtliniefest, ob die Dateien an Advanced Threat Defense gesendet werden.
Mit Advanced Threat Defense wird Zero-Day-Malware erkannt und mit Virenschutz-Signaturen,Reputationsinformationen und Abwehrmaßnahmen durch Echtzeit-Emulation kombiniert. Dateienkönnen von Bedrohungsabwehrdaten basierend auf ihrer Reputationsstufe und Größe automatischanAdvanced Threat Defense gesendet werden. Die von Advanced Threat Defense gesendetenInformationen zur Datei-Reputation werden der TIE Server-Datenbank hinzugefügt.
Verwenden von BedrohungsabwehrdatenVerwalten von Bedrohungsabwehrdaten 6
McAfee Endpoint Security 10.1 Produkthandbuch 109
Datei- und Zertifikatinformationen werden direkt zur Analyse an McAfee gesendet. Die Informationenwerden verwendet, um die Dateien und Zertifikate besser zu verstehen und dieReputationsinformationen zu verbessern.
McAfee erfasst keine persönlichen Informationen und gibt Informationen nicht außerhalb von McAfeeweiter.
Datei- und Zertifikatinformationen• Versionen des TIE Servers und des Moduls
• Im TIE Server vorgenommene Einstellungen zur Außerkraftsetzung der Reputation
• Externe Reputationsinformationen, beispielsweise aus Advanced Threat Defense
Ausschließlich dateibezogene Informationen• Dateiname, Pfad, Größe, Produkt, Herausgeber und Verbreitung
• Informationen zu SHA1, SHA256 und MD5 Hash
• Betriebssystemversion des meldenden Computers
• Für die Datei festgelegte maximale, minimale und durchschnittliche Reputation
• Ob sich das Berichterstellungsmodul im Beobachtungsmodus befindet
• Ob die Ausführung der Datei zugelassen wurde, ob die Datei blockiert wurde oder ob sie gesäubertwurde
• Das Produkt, von dem die Datei erkannt wurde, beispielsweise Advanced Threat Defense oderBedrohungsschutz
Ausschließlich zertifikatbezogene Informationen• Informationen zum SHA-Hash
• Namen von Aussteller und Antragsteller des Zertifikats
• Gültigkeits- und Ablaufdatum des Zertifikats
Konfigurieren von Bedrohungsabwehrdaten-OptionenMit bestimmen Sie, wann eine Datei oder ein Zertifikat ausgeführt werden darf bzw. gesäubert oderblockiert wird oder ob Benutzer aufgefordert werden, eine Entscheidung zu treffen.
Bevor Sie beginnenDer Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein,oder Sie müssen als Administrator angemeldet sein.
Richtlinienänderungen von McAfee ePO überschreiben die Änderungen von der Seite Einstellungen.
VorgehensweiseBeschreibungen der Optionen erhalten Sie, wenn Sie auf der Benutzeroberfläche auf ? klicken.
1 Öffnen Sie den Endpoint Security-Client.
2 Klicken Sie auf der Status-Hauptseite auf Threat Intelligence Exchange.
Sie können auch im Menü Aktion Einstellungen wählen. Klicken Sie dann auf der Seite Einstellungenauf Threat Intelligence Exchange.
6 Verwenden von BedrohungsabwehrdatenVerwalten von Bedrohungsabwehrdaten
110 McAfee Endpoint Security 10.1 Produkthandbuch
3 Klicken Sie auf Erweiterte anzeigen.
4 Klicken Sie auf Optionen.
5 Konfigurieren Sie die Einstellungen auf der Seite, klicken Sie auf Anwenden, um Ihre Änderungen zuspeichern, oder klicken Sie auf Abbrechen.
Blockieren oder Zulassen von Dateien und ZertifikatenDateien und Zertifikate haben Bedrohungsreputationen, die auf ihrem Inhalt und ihren Eigenschaftenbasieren. Gemäß den Bedrohungsabwehrdaten-Richtlinien werden Dateien und Zertifikate abhängigvon ihren Reputationsstufen auf Systemen in der Umgebung blockiert oder zugelassen.
Es gibt drei Sicherheitsstufen, mit denen Sie abstimmen können, wie die Regeln für bestimmteSystemtypen angewendet werden. Jeder Stufe sind bestimmte Regeln zugeordnet, mit denenbösartige und verdächtige Dateien und Zertifikate identifiziert werden.
• Produktivität: Systeme, auf denen häufig Änderungen vorgenommen werden, oft Programmeinstalliert und deinstalliert werden und die regelmäßig Aktualisierungen erhalten. Dazu gehörenComputer, die in Entwicklungsumgebungen verwendet werden. Mit den Richtlinien für dieseEinstellung werden weniger Regeln verwendet. Für Benutzer bedeutet dies weniger Blockierungenund Eingabeaufforderungen, wenn neue Dateien erkannt werden.
• Ausgleich: Dies sind typische Unternehmenssysteme, auf denen selten neue Programme installiertoder Änderungen vorgenommen werden. Mit den Richtlinien für diese Einstellung werden mehrRegeln verwendet. Den Benutzern werden häufiger Blockierungen und Eingabeaufforderungenangezeigt.
• Sicherheit: Von der IT-Abteilung verwaltete Geräte mit strikter Kontrolle und wenig Änderungen. Diessind beispielsweise Systeme, über die in einer Umgebung von Finanzinstitutionen oder Behördenauf kritische oder vertrauliche Informationen zugegriffen wird. Diese Einstellung wird auch fürServer verwendet. Mit den Richtlinien für diese Einstellung wird die maximale Anzahl von Regelnverwendet. Den Benutzern werden noch häufiger Blockierungen und Eingabeaufforderungenangezeigt.
Zum Anzeigen der den einzelnen Sicherheitsstufen zugeordneten Regeln wählen Sie Menü |Server-Einstellungen. Wählen Sie in der Liste Einstellungskategorien die Option Bedrohungsabwehrdaten aus.
Bedenken Sie beim Bestimmen der Sicherheitsstufe, die Sie einer Richtlinie zuweisen möchten, denTyp der Systeme, auf denen die Richtlinie verwendet wird. Berücksichtigen Sie außerdem, in welchemUmfang Blockierungen und Eingabeaufforderungen auftreten sollen. Weisen Sie die erstellte RichtlinieComputern oder Geräten zu, um festzulegen, in welchem Umfang Blockierungen undEingabeaufforderungen auftreten.
Verwenden von BedrohungsabwehrdatenVerwalten von Bedrohungsabwehrdaten 6
McAfee Endpoint Security 10.1 Produkthandbuch 111
6 Verwenden von BedrohungsabwehrdatenVerwalten von Bedrohungsabwehrdaten
112 McAfee Endpoint Security 10.1 Produkthandbuch
7 Client-Schnittstellenreferenz
Die Hilfethemen der Referenz für die Benutzeroberfläche bieten eine kontextbezogene Hilfe für Seitenauf der Client-Benutzeroberfläche.
Inhalt Seite Ereignisprotokoll Seite Quarantäne Allgemeingültig – Optionen Allgemeingültig – Tasks Bedrohungsschutz – Zugriffsschutz Bedrohungsschutz – Exploit-Schutz Bedrohungsschutz – On-Demand-Scan Bedrohungsschutz – On-Demand-Scan Scan-Speicherorte McAfee GTI Aktionen Ausschluss hinzufügen oder Ausschluss bearbeiten Bedrohungsschutz – Optionen Rollback von AMCore Content Firewall – Optionen Firewall – Regeln Webkontrolle – Optionen Webkontrolle – Inhaltsaktionen Bedrohungsabwehrdaten – Optionen
Seite EreignisprotokollZeigt die Aktivität und Debug-Ereignisse im Ereignisprotokoll an.
Option Beschreibung
Anzahl der Ereignisse Zeigt alle Ereignisse an, die von Endpoint Security in den vergangenen 30 Tagenim System protokolliert wurden.
Aktualisiert die Ereignisprotokoll -Anzeige mit neuen Ereignissen.
Protokollordner anzeigen Öffnet den Ordner, der die Protokolldateien in Windows Explorer enthält.
Alle Ereignisse anzeigen Entfernt alle Filter.
7
McAfee Endpoint Security 10.1 Produkthandbuch 113
Option Beschreibung
Nach Schweregrad filtern Filtert Ereignisse nach einem Schweregrad filtert:
Kritisch Zeigt nur Ereignisse des Schweregrads 1 an.
Wichtig und höher Zeigt nur Ereignisse des Schweregrads 1 und 2 an.
Unwichtig und höher Zeigt nur Ereignisse des Schweregrads 1, 2 und 3 an.
Warnung und höher Zeigt Ereignisse des Schweregrads 1, 2, 3 und 4 an.
Nach Modul filtern Filtert Ereignisse nach Modul:
Common Zeigt nur Allgemeingültig-Ereignisse an.
Threat Prevention Zeigt nur Bedrohungsschutz-Ereignisse an.
Firewall Zeigt nur Firewall-Ereignisse an.
Web Control Zeigt nur Webkontrolle-Ereignisse an.
Die Funktionen in der Dropdown-Liste hängen von den Funktionen ab, die imSystem installiert sind, wenn Sie das Ereignisprotokoll öffnen.
Suche Durchsucht das Ereignisprotokoll nach einer Zeichenfolge.
Ereignisse pro Seite Legt die Anzahl der Ereignisse fest, die auf einer Seite angezeigt werden sollen.(Standardmäßig 20 Ereignisse pro Seite)
Vorherige Seite Zeigt die vorherige Seite im Ereignisprotokoll an.
Nächste Seite Zeigt die nächste Seite im Ereignisprotokoll an.
Seite x von x Wählt eine bestimmte Seite im Ereignisprotokoll aus.Geben Sie eine Zahl in das Feld Seite ein, und drücken Sie die Eingabetaste,oder klicken Sie auf Start, um zur Seite zu navigieren.
Spaltenüberschrift Sortiert die Ereignisliste nach...
Datum Datum, an dem das Ereignis stattfand.
Funktion Funktion, für die das Ereignis protokolliert wurde.
7 Client-SchnittstellenreferenzSeite Ereignisprotokoll
114 McAfee Endpoint Security 10.1 Produkthandbuch
Spaltenüberschrift Sortiert die Ereignisliste nach...
Aktion Aktion, die gegebenenfalls von Endpoint Security als Reaktion auf das Ereignisausgeführt wurde.
Die Aktion wird in den Einstellungen konfiguriert.
Zugelassen Der Zugriff auf Dateien wurde zugelassen.
Zugriff verweigert Der Zugriff auf die Datei wurde verhindert.
Gelöscht Die Datei wurde automatisch gelöscht.
Fortsetzen
Gesäubert Die Bedrohung wurde automatisch aus der Datei entfernt.
Verschoben Die Datei wurde in den Quarantäne-Ordner verschoben.
Blockiert Der Zugriff auf die Datei wurde blockiert.
Würde blockiert Eine Zugriffsschutzregel hätte den Zugriff auf die Dateiblockiert, wäre die Regel erzwungen worden.
Schweregrad Schweregrad des Ereignisses.
Kritisch 1
Hoch 2
Gering 3
Warnung 4
Information 5
Siehe auch Anzeigen des Ereignisprotokolls auf Seite 22
Seite QuarantäneVerwalten Sie Elemente in der Quarantäne.
Tabelle 7-1 Optionen
Option Definition
Löschen Löscht ausgewählte Elemente aus der Quarantäne.
Gelöschte Elemente können nicht wiederhergestellt werden.
Wiederherstellen Stellt Elemente aus der Quarantäne wieder her.Endpoint Security stellt die Elemente im ursprünglichen Speicherort wieder her undentfernt sie aus der Quarantäne.
Wenn ein Element noch immer eine gültige Bedrohung darstellt, wird es von EndpointSecurity sofort zurück in die Quarantäne verschoben.
Erneut scannen Scannt ausgewählte Elemente in der Quarantäne erneut.Wenn das Element keine Bedrohung mehr ist, stellt es Endpoint Security wieder inseinen ursprünglichen Speicherort her und entfernt es aus der Quarantäne.
Client-SchnittstellenreferenzSeite Quarantäne 7
McAfee Endpoint Security 10.1 Produkthandbuch 115
Spaltenüberschrift Sortiert die Quarantäne-Liste nach...
Erkennungsname Name der Erkennung.
Typ Bedrohungstyp, zum Beispiel: Trojaner oder Adware.
Quarantäne-Zeit Die Zeitdauer, die das Element isoliert wurde.
Anzahl der Objekte Die Anzahl der erkannten Objekte.
AMCore Content-Version Die Versionsnummer von AMCore Content, die die Bedrohung erkannt hat.
Status des erneuten Scans Der Status des erneuten Scans, wenn das Element erneut gescannt wurde:• Sauber: Beim erneuten Scan wurden keine Bedrohungen erkannt.
• Infiziert: Endpoint Security hat beim erneuten Scan eine Bedrohung erkannt.
Siehe auch Verwalten von isolierten Elementen auf Seite 46Erkennungsnamen auf Seite 48Erneutes Scannen isolierter Elemente auf Seite 49
Allgemeingültig – OptionenKonfigurieren Sie Einstellungen für Endpoint Security-Client-Benutzeroberfläche, Selbstschutz,Protokollierung von Aktivität und Fehlerbehebung sowie Einstellungen für den Proxy-Server.
Tabelle 7-2 Optionen
Abschnitt Option Definition
Client-Schnittstellen-Modus Vollzugriff Ermöglicht den Zugriff auf alle Funktionen.(Standard für selbstverwaltete Systeme)
Standardzugriff Zeigt den Schutzstatus an und bietet Zugriff auf diemeisten Funktionen, beispielsweise das Durchführenvon Aktualisierungen und Scans.
Für den Modus Standardzugriff ist ein Kennworterforderlich, um Einstellungen auf der EndpointSecurity-Client-Seite Einstellungen anzuzeigen und zuändern.
Das Standardkennwort ist mcafee.
(Standard für von McAfee ePO verwaltete Systeme)
Client-Benutzeroberflächesperren
Erfordert ein Kennwort zum Zugriff auf den EndpointSecurity-Client.
7 Client-SchnittstellenreferenzAllgemeingültig – Optionen
116 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-2 Optionen (Fortsetzung)
Abschnitt Option Definition
Administratorkennwortfestlegen
Legt bei Standardzugriff und Client-Benutzeroberfläche sperrendas Administratorkennwort für den Zugriff auf alleFunktionen der EndpointSecurity-Client-Benutzeroberfläche fest.
Kennwort Gibt das Kennwort an.
Kennwort bestätigen Bestätigt das Kennwort.
Deinstallation Kennwort zum Deinstallierendes Clients erforderlichmachen
Erfordert ein Kennwort für die Deinstallation desEndpoint Security-Client und legt das Kennwort fest.(Standardmäßig deaktiviert für selbstverwalteteSysteme)
Das Standardkennwort ist mcafee.
Kennwort Gibt das Kennwort an.
Kennwort bestätigen Bestätigt das Kennwort.
Tabelle 7-3 Erweiterte Optionen
Abschnitt Option Definition
Sprache derClient-Benutzeroberfläche
Automatisch Wählt automatisch die für Text in der EndpointSecurity-Client-Benutzeroberfläche zuverwendende Sprache basierend auf derSprache des Client-Systems.
Sprache Legt die für Text in der EndpointSecurity-Client-Benutzeroberfläche zuverwendende Sprache fest.Bei verwalteten Systemen setzen über denEndpoint Security-Client vorgenommeneSprachänderungen Richtlinienänderungen vomManagement-Server außer Kraft. DieSprachänderung wird nach dem Neustart desEndpoint Security-Client übernommen.
Die Client-Sprache hat keine Auswirkungauf die Protokolldateien. Protokolldateienwerden immer in der von derLändereinstellung des Systems festgelegtenSprache angezeigt.
Selbstschutz Selbstschutz aktivieren Schützt Endpoint Security-Systemressourcenvor schädlichen Aktivitäten.
Aktion Legt die Aktion fest, die beim Auftretenschädlicher Aktivitäten ausgeführt werden soll:• Blockieren und melden: Blockiert Aktivitäten und
meldet sie an McAfee ePO. (Standard)
• Nur blockieren: Blockiert Aktivitäten, abermeldet sie nicht an McAfee ePO.
• Nur melden: Meldet an McAfee ePO, blockiertdie Aktion aber nicht.
Dateien und Ordner Verhindert, dass McAfee-Systemdateienund -ordner geändert oder gelöscht werden.
Client-SchnittstellenreferenzAllgemeingültig – Optionen 7
McAfee Endpoint Security 10.1 Produkthandbuch 117
Tabelle 7-3 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Definition
Registrierung Verhindert, dassMcAfee-Registrierungsschlüssel und -wertegeändert oder gelöscht werden.
Prozesse Verhindert, dass McAfee-Prozesse angehaltenwerden.
Diese Prozesse ausschließen Erlaubt den Zugriff für die angegebenenProzesse.
Platzhalter werden unterstützt.
Hinzufügen: Fügt der Ausschlussliste einenProzess hinzu. Klicken Sie auf Hinzufügen, undgeben Sie den genauen Ressourcennamen an,z. B. avtask.exe.
Doppelklicken auf ein Element: Ändert dasausgewählte Element.
Löschen – Löscht das ausgewählte Element.Wählen Sie die gewünschte Ressource aus, undklicken Sie dann auf Löschen.
Zertifikate Legt Zertifikatoptionen fest.
Zulassen Lässt zu, dass ein Anbieter Code innerhalb vonMcAfee-Prozessen ausführt.
Diese Einstellung kann zuKompatibilitätsproblemen und wenigerSicherheit führen.
Anbieter Gibt den allgemeinen Namen (Common Name,CN) der Zertifizierungsstelle an, die dasZertifikat signiert und ausgestellt hat.
Betreff Gibt den definierten Namen des Signaturgebers(Signer Distinguished Name, SDN) an, der diemit dem Zertifikat verknüpfte Entität definiert.Diese Informationen können Folgendesumfassen:
• CN: AllgemeinerName
• L: Ort
• OU:Organisationseinheit
• ST: Bundesland
• O: Unternehmen • C: Ländercode
Öffentlicher Schlüssel SHA-1 Gibt den SHA-1-Hash des verknüpftenöffentlichen Schlüssels an.
7 Client-SchnittstellenreferenzAllgemeingültig – Optionen
118 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-3 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Definition
Client-Protokollierung Speicherort der Protokolldateien Gibt den Speicherort der Protokolldateien an.Der Standardpfad lautet:
<SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs
Geben Sie den Speicherort ein, oder klicken Sieauf Durchsuchen, um zum Speicherort zunavigieren.
Aktivitätsprotokollierung Aktivitätsprotokollierungaktivieren
Aktiviert die Protokollierung aller EndpointSecurity-Aktivitäten.
Größe (MB) jederAktivitätsprotokolldateibeschränken
Beschränkt die Größe der Aktivitätsprotokoll aufdie festgelegte Maximalgröße (zwischen 1 MBund 999 MB). Die Standardeinstellung ist10 MB.Deaktivieren Sie diese Option, damitProtokolldateien auf eine beliebige Größewachsen können.
Wenn die Protokolldatei die festgelegteDateigröße überschreitet, werden dieältesten 25 Prozent der Einträge in derDatei gelöscht.
Protokollierung derFehlerbehebung Durch das Aktivieren der Protokollierung der
Fehlerbehebung für ein Modul wird dieseauch für die Funktionen des ModulsAllgemeingültig aktiviert, etwa für denSelbstschutz.
Wir empfehlen, dass Sie die Protokollierungder Fehlerbehebung mindestens für dieersten 24 Stunden während der Test- undPilotphasen aktivieren. Tretenwährenddessen keine Probleme auf,deaktivieren Sie die Protokollierung derFehlerbehebung wieder, um die Leistung desClient-Systems nicht zu beeinträchtigen.
Client-SchnittstellenreferenzAllgemeingültig – Optionen 7
McAfee Endpoint Security 10.1 Produkthandbuch 119
Tabelle 7-3 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Definition
Für Bedrohungsschutz aktivieren Aktiviert eine ausführliche Protokollierung fürden Bedrohungsschutz und individuelleTechnologien:Für Zugriffsschutz aktivieren: Schreibt inAccessProtection_Debug.log.
Für Exploit-Schutz aktivieren: Schreibt inExploitPrevention_Debug.log.
Für On-Access-Scanner aktivieren: Schreibt inOnAccessScan_Debug.log.
Für On-Demand-Scanner aktivieren: Schreibt inOnDemandScan_Debug.log.
Durch das Aktivieren der Protokollierung derFehlerbehebung für eineBedrohungsschutz-Technologie wird dieseauch für den Endpoint Security-Clientaktiviert.
Durch das Aktivieren der Protokollierung derFehlerbehebung für eineBedrohungsschutz-Technologie wird dieseauch für die Bedrohungsabwehrdatenaktiviert.
Für Firewall aktivieren Aktiviert eine ausführliche Protokollierung vonFirewall-Aktivitäten.
Für Webkontrolle aktivieren Aktiviert eine ausführliche Protokollierung vonWebkontrolle-Aktivitäten.
Größe (MB) jederDebug-Protokolldateibeschränken
Beschränkt die Größe der Debug-Protokolldateiauf die festgelegte Maximalgröße (zwischen1 MB und 999 MB). Die Standardeinstellung ist50 MB.Deaktivieren Sie diese Option, damitProtokolldateien auf eine beliebige Größewachsen können.
Wenn die Protokolldatei die festgelegteDateigröße überschreitet, werden dieältesten 25 Prozent der Einträge in derDatei gelöscht.
Ereignisprotokollierung Ereignisse an McAfee ePOsenden
Sendet alle im Ereignisprotokoll protokolliertenEreignisse auf dem Endpoint Security-Client anMcAfee ePO.
Diese Option ist nur auf von McAfee ePOverwalteten Systemen verfügbar.
Ereignisse inWindows-Anwendungsprotokollschreiben
Sendet alle im Ereignisprotokoll protokolliertenEreignisse auf dem Endpoint Security-Client andas Windows-Ereignisprotokoll.Das Windows-Anwendungsprotokoll kann unterWindows Ereignisanzeige | Windows-Protokolle |Anwendung aufgerufen werden.
7 Client-SchnittstellenreferenzAllgemeingültig – Optionen
120 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-3 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Definition
Schweregrade Gibt den Schweregrad von Ereignissen an, dieauf dem Endpoint Security-Client in dasEreignisprotokoll protokolliert werden sollen:• Keine: Sendet keine Warnungen
• Nur kritische: Sendet nur Warnstufe 1.
• Wichtig und kritisch: Sendet Warnstufen 1 und 2.
• Unwichtig, wichtig und kritisch: Sendet Warnstufen1–3.
• Alle außer Informationen: Sendet Warnstufen 1–4.
• Alle: Sendet Warnstufen 1–5.
• 1 – Kritisch • 4 – Warnung
• 2 – Wichtig • 5 –Informationen
• 3 – Unwichtig
Zu protokollierendeBedrohungsschutz-Ereignisse
Gibt für jede Funktion den Schweregrad vonEreignissen an, die vom Bedrohungsschutzprotokolliert werden sollen:• Zugriffsschutz
Das Aktivieren der Ereignisprotokollierungfür den Zugriffsschutz aktiviert auch dieEreignisprotokollierung für denSelbstschutz.
• Exploit-Schutz
• On-Access-Scanner
• On-Demand-Scanner
Zu protokollierendeFirewall-Ereignisse
Gibt den Schweregrad von Firewall-Ereignissenan, die protokolliert werden sollen.
Zu protokollierendeWebkontrolle-Ereignisse
Gibt den Schweregrad vonWebkontrolle-Ereignissen an, die protokolliertwerden sollen.
Proxy-Server für McAfee GTI Kein Proxy-Server Gibt an, dass die verwalteten Systeme McAfeeGTI-Reputationsinformationen direkt über dasInternet abrufen, nicht über einenProxy-Server. (Standard)
System-Proxy-Einstellungenverwenden
Gibt an, dass die Proxy-Einstellungen desClient-Systems verwendet und optionalHTTP-Proxy-Authentifizierung aktiviert werdensollen.
Client-SchnittstellenreferenzAllgemeingültig – Optionen 7
McAfee Endpoint Security 10.1 Produkthandbuch 121
Tabelle 7-3 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Definition
Proxy-Server konfigurieren Passt die Proxy-Einstellungen an.• Adresse: Gibt die IP-Adresse oder den
vollständig qualifizierten Domänennamen desHTTP-Proxy-Servers an.
• Port: Begrenzt den Zugriff über denangegebenen Port.
• Diese Adressen ausschließen: Verwenden Sie denHTTP-Proxy-Server nicht für Websites oderIP-Adressen, die mit den festgelegtenAngaben beginnen.Klicken Sie auf Hinzufügen, und geben Sie dannden auszuschließenden Adressnamen ein.
HTTP-Proxy-Authentifizierungaktivieren
Gibt an, dass eine Authentifizierung für denHTTP-Proxy-Server erforderlich ist. (DieseOption ist nur verfügbar, wenn Sie einenHTTP-Proxy-Server gewählt haben.) Geben Siedie Anmeldeinformationen des HTTP-Proxysein:• Benutzername: Gibt das Benutzerkonto an, das
Berechtigungen für den HTTP-Proxy-Serverbesitzt.
• Kennwort: Gibt das Kennwort für denBenutzernamen an.
• Kennwort bestätigen: Bestätigt das angegebeneKennwort.
Standard-Client-Aktualisierung Schaltfläche 'Jetzt aktualisieren'im Client aktivieren Zeigt die -Schaltfläche
auf der Hauptseite des Endpoint Security-Clientan oder blendet sie aus.Klicken Sie auf diese Schaltfläche, um manuellnach Aktualisierungen für Content-Dateien undSoftware-Komponenten zu suchen und auf dasClient-System herunterzuladen.
Zu aktualisierende Elemente Legt die Elemente fest, die beim Klicken auf die
Schaltfläche aktualisiertwerden.• Sicherheitsinhalte, HotFixes und Patches: Aktualisiert
sämtlichen Sicherheitsinhalt (einschließlichModul, AMCore undExploit-Schutz-Content-Datei) sowie alleHotFixes und Patches auf die neuestenVersionen.
• Sicherheitsinhalte: Aktualisiert nurSicherheitsinhalte (Standard).
• HotFixes und Patches: Aktualisiert nur HotFixesund Patches.
7 Client-SchnittstellenreferenzAllgemeingültig – Optionen
122 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-3 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Definition
Quellsites für Aktualisierungen Konfiguriert Sites, von denen Aktualisierungenfür Content-Dateien undSoftware-Komponenten abgerufen werden.
Sie können dieStandard-Sicherungs-Quellsite, McAfeeHttp,und den Management-Server (fürverwaltete Systeme) aktivieren unddeaktivieren, aber nicht ändern oderlöschen.
Gibt Elemente an, die in der Liste verschobenwerden können.Wählen Sie Elemente aus, und verschieben Siesie per Drag-and-Drop an ihren neuenStandort. Eine blaue Linie erscheint zwischenElementen, wo Sie die gezogenen Elementeablegen können.
Hinzufügen Fügt eine Site zur Quellsite-Liste hinzu.Weitere Informationen finden Sie unter Sitehinzufügen oder Site bearbeiten auf Seite 124.
Doppelklicken auf einElement
Ändert das ausgewählte Element.
Löschen Löscht die ausgewählte Site aus derQuellsite-Liste.
Importieren Importiert Sites aus einer Quellsite-Listendatei.Wählen Sie die zu importierende Datei aus, undklicken Sie auf OK.
Die vorhandene Quellsite-Liste wird durchdie Site-Listendatei ersetzt.
Alle exportieren Exportiert die Quellsite-Liste in eineSiteList.xml-Datei.Wählen Sie den Speicherort derQuellsite-Listendatei aus, und klicken Sie aufOK.
Proxy-Server für Quellsites Kein Proxy-Server Gibt an, dass die verwalteten Systeme McAfeeGTI-Reputationsinformationen direkt über dasInternet abrufen, nicht über einenProxy-Server. (Standard)
System-Proxy-Einstellungenverwenden
Gibt an, dass die Proxy-Einstellungen desClient-Systems verwendet und optional HTTP-oder FTP-Proxy-Authentifizierung aktiviertwerden soll.
Client-SchnittstellenreferenzAllgemeingültig – Optionen 7
McAfee Endpoint Security 10.1 Produkthandbuch 123
Tabelle 7-3 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Definition
Proxy-Server konfigurieren Passt die Proxy-Einstellungen an.• HTTP-/FTP-Adresse – Legt die DNS-, IPv4- oder
IPv6-Adresse des HTTP- oderFTP-Proxy-Servers fest.
• Port: Begrenzt den Zugriff über denangegebenen Port.
• Diese Adressen ausschließen: Legt die Adressen fürEndpoint Security-Client-Systeme fest, dieder Proxy-Server nicht für das Abrufen vonMcAfee GTI-Bewertungen verwenden soll.Klicken Sie auf Hinzufügen, und geben Sie dannden auszuschließenden Adressnamen ein.
HTTP-/FTP-Proxy-Authentifizierungaktivieren
Gibt an, dass eine Authentifizierung für denHTTP- oder FTP-Proxy-Server erforderlich ist.(Diese Option ist nur verfügbar, wenn Sie einenHTTP- oder FTP-Proxy-Server gewählt haben.)Geben Sie die Proxy-Anmeldeinformationen ein:• Benutzername: Gibt das Benutzerkonto an, das
Berechtigungen für den Proxy-Server besitzt.
• Kennwort: Gibt das Kennwort für denangegebenen Benutzernamen an.
• Kennwort bestätigen: Bestätigt das angegebeneKennwort.
Siehe auch Schützen von Endpoint Security-Ressourcen auf Seite 30Konfigurieren von Protokollierungseinstellungen auf Seite 30Konfigurieren der Einstellungen für die Client-Schnittstellensicherheit auf Seite 31Konfigurieren der Proxy-Server-Einstellungen für McAfee GTI auf Seite 32Konfigurieren des Standardverhaltens für Aktualisierungen auf Seite 35Konfigurieren von Quellsites für Aktualisierungen auf Seite 33Site hinzufügen oder Site bearbeiten auf Seite 124
Site hinzufügen oder Site bearbeitenFügt eine Site in der Quellsite-Liste hinzu oder bearbeitet diese.
Tabelle 7-4 Optionsbeschreibungen
Option Beschreibung
Name Gibt den Namen der Quellsite an, die die Aktualisierungsdateien enthält.
Aktivieren Aktiviert oder deaktiviert die Verwendung der Quellsite für das Herunterladen vonAktualisierungsdateien.
Dateien abrufen von Legt fest, woher die Dateien abgerufen werden sollen.
7 Client-SchnittstellenreferenzAllgemeingültig – Optionen
124 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-4 Optionsbeschreibungen (Fortsetzung)
Option Beschreibung
HTTP-Repository Ruft die Dateien von dem festgelegten Speicherort für das HTTP-Repository ab.
HTTP bietet Aktualisierungen ohne Berücksichtigung der Netzwerksicherheit,unterstützt jedoch eine größere Menge gleichzeitiger Verbindungen als FTP.
URL • DNS-Name: Zeigt an, dass die URL ein Domänenname ist.
• IPv4: Zeigt an, dass die URL eine IPv4-Adresse ist.
• IPv6: Zeigt an, dass die URL eine IPv6-Adresse ist.
http:// – Legt die Adresse des HTTP-Servers und des Ordners fest,in dem sich die Aktualisierungsdateien befinden.
Port – Gibt die Portnummer für den HTTP-Server an.
Authentifizierungverwenden
Bei Auswahl wird Authentifizierung mit anschließendfestgelegten Anmeldeinformationen für den Zugriff auf denOrdner der Aktualisierungsdatei verwendet.• Benutzername: Gibt das Benutzerkonto an, das
Leseberechtigungen für den Ordner der Aktualisierungsdateihat.
• Kennwort: Gibt das Kennwort für den angegebenen Benutzernamenan.
• Kennwort bestätigen: Bestätigt das angegebene Kennwort.
Client-SchnittstellenreferenzAllgemeingültig – Optionen 7
McAfee Endpoint Security 10.1 Produkthandbuch 125
Tabelle 7-4 Optionsbeschreibungen (Fortsetzung)
Option Beschreibung
FTP-Repository Ruft die Dateien von dem festgelegten Speicherort für das FTP-Repository ab.
Eine FTP-Website bietet Flexibilität, da keine Netzwerksicherheitsberechtigungenberücksichtigt werden müssen. Da FTP weniger anfällig für Angriffe durchunerwünschten Code als HTTP ist, bietet es möglicherweise eine bessere Toleranz.
URL • DNS-Name: Zeigt an, dass die URL ein Domänenname ist.
• IPv4: Zeigt an, dass die URL eine IPv4-Adresse ist.
• IPv6: Zeigt an, dass die URL eine IPv6-Adresse ist.
ftp:// – Legt die Adresse des FTP-Servers und des Ordners fest, indem sich die Aktualisierungsdateien befinden.
Port – Gibt die Portnummer für den FTP-Server an.
AnonymeAnmeldungverwenden
Bei Auswahl wird anonymer FTP für den Zugriff auf den Ordner derAktualisierungsdatei verwendet.Heben Sie die Auswahl der Option auf, um Anmeldeinformationenfür den Zugriff festzulegen.
• Benutzername: Gibt das Benutzerkonto an, das Leseberechtigungenfür den Ordner der Aktualisierungsdatei hat.
• Kennwort: Gibt das Kennwort für den angegebenen Benutzernamen an.
• Kennwort bestätigen: Bestätigt das angegebene Kennwort.
UNC-Pfad oderLokaler Pfad
Ruft Dateien von einem UNC-Pfad oder lokalen Pfad ab.
UNC-Websites lassen sich äußerst schnell und einfach einrichten.Domänenübergreifende UNC-Aktualisierungen erfordern Sicherheitsberechtigungenfür jede Domäne, was die Konfiguration des Aktualisierungsprozesses etwaskomplexer macht.
Pfad • UNC-Pfad: Gibt den Pfad in UNC-Schreibweise an (\\servername\path\).
• Lokaler Pfad: Gibt den Pfad eines Ordners auf einem lokalen oderNetzwerklaufwerk an.
AngemeldetesKontoverwenden
Greift auf die Aktualisierungsdatei mit dem angemeldeten Kontozu. Dieses Konto muss Leseberechtigungen für die Ordner mit denAktualisierungsdateien haben.Heben Sie die Auswahl der Option auf, um Anmeldeinformationenfür den Zugriff festzulegen.
• Domäne: Gibt die Domäne für das Benutzerkonto an.
• Benutzername: Gibt das Benutzerkonto an, dasLeseberechtigungen für den Ordner der Aktualisierungsdateihat.
• Kennwort: Gibt das Kennwort für den angegebenen Benutzernamenan.
• Kennwort bestätigen: Bestätigt das angegebene Kennwort.
7 Client-SchnittstellenreferenzAllgemeingültig – Optionen
126 McAfee Endpoint Security 10.1 Produkthandbuch
Allgemeingültig – TasksKonfigurieren und planen Sie Endpoint Security-Client-Tasks.
Auf verwalteten Systemen können Sie keine Administrator-Tasks starten, beenden oder löschen.
Tabelle 7-5 Optionen
Abschnitt Option Definition
Tasks Zeigt die derzeit definierten und geplanten Tasks an.• Name: Der Name des geplanten Tasks.
• Funktion: Modul oder Feature, mit dem der Task verknüpft ist.
• Plan: Wann der Task planmäßig ausgeführt wird und ob er deaktiviertist.Auf verwalteten Systemen kann der Task-PlanStandard-Client-Aktualisierung vom Administrator deaktiviert werden.
• Status: Status bei der letzten Ausführung des Tasks:
• (kein Status) – Niemals ausgeführt
• Wird ausgeführt – Wird derzeit ausgeführt oder fortgesetzt
• Angehalten – Wurde vom Benutzer angehalten (etwas ein Scan)
• Verschoben – Wurde vom Benutzer verschoben (etwas ein Scan)
• Abgeschlossen – Ausführung abgeschlossen ohne Fehler
• Abgeschlossen (Fehler) – Ausführung abgeschlossen mit Fehlern
• Fehlgeschlagen – Nicht erfolgreich abgeschlossen
• Letzte Ausführung: Das Datum und der Zeitpunkt, zu dem der Taskzuletzt ausgeführt wurde.
• Ursprung: Gibt den Ursprung des Tasks an:
• McAfee: Von McAfee bereitgestellt.
• Administrator (nur verwaltete Systeme): Vom Administrator definiert.
• Benutzer: Auf dem Endpoint Security-Client definiert.
Je nach Ursprung können einige dieser Tasks weder geändert nochgelöscht werden. Beispielsweise kann der TaskStandard-Client-Aktualisierung nur auf selbstverwalteten Systemengeändert werden. Administrator-Tasks, definiert vom Administrator aufverwalteten Systemen, können auf dem Endpoint Security-Clientweder geändert noch gelöscht werden.
Doppelklickenauf ein Element
Ändert das ausgewählte Element.
Hinzufügen Erstellt einen Scan-, Aktualisierungs- oder Spiegelungs-Task.
Löschen Löscht den ausgewählten Task.
Client-SchnittstellenreferenzAllgemeingültig – Tasks 7
McAfee Endpoint Security 10.1 Produkthandbuch 127
Tabelle 7-5 Optionen (Fortsetzung)
Abschnitt Option Definition
Duplizieren Erstellt eine Kopie des ausgewählten Tasks.
Jetzt ausführen Führt den ausgewählten Task aus.
Wird der Task bereits ausgeführt (einschließlich angehalten oderverschoben), ändert sich die Schaltfläche in Anzeigen.
• Schnellscan: Öffnet das Dialogfeld Schnellscan und startet den Scan.
• Vollständiger Scan: Öffnet das Dialogfeld Vollständiger Scan und startet denScan.
• Benutzerdefinierter Scan: Öffnet das Dialogfeld Benutzerdefinierter Scan undstartet den Scan.
• Standard-Client-Aktualisierung: Öffnet das Dialogfeld Aktualisierung undstartet die Aktualisierung.
• Aktualisierung: Öffnet das Dialogfeld Benutzerdefinierte Aktualisierung undstartet die Aktualisierung.
• Spiegeln: Öffnet das Dialogfeld Spiegeln und startet dieRepository-Replikation.
Wenn Sie einen Task ausführen, bevor die Änderungen übernommenwurden, werden Sie vom Endpoint Security-Client dazu aufgefordert,die Änderungen zu speichern.
Siehe auch Ausführen eines vollständigen Scans oder Schnellscans auf Seite 42Manuelles Aktualisieren von Schutz und Software auf Seite 21Konfigurieren, Planen und Ausführen von Spiegelungs-Tasks auf Seite 38Task hinzufügen auf Seite 128
Task hinzufügenFügt benutzerdefinierte Scan-Tasks, Spiegelungs-Tasks oder Aktualisierungs-Tasks hinzu.
Option Definition
Name Legt den Namen für den Task fest.
Task-Typauswählen
Legt den Task-Typ fest:• Benutzerdefinierter Scan: Konfiguriert und plant einen benutzerdefinierten Scan, z. B.
tägliche Speicher-Scans.
• Spiegeln: Repliziert die aktualisierten Content- und Moduldateien aus dem erstenzugänglichen Repository in eine Spiegel-Site in Ihrem Netzwerk.
• Aktualisieren: Konfiguriert und plant eine Aktualisierung der Content-Dateien, desScan-Moduls oder des Produkts.
Siehe auch Scan-Task hinzufügen oder Scan-Task bearbeiten auf Seite 129Spiegelungs-Task hinzufügen oder Spiegelungs-Task bearbeiten auf Seite 130Aktualisierungs-Task hinzufügen oder Aktualisierungs-Task bearbeiten auf Seite 129
7 Client-SchnittstellenreferenzAllgemeingültig – Tasks
128 McAfee Endpoint Security 10.1 Produkthandbuch
Scan-Task hinzufügen oder Scan-Task bearbeitenPlant den Task Vollständiger Scan oder Schnellscan oder konfiguriert und plant benutzerdefinierteScan-Tasks, die auf dem Client-System ausgeführt werden.
Tabelle 7-6 Optionen
Registerkarte Option Definition
Einstellungen Konfiguriert Scan-Task-Einstellungen.
Name Gibt den Namen des Tasks an.
Optionen Weitere Informationen finden Sie unter Bedrohungsschutz – On-Demand-Scan auf Seite 146.
Die Einstellungen für die Tasks vollständiger Scan und Schnellscan können nurauf selbstverwalteten Systemen konfiguriert werden.
Zeitplan Aktiviert und plant die Ausführung des Tasks zu einem bestimmtenZeitpunkt.Weitere Informationen finden Sie unter Zeitplan auf Seite 131.
Siehe auch Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Ausführen eines vollständigen Scans oder Schnellscans auf Seite 42Bedrohungsschutz – On-Demand-Scan auf Seite 146Zeitplan auf Seite 131
Aktualisierungs-Task hinzufügen oder Aktualisierungs-TaskbearbeitenPlant den Task Standard-Client-Aktualisierung oder konfiguriert und plant benutzerdefinierteAktualisierungs-Tasks, die auf dem Client-System ausgeführt werden.
Registerkarte Option Definition
Einstellungen Konfiguriert Aktualisierungs-Task-Einstellungen.
Name Gibt den Namen des Tasks an.
Zu aktualisierendeElemente
Gibt an, was aktualisiert werden soll:• Sicherheitsinhalt, HotFixes und Patches
• Sicherheitsinhalt
• HotFixes und Patches
Informationen zum Ändern der Einstellungen für denStandard-Client-Aktualisierungs-Task finden Sie im AbschnittStandard-Client-Aktualisierung unter Allgemeingültig – Optionen auf Seite116.
Sie können diese Einstellungen nur auf selbstverwalteten Systemenkonfigurieren.
Zeitplan Aktiviert und plant die Ausführung des Tasks zu einem bestimmtenZeitpunkt.Weitere Informationen finden Sie unter Zeitplan auf Seite 131.
Standardmäßig wird der Task Standard-Client-Aktualisierung täglich um00:00 Uhr ausgeführt und alle vier Stunden bis 23:59 Uhrwiederholt.
Client-SchnittstellenreferenzAllgemeingültig – Tasks 7
McAfee Endpoint Security 10.1 Produkthandbuch 129
Siehe auch Konfigurieren, Planen und Ausführen von Aktualisierungs-Tasks auf Seite 37Zeitplan auf Seite 131
Spiegelungs-Task hinzufügen oder Spiegelungs-TaskbearbeitenKonfiguriert und plant Spiegelungs-Tasks.
Registerkarte Option Definition
Einstellungen Name Gibt den Namen des Tasks an.
Verzeichnis spiegeln Gibt den Ordner an, in dem das replizierte Repository gespeichertwird.
Zeitplan Aktiviert und plant die Ausführung des Tasks zu einem bestimmtenZeitpunkt.Weitere Informationen finden Sie unter Zeitplan auf Seite 131.
Siehe auch Konfigurieren, Planen und Ausführen von Spiegelungs-Tasks auf Seite 38Zeitplan auf Seite 131
7 Client-SchnittstellenreferenzAllgemeingültig – Tasks
130 McAfee Endpoint Security 10.1 Produkthandbuch
ZeitplanPlanen Sie Scan-, Aktualisierungs- und Spiegelungs-Tasks.
Tabelle 7-7 Optionen
Kategorie Option Definition
Zeitplan Zeitplan aktivieren Plant die Ausführung des Tasks zu einem bestimmten Zeitpunkt.(Standardmäßig aktiviert)
Diese Option muss ausgewählt sein, um den Task zu planen.
Planungstyp Legt das Intervall für die Ausführung des Tasks fest.• Täglich: Führt den Task jeden Tag zu einer bestimmten Uhrzeit,
regelmäßig zwischen zwei Uhrzeiten des Tages oder als Kombinationbeider Möglichkeiten aus.
• Wöchentlich: Führt den Task wöchentlich aus:
• an einem bestimmten Wochentag, an allen Wochentagen odereiner Kombination von Tagen
• zu einer bestimmten Uhrzeit an den ausgewählten Tagen oderregelmäßig zwischen zwei Uhrzeiten an den ausgewählten Tagen
• Monatlich: Führt den Task monatlich zu einem der folgendenZeitpunkte aus:
• Am festgelegten Tag des Monats
• An den festgelegten Tagen der Woche: erster, zweiter, dritter,vierter oder letzter
• Einmal: Startet den Task zum angegebenen Datum und Zeitpunkt.
• Beim Systemstart: Führt den Task beim Systemstart aus.
• Bei Anmeldung: Führt den Task bei der nächsten Anmeldung desBenutzers aus.
• Sofort ausführen: Startet den Task sofort.
Häufigkeit Legt die Häufigkeit für tägliche und wöchentliche Tasks fest.
Ausführen am Legt die Wochentage für wöchentliche und monatliche Tasks fest.
Ausführen im Legt die Monate des Jahres für monatliche Tasks fest.
Diesen Task nureinmal täglichausführen
Führt den Task einmal täglich für die Tasks Beim Systemstart und BeiAnmeldung aus.
Diesen Taskverzögern um
Legt die Anzahl von Minuten fest, um die die Ausführung der Tasks BeimSystemstart und Bei Anmeldung verzögert wird.
Startdatum Legt das Startdatum für die Tasks Täglich, Wöchentlich, Monatlich und Einmalfest.
Enddatum Legt das Enddatum für die Tasks Täglich, Wöchentlich und Monatlich fest.
Client-SchnittstellenreferenzAllgemeingültig – Tasks 7
McAfee Endpoint Security 10.1 Produkthandbuch 131
Tabelle 7-7 Optionen (Fortsetzung)
Kategorie Option Definition
Startzeit Legt die Zeit fest, wenn der Task gestartet wird.• Einmal zu diesem Zeitpunkt ausführen: Führt den Task einmal zur
festgelegten Startzeit aus.
• Zu diesem Zeitpunkt ausführen und dann wiederholen bis: Führt den Task zurfestgelegten Startzeit aus. Anschließend wird der Task zu jeder unterTask starten alle festgelegten Stunde/Minute bis zur angegebenenEndzeit gestartet.
• Zu diesem Zeitpunkt ausführen und dann wiederholen für: Führt den Task zurfestgelegten Startzeit aus. Anschließend wird der Task zu jeder unterTask starten alle festgelegten Stunde/Minute für die angegebeneZeitdauer gestartet.
Optionen Diesen Task nachkoordinierter Weltzeit(UTC) ausführen
Gibt an, ob der Task-Plan nach der lokalen Zeit des verwaltetenSystems oder nach der koordinierten Weltzeit (Coordinated UniversalTime, UTC) ausgeführt wird.
Diesen Taskbeenden, wenn erlänger läuft als
Beendet den Task nach der festgelegten Anzahl an Stunden undMinuten.
Wenn der Task vor Abschluss unterbrochen wird, wird der Task beimnächsten Start an der Stelle fortgesetzt, an der die Unterbrechungstattgefunden hat.
Task-Startzeit zufälligfestlegen auf
Legt fest, dass der Task innerhalb des angegebenen Zeitraums nachdem Zufallsprinzip ausgeführt wird.Andernfalls wird der Task zur geplanten Zeit gestartet, unabhängigdavon, ob die Ausführung anderer Client-Tasks zur gleichen Zeitgeplant ist.
Ausgelassenen Taskausführen
Führt den Task nach der unter Start verzögern um festgelegten Anzahl vonMinuten aus, sobald das verwaltete System neu gestartet wird.
Konto Legt die Anmeldeinformationen für das Ausführen des Tasks fest.
Wenn keine Anmeldeinformationen festgelegt wurden, wird der Taskmit den Anmeldeinformationen des lokalenSystemadministratorkontos ausgeführt.
Benutzername Gibt das Benutzerkonto an.
Kennwort Gibt das Kennwort für das angegebene Benutzerkonto an.
Kennwort bestätigen Bestätigt das Kennwort für das angegebene Benutzerkonto.
Domäne Gibt die Domäne für das angegebene Benutzerkonto an.
Siehe auch Scan-Task hinzufügen oder Scan-Task bearbeiten auf Seite 129Aktualisierungs-Task hinzufügen oder Aktualisierungs-Task bearbeiten auf Seite 129Spiegelungs-Task hinzufügen oder Spiegelungs-Task bearbeiten auf Seite 130
Bedrohungsschutz – ZugriffsschutzSchützen Sie die Zugriffspunkte Ihres Systems basierend auf konfigurierten Regeln.
Siehe Einstellungen für Allgemeingültig – Optionen auf Seite 116 für die Protokollierungskonfiguration.
7 Client-SchnittstellenreferenzBedrohungsschutz – Zugriffsschutz
132 McAfee Endpoint Security 10.1 Produkthandbuch
Der Zugriffsschutz vergleicht eine angeforderte Aktion mit der Liste konfigurierter Regeln und handeltentsprechend der Regel.
Tabelle 7-8 Optionen
Abschnitt Option Definition
ZUGRIFFSSCHUTZ Zugriffsschutz aktivieren Aktiviert die Zugriffsschutz-Funktion.
Tabelle 7-9 Erweiterte Optionen
Abschnitt Option Beschreibung
Ausschlüsse Erlaubt den Zugriff auf die angegebenen Prozesse (auch ausführbare Dateiengenannt) für alle Regeln.• Hinzufügen: Fügt der Ausschlussliste einen Prozess hinzu.
Weitere Informationen finden Sie unter Ausführbare Datei hinzufügen oderAusführbare Datei bearbeiten auf Seite 138.
• Doppelklicken auf ein Element: Ändert das ausgewählte Element.
• Löschen: Löscht das ausgewählte Element.
• Duplizieren: Erstellt eine Kopie des ausgewählten Elements.
Regeln Konfiguriert Zugriffsschutzregeln.Weitere Informationen finden Sie unter Von McAfee definierte Regeln auf Seite54.
Sie können von McAfee definierte Regeln aktivieren, deaktivieren und ändern.Sie können die Regeln jedoch nicht löschen.
• Hinzufügen: Erstellt eine benutzerdefinierte Regel und fügt sie der Liste hinzu.Weitere Informationen finden Sie unter Regel hinzufügen oder Regelbearbeiten auf Seite 134.
• Doppelklicken auf ein Element: Ändert das ausgewählte Element.Weitere Informationen finden Sie unter Regel hinzufügen oder Regelbearbeiten auf Seite 134.
• Löschen: Löscht das ausgewählte Element.
• Duplizieren: Erstellt eine Kopie des ausgewählten Elements.
• Blockieren (nur): Blockiert Zugriffsversuche ohne Protokollierung.
• Bericht (nur): Warnt, ohne Zugriffsversuche zu blockieren.
Diese Einstellung ist dann nützlich, wenn die volle Auswirkung einer Regelunbekannt ist. Überwachen Sie die Protokolle und Berichte, um besserfestzulegen, ob der Zugriff blockiert werden soll.
• Blockieren und Bericht: Blockiert und protokolliert Zugriffsversuche.
Wählen Sie in der ersten Zeile Blockieren oder Bericht, um alle zu blockieren oderzu melden.
Das Aufheben der Auswahl Blockieren und Bericht deaktiviert die Regel.
Siehe auch Konfigurieren der von McAfee definierten Zugriffsschutzregeln auf Seite 53Regel hinzufügen oder Regel bearbeiten auf Seite 134Von McAfee definierte Regeln auf Seite 54
Client-SchnittstellenreferenzBedrohungsschutz – Zugriffsschutz 7
McAfee Endpoint Security 10.1 Produkthandbuch 133
Regel hinzufügen oder Regel bearbeitenFügt benutzerdefinierte Zugriffsschutzregeln hinzu oder bearbeitet sie.
Tabelle 7-10
Abschnitt Option Definition
Optionen Name Legt den Namen der Regel fest. (Erforderlich)
Reaktion Legt Aktionen für die Regel fest.• Blockieren (nur): Blockiert Zugriffsversuche ohne Protokollierung.
• Bericht (nur): Warnt, ohne Zugriffsversuche zu blockieren.
Diese Einstellung ist dann nützlich, wenn die volle Auswirkung einerRegel unbekannt ist. Überwachen Sie die Protokolle und Berichte, umbesser festzulegen, ob der Zugriff blockiert werden soll.
• Blockieren und Bericht: Blockiert und protokolliert Zugriffsversuche.
Wählen Sie in der ersten Zeile Blockieren oder Bericht, um alle zu blockierenoder zu melden.
Das Aufheben der Auswahl Blockieren und Bericht deaktiviert die Regel.
AusführbareDateien
Legt ausführbare Dateien für die Regel fest.• Hinzufügen: Erstellt eine ausführbare Datei und fügt sie der Liste hinzu.
Weitere Informationen finden Sie unter Ausführbare Datei hinzufügenoder Ausführbare Datei bearbeiten auf Seite 138.
• Doppelklicken auf ein Element: Ändert das ausgewählte Element.Weitere Informationen finden Sie unter Ausführbare Datei hinzufügenoder Ausführbare Datei bearbeiten auf Seite 138.
• Löschen: Löscht das ausgewählte Element.
• Duplizieren: Erstellt eine Kopie des ausgewählten Elements.
• Einschlussstatus wechseln: Wechselt den Einschlussstatus der ausführbarenDatei zwischen Einschließen und Ausschließen.
UntergeordneteRegeln
Konfiguriert untergeordnete Regeln.
Untergeordnete Regeln werden nur für benutzerdefinierte Regelnangezeigt.
Weitere Informationen finden Sie unter Untergeordnete Regel hinzufügenoder Untergeordnete Regel bearbeiten auf Seite 135.
• Hinzufügen: Erstellt eine untergeordnete Regel und fügt sie der Listehinzu.
• Doppelklicken auf ein Element: Ändert das ausgewählte Element.
• Löschen: Löscht das ausgewählte Element.
• Duplizieren: Erstellt eine Kopie des ausgewählten Elements.
Hinweise Bieten weitere Informationen über das Element.
Siehe auch Ausführbare Datei hinzufügen oder Ausführbare Datei bearbeiten auf Seite 138Untergeordnete Regel hinzufügen oder Untergeordnete Regel bearbeiten auf Seite 135
7 Client-SchnittstellenreferenzBedrohungsschutz – Zugriffsschutz
134 McAfee Endpoint Security 10.1 Produkthandbuch
Untergeordnete Regel hinzufügen oder Untergeordnete RegelbearbeitenFügen Sie eine untergeordnete Standardregel hinzu, oder bearbeiten Sie sie.
Tabelle 7-11 Optionen
Abschnitt Option Definition
Beschreibung Name Legt den Namen für die untergeordnete Regel fest.
Eigenschaften Regeltyp Legt den Regeltyp fest.• Dateien: Schützt eine Datei oder ein Verzeichnis. Beispiel: Erstellen Sie eine
benutzerdefinierte Regel zum Blockieren oder Melden von Versuchen, eineExcel-Tabelle mit vertraulichen Daten zu löschen.
• Registrierungsschlüssel: Schützt den angegebenen Schlüssel. EinRegistrierungsschlüssel ist der Container für den Registrierungswert. Beispiel:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
• Registrierungswert: Schützt den angegebenen Wert. Registrierungswerte werdenin Registrierungsschlüsseln gespeichert und separat von diesen referenziert.Beispiel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autorun.
Durch die Änderung des Typs der untergeordneten Regel werden sämtlichezuvor definierten Einträge in der Parametertabelle entfernt.
Client-SchnittstellenreferenzBedrohungsschutz – Zugriffsschutz 7
McAfee Endpoint Security 10.1 Produkthandbuch 135
Tabelle 7-11 Optionen (Fortsetzung)
Abschnitt Option Definition
Vorgänge Gibt die Vorgänge an, die mit dem Typ der untergeordneten Regel erlaubt sind.
Der Vorgang Lesen könnte sich auf die Leistung auswirken.
• Dateien:
• Schreibgeschützte oder ausgeblendete Attribute ändern
• Erstellen: Blockiert das Erstellen von Dateien im angegebenen Ordner.
• Löschen: Blockiert das Löschen von Dateien im angegebenen Ordner.
• Ausführen: Blockiert das Ausführen von Dateien im angegebenen Ordner.
• Lesen: Blockiert den Lesezugriff auf die angegebenen Dateien.
• Schreiben: Blockiert den Schreibzugriff auf die angegebenen Dateien.
• Registrierungsschlüssel:• Schreiben: Blockiert den Schreibzugriff auf den angegebenen Schlüssel.
• Erstellen: Blockiert das Erstellen des angegebenen Schlüssels.
• Löschen: Blockiert das Löschen des angegebenen Schlüssels.
• Lesen: Blockiert den Lesezugriff auf den angegebenen Schlüssel.
• Aufzählen: Blockiert die Aufzählung der Unterschlüssel für den angegebenenRegistrierungsschlüssel.
• Laden: Blockiert die Möglichkeit der Entladung des angegebenenRegistrierungsschlüssels und seiner Unterschlüssel aus der Registrierung.
• Ersetzen: Blockiert das Ersetzen des angegebenen Registrierungsschlüsselsund seiner Unterschlüssel mit einer anderen Datei.
• Wiederherstellen: Blockiert die Möglichkeit der Speicherung vonRegistrierungsinformationen in einer angegebenen Datei und kopiert denangegebenen Schlüssel.
• Registrierungswert:• Schreiben: Blockiert den Schreibzugriff auf den angegebenen Wert.
• Erstellen: Blockiert das Erstellen des angegebenen Werts.
• Löschen: Blockiert das Löschen des angegebenen Werts.
• Lesen: Blockiert den Lesezugriff auf den angegebenen Wert.
Parameter • Hinzufügen: Legt Parameter für die Regel fest. Die Parameter ändern sichabhängig vom ausgewählten Regeltyp. Geben Sie mindestens einenParameter ein.Klicken Sie auf Hinzufügen, wählen Sie den Einschlussstatus aus, und geben Sieanschließend die ein- oder auszuschließenden Parameter ein, bzw. wählen Siesie aus.
Siehe Parameter auf Seite 137.
• Doppelklicken auf ein Element: Ändert das ausgewählte Element.Siehe Parameter auf Seite 137.
• Löschen: Löscht das ausgewählte Element.
Siehe auch Parameter auf Seite 137
7 Client-SchnittstellenreferenzBedrohungsschutz – Zugriffsschutz
136 McAfee Endpoint Security 10.1 Produkthandbuch
ParameterLegt den Einschlussstatus und die Definition für einen Parameter fest.
Tabelle 7-12
Abschnitt Option Definition
Parameter Bestimmt, ob der Parameter mit der untergeordneten Regel positivübereinstimmt. Legt auch den Status des Einschlusses für denParameter fest.• Einschließen: Zeigt an, dass die untergeordnete Regel mit dem
angegebenen Parameter übereinstimmen kann.
• Ausschließen: Zeigt an, dass die ausführbare Datei mit deruntergeordneten Regel nicht übereinstimmen darf.
Bei Auswahl desRegeltyps Dateien …
Suchen Sie nach der Datei, um sie auszuwählen.Systemumgebungsvariablen werden unterstützt.Umgebungsvariablen können in einem der folgenden Formateangegeben werden:• $(EnvVar) – $(SystemDrive), $(SystemRoot)• %EnvVar% – %SystemRoot%, %SystemDriver%Nicht auf alle systemdefinierten Umgebungsvariablen kann mithilfeder $(var)-Syntax zugegriffen werden. Das trifft besonders aufjene mit Oder-Zeichen zu. Um dieses Problem zu vermeiden,können Sie die %var%-Syntax verwenden.
Benutzerumgebungsvariablen werden nicht unterstützt.
Sie können folgende Platzhalter verwenden: ?, * und **.
Bei Auswahl desRegeltypsRegistrierungsschlüsseloderRegistrierungswert …
Verwenden Sie Stammschlüssel, um Registrierungswerteund -schlüssel zu definieren. Folgende Stammschlüssel werdenunterstützt:• HKLM oder HKEY_LOCAL_MACHINE
• HKCU oder HKEY_CURRENT_USER
• HKCR oder HKEY_CLASSES_ROOT
• HKCCS stimmt mit HKLM/SYSTEM/CurrentControlSet und HKLM/SYSTEM/ControlSet00X überein
• HKLMS stimmt mit HKLM/Software auf 32- und 64-Bit-Systemensowie HKLM/Software/Wow6432Node auf 64-Bit-Systemenüberein
• HKCUS stimmt mit HKCU/Software auf 32- und 64-Bit-Systemensowie HKCU/Software/Wow6432Node auf 64-Bit-Systemenüberein
• HKULM wird als HKLM und HKCU behandelt
• HKULMS wird als HKLMS und HKCUS behandelt
• HKALL wird als HKLM und HKU behandelt
Sie können ?, * und ** als Platzhalter sowie | (senkrechter Strich)als Escape-Zeichen verwenden.
Client-SchnittstellenreferenzBedrohungsschutz – Zugriffsschutz 7
McAfee Endpoint Security 10.1 Produkthandbuch 137
Ausführbare Datei hinzufügen oder Ausführbare DateibearbeitenFügt eine ausführbare Datei hinzu oder bearbeitet diese.
Tabelle 7-13
Option Definition
Name Legt den Namen für die ausführbare Datei fest.Dieses und mindestens eines der folgenden Felder müssen ausgefüllt werden:Dateiname oder Pfad, MD5-Hash oder Signaturgeber.
Einschlussstatus Ermittelt den Einschlussstatus der ausführbaren Datei.
Einschlussstatus wird nur angezeigt, wenn einer Regel eine ausführbare Dateihinzugefügt wird.
• Einschließen: Zeigt an, dass die ausführbare Datei mit dem angegebenen Parameterübereinstimmen kann.
• Ausschließen: Zeigt an, dass die ausführbare Datei mit dem angegebenenParameter nicht übereinstimmen darf.
Dateiname oder Pfad Gibt den Pfad zur ausführbaren Datei an, die hinzugefügt oder bearbeitet werdensoll.Klicken Sie auf Durchsuchen, um die ausführbare Datei auszuwählen.
Der Pfad kann Platzhalter enthalten.
MD5-Hash Zeigt den MD5-Hash (32-stellige Hexadezimalzahl) des Prozesses an.
Signaturgeber Überprüfung digitaler Signaturen aktivieren: Gewährleistet, dass seit der Unterzeichnung miteinem Kryptographie-Hash der Code weder geändert noch beschädigt wurde.Legen Sie bei Aktivierung Folgendes fest:
• Beliebige Signatur zulassen – Dateien dürfen von einem beliebigen Signaturgeberunterzeichnet werden.
• Signiert von – Dateien dürfen nur von dem angegebenen Signaturgeberunterzeichnet werden.Für die ausführbare Datei ist der definierte Name eines Signaturgebers (SDN)erforderlich. Der Name muss den Einträgen im entsprechenden Feld,einschließlich Kommas und Leerzeichen, genau entsprechen.
So rufen Sie den SDN einer ausführbaren Datei ab:
1 Klicken Sie mit der rechten Maustaste auf die ausführbare Datei, und wählen SieEigenschaften aus.
2 Wählen Sie auf der Registerkarte Digitale Signaturen einen Signaturgeber aus, undklicken Sie auf Details.
3 Klicken Sie auf der Registerkarte Allgemein auf Zertifikat anzeigen.
4 Wählen Sie auf der Registerkarte Details das Feld Betreff aus. Der definierte Namedes Signaturgebers wird angezeigt. Beispielsweise hat Firefox folgendendefinierten Namen als Signaturgeber:
• CN = Mozilla Corporation • L = Mountain View
• OU = Release Engineering • S = California
• O = Mozilla Corporation • C = US
Hinweise Bieten weitere Informationen über das Element.
7 Client-SchnittstellenreferenzBedrohungsschutz – Zugriffsschutz
138 McAfee Endpoint Security 10.1 Produkthandbuch
Siehe auch Regel hinzufügen oder Regel bearbeiten auf Seite 134
Bedrohungsschutz – Exploit-SchutzAktiviert und konfiguriert den Exploit-Schutz, dass über Buffer Overflow-Exploits kein beliebiger Codeauf Ihrem Computer ausgeführt wird.
Siehe Allgemeingültig – Optionen auf Seite 116-Einstellungen für Protokollierungskonfiguration.
Host Intrusion Prevention 8.0 kann auf dem gleichen System wie Endpoint Security 10.1 installiertwerden. Wenn McAfee Host IPS aktiviert ist, wird der Exploit-Schutz deaktiviert, selbst wenn er in denRichtlinieneinstellungen aktiviert ist.
Tabelle 7-14
Abschnitt Option Beschreibung
EXPLOIT-SCHUTZ Exploit-Schutz aktivieren Aktiviert die Exploit-Schutz-Funktion.
Wird diese Funktion nicht aktiviert, ist das System nicht vorMalware-Angriffen geschützt.
Tabelle 7-15 Erweiterte Optionen
Abschnitt Option Beschreibung
Schutzebene Legt die Ebene des Exploit-Schutzes fest.
Standard Erkennt und blockiert nur BufferOverflow-Exploits mit hohem Schweregrad, die inder Exploit-Schutz-Content-Datei identifiziertwerden und stoppt die erkannte Bedrohung.Verwenden Sie die Funktion für kurze Zeit imStandard-Modus. Überprüfen Sie die Protokolldateifür diesen Zeitraum, um herauszufinden, ob inden Maximalen Schutzmodus gewechselt werdenmuss.
Maximal Erkennt und blockiert Buffer Overflow-Exploitsmit hohem und mittlerem Schweregrad, die inder Exploit-Schutz-Content-Datei identifiziertwerden, und stoppt die erkannte Bedrohung.
Diese Einstellung kann zu False-Positivesführen.
Windows-Datenausführungsverhinderung Windows-Datenausführungsverhinderungaktivieren
AktiviertWindows-Datenausführungsverhinderung (DEP) .(Standardmäßig deaktiviert)
Das Deaktivieren dieser Option hat keineAuswirkung auf die Prozesse, bei denen DEPals Ergebnis der Windows-DEP-Richtlinieaktiviert ist.
Client-SchnittstellenreferenzBedrohungsschutz – Exploit-Schutz 7
McAfee Endpoint Security 10.1 Produkthandbuch 139
Tabelle 7-15 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Beschreibung
Aktion Legt die Aktionen Blockieren oder Bericht für denExploit-Schutz fest.
Die Meldungseinstellung kann bei aktivierterWindows-Datenausführungsverhinderungnicht angewendet werden.
Blockieren Blockiert den angegebenen Prozess. Wählen SieBlockieren aus, um den Exploit-Schutz zuaktivieren, oder heben Sie die Auswahl auf, umden Exploit-Schutz zu deaktivieren.
Wenn Sie Zugriffsversuche ohneProtokollierung blockieren möchten, wählenSie nur die Option Blockieren, nicht aber dieOption Bericht aus.
Bericht Aktiviert das Erstellen von Berichten überVersuche, den Exploit-Schutz zu verletzen. Beieiner Erkennung werden die entsprechendenInformationen im Aktivitätsprotokollaufgezeichnet.
Wenn Sie eine Warnung erhalten wollen,Zugriffsversuche aber nicht blockierenmöchten, wählen Sie nur die Option Bericht,nicht aber die Option Blockieren aus. Dies istdann nützlich, wenn die volle Auswirkungeiner Regel unbekannt ist. Überwachen Siedie Protokolle und Berichte für einen kurzenZeitraum. So können Sie besser festlegen, obder Zugriff blockiert werden soll.
Ausschlüsse Gibt den Namen des Prozesses an, zu dem derbeschreibbare Speicher gehört, über den derAufruf ausgeführt wird.
Ausschlüsse mit Anrufermodul oder API geltennicht für die Datenausführungsverhinderung.
Hinzufügen Fügt der Ausschlussliste einenProzess hinzu.Geben Sie den Prozessnamenbzw. den Prozessnamen undseinen Pfad ein.
Bei Ausschlüssen mussdie Groß-/Kleinschreibungbeachtet werden.Platzhalter sind nichterlaubt.
Doppelklickenauf einElement
Ändert das ausgewählteElement.
Löschen Löscht das ausgewählteElement.
7 Client-SchnittstellenreferenzBedrohungsschutz – Exploit-Schutz
140 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-15 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Beschreibung
Prozess Legt den Namen des auszuschließendenProzesses fest. Der Exploit-Schutz schließt denProzess aus, egal, wo er sich befindet.
Anrufermodul Legt den Namen des Moduls fest, zu dem derbeschreibbare Speicher gehört, über den derAufruf ausgeführt wird.
API Legt die aufgerufene API(Programmierschnittstelle) fest.
Siehe auch Konfigurieren Exploit-Schutz-Richtlinieneinstellungen. auf Seite 61
Bedrohungsschutz – On-Demand-ScanAktivieren und konfigurieren Sie die Einstellungen für den On-Access-Scan.
Siehe Einstellungen für Allgemeingültig – Optionen auf Seite 116 für die Protokollierungskonfiguration.
Tabelle 7-17 Optionen
Abschnitt Option Definition
ON-ACCESS-SCAN On-Access-Scan aktivieren Aktiviert die On-Access-Scan-Funktion.Standardmäßig aktiviert.
On-Access-Scan währenddes Systemstarts aktivieren
Aktiviert die On-Access-Scan-Funktion jedes Mal, wenn Sieden Computer hochfahren.Standardmäßig aktiviert.
Höchstdauer (in Sekunden)für jeden Datei-Scanangeben
Begrenzt jeden Datei-Scan auf die angegebene Höchstdauerin Sekunden.Standardmäßig aktiviert.
Wenn ein Scan-Vorgang das Zeitlimit überschreitet, wird derScan fehlerfrei beendet und eine Meldung protokolliert.
Boot-Sektoren scannen Überprüft den Boot-Sektor der Festplatte.Standardmäßig aktiviert.
Wenn eine Festplatte einen speziellen oder anormalenBoot-Sektor besitzt, der nicht gescannt werden kann, ist esratsam, das Scannen des Boot-Sektors zu deaktivieren.
Client-SchnittstellenreferenzBedrohungsschutz – On-Demand-Scan 7
McAfee Endpoint Security 10.1 Produkthandbuch 141
Tabelle 7-17 Optionen (Fortsetzung)
Abschnitt Option Definition
Prozesse bei Starten desDienstes undInhaltsaktualisierungscannen
Scannt jedes Mal alle Prozesse, die sich derzeit im Speicherbefinden, wenn:• Sie On-Access-Scans erneut aktivieren.
• Content-Dateien aktualisiert werden.
• Das System gestartet wird.
• Der McShield.exe-Prozess gestartet wird.
Da einige Programme oder ausführbare Dateienautomatisch gestartet werden, wenn Sie Ihr Systemstarten, kann die Aktivierung dieser Option Ihr Systemverlangsamen und die benötigte Zeit des Systemstartsverlängern.
Standardmäßig deaktiviert.
Wenn der On-Access-Scanner aktiviert ist, werden immer alleProzesse bei der Ausführung gescannt.
VertrauenswürdigeInstallationsprogrammescannen
Scannt MSI-Dateien (die über msiexec.exe installiert wurdenund eine McAfee- oder Microsoft-Signatur aufweisen) oderDienstdateien von vertrauenswürdigenWindows-Installationsprogrammen.Standardmäßig deaktiviert.
Deaktivieren Sie diese Option, um die Leistung vonInstallationsprogrammen für große Microsoft-Anwendungenzu verbessern.
Bei Kopieren in lokalenOrdnern scannen
Scannt Dateien, wenn der Benutzer innerhalb lokaler Ordnerkopiert.Wenn diese Option folgenden Status hat:• Deaktiviert – Nur Elemente im Zielordner werden
gescannt.
• Aktiviert – Elemente im Quellordner (lesen) und imZielordner (schreiben) werden gescannt.
Standardmäßig deaktiviert.
McAfee GTI Weitere Informationen finden Sie unter McAfee GTI auf Seite151.
ScriptScan ScriptScan aktivieren Ermöglicht das Scannen von JavaScript- undVBScript-Skripts, damit unerwünschte Skripts nichtausgeführt werden.Standardmäßig aktiviert.
Wenn ScriptScan beim Start vom Internet Explorerdeaktiviert ist und dann aktiviert wird, erkennt es keinebösartigen Skripte in dieser Instanz vom Internet Explorer.Nach der Aktivierung von ScriptScan müssen Sie denInternet Explorer neu starten, um bösartige Skripte zuerkennen.
7 Client-SchnittstellenreferenzBedrohungsschutz – On-Demand-Scan
142 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-18 Erweiterte Optionen
Abschnitt Option Definition
Benutzermeldungen beiErkennung vonBedrohungen
Bei Erkennung einerBedrohung dasOn-Access-Scan-Fenster fürBenutzer anzeigen
Zeigt bei einer Erkennung die On-Access-Scan-Seite mitder festgelegten Meldung für Client-Benutzer an.Standardmäßig aktiviert.
Bei Auswahl dieser Option können Benutzer diese Seiteüber die Seite Jetzt scannen öffnen, wenn dieErkennungsliste mindestens eine Bedrohung enthält.
Die On-Access-Scan-Erkennungsliste wird bereinigt,wenn der Endpoint Security-Dienst oder das Systemneu gestartet wird.
Meldung Zeigt die Meldung an, die Client-Benutzern beiErkennungen angezeigt wird.Die Standardnachricht lautet: McAfee Endpoint Security hateine Bedrohung erkannt.
Prozesseinstellungen Standard-Einstellungen füralle Prozesse verwenden
Wendet die gleichen konfigurierten Einstellungen aufalle Prozesse an, wenn ein On-Access-Scan ausgeführtwird.
Verschiedene Einstellungenfür Prozesse mit hohemRisiko und geringem Risikokonfigurieren
Konfiguriert verschiedene Scan-Einstellungen für jedenProzesstyp, den Sie identifizieren.
Standard Konfiguriert Einstellungen für Prozesse, die weder einhohes noch ein geringes Risiko darstellen.Standardmäßig aktiviert.
Hohes Risiko Konfiguriert Einstellungen für Prozesse, die ein hohesRisiko darstellen.
Geringes Risiko Konfiguriert Einstellungen für Prozesse, die eingeringes Risiko darstellen.
Hinzufügen Fügt der Liste Hohes Risiko oder Niedriges Risiko einenProzess hinzu.
Löschen Entfernt einen Prozess aus der Liste Hohes Risiko oderGeringes Risiko.
Scan wird ausgeführt Zeitpunkt für Scan
Beim Schreiben auf einenDatenträger
Versucht alle Dateien zu scannen, wenn sie auf denComputer oder ein anderes Datenspeichergerätgeschrieben oder darauf geändert werden.
Da der Scan fehlschlagen könnte, wenn die Dateiauf einen Datenträger geschrieben wird, wird dieAktivierung der Option Beim Lesen von einem Datenträgerdringend empfohlen.
Beim Lesen von einemDatenträger
Scannt die Dateien, wenn sie auf dem Computer odereinem anderen Datenspeichergerät gelesen werden.
Die Aktivierung dieser Option wird dringendempfohlen.
Client-SchnittstellenreferenzBedrohungsschutz – On-Demand-Scan 7
McAfee Endpoint Security 10.1 Produkthandbuch 143
Tabelle 7-18 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Definition
McAfee entscheiden lassen Mit dieser Option wird die Entscheidung McAfeeüberlassen, ob eine Datei gescannt werden muss,wobei Vertrauenslogik für optimiertes Scannenverwendet wird. Vertrauenslogik verbessert IhreSicherheit und beschleunigt die Leistung durchVermeidung unnötiger Scans.
Nicht scannen bei Lesen oderSchreiben auf die Festplatte
Legt fest, nur Prozesses mitgeringem Risiko nicht zuscannen.
Zu scannende Elemente
Alle Dateien Scannt alle Dateien unabhängig von ihrerDateierweiterung.
Die Aktivierung von Alle Dateien wird dringendempfohlen. Wird diese Option nicht aktiviert, ist dasSystem vor Malware-Angriffen nicht geschützt.
Standardmäßige undangegebene Dateitypen
Scannt:• Die Standardliste der definierten Dateierweiterungen
in der aktuellen AMCore Content-Datei, einschließlichDateien ohne Erweiterung
• Alle zusätzlichen Dateierweiterungen, die SieangebenTrennen Sie Erweiterungen mit einem Komma.
• (Optional) Bekannte Makrobedrohungen in der Listestandardmäßiger und angegebenerDateierweiterungen
Eine Liste der Standarddateitypen für Mac-Systemefinden Sie im KnowledgeBase-Artikel KB84411.
Nur angegebene Dateitypen Scannt eine der folgenden oder beide Optionen:• Nur Dateien mit den von Ihnen angegebenen
(kommagetrennten) Erweiterungen
• Alle Dateien ohne Erweiterung
Auf Netzlaufwerken Scannt Ressourcen auf zugeordnetenNetzwerklaufwerken.
Das Scannen von Netzwerkressourcen kann dieLeistung beeinträchtigen.
Zur Sicherung geöffnet Scannt Dateien, wenn von Sicherungssoftware daraufzugegriffen wird.
Für die meisten Umgebungen ist die Aktivierungdieser Einstellung nicht empfehlenswert.
Komprimierte Archivdateien Überprüft die Inhalte von (komprimierten)Archivdateien, einschließlich JAR-Dateien.
Da das Scannen komprimierter Dateien negativeAuswirkungen auf die Systemleistung hat, empfiehltsich diese Option für Scans, die bei nichtverwendeten Systemen ausgeführt werden.
7 Client-SchnittstellenreferenzBedrohungsschutz – On-Demand-Scan
144 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-18 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Definition
KomprimierteMIME-verschlüsselte Dateien
Erkennt, decodiert und scannt MIME-codierte(Multipurpose Internet Mail Extensions) Dateien (AppleMail-Nachrichten auf Mac-Systemen).
Zusätzliche Scan-Optionen
Unerwünschte Programmeerkennen
Damit kann der Scanner potenziell unerwünschteProgramme erkennen.Der Scanner verwendet die Informationen, die Sie inden Einstellungen der Bedrohungsschutz-Optionenkonfiguriert haben, um potenziell unerwünschteProgramme zu erkennen.
UnbekannteProgrammbedrohungenerkennen
Verwendet McAfee GTI, um ausführbare Dateien zuerkennen, in denen sich Malware-ähnlicher Codebefindet.
UnbekannteMakrobedrohungen erkennen
Verwendet McAfee GTI, um unbekannte Makroviren zuerkennen.
Aktionen Weitere Informationen finden Sie unter Aktionen aufSeite 153.
Ausschlüsse Legt Dateien, Ordner und Laufwerke fest, die vomScan ausgeschlossen werden.Weitere Informationen finden Sie unter Ausschlusshinzufügen oder Ausschluss bearbeiten auf Seite 155.
Hinzufügen Fügt ein Element zur Ausschlussliste hinzu.
Löschen Entfernt ein Element aus der Ausschlussliste.
ScriptScan Diese URLs ausschließen Gibt die ScriptScan-Ausschlüsse anhand der URL an.Hinzufügen: Fügt der Ausschlussliste eine URL hinzu.
Löschen: Entfernt eine URL von der Ausschlussliste.
URLs dürfen keine Platzhalter enthalten. Eine URL miteinem String aus einer ausgeschlossenen URL wirdebenfalls ausgeschlossen. Wenn beispielsweise die URLmsn.com ausgeschlossen wird, werden die folgendenURLs ebenfalls ausgeschlossen:• http://weather.msn.com
• http://music.msn.com
Auf Windows Server 2008-Systemen könnenScriptScan-URL-Ausschlüsse im Internet Explorernur verwendet werden, wenn SieBrowsererweiterungen von Drittanbietern aktivierenund das System neu starten. Weitere Informationenfinden Sie im KnowledgeBase-Artikel KB69526.
Siehe auch Konfigurieren von Richtlinieneinstellungen für auf Seite 65McAfee GTI auf Seite 151Aktionen auf Seite 153Ausschluss hinzufügen oder Ausschluss bearbeiten auf Seite 155
Client-SchnittstellenreferenzBedrohungsschutz – On-Demand-Scan 7
McAfee Endpoint Security 10.1 Produkthandbuch 145
Bedrohungsschutz – On-Demand-ScanKonfigurieren Sie die Einstellungen des On-Demand-Scans für die vorkonfigurierten undbenutzerdefinierten Scans, die auf Ihrem System ausgeführt werden.
Siehe Einstellungen für Allgemeingültig – Optionen auf Seite 116 für die Protokollierungskonfiguration.
Diese Einstellungen legen das Scanner-Verhalten fest, wenn:
• Vollständiger Scan oder Schnellscan auf der Seite Jetzt scannen im Endpoint Security-Client ausgewähltwird.
• Einen benutzerdefinierten On-Demand-Scan-Task als Administrator über Einstellungen | Allgemeingültig |Tasks im Endpoint Security-Client ausführen.
• Klicken Sie mit der rechten Maustaste auf eine Datei oder einen Ordner, und wählen Sie Scannen aufBedrohungen aus dem Pop-Up-Menü aus.
Tabelle 7-19 Optionen
Abschnitt Option Definition
Zu scannendeElemente
Boot-Sektoren Überprüft den Boot-Sektor der Festplatte.
Wenn eine Festplatte einen speziellen oder anormalenBoot-Sektor besitzt, der nicht gescannt werden kann, istes ratsam, das Scannen des Boot-Sektors zu deaktivieren.
In den Speicher migrierteDateien
Scannt Dateien, die vom Remote-Speicher verwaltetwerden.Einige Offline-Datenspeicherlösungen ersetzen Dateien miteiner Stub-Datei. Wenn der Scanner auf eine Stub-Dateistößt (ein Hinweis darauf, dass die Datei migriert wurde),wird diese vor dem Scannen im lokalen Systemwiederhergestellt.
Wir empfehlen die Deaktivierung dieser Option.
KomprimierteMIME-verschlüsselteDateien
Erkennt, decodiert und scannt MIME-codierte (MultipurposeInternet Mail Extensions) Dateien (Apple Mail-Nachrichtenauf Mac-Systemen).
KomprimierteArchivdateien
Überprüft die Inhalte von (komprimierten) Archivdateien,einschließlich JAR-Dateien.
Da das Scannen komprimierter Dateien negativeAuswirkungen auf die Systemleistung hat, empfiehlt sichdiese Option für Scans, die bei nicht verwendetenSystemen ausgeführt werden.
Unterordner (nur Scanper Kontextmenü)
Überprüft alle Unterordner des angegebenen Ordners.
ZusätzlicheScan-Optionen
Unerwünschte Programmeerkennen
Damit kann der Scanner potenziell unerwünschteProgramme erkennen.Der Scanner verwendet die Informationen, die Sie in denEinstellungen der Bedrohungsschutz-Optionen konfigurierthaben, um potenziell unerwünschte Programme zuerkennen.
UnbekannteProgrammbedrohungenerkennen
Verwendet McAfee GTI, um ausführbare Dateien zuerkennen, in denen sich Malware-ähnlicher Code befindet.
7 Client-SchnittstellenreferenzBedrohungsschutz – On-Demand-Scan
146 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-19 Optionen (Fortsetzung)
Abschnitt Option Definition
UnbekannteMakrobedrohungenerkennen
Verwendet McAfee GTI, um unbekannte Makroviren zuerkennen.
Scan-Speicherorte (nur vollständiger Scanund Schnellscan)
Weitere Informationen finden Sie unter Scan-Speicherorteauf Seite 149.
Diese Optionen gelten nur für vollständiger Scan, Schnellscanund benutzerdefinierte Scans.
Zu scannendeDateitypen
Alle Dateien Scannt alle Dateien unabhängig von ihrer Dateierweiterung.Die Aktivierung von Alle Dateien wird von McAfee dringendempfohlen.
Die Aktivierung von Alle Dateien wird dringend empfohlen.Wird diese Option nicht aktiviert, ist das System vorMalware-Angriffen nicht geschützt.
Standardmäßige undangegebene Dateitypen
Scannt:• Die Standardliste der definierten Dateierweiterungen in
der aktuellen AMCore Content-Datei, einschließlichDateien ohne Erweiterung
• Alle zusätzlichen Dateierweiterungen, die Sie angebenTrennen Sie Erweiterungen mit einem Komma.
• (Optional) Bekannte Makrobedrohungen in der Listestandardmäßiger und angegebener Dateierweiterungen
Eine Liste der Standarddateitypen für Mac-Systeme findenSie im KnowledgeBase-Artikel KB84411.
Nur angegebene Dateitypen Scannt eine der folgenden oder beide Optionen:• Nur Dateien mit den von Ihnen angegebenen
(kommagetrennten) Erweiterungen
• Alle Dateien ohne Erweiterung
McAfee GTI Weitere Informationen finden Sie unter McAfee GTI aufSeite 151.
Ausschlüsse Legt Dateien, Ordner und Laufwerke fest, die vom Scanausgeschlossen werden.Weitere Informationen finden Sie unter Ausschlusshinzufügen oder Ausschluss bearbeiten auf Seite 155.
Hinzufügen Fügt ein Element zur Ausschlussliste hinzu.
Löschen Entfernt ein Element aus der Ausschlussliste.
Aktionen Weitere Informationen finden Sie unter Aktionen auf Seite153.
Leistung Scan-Cache verwenden Damit kann der On-Demand-Scanner die vorhandenensauberen Scan-Ergebnisse verwenden.Wählen Sie diese Option, um doppelte Scan-Vorgänge zuvermeiden und die Leistung zu verbessern.
Client-SchnittstellenreferenzBedrohungsschutz – On-Demand-Scan 7
McAfee Endpoint Security 10.1 Produkthandbuch 147
Tabelle 7-19 Optionen (Fortsetzung)
Abschnitt Option Definition
Systemauslastung Damit kann vom Betriebssystem die CPU-Zeit, die derScanner empfängt, während des Scan-Vorgangs festgelegtwerden.
Jeder Task wird unabhängig von den Beschränkungenanderer Tasks ausgeführt.
• Niedrig – erhöht die Leistung für andere ausgeführteAnwendungen.
Wählen Sie diese Option für Systeme mitEndbenutzeraktivität.
• Niedriger als normal – legt für die Systemauslastung für denScan den McAfee ePO-Standard fest.
• Normal (Standard) – damit kann der Scan-Vorgangschneller abgeschlossen werden.
Wählen Sie diese Option für Systeme mit großenDatenträgern und wenig Endbenutzeraktivität.
Optionen fürgeplanten Scan Diese Optionen gelten nur für vollständiger Scan, Schnellscan
und benutzerdefinierte Scans.
Nur scannen, wenn dasSystem im Leerlauf ist
Führt den Scan nur aus, wenn der Computer des Benutzersim Leerlauf ist.Der Bedrohungsschutz hält den Scan an, wenn der Benutzerauf das System über Tastatur oder Maus zugreift. Der Scanwird vom Bedrohungsschutz fortgesetzt, wenn derComputer (und die CPU) länger als fünf Minuten im Leerlaufist.
McAfee empfiehlt das Deaktivieren dieser Option aufServersystemen und Systemen, auf die Benutzer nur überdie Remote-Desktop-Verbindung (RDP) zugreifen. DerBedrohungsschutz stellt mithilfe von McTray fest, ob sichdas System im Leerlauf befindet. Auf nur über RDPzugegriffene Systemen startet McTray nicht und derOn-Demand-Scanner wird nie ausgeführt.
Zur Problemumgehung können Benutzer manuellMcTray starten (standardmäßig unter C:\Programme\McAfee\Agent\mctray.exe),wenn Siesich über RDP anmelden.
Jederzeit scannen Führt den Scan auch dann aus, wenn der Computer desBenutzers aktiv ist, und legt Scan-Optionen fest.
7 Client-SchnittstellenreferenzBedrohungsschutz – On-Demand-Scan
148 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-19 Optionen (Fortsetzung)
Abschnitt Option Definition
Benutzer darf Scans verschieben – Der Benutzer kann geplanteScans verschieben und Optionen für Scan-Verschiebungenfestlegen.• Benutzer darf Scans so oft eine Stunde lang verschieben – legt fest,
wie oft (1–23) der Benutzer den Scan für eine Stundeverschieben darf.
• Benutzermeldung – legt die Meldung fest, die vor dem Starteines Scans angezeigt wird.Die Standardmeldung lautet: McAfee Endpoint Securitywird in Kürze Ihr System scannen.
• Meldungsdauer (Sekunden) – legt fest, wie lange (in Sekunden)die Benutzermeldung vor dem Start eines Scansangezeigt wird. Der gültige Bereich für die Dauer beträgt30–300; die Standarddauer ist 45 Sekunden.
Keine Scans durchführen, wenn sich das System im Präsentationsmodusbefindet – Verschiebt den Scan, wenn das System imPräsentationsmodus ist.
Keine Scans durchführen,wenn das System mit Akkubetrieben wird
Verschiebt den Scan, wenn das System mit Batteriestrombetrieben wird.
Siehe auch Konfigurieren Sie die für den On-Demand-Scan auf Seite 70Konfigurieren, Planen und Ausführen von Scan-Tasks auf Seite 75Ausführen eines vollständigen Scans oder Schnellscans auf Seite 42Scannen einer Datei oder eines Ordners auf Seite 44Scan-Speicherorte auf Seite 149McAfee GTI auf Seite 151Aktionen auf Seite 153Ausschluss hinzufügen oder Ausschluss bearbeiten auf Seite 155
Scan-SpeicherorteLegen Sie die zu scannenden Speicherorte fest.
Diese Optionen gelten nur für vollständiger Scan, Schnellscan und benutzerdefinierte Scans.
Client-SchnittstellenreferenzScan-Speicherorte 7
McAfee Endpoint Security 10.1 Produkthandbuch 149
Tabelle 7-20 Optionen
Abschnitt Option Definition
Scan-Speicherorte Unterordner scannen Prüft alle Unterordner auf den angegebenen Datenträgern,wenn einer der folgenden Optionen ausgewählt wurde:• Basisordner • Temp-Ordner
• Benutzerprofilordner • Laufwerk oder Ordner
• Programmdateien-Ordner
Um nur die Stammebene der Datenträger zu scannen,deaktivieren Sie diese Option.
Speicherorte angeben Legt die zu scannenden Speicherorte fest.
Hinzufügen Fügt einen Speicherort für den Scanhinzu.Klicken Sie auf Hinzufügen, und wählen Sieden Speicherort aus der Dropdown-Liste.
Doppelklicken aufein Element
Ändert das ausgewählte Element.
Löschen Entfernt einen Scan-Speicherort.Wählen Sie den Speicherort aus, undklicken Sie auf Löschen.
Speicher für Rootkits Scannt den Systemspeicher auf installierte Rootkits, versteckteProzesse und anderes Verhalten, das auf Malware hinweisenkann, die sich zu verstecken versucht. Dieser Scan-Vorgangwird vor allen weiteren Scan-Vorgängen ausgeführt.
Wird diese Option nicht aktiviert, ist das System vorMalware-Angriffen nicht geschützt.
Laufende Prozesse Der Speicher aller aktuell ausgeführten Prozesse wirdgescannt.Alle anderen Aktionen, außer Dateien säubern, werden alsScan-Vorgang fortsetzen behandelt.
Wird diese Option nicht aktiviert, ist das System vorMalware-Angriffen nicht geschützt.
Registrierte Dateien Scannt Dateien, auf die die Windows-Registrierung verweist.Der Scanner analysiert zunächst die Registrierung aufDateinamen, ermittelt, ob die Dateien vorhanden sind, erstellteine Liste der zu scannenden Dateien und scannt dann dieentsprechenden Dateien.
Arbeitsplatz Scannt alle Laufwerke, die physisch an den Computerangeschlossen oder einem Laufwerksbuchstaben auf demComputer logisch zugeordnet sind.
Alle lokalen Laufwerke Scannt alle Laufwerke und deren Unterordner auf IhremComputer.
Alle fest installiertenLaufwerke
Scannt alle physisch mit dem Computer verbundenenLaufwerke.
Alle Wechseldatenträger Scannt alle Wechsellaufwerke und andere Speichergeräte, diemit dem Computer verbunden sind.
7 Client-SchnittstellenreferenzScan-Speicherorte
150 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-20 Optionen (Fortsetzung)
Abschnitt Option Definition
Alle zugeordnetenLaufwerke
Scannt Netzwerklaufwerke, die einem Netzwerklaufwerk aufdem Computer logisch zugeordnet sind.
Basisordner Scannt den Basisordner des Benutzers, der den Scanvorgangstartet.
Benutzerprofilordner Scannt das Profil des Benutzers, der den Scan startet,einschließlich des Ordners "Eigene Dokumente" des Benutzers.
Windows-Ordner Scannt den Inhalt des Windows-Ordners.
Ordner 'Programme' Scannt den Inhalt des Ordners "Programme".
Temp-Ordner Scannt den Inhalt des Temp-Ordners.
Papierkorb Scannt den Inhalt des Papierkorbs.
Datei oder Ordner Scannt eine bestimmte Datei oder einen Ordner.
Siehe auch Bedrohungsschutz – On-Demand-Scan auf Seite 146
McAfee GTIAktiviert und konfiguriert McAfee GTI-Einstellungen.
Tabelle 7-21
Abschnitt Option Beschreibung
McAfee GTIaktivieren
Aktiviert und deaktiviert heuristische Überprüfungen.• Bei Aktivierung werden Fingerabdrücke von Proben, auch Hashes
genannt, anMcAfee Labs gesendet, um eine Prüfung auf Malwarevorzunehmen. Durch Senden der Hashes kann die Erkennung schnellerzur Verfügung gestellt werden als in der nächsten AMCoreContent-Datei-Version, wenn McAfee Labs die Aktualisierungveröffentlicht.
• Bei Deaktivierung werden keine Fingerabdrücke oder Daten an McAfeeLabs gesendet.
Sensibilitätsstufe Konfiguriert die Sensibilitätsstufe, mit der die Prüfung einer erkanntenProbe auf Malware durchgeführt werden soll.
Je höher die Sensibilitätsstufe, desto höher die Anzahl derMalware-Erkennungen. Bei mehr Erkennungen wird jedoch auch dieAnzahl der False-Positives größer.
Sehrniedrig
Die Erkennungen und Risiken für False-Positives sind dieselben wie fürreguläre AMCore Content-Dateien. Im Falle einer Veröffentlichung durchMcAfee Labs steht Bedrohungsschutz eine Erkennung bereits vor dernächsten AMCore Content-Datei-Aktualisierung zur Verfügung.Verwenden Sie diese Einstellung für Desktops und Server mitbeschränkten Benutzerrechte und einem großenSicherheits-Speicherbedarf.
Mit dieser Einstellung werden durchschnittlich 10–15 Abfragen pro Tagund Computer ausgeführt.
Client-SchnittstellenreferenzMcAfee GTI 7
McAfee Endpoint Security 10.1 Produkthandbuch 151
Tabelle 7-21 (Fortsetzung)
Abschnitt Option Beschreibung
Niedrig Diese Einstellung sind die empfohlenen Mindesteinstellungen für Laptopsoder Desktop- und Server-Computer mit einem großenSicherheits-Speicherbedarf.Mit dieser Einstellung werden durchschnittlich 10–15 Abfragen pro Tagund Computer ausgeführt.
Mittel Nutzen Sie diese Stufe, wenn die Möglichkeit einer Infektion mit Malwarewahrscheinlicher ist als ein False-Positive. Die von McAfee Labsentwickelte interne heuristische Überprüfung führt zu Erkennungen, diemit hoher Wahrscheinlichkeit Malware sind. Einige Erkennungen könnenjedoch zu False-Positives führen. Bei dieser Einstellung überprüft McAfeeLabs, dass für beliebte Anwendungen und Dateien des Betriebssystemskeine False-Positive-Erkennungen stattfinden.Diese Einstellung sind die empfohlenen Mindesteinstellungen für Laptopsoder Desktop- und Server-Computer.
Mit dieser Einstellung werden durchschnittlich 20–25 Abfragen pro Tagund Computer ausgeführt.
Hoch Verwenden Sie diese Einstellung für die Bereitstellung für Systeme oderBereiche, die regelmäßig infiziert werden.Mit dieser Einstellung werden durchschnittlich 20–25 Abfragen pro Tagund Computer ausgeführt.
Sehr hoch McAfee empfiehlt diese Stufe nur für das Scannen von Datenträgern undVerzeichnissen, die keine ausführbaren Programme oder Betriebssystemeunterstützen.
Erkennungen auf dieser Stufe werden als bösartiger Code angesehen,sind aber bisher nicht vollständig auf diese Eigenschaft hin geprüftworden, um sie als False-Positives auszuschließen.
Verwenden Sie diese Einstellung für On-Demand-Scans, die nicht fürbetriebssystembasierte Datenträger ausgeführt werden.
Verwenden Sie diese Einstellung auf keinen betriebssystembasiertenDatenträgern.
Mit dieser Einstellung werden durchschnittlich 20–25 Abfragen pro Tagund Computer ausgeführt.
Siehe auch Bedrohungsschutz – On-Demand-Scan auf Seite 141Bedrohungsschutz – On-Demand-Scan auf Seite 146Webkontrolle – Optionen auf Seite 172
7 Client-SchnittstellenreferenzMcAfee GTI
152 McAfee Endpoint Security 10.1 Produkthandbuch
AktionenLegen Sie fest, wie der Scanner bei Erkennung einer Bedrohung reagieren soll.
Tabelle 7-22 Optionen
Abschnitt Option Definition Scan-Typ
On-Access-Scan On-Demand-Scan
Erste Reaktion beiErkennung einerBedrohung
Legt die erste Aktion fest, die der Scanner durchführen soll, wenneine Bedrohung erkannt wird.
Zugriff aufDateienverweigern
Verhindert, dass Benutzer aufDateien mit potenziellenBedrohungen zugreifenkönnen.
Scanfortsetzen
Setzt den Datei-Scan fort,wenn eine Bedrohung erkanntwurde. Der Scannerverschiebt keine Elemente indie Quarantäne.
Dateiensäubern
Entfernt die Bedrohung ausder erkannten Datei, wennmöglich.
Dateienlöschen
Löscht Dateien mitpotenziellen Bedrohungen.
Wenn erste Reaktionfehlschlägt
Legt die erste Aktion fest, die der Scanner durchführen soll, wenneine Bedrohung erkannt wird und die erste Aktion fehlschlägt.
Zugriff aufDateienverweigern
Verhindert, dass Benutzer aufDateien mit potenziellenBedrohungen zugreifenkönnen.
Scanfortsetzen
Setzt den Datei-Scan fort,wenn eine Bedrohung erkanntwurde. Der Scannerverschiebt keine Elemente indie Quarantäne.
Dateienlöschen
Löscht Dateien mitpotenziellen Bedrohungen.
Erste Reaktion beiunerwünschtenProgrammen
Legt die erste Aktion fest, die der Scanner durchführen soll, wenn einpotenziell unerwünschtes Programm erkannt wird.
Diese Option ist nur verfügbar, wenn Unerwünschte Programme erkennenausgewählt wurde.
Zugriff aufDateienverweigern
Verhindert, dass Benutzer aufDateien mit potenziellenBedrohungen zugreifenkönnen.
Zugriff aufDateienzulassen
Lässt Benutzer auf Dateienmit potenziellen Bedrohungenzugreifen.
Scanfortsetzen
Setzt den Datei-Scan fort,wenn eine Bedrohung erkanntwurde. Der Scannerverschiebt keine Elemente indie Quarantäne.
Client-SchnittstellenreferenzAktionen 7
McAfee Endpoint Security 10.1 Produkthandbuch 153
Tabelle 7-22 Optionen (Fortsetzung)
Abschnitt Option Definition Scan-Typ
On-Access-Scan On-Demand-Scan
Dateiensäubern
Entfernt die Bedrohung ausdem potenziell unerwünschtenProgramm, wenn möglich.
Dateienlöschen
Löscht potenziellunerwünschteProgrammdateien.
Wenn erste Reaktionfehlschlägt
Legt die Aktion fest, die der Scanner durchführen soll, wenn einunerwünschtes Programm erkannt wurde und die erste Reaktionfehlschlägt.
Diese Option ist nur verfügbar, wenn Unerwünschte Programme erkennenausgewählt wurde.
Zugriff aufDateienverweigern
Verhindert, dass Benutzer aufDateien mit potenziellenBedrohungen zugreifenkönnen.
Zugriff aufDateienzulassen
Lässt Benutzer auf Dateienmit potenziellen Bedrohungenzugreifen.
Scanfortsetzen
Setzt den Datei-Scan fort,wenn eine Bedrohung erkanntwurde. Der Scannerverschiebt keine Elemente indie Quarantäne.
Dateienlöschen
Löscht automatisch potenziellunerwünschteProgrammdateien.
Siehe auch Bedrohungsschutz – On-Demand-Scan auf Seite 141Bedrohungsschutz – On-Demand-Scan auf Seite 146
7 Client-SchnittstellenreferenzAktionen
154 McAfee Endpoint Security 10.1 Produkthandbuch
Ausschluss hinzufügen oder Ausschluss bearbeitenFügen Sie eine Ausschlussdefinition hinzu, oder bearbeiten Sie diese.
Tabelle 7-23 Optionen
Abschnitt Option Definition Scan-Typ
BeiZugriff
On-Demand
AuszuschließendeElemente
Legt den Ausschlusstyp und die Ausschlussdetails fest.
Dateiname oderPfad
Legt den auszuschließenden Dateinamenoder Pfad fest.
Der Pfad kann Platzhalter enthalten.
Um einen Ordner aufWindows-Systemen auszuschließen,fügen Sie dem Pfad einenumgekehrten Schrägstrich (\) hinzu.Um einen Ordner auf Mac-Systemenauszuschließen, fügen Sie dem Pfadeinen Schrägstrich (/) hinzu.
Wählen Sie, falls erforderlich, Unterordnerebenfalls ausschließen aus.
Dateityp Legt die auszuschließenden Dateitypen(Dateierweiterungen) fest.
Dateialter Legt den Zugriffstyp (GeändertZugriff am(nur On-Demand-Scan) oder Erstellt) derauszuschließenden Dateien und dasMindestalter in Tagen fest.
Zeitpunkt desAusschlusses
Legt fest, wann das ausgewählte Element ausgeschlossen werdensoll.
Beim Schreibenauf oder Lesenvon einemDatenträger
Schließt Dateien vom Scannen aus, wennsie auf einen Datenträger geschriebenoder von einem Datenträger (oder einemanderen Datenspeichergerät) gelesenwerden.
Beim Lesen voneinemDatenträger
Schließt Dateien vom Scannen aus, wennsie vom Computer (oder einem anderenDatenspeichergerät) gelesen werden.
Beim Schreibenauf einenDatenträger
Schließt alle Dateien vom Scan aus,wenn sie auf den Datenträger (oder einanderes Datenspeichergerät) geschriebenoder darauf geändert werden.
Siehe auch Bedrohungsschutz – On-Demand-Scan auf Seite 141Bedrohungsschutz – On-Demand-Scan auf Seite 146Platzhalter in Ausschlüssen auf Seite 51Konfigurieren von Ausschlüssen auf Seite 50
Client-SchnittstellenreferenzAusschluss hinzufügen oder Ausschluss bearbeiten 7
McAfee Endpoint Security 10.1 Produkthandbuch 155
Bedrohungsschutz – OptionenKonfigurieren Sie die Einstellungen für die Bedrohungsschutz-Funktion, einschließlich Quarantäne,potenziell unerwünschte Programme und Ausschlüsse.
Siehe Einstellungen für Allgemeingültig – Optionen auf Seite 116 für die Protokollierungskonfiguration.
Dieser Abschnitt enthält nur erweiterte Optionen.
Tabelle 7-24 Erweiterte Optionen
Abschnitt Option Definition
Quarantäne-Manager Quarantäne-Ordner Geben Sie einen Speicherort für den Quarantäne-Ordner an,oder akzeptieren Sie den Standardspeicherort:c:\Quarantine
Der Quarantäne-Ordner ist auf 190 Zeichen begrenzt.
MaximaleSpeicherdauer derQuarantänedaten inTagen festlegen
Legt die Dauer in Tagen (1–999) fest, für die isolierteElemente vor ihrer automatischen Löschung gespeichertwerden. Die Standardeinstellung ist 30 Tage.
Ausschluss nachErkennungsname
DieseErkennungsnamenausschließen
Gibt Erkennungsausschlüsse nach Erkennungsnamen an.Um beispielsweise festzulegen, dass der On-Access-Scannerund der On-Demand-Scanner keine Bedrohungen beiInstallationsüberprüfungen erkennen, geben SieInstallationsüberprüfung ein.
Hinzufügen: Fügt der Ausschlussliste einen Erkennungsnamenhinzu. Klicken Sie auf Hinzufügen, und geben Sie dann denErkennungsnamen ein.
Doppelklicken auf ein Element: Ändert das ausgewählteElement.
Löschen: Entfernt einen Erkennungsnamen von derAusschlussliste. Wählen Sie den Namen aus, und klicken Siedann auf Löschen.
7 Client-SchnittstellenreferenzBedrohungsschutz – Optionen
156 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-24 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Definition
Erkennung vonpotenziellunerwünschtenProgrammen
Schließen SiebenutzerdefinierteunerwünschteProgramme aus
Legt bestimmte Dateien oder Programme fest, die alspotenziell unerwünschte Programme behandelt werden sollen.
Die Scanner erkennen die Programme, die Sie festlegensowie Programme, die in den AMCore Content-Dateienfestgelegt sind.
Der Scanner berücksichtigt keine benutzerdefiniertenunerwünschten Programme mit einer Dateigröße von 0 Byte.
• Hinzufügen: Definiert ein benutzerdefiniertes unerwünschtesProgramm.Klicken Sie auf Hinzufügen, geben Sie den Namen ein, unddrücken Sie dann die Tab-Taste, um die Beschreibungeinzugeben.
• Name – Gibt den Dateinamen des potenziell unerwünschtenProgramms an.
• Beschreibung – Gibt die Informationen an, die im Fall einerErkennung als Erkennungsname angezeigt werden.
• Doppelklicken auf ein Element: Ändert das ausgewählteElement.
• Löschen: Entfernt ein potenziell unerwünschtes Programmvon der Liste.Wählen Sie das Programm aus der Tabelle, und klicken Sieauf Entfernen.
Proaktive Datenanalyse Sendet anonyme Diagnose- und Nutzungsdaten an McAfee.
McAfee GTI-Feedback Aktiviert McAfee GTI-basiertes Telemetrie-Feedback, umanonymisierte Daten zu Dateien und Prozessen auf demClient-System zu erfassen.
Client-SchnittstellenreferenzBedrohungsschutz – Optionen 7
McAfee Endpoint Security 10.1 Produkthandbuch 157
Tabelle 7-24 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Definition
Intervallprüfung Führt eine Statusüberprüfung des Client-Systems vor undnach AMCore Content-Datei-Aktualisierungen sowie inregelmäßigen Intervallen durch und sendet die Ergebnisse anMcAfee.Die Ergebnisse sind verschlüsselt und werden über SSL anMcAfee gesendet. McAfee aggregiert und analysiert die Datendann aus diesen Berichten, um Anomalien zu identifizieren,die auf potenzielle inhaltsbezogene Probleme hinweisenkönnen. Die schnelle Identifizierung solcher Probleme istwichtig für eine zeitnahe Eindämmung und Behebung.
Mit der Intervallprüfung werden Daten zu den folgendenAspekten erfasst:
• Betriebssystem-Version und -Gebietsschema
• McAfee-Produktversion
• AMCore Content- und Scan-Modul-Version
• Informationen zum in McAfee und Microsoft ausgeführtenProzess
AMCoreContent-Reputation
Führt vor der Aktualisierung des Client-Systems eine McAfeeGTI-Reputations-Suche für die AMCore Content-Datei durch.• Wenn McAfee GTI die Datei zulässt, aktualisiert Endpoint
Security AMCore Content.
• Wenn McAfee GTI die Datei nicht zulässt, aktualisiertEndpoint Security AMCore Content nicht.
Siehe auch Konfigurieren gemeinsamer Scan-Einstellungen auf Seite 65
Rollback von AMCore ContentÄndert den AMCore Content auf eine frühere Version.
Option Beschreibung
Zu ladende Versionauswählen
Legt die Versionsnummern einer früheren AMCore Content-Datei fest, die geladenwerden soll.Endpoint Security speichert die letzten zwei Versionen auf dem Client-System.
Wenn Sie auf eine frühere Version ändern, entfernt Endpoint Security die aktuelleVersion von AMCore Content vom System.
Siehe auch Ändern der AMCore Content-Version auf Seite 27
7 Client-SchnittstellenreferenzRollback von AMCore Content
158 McAfee Endpoint Security 10.1 Produkthandbuch
Firewall – OptionenAktivieren und deaktivieren Sie das Firewall-Modul, und legen Sie Schutzoptionen fest.
Siehe Einstellungen für Allgemeingültig – Optionen auf Seite 116 für die Protokollierungskonfiguration.
Der Schnittstellenmodus für den Endpoint Security-Client muss auf Vollzugriff eingestellt sein, oder Siemüssen als Administrator angemeldet sein.
Host Intrusion Prevention 8.0 kann auf dem gleichen System wie Endpoint Security 10.1 installiertwerden. Ist McAfee Host IPS installiert und aktiviert, wird die Endpoint Security-Firewall deaktiviert,selbst wenn sie in den Richtlinieneinstellungen aktiviert ist.
Tabelle 7-25 Optionen
Abschnitt Option Definition
Firewall aktivieren Aktiviert und deaktiviert das Firewall-Modul.
Schutzoptionen Datenverkehr für nicht unterstützteProtokolle zulassen
Lässt allen Datenverkehr zu, bei dem nichtunterstützte Protokolle verwendet werden. BeiDeaktivierung wird der Datenverkehr für nichtunterstützte Protokolle vollständig blockiert.
Nur ausgehenden Datenverkehr bis zumStart der Firewall-Dienste zulassen
Lässt ausgehenden Datenverkehr zu, jedoch keineneingehenden, bis der Firewall-Dienst gestartet wird.Wenn diese Option deaktiviert ist, lässt die Firewallsämtlichen Datenverkehr vor dem Start der Dienstezu.
Datenverkehr über Bridge zulassen Lässt Verkehr über eine lokale MAC-Adresse imBereich der unterstützten VM-Software zu, bei der essich nicht um die MAC-Adresse des lokalen Systemshandelt. Lässt Folgendes zu:• Eingehende Pakete mit MAC-Zieladresse.
• Ausgehende Pakete mit MAC-Quelladresse.
IP-Spoofing-Schutz aktivieren Blockiert Netzwerkverkehr von nicht lokalenHost-IP-Adressen oder lokalen Prozessen, dieversuchen, ihre IP zu fälschen.
Dynamische Blockierungsregelnaktivieren
Lässt zu, dass andere Endpoint Security-ModuleBlockierungsregeln erstellen und dynamisch derGruppe Dynamische Regeln auf dem EndpointSecurity-Client hinzufügen können.(Standardmäßig deaktiviert)
Client-SchnittstellenreferenzFirewall – Optionen 7
McAfee Endpoint Security 10.1 Produkthandbuch 159
Tabelle 7-25 Optionen (Fortsetzung)
Abschnitt Option Definition
Firewall-Eindringungswarnungenaktivieren
Zeigt automatisch Warnungen an, wenn die Firewalleinen potenziellen Angriff erkennt.
DNS-Blockierung Domänenname Definiert zu blockierende Domänennamen.Diese Einstellung fügt eine Regel am Anfang derFirewall-Regelliste hinzu, die Verbindungen zu denIP-Adressen, die in die Domänennamen aufgelöstwerden, blockiert.
• Hinzufügen: Fügt der Sperrliste einen Domänennamenhinzu. Trennen Sie mehrere Domänen durch einKomma (,) oder den Wagenrücklauf.Sie können * und ? als Platzhalterzeichenverwenden. Beispiel: *domain.com.
Alle doppelten Einträge werden automatischentfernt.
• Doppelklicken auf ein Element: Ändert dasausgewählte Element.
• Löschen: Entfernt den ausgewählten Domänennamenaus der Sperrliste.
Tabelle 7-26 Erweiterte Optionen
Abschnitt Option Definition
Optimierungsoptionen Adaptiven Modus aktivieren Erstellt automatisch Regeln zum Zulassen vonDatenverkehr.
Aktivieren Sie den adaptiven Modus temporär aufeinigen Systemen nur während derFirewall-Optimierung. Da durch das Aktivieren diesesModus viele Client-Regeln entstehen können, die derMcAfee ePO-Server verarbeiten muss, kann dieLeistung beeinträchtigt werden.
McAfee Core-Netzwerkregelndeaktivieren
Deaktiviert die integrierten McAfee-Netzwerkregeln (inder Gruppe McAfee Core-Netzwerkregeln).(Standardmäßig deaktiviert)
Aktivieren dieser Option kann zu Störungen bei derNetzwerkkommunikation auf dem Client führen.
Gesamten blockiertenDatenverkehr protokollieren
Protokolliert den gesamten blockierten Datenverkehrim Firewall-Ereignisprotokoll (FirewallEventMonitor.log)auf dem Endpoint Security-Client.(Standardmäßig aktiviert)
Gesamten zugelassenenDatenverkehr protokollieren
Protokolliert den gesamten zugelassenen Datenverkehrim Firewall-Ereignisprotokoll (FirewallEventMonitor.log)auf dem Endpoint Security-Client.(Standardmäßig deaktiviert)
Die Aktivierung dieser Option kann sich negativ aufdie Leistung auswirken.
7 Client-SchnittstellenreferenzFirewall – Optionen
160 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-26 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Definition
Netzwerkreputation fürMcAfee GTI
McAfee GTI-Übereinstimmungals Eindringungsversuchbehandeln
Behandelt Datenverkehr, der der McAfeeGTI-Schwellenwerteinstellung zum Blockierenentspricht, als Eindringungsversuch. Bei aktivierterOption wird eine Warnung angezeigt und das Ereignisan den Management-Server gesendet sowie derEndpoint Security-Client-Protokolldatei hinzugefügt.(Standardmäßig aktiviert)
Sämtliche IP-Adressen für vertrauenswürdigeNetzwerke sind von McAfee GTI-Suchenausgeschlossen.
ÜbereinstimmendenDatenverkehr protokollieren
Behandelt Datenverkehr, der der McAfeeGTI-Schwellenwerteinstellung zum Blockierenentspricht, als Erkennung. Bei aktivierter Option wirddas Ereignis an den Management-Server gesendetsowie der Endpoint Security-Client-Protokolldateihinzugefügt.(Standardmäßig aktiviert)
Sämtliche IP-Adressen für vertrauenswürdigeNetzwerke sind von McAfee GTI-Suchenausgeschlossen.
Reputationsschwellenwert deseingehenden/ausgehendenNetzwerks
Legt den Bewertungsschwellenwert von McAfee GTIfest, ab dem ein- oder ausgehender Datenverkehr übereine Netzwerkverbindung blockiert werden soll.• Nicht blockieren: Bei dieser Site handelt es sich um eine
zulässige Quelle oder ein zulässiges Ziel für Inhalt/Datenverkehr.
• Hohes Risiko: Diese Quelle bzw. dieses Ziel sendet oderhostet potenziell bösartigen Inhalt/Datenverkehr, denMcAfee als riskant einstuft.
• Mittleres Risiko: Diese Quelle bzw. dieses Ziel weistVerhalten auf, das McAfee als verdächtig einstuft.Sämtlicher Inhalt oder Datenverkehr von dieser Siteist genau zu prüfen.
• Nicht verifiziert: Bei dieser Site handelt es sich offenbarum eine zulässige Quelle oder ein zulässiges Ziel fürInhalt/Datenverkehr, allerdings weisen mehrereEigenschaften darauf hin, dass eine weitereUntersuchung erforderlich ist.
Statusbehaftete Firewall FTP-Protokollprüfungverwenden
Ermöglicht die Nachverfolgung von FTP-Verbindungen,sodass nur eine Firewall-Regel für ausgehendenFTP-Client-Verkehr und eingehendenFTP-Server-Verkehr erforderlich ist.Wird die Option nicht ausgewählt, erfordernFTP-Verbindungen eine separate Regel für eingehendenFTP-Client-Datenverkehr und ausgehendenFTP-Server-Datenverkehr.
Client-SchnittstellenreferenzFirewall – Optionen 7
McAfee Endpoint Security 10.1 Produkthandbuch 161
Tabelle 7-26 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Definition
Zeitlimit für TCP-Verbindung(in Sekunden, 1-240)
Legt die Zeit in Sekunden fest, während der eine nichthergestellte TCP-Verbindung aktiv bleibt, wenn keineweiteren mit der Verbindung übereinstimmendenPakete gesendet oder empfangen werden. Der gültigeBereich liegt zwischen 1 und 240.
UDP- und ICMP-Echo-Zeitlimitfür virtuelle Verbindungen (inSekunden, 1-300)
Legt die Zeit in Sekunden fest, während der einevirtuelle UDP- oder ICMP-Echo-Verbindung aktiv bleibt,wenn keine weiteren mit der Verbindungübereinstimmenden Pakete gesendet oder empfangenwerden. Die Option setzt die Zeit jedes Mal auf denkonfigurierten Wert zurück, wenn ein Paket, das mitder virtuellen Verbindung übereinstimmt, gesendetoder empfangen wird. Der gültige Bereich liegtzwischen 1 und 300.
Siehe auch Konfigurieren der Firewall-Optionen auf Seite 78
Firewall – RegelnVerwalten Sie Firewall-Regeln und -Gruppen.
Sie können nur Regeln und Gruppen in der Gruppe Benutzer hinzugefügt hinzufügen und löschen.Firewall verschiebt automatisch neu hinzugefügte Regeln in diese Gruppe.
Tabelle 7-27 Optionen
Abschnitt Option Definition Regel Gruppe
REGELN Regel hinzufügen Erstellt eine Firewall-Regel.Weitere Informationen finden Sie unter Regelhinzufügen oder Regel bearbeiten, Gruppehinzufügen oder Gruppe bearbeiten auf Seite163.
Gruppe hinzufügen Erstellt eine Firewall-Gruppe.
Doppelklicken auf einElement
Ändert das ausgewählte Element.
Duplizieren Erstellt eine Kopie des ausgewählten Elements.
Löschen Entfernt ein ausgewähltes Firewall-Element.
Gibt Elemente an, die in der Liste verschobenwerden können.Wählen Sie Elemente aus, und verschieben Siesie per Drag-and-Drop an ihren neuen Standort.Eine blaue Linie erscheint zwischen Elementen,wo Sie die gezogenen Elemente ablegen können.
Siehe auch Erstellen und Verwalten von Firewall-Regeln und -Gruppen auf Seite 87Regel hinzufügen oder Regel bearbeiten, Gruppe hinzufügen oder Gruppe bearbeiten auf Seite163
7 Client-SchnittstellenreferenzFirewall – Regeln
162 McAfee Endpoint Security 10.1 Produkthandbuch
Regel hinzufügen oder Regel bearbeiten, Gruppe hinzufügenoder Gruppe bearbeitenFügen Sie Firewall-Regeln und -Gruppen hinzu, oder bearbeiten Sie sie.
Tabelle 7-28 Optionen
Abschnitt Option Definition Regel Gruppe
Beschreibung Name Legt den beschreibenden Namen des Elementsfest (erforderlich).
Status Aktiviert oder deaktiviert das Element.
Aktionen festlegen Zulassen – zeigt Datenverkehr über die Firewallan, wenn das Element übereinstimmt.
Blockieren – stoppt Datenverkehr über dieFirewall, wenn das Element übereinstimmt.
Übereinstimmung als Eindringungsversuch behandeln –behandelt Datenverkehr, der der Regelentspricht, als Eindringungsversuch. Beiaktivierter Option wird eine Warnung angezeigtund das Ereignis an den Management-Servergesendet sowie der EndpointSecurity-Client-Protokolldatei hinzugefügt.
Das Aktivieren dieser Option für eineZulassungsregel wird nicht empfohlen, weildadurch zu viele Ereignisse generiertwerden.
Übereinstimmenden Datenverkehr protokollieren –behandelt Datenverkehr, der der Regelentspricht, als Erkennung. Bei aktivierter Optionwird das Ereignis an den Management-Servergesendet sowie der EndpointSecurity-Client-Protokolldatei hinzugefügt.
Richtung Legt die Richtung fest:• Beide – Überwacht ein- und ausgehenden
Datenverkehr.
• Ein – Überwacht eingehenden Datenverkehr.
• Aus – Überwacht ausgehenden Datenverkehr.
Hinweise Bietet weitere Informationen über das Element.
Speicherort Standortbewusstseinaktivieren
Aktiviert oder deaktiviert dieSpeicherortinformationen für die Gruppe.
Name Legt den Namen des Speicherorts fest(erforderlich).
Client-SchnittstellenreferenzFirewall – Regeln 7
McAfee Endpoint Security 10.1 Produkthandbuch 163
Tabelle 7-28 Optionen (Fortsetzung)
Abschnitt Option Definition Regel Gruppe
Verbindungsisolierungaktivieren
Blockiert Datenverkehr auf nicht mit der Gruppeübereinstimmenden Netzwerkadaptern, falls einmit der Gruppe übereinstimmender Adapter zurVerfügung steht.
Einstellungen für Transport und AusführbareDateien sind fürVerbindungsisolierungsgruppen nichtverfügbar.
Eine mögliche Anwendung dieser Option ist dasBlockieren von Netzwerkverkehr potenziellunerwünschten Ursprungs von außerhalb desUnternehmensnetzwerks in das Unternehmenhinein. Ein solches Blockieren ist nur dannmöglich, wenn der Netzwerkverkehr nichtbereits durch eine vor der Gruppe gelegeneRegel der Firewall zugelassen wurde.
Wenn die Verbindungsisolierung aktiviert ist undein Netzwerkadapter (NIC) mit der Gruppeübereinstimmt, wird nur in folgenden FällenDatenverkehr zugelassen:
• Der Datenverkehr stimmt mit einerZulassungsregel überein, die vor der Gruppeliegt.
• Der durch einen Netzwerkadapter verlaufendeDatenverkehr stimmt mit der Gruppe überein,und es ist eine Regel in oder unterhalb derGruppe vorhanden, die den Datenverkehrzulässt.
Falls kein Netzwerkadapter mit der Gruppeübereinstimmt, wird diese ignoriert, und dieRegelübereinstimmung wird fortgesetzt.
Erforderlich machen, dassMcAfee ePO erreichbar ist
Lässt die Gruppenübereinstimmung nur beiKommunikation mit dem McAfee ePO-Serverund nach Auflösung des Server-FQDN zu.
7 Client-SchnittstellenreferenzFirewall – Regeln
164 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-28 Optionen (Fortsetzung)
Abschnitt Option Definition Regel Gruppe
Standortkriterien • Verbindungsspezifisches DNS-Suffix – legt einverbindungsspezifisches DNS-Suffix imFormat beispiel.com fest.
• Standard-Gateway – gibt eine einzelne IP-Adressefür ein Standard-Gateway im IPv4- oderIPv6-Format an.
• DHCP-Server – gibt eine einzelne IP-Adresse füreinen DHCP-Server im IPv4- oderIPv6-Format an.
• DNS-Server – gibt eine einzelne IP-Adresse füreinen DNS im IPv4- oder IPv6-Format an.
• Primärer WINS-Server – gibt eine einzelneIP-Adresse für einen primären WINS-Serverim IPv4- oder IPv6-Format an.
• Sekundärer WINS-Server – gibt eine einzelneIP-Adresse für einen sekundären WINS-Serverim IPv4- oder IPv6-Format an.
• Domänenerreichbarkeit (HTTPS) – erfordert, dass dieangegebene Domäne über HTTPS erreichbarist.
• Registrierungsschlüssel – legt denRegistrierungsschlüssel und Schlüsselwertfest.
1 Klicken Sie auf Hinzufügen.
2 Geben Sie in der Spalte Wert einenRegistrierungsschlüssel im folgendenFormat ein:<ROOT>\<KEY>\[VALUE_NAME] ein.
• Unter <ROOT> muss der ganzeStammname angegeben werden, wiebeispielsweise HKEY_LOCAL_MACHINE,und nicht der gekürzte HKLM.
• <KEY> ist der Schlüsselname im Stamm.
• [VALUE_NAME] ist der Name desSchlüsselwerts. Wird kein Wertnameangegeben, wird der Standardwertverwendet.
Beispielformate:
• IPv4 – 123.123.123.123• IPv6 – 2001:db8:c0fa:f340:9219:bd20:9832:0ac7
IPv6-Adressen werden aufMac-Betriebssystemen nicht unterstützt.
Netzwerke Legt die geltenden Netzwerk-Host-Optionen fürdas Element fest.
Client-SchnittstellenreferenzFirewall – Regeln 7
McAfee Endpoint Security 10.1 Produkthandbuch 165
Tabelle 7-28 Optionen (Fortsetzung)
Abschnitt Option Definition Regel Gruppe
Netzwerkprotokoll Legt das geltende Netzwerkprotokoll für dasElement fest.
Beliebiges Protokoll Lässt sowohl IP- als auch Nicht-IP-Protokolle zu.
Ist ein Transportprotokoll oder eineAnwendung angegeben, sind nurIP-Protokolle zulässig.
IP-Protokoll Schließt Nicht-IP-Protokolle aus.• IPv4-Protokoll
• IPv6-Protokoll
Wird keines der Kontrollkästchen aktiviert, giltein beliebiges IP-Protokoll. Sie können auchIPv4 und IPv6 gemeinsam auswählen.
Nicht-IP-Protokoll Schließt nur Nicht-IP-Protokolle ein.• EtherType aus Liste auswählen – legt einen
EtherType fest.
• Benutzerdefinierten EtherType angeben – gibt denvierstelligen EtherType des Nicht-IP-Protokollsim Hexadezimalformat ein. EtherType-Wertefinden Sie unter Ethernet-Nummern. Beispiel:Für AppleTalk lautet der Wert 809B, fürNetBEUI 8191 und für IPX 8037.
Verbindungstypen Gibt an, ob ein bestimmter oder alleVerbindungstypen gelten:• Kabelgebunden
• Drahtlos
• Virtuell
Ein virtueller Verbindungstyp ist ein durchein VPN oder eine Anwendung für virtuelleMaschinen wie VMware repräsentierterAdapter, kein physischer Adapter.
Netzwerke festlegen Legt die geltenden Netzwerke für das Elementfest.• Hinzufügen – Erstellt ein Netzwerk und fügt es
hinzu.Weitere Informationen finden Sie unter Netzwerk hinzufügen oder Netzwerkbearbeiten auf Seite 171.
• Doppelklicken auf ein Element: Ändert dasausgewählte Element.
• Löschen – Löscht das Netzwerk aus der Liste.
Transportieren Legt die geltenden Transportoptionen für dasElement fest.
7 Client-SchnittstellenreferenzFirewall – Regeln
166 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-28 Optionen (Fortsetzung)
Abschnitt Option Definition Regel Gruppe
Transportprotokoll Legt das dem Element zugeordneteTransportprotokoll fest.Wählen Sie das Protokoll aus, und klicken Siedann auf Hinzufügen, um Ports hinzuzufügen.
• Alle Protokolle – lässt IP-, Nicht-IP- und nichtunterstützte Protokolle zu.
• TCP und UDPWählen Sie aus demDropdown-Menü aus:
• Lokaler Port – Legt den lokalenDatenverkehrsdienst oder Port fest, auf dendie Regel angewendet wird.
• Remote-Port – Legt den auf einem anderenComputer befindlichen Datenverkehrsdienstoder Port fest, auf den die Regelangewendet wird.
Lokaler Port und Remote-Port können Folgendessein:
• Ein einzelner Dienst, beispielsweise 23.
• Ein Bereich, beispielsweise 1-1024.
• Eine durch Komma getrennte Liste einzelnerPorts und Bereiche, Beispiel: 80, 8080, 1–10, 8443 (bis zu 4 Elemente).
Standardmäßig gilt die Regel für alle Diensteund Ports.
• ICMP – legen Sie im Dropdown-MenüMeldungstyp einen ICMP-Meldungstyp fest:Siehe ICMP.
• ICMPv6 – legen Sie im Dropdown-MenüMeldungstyp einen ICMP-Meldungstyp fest:Siehe ICMPv6.
• Sonstige – wählt aus einer Liste von wenigerhäufigen Protokollen aus.
AusführbareDateien
Legt die ausführbaren Dateien für die Regelfest.• Hinzufügen – erstellt eine ausführbare Datei und
fügt sie hinzu.Weitere Informationen finden Sie unter Ausführbare Datei hinzufügen oderAusführbare Datei bearbeiten auf Seite 170.
• Doppelklicken auf ein Element: Ändert dasausgewählte Element.
• Löschen – entfernt eine ausführbare Datei ausder Liste.
Zeitplan Legt Einstellungen des Zeitplans für die Regeloder Gruppe fest.
Client-SchnittstellenreferenzFirewall – Regeln 7
McAfee Endpoint Security 10.1 Produkthandbuch 167
Tabelle 7-28 Optionen (Fortsetzung)
Abschnitt Option Definition Regel Gruppe
Zeitplan aktivieren Aktiviert den Zeitplan für die zeitbeschränkteRegel oder Gruppe.
Wenn der Zeitplan deaktiviert ist, gelten dieRegel bzw. Regeln in der Gruppe nicht.
• Startzeit – legt die Startzeit für die Aktivierungdes Zeitplans fest.
• Endzeit – legt die Zeit für die Deaktivierung desZeitplans fest.
• Wochentage – gibt die Anzahl derWochentage an, an denen der Zeitplanaktiviert werden soll.
Verwenden Sie das 24-Stunden-Format fürStart- und Endzeiten. Beispiel: 13:00 = 1:00p.m.
Sie können zeitbeschränkteFirewall-Gruppen planen oder dem Benutzergestatten, sie über dasMcAfee-Taskleistensymbol zu aktivieren.
7 Client-SchnittstellenreferenzFirewall – Regeln
168 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-28 Optionen (Fortsetzung)
Abschnitt Option Definition Regel Gruppe
Zeitplan deaktivieren unddie Gruppe über dasMcAfee-Taskleistensymbolaktivieren
Legt fest, dass der Benutzer die zeitbeschränkteGruppe für eine festgelegte Anzahl von Minutenüber das McAfee-Taskleistensymbol statt überden Zeitplan aktivieren kann.Verwenden Sie diese Option beispielsweise ineinem Hotel für einen breiten Netzwerkzugriff,bevor eine VPN-Verbindung erstellt werdenkann.
Durch Auswahl der Option werden weitereMenüoptionen unter Schnellkonfiguration imMcAfee-Taskleistensymbol angezeigt:
• Zeitbeschränkte Firewall-Gruppen aktivieren – aktiviertzeitbeschränkte Gruppen für einenfestgelegten Zeitraum, um denNicht-Netzwerkzugriff auf das Internetzuzulassen, bevor Regeln angewendetwerden, die den Zugriff beschränken.
Bei jeder Auswahl dieser Option wird dieZeit für die Gruppen zurückgesetzt.
• Zeitbeschränkte Firewall-Gruppen anzeigen – zeigt dieNamen der zeitbeschränkten Gruppen und dieverbleibende Zeit, für die die einzelnenGruppen aktiv sind, an.
Sie können zeitbeschränkteFirewall-Gruppen planen oder dem Benutzergestatten, sie über dasMcAfee-Taskleistensymbol zu aktivieren.
Anzahl an Minuten (1-60),um die Gruppe zuaktivieren
Legt nach Auswahl der Option ZeitbeschränkteFirewall-Gruppen aktivieren imMcAfee-Taskleistensymbol die Minutenanzahl(1–60) fest, während der die zeitbeschränkteGruppe aktiviert werden soll.
Siehe auch Erstellen und Verwalten von Firewall-Regeln und -Gruppen auf Seite 87Erstellen zeitbeschränkter Gruppen auf Seite 90Aktivieren oder Anzeigen von zeitbeschränkten Firewall-Gruppen auf Seite 77Netzwerk hinzufügen oder Netzwerk bearbeiten auf Seite 171Ausführbare Datei hinzufügen oder Ausführbare Datei bearbeiten auf Seite 170
Client-SchnittstellenreferenzFirewall – Regeln 7
McAfee Endpoint Security 10.1 Produkthandbuch 169
Ausführbare Datei hinzufügen oder Ausführbare Datei bearbeitenFügen Sie eine mit einer Regel oder Gruppe verknüpfte ausführbare Datei hinzu, oder bearbeiten Siediese.
Tabelle 7-29 Optionen
Option Definition
Name Legt den Namen für die ausführbare Datei fest.Dieses und mindestens eines der folgenden Felder müssen ausgefüllt werden:Dateiname oder Pfad, Dateibeschreibung, MD5-Hash oder Signaturgeber.
Dateiname oder Pfad Gibt den Pfad zur ausführbaren Datei an, die hinzugefügt oder bearbeitet werdensoll.Klicken Sie auf Durchsuchen, um die ausführbare Datei auszuwählen.
Der Pfad kann Platzhalter enthalten.
Dateibeschreibung Zeigt die Beschreibung der Datei an.
MD5-Hash Zeigt den MD5-Hash (32-stellige Hexadezimalzahl) des Prozesses an.
Signaturgeber Überprüfung digitaler Signaturen aktivieren: Gewährleistet, dass seit der Unterzeichnung miteinem Kryptographie-Hash der Code weder geändert noch beschädigt wurde.Legen Sie bei Aktivierung Folgendes fest:
• Beliebige Signatur zulassen – Dateien dürfen von einem beliebigen Signaturgeberunterzeichnet werden.
• Signiert von – Dateien dürfen nur von dem angegebenen Signaturgeberunterzeichnet werden.Für die ausführbare Datei ist der definierte Name eines Signaturgebers (SDN)erforderlich. Der Name muss den Einträgen im entsprechenden Feld,einschließlich Kommas und Leerzeichen, genau entsprechen.
So rufen Sie den SDN einer ausführbaren Datei ab:
1 Klicken Sie mit der rechten Maustaste auf die ausführbare Datei, und wählen SieEigenschaften aus.
2 Wählen Sie auf der Registerkarte Digitale Signaturen einen Signaturgeber aus, undklicken Sie auf Details.
3 Klicken Sie auf der Registerkarte Allgemein auf Zertifikat anzeigen.
4 Wählen Sie auf der Registerkarte Details das Feld Betreff aus. Der definierte Namedes Signaturgebers wird angezeigt. Beispielsweise hat Firefox folgendendefinierten Namen als Signaturgeber:
• CN = Mozilla Corporation • L = Mountain View
• OU = Release Engineering • S = California
• O = Mozilla Corporation • C = US
Hinweise Bieten weitere Informationen über das Element.
7 Client-SchnittstellenreferenzFirewall – Regeln
170 McAfee Endpoint Security 10.1 Produkthandbuch
Netzwerk hinzufügen oder Netzwerk bearbeitenHier kann ein mit einer Regel oder Gruppe verknüpftes Netzwerk hinzugefügt oder bearbeitet werden.
Tabelle 7-30
Option Beschreibung Regel Gruppe
Name Legt den Namen der Netzwerkadresse fest (erforderlich).
Typ Wählen Sie entweder:• Lokales Netzwerk – Erstellt ein lokales Netzwerk und fügt es
hinzu.
• Remote-Netzwerk – Erstellt ein Remote-Netzwerk und fügt eshinzu.
Hinzufügen Fügt einen Netzwerktyp zur Netzwerkliste hinzu.
Doppelklicken auf einElement
Ändert das ausgewählte Element.
Löschen Löscht das ausgewählte Element.
Adresstyp Legt den Ursprung oder das Ziel des Datenverkehrs fest.Wählen Sie einen Typ aus der Dropdown-Liste Adresstyp.Die Liste der Adresstypen finden Sie unter Adresstyp aufSeite 171.
Adresse Legt die IP-Adresse fest, die zum Netzwerk hinzugefügtwerden soll.
Platzhalter sind zulässig.
Siehe auch Adresstyp auf Seite 171
AdresstypGeben Sie den Adresstyp für ein definiertes Netzwerk an.
IPv6-Adressen werden auf Mac-Betriebssystemen nicht unterstützt.
Tabelle 7-31 Optionen
Option Definition
Einzelne IP-Adresse Legt eine konkrete IP-Adresse fest. Beispiel:• IPv4 – 123.123.123.123• IPv6 – 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*
Subnetz Legt die Subnetzadresse eines beliebigen Adapters im Netzwerk fest. Beispiel:• IPv4 – 123.123.123.0/24• IPv6 – 2001:db8::0/32
Lokales Subnetz Legt die Subnetzadresse des lokalen Adapters fest.
Client-SchnittstellenreferenzFirewall – Regeln 7
McAfee Endpoint Security 10.1 Produkthandbuch 171
Tabelle 7-31 Optionen (Fortsetzung)
Option Definition
Bereich Legt einen Bereich von IP-Adressen fest. Geben Sie die Anfangs- undEndadresse des Bereichs an. Beispiel:• IPv4 – 123.123.1.0 – 123.123.255.255• IPv6 – 2001:db8::0000:0000:0000:0000 –2001:db8::ffff:ffff:ffff:ffff
VollqualifizierterDomänenname
Legt den FQDN fest. Beispiel: www.example.com.
Beliebige lokaleIP-Adresse
Legt eine beliebige lokale IP-Adresse fest.
Beliebige IPv4-Adresse Legt eine beliebige IPv4-Adresse fest.
Beliebige IPv6-Adresse Legt eine beliebige IPv6-Adresse fest.
Webkontrolle – OptionenKonfigurieren Sie allgemeine Webkontrolle-Einstellungen, wozu die Aktivierung, die Erzwingung vonAktionen, die sichere Suche und E-Mail-Anmerkungen gehören.
Siehe Einstellungen für Allgemeingültig – Optionen auf Seite 116 für die Protokollierungskonfiguration.
Tabelle 7-32 Optionen
Abschnitt Option Definition
OPTIONEN Webkontrolle aktivieren Deaktiviert oder aktiviert die Webkontrolle.(Standardmäßig aktiviert)
Symbolleiste im Client-Browserausblenden
Blendet die Symbolleiste von Webkontrolle imBrowser aus, ohne dass ihre Funktionalitätdeaktiviert wird. (Standardmäßig deaktiviert)
Ereignisprotokollierung Webkategorien für Sites mit derBewertung "Grün" protokollieren
Protokolliert Inhaltskategorien für alle Sites mit derBewertung "Grün".
Das Aktivieren dieser Funktion kann sichnegativ auf die Leistung des McAfeeePO-Servers auswirken.
Webkontrolle-iframe-Ereignisseprotokollieren
Protokolliert die Blockierung bösartiger Sites (rot)und von Sites mit Warnungen (gelb), die in einemHTML-iframe angezeigt werden.
Erzwingung vonAktionen
Diese Aktion für alle noch nicht vonMcAfee GTI verifizierten Sitesanwenden
Legt die Standardaktion für Sites fest, die nochnicht von McAfee GTI bewertet wurden.• Zulassen (Standard): Lässt den Zugriff auf die Site
zu.
• Warnen: Zeigt eine Warnung an, um Benutzer übermögliche Gefahren in Verbindung mit der Site zuinformieren. Die Benutzer müssen dieWarnmeldung vor dem Fortfahren schließen.
• Blockieren: Verhindert, dass Benutzer auf die Sitezugreifen, und zeigt eine Meldung an, dass derSite-Download blockiert ist.
7 Client-SchnittstellenreferenzWebkontrolle – Optionen
172 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-32 Optionen (Fortsetzung)
Abschnitt Option Definition
HTML-iframe-Unterstützungaktivieren
Blockiert den Zugriff auf böswillige Sites (Rot) undSites mit Warnungen (Gelb), die in einemHTML-iframe angezeigt werden. (Standardmäßigaktiviert)
Websites werden standardmäßigblockiert, wenn der Server für dieMcAfee GTI-Bewertungen nichterreichbar ist
Blockiert den Zugriff auf Websites standardmäßig,wenn die Webkontrolle den McAfee GTI-Servernicht erreichen kann.
Phishing-Seiten für alle Sitesblockieren
Blockiert sämtliche Phishing-Seiten unterAußerkraftsetzung der Aktionen zurInhaltsbewertung. (Standardmäßig aktiviert)
Datei-Scan bei Datei-Downloadsaktivieren
Scannt alle Dateitypen(.zip, .exe, .ecx, .cab, .msi, .rar, .scr und .com) vordem Herunterladen. (Standardmäßig aktiviert)Diese Option verhindert, dass Benutzer auf eineheruntergeladene Datei zugreifen können, bis dieWebkontrolle und der Bedrohungsschutz die Dateials sauber kennzeichnen.
Die Webkontrolle führt eine McAfee GTI-Suche fürdie Datei aus. Wenn McAfee GTI die Datei zulässt,sendet Webkontrolle die Datei zum Scannen an denBedrohungsschutz. Wenn eine heruntergeladeneDatei als Bedrohung erkannt wird, führt EndpointSecurity eine Aktion für die Datei aus und warntden Benutzer.
McAfee GTI-Sensibilitätsstufe Legt die zu verwendende McAfeeGTI-Sensibilitätsstufe fest, die die Webkontrolle fürScans von Datei-Downloads verwendet.Weitere Informationen finden Sie unter McAfee GTIauf Seite 151.
Privater IP-Bereich Konfiguriert die Webkontrolle so, dass für denprivaten IP-Adressbereich keine Bewertungen oderAktionen ausgeführt werden.• Hinzufügen: Fügt eine private IP-Adresse zur Liste
der Adressen hinzu, die von Bewertungen oderBlockierungen auszuschließen sind.
• Doppelklicken auf ein Element: Ändert dasausgewählte Element.
• Löschen: Löscht eine IP-Adresse von der Liste derAdressen, die von Bewertungen oderBlockierungen auszuschließen sind.
Sichere Suche Sichere Suche aktivieren Aktiviert die sichere Suche, wobei automatischbösartige Sites in Suchergebnissen anhand vonSicherheitsbewertungen blockiert werden.
Client-SchnittstellenreferenzWebkontrolle – Optionen 7
McAfee Endpoint Security 10.1 Produkthandbuch 173
Tabelle 7-32 Optionen (Fortsetzung)
Abschnitt Option Definition
Standard-Suchmaschine inunterstützten Browsern festlegen
Legt die Standard-Suchmaschine fest, die inunterstützten Browsern verwendet werden soll:• Yahoo
• Bing
• Ask
Links zu gefährlichen Websites inSuchergebnissen blockieren
Verhindert, dass Benutzer in Suchergebnissen aufLinks zu gefährlichen Websites klicken.
Tabelle 7-33 Erweiterte Optionen
Abschnitt Option Definition
E-Mail-Anmerkungen Anmerkungen in browserbasiertenE-Mails aktivieren
Fügt URL-Anmerkungen in browserbasiertenE-Mail-Clients wie Yahoo! Mail und Gmail hinzu.
Anmerkungen in nichtbrowserbasierten E-Mails aktivieren
Fügt URL-Anmerkungen in E-Mail-Verwaltungstools(32 Bit) wie Microsoft Outlook oder Outlook Expresshinzu.
Siehe auch Konfigurieren von Webkontrolle-Optionen auf Seite 98Wie Datei-Downloads gescannt werden auf Seite 100McAfee GTI auf Seite 151
Webkontrolle – InhaltsaktionenLegen Sie Aktionen für bewertete Sites und Webinhaltskategorien fest.
Die Webkontrolle wendet die Bewertungsaktionen für Sites und Datei-Downloads in den nichtblockierten Kategorien an.
7 Client-SchnittstellenreferenzWebkontrolle – Inhaltsaktionen
174 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-35 Optionen
Abschnitt Option Definition
Bewertungsaktionen Bewertungsaktionenfür Sites
Legt Aktionen für Sites fest, die rot, gelb oder nicht bewertetsind.
Grün bewertete Sites und Downloads werden automatischzugelassen.
• Zulassen: Lässt den Zugriff auf die Site zu.(Standard für nicht bewertete Sites)
• Warnen: Zeigt eine Warnung an, um Benutzer über möglicheGefahren in Verbindung mit der Site zu informieren.Benutzer müssen auf Abbrechen klicken, um zurvorhergehenden Site zurückzukehren, oder auf Fortsetzen, umdie Site aufzurufen.
Wenn die Browser-Registerkarte keine zuvor angezeigte Siteenthält, ist Abbrechen nicht verfügbar.
(Standard für gelbe Sites)
• Blockieren: Verhindert, dass Benutzer auf die Site zugreifen, undzeigt eine Meldung an, dass die Site blockiert ist.Klicken Sie auf OK, um zur zuvor angezeigten Sitezurückzukehren.
Wenn die Browser-Registerkarte keine zuvor angezeigte Siteenthält, ist OK nicht verfügbar.
(Standard für rote Sites)
Bewertungsaktionenfür Datei-Downloads
Legt Aktionen für Datei-Downloads fest, die rot, gelb oder nichtbewertet sind.
Diese Bewertungsaktionen gelten nur, wenn Datei-Scan beiDatei-Downloads aktivieren in den Einstellungen Optionen aktiviert ist.
• Zulassen: Ermöglicht es Benutzern, mit dem Downloadfortzufahren.(Standard für nicht bewertete Sites)
• Warnen: Zeigt eine Warnung an, um Benutzer über möglicheGefahren in Verbindung mit der Download-Datei zuinformieren. Die Warnung muss geschlossen werden, bevorder Download abgebrochen oder mit diesem fortgefahrenwerden kann.(Standard für gelbe Sites)
• Blockieren: Zeigt eine Meldung an, dass der Download blockiertwurde, und verhindert das Herunterladen der Datei.(Standard für rote Sites)
Sie können diese Meldung mithilfe der Einstellungen unterErzwingungsmeldungen anpassen.
Client-SchnittstellenreferenzWebkontrolle – Inhaltsaktionen 7
McAfee Endpoint Security 10.1 Produkthandbuch 175
Tabelle 7-36 Erweiterte Optionen
Abschnitt Option Definition
Webkategorie-Blockierung Webkategorie-Blockierung aktivieren Ermöglicht das Blockieren von Sites abhängig vonder Inhaltskategorie.
Blockieren Verhindert, dass Benutzer auf eine Site in dieserKategorie zugreifen, und zeigt eine Meldung an,dass die Site blockiert ist.
Webkategorie Listet die Webkategorien auf.
Siehe auch Angeben von Bewertungsaktionen und Blockieren des Site-Zugriffs basierend auf derWebkategorie auf Seite 101Verwenden von Sicherheitsbewertungen zum Kontrollieren des Zugriffs auf Seite 102Verwenden von Webkategorien zur Zugriffssteuerung auf Seite 101
Bedrohungsabwehrdaten – OptionenKonfiguriert Einstellungen für Bedrohungsabwehrdaten.
Das Bedrohungsabwehrdaten-Modul wird nur auf von McAfee ePO verwalteten Systemen unterstützt.
Tabelle 7-37 Optionen
Abschnitt Option Definition
Optionen Bedrohungsabwehrdaten aktivieren Aktiviert das Bedrohungsabwehrdaten-Modul.
Das Erfassen anonymer Diagnose-und Nutzungsdaten durch denBedrohungsabwehrdaten-Serverzulassen
Lässt zu, dass der Bedrohungsabwehrdaten-Serveranonyme Dateiinformationen an McAfee sendet.
McAfee GTI-Datei-Reputationverwenden, wenn derBedrohungsabwehrdaten-Server nichterreichbar ist
Rufen Sie Informationen zur Datei-Reputation vomGlobal Threat Intelligence-Proxy ab, wenn derBedrohungsabwehrdaten-Server nicht verfügbar ist.
Ändern von Einstellungen durchBenutzer verhindern (nurBedrohungsabwehrdaten-Clients 1.0)
Verhindert, dass Benutzer auf verwaltetenEndpunkten Einstellungen fürBedrohungsabwehrdaten ändern.
Regelzuweisung Produktivität Weist die Regelgruppe Produktivität der Richtlinie zu.Verwenden Sie diese Regelgruppe für Systeme mithoher Änderungsrate und häufigenSoftware-Installationen und -Aktualisierungen.
Diese Gruppe verwendet die geringste Anzahl vonRegeln. Benutzer erleben nur wenigeAufforderungen und Blockierungen bei Erkennungneuer Dateien.
7 Client-SchnittstellenreferenzBedrohungsabwehrdaten – Optionen
176 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-37 Optionen (Fortsetzung)
Abschnitt Option Definition
Ausgleich Weist die Regelgruppe Ausgleich der Richtlinie zu.Verwenden Sie diese Gruppe fürStandardunternehmenssysteme, auf denen nichthäufig neue Software installiert wird oder Änderungenvorgenommen werden.
Diese Gruppe verwendet mehr Regeln undBenutzer erleben mehr Aufforderungen undBlockierungen als bei der Gruppe Produktivität.
Sicherheit Weist die Regelgruppe Sicherheit der Richtlinie zu.Verwenden Sie diese Regelgruppe für Systeme mitniedriger Änderungsrate, zum Beispiel IT-verwalteteSysteme und Server mit strikter Kontrolle.
Benutzer erleben mehr Aufforderungen undBlockierungen als bei der Gruppe Ausgleich.
Erzwingung vonAktionen
Beobachtungsmodus aktivieren Erfasst Daten und sendet sie an den Server, dieRichtlinie wird jedoch nicht erzwungen. Mit dieserOption können Sie die Auswirkung der Richtliniesimulieren, ohne sie ausführen zu müssen.
Blockieren, wenn derReputationsschwellenwert folgendenWert erreicht:
Blockiert Dateien, wenn die Datei-Reputation einenbestimmten Schwellenwert erreicht, und gibt diesenSchwellenwert an:• Als bösartig bekannt • Unbekannt
• Höchstwahrscheinlichbösartig
• Möglicherweisevertrauenswürdig
• Möglicherweise bösartig(Standard)
• Höchstwahrscheinlichvertrauenswürdig
Wenn versucht wird, eine Datei mit dieser Reputationin Ihrer Umgebung auszuführen, wird dies verhindert.Die Datei wird jedoch nicht gelöscht. Wenn eine Dateisicher ist und Sie sie ausführen möchten, ändern Siedie Reputation auf eine Stufe wieHöchstwahrscheinlich vertrauenswürdig, bei der dieNutzung möglich ist.
Säubern, wenn derReputationsschwellenwert folgendenWert erreicht:
Säubert Dateien, wenn die Datei-Reputation einenbestimmten Schwellenwert erreicht, und gibt diesenSchwellenwert an:• Als bösartig bekannt (Standard)
• Höchstwahrscheinlich bösartig
• Möglicherweise bösartig
• Unbekannt
Verwenden Sie diese Option bei derDatei-Reputation Als bösartig bekannt, da Dateienbeim Säubern entfernt werden können.
Client-SchnittstellenreferenzBedrohungsabwehrdaten – Optionen 7
McAfee Endpoint Security 10.1 Produkthandbuch 177
Tabelle 7-38 Erweiterte Optionen
Abschnitt Option Beschreibung
Benutzermeldungen beiErkennung vonBedrohungen
Bedrohungsbenachrichtigungen fürden Benutzer anzeigen
Zeigt Bedrohungsbenachrichtigungen für denBenutzer an.
Den Benutzer benachrichtigen, wennder Reputationsschwellenwertfolgenden Wert erreicht:
Benachrichtigt den Benutzer, wenn dieDatei-Reputation einen festgelegten Schwellenwerterreicht:• Als bösartig bekannt • Unbekannt
(Standard)
• Höchstwahrscheinlichbösartig
• Möglicherweisevertrauenswürdig
• Möglicherweise bösartig • Höchstwahrscheinlichvertrauenswürdig
Die Stufe der Eingabeaufforderung darf keinenKonflikt mit den Einstellungen für Säubern oderBlockieren auslösen. Wenn Sie zum Beispielunbekannte Dateien blockieren, können Sie indiesem Feld nicht Möglicherweise bösartigfestlegen, da dafür eine höhereSicherheitsbedrohung gilt als für Unbekannt.
Standardaktion Legt die Aktion fest, wenn der Benutzer nicht aufdie Eingabeaufforderung reagiert:• Zulassen
• Blockieren (Standard)
Länge (in Minuten) bis zurZeitüberschreitung festlegen
Legt die Anzahl der Minuten fest, für die dieAufforderung vor Ausführung der Standardaktionangezeigt wird.Die Standardeinstellung beträgt 5 Minuten.
Meldung Legt den Text fest, der Benutzern angezeigt wird,wenn versucht wird, eine Datei auszuführen, dieden Kriterien für eine Eingabeaufforderungentspricht.
Bedrohungsbenachrichtigungendeaktivieren, wenn derBedrohungsabwehrdaten-Servernicht erreichbar ist
Deaktiviert die Anzeige vonEingabeaufforderungen, falls der Server nichterreichbar ist. Benutzer werden somit bei Dateien,für die keine Reputation abgerufen werden kann,nicht zu einer Aktion aufgefordert.
7 Client-SchnittstellenreferenzBedrohungsabwehrdaten – Optionen
178 McAfee Endpoint Security 10.1 Produkthandbuch
Tabelle 7-38 Erweiterte Optionen (Fortsetzung)
Abschnitt Option Beschreibung
Advanced ThreatDefense
Noch nicht verifizierte Dateien zurAnalyse an McAfee Advanced ThreatDefense senden
Gibt an, wann ausführbare Dateien zur Analyse anMcAfee Advanced Threat Defense gesendet werdensollen.Sie können Informationen für den AdvancedThreat Defense-Server in der Verwaltungsrichtliniefür den Bedrohungsabwehrdaten-Server angeben.
Die Dateien werden in den folgenden Fällengesendet:
• Im Bedrohungsabwehrdaten-Server sind keineAdvanced Threat Defense-Informationen überdie Datei vorhanden.
• Die Datei entspricht der angegebenenReputationsstufe oder liegt darunter.
• Die Datei entspricht der angegebenenGrößenbeschränkung für Dateien oder liegtdarunter.
Dateien übermitteln, wenn derReputationsschwellenwert folgendenWert erreicht:
Sendet Dateien an Advanced Threat Defense,wenn die Datei-Reputation einen festgelegtenSchwellenwert erreicht:• Als bösartig bekannt
• Unbekannt (Standard)
• Höchstwahrscheinlich vertrauenswürdig
Größe (MB) begrenzen auf: Begrenzt die Größe der Dateien, die an AdvancedThreat Defense gesendet werden, auf 1 bis 10 MB.Der Standardwert ist 5 MB.
Client-SchnittstellenreferenzBedrohungsabwehrdaten – Optionen 7
McAfee Endpoint Security 10.1 Produkthandbuch 179
7 Client-SchnittstellenreferenzBedrohungsabwehrdaten – Optionen
180 McAfee Endpoint Security 10.1 Produkthandbuch
Index
AAdaptive Regelgruppe, Firewall 86, 87
Adaptiver Modusin Firewall konfigurieren 78
Regelvorrang 81
Administrator-AnmeldeseiteBeim Öffnen des Endpoint Security Client 17
Entsperren der Client-Benutzeroberfläche 26
Administratorenbeim Endpoint Security-Client anmelden 25
definiert 8Kennwort 26
Standardkennwort 12
Advanced Threat Defense 109
Senden von Dateien an 111
Verwendung beim Bestimmen von Reputationen 106
Adware, Informationen 48
Aktionen, Bedrohungsschutzfür isolierte Elemente ausführen 46
Aktionen, Threat PreventionFestlegen der Aktion bei erkannter Bedrohung 65, 70
Säubern und Löschen infizierter Dateien für Benutzerermöglichen 65, 70
Unerwünschte Programme 64
Aktionsmenü, Informationen 12
Aktivitätsprotokolle, Endpoint Security-Client 23
Aktualisierungenabbrechen 21
Option "Sicherheit aktualisieren" 10
Schaltfläche "Jetzt aktualisieren", Endpoint Security-Client21
Aktualisierungen, Bedrohungsschutzmanuell suchen 10, 21
Standard-Client-Aktualisierungs-Task, Informationen 36
Überblick 9Aktualisierungen, Endpoint Security
Quellsites für Aktualisierungen konfigurieren 33
Standard-Client-Aktualisierung, konfigurieren 35
über den Client konfigurieren und planen 37
Verhalten konfigurieren 33
Aktualisierungen, Threat PreventionContent-Dateien 8EXTRA.DAT-Dateien 28
Aktualisierungsseite 21
Allgemeingültig-Modul, konfigurierenAktualisierungseinstellungen 33
Allgemeingültiges Modul, Endpoint Security-Client 7, 15
Allgemeingültiges Modul, konfigurierenAktualisierungseinstellungen 35
Quellsites für Client-Aktualisierungen 33
Quellsites für Client-Aktualisierungen, konfigurieren 33
AMCore Content-DateienÄndern der Version 27
EXTRA.DAT-Dateien 28
Informationen 8Informationen zu Signaturen und Aktualisierungen 9On-Access-Scan – Überblick 66
On-Demand-Scan – Überblick 71
Angriffe, Buffer Overflow-Exploits 61
Anmeldeinformationen, Repository-Liste 35
Anmeldeinformationen, Standard für Administrator 12
Apps, Windows Store 66, 71
Archive, Festlegen von Scanoptionen 65, 70
Ask-Suchmaschine und Sicherheitssymbole 94
Aufforderungen, Endpoint SecurityReagieren auf Scan 19
AusschlüsseErkennungsname 65
Festlegen von URLs für ScriptScan 65
konfigurieren 50
On-Access-Scan, Festlegen von Dateien, Ordnern undLaufwerken 65
On-Demand-Scan, festlegen 70
Platzhalter verwenden 51
Stammebene 51
Zugriffsschutz, richtlinienbasiert und regelbasiert 59
Ausschlüsse auf Stammebene, Siehe Ausschlüsse
BBedrohungen
AMCore Content-Dateien 9Erkennungen beim Scannen 44
isolierte Elemente erneut scannen 49
Quarantäne-Ordner 46
Reagieren auf Erkennungen 18
Typen 48
und Sicherheitsbewertungen 95
Verletzungen von Systemzugriffspunkten 52
McAfee Endpoint Security 10.1 Produkthandbuch 181
Bedrohungen (Fortsetzung)Verwalten von Erkennungen 45
weitere Informationen von McAfee Labs abrufen 46
Windows Store-Apps 66, 71
Zugriffsschutzprozess 52
BedrohungsabwehrdatenAktivitätsprotokoll 23
durch McAfee ePO verwaltete TIE Server über einenBridge-Computer verbinden 106
Endpoint Security-Client 15
Fehlerbehebungsprotokoll 23
Informationen 104
konfigurieren 110
Protokolldateien 23
verwalten 104
Workflow-Beispiele 108
BedrohungsschutzDateien vor dem Download scannen 98
Dateien vor dem Herunterladen scannen 100
Endpoint Security-Client 15
Informationen 7On-Access-Scans, Informationen 66
Zugriffsschutzfunktion 53
Bedrohungszusammenfassung, Informationen 13
BenachrichtigungenInformationen 11
Interaktion mit Endpoint Security-Client 9Windows 8 und 10 11
benutzerdefinierte Aktualisierungs-Tasks, Siehe Tasks, EndpointSecurity-Client
benutzerdefinierte Regeln, Siehe benutzerdefinierte Regeln,Zugriffsschutz
benutzerdefinierte Regeln, Zugriffsschutzkonfigurieren 58
Typen 53
benutzerdefinierte Scans, Siehe On-Demand-Scans Benutzerkonten, Steuern des Zugriffs auf Client 32
Berichte, Web Control 94, 95
Anzeigen 98
Website-Sicherheit 94
Berichte, Webkontrolleanzeigen 97
Sicherheit 91
Bewertungen, Sicherheit, Siehe Sicherheitsbewertungen Bewertungen, Web Control, Siehe Sicherheitsbewertungen Bing-Suchmaschinen und Sicherheitssymbole 94
Blockieren von Dateien und Zertifikaten 111
Boot-Sektoren, scannen 65, 70
BrowserInformationen zu einer Site anzeigen 97
Plug-In aktivieren 96
unterstützt 91, 97
Webkontrolle-Plug-In deaktivieren 98
Buffer Overflow-Exploits, Informationen 61
CCache, globaler Scan
On-Access-Scans 66
On-Demand-Scans 71
ChromeInformationen zu einer Site anzeigen 97
Plug-In aktivieren 96
unterstützte Browser 91, 97
Webkontrolle-Schaltflächen 93
Client, Siehe Endpoint Security Client Client-Produktaktualisierungs-Tasks
Informationen 35
Repository-Liste 35
Client-Protokollierung, konfigurieren 30
Client-Schnittstellen-Modus, Optionen 14
Client-Software, definiert 8Common-Modul, konfigurieren
Client-Schnittstellensicherheit 31
Einstellungen 29
McAfee GTI Proxy-Server-Einstellungen 32
Protokollierung 30
Selbstschutz 30
Content-DateienÄndern der AMCore-Version 27
EXTRA.DAT-Dateien 28
Informationen 8manuell nach Aktualisierungen suchen 10, 21
On-Access-Scan – Überblick 66
On-Demand-Scan – Überblick 71
über den Client Aktualisierungen planen 37
und Erkennungen 18
CPU-Zeit, On-Demand-Scans 74
DData Exchange Layer
Informationen 106
Datei-Downloadsbasierend auf Bewertungen blockieren oder warnen 101
mit Bedrohungsschutz scannen 100
unbekannte Sites blockieren 98
Datei-Reputationauf Eingabeaufforderungen reagieren 19
DateienÄnderungen verhindern 30
Ausführen von Scans 44
Bestimmen 106
bestimmte Typen von Scans ausschließen 50
Endpoint Security-Client-Protokolle 22
für Quarantäne konfigurieren 65
in der Quarantäne verwalten 46
in Quarantäne erneut scannen 49
Konfigurieren von Protokolldateien 30
Platzhalter in Ausschlüssen 51
Protokolldateien 23
Index
182 McAfee Endpoint Security 10.1 Produkthandbuch
Dateien (Fortsetzung)Zugriff beschränken 53
Dateien, ContentÄndern der AMCore Content-Version 27
Exploit-Schutz 9Extra.DAT und AMCore 9EXTRA.DAT-Dateien 28
Laden von Extra.DAT-Dateien 29
On-Access-Scan – Überblick 66
On-Demand-Scan – Überblick 71
Signaturen und Aktualisierungen 9Verwenden von EXTRA.DAT-Dateien 28
Datenverkehrausgehend, bis Start der Firewall-Dienste zulassen 78
Von Firewall gescannt 77
Desktopmodus, Windows 8 und 10Benachrichtigungen 11
Desktopmodus, Windows 8 und 10Reaktion auf Aufforderungen bei erkannten Bedrohungen
18
Dialers, Informationen 48
DNS-Datenverkehr, blockieren 79
Domänen, Blockieren 79
Download-Anfragen, Siehe Datei-Downloads Downloads
Blockierungs- und Warnungsverhalten 92
Drosselung, konfigurieren 74
Dynamische Regelgruppe, Firewall 86
EEindringversuche, Firewall-Warnungen aktivieren 78
Eingabeaufforderungen, Endpoint Securityauf Datei-Reputation reagieren 19
Informationen 11
Windows 8 und 10 18
EinstellungenAktualisierungen, konfigurieren für 33, 35
Quellsites für Client-Aktualisierungen, konfigurieren 33
Quellsites, konfigurieren für 33
Einstellungen für InhaltsaktionenWeb Control 102
Webkontrolle 101
Einstellungen für Inhaltsaktionen, Webkontrolle 101
Einstellungen, BedrohungsschutzZugriffsschutzfunktion 53
Einstellungen, Threat PreventionKonfigurieren potenziell unerwünschter Programme 63
On-Access-Scans 64
On-Demand-Scans 64
Einstellungen, Web ControlSteuern des Zugriffs nach Sicherheitsbewertungen 102
Einstellungen, WebkontrolleZugriff auf Websites steuern 101
Zugriff mit Webkategorien steuern 101
EinstellungsseiteAktualisierungseinstellungen, konfigurieren 33, 35
Client-Schnittstellensicherheit, konfigurieren 31
Firewall-Optionen ändern 78
On-Access-Scan-Einstellungen, konfigurieren 65
On-Demand-Scan-Einstellungen, konfigurieren 70
Protokollierung, konfigurieren 30
Proxy-Server-Einstellungen, konfigurieren 32
Selbstschutz, konfigurieren 30
und Client-Schnittstellen-Modus 14
Verwalten von Firewall-Regeln und -Gruppen 87
Endpoint Security ClientAnzeigen der Hilfe 18
Anzeigen von Schutzinformationen 20
Bedrohungszusammenfassung 13
Entsperren der Schnittstelle 26
Informationen 12
Konfigurieren von Sicherheitseinstellungen 31
Öffnen 10, 17
Scannen auf Malware 41
Scans ausführen 42
Schützen mit Kennwort 32
System-Scans 41
Verwalten von erkannten Bedrohungen 45
Verwaltungstypen 20
Endpoint Security-Clientals Administrator anmelden 25
benutzerdefinierte Aktualisierungs-Tasks, erstellen 37
Ereignisprotokoll anzeigen 22
Interaktion mit 9Module 15
Protokolle, Informationen 23
Quellsites für Aktualisierungen konfigurieren 33
Richtlinieneinstellungen 14
Schutz aktualisieren 21
Spiegelungs-Tasks, Informationen 39
Spiegelungs-Tasks, konfigurieren und planen 38
Standard-Client-Aktualisierungs-Task, Informationen 36
Standard-Client-Aktualisierungs-Task, konfigurieren 35
Standard-Client-Aktualisierungs-Task, planen 37
Verwaltungstypen 8vollständiger Scan und Schnellscan, planen 75
Endpoint Security, Funktionsweise 8Endpoint Security, verwalten 25
Ereignisprotokolle, Endpoint Security-ClientAktualisierungsfehler 21
Ereignisprotokollseite anzeigen 22
Informationen 23
Ereignisse, Webkontrolle-Browser-Ereignisse überwachen 98
Erkennungenan Management-Server berichten 8Anzeigen von Benutzernachrichten 65, 70
nach Name ausschließen 65
Namen 48
Reagieren auf 18
Index
McAfee Endpoint Security 10.1 Produkthandbuch 183
Erkennungen (Fortsetzung)Typen 42, 44
Verwalten 42, 45
Erkennungen anzeigen-Schaltfläche 45
Erkennungsdefinitionsdateien, Siehe Content-Dateien Erste Schritte mit Bedrohungsabwehrdaten 108
Exploit-SchutzContent-Datei-Aktualisierungen 9Informationen 60
Konfigurieren 61
Protokolldateien 23
Prozesse ausschließen 50
und Host IPS 60
ExploitsAuftreten von Buffer Overflow-Exploits 61
Blockieren von Buffer Overflows 60, 61
Extra.DAT-DateienAMCore Content-Dateien 9On-Access-Scan – Überblick 66
EXTRA.DAT-DateienHerunterladen 28
Informationen 28
Laden 29
On-Demand-Scan – Überblick 71
Verwenden 28
FFarben, Webkontrolle-Schaltflächen 93
Fehler, Aktualisierung 21
Fehlerbehebungsprotokolle, Endpoint Security-Client 23
Fehlermeldungen, Status des Taskleistensymbols 10
Fehlerprotokolle, Endpoint Security-Client 23
FirefoxInformationen zu einer Site anzeigen 97
Plug-In aktivieren 96
unterstützte Browser 91, 97
Webkontrolle-Schaltflächen 93
FirewallAktivitätsprotokoll 23
Blockieren des DNS-Datenverkehrs 79
Eindringungswarnungen 11
Endpoint Security-Client 15
Fehlerbehebungsprotokoll 23
Firewall-Regeln, Funktionsweise 81
Funktionsweise 77
Informationen 7Informationen zu zeitbeschränkten Gruppen 10
Optionen ändern 78
Protokolldateien 23
Regeln, Siehe Firewall-RegelnSchutz aktivieren und deaktivieren 78
standortabhängige Gruppen, erstellen 89
standortabhängige Gruppen, Informationen 83
Verwalten 78
Firewall (Fortsetzung)Verwalten von Regeln und Gruppen 87
zeitbeschränkte Gruppen aktivieren und anzeigen 77
zeitbeschränkte Gruppen erstellen 90
Firewall-Gruppen, Siehe Firewall-Regelgruppen Firewall-Optionen
Ändern 78
Firewall-RegelgruppenFunktionsweise der Firewall 77
Konfigurieren 81
standortabhängig, erstellen 89
standortabhängig, Information 83
und Verbindungsisolierung 84
vordefiniert 86
Vorrang 83
zeitbeschränkte Gruppen erstellen 90
zeitbeschränkte Gruppen über das Taskleistensymbolverwalten 10, 77
Firewall-RegelnFunktionsweise 81
Funktionsweise der Firewall 77
Konfigurieren 81
Reihenfolge und Vorrang 81
Verwenden von Platzhaltern 89
Zulassen und blockieren 81
fortsetzbare Scans, Siehe inkrementelle Scans Funktionen
Deaktivieren und aktivieren 26
Endpoint Security-Client-Zugriff basierend auf Richtlinien14
GGlobaler Scan-Cache
On-Access-Scans 66
On-Demand-Scans 71
GoogleChrome 91
Sicherheitssymbole 94
Unterstützte Suchmaschinen 94
Gruppen, Firewall, Siehe Firewall-Regelgruppen
HHashes, Informationen 32
Häufig gestellte Fragen, McAfee GTI 80
Heap-basierte Angriffe, Buffer Overflow-Exploits 61
Hilfe, anzeigen 12, 18
Host IPS und Exploit-Schutz 60
Host-Eindringungsschutz und Exploit-Schutz 60
IInformationen, zu Schutz anzeigen 20
Informationsseite 8, 20
Inhaltskategorien, Siehe Webkategorien inkrementelle Scans 72
Index
184 McAfee Endpoint Security 10.1 Produkthandbuch
Installationsprogramme, vertrauenswürdige scannen 65
Internet ExplorerInformationen zu einer Site anzeigen 97
Plug-In aktivieren 96
und ScriptScan-Verhalten 68
unterstützte Browser 91, 97
IP-AdressenRegelgruppen 83
standortabhängige Gruppen 83
JJetzt scannen-Schaltfläche 42
KKennwort-Cracker, Informationen 48
KennwörterAdministrator 25, 26
Konfigurieren der Client-Sicherheit 31
Standard für Administrator 12
Steuern des Zugriffs auf Client 32
Keylogger, Informationen 48
Konfiguration, TIE Server über einen Bridge-Computerverbinden 106
LLeerlauf-Scan-Funktion 19, 72
MMalware
Erkennungen beim Scannen 42, 44
Reagieren auf Erkennungen 18
Scannen auf 41
manuelle Aktualisierungen, ausführen 21
Manuelle ScansAusführen in Endpoint Security Client 42, 44
Informationen zu Scan-Typen 41
McAfee AgentProduktaktualisierungs-Task und Repository-Liste 35
McAfee Core-Netzwerkregelgruppe, Firewall 86
McAfee Endpoint Security Client, Siehe Endpoint Security Client McAfee ePO
Aktualisieren des Schutzes 8AMCore Content-Dateien abrufen 9und Verwaltungstypen 20
McAfee ePO Cloud-Verwaltungstyp 20
McAfee GTIBlockierungsereignisse an Server senden 78
Dateien vor dem Download scannen 98
Dateien vor dem Herunterladen scannen 100
Festlegen von Proxy-Server-Einstellungen 32
Firewall-Optionen, konfigurieren 78
Häufig gestellte Fragen 80
Netzwerkreputation für Firewall, konfigurieren 78
On-Access-Scans, Funktionsweise 66
McAfee GTI (Fortsetzung)On-Access-Scans, konfigurieren 65
On-Demand-Scans, Funktionsweise 71
On-Demand-Scans, konfigurieren 70
Sensibilitätsstufe konfigurieren 65
Telemetrie-Feedback 65
Überblick 32
und Webkategorien 101
Web Control-Sicherheitsbewertungen 95
Web Control-Site-Berichte 94
Webkontrolle-Kommunikationsfehler 93
McAfee LabsAMCore Content-Datei-Aktualisierungen 9Download von EXTRA.DAT-Dateien 28
EXTRA.DAT-Dateien 28
und McAfee GTI 32
weitere Informationen zu Bedrohungen abrufen 46
McAfee SECURE, Webkontrolle-Schaltfläche 93
McAfee-Client, Siehe Endpoint Security Client McAfee-Schutz-Client, Siehe Endpoint Security Client McAfee-Symbol, Siehe System-Taskleistensymbol, McAfee McTray, starten 72
Meldungen, Endpoint SecurityInformationen 11
MenüsAktion 12, 26
Einstellungen 12, 14, 15, 78, 87
Hilfe 12, 18
Informationen 20
Webkontrolle 97
Microsoft Internet Explorer, Siehe Internet Explorer Module
Anzeigen von Informationen 20
Endpoint Security-Client-Zugriff basierend auf Richtlinien14
in Endpoint Security-Client installiert 15
Informationen zu Endpoint Security 7Module, allgemeingültig
Aktualisierungseinstellungen, konfigurieren 35
Quellsites für Client-Aktualisierungen konfigurieren 33
Module, AllgemeingültigAktualisierungseinstellungen, konfigurieren 33
Funktionsweise von McAfee GTI 32
Quellsites für Client-Aktualisierungen, konfigurieren 33
Module, CommonClient-Schnittstellensicherheit, konfigurieren 31
McAfee GTI Proxy-Server-Einstellungen, konfigurieren 32
Protokollierung, konfigurieren 30
Selbstschutz, konfigurieren 30
Mozilla Firefox, Siehe Firefox
NNachrichten, Endpoint Security
Anzeigen bei erkannter Bedrohung 65, 70
Netzwerkadapter, Verbindung zulassen 83
Index
McAfee Endpoint Security 10.1 Produkthandbuch 185
Netzwerklaufwerke, Festlegen von Scanoptionen 65
nicht verwaltet, Siehe selbstverwaltet, Informationen
OOn-Access-Scans
Anzahl von Scan-Richtlinien 69
Elemente ausschließen 50
Erkennung von Bedrohungen 18
Informationen 41
konfigurieren 65
Konfigurieren 65
mit Vertrauenslogik optimieren 66
Potenziell unerwünschte Programme, Aktivieren derErkennung 64
Protokolldateien 23
ScriptScan 68
Skripte scannen 68
Überblick 66
von Datenträger lesen oder darauf schreiben 66
On-Demand-Aktualisierungen, Siehe manuelleAktualisierungen, ausführen
On-Demand-ScansAusführen eines vollständigen Scans oder Schnellscans 42
Elemente ausschließen 50
Informationen 41
konfigurieren 65
Potenziell unerwünschte Programme, Aktivieren derErkennung 64
Protokolldateien 23
Reagieren auf Aufforderungen 19
Scan per Kontextmenü 44
Scannen von Dateien oder Ordnern 44
Scans des Remote-Speichers 75
Systemauslastung 74
Überblick 71
OptionenKonfigurieren von On-Access-Scans 65
Konfigurieren von On-Demand-Scans 70
Scannen auf Malware 41
Optionen, allgemeingültigAktualisierungseinstellungen, konfigurieren 35
Quellsites für Client-Aktualisierungen, konfigurieren 33
Optionen, AllgemeingültigAktualisierungseinstellungen, konfigurieren 33
Quellsites für Client-Aktualisierungen, konfigurieren 33
Optionen, Bedrohungsschutzallgemeingültige Scan-Einstellungen 65
Optionen, CommonClient-Schnittstellensicherheit, konfigurieren 31
Konfigurieren 29
Planen von Scans auf Anforderung 41
Protokollierungseinstellungen, konfigurieren 30
Proxy-Server-Einstellungen, konfigurieren 32
Selbstschutz, konfigurieren 30
Optionen, Threat PreventionUnerwünschte Programme 63
OrdnerAusführen von Scans 44
für Quarantäne konfigurieren 65
in der Quarantäne verwalten 46
in Quarantäne erneut scannen 49
Platzhalter in Ausschlüssen 51
Zugriff beschränken 53
PParameter, Zugriffsschutz
Beispiele 59
bewerten mit untergeordneten Regeln 59
Phishing, gesendete Berichte an Site-Benutzer 95
Planungen, On-Demand-Scans, verschieben 72
Platzhalterin Ausschlüssen 51
in Ausschlüssen auf Stammebene 51
in Ausschlüssen verwenden 51
In Firewall-Regeln verwenden 89
Plug-Ins, Webkontrolle im Browser aktivieren 96
Pop-Up-Benachrichtigungen, Windows 8 und 10 11
Pop-Up-Benachrichtigungen, Windows 8 und 10 18
Pop-Ups und Sicherheitsbewertungen 95
potenziell unerwünschte ProgrammeElemente ausschließen 50
Platzhalter in Ausschlüssen 51
zu erkennende Programme festlegen 65
Potenziell unerwünschte ProgrammeAktivieren der Erkennung 64, 65, 70
Erkennungen beim Scannen 42, 44
Festlegen 63
Informationen 48
Konfigurieren der Erkennung 62
Prioritäten, On-Access-Scans 74
Product Improvement Program 109
Produktaktualisierungenmanuell suchen 10, 21
über den Client planen 37
Programme, Aktivieren der Erkennung potenziell unerwünschter65, 70
ProtokolldateienAktualisierungsfehler 21
anzeigen 22
Konfigurieren 30
Speicherorte 23
Proxy-ServerEinstellungen in Repository-Liste 35
Funktionsweise von McAfee GTI 32
Konfigurieren für McAfee GTI 32
Prozesse mit hohem Risiko, festlegen 65
Prozesse mit niedrigem Risiko, festlegen 65
Prozesse, Bedrohungsschutzausschließen 50
Index
186 McAfee Endpoint Security 10.1 Produkthandbuch
Prozesse, Bedrohungsschutz (Fortsetzung)in Zugriffsschutz einschließen oder daraus ausschließen 59
scannen 66
Prozesse, Threat PreventionFestlegen von hohem und niedrigem Risiko 65
Scannen 65
Prozesse, Zugriffsschutzin Zugriffsschutz einschließen oder daraus ausschließen 53
regelbasierter Ausschluss 59
richtlinienbasierter Ausschluss 59
Prozesseinstellungen, On-Demand-Scans 74
QQuarantäne-Seite 46
Quarantäne, Bedrohungsschutzisolierte Elemente erneut scannen 49
Speicherort- und Aufbewahrungseinstellungenkonfigurieren 65
RReaktionen, Konfigurieren für die Erkennung unerwünschter
Programme 64
Regelgruppen, Firewall, Siehe Firewall-Regelgruppen Regeln, Bedrohungsschutz
konfigurieren 53
Regeln, Firewall, Siehe Firewall Regeln, Threat Prevention
Funktionsweise des Zugriffsschutzes 52
Registrierungsschlüssel, Zugriff beschränken 53
Remote-Desktop und Leerlauf-Scan-Funktion 72
Remote-Verwaltungs-Tools, Informationen 48
Repository-Listebevorzugte Reihenfolge, Repository-Liste 35
Speicherort auf Client 35
Überblick 35
ReputationenBestimmen 106
Richtlinienauf Endpoint Security-Client zugreifen 14
Client-Funktionen 9definiert 8
Richtlinien, Bedrohungsschutzallgemeingültige Scan-Einstellungen 65
On-Demand-Scans, verschieben 72
Richtlinien, CommonKonfigurieren 29
Richtlinien, Threat PreventionOn-Access-Scans 69
SSafari (Macintosh)
Webkontrolle-Schaltflächen 93
Scan anzeigen-Schaltfläche 42
Scan per KontextmenüAusführen im Windows Explorer 44
Informationen 41
Konfigurieren 70
Scan-CacheOn-Access-Scans 66
On-Demand-Scans 71
Scan-Module, AMCore Content-Dateien – Überblick 9Scan-Seite, anzeigen 18, 42
Scan-Umgehung 66
Scan-Verschiebung, Überblick 72
Scansallgemeingültige Einstellungen für On-Access- und On-
Demand-Scans 65
Ausführen in Endpoint Security Client 42
benutzerdefiniert, über den Client erstellen und planen 75
mit Endpoint Security-Client planen 75
Platzhalter in Ausschlüssen verwenden 51
Reagieren auf Aufforderungen 19
Scan per Kontextmenü 44
Typen 41
Verschieben, anhalten, fortsetzen und abbrechen 19
Webkontrolle 100
Scans des Remote-Speichers, Überblick 75
Scans ohne Auswirkungen 72
Scans, benutzerdefiniert, Siehe Scans, On-Demand Scans, On-Access
Anzahl von Richtlinien 69
Bedrohungen in Windows Store-Apps erkennen 66
Elemente ausschließen 50
Erkennung von Bedrohungen, reagieren 18
Konfigurieren 65
mit Vertrauenslogik optimieren 66
ScriptScan 68
Überblick 66
Scans, On-DemandElemente ausschließen 50
Erkennen von Bedrohungen in Windows Store-Apps 71
Konfigurieren 70
Scans des Remote-Speichers 75
Systemauslastung 74
über den Client planen 75
SchaltflächenErkennungen anzeigen 45
Jetzt scannen 42
Scan anzeigen 42
Schaltflächen, Webkontrolle 93
Scherzprogramme, Informationen 48
SchnellscanAusführen in Endpoint Security Client 42
Konfigurieren 70
Scan-Typen 41
über den Client planen 75
SchnittstellenmodusKonfigurieren der Client-Sicherheitseinstellungen 31
Index
McAfee Endpoint Security 10.1 Produkthandbuch 187
Schnittstellenmodus (Fortsetzung)Standardzugriff 25, 32
SchutzAktuell bleiben 8Anzeigen von Informationen 20
Interaktion mit 9Konfigurieren des Selbstschutzes 30
Schwachstellen, Siehe Bedrohungen ScriptScan
Aktivieren 65
Informationen 68
URLs ausschließen 50
Seite "Roll Back von AMCore Content" 27
Seite "Scannen auf Bedrohungen" 44
Seite "System scannen" 42
Seite McAfee-Sicherheitsstatus, anzeigen 10
Seite On-Access-Scan 45
Seite System scannen 45
SeitenAktualisierung 21
Einstellungen 14, 30–33, 35, 70, 78
Ereignisprotokoll 22
Informationen 8, 20
McAfee-Sicherheitsstatus 10
On-Access-Scan 18, 45
Quarantäne 46
Rollback von AMCore Content 27
Scan, anzeigen 42
Scannen auf Bedrohungen 44
System scannen 42, 45
Selbstschutz, konfigurieren 30
selbstverwaltet, Informationen 20
Sensibilitätsstufe, McAfee GTI 32
Serverdurch McAfee ePO verwaltete TIE Server über einen
Bridge-Computer verbinden 106
Informationen zu TIE Servern 106
Server, Proxy, Siehe Proxy-Server Serversysteme und Leerlauf-Scan-Funktion 72
sichere Suche, Webkontrolle konfigurieren 98
SicherheitKonfigurieren der Client-Schnittstellensicherheit 31
Sicherheitsberichte, Siehe Berichte, Web Control Sicherheitsbewertungen
Aktionen für Sites und Downloads konfigurieren 101
Herleitung von Website-Sicherheitsbewertungen 95
Sicherheitssymbole 94
Steuern des Site-Zugriffs 102
Webkontrolle und 91
SicherheitsstufenBeispiele 111
Sicherungen, Festlegen von Scanoptionen 65, 70
SignaturenInformationen zu bekannten Bedrohungen 9
Site-Berichte, Siehe Berichte, Web Control
SitesBlockierungs- und Warnungsverhalten 92
Schutz beim Surfen 93
Schutz während der Suche 94
Sicherheitsbewertungen 95
Webkontrolle-Site-Berichte anzeigen 97
Sites, blockierenbasierend auf Bewertungen 101
basierend auf Sicherheitsbewertungen 102
basierend auf Webkategorie 101
Sites, warnenbasierend auf Bewertungen 101
basierend auf Sicherheitsbewertungen 102
Sites, Zugriff steuernmit Sicherheitsbewertungen 102
mit Webkategorien 101
Skripte, scannen 68
Software-Aktualisierungenmanuell suchen 10, 21
über den Client planen 37
Sperrmodus der Client-SchnittstelleBeim Öffnen des Endpoint Security Client 17
Entsperren der Schnittstelle 26
und Richtlinieneinstellungen 14
Spiegelungs-TasksInformationen 39
konfigurieren und planen 38
Sprechblasen, Web Control 94, 98
Spyware, Informationen 48
Stack-basierte Angriffe, Buffer Overflow-Exploits 61
Standalone, Siehe selbstverwaltet, Informationen Standard-Client-Aktualisierungs-Task
Informationen 36
konfigurieren 35
mit Endpoint Security-Client planen 37
Quellsites für Aktualisierungen konfigurieren 33
Standardkennwort, Endpoint Security Client 12
Standardregelgruppe, Firewall 86
Standardzugriffsmodusals Administrator anmelden 25
Auswirkungen beim Festlegen eines Kennworts 32
Konfigurieren der Client-Sicherheitseinstellungen 31
und Richtlinieneinstellungen 14
Verwalten von Firewall-Regeln und -Gruppen 87
standortabhängige Gruppenerstellen 89
Informationen 83
Verbindungsisolierung 84
Startmenü, Endpoint Security Client öffnen 17
Status, Endpoint Security, im McAfee-Taskleistensymbolanzeigen 10
Statusseite, Bedrohungszusammenfassung anzeigen 13
Suchenriskante Websites in Ergebnissen blockieren 98
Sicherheitssymbole 94
Index
188 McAfee Endpoint Security 10.1 Produkthandbuch
Symbole, McAfee, Siehe System-Taskleistensymbol, McAfee Symbole, Web Control 94
System-Scans, Typen 41
System-Taskleistensymbol, McAfee 9, 10, 31
Definition 10
Konfigurieren des Zugriffs auf Endpoint Security 31
Öffnen des Endpoint Security Client 17
Systemauslastungsoptionen, Überblick 74
TTarnprogramm, Informationen 48
Taskleistensymbol, McAfeeSicherheit aktualisieren 10
zeitbeschränkte Firewall-Gruppen 10
zeitbeschränkte Gruppen aktivieren und anzeigen 77
Tasks, Bedrohungsschutzbenutzerdefinierte Scans, planen 75
Standard-Client-Aktualisierung, Informationen 36
vollständiger Scan und Schnellscan, planen 75
Tasks, Endpoint Security-Clientbenutzerdefinierte Aktualisierung, konfigurieren und planen
37
Spiegelungs-Tasks konfigurieren und planen 38
Spiegelungs-Tasks, Informationen 39
Standard-Client-Aktualisierung, konfigurieren 35
Standard-Client-Aktualisierung, planen 37
Tasks, Threat PreventionVollständige und Schnellscans, Informationen 41
Threads, Priorität 74
Threat IntelligenceEndpoint Security 105
Komponenten 104
Szenarien 103
Threat Intelligence Exchange Server, Siehe TIE Server Threat Prevention
Exploit-Schutz-Funktion 61
On-Access-Scans, konfigurieren 65
On-Demand-Scans, Informationen 71
On-Demand-Scans, konfigurieren 70
Optionen, unerwünschte Programme 63
Potenziell unerwünschte Programme, erkennen 62
Verwalten 49
TIE ServerInformationen 106
über Bridge-Computer verbinden 106
TrojanerErkennungen beim Scannen 42, 44
Informationen 48
UÜbermitteln von Dateien zur weiteren Analyse
Advanced Threat Defense 109
Product Improvement Program 109
untergeordnete Regeln, Zugriffsschutzausschließen und einschließen 59
bewerten mit Parametern 59
Upgrades, Client-Software-Komponenten 8URLs
ausschließen aus Skript-Scans 50
Ausschließen von Skript-Scans 65
unbekannte blockieren 98
VVertrauenslogik, On-Access-Scans optimieren 66
Vertrauenswürdige Installationsprogramme, scannen 65
VerwaltungstypenAnzeigen 20
Informationen 20
VirenErkennungen beim Scannen 42, 44
Informationen 48
Reagieren auf Erkennungen 18
Signaturen 9vollständiger Scan
über den Client planen 75
Vollständiger ScanAusführen in Endpoint Security Client 42
Informationen 41
Konfigurieren 70
VollzugriffsmodusFirewall-Optionen ändern 78
Richtlinieneinstellungen 14
Vom Administrator hinzugefügte Regelgruppe, Firewall 86
Vom Benutzer hinzugefügte Regelgruppe, Firewall 86, 87
von McAfee definierte Regeln, Zugriffsschutz 54
Von Windows festgelegte Prioritätseinstellung 74
vordefinierte Firewall-Regelgruppen 86
VorrangFirewall-Gruppen 83
Firewall-Regeln 81
WWarnungen, Bedrohungsschutz
On-Access-Scan – Überblick 66
Warnungen, Firewall 11
Warnungen, Threat PreventionOn-Demand-Scan – Überblick 71
Web ControlSite-Berichte 94
Sprechblasen und Symbole 98
Suchmaschinen und Sicherheitssymbole 94
Symbole, Beschreibung 94
Verwalten 98
Webkategorien, blockieren oder warnen 101
Webkategorien, blockieren oder warnen basierend auf 101
Webkontrolleaktivieren 98
Index
McAfee Endpoint Security 10.1 Produkthandbuch 189
Webkontrolle (Fortsetzung)Aktivitätsprotokoll 23
Endpoint Security-Client 15
Fehlerbehebungsprotokoll 23
Funktionen 91
Informationen 7Informationen zu einer Site anzeigen 97
konfigurieren 98
Menü 93
Plug-In aktivieren 96
Protokolldateien 23
Schaltflächen, Beschreibung 93
Site-Berichte anzeigen 97
und blockierte Sites 92
und Sites, vor denen gewarnt wurde 92
wie Datei-Downloads gescannt werden 100
WebsitesSchutz beim Surfen 93
Schutz während der Suche 94
Sicherheitsbewertungen 95
Webkontrolle-Site-Berichte anzeigen 97
Websites, blockierenbasierend auf Bewertungen 101
basierend auf Sicherheitsbewertungen 102
basierend auf Webkategorie 101
nicht bewertet oder unbekannt 98
riskante Websites in Suchergebnissen 98
Websites, warnenbasierend auf Bewertungen 101
Websites, Warnungbasierend auf Sicherheitsbewertungen 102
Websites, Zugriff steuernmit Sicherheitsbewertungen 102
mit Webkategorien 101
Windows 8 und 10Informationen zu Benachrichtigungen 11
Windows 8 und 10Öffnen des Endpoint Security Client 17
Windows 8 und 10 (Fortsetzung)Reaktion auf Aufforderungen bei erkannten Bedrohungen
18
Windows Store-Apps, Bedrohungen erkennen 66, 71
Workflow-Beispiele 108
Feststellen und Beobachten der Dateiverbreitung 108
Übermitteln von Dateien zur weiteren Analyse 109
Überwachen und Vornehmen von Anpassungen 108
YYahoo
Sicherheitssymbole 94
Standard-Suchmaschine 98
Unterstützte Suchmaschine 94
ZZertifikate
Bestimmen von Reputationen 106
ZugriffsschutzBeispiele 52
benutzerdefinierte Regeln, Informationen 53
benutzerdefinierte Regeln, konfigurieren 58
Informationen 51
Protokolldateien 23
Protokolle, beschränken 53
Prozesse ausschließen 50
Prozesse, einschließen und ausschließen 53, 59
Richtlinien, Überblick 53
von McAfee definierte Regeln, Informationen 54
von McAfee definierte Regeln, konfigurieren 53
Zugriffssmodi, Endpoint Security-Client 14
Zulassen von Dateien und Zertifikaten 111
Index
190 McAfee Endpoint Security 10.1 Produkthandbuch